1.7 定义
安全工程中使用的很多术语都比较直观,但是也有些术语容易引起误解,甚至产生争议。在相关的章节中对技术术语有更详细的定义,你可以使用索引找到这些内容。本节将试着指出主要问题在哪里。
首先要阐明系统(system)的含义。在实践中,系统可以表示:
(1) 一种产品或者组件,比如加密协议、智能卡或者PC硬件。
(2) 上述内容加上操作系统、通信系统和其他集合,一起构成组织的基础设施。
(3) 上述内容加上一个或多个应用程序(媒体播放器、浏览器、字处理程序、账号/工资表管理软件等)。
(4) 上面的任何一种或者全部,再加上IT员工。
(5) 上面的任何一种或者全部.再加上内部用户和管理。
(6) 上面的任何一种或者全部,再加上客户和其他外部用户。
上述定义之间的混淆容易造成多种错误与弱点。一般来说,供货商和评估者主要关心其中的第一种,偶尔也关心第二种,而商行则会关注第六种,偶尔也关注第五种。我们将遇到很多系统实例,这些系统都宣称是安全的,甚至因为硬件而被认证为安全的,但在运行某个特定的应用程序时,或设备未以设计者预期的方式使用时,安全性就会被严重破坏。忽略人为因素,因而忽略可用性问题,是导致安全失败的最主要原因之一。因此,我们一般将使用第六种定义,当采取更受限的视角时,其含义应当可以根据上下文明确出来。
另一组问题来源于对使用者是谁及他们试图证明什么缺乏明确性。在安全和密码学的文献中,有一个惯例是通过取首字母连续的名字来确定安全协议里的主体,这与飓风的命名非常类似,所以我们可以看到很多诸如此类的语句:“Alice向Bob证实了自己的身份”。这种语句具有很好的可读性,但是经常牺牲了精确性。我们的意思是Alice向Bob证明她的名字确实是Alice,还是她证明自己已经获取了某种特定凭据?这种身份验证是由Alice本人来完成的,还是通过智能卡或者软件工具担当Alice的代理?如果是那样的话,我们能肯定是Alice,而不是借了Alice的智能卡的Cherie,或者是偷了Alice的智能卡的David,甚至是入侵了她电脑的Eve吗?
我用主题(subject)来代表自然人(人、ET……),其角色任意,包括操作员、主体或受害人;人(person)则既代表自然人,也代表公司这样的法人。
主体(principal)是一个参与到安全系统的实体。这个实体可以是一个主题、人、角色或一个设备,比如PC、智能卡或读卡器终端。主体也可以是一个通信信道(根据具体场景,可以是端口号或者密钥)。主体还可以是其他主体的复合体,例如组(Alice或Bob)、联合(Alice与Bob共同行动)、复合角色(Alice担任Bob的经理)和委托(Alice缺席时由Bob代理)。注意,组和角色是不一样的。组(group)指的是主体的集合,而角色(role)则是由不同人先后承担的一组职责(例如“尼米兹号航空母舰的值班船员”、“冰岛医学会的临时主席”)。可以在多个抽象层次上考虑主体:比如,“Alice缺席时由Bob代理”可能意味着“Bob的智能卡表示Alice缺席时代理她的Bob”,或者是“Bob在Alice缺席时使用她的智能卡”。当需要考虑更多细节的时候,我将会更具体地加以说明。
身份(identity)这个词的含义是有争议的。在必须小心使用的时候,我将使用它来表示两个主体的名字之间的对应关系,该对应关系表明它们指代的是同一个人或设备。比如,有可能确定“Alice是Bob的经理”中的Bob与“Bob是Charlie的经理”、“Bob作为部门经理与David共同签署了银行汇票”中的Bob是同一个人会很重要。身份常常被滥用为仅仅意味着“名字”,这种滥用由于“用户身份”和“居民身份证”等短语而难以改变。在不会引起歧义的地方,为了避免过于华丽,我有时会使用这种白话文的用法。
信任(trust)与可信任(trustworthy)的定义常常被混淆。下面的实例可以展示两者的差别:如果有人看到一位国家安全局的工作人员在华盛顿国际机场的洗手间向某国外交官出售密钥材料(假设他的行为是未经授权的),我们将他描述为“受信任但不是可信任”。在这以后,本书会使用NSA(国家安全局)的定义,受信任(trusted)的系统或者组件的失败会破坏安全策略,而可信任(trustworthy)的系统或者组件是不会失败的。
但要注意,信任还有很多可替换的定义。英国军事观点强调可审计性与失败安全属性:受信任的系统单元是那些“无法在工作时通过外部观察其行为来确定其完整性”的单元。其他的定义一般与某个特定系统是否被权威机构认可有关:受信任的系统可能是“如果在我的看守下它被入侵,不会使我被解雇的系统”,或者甚至是“我们可以确保的系统”。我将不会用这两个定义。当所指的系统不是失败自明的(failure-evident)、被认可的、被确保的系统时,我将会这样说。
1. 有些“人”并不是实际的人,这可能让人困惑,不过这已经被确立:这要归咎于律师。
