拜占庭将军算法

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

网络的可生存性荆继武冯登国信息安全国家重点实验室提纲现有网络的安全问题旧的安全技术不能保证安全网络的可生存性问题可生存性技术新华网的几则消息钓鱼式网页欺诈一个邮件,告诉你银行网络要升级让输入帐号和密码等,输入完成后升级成功,帐户里的钱不见了。银行网站频现克隆(3/1)中国银行英文版遭人假冒,年底有两家,中国银联也被假冒网上银行不安全(2/17)病毒盗取密码,工行帐号内1000元被人盗走。律师称:银行没有责任。香港10月,23起假冒银行网案件,最大金额66万港元。电子政务面临的挑战民众调查一致地表示,安全和隐私保护一直是Internet用户最优先考虑的。然而许多政府网站却缺乏简单的隐私和安全策略。网上行为和信息的不安全妨碍了电子政务的开始PublicopinionsurveysconsistentlyidentifysecurityandprivacyissuesasaforemostconcernforInternetusers,yetmanygovernmentwebsitesfailtoreassurecitizenswithsimpleprivacyandsecuritypolicies.Uncertaintyoverthesecurityofonlineactivitiesandinformationwillhamperthetakeupofe-governmentGLOBALE-GOVERNMENTSURVEY2001/92:1选择放慢电子政务先解决安全10%20%12%24%25%34%35%53%16%55%38%66%Generalpublicextremelyconcerned(9-10,10-pointscale)GovernmentofficialsextremelyconcernedHackersbreakintogovernmentcomputersGov’temployeesmisusepersonalinformationLesspersonalprivacyPeoplewithoutInternetgetlessgov’tserviceGovernmentmoreimpersonalHardertogetanswerstoproblemPublicnamesimprovedsecurityastoppriorityforgovernmentWebpages.HART-TEETER/August2000现有的安全问题程序漏洞/错误缓冲区溢出蠕虫与病毒垃圾邮件网络欺骗(邮件/网站)僵尸网络(Botnet)现有网络的安全形势严峻安全事件频繁发生民意调查关注安全网络缺陷多攻击手段多安全问题复杂简单保护技术(修墙)的失败修得太小,好多东西没保住修得太大,内部问题一大堆修得再好,敌人就会有更好的手段大气层保护,不让人进入太空,还是进了水保护水下动物,人也下去了城墙修了,飞机可以飞过房子修了,X射线可以穿过是否有完美的保护系统?是否存在在任何条件下都完全正确的复杂逻辑设计(如CPU)?几百万门的复杂电路没有任何漏洞?是否存在没有错误的编码(如OS)?TCB的编码和设计可以做到万无一失?编写TCB的程序员绝对不会成为叛徒?集成电路的设计人员和软件都没有任何问题?只修墙不行!内部攻击,身份假冒存取控制内部系统用户鉴别/认证信息保障以检测为基础发现攻击,发现异常,发现死机以恢复为后盾大不了重新来过,全面恢复辅助以保护、响应等手段检测系统仍旧有魔高一丈的时候识别全部的入侵是困难的新的入侵方式内部职员的犯罪是很难预防的(高价值系统)技术人员犯罪(程序员,芯片设计人员)间谍,通过各种方式的渗透隐形飞机躲过雷达发现恢复技术不能胜任关键工作恢复的过程会影响系统的运行恢复不能恢复全部的服务数据恢复的系统仍旧是有漏洞的系统,仍旧会在敌人的同样攻击下倒下高价值的系统需要不间断运行依靠恢复不能满足关键应用高射炮系统正在恢复过去的技术不能保证安全网络不能没有病毒网络上不会没有黑客网络系统肯定存在漏洞/BUG管理员不能全部永远地忠诚生存性的定义当攻击,失效和事故发生的时候,系统在规定的时间内完成使命的能力。通信保密中的生存技术以单点密钥管理服务器为基础的加密系统攻击、打击或贿赂的重点整个系统安全完全依赖于密钥管理中心的安全成为权力超过司令部的机构普通结构的CA系统攻击、打击或贿赂的重点CA失效并不影响成员的安全通信成为权力等于司令部的机构入侵容忍的CA系统重点分散,攻击和贿赂困难部分系统失效并不影响系统运行权力分散,没有系统能够超越司令部所有系统都是生存系统微软的未加补丁的系统大约30分钟Linux大约2个小时……所有系统都具有生存性是否有生存能力的问题生存技术假设任何系统都可能坏掉我们的操作员可能会误操作(傻)操作员可能会被贿赂或背叛(腐败)系统本身可能就有木马程序系统可能会被黑客或病毒占领我们自己开发的系统可能有漏洞我们的开发人员可能会留下后门中国最需要入侵容忍系统(生存技术)入侵容忍的技术的可能性假设:个人的公开行为在一定的概率下是可预知的系统在一定的概率下能够正确完成基本的功能纠错理论的联想利用纠错码可以在一个错误百出但有信道容量的信道中准确无误地传输数据理论上的可行性容错理论,门槛密码,“拜占庭”技术生存技术的两种实现方式攻击响应的入侵容忍方法不需要重新设计系统高效的检测系统,发现异常资源配置系统,调整系统资源修补系统,对错误进行修补攻击遮蔽的入侵容忍方法重新设计整个系统冗余、容错技术门槛密码学技术“拜占庭”技术例子:生存性网关外网实时监控器模型产生器安全网关内网数据库例子:ITDB拜占庭将军问题1982,Lamport(SRI),Pease,Shostak几个将军围困一座城池,大家必须商量一种策略,是进攻还是撤退。如果有的进攻,有的撤退就有可能打败仗。条件是,有的将军叛国,希望爱国的将军打败仗(破坏达成一致)。目标就是,有什么办法使爱国的将军在这种环境下达成一致?拜占庭将军问题的抽象消息的传送是可靠的;所有的将军可以互相发消息,也可以传递消息比如,一个坏的将军可以告诉将军A“B要攻城”,并告诉将军C“B要撤退”口头消息模型和书写消息模型目标是达成一致,而不是找背叛的将军口头消息(无法自验证的消息)解决的办法:每个爱国者都采用多数人的意见ConsensusAlgorithm这要求:每个爱国者得到相同的表决面临的问题就变为:每个爱国的将军获得的其他将军的观点是相同的(每个将军都有一个其他将军的决策)如果将军i是爱国的,则其他将军必须得到将军i的真实决策简化问题决策是一个bit,YesorNo先解决一个发送者,n-1个接收者的同样问题。问题简化为:所有爱国的将军得到的命令是相同的如果发命令者是爱国的,则所有爱国的接收者获得真实的命令一个简单的例子一个发送者,两个接收者,而其中一个是叛徒如果发送者是叛徒,他可以送0给接收者1而送1给接收者2。(条件1不满足,必须继续协商)对接收者1来说:发送者说是0,而接收者2说他发送的是1,谁是判国者呢?无法决策。增加一个将军一个发送者,3个接收者,只有一个判国者发送者接收者1接收者2接收者3结论至少必须有2/3以上的将军是爱国的才能达成一致。如果记容忍t个叛国者的协议叫t弹性协议,则:当n=3时,不存在1弹性协议当n=1,不存在t=n/3的t弹性协议一般的拜占庭算法OM(0):发送者将其命令送给每个接收者每个接受者使用这个值,如果没有收到就认为是“撤退”OM(m),m0发送者发送他的值给每个接收者如果第i个接收者获得的值是vi,接收者i执行算法OM(m-1)发送vi给n-2个其他的接收者第i个接收者会收到从不同n-1人发来的n-1个值,取多数认同的值就可以例子:入侵容忍的CA系统CA证明你就是你CA拥有巨大的权力CA将安全引到自己身上来,最需要保护CA是攻击的重点,黑客证明他就是你恶意的操作员可以证明他就是你所有者权利(假想的例子)CA操作员,能够给总经理发数字证书问题1:总经理的职位是操作员定的?问题2:操作员是否有能力发一个假的证书某CA的员工正在给某省长发证书问题:省长的位置是谁任命的?CA系统中有木马吗?木马能够给自己发一个省长的证书吗?密码机加服务器的CA格局操作系统漏洞网络漏洞内部职员犯罪CA服务器密码机TwophaseschemeRAAgencyShareServer1KeyDistributorCombiner1ShareServer2ShareServer3ShareServer4ShareServer5ShareServer6RepositoryAgentCombiner2BroadcastingChannelB1BroadcastingChannelB2ChannelB3Combiner3ZoneIsolatedSystemRAARAAShareServerShareServerShareServerCombinerCombinerCombinerRAARARARALDAP/Questions/comments?

1 / 38
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功