信息安全管理機制設(shè)計*

韓文英，李 娟

0 引 言

從根本上看，信息安全風險發(fā)生的根源在于攻擊者對系統(tǒng)的不斷攻擊。因此，只有抑制其攻擊，才能從根本上消除信息安全風險發(fā)生。然而，信息安全事件的攻守雙方在攻擊過程中的目標都是使自己的效用最大化。只是對于不同類型的攻擊者和防御者，由于其效用函數(shù)不同，攻擊的決策過程和決策結(jié)果自然也不同[1]。因此，單獨依靠技術(shù)手段并不能完全有效地控制和實現(xiàn)信息安全，還應(yīng)進一步使用博弈論方法，根據(jù)具體的信息安全技術(shù)管理控制措施，建立攻擊者行為與系統(tǒng)防御措施之間的聯(lián)系，并通過攻擊者與防御者之間的依賴關(guān)系推導(dǎo)攻擊者的策略，同時驗證控制策略和協(xié)議的有效性和可行性[2]。

攻擊者和防御者之間的風險控制問題其實就是防御者作為委托人、攻擊者作為代理人的委托代理問題。解決此類問題時，必須要根據(jù)防御者具體的防御措施，設(shè)計出相應(yīng)的防御機制，使攻擊者或因成本過高或因效用降低而放棄進攻或無法進行正常的進攻計劃，同時又不影響企業(yè)或用戶對信息系統(tǒng)的正常使用[3]，從而從根本上消除信息安全風險的發(fā)生。

本文的信息安全管理機制設(shè)計，建立在企業(yè)對用戶及其他企業(yè)身份認證的基礎(chǔ)上，通過身份認證中對于用戶的識別，改變非法用戶的相關(guān)效用函數(shù)，進而阻止非法用戶的攻擊。

1 基本假設(shè)

根據(jù)身份認證過程及涉及到的參與方，本次討論將涉及三方：企業(yè)服務(wù)器、合法用戶（即防御者）和攻擊者。

首先，對于假設(shè)的身份認證過程和攻擊發(fā)生后的一些具體情況作以下相關(guān)規(guī)定：

（1）攻擊者無權(quán)也沒有能力去修改合法用戶與服務(wù)器之間傳輸?shù)南嚓P(guān)信息，但攻擊者能簡單破壞這些信息或者因為某些攻擊手段而使這些信息超時而被丟棄，本文假設(shè)最簡單的攻擊形式；

（2）在有攻擊發(fā)生時，服務(wù)器允許攻擊者通過身份驗證而受到破壞，同時會拒絕合法用戶正常的身份認證請求。

對于博弈參與方的假設(shè)：

（1）假設(shè)每個處理請求的服務(wù)器有一個等待隊列，當一個服務(wù)器提供請求的服務(wù)給用戶時，它能夠從中獲得相應(yīng)的回報；

（2）合法用戶希望能夠進入服務(wù)隊列并獲得服務(wù)，用戶請求將會被分配到服務(wù)器的等待隊列中，而當服務(wù)器滿時，新的服務(wù)請求將會被拒絕；

（3）攻擊者的目的是為了占據(jù)隊列中的位置，使正常用戶的信息超時丟棄，以便阻礙正常用戶與網(wǎng)絡(luò)各節(jié)點之間的正常通信。

2 機制設(shè)計

博弈過程中，由于服務(wù)器并不了解合法用戶和攻擊者本身，造成博弈過程中的信息具有不對稱性。這是由于服務(wù)器缺乏關(guān)于用戶和攻擊者足夠的信息，而攻擊者有動機隱藏其惡意意圖，服務(wù)器不了解提交的服務(wù)請求類型。這種情況下，必須建立相應(yīng)的防御機制，以減小信息不對稱帶來的不良影響，并幫助用戶正常得到請求的服務(wù)，阻止攻擊者對系統(tǒng)發(fā)起攻擊。要達此目的，必須設(shè)法區(qū)分合法用戶和攻擊者，或通過效用的區(qū)分和設(shè)計，使攻擊者自動放棄攻擊或者達不到其攻擊目的[4]。

為了達此目的，仿照Client Puzzle協(xié)議，在服務(wù)器對用戶身份認證前，加進一個產(chǎn)生puzzle的服務(wù)器。用戶要獲得服務(wù)器的身份認證請求，必須要解答響應(yīng)的puzzle，進而通過設(shè)置puzzle的難度即設(shè)置puzzle的拍賣機制，達到上述目的[5]。

設(shè)計機制時，假設(shè)服務(wù)器可提供不同難度的puzzle。puzzle的難度越高，對應(yīng)的服務(wù)優(yōu)先級越高，求解時需要消耗的時間和精力越多。雖然用戶和攻擊者可選擇不同難度的puzzle，但都存在著如何均衡puzzle求解開銷與爭取服務(wù)優(yōu)先級的問題。而目的和動機的不同，使他們都不會從對方角度出發(fā)對服務(wù)器系統(tǒng)提交請求。通過對不同均衡的求解，合法用戶和攻擊者可以根據(jù)自己的需求選擇不同的策略。因此，設(shè)計機制時，puzzle的難度成為最關(guān)鍵的變量。

根據(jù)設(shè)計，在系統(tǒng)中設(shè)置一個puzzle控制器來區(qū)分合法用戶和攻擊者。Puzzle控制器包括兩部分：一個用來產(chǎn)生puzzle和相應(yīng)的答案，另一個用來驗證服務(wù)申請者提交的答案是否有效。當服務(wù)器產(chǎn)生和驗證一個puzzle時，不需要與服務(wù)器之間保持數(shù)據(jù)通信。用戶求解過程中不能從其他用戶處獲得幫助，所以相同的puzzle可以發(fā)給不同的用戶。

在此防御機制中，各參與方可根據(jù)效用選擇puzzle難度。通過puzzle的形成機制和重發(fā)機制設(shè)計投標策略，合法用戶和攻擊者需要利用最小的資源消耗獲得服務(wù)。具體而言，一個用戶在發(fā)送第一個服務(wù)請求時不需要求解任何puzzle，則可認為此事的求解難度為零。如果此時服務(wù)請求被拒絕，則用戶可在下次重發(fā)時增加投標難度即解題難度。求解puzzle的代價將隨著puzzle難度的增加而增加。當難度為零時，用戶無須付出計算代價就可獲得服務(wù)；而當難度超過用戶能力時，用戶將會放棄服務(wù)請求。此過程將以用戶成功獲得服務(wù)或者由于計算代價超過自身最大的限制Vc而結(jié)束。

當一個服務(wù)請求者向服務(wù)器提交服務(wù)請求時，服務(wù)器將周期發(fā)送隨機數(shù)Ns，并選擇一個請求者選擇的m難度的puzzle發(fā)送給服務(wù)請求者。服務(wù)器將周期性地（時間間隔為Ts）隨機改變Ns來避免攻擊者使用過去的解答結(jié)果，或提前進行解答操作。對應(yīng)于某一特定Ns的答案，將被服務(wù)節(jié)點存儲起來，以防被重復(fù)使用。

如果服務(wù)請求者是合法用戶，則其在獲得隨機數(shù)Ns時產(chǎn)生隨機數(shù)Nc，并求解出答案X。在接到服務(wù)器信息后，它應(yīng)該滿足哈希函數(shù)h(C,Nc,Ns,X )。其中，C表示用戶的身份信息。如果用戶得出了對應(yīng)于Ns的正確答案，則可能獲得服務(wù)。用戶身份被包括在哈希函數(shù)的輸入信息中，可防止用戶解完puzzle后去幫助其他用戶計算求解。另外，用戶在求解同一個puzzle時，將產(chǎn)生一個新的Nc，用戶能夠重復(fù)使用Ns。于是，Nc還可防止攻擊者冒充用戶身份求解用戶的puzzle。

此外，當發(fā)生下面兩種情況時，用戶可能會放棄繼續(xù)對服務(wù)的請求：一是求解的累積花費超過可承受的限度Vc；二是當申請的累積時間超過限定的時間Ts。

3 防御機制的分析

Puzzle拍賣機制最關(guān)鍵是puzzle難度變量的設(shè)計。設(shè)置怎樣難度的puzzle，才能有效制止攻擊者的攻擊且不妨礙正常用戶使用系統(tǒng)呢？

假設(shè)攻擊者意欲攻擊n個服務(wù)器，且每個攻擊者和用戶在解答相同難度的puzzle時具有相同的執(zhí)行能力。假設(shè)攻擊者求解puzzle的速率為λ，且求解單位難度puzzle的時t服從指數(shù)分布，其密度函數(shù)如下：

這樣攻擊者總的求解速率為nλ。由于解決puzzle難題需要消耗資源，且難度越大消耗越多，因此假設(shè)用戶由難度0開始投標，且通常的序列為(0,1,2,…,m)。用戶首先在不解題的情況下申請服務(wù)。如果被拒絕，則其要繼續(xù)投標難度為1的puzzle。因此，一個用戶要投標到難度為m的puzzle才能獲得服務(wù)。為了阻止用戶獲得服務(wù)，攻擊者必須投標L次，并求解難度為m+1的puzzle。攻擊者成功投標L次時，將完成的計算量是問題的重點。Xim是隨機變量，用來表示在L個投標中的第i個難度為m的投標，可表示為X1m,X2m,…,XLm。當L很大時，攻擊者解L個難度為m的puzzle的平均時間為：

為了用戶可以得到服務(wù)，假設(shè)當用戶求解難度為m的puzzle時，攻擊者由于消耗的代價過大而放棄攻擊。在此機制中，對用戶必須滿足參與約束與激勵相容約束。用戶的參與約束即用戶的期望效用，不應(yīng)該為負；用戶的激勵相容約束則是在解相同難度的puzzle時，攻擊者期望的效用為負，因此用戶沒有動機去做攻擊者。所以，合法用戶的約束條件為：

其中，uc為用戶獲得服務(wù)后所得到的效用，pc為用戶在m次請求后獲得服務(wù)的概率，cc(i)為用戶求解一難度為i的puzzle的代價，ua為攻擊者成功阻止用戶獲得服務(wù)時的效用，pa為用戶在m次請求后仍然沒有獲得服務(wù)的概率，ca(i)為攻擊者求解難度為i的puzzle時的花費。

設(shè)置此防御機制的另一目的是消耗最小的時間和精力成本，即選擇難度最小的puzzle來滿足這些條件，也即求解在參與約束和激勵約束條件下的最小的m值：

進一步化簡成關(guān)于m的不等式為：

設(shè)a是求解單位難度puzzle的開銷，推導(dǎo)可得：

當m≥m*時，合法用戶的期望效用為正，而攻擊者的期望效用為負，這時合法用戶可以解難度為m*的puzzle以獲得服務(wù)。當其余參數(shù)值確定的情況下，可推導(dǎo)出m*的精確值，用戶就可以參考m*的值做出自己的決策。

4 結(jié) 語

此策略的身份認證中，合法用戶可以根據(jù)上述確定參數(shù)的結(jié)果來選擇自己的策略，以獲得正常的服務(wù)，同時也抵御了信息安全風險中攻擊者的攻擊，可以為網(wǎng)絡(luò)服務(wù)的可用性提供有力保障。另外，此防御機制的制定可以應(yīng)用到其他攻擊防御模型，同樣設(shè)定攻擊者和防御者都追求效用最大化，通過設(shè)置參數(shù)的難度改變攻擊者的效用問題，使得攻擊者因為效用問題而自動放棄攻擊，進而從根本上解決攻擊者對信息系統(tǒng)的攻擊。

[1] Sagduyu Y,Berry R,Ephremides A.MAC Games for Distributed Wireless Network Security with Incomplete Information of Selfish and Malicious User Types[C].In Proceedings of the IEEE International Conference on Game Theory for Networks (GameNets),2009.

[2] Reidt S,Srivatsa M,Balfe S.The Fable of the Bees:Incentivizing Robust Revocation Decision Making in Ad Hoc Networks[C].In Proceedings of ACM Conference on Computer and Communications Security (CCS),2009.

[3] Zhu Q,Li H,Han Z,et al.A Stochastic Game Model for Jamming in MultiChannel Cognitive Radio Systems[C].In Proceedings of the IEEE International Conference on Communications (ICC),2010.

[4] 石進,陸音,謝立.基于博弈理論的動態(tài)入侵響應(yīng)[J].計算機研究與發(fā)展,2008,45(05):747-757.SHI Jin,LU Yin,XIE Li.Dynamic Intrusion Response Based on Game Theory[J].Journal of Computer Research and Development,2008,45(05):747-757.

[5] 姜偉,方濱興,田志宏等.基于攻防博弈模型的網(wǎng)絡(luò)安全測評和最優(yōu)主動防御[J].計算機學(xué)報,2009,32(04):817-827.JIANG Wei,FANG Bin-xing,TIAN Zhi-hong,et al.Network Security Evaluation and Optimal Active Defense Based on Offensive and Offensive Game Model[J].Acta Ch Computers,2009,32(04):817-827.