再谈用全域安全防御网络入侵

之前写的一篇《​​用全域安全防范美国NSA对西工大的网络入侵​​》，在平台发了之后，收到一堆私信和留言，看来大家对计算机安全问题还是非常关注啊！^_^今天把这些信息汇总了一下，挑出几个有代表性，写篇文章统一回答一下。​

问：Laxcus分布式操作系统不允许用户/管理员切换身份，那么以管理员身份是不是可以拿到用户账号，然后做点啥？​

答：用户保存到Laxcus集群上账号，不是明文，是一组散列码，并且是经过加密算法加密后保存的。理论上，管理员可以看到这些加密的文件拿到这些散列码，然后通过大算力逆向破除（Laxcus本身就提供这种能力），伪装成用户本人远程登录。但是实际上，这样做非常难。首先，破除的成本，如果你了解加密/解密和散列码技术原理，就会知道这是一个天文数字的计算量。没有相当规模的算力，基本不可能（量子计算倒是可以）。其次，为了防止非法登录，我们还可以增加其它验证手段，比如现在普遍采用的手机和邮箱校验。你在账号注册时，就可以把这些参数一并注册，然后在登录时增加验证，因为手机号和邮箱地址都是唯一的，可以防止你的账号被非法窃取。现在这个功能，在云服务商那里，已经做为一个附属功能，提供给他们使用了。​

登录界面可以附加手机/邮箱校验，由第三方提供支持​

问：仔细读了，知道Laxcus安全管理做得非常绵密，但是有一个疑惑，如果管理员本身就是个内鬼，然后他来管理Laxcus计算机集群，会有什么后果？​

答：这确实是个尴尬的问题！列宁说过，堡垒最容易从内部攻破，计算机系统也不例外。还有一句也适合这里，日防夜防家贼难防。因为管理员拥有最高的管理权限，他可以随时做管理员权限下的各种事情，比如改变计算机集群和网络的配置、故意制造一些问题、删除账号。如果是删除账号，账号下面的所有资源，包括数据库、应用软件，保存在云端的各种文件，都会一并删除，给用户无法挽回的损失。这个情况类似于在Linux的root权限下执行 rm命令。但是有一点管理员无法很难做到，就是上面说的，通过窃取账号进入用户的虚拟集群空间窃取用户数据。所以说，如果管理员是以窃取用户数据为目的，想进入用户的虚拟集群空间，获取用户保存在计算机集群的数据，因为Laxcus分布式操作系统设置的各种限制，这种事情不会发生。这也是为什么全域安全管理模型可以防御美国NSA攻JI西工大网络的原因。能做到这一点，也算是一个弥补吧。​

删库跑路有可能...​

问：博主，再说说密钥令牌吧。这东西对我开发的安全模块很有启发，但是还是不太明白它的好处特点。​

答：在Laxcus全域安全管理模型中采用密钥令牌的根本原因是取代CA证书。为什么要取代CA证书，是因为CA证书有一堆的缺点。​

1.CA证书是第三方定义，它放在网站上使用没有问题，但是放在一个私有的计算机集群环境使用，而且是有自己独立的安全体系计算机集群中使用，并没有多少实际意义

2.虽然第三方提供的CA证书表面是公允的，但是随着这些年的肉眼可见的变化，CA证书以后会不会有什么问题，现在谁也不好说。​

3.CA证书要花钱购买，有使用年限。虽然费用不多，毕竟也是一笔开支。​

4.使用CA证书要遵循它的规则。如果是这样，Laxcus分布式操作系统的安全通信就要重构来适应它，而实际是Laxcus实现的安全通信要比互联网采用的SSL/TLS靠谱得多。​

相比CA证书的缺点，密钥令牌有以下一系列优势。​

1.密钥完全由管理员控制，而不是像CA证书这样，由第三方提供。​

2. 密钥令牌完全是根据Laxcus分布式操作系统的安全通信做的针对性设计。​

3. 密钥来源多种多样，可以是机器根据随机参数随机产生，也可以是管理员定义，或者从经典密钥机取得，还可以接入量子通信网络，获得密钥。​

4. 密钥令牌可以随时定义随时更新，不存在CA证书使用固定年限的情况。​

5. 密钥令牌本身的分发过程也是在全加密状态下进行，只在内存、CPU、网络之间流转，不接触任何存储介质，足够安全可靠。​

6. 节省了一笔密钥开支。​

通过以上对比，在CA证书和密钥之间，你选择哪一个？​

通过管理界面随机定义密钥令牌、更新密钥令牌​

问：分布式应用软件运行过程中，会受到哪些安全检查？​

答：分布式应用软件过程中，按照执行顺序，会受到以下检查。​

1.在客户端的图形桌面或者边缘端的服务器启动时，检查用户的执行权限。如果管理员没有给用户分配运行分布式应用软件的权限，或者管理员拒绝用户执行某个分布式应用软件时，这个软件是不能运行的，即使强制执行也会失败。​

2.云端（计算机集群）上同样保存着这个用户的配置参数，这项在客户端和边缘端执行的安全检查工作，会在云端同样执行一遍。注意，是每个关联节点都会执行。​

3.云端的应用软件启动运行后，容器的沙箱会负责这个软件的全流程监管工作，如果出现管理员要求限制的操作，而应用软件却执行这个操作，比如说写磁盘、写某个磁盘目录被限制时，沙箱会中止它执行，并且返回错误提示给客户端或者边缘端。​

4.某些操作也是被固定禁止的，比如云端的应用软件启动线程，或者使用Socket进行网络通信。它们会给系统的安全稳定带来不可控的负面影响，做为补充，Laxcus分布式操作系统的DSDK软件包里有相应的替代方案，在保证安全可靠的条件下，这些替代方案同样可以满足用户合理的需求。​

Laxcus分布式应用软件作业流程​