1.2 威胁模型

作者: Tom St Denis; Simon Johnson著 沈晓斌译 出处:机械工业出版社华章公司 　2007-08-10 15:48　   砖    好    评论  条 　进入论坛

阅读提示：《程序员密码学》涉及密码学的各个研究方向，分组密码、散列函数、公钥密码以及相关的攻击，同时也讲解了密码学算法实现上常用的ASN.编码、大整数算术相关内容。本文介绍 1.2 威胁模型。

1.2 威胁模型
威胁模型（threat model）明确地指出并研究系统中哪些地方可能会被攻击者利用来攻陷系统。如果是银行，攻击者就想要有效证件；如果是电子邮件服务，攻击者则需要私人消息，等等。简单地说，威胁模型就是考虑整个系统的一般应用过程来检测在极端情况（corner case）下会发生什么。也就是说，假如你期望得到的映射应该是在集合X中的，但是如果攻击者发送过来的不属于集合X，而属于另外一个集合Y 时，会产生什么样的结果呢？
这种模型的一个最简单的例子就是C语言中的一个函数atoi( )，在实际编程应用中，人们通常并没有对其做错误检查。这个函数所期望的输入是一个经过ASCII编码的整数，但是如果输入的不是一个整数会怎样呢？虽然这几乎不是一个安全缺陷，但它的确是一种会被攻击者利用来攻击你的系统的一种极端情形。
威胁模型存在于包括内部人员在内的任何人都可以和系统交互的层次上。内部人员通常被看作是比较特殊的用户，他们可以不用受任何限制地访问系统数据，而他们常常又犯有把存储了成千上万个客户机密数据的笔记本电脑随手放在车里这种愚蠢的错误（例如：http : / /business.timesonline.co.uk/article/0,13129-2100897,00.html）。
系统被攻破以后攻击者可能会做什么，这种模型从根本上表示了系统在实际使用中将会碰到的用例（Use Cases）。例如，当用户首先需要提供一个密码时，攻击者会检查在密码的处理过程中是否存在弱点。同时，攻击者也会看看系统是否采用了防止猜测简单密码的安全策略，等等。
开发一种精确的威胁模型的最主要的影响因素是，不要以一种正常用户观点来考虑这些用例。例如，当你的程序向数据库提交数据时，攻击者可能通过在程序发送的数据中加入查询语句来实施注入攻击，而一名正常的普通用户可能永远都不会这么做。描述一种威胁模型设计的全过程几乎是不可能的，因为安全模型至少和系统自身的设计同样复杂。
本书并不打算提供一种安全的编程实践解决方案来解决这种问题。但是，威胁模型设计人员在设计系统时仍然需要考虑以下几种简单的规则。
威胁模型设计的几种简单规则：
1. 哪些情况会导致这种用例的出现？
考虑预计之外的情况。
无效的情况都处理了吗？
2. 输入交互还需要哪些处理模块？
“无效输入”会是什么样的？
3. 这种用例有效吗？
是否有很明显的漏洞？在假定的条件之下会出现什么情况？
它是否实现预期目标？

回书目   上一节   下一节