1.7  定義

安全工程中使用的很多術(shù)語(yǔ)都比較直觀，但是也有些術(shù)語(yǔ)容易引起誤解，甚至產(chǎn)生爭(zhēng)議。在相關(guān)的章節(jié)中對(duì)技術(shù)術(shù)語(yǔ)有更詳細(xì)的定義，你可以使用索引找到這些內(nèi)容。本節(jié)將試著指出主要問(wèn)題在哪里。

首先要闡明系統(tǒng)(system)的含義。在實(shí)踐中，系統(tǒng)可以表示：

(1) 一種產(chǎn)品或者組件，比如加密協(xié)議、智能卡或者PC硬件。

(2) 上述內(nèi)容加上操作系統(tǒng)、通信系統(tǒng)和其他集合，一起構(gòu)成組織的基礎(chǔ)設(shè)施。

(3) 上述內(nèi)容加上一個(gè)或多個(gè)應(yīng)用程序(媒體播放器、瀏覽器、字處理程序、賬號(hào)/工資表管理軟件等)。

(4) 上面的任何一種或者全部，再加上IT員工。

(5) 上面的任何一種或者全部．再加上內(nèi)部用戶和管理。

(6) 上面的任何一種或者全部，再加上客戶和其他外部用戶。

上述定義之間的混淆容易造成多種錯(cuò)誤與弱點(diǎn)。一般來(lái)說(shuō)，供貨商和評(píng)估者主要關(guān)心其中的第一種，偶爾也關(guān)心第二種，而商行則會(huì)關(guān)注第六種，偶爾也關(guān)注第五種。我們將遇到很多系統(tǒng)實(shí)例，這些系統(tǒng)都宣稱是安全的，甚至因?yàn)橛布徽J(rèn)證為安全的，但在運(yùn)行某個(gè)特定的應(yīng)用程序時(shí)，或設(shè)備未以設(shè)計(jì)者預(yù)期的方式使用時(shí)，安全性就會(huì)被嚴(yán)重破壞。忽略人為因素，因而忽略可用性問(wèn)題，是導(dǎo)致安全失敗的最主要原因之一。因此，我們一般將使用第六種定義，當(dāng)采取更受限的視角時(shí)，其含義應(yīng)當(dāng)可以根據(jù)上下文明確出來(lái)。

另一組問(wèn)題來(lái)源于對(duì)使用者是誰(shuí)及他們?cè)噲D證明什么缺乏明確性。在安全和密碼學(xué)的文獻(xiàn)中，有一個(gè)慣例是通過(guò)取首字母連續(xù)的名字來(lái)確定安全協(xié)議里的主體，這與颶風(fēng)的命名非常類似，所以我們可以看到很多諸如此類的語(yǔ)句：“Alice向Bob證實(shí)了自己的身份”。這種語(yǔ)句具有很好的可讀性，但是經(jīng)常犧牲了精確性。我們的意思是Alice向Bob證明她的名字確實(shí)是Alice，還是她證明自己已經(jīng)獲取了某種特定憑據(jù)？這種身份驗(yàn)證是由Alice本人來(lái)完成的，還是通過(guò)智能卡或者軟件工具擔(dān)當(dāng)Alice的代理？如果是那樣的話，我們能肯定是Alice，而不是借了Alice的智能卡的Cherie，或者是偷了Alice的智能卡的David，甚至是入侵了她電腦的Eve嗎？

我用主題(subject)來(lái)代表自然人(人、ET……)，其角色任意，包括操作員、主體或受害人；人(person)則既代表自然人，也代表公司這樣的法人。

主體(principal)是一個(gè)參與到安全系統(tǒng)的實(shí)體。這個(gè)實(shí)體可以是一個(gè)主題、人、角色或一個(gè)設(shè)備，比如PC、智能卡或讀卡器終端。主體也可以是一個(gè)通信信道(根據(jù)具體場(chǎng)景，可以是端口號(hào)或者密鑰)。主體還可以是其他主體的復(fù)合體，例如組(Alice或Bob)、聯(lián)合(Alice與Bob共同行動(dòng))、復(fù)合角色(Alice擔(dān)任Bob的經(jīng)理)和委托(Alice缺席時(shí)由Bob代理)。注意，組和角色是不一樣的。組(group)指的是主體的集合，而角色(role)則是由不同人先后承擔(dān)的一組職責(zé)(例如“尼米茲號(hào)航空母艦的值班船員”、“冰島醫(yī)學(xué)會(huì)的臨時(shí)主席”)。可以在多個(gè)抽象層次上考慮主體：比如，“Alice缺席時(shí)由Bob代理”可能意味著“Bob的智能卡表示Alice缺席時(shí)代理她的Bob”，或者是“Bob在Alice缺席時(shí)使用她的智能卡”。當(dāng)需要考慮更多細(xì)節(jié)的時(shí)候，我將會(huì)更具體地加以說(shuō)明。

身份(identity)這個(gè)詞的含義是有爭(zhēng)議的。在必須小心使用的時(shí)候，我將使用它來(lái)表示兩個(gè)主體的名字之間的對(duì)應(yīng)關(guān)系，該對(duì)應(yīng)關(guān)系表明它們指代的是同一個(gè)人或設(shè)備。比如，有可能確定“Alice是Bob的經(jīng)理”中的Bob與“Bob是Charlie的經(jīng)理”、“Bob作為部門經(jīng)理與David共同簽署了銀行匯票”中的Bob是同一個(gè)人會(huì)很重要。身份常常被濫用為僅僅意味著“名字”，這種濫用由于“用戶身份”和“居民身份證”等短語(yǔ)而難以改變。在不會(huì)引起歧義的地方，為了避免過(guò)于華麗，我有時(shí)會(huì)使用這種白話文的用法。

信任(trust)與可信任(trustworthy)的定義常常被混淆。下面的實(shí)例可以展示兩者的差別：如果有人看到一位國(guó)家安全局的工作人員在華盛頓國(guó)際機(jī)場(chǎng)的洗手間向某國(guó)外交官出售密鑰材料(假設(shè)他的行為是未經(jīng)授權(quán)的)，我們將他描述為“受信任但不是可信任”。在這以后，本書(shū)會(huì)使用NSA(國(guó)家安全局)的定義，受信任(trusted)的系統(tǒng)或者組件的失敗會(huì)破壞安全策略，而可信任(trustworthy)的系統(tǒng)或者組件是不會(huì)失敗的。

但要注意，信任還有很多可替換的定義。英國(guó)軍事觀點(diǎn)強(qiáng)調(diào)可審計(jì)性與失敗安全屬性：受信任的系統(tǒng)單元是那些“無(wú)法在工作時(shí)通過(guò)外部觀察其行為來(lái)確定其完整性”的單元。其他的定義一般與某個(gè)特定系統(tǒng)是否被權(quán)威機(jī)構(gòu)認(rèn)可有關(guān)：受信任的系統(tǒng)可能是“如果在我的看守下它被入侵，不會(huì)使我被解雇的系統(tǒng)”，或者甚至是“我們可以確保的系統(tǒng)”。我將不會(huì)用這兩個(gè)定義。當(dāng)所指的系統(tǒng)不是失敗自明的(failure-evident)、被認(rèn)可的、被確保的系統(tǒng)時(shí)，我將會(huì)這樣說(shuō)。

1. 有些“人”并不是實(shí)際的人，這可能讓人困惑，不過(guò)這已經(jīng)被確立：這要?dú)w咎于律師。