（电工理论与新技术专业论文）容忍入侵系统中复制技术的研究.pdf

a bs t r a c t i nr e c e n ty e a r s ，w i t ht h er a p i dp r o g r e s so ft h en e t w o r kt e c h n o l o g y , t h en e t w o r k p l a y st h em o r ea n d m o r ei m p o r t a n tr o l e sa te a c ha s p e c to fs o c i e t y i nt h em e a n t i m eo f t h en e t w o r kb r i n g sa st h ec o n v e n i e n c ea n db e n e f i t s ，t h ep r o b l e mo ft h en e t w o r ks a f e t y b es u b j e c t e dt op e o p l e sm o r ea n dm o r ec o n c e e l l s t h ep r o t e c t i o nt ot h en e t w o r ki n a l l - d i r e c t i o n s ，w h a t e v e rt h ef i r s tg e n e r a t i o nf i r e w a l lt e c h n o l o g y , o rt h es e c o n d g e n e r a t i o ni n t r u s i o nd e t e c t i o nt e c h n o l o g y , h a sb e e nc a nn o ts a t i s f y t h i sr e q u e s t ak i n d o fa l ln e wn e t w o r ks a f e t yt e c h n o l o g y - - i n t r u s i o nt o l e r a n c et e c h n o l o g yt oe m e r g e w i t ht h et i d eo f t h et i m e s t h ei n t r u s i o nt o l e r a n c et e c h n o l o g yb r e a k st h et r a d i t i o nt h o u g h to ft h ep a s s i v e d e f e n c e ，i ta l l o w st h ee x i g e n c eo f t h ev u l n e r a b i l i t ya n dt h es y s t e mc a l lb ei n t r u d e ds u c c e s s f u l b yt h ei n t r u d e r b u tt h es y s t e ms t i l l c a np r o v i d et h es a f e t ya n dc r e d i b i l i t ys e r v i c eu n d e rt h e s i s t u a t i o no ft h e s u f f e r t h em a l i c ea t t a c k b a s e do nt h er e p l i c a t i o nt e c h n o l o g yi nt h e i n t r u s i o nt o l e r a n c es y s t e m ，t h i sp a p e rb u i rt h em o d e la n dt h ed e e p l yt h e o r i e s r e s e a r c hi nt h ec l a s s i f i c a t i o n ，c h a r a c t e r i s t i c sa n dt h er e l a t e dt e c h n o l o g yo ft h e r e p l i c a t i o n t h em a i nw o r ko f t h i sp a p e ri ss h o w ni nd e t a i l sa sf o l l o w s ： c h a p t e r1m a i n l yi n t r o d u c e dt h eb a c k g r o u n d ，s i n g n i f i c a n c e ，t h em a i nw o r ka n d t h ei n n o v a t i o no ft h ep a p e r , t h e ni n t r o d u c e dt h er e s e a r c hp r e s e n tc o n d i t i o n ，t h e t h e o r i e sf r u i ta n ds t i l le x i s to ft h ep r o b l e ma tc u r r e n t l ys t u d yi nd o m e s t i ca n da b r o a d c h a p t e r2m a i n l yi n t r o d u c e dt h ec l a s s i f i c a t i o na n df u n c t i o no ft h er e p l i c a t i o n t e c h n o l o g y , a n a l y z e st h ew e a k n e s so ft h ep a s s v i er e p l i c a t i o ni nd e t a i l ，a n dt h r o n g h a d di n gh a r d w a r em e c h a n i s ma n dr o t a t i n gt h em a i nb a k c u p ，m a k e si tc a nt o l e r a n tt h e b y z a n t i n ef a u l t c h a p t e r3m a i n l yi n t r o d u c e dt h ef a i l u r er e s t o r et e c h n o l o g yw i t ht h em o s tc l o s et o r e p l i c a t i o nt e c h n o l o g y i n t r o d u c e dt h ec l a s s i f i c a t i o n ，r e s t o r em e t h o do ft h ef a i l u r ei n d e t a i l a n dt h e ni n t r o d u c e dt h em e t h o do f t h et e m p l ym e s s a g el o g g i n g ，i tc o u l dl o w e r e d t h es y s t e me x p e n s ei nb u i l d i n gac h e c k p o i n t ，a n ds p e e dr e s t o r ei nf a i l u r e c h a p t e r4o nt h e f o u n d a t i o no f t h ec h a p t e r3a n dt h ec h a p t e r4 , b u i l tt h em o d e lo f t h ei n t r u s i o nt o l e r a n c es y s t e m ，a n da n a l y s e dt h ef u n c t i o no f t h em a i n l yc o n s t i t u e t ep a r t o f t h em o d e li nd e t a i l ，a n dv e r i f yt h et e m p o r a r ym e s s a g el o g g i n gt e c h n o l o g yc a ns p e e d f a i l u r er e s t o r et h r o u g ht h ee x p e r i m e n t c h a p t e r5a n a l y s e dt w ok i n d so ft h ek e yt e c h n o l o g yi nt h ei n t r u s i o nt o l e r a n c e s y s t e m , a n dg i v e da ne x a m p l ef o rc o n c r e t i n gc a l c u l a t eo f t h em a j o r i t yv o t e l a tl a s t , t h ep a p e rs u m m a r i z e dt h em a i np o i n t st h a tt h es t u d t yt r i e st oa c h i e v ea n d p o i n t so u tt h ef u r t h e rs t u d yi nf u t u r e k e y w o r d s ：i n t r u s i o nt o l e r a n c e ，p a s s i v er e p l i c a t i o n ，m e s s a g el o g g i n g ，g r o u p c o m m u n i c a t i o n ，m a j o r i t yv o t e r 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取 ! 导的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得墨盗基堂或其他教育机构的学位或证 书而使用过的材料。与我一阀工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 学位论文作者签名：毫憩只螬 签字刚胡： 扣0 7 年1 月 7 嚣 学位论文版权使用授权书 本学位论文作者完全了解。鑫鲞盘堂有关保留、使用学位论文的规定。 特授权苤鲞基堂可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在鳃密后适焉本授权说明) 学位论文作者签名：誊翳只士毫 导师签名： 签字日期：1 0 司年 f 月f 7 日 石主关 签字隰砂月 天津大学硕士学位论文第一章绪论 1 1 引言 第一章绪论 随着网络信息技术、计算机技术的飞速发展与广泛应用，网络已经成为人 们日常生活中相互通信，资源共享的重要平台和手段。大范围的网络应用已经广 泛深入到国防、电信、银行、金融、交通、电子商务、能源等各个领域。随着社 会的继续发展，网络必将扮演着越来越重要的角色。对于企业和国家而言，网络 更加具有不可取代的地位。但是网络给我们带来巨大利益的同时，网络信息安全 相关事件也在不断增加，给实施信息系统的各方面都带来严重的威胁。网络安全 问题正成为人们关注的焦点。随着人们安全意识的提高，网络安全技术已经成为 计算机科学中重要的一个分支。 1 2 研究背景 传统构建安全系统的目标在于构建具有防御机制的系统，将攻击者拒之门 外，以使系统可以免遭攻击。但是，正如大家所知道的，攻击+ 系统漏洞= 成功 入侵。传统的安全方法正是从抵抗攻击和预防系统漏洞两个方面研究的。抵抗攻 击的技术主要有密码保护、入侵检测和防火墙等技术。然而，事实证明，仅仅用 这些方法来保障系统安全还远远不够。传统的密码技术如认证协议、数字签名和 加密解密等技术虽然起到了非常重要的作用，但是随着网络技术的发展，要求对 网络体系进行全方位保护，这些技术越来越力不从心了。 防止系统漏洞的方法应该在系统正式使用或者配置之前，努力找出系统中存 在的所有漏洞和脆弱点，或者在使用过程中对发现的漏洞进行补救，如打补丁。 但是完全找出系统中存在的漏洞和脆弱点在实际上是不可能完成的。众所周知， w i n d o w s 系统是打补丁出了名的。对于个操作系统就有如此多的漏洞和脆弱 点，那么对于网络化的分布式系统，由于其各个组成部分的复杂性和交互性，找 出其潜在的漏洞和脆弱点会变的更加困难，实际上也是不可能做到的。 防火墙技术是指设置在不同网络( 如可信任的企业内部网和不可信的公共 天津大学硕士学位论文 第一章绪论 网) 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信 息的唯一出入口，能根据企业的安全策略控制( 允许、拒绝、监测) 出入网络的 信息流，而且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和 信息安全的基础设施。在逻辑上防火墙是一个分离器，一个限制器，也是一个 分析器，它有效的监控了内部网和i n t e m e t 之间的任何活动，保证了内部网络的 安全。 假设整个网络体系结构是一栋大楼，那么防火墙技术就是大楼门上的锁。但 是入侵者仍然可以绕过大门从大楼的窗户( 系统漏洞) 非法进入大楼内部，进行 非法破坏。为了防止这种情况发生就产生了i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 入侵 检测系统。简单的说，设立i d s 的唯一目的就是当场监测到网络入侵事件的发生， 并且将事件的整个过程记录下来。 i d s 入侵检测系统一直以来充当了安全防护系统的重要角色，1 d s 技术是通 过从网络上得到数据包进行分析，从而检测和识别出系统中的未授权或异常现 象，并且将结果进行记录，同时向网络管理员报警。i d s 注重的是网络监控、审 核跟踪，告知网络是否安全，发现异常行为时，自身不作为，而是通过与防火墙 等安全设备联动的方式进行防护。i d s 目前是解决企业网络安全的一种重要方 案，但是它目前存在以下几个明显的缺陷： ( 1 ) 网络缺陷( 用交换机代替可共享监听的h u b 使i d s 的网络监听带来 麻烦，并且在复杂的网络下精心的发包也可以绕过i d s 的监听) 。 ( 2 ) 误报量大( 只要一开机，报警不停) 。 ( 3 ) 自身防攻击能力差等缺陷，很容易称为攻击的目标，所以i d s 还是不 足以完成网络安全防护的重任。 由于i d s 本身只能检测到入侵行为的发生，并不能阻止入侵行为的发生， 所以i d s 只能并联在网络上。另一方面入侵检测系统只能为网络或系统提供被动 防护功能，因为这种防护只是在攻击发生后才能检测到并通知网络管理员，而且 i d s 并不能识别每一种新的或者变异的攻击i 。因此它的特性和固有的缺点注定 了它只能做互联网上的看客。 由于i d s 的这种缺陷，产生了i p s ( i n t r u s i o np r o t e c t i o ns y s t e m ) 技术。i p s 技 术能够对网络进行多层、深层、主动的防护以有效保证企业网络安全，i p s 的出 2 天津大学硕士学位论文第一章绪论 现可谓是企业网络安全的革命性创新。简单地说，i p s 等于防火墙加上入侵检测 系统，但这并不代表i p s 可以完全替代防火墙或i d s 。防火墙在基于t c p i p 协 议的过滤方面表现的非常出色，i d s 提供的全面审计资料对于攻击还原、入侵取 证、异常事件识别、网络故障排除等方面都具有很重要的作用。 i p s 的运行方式虽然实现了实时防御，但是它仍然无法检测出未定义的攻击， 而且误报率较高1 2 】。当i p s 发现有攻击者入侵的时候，系统会自动采取预先设置 好的策略，如中断连接、资源重配置等技术防止攻击进一步发生。因此i p s 为了 保护系统，必须串连在网络上才能发挥它的巨大作用。但是串联在网络上i p s 的 性能就会成为整个网络性能的瓶颈，而且i p s 自身往往成为攻击对象。 所以必须有新的方法来解决以上问题。容忍入侵技术就是在以上前提下发展 起来的。容忍入侵技术主要是把密码学和分布式容错技术结合起来，在系统遭受 攻击的情况下还可以向客户继续提供正常的服务。 1 3 容忍入侵技术 1 3 1 容忍入侵技术的提出 早在上个世纪8 0 年代中期，d o b s o n 和r a n d e l l 就提出了利用不安全和不可 靠的部件来构建安全可靠的系统的方法【3 1 。但是由于当时对网络安全缺乏应有的 关注，这种思想并没有得到相关专家学者的重视。f r a g a 和p o w e l l 在其论文中正 式提出了容忍入侵( i n t r u s i o nt o l e r a n c e ) 的术语并一值沿用到现在。d e s w a r t ey ， b l a i nl 和f a b r ej c 等人提出了基于分割+ 分散( f i a g m e n t a t i o n s c a t t e r i n g t e c h n i q u e ) 4 - 5 的方法来实现容忍入侵。虽然容忍入侵有了一定发展和初步显现 了其优越性，但是受限于当时的技术，在随后的相当长的时期停滞了。随着分布 式密码学的发展，尤其是秘密共享和门限密码学方面的研究发展和完善，分布式 网络应用系统的人量开发和应用，再加上网络安全又面临着巨大的挑战。容忍入 侵的理论、方法和应用又开始进入业内人士的视野。随着其迅速发展，容忍入侵 技术已经成为网络安全和信息安全界的一个焦点，越来越多的资金和精力都被投 入到这个领域。美国国防高级研究计划署( d a r p a ) 的o a s i s ( o r g a n i c a l l ya s s u r e d a n ds u r v i v a b l ei n f o r m a t i o ns y s t e m ) 计划资助了人约3 0 个有关容忍入侵的研究项 3 天津大学硕士学位论文第一章绪论 目。比较熟悉的有以下几个项目，m c n c 和美国d u k e 大学联合研究的容忍入侵 安全技术s i t a r 项f lt 6 1 。s t a n f o r d 大学d a nb o n e h 等组成的研究小组利用门限密 码学设计的i t t c ( i n t r u s i o nt o l e r a n c ev i at h r e s h o l dc r y p t o g r a p h y ) 容忍入侵系统 1 7 4 1 。由美国技术研发公司b b n 、i l l i n o i s 大学、m a r y l a n d 大学和波音公司共同研 发的i t u a ( i n t r u s i o nt o l e r a n c eb yu n p r e d i c t a b i l i t ya n da d a p t a t i o n ) 项目m 们。 1 3 2 国内外研究现状 随着分布式密码学的迅速发展以及美国d a r p a 的o a s i s 计划、n s f 计划 和欧盟m a f t i a 高级研究计划的资助。国外学术界对容忍入侵技术进行了深入 的研究并且取得了许多丰富的成果： ( 1 ) 基于门限密码和秘密共享1 1 】的容忍入侵防护系统 门限方案实质上是一种秘密共享机制。门限方案的基本思想是把数据d 分 成1 1 份，使用其中的k 份可以重新还原出数据d 。如果少于k 份是无法还原出原 始信息的。 门限方案在容忍入侵系统中的应用主要是通过两种方式： 第一是本身的方式，数据共享被分布式的存储在不同的物理位置上，即使 n - k 1 个共享被攻击而且已经威胁到系统安全，数据的机密性仍然可以保持并且 可以重新构造出原始信息，从而可以达到容忍入侵的目的。事实上，门限方案本 身就是一种冗余技术。 第二是数据使用同一个密钥加密，这个密钥使用门限方案分成n 份。这种方 法实际上并没有给原始数据提供任何冗余，然而为了对信息进行访问，必须要把 加密密钥的k 份重构来得到原始的密钥。 门限密码方案的主要限制是选择n 和k 。n 和k 的值受限于系统的性能、可 用性、机密性和存储需求。n 值越大，系统的可用性就越高，但是系统的性能就 会降低。k 值越小，系统性能就会提高，但是机密性就会随之降低。所以n 和k 的值的选取应该有一个折中的方案。 l t t u 是最有代表性的基于门限密码的容忍入侵防护系统。l t t u 项目针对 r s a 算法将r s a 私钥在k 个服务器巾共享。其巾k 一1 或者k 一2 个服务器能够 在没有恢复私钥的情况下解密输入信息。项目的典型值是k = 3 、4 或5 。该项目 4 天津大学硕士学位论文 第一章绪论 依据的假设是，攻击两个机器比攻击一个更加困难。针对这个假设，研究小组采 用了多样性和前摄性的方法。获得多样性就是在不同的服务器中运行不同的操作 系统或者不同的系统版本。在这种情况下，攻击者就必须设计不同的攻击技术来 获得分享的密钥。前摄性就是每隔一段时间，服务器就针对同一个r s a 私有密 钥重新计算所有的分享密钥。这样，攻击者不仅需要攻击多台机器，而且必须在 一定的时间内完成攻击。这就大大增加了攻击者的难度和攻击强度。 ( 2 ) 基于监控和冗余等容错技术的容忍入侵系统 容错技术最早应用于分布式系统中，采用这种方法比较适合信息可生存性的 要求，但是不能满足信息机密性的要求。其原理就是采用一些容错计算技术实现 系统或者应用的容忍入侵。在这种系统中，处理某个错误一般需要以下几个步骤： 错误检测、破坏情况估计、重新配置和恢复。 冗余分为软件冗余和硬件冗余。其原理是：当一个冗余组件失败时，其它的 冗余组件可以执行该失败冗余组件的功能直到该组件被修复。冗余是增强系统服 务的一种技术，通过冗余可以确保系统的安全特性，即使所用的一些方法被攻击 或者破坏，但是它所保障的特性仍然有效。因此冗余技术可以改善服务器的性能， 增强其可用性。冗余技术对资源的要求相当高，一般都会超过系统正常工作的需 求。 ( 3 ) 多样性 在实际的容忍入侵系统中，冗余技术很少单独被使用。这是因为系统的安全 错误是独立的，导致系统安全的漏洞却不是独立的。 如果攻击者已经发现一种技术去破坏一个组件，那么在攻击者的快速攻击 下，所有相同的复制组件都可能会受到同样的攻击，这样一来，整个系统很可能 马上就被攻陷。因此，还需要某种技术来防止攻击者快速的攻陷所有的复制组件。 这种技术必须确保所有具有相同功能的复制组件不能有同一漏洞。 为了应付这种漏洞，常用的技术就是多样性。多样性是组件的一个属性，也 就是说冗余组件必须在一个或者多个方面有所不同。用不同的设计和实现方法来 提供功能相同的计算行为，防止攻击者在一定的时间内找到冗余组件中所有的脆 弱点，进而能成功攻击。多样性有很多种，其主要种类有： 1 ) 硬件多样性：系统硬件采用不同的类型。 5 天津大学硕士学位论文第一章绪论 2 ) 操作系统的多样性：采用不同的操作系统，实现操作平台的多样性。 3 ) 软件的多样性：主要思想是不同的设计人员对同一需求会采用不同的方 法而实现，所以利用设计的多样性原则可以有效的防止设计中存在的错误。多版 本程序设计技术是一种经典的错误容忍技术，可以提供有效的多样性防止同一漏 洞，使用该技术可以对同一需求生成不同版本的程序。这些程序同时投入处理， 会得到不同的处理结果，最终按大数定理来决定最终输出结果。 另外，还有空间多样性和时间多样性。空间多样性要求服务必须协同定位多 个地点的冗余组件去阻止局部的灾难，而时间多样性则要求用户在不同的时间段 向服务器提出服务请求。 冗余技术在大部分的容忍入侵系统中都被使用。例如，分布式容忍入侵 ( d i t ) f 1 2 】，容忍入侵服务器基础组织( i ti s ) 【1 3 】，分层的服务质量自适应控制容 忍入侵系统( h a c q i t ) 1 4 】，分布式系统中可升级的容忍体系结构( s i t a r ) 。 s i t a r 体系结构使用冗余和多样性的内部组件。例如冗余接收监视器，表决监视 器，代理模块，冗余c o t s 服务器等。多样性则是通过挑选不同的服务器应用程 序代码来实现，例如a p a c h e 和i i s ，还有运行在不同的操作系统上例如l i n u x ， s o l a r i s 和m s w i n d o w s 。在冗余中使用多样性的结果是组件同时妥协的可能性 只有在操作系统或服务器应用程序代码中存在共同漏洞的情况下才可能发生，所 以系统在受到攻击的情况下崩溃的机率很小。s i t a r 侧重于将容错技术结合到容 忍入侵技术中去以及在架构中应用动态重配置。它使用了基于模型和基于测量的 方法对系统的抗攻击能力做出正确的评估。 此外，还有其它很多方面的研究成果。例如，对于基于门限密码的容忍入侵 系统实现和运行中的一些细节问题的研究。如i n t e r a c t 等异步结构模型中容忍入 侵方法的实现问题r 1 5 。7 j ，包括异步环境中门限密码的设计与实现问题和异步 b y z a n t i n e 系统协商问题等，以及抵抗自适应攻击( a d a p t i v ea t t a c k ) 的门限密码 方案【1 8 l 、秘密份额的动态重分发、容忍入侵系统的定量和定性评估分析1 1 9 】等。 随着国外专家学者的深入研究，国内许多安全领域的专家也开始了对容忍入 侵技术的研究。国防科技大学、电子科技大学、武汉大学、中科院信息安全国家 重点实验室等相关课题组近几年都开始了这方面的研究和应用，并且取得了一定 的成果。其中，王宁波、王先培首次提出利用容忍入侵技术来构建安全的w e b 6 天津大学硕士学位论文第一章绪论 服务器 2 0 1 ；崔竞松、王丽娜等提出了一种并行容忍入侵系统研究模型一l k 模型 和基于秘密共享方法的容忍入侵软件系统模型，并且给出了容侵实例f 2 1 】；朱建明， 史庭俊，马建峰提出了基于多代理的容忍入侵体系结构以及容忍入侵的数据库系 统模型等 2 2 - 2 3 】；荆继武，冯登国等人设计并实现了一个基于门限密码学的容忍入 侵的c a 系统【2 4 】；黄遵国等人给出了一种适用于容忍入侵环境的多样性动态冗余 方法；张险峰等人基于门限椭圆曲线密码系统，分别提出了一种容忍入侵的c a 和容忍入侵的w e b 方梨2 5 】；蔡亮和吴晓东等人则分别设计了种基于门限密码 学方案的容忍入侵数据库安全保护系统和一种基于多项式分享的的分布式认证 方案掣2 6 l ；王超和马建峰对三种类型的容忍入侵系统，即资源冗余、完全信息冗 余和部分信息冗余的容忍入侵系统，采用p e t r i 网络模型进行了系统服务的可用 性分析【2 7 】：郭渊博和马建峰给出了面向服务的先应是容忍入侵系统结构，基于秘 密共享方法分别提出了高效的容忍入侵会议密钥分配方案和容忍入侵的认证与 授权方案，其中所设计的容忍入侵认证与授权方案已经被应用于网格计算环境， 且使用面向对象的形势化规格说明语言o b j e c tz 对所设计的容忍入侵会议密钥 系统进行了形式化描述与规格说d y 1 2 8 - 2 9 1 。 尽管目前国内关注容忍入侵研究领域的专家学者比较多，但是研究的广度和 深度还有所欠缺，现在的研究工作主要还局限于基于门限密码、秘密共享理论的 容忍入侵模型和系统设计。 1 3 3 目前研究中还存在的问题 容忍入侵技术虽然很早以前就被提出，但是发展一直很是缓慢。真正被国内 外专家学者开始研究也只有十年左右的时间。在这个领域里的研究还是很独立 的，没有形成系统理论。容忍入侵的理论与技术都已经有了长足的发展，但是还 仅仅停留在理论方面很少达到实用化的程度，仅仅有很少一部分处于试用阶段， 不能广泛推广。 传统的错误容忍认为错误类型和分布遵循统计学中可以被定义的模式。也就 是说，人们可以依赖预定义的和静态错误模型以及环境假设。目前人们普遍采用 b y z a n t i n e 失效模型对入侵者和对系统的入侵结果进行建模。从入侵结果来看， 确实可以在系统中重现出任意的、无法预测的恶意行为，所以能够容忍b y z a n t i n e 7 天津大学硕士学位论文 第一章绪论 行为的系统也可以看做是具有容忍入侵的功能。 一个系统的典型安全属性是：机密性，用这种方法保护一个服务或者信息不 被非法访问；真实性，用这种方法保护一个服务或信息是真实的，不是伪造的； 完整性，用这种方法保护一个服务或者信息不被私自修改；可用性，用这种方法 保证一个服务或信息不拒绝那些合法的访问。一个理想的系统模型设计的目的应 该能保证所有的或者这些属性当中的一部分。 从这种建模方法可以看出存在以下的问题，一是b y z a n t i n e 容忍入侵模型不 关注保密性问题；二是b y z a n t i n e 模型在容错领域和容忍入侵领域有不同的度量 方法。在容错领域，b y z a n t i n e 失效一般可通过满足某种特定数学分布的随机变 量进行建模，然而在容忍入侵领域中，发起攻击的引起服务发生错误的根源在人， 安全威胁都有一定的自适应性，不能满足随机性，不能简单的用概率模型来设计 容忍入侵系统。 可靠的群组通信是保证容忍入侵系统中服务器状态一致性必不可少的基本 条件，而可信检测器是容忍入侵群组通信中最重要的部分之一。当一个或者多个 组成员不再被信任时就会生成一个怀疑事件，再由该怀疑事件触发一个组成员协 议以生成一个新的组。因此容忍入侵组通信系统的性能主要依赖于检测器的性能 的优劣。但是，现在的检测器设计却存在问题，容忍入侵的组通信系统要么依赖 于一个通用的入侵检测系统，要么将检测进程集成到组成员协议中，从而无法实 现功能分离。 由于基于门限密码的容忍入侵都采用静态的基于状态机复制的模型。缺点是 不能抵抗移动攻击者的攻击。然后，又引入了先应式容忍入侵概念，其基本思想 是“分布+ 更新”，也就是采用更新的方法对系统进行恢复( 重配置) 。在先应式 容忍入侵方法中，触发先应式更新有两个条件，一是系统当前时间片达到最大更 新时间。二是系统感知到入侵。但是，现在对入侵的感知通常只关注入侵的结果， 也就是系统正常状态是否改变。这样一来就会产生如下的结果，系统已经被成功 入侵，但是入侵的结果还没有显示出来之前，系统的某些子系统可能已经被成功 入侵。 采用容错技术和动态资源分配技术的容忍入侵模型，利用了先进的冗余管理 技术产生一种对攻击者来说是无法预测的资源调配和复杂的响应，使攻击者很难 8 天津大学硕士学位论文第一章绪论 进行攻击计划或协作下一步的攻击。这种容忍入侵模型的不足之处在于只能够针 对有计划或者已经定义过的攻击模式，而对于未定义的攻击或者新出现的攻击模 式却是无能为力的。 复制技术是容忍入侵系统中十分关键的一种技术，它保证了各个复制品的一 致性，同时也提高了系统的可靠性和有效性。它有两种基本分类，一是主动复制 技术( a c t i v er e p l i c a t i o n ) ，二是被动复制技术( p a s s i v er e p l i c a t i o n ) 。 主动复制技术也称为全激活模式，它对所有的复制品都是平等的。所有的复 制品均以相同的次序执行同个操作，然后将结果反馈给请求者。主动复制技术 中，最重要的一个问题就是每一个复制品的状态都必须要始终保持一致，否则， 复制没有了意义。 主动复制技术的主要优点是故障响应较快，可以容忍拜占庭错误的发生。缺 点是要求所有的动作均以确定性( d e t e r m i n i s t i c ) 方式执行。所谓确定性的行为 指的是该行为的结果仅仅依赖于触发该行为的请求和复制品当前的状态。主动复 制技术对资源开销要求比较大。前一点对主动复制的应用带来很大的局限性。 被动复制技术也称为主一从备份方法。在这种方法中，仅仅有一个复制品( 称 为主备份管理器) 执行操作，然后将处理结果反馈给客户而且主备份管理器还要 负责及时更新其它所有的从备份管理器。 被动复制的优点是它允许非确定性行为( n o n d e t e r m i n i s t i c ) ，并且所要求的 处理能力比主动复制少的多。但是很大的一个缺点是当出现故障时响应特别迟 缓，因为它必须要从从备份管理器中重新选择一个复制品做为主备份管理器，而 且不能容忍拜占庭错误。 针对被动复制技术不能容忍拜占庭错误的缺点，我们在第二章中提出了一种 改进的被动复制技术，它通过增加硬件检测机制和采用主备份管理器轮换的方 法，使其可以初步容忍拜占庭错误，充分利用了被动复制技术容易实现和系统资 源开销低的优点。 无论是系统遭受入侵引起故障还是系统本身运行错误引起的故障，对于这样 一个处于故障中的系统是不能胜任它所应当提供的服务的。按照不同的标准，有 不同的故障划分方法，一般划分为以下几种类型 3 0 - 3 1 1 ： ( 1 ) 崩溃故障( c r a s hf a i1 u r e s ) ：若一个进程崩溃，它就永远停止运行。 9 天津大学硕士学位论文 第一章绪论 这就意味着它不再执行任何操作和响应，包括发送信息、传递信息或接收信息。 ( 2 ) 遗漏故障( 0 m i s s s i o nf a i l u r e s ) ：当一个进程发生遗漏性故障时，它 就会忽略或者漏掉一些操作，例如发送信息或传递信息。 ( 3 ) 时间故障( t i m e i n gf a i l u r e s ) ：如果一个进程违反同步要求，就会发 生该故障。这种故障只会发生在同步系统中，异步系统中不会出现这种类型的故 障。 ( 4 ) 拜占庭故障( b y z a n t i n ef a i l u r e s ) ：最常见的故障，也是最难处理的故 障，此时进程可能出现不可预料的任意行为。 实际中最严重的一类故障就是拜占庭故障，也就是人们熟知的随意性故障 ( a r b i t r a r yf a i l u r e s ) 。随意性故障是一种随机性故障，正常情况下服务器是不会 出现故障的，在某些情况的影响下，服务器偶尔会对服务请求给出错误的结果， 这种错误很难被检测出来。当一个出错的服务器和其它服务器一起协同工作的时 候，出错的服务器会影响其它服务器而作出错误的决定。 故障处理的基本方法有基于软件的和基于硬件的两种方案。二者在逻辑上是 等同的。在基于软件的方案中，一系列同样的进程被复制并被分配到不同的处理 器中执行。 对于永久性的故障，常用硬件冗余的方法来屏蔽。对于暂时性的故障，常通 过时间冗余的方法进行重试。当使用主动复制的方法时，通常使用n 一模块化冗 余。然而，在系统中使用主动复制的方法相对比较昂贵。 在被动复制中，可以使用向前式恢复3 2 1 或者向后式恢复。在向前式恢复中， 假定可以完全准确地得到系统中的故障和损失的性质，这样就有可能去掉这些故 障，从而使得系统继续向前执行。 向后式恢复适用于系统的故障无法预知和去掉的情况。在这种情况下，要定 时地存储系统地状态，这样当出现故障导致系统处于不一致的状态时，系统可以 恢复到从前没有发生故障的状态，在此状态下重新执行。 虽然容忍入侵技术已经出现很多年，但是受制于其它技术发展缓慢，近几年 才有了较为迅速的发展，国内很多领域的专家学者开始注意容忍入侵的相关技 术。容忍入侵是网络和信息安全领域的前沿课题，其结果可应用于网络化系统以 及网络安全的防护中。但是从国内外的研究现状来看，要想应用到实际中还有很 1 0 天津大学硕士学位论文第一章绪论 长的路要走。 1 4 本文的主要研究内容及创新点 随着网络技术的高速发展，网络安全也问题受到越来越多的关注。容忍入侵 技术已经成为网络安全界研究的一个热点。本文深入的分析和研究了容忍入侵系 统中复制技术以及复制相关技术的优点和缺点，结合容忍入侵技术的当前研究状 况，具体做了以下几个方面的工作： ( 1 ) 详细介绍并且总结了国内外的研究现状和研究成果以及在关键技术领域 中还存在的问题。 ( 2 ) 针对被动复制技术不能容忍拜占庭错误的缺点，通过增加硬件故障检测 机和主备份轮换制的方法，使其可以初步容忍拜占庭错误，充分利用了被动复制 技术容易实现和系统资源开销低的优点。 ( 3 ) 给出了基于改进的被动复制技术的系统模型，并且对系统模型的各个部 分的功能进行了详细的介绍。对于故障恢复中时间延迟大的问题，提出了临时消 息日志的概念，并对其进行了实验验证。 ( 4 ) 最后对容忍入侵系统中所用的关键技术：可靠群组通信技术和大数表决 技术做了详细介绍，而且对于形式化大数表决技术给出了具体的应用实例。 本论文主要包括以下三个创新点： ( 1 ) 通过增加硬件故障检测机和主备份轮换制的方法，改进了传统的被动复 制技术，使基于被动复制技术的容忍入侵系统可以初步容忍拜占庭错误。 ( 2 ) 提出临时消息日志的概念，并且通过实验验证在故障恢复时，采用临时 消息同志技术减少了故障恢复时间的延迟和资源耗费。 ( 3 ) 设计了基于改进的被动复制技术的容忍入侵系统模型，并对模型的各个 部分的结构和功能进行了详细的研究。 天津大学硕士学位论文第二章复制技术在容忍入侵系统中的应用 2 1 引言 第二章复制技术在容忍入侵系统中的应用 容忍入侵技术的核心思想就是利用软件或者硬件技术屏蔽恶意的入侵攻击 对系统提供正常服务的影响，保证系统的安全性、可靠性( r e l i a b i l i t y ，两个连 续故障之间的平均时间) 、可用性( a v a i l a b i l i t y ，在任意时刻系统正常起作用的 可能性) 、机密性和提供服务的连续性。因此容忍入侵必须有这样的一种机制： 当它的一部分关键组件出现故障或者被攻击者恶意破坏的情况下，仍然能够继续 发挥作用，向客户提供正常的或者降级的服务。而实现这种功能的一种重要的技 术就是复制技术( r e p l i c a t i o nt e c h n o l o g y ) 。 复制技术是容忍入侵系统中的关键技术，复制技术可以提高系统的可用性和 容错性。复制技术的使用非常的广泛。例如网络服务器上的资源在浏览器上的缓 存和在网络代理服务器上的缓存都属于复制形式，这是由于缓存中的数据是服务 器中的数据的复制。地理区域上的扩展也需要进行数据复制。如果在使用数据的 进程附近放置一份数据的拷贝，那么进程访问数据所花费的时间将减少。因此性 能也就相对的提高了。 2 2 复制技术的作用和分类 复制技术是容错系统中的一种重要机制。实现容忍入侵，提高系统的可靠 性( 两个连续故障之间的平均时问) 和可用性( 在任意时刻系统正常工作的可能 性) 的一个重要技术就是复制技术。复制技术通过对同一个服务进程( 或数据、 对象) 进行多次复制并将复制品放到不同的服务器上，当出现故障，一个或多个 服务器上的服务失效时，整个系统的可用性仍然可以得到保证，这就防止了单点 故障导致服务不可用，提高了系统的可靠性和可用性；同时复制技术还可以避免 大量客户提出请求而只有一个服务进程运行而导致的瓶颈现象，提高了系统的性 能。复制是一种增强服务的技术。进行复制的作用包括改善服务性能、提高可用 性或者增强容错能力。 1 2 天津大学硕士学位论文第二章复制技术在容忍入侵系统中的应用 ( 1 ) 数据复制可以提高系统的可靠性。如果一个文件系统已经有了一个复 制副本。那么当其被破坏后，文件系统只需要转到另一个数据副本就可以继续提 供服务。通过维护多个拷贝，系统可以对数据提供更好的保护。 ( 2 ) 进行数据复制的另一个目的是提高性能。例如，当一台服务器的数据 和访问量不断增加时，服务器的负荷会急剧增大，结果是服务器可能宕机，不能 提供任何服务。这样，通过对多台服务器进行复制，采用负载均衡技术，可以大 大提高系统的可用行。 复制是一个冗余措施，这里指的是不同机器上的复制而不是同一机器上、不 同介质之间的复制( 如镜像磁盘) 。多机复制也能改进性能，因为可以选择最近 的复制件给访问请求提供服务，从而获得短的服务时间。 复制方案的基本要求是：同一文件的不同复制件应该位于不同的机器上，这 些机器中的某一台发生故障不影响其它机器。也就是说，一个复制件的可用性不 受其它复制件可用性的影响。这一要求意味着复制的管理是与位置有关的活动， 必须采取措施把一份复制件放到指定机器上。 复制技术主要分为以下两类： ( 1 ) 被动复制( 主备份) 复制技术 在被动复制模型中( 如图2 1 ) ，任何时候都有一个主副本管理器和一个或多 个副备份管理器。该模型的实质是：前端只和主管理器通信以获得服务。主副本 管理器执行操作并将更新操作的拷贝发送给其它备份管理器。如果主管理器发生 故障了，那么某个副备份管理器将被提升为主管理器。 c l i a l t p r i l n , a l ya l b a c k u p a 2 b a c k u pa 3 图2 1 被动复制原理图 当用户执行一个操作时，系统按照以下的次序执行： 1 ) 请求前端将请求发送给主管理器，请求中包括了一个唯一标识。 1 3 天津大学硕士学位论文第二章复制技术在容忍入侵系统中的应用 2 ) 协调主管理器按收到请求的次序原子的执行每一个请求。它检查请求 的唯一标识，如果请求已经执行了，那就简单的再次发送应答。 3 ) 执行主管理器执行请求并存储应答。 4 ) 协定如果请求是更新操作，那么主管理器向每个备份管理器发送更新 后的状态、应答和唯一标识，备份管理器返回一个确认j 5 ) 响应主管理器将应答发送给前端，前端再将应答发送给客户。 在主管理器正确运行的情况下，由于主管理器在共享对象上将所有操作顺序 化，因此该系统显然是可线性化的。 主备份管理器被唯一的某个备份代替。当接管主管理器时，剩余的备份管理 器在那些操作已被执行上达成一致。如果副本管理器( 主管理器和备份管理器) 组 织为一个组，并且该组使用视图同步通信发送更新到备份，那么这两个要求都能 达到。上面两个要求的第一个很容易满足。当主管理器崩溃时，通信系统最终传 送一个新的视图给备份，该视图不包含原来的主管理器。替代主管理器的备份可 以用任何函数选择，比如可选择视图中的第一个成员作为替