安全通论---刷新您的安全观念杨义先,教授北京邮电大学信息安全中心yxyang@bupt.edu.cn1本讲座的目的•让各位专家同行检验《安全通论》的正确性,并对它进行广泛的批评和指正;•让尽可能多的人知道:网络空间安全一级学科也是有基础支撑理论的!•最希望能够,通过本次讲座,吸引尽可能多的学生和青年教师,进入《安全通论》研究领域,大家一起开创全新的理论体系。相信,这是一个尚未开发的金矿,一定有许多重要成果在等待大家!•本讲座分两大部分:宏观简介+细节讲解2为什么说是一个金矿•通信工程中“信息论”的类比;•计算机工程中“冯.诺依曼”理论的类比;•全球安全的长期积累,已经到了从量变到质变的关键时期了,全球安全界需要“安全通论”,而且,产生“安全通论”的时机也可能快成熟了,如果大家能够抓住这个大好时机,也许你就是下一个“仙农”或“冯.诺依曼”!•我会全心全意为大家服务,支持大家成功3《安全通论》宏观简介(1)•首先瞄准《安全通信》的四块重要基石–安全经络:什么是安全?–安全攻防:什么是攻防?–黑客:什么是黑客?–红客:什么是红客?•相关的初步结果,已经以九篇论文的形式,在科学网的博客上,以杨义先的实名发表。欢迎大家批评指正。《安全通论》宏观简介(2):参考文献–安全通论(1)之“经络篇”,–安全通论(2):攻防篇之“盲对抗”,–安全通论(3):攻防篇之“非盲对抗”之“石头剪刀布游戏”,–安全通论(4):攻防篇之“非盲对抗”之“童趣游戏”,–安全通论(5):攻防篇之“非盲对抗”收官作及“劝酒令”,–安全通论(6):攻防篇之“多人盲对抗”,–安全通论(7):黑客篇之“战术研究”,–《安全通论》(8):黑客篇之“战略研究”,–《安全通论》(9):红客篇,见科学网实名博客,宏观简介《安全通论》之经络篇(1)•“安全”是很主观的概念,与“角度”密切相关•“安全”是一个与时间密切相关的概念•“安全”是一个与对象密切相关的概念•“不安全性”遵从热力学第二定律,即,有限系统的“不安全”概率将越来越大,而不会越来越小(除非有外力,比如,采取了相应的安全加固措施等);或者说“安全”与“信息”一样都是负熵。中医核心理论:通则不痛,痛则不通•问:通什么?答:通经络!•问:人有病理经络,难道网络空间也有安全经络?答:是的,我们已经用数学方法严格证明了:所有有限系统,包括网络空间,都存在安全经络!而且,只要对经络末梢(元诱因)扎针灸,就可“包治百病”!有限系统的不安全经络图几点特别说明•此处虽然证明了有限系统的“安全经络图”是存在的,但是,并未给出如何针对具体的系统,来绘制其安全经络图,估计未来的学者们也不得不花费巨大的精力,针对具体系统来绘制具体的经络图。•绘制经络图绝非易事,想想看,为了绘制人体经络图,中医界的祖先们奋斗了数千年!因此,别指望在短期内就绘制出“网络空间安全经络图,虽然该图肯定存在。宏观简介《安全通论》之经络篇(2)•任何有限系统,都存在一套完整的“经络树”,使得系统的任何“病痛”,都可以按如下思路进行有效“医治”:首先梳理出“经络树”中“受感染”的带病“树枝”体系,然后,对该“树枝”末梢上的“带病树叶”(“穴位”或“元诱因”)进行“针灸”。医治好“病叶”后,与这些“病叶”相连的“树枝”就治好了;医治好所有“病枝”后,与这些“病枝”相连的“树干”就治好了;医治好所有“病干”后,整棵“经络树”就医治好了,从而,系统的“病痛”就治好了。宏观简介《安全通论》之攻防篇(1)•攻防分为两大类:盲攻防、非盲攻防。–所谓“盲攻防”,意指每次攻防后,双方都只知道自己的损益情况,而对另一方却一无所知;比如,大国博弈、网络攻防、实际战场、间谍战、泼妇互骂等都是“盲攻防”的例子。–所谓“非盲攻防”,意指每次攻防后,双方都知道本次攻防的结果,而且还一致认同这个结果;比如,石头剪刀布游戏、下棋、炒股等都是“非盲攻防”的例子。宏观简介《安全通论》之攻防篇(2)•盲攻防:攻防的可达理论极限!•若黑客想“真正成功”地把红客打败k次,那么,一定有某种技巧,使他能够在k/C次进攻中,以任意接近1的概率达到目的;如果黑客经过n次攻击,获得了S次“真正成功”,那么,一定有S≤nC。这里C是“攻击信道”的信道容量。•若红客想“真正成功”地把黑客挡住R次,那么,一定有某种技巧,使得他能够在R/C次防御中,以任意接近1的概率达到目的。反过来,如果红客经过N次防卫,获得了R次“真正成功”,那么,一定有R≤ND。这里D是“防御信道”的信道容量。•如果CD,那么黑客输;如果CD,那么红客输;如果C=D,那么,红黑实力相当([2])宏观简介《安全通论》之攻防篇(3)•非盲攻防–针对国际著名的“石头剪刀布游戏”[3]、国内家喻户晓的“猜正反面游戏”和“手心手背游戏”[4]和酒桌上著名的划拳和猜拳游戏([5])等,得到了相应的可达理论极限结果。并据此设计了一种有趣的“猜心术”游戏–特别是文献[5],在“输赢规则线性可分情况”精确给出了对抗双方的理论极限能力值!详见如下:宏观简介《安全通论》之攻防篇(4)•线性非盲对抗极限定理–在“非盲对抗”中,设黑客X共有n种攻击法{x0,x1,…xn-1}={0,1,2,…,n-1};设红客Y共有m种防御法{y0,y1,…ym-1}={0,1,2,…,m-1},又设红黑双方约定的输赢规则是:“xi胜yj”当且仅当(i,j)∈H。这里H是矩形集合{(i,j),0≤i≤n-1,0≤j≤m-1}的某个子集。宏观简介《安全通论》之攻防篇(5)•线性非盲对抗极限定理(续1)–如果H关于黑客X是线性的,即,H可以表示为H={(i,j):i=f(j),0≤i≤n-1,0≤j≤m-1}(即,H中第一个分量i是其第二个分量j的某种函数f(.)),那么,便可以构造一个信道(X;Z),其中Z=f(Y),使得:若C是信道(X;Z)的信道容量,那么:•如果黑客想赢k次,那么,他一定有某种技巧(对应于仙农编码),使得他能够在k/C个回合中,以任意接近1的概率达到目的。•如果黑客在n个回合中,赢了S次,那么,一定有S≤nC。宏观简介《安全通论》之攻防篇(6)•线性非盲对抗极限定理(续2)–如果H关于红客Y是线性的,即,H可以表示为H={(i,j):j=g(i),0≤i≤n-1,0≤j≤m-1}(即,H中第二个分量j是其第一个分量i的某种函数g(.)),那么,便可以构造一个信道(Y;G),其中G=g(X),使得:若D是信道(Y;G)的信道容量,那么有:•如果红客想赢k次,那么,他一定有某种技巧(对应于仙农编码),使得他能够在k/D个回合中,以任意接近1的概率达到目的。•如果红客在n个回合中,赢了S次,那么,一定有S≤nD。宏观简介《安全通论》之攻防篇(7)•两位黑客X1和X2独立地攻击一位红客Y。如果,在n个攻防回合中,红客成功防御第一个黑客r1次,成功防御第二个黑客r2次,那么,一定有:0≤r1≤n[maxXI(X1;Z│X2)],0≤r2≤n[maxXI(X2;Z│X1)],0≤r1+r2≤n[maxXI(X1,X2;Z)].宏观简介《安全通论》之攻防篇(8)–而且,上述的上限是可达的,即,红客一定有某种最有效的防御方法,使得在n次攻防回合中,红客成功防御第一个黑客r1次,成功防御第二个黑客r2次,的成功次数r1和r2达到上限:r1=n[maxXI(X1;Z│X2)],同时r2=n[maxXI(X2;Z│X1)]以及r1+r2=n[maxXI(X1,X2;Z)]。再换一个角度,还有:–如果红客要想成功防御第一个黑客r1次,成功防御第二个黑客r2次,那么,他至少得进行max{r1/[maxXI(X1;Z│X2)],r2/[maxXI(X2;Z│X1)],[maxXI(X1,X2;Z)]}次防御。宏观简介《安全通论》之攻防篇(9)•m个黑客X1、X2、…、Xm独立攻击一个红客Y。–如果,在n个攻防回合中,红客成功防御第i个黑客ri次,1≤i≤m,那么,一定有r(S)≤n[I(X(S);Z│X(Sc))],对{1,2,…,m}的所有子集S。这里r(S)=∑i∈Sri。而且,该上限是可达的,即,•红客一定有某种最有效的防御方法,使得在n次攻防回合中,红客成功防御黑客集S的次数集合r(S),达到上限:r(S)=n[I(X(S);Z│X(Sc))],对{1,2,…,m}的所有子集S。再换一个角度,还有:–如果红客要想实现成功防御黑客集S的次数集合为r(S),那么,他至少得进行max{r(S)/[I(X(S);Z│X(Sc))]}次防御。宏观简介《安全通论》之攻防篇(10)•一个黑客攻击多个红客(比如,同时攻击主备份系统等)–一个黑客X=(X1,X2)同时攻击两个红客Y1和Y2,如果在某个回合中黑客攻击成功,那么,1比特信息就在上述2-输出广播信道(攻击信道)G中被成功传输,反之亦然–一个黑客X=(X1,X2,…,Xm)同时攻击m个红客Y1、Y2、…、Ym,如果在某个回合中黑客攻击成功,那么,1比特信息就在上述m-输出广播信道(攻击信道)H中被成功传输,反之亦然宏观简介《安全通论》之黑客篇(1)•经济黑客:只关注自己能否获利,并不在乎是否伤及对方。其目标是:以最小的开销来攻击系统,并获得最大的收益。只要准备就绪,经济黑客随时可发动进攻。•政治黑客:不计代价,一定要伤及对方要害,甚至有时还有更明确的攻击目标,不达目的不罢休。•时间黑客:希望在最短的时间内,攻破红客的防线,而且,使被攻击系统的恢复时间尽可能地长。宏观简介《安全通论》之黑客篇(2)•经济黑客的静态形象–其实是一个离散随机变量X来描述,这里X的可能取值为{1,2,…,n},概率Pr(X=i)=pi,并且,p1+p2+…+pn=1。•经济黑客的最佳动态攻击战术–当黑客的资源投入比例为其静态概率分布值时,黑客的“黑产收入”达到最大值。特别是,在投入产出比均匀的前提下,黑客X的熵若减少1比特,那么,他的“黑产收入”就会翻一倍,换句话说,若黑客X的熵H(X)越小,那么,他就越厉害,他能够通过攻击行为获得的“黑产收入”就越高!(详见[7]):宏观简介《安全通论》之黑客篇(3)•经济黑客的战略配置策略(1)–设黑客欲攻击的m个系统的收益列向量X=(X1,X2,…,Xm)t服从联合分布F(x),即,X~F(x)。那么,该黑客的攻击组合b*是对数最优(即,使得增长率W(b,F)达到最大值的攻击组合)的充分必要条件是:当b*i0时,E[Xi/(b*tX)]=1;当b*i=0时,E[Xi/(b*tX)]≤1。宏观简介《安全通论》之黑客篇(4)•经济黑客的战略配置策略(2)–如果采用对数最优的攻击组合策略,那么,对于每个系统的攻击投入,所获得的收益比例的期望值,不会在此轮攻击结束后而变化,即,–设S*=b*tX是对应于对数最优攻击组合b*的黑客收益,令S=btX是对应于任意攻击组合b的随机收益,那么,对所有的S有E[log(S/S*)]≤0当且仅当对所有S有E(S/S*)≤1。