拜占庭将军算法专用课件.ppt

网络的可生存性 荆继武 冯登国 信息安全国家重点实验室 提纲 现有网络的安全问题 旧的安全技术不能保证安全 网络的可生存性问题 可生存性技术 新华网的几则消息 钓鱼式网页欺诈 一个邮件，告诉你银行网络要升级让输入帐号和密码等，输入完成后升级成功，帐户里的钱不见了。 银行网站频现克隆（3/1） 中国银行英文版遭人假冒，年底有两家，中国银联也被假冒 网上银行不安全（2/17） 病毒盗取密码，工行帐号内1000元被人盗走。律师称：银行没有责任。香港10月,23起假冒银行网案件，最大金额66万港元。 电子政务面临的挑战 民众调查一致地表示，安全和隐私保护一直是Internet用户最优先考虑的。然而许多政府网站却缺乏简单的隐私和安全策略。网上行为和信息的不安全妨碍了电子政务的开始 Public opinion surveys consistently identify security and privacy issues as a foremost concern for Internet users, yet many government websites fail to reassure citizens with simple privacy and security policies. Uncertainty over the security of online activities and information will hamper the take up of e-government 2:1选择放慢电子政务先解决安全 现有的安全问题 程序漏洞/错误 缓冲区溢出 蠕虫与病毒 垃圾邮件 网络欺骗(邮件/网站) 僵尸网络(Botnet) 现有网络的安全形势严峻 安全事件频繁发生 民意调查关注安全 网络缺陷多 攻击手段多 安全问题复杂 简单保护技术(修墙)的失败 修得太小，好多东西没保住 修得太大，内部问题一大堆 修得再好，敌人就会有更好的手段 大气层保护，不让人进入太空，还是进了 水保护水下动物，人也下去了 城墙修了，飞机可以飞过 房子修了，X射线可以穿过 是否有完美的保护系统? 是否存在在任何条件下都完全正确的复杂逻辑设计（如CPU）? 几百万门的复杂电路没有任何漏洞? 是否存在没有错误的编码（如OS）? TCB的编码和设计可以做到万无一失? 编写TCB的程序员绝对不会成为叛徒? 集成电路的设计人员和软件都没有任何问题? 只修墙不行! 信息保障 以检测为基础 发现攻击，发现异常，发现死机 以恢复为后盾 大不了重新来过，全面恢复 辅助以保护、响应等手段 检测系统仍旧有魔高一丈的时候 识别全部的入侵是困难的 新的入侵方式 内部职员的犯罪是很难预防的(高价值系统) 技术人员犯罪(程序员,芯片设计人员) 间谍,通过各种方式的渗透 隐形飞机躲过雷达发现 恢复技术不能胜任关键工作 恢复的过程会影响系统的运行 恢复不能恢复全部的服务数据 恢复的系统仍旧是有漏洞的系统，仍旧会在敌人的同样攻击下倒下 高价值的系统需要不间断运行 依靠恢复不能满足关键应用 过去的技术不能保证安全 网络不能没有病毒 网络上不会没有黑客 网络系统肯定存在漏洞/BUG 管理员不能全部永远地忠诚 生存性的定义 当攻击，失效和事故发生的时候，系统在规定的时间内完成使命的能力。 通信必威体育官网网址中的生存技术 以单点密钥管理服务器为基础的加密系统 攻击、打击或贿赂的重点 整个系统安全完全依赖于密钥管理中心的安全 成为权力超过司令部的机构 普通结构的CA系统 攻击、打击或贿赂的重点 CA失效并不影响成员的安全通信 成为权力等于司令部的机构 入侵容忍的CA系统 重点分散，攻击和贿赂困难 部分系统失效并不影响系统运行 权力分散，没有系统能够超越司令部 所有系统都是生存系统 微软的未加补丁的系统大约30分钟 Linux大约2个小时 …… 所有系统都具有生存性 是否有生存能力的问题 生存技术假设任何系统都可能坏掉 我们的操作员可能会误操作(傻) 操作员可能会被贿赂或背叛（腐败） 系统本身可能就有木马程序 系统可能会被黑客或病毒占领 我们自己开发的系统可能有漏洞 我们的开发人员可能会留下后门 中国最需要入侵容忍系统（生存技术） 入侵容忍的技术的可能性 假设: 个人的公开行为在一定的概率下是可预知的 系统在一定的概率下能够正确完成基本的功能 纠错理论的联想 利用纠错码可以在一个错误百出但有信道容量的信道中准确无误地传输数据 理论上的可行性 容错理论,门槛密码,“拜占庭”技术 生存技术的两种实现方式 攻击响应的入侵容忍方法 不需要重新设计系统 高效的检测系统，发现异常 资源配置系统，调整系统资源 修补系统，对错误进行修补 攻击遮蔽的入侵容忍方法 重新设计整个系统 冗余、容错技术 门槛密码学