拜占庭將軍算法課件

提綱現(xiàn)有網(wǎng)絡的安全問題舊的安全技術不能保證安全網(wǎng)絡的可生存性問題可生存性技術提綱現(xiàn)有網(wǎng)絡的安全問題1新華網(wǎng)的幾則消息釣魚式網(wǎng)頁欺詐一個郵件，告訴你銀行網(wǎng)絡要升級讓輸入帳號和密碼等，輸入完成后升級成功，帳戶里的錢不見了。銀行網(wǎng)站頻現(xiàn)克隆（3/1）中國銀行英文版遭人假冒，年底有兩家，中國銀聯(lián)也被假冒網(wǎng)上銀行不安全（2/17）病毒盜取密碼，工行帳號內(nèi)1000元被人盜走。律師稱：銀行沒有責任。香港10月,23起假冒銀行網(wǎng)案件，最大金額66萬港元。新華網(wǎng)的幾則消息釣魚式網(wǎng)頁欺詐2電子政務面臨的挑戰(zhàn)民眾調(diào)查一致地表示，安全和隱私保護一直是Internet用戶最優(yōu)先考慮的。然而許多政府網(wǎng)站卻缺乏簡單的隱私和安全策略。網(wǎng)上行為和信息的不安全妨礙了電子政務的開始PublicopinionsurveysconsistentlyidentifysecurityandprivacyissuesasaforemostconcernforInternetusers,yetmanygovernmentwebsitesfailtoreassurecitizenswithsimpleprivacyandsecuritypolicies.Uncertaintyoverthesecurityofonlineactivitiesandinformationwillhamperthetakeupofe-governmentGLOBALE-GOVERNMENTSURVEY2019/9電子政務面臨的挑戰(zhàn)民眾調(diào)查一致地表示，安全和隱私保護一直是I32:1選擇放慢電子政務先解決安全Hackersbreakinto

governmentcomputersGov’temployeesmisuse

personalinformationLesspersonalprivacyPeoplewithoutInternet

getlessgov’tserviceGovernmentmore

impersonalHardertoget

answerstoproblemPublicnamesimprovedsecurityastoppriorityforgovernmentWebpages.HART-TEETER/August20002:1選擇放慢電子政務先解決安全Hackersbreak4現(xiàn)有的安全問題程序漏洞/錯誤緩沖區(qū)溢出蠕蟲與病毒垃圾郵件網(wǎng)絡欺騙(郵件/網(wǎng)站)僵尸網(wǎng)絡(Botnet)現(xiàn)有的安全問題程序漏洞/錯誤5現(xiàn)有網(wǎng)絡的安全形勢嚴峻安全事件頻繁發(fā)生民意調(diào)查關注安全網(wǎng)絡缺陷多攻擊手段多安全問題復雜現(xiàn)有網(wǎng)絡的安全形勢嚴峻安全事件頻繁發(fā)生6簡單保護技術(修墻)的失敗修得太小，好多東西沒保住修得太大，內(nèi)部問題一大堆修得再好，敵人就會有更好的手段大氣層保護，不讓人進入太空，還是進了水保護水下動物，人也下去了城墻修了，飛機可以飛過房子修了，X射線可以穿過簡單保護技術(修墻)的失敗修得太小，好多東西沒保住7是否有完美的保護系統(tǒng)?是否存在在任何條件下都完全正確的復雜邏輯設計（如CPU）?幾百萬門的復雜電路沒有任何漏洞?是否存在沒有錯誤的編碼（如OS）?TCB的編碼和設計可以做到萬無一失?編寫TCB的程序員絕對不會成為叛徒?集成電路的設計人員和軟件都沒有任何問題?是否有完美的保護系統(tǒng)?是否存在在任何條件下都完全正確的復雜邏8只修墻不行!內(nèi)部攻擊，身份假冒基于系統(tǒng)漏洞的攻擊存取控制內(nèi)部系統(tǒng)用戶鑒別/認證只修墻不行!內(nèi)部攻擊，身份假冒基于系統(tǒng)漏洞的攻擊存取控制內(nèi)部9信息保障以檢測為基礎發(fā)現(xiàn)攻擊，發(fā)現(xiàn)異常，發(fā)現(xiàn)死機以恢復為后盾大不了重新來過，全面恢復輔助以保護、響應等手段信息保障以檢測為基礎10檢測系統(tǒng)仍舊有魔高一丈的時候識別全部的入侵是困難的新的入侵方式內(nèi)部職員的犯罪是很難預防的(高價值系統(tǒng))技術人員犯罪(程序員,芯片設計人員)間諜,通過各種方式的滲透檢測系統(tǒng)仍舊有魔高一丈的時候識別全部的入侵是困難的11隱形飛機躲過雷達發(fā)現(xiàn)隱形飛機躲過雷達發(fā)現(xiàn)12恢復技術不能勝任關鍵工作恢復的過程會影響系統(tǒng)的運行恢復不能恢復全部的服務數(shù)據(jù)恢復的系統(tǒng)仍舊是有漏洞的系統(tǒng)，仍舊會在敵人的同樣攻擊下倒下高價值的系統(tǒng)需要不間斷運行恢復技術不能勝任關鍵工作恢復的過程會影響系統(tǒng)的運行13依靠恢復不能滿足關鍵應用高射炮系統(tǒng)正在恢復依靠恢復不能滿足關鍵應用高射炮系統(tǒng)正在恢復14過去的技術不能保證安全網(wǎng)絡不能沒有病毒網(wǎng)絡上不會沒有黑客網(wǎng)絡系統(tǒng)肯定存在漏洞/BUG管理員不能全部永遠地忠誠過去的技術不能保證安全網(wǎng)絡不能沒有病毒15生存性的定義當攻擊，失效和事故發(fā)生的時候，系統(tǒng)在規(guī)定的時間內(nèi)完成使命的能力。生存性的定義當攻擊，失效和事故發(fā)生的時候，系統(tǒng)在規(guī)定的時間內(nèi)16通信保密中的生存技術以單點密鑰管理服務器為基礎的加密系統(tǒng)攻擊、打擊或賄賂的重點整個系統(tǒng)安全完全依賴于密鑰管理中心的安全成為權力超過司令部的機構普通結構的CA系統(tǒng)攻擊、打擊或賄賂的重點CA失效并不影響成員的安全通信成為權力等于司令部的機構入侵容忍的CA系統(tǒng)重點分散，攻擊和賄賂困難部分系統(tǒng)失效并不影響系統(tǒng)運行權力分散，沒有系統(tǒng)能夠超越司令部通信保密中的生存技術以單點密鑰管理服務器為基礎的加密系統(tǒng)17所有系統(tǒng)都是生存系統(tǒng)微軟的未加補丁的系統(tǒng)大約30分鐘Linux大約2個小時……所有系統(tǒng)都具有生存性是否有生存能力的問題所有系統(tǒng)都是生存系統(tǒng)微軟的未加補丁的系統(tǒng)大約30分鐘18生存技術假設任何系統(tǒng)都可能壞掉我們的操作員可能會誤操作(傻)操作員可能會被賄賂或背叛（腐?。┫到y(tǒng)本身可能就有木馬程序系統(tǒng)可能會被黑客或病毒占領我們自己開發(fā)的系統(tǒng)可能有漏洞我們的開發(fā)人員可能會留下后門中國最需要入侵容忍系統(tǒng)（生存技術）生存技術假設任何系統(tǒng)都可能壞掉我們的操作員可能會誤操作(傻)19入侵容忍的技術的可能性假設:個人的公開行為在一定的概率下是可預知的系統(tǒng)在一定的概率下能夠正確完成基本的功能糾錯理論的聯(lián)想利用糾錯碼可以在一個錯誤百出但有信道容量的信道中準確無誤地傳輸數(shù)據(jù)理論上的可行性容錯理論,門檻密碼,“拜占庭”技術入侵容忍的技術的可能性假設:20生存技術的兩種實現(xiàn)方式攻擊響應的入侵容忍方法不需要重新設計系統(tǒng)高效的檢測系統(tǒng)，發(fā)現(xiàn)異常資源配置系統(tǒng)，調(diào)整系統(tǒng)資源修補系統(tǒng)，對錯誤進行修補攻擊遮蔽的入侵容忍方法重新設計整個系統(tǒng)冗余、容錯技術門檻密碼學技術“拜占庭”技術生存技術的兩種實現(xiàn)方式攻擊響應的入侵容忍方法21例子：生存性網(wǎng)關例子：生存性網(wǎng)關22例子：ITDB例子：ITDB23拜占庭將軍問題1982，Lamport(SRI),Pease,Shostak幾個將軍圍困一座城池，大家必須商量一種策略，是進攻還是撤退。如果有的進攻，有的撤退就有可能打敗仗。條件是，有的將軍叛國，希望愛國的將軍打敗仗（破壞達成一致）。目標就是，有什么辦法使愛國的將軍在這種環(huán)境下達成一致？拜占庭將軍問題1982，Lamport(SRI),Pease24拜占庭將軍問題的抽象消息的傳送是可靠的；所有的將軍可以互相發(fā)消息，也可以傳遞消息比如，一個壞的將軍可以告訴將軍A“B要攻城”，并告訴將軍C“B要撤退”口頭消息模型和書寫消息模型目標是達成一致，而不是找背叛的將軍拜占庭將軍問題的抽象消息的傳送是可靠的；25口頭消息（無法自驗證的消息）解決的辦法：每個愛國者都采用多數(shù)人的意見ConsensusAlgorithm這要求：每個愛國者得到相同的表決面臨的問題就變?yōu)椋好總€愛國的將軍獲得的其他將軍的觀點是相同的（每個將軍都有一個其他將軍的決策）如果將軍i是愛國的，則其他將軍必須得到將軍i的真實決策口頭消息（無法自驗證的消息）解決的辦法：每個愛國者都采用多數(shù)26簡化問題決策是一個bit，YesorNo先解決一個發(fā)送者，n-1個接收者的同樣問題。問題簡化為：所有愛國的將軍得到的命令是相同的如果發(fā)命令者是愛國的，則所有愛國的接收者獲得真實的命令簡化問題決策是一個bit，YesorNo27一個簡單的例子一個發(fā)送者，兩個接收者，而其中一個是叛徒如果發(fā)送者是叛徒，他可以送0給接收者1而送1給接收者2。（條件1不滿足，必須繼續(xù)協(xié)商）對接收者1來說：發(fā)送者說是0，而接收者2說他發(fā)送的是1，誰是判國者呢？無法決策。一個簡單的例子一個發(fā)送者，兩個接收者，而其中一個是叛徒28增加一個將軍一個發(fā)送者，3個接收者，只有一個判國者發(fā)送者接收者1接收者2接收者3增加一個將軍一個發(fā)送者，3個接收者，只有一個判國者發(fā)送者接收29結論至少必須有2/3以上的將軍是愛國的才能達成一致。如果記容忍t個叛國者的協(xié)議叫t彈性協(xié)議，則：當n=3時，不存在1彈性協(xié)議當n>=1,不存在t>=n/3的t彈性協(xié)議結論至少必須有2/3以上的將軍是愛國的才能達成一致。30一般的拜占庭算法OM(0):發(fā)送者將其命令送給每個接收者每個接受者使用這個值，如果沒有收到就認為是“撤退”O(jiān)M(m),m>0發(fā)送者發(fā)送他的值給每個接收者如果第i個接收者獲得的值是vi，接收者i執(zhí)行算法OM(m-1)發(fā)送vi給n-2個其他的接收者第i個接收者會收到從不同n-1人發(fā)來的n-1個值，取多數(shù)認同的值就可以一般的拜占庭算法OM(0):31例子：入侵容忍的CA系統(tǒng)CA證明你就是你CA擁有巨大的權力CA將安全引到自己身上來，最需要保護CA是攻擊的重點，黑客證明他就是你惡意的操作員可以證明他就是你例子：入侵容忍的CA系統(tǒng)CA證明你就是你32所有者權利（假想的例子）CA操作員，能夠給總經(jīng)理發(fā)數(shù)字證書問題1：總經(jīng)理的職位是操作員定的？問題2：操作員是否有能力發(fā)一個假的證書某CA的員工正在給某省長發(fā)證書問題：省長的位置是誰任命的？CA系統(tǒng)中有木馬嗎？木馬能夠給自己發(fā)一個省長的證書嗎？所有者權利（假想的例子）CA操作員，能夠給總經(jīng)理發(fā)數(shù)字證書33密碼機加服務器的CA格局操作系統(tǒng)漏洞網(wǎng)絡漏洞內(nèi)部職員犯罪CA服務器密碼機密碼機加服務器的CA格局操作系統(tǒng)漏洞CA服務器密碼機34TwophaseschemeRAAgencyShareServer1KeyDistributorCombiner1ShareServer2ShareServer3ShareServer4ShareServer5ShareServer6RepositoryAgentCombiner2BroadcastingChannelB1BroadcastingChannelB2ChannelB3Combiner3TwophaseschemeRAAgencyShar35ZoneIsolatedSystemRAARAAShareServerShareServerShareServerCombinerCombinerCombinerRAARARARALDAP/WWWCertificateRepositoryDBAgentKernelAuditMandatory