软件设计中安全性与易用性的考虑

作者：赵洪彪 来源：计算机安全 添加时间：2006-5-26 13:32:09

计算机安全界曾经有个笑话：“实现计算机系统安全很容易，把计算机的电源关掉，锁在保险箱里，然后把钥匙扔掉。”实际上，这个笑话一定程度上揭示了计算机的安全性与易用性之间的关系。

在计算机的安全性和易用性设计之间存在权衡，一台不设口令的计算机非常方便使用，但是不安全；但是如果一台计算机每5分钟要求你做一次身份确认，输入口令甚至做血样检验，这样的计算机是安全的，但是不会有人愿意使用。一般说来，安全软件产品的操作要比其他软件产品的操作困难，因为实现机制复杂了，需要配置的参数也多了。

安全性和易用性在设计上有共同点 ：

（1）都需要从软件的整体考虑；

（2）需要对系统结构、开发团队和市场份额等方面统筹考虑；

（3）都要在系统设计的开始阶段考虑，在系统开发临近结束时无法临时增加；但是由于易用性和安全性是不同的技术，所以建立一个既有安全性又有易用性的系统比较昂贵。

（4）易用性方面出现问题可能会妨碍安全性的效果。

目前安全性和易用性之间的接口成为计算机安全界研究的对象，被称作人机交互和安全性（HCI-SEC）。在2003年ACM人机交互大会召开了HCI-SEC研讨会，随后HCI-SEC的有关问题逐步提了出来。2004年计算机界把易用安全性列为信息安全研究者的“重大挑战”，有下面两个问题：

问题1 口令问题。每个人都面临口令问题，安全的口令都是难猜测的，但是难猜测的口令都是难记忆的。同时口令策略一般要求用户口令是唯一的并且要及时更新，如果一个人的帐户比较多，很难想象一个人可以完全凭借记忆牢记十多个不同的口令，并且不断地分别更新。

问题2 身份确认问题。当认识到传统的口令字不够安全后，用户需要新的身份确认手段。研究表明，人记忆图像的能力比字符强，因此图像口令字被作为字符口令字的替代方案，研究还发现，用户对图像口令字的选择与种族和性别高度关联。生物测量和硬件令牌也属于用户身份确认的方法，但是现在还缺乏对这些身份确认手段的统一评价和比较方法。

HCI-SEC的研究课题之一就是如何在某些特定的应用系统中实现易用的安全性，主要有三种类型的方法：

（1）构造不需要用户干预就可以执行相关的安全和私有功能的系统。这种方法的问题是当用户不了解某些方面的安全问题时，他们的操作可能会无意中减弱到位的安全保护。

（2）开发一种安全和私有相关的隐喻模型，让用户自发地正确使用安全和私有软件。目前的钥匙和锁的隐喻模型显然是不完全和不准确的，但是目前也没有出现更具有广泛接受性的其他隐喻模型。

（3）教给用户有效使用私有和安全工具所需要的知识。但是以什么形式把这些信息教给用户，让用户少花时间去学习掌握，还是没有解决好的问题。

 很容易想到利用一种基于上述方法混合的方法，但实际上这更困难，因为上述方法的思路和实现根本上就是不同的。

第 1 页，共 2 页 [1] [2]