隐私和信息安全要研究理论（120709）

闵应骅

      Proceedings of IEEE第100卷的百年纪念特刊上，还发表了一篇特邀文章“Privacy  and Cybersecurity: The Next 100 Years”。毫无疑问，这也是一篇重量级的文章。首先一个问题是：为什么隐私和信息安全要捆绑在一起？所谓隐私，就是个人有权决定私人数据是否授权使用。如果数据的安全性（机密性、完整性、可用性）得不到保证，对数据的控制只能是一种幻觉，人们就会感到不安全。在国内，由于泄漏隐私导致信息安全威胁的例子已经很多了。

    本文首先介绍该文关于安全性的精确定义的问题。这是国人很关心的，看看人家怎么理解信息安全性。一般人理解的信息安全是很广泛而普适的。但是，从科学的观点看，没有绝对的安全概念。任何有关系统安全性的论述必然要牵涉到系统的特性、精确的威胁模型和我们希望得到保证的条件。以密码为例，我们必须明确以下三点：

1．  系统模型

必须有一个所论系统的清楚的定义，包括详细说明在预期工作条件下和非预期工作条件下的系统行为。当然，这种系统模型可以用不同的方式形式化。譬如用一个数学公式描述加密函数；一个软件系统的源程序；或者系统各状态和状态转换的形式规格说明。

2．  威胁模型

必须清楚地确定攻击者的计算资源和对系统的存取权限。譬如，一个密码对手可以获得加密信息，而且有一定的计算时间去解码。一个操作系统的对手能在用户进程中设置恶意代码，但不能修改操作系统内核。一个Web对手被允许建立恶意的网站，但不能在网络上窃听。这些假定就是所谓威胁模型。不能把威胁者描述为无所不能。

3．  安全特性

安全的目的必须形式化为安全特性，说明我们希望防止什么样的攻击。这些性质必须紧密联系系统模型，能清楚判断系统在用户和攻击者的操纵下，安全特性是否能保持。

    这个定义说明：你不能笼统地要求安全，不能对攻击者一无所知，不管他怎么攻击都能保证安全。如果系统模型、威胁模型和安全特性为已知，我们就可以确定系统在这些条件下是否安全。就是说，如果系统设计保证了所要求的安全特性，那末，对于攻击者按照威胁模型所可能采取的任何恶意操作，我们都将是安全的。

    安全特性包括机密性（无机密信息被泄露）、完整性（攻击者无法破坏系统有意义的操作条件）、可用性（攻击者不能让系统对有效用户无法工作）。但是，现在并没有理论说明为什么这些性质是安全特性，而且，也没有标准方法把一个给定的特性分解为这三种特性的组合。

    过去的一些安全措施既不见得最优，也不一定真正安全。以认证加密为例，目的是保证机密性和完整性，防止网络攻击者和窃听者能够在信息传送过程中篡改信息。一个办法是用消息认证码（MAC），它能提供消息的完整性，但不能保证机密性。第二个办法是精选的纯文本安全加密（CPA），它对偷听提供机密性，但不能保证攻击者篡改信息流。直观地看，把这两个办法组合起来就能提供机密性和完整性。但是，怎么组合呢？现在有三种广泛采用的系统：传输层安全（TLS）；因特网安全协议（IPsec）；和安全壳（SSH）。TLS是保护Web信息流的安全协议；IPsec是用于在公用因特网上创建私人隧道的协议；SSH是为远程登录的安全协议。这三种办法非常不同。谁是对的？它们都能保证安全吗？可以证明：IPsec对任何MAC和CPA安全加密都提供认证加密；而TLS并不安全，但对随机计数模式的加密，即使对弱安全MAC，它可以提供认证加密；SSH对特定的MAC是安全的，对通用MAC并不安全。如果考虑有效性，用分组密码，比TLS和IPsec要快两倍。

    说这么多技术名词，不搞网络的读者不一定有兴趣。我想说明，保证安全的措施要有理论证明。不能说我想出一个办法，说它能保证安全就安全了。要搞理论证明，就必须严密精确的定义安全问题，包括系统模型、威胁模型和安全特性。我们要证明的不同于密码学的命题，而是网络安全。可我们现在不是这么搞法的。对安全技术有兴趣的读者，请参见Proceedings of the IEEE | Vol. 100, May 13th, 2012，pp.1659-1673。我不能附件全文，因为怕侵犯版权。

转载本文请联系原作者获取授权，同时请注明本文来自闵应骅科学网博客。
链接地址：https://m.sciencenet.cn/blog-290937-590401.html

上一篇：为什么有些技术我们起步不晚而后进？（120702）
下一篇：信息安全形势到底紧张不紧张？（120711）