（计算机应用技术专业论文）基于入侵容忍技术的数据库安全的研究.pdf

摘要 基于入侵容忍技术的数据库安全的研究 摘要 传统的数据库安全研究主要集中在如何进行防御上，如认证、 加密、访问控制、防火墙、入侵检测等，其目标是建立更加安全的 数据库系统。其缺陷是不能有效抵御所有入侵，对于内部攻击更是 无能为力。而入侵容忍数据库正是考虑了在系统遭受到入侵的情况 下，如何使系统仍然能够为合法用户提供不间断的服务，从而保证 数据库的可用性、完整性和机密性。 本文首先对入侵容忍技术进行了详细的探讨，并在此基础上， 从系统的整体角度出发，根据数据库系统安全的需求，构建了一种 多层次的入侵容忍数据库安全模型。代理层、异构冗余结构的设计 均使用了冗余及多样性技术，从结构上保证了系统的可生存性；自 适应控制技术的使用使系统通过选择不同的工作模式、提供降级服 务等手段使系统具有更强的弹性；事务级的入侵容忍能够有效抵御 利用合法用户信息进行的攻击及内部攻击。 然后，对系统使用的关键技术及基于这些技术设计的方案进行 了详细的描述，并给出了算法实现。基于形式化的大数表决技术的 表决方案，对多个冗余服务器响应的结果进行表决，实现了系统对 未知攻击的识别能力。基于a s m u t h b 1 0 0 m 门限的存储方案，实现了 敏感数据的机密性，该方案只需要执行若干模加和模减运算，使运 算的开销大为减少，所以实现简单，效率较高。另外，给出了一个 利用触发器( t r i g g e r ) 冗余结构间的数据同步方案。 最后，对于影响系统性能的主要因素也进行了详细的理论分析， 同时构建了一个入侵容忍系统原型，并通过相关实现对系统的可用 性和性能进行了验证。 关键字：数据库安全入侵容忍冗余表决秘密共享 摘曼 t h er e s e a r c h0 fd a t a b a s es e c u i u t yb a s e d o ni n t r u s l 0 nt o l e r a n c e t e c h n i q u e a b s t r a c t t r a d i t i o n a lr e s e a r c h e so fd a t a b a s es e c u r i t yu s u a l l yf o c u so nh o wl o d e f e n d ，s u c h a sa u t h e n t i c a t i o n ， a c c e s s c o n t r o l l i n g ， a n df i r e w a l la n d i l l t m s i o nd e t e c t i o n t h em o t i v ei st ob u i l dm o r es e c l l r ed a t a b a s es y s t e m s ； t h el i m i t a t i o ni st h a tn o ta l li l l t m s i o n sc a nb ed e f e n d e d e f 琵c t i v e l y ， e s p e c i a l l yf o ri n t e m a la t t a c k s i n t m s i o nt o l e r a n c ed a t a b a s ec o n s i d e r s h o wt om a k et h es y s t e mt op r 0 v i d eu n i n t e r m p t e ds e r v i c ei nt h ec a s eo f i n t m s i o n ，a n dk e e pt h ea v a i l a b i l i t y ，i n t e g f a l i t ya n dc o n f i d e n t i a l i t yo fi h e d a t 矗b a s e t h i sp a p e rd i s c u s s e st h et e c h n i q u eo fi n t m s i o nt o l e r a n c ei nd e t a i 】 b a s i n g0 nt h a i ，am u l t i l e v e l i n t m s i o ni o l e r a n c ed a t a b a s es e c t l r i t ym o d e l i sc o n s t r u c t e d a c c o r d i n gt o t h e r e q u i r e m e n to fs e c u r i t yo fd a t a b a s e s y s t e m t h et e c h n i q u eo fr e d u n d a n c ya n dm u l t i f o r m i t yi su s e di nt h e d e s i g n o f a g e n t l e v e l a n di s o m e r o u s r e d u n d a n c y s t r u c t u r e t h a c i l i j ! 墨些三查兰堡! ：兰竺堕兰 g u a r a n t e e st h es u b s i s t e n c ea b i 】i t yo ft h es y s t e mi nt h ef r a m e w o r k t h e u s a g eo ft h et e c h n i q u eo fs e l f - a d a p tc o n t r o l l i n gm a k e st h es y s t e mm o r e f l e x i b l eb ys e 】e c t i n gd i f l e r e n tw o r km o d eo rp r o v i d i n gd e g f a d e ds e i 、r i c e i n t n l s i o nf o l e r a n c eo nt r a l l s a c t i o nl e v e lm a k e st h es y s t e mt of e s i s tt h e a t t a c k sw i t hc h ei n f o r m a t i o no fa u t h o r i z e du s e r s a f t e 刑a r d ，t h em i n o r i t yt e c h n i q u e su s e db yt h es y s t e ma n dt h e d e s i g nb a s i n go nt h et e c h n i q u e sa r er e p r e s e n t e da t1 e n g t h ，a n ds o m e a l g o r i t h mi si m p l e m e n t e d t h ev o t i n gs c h e m eb a s i n go nm et e c h n i q u eo f a d a p t i v em a j o r i t yv o t i n gv o t e so ns e v e r a lr e s p o n d i n gr e s u n sf i d m r e d u n d a n ts e r v e r t h a tm a l ( e st h es y s t e mt od e t e c tu n k i l o w ni n t m s i o n t h es t o r a g es c h e m eb a s e do na s 枷t h b l o o mt h r e s h o l dg u a r a n t e e st h e c o n f i d e n t i a l i t yo fs e n s i t i v ed a t a t h es c h e m en e e d so n l ys o m em o d i l l a r a d d i n ga n dm o d u l a rm i n u s ，s ot h es p e n d i n gf o ro p e r a t i o n si sr e d u c e d d f a m a t i c a l l y i na d d i t i o n ，as c h e m eo fd a t as y n c h r o n i z a t i o nu s i n g7 r r i g g e r r e d u n d a n c ys t m c t u r ei sd i s c u s s e d i nt h ee n d ，t h e p a p e ra n a l y z e sm em a i nf a c t o r sw h i c ha 丘e c tt h e p e r f o r m a n c e o ft h es y s t e m t h e o r e t i c a l l y ap r o t o t y p eo fi n t m s i o n t o l e r a n c es y s l e mi sc o n s t m c t e d ，a n dt h ea v a i l a b i i i t ya n dp e r f o r m a n c ea r e t e s t e d k e yw o r d s ：d a t a b a s e s e c u f i t y ，i n t m s i o nt o l e r a n c e ，r e d u n d a n c y v o t i n g ，s e c r e ts h a r e d 符0 说叫 符号说明 自主访问控制 强制访问控制 代理服务器 入侵检测系统 主代理服务器 辅助代理服务器 机密数据 公开数据 操作系统 数据库管理系统 系统爿的漏洞 彤的漏洞 的漏洞 d 8 朋俘的漏洞 表决集合 对空间数据的操作 表决门限 集合y 中元素的个数 l 临时的s y n r e c o r dt 变量 s y n r e r d t 到r c c o r d 2 s e r v e r _ t 的映射表； 数据库服务器f 同步表中取到的记录中的s q lt e x t 同步表中取到的记录中的s q l _ j b x t ( ，) 的反操作 数据库服务器个数 大数表决条件 秘密共享机制 关系r 的第f 个片段 第i 个存储节点 关系尺驻留在第，个节点上的的第f 个片段的一个拷贝 数据d 的第i 个机密片断 机密数据存储方案 脚彤脚|耋棚5一俐一x c。m2脚墨rk毋鼢晰西一q 北京化工大学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立 进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不含 任何其他个人或集体己经发表或撰写过的作品成果。对本文的研究做出重 要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声 明的法律结果由本人承担。 作者签名：勃蝗日期：作者签名： 铿塑 日期： 枷6 b f 关于论文使用授权的说明 学位论文作者完全了解北京化工大学有关保留和使用学位论文的 规定，即：研究生在校攻读学位期间论文工作的知识产权单位属北京 化工大学。学校有权保留并向国家有关部门或机构送交论文的复印件 和磁盘，允许学位论文被查阅和借阅；学校可以公布学位论文的全部 或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇编学 位论文。 保密论文注释：本学位论文属于保密范围，在土年解密后适用本授 权书。非保密论文注释：本学位论文不属于保密范围，适用本授权书。 作者签名： 导师签名： 日期：地16 ：! 日期：坦堑：! 莽 一 一 第一章绪论 第一章绪论 随着计算机技术的不断发展，各种攻击手法也层出不穷，处于网络环境中 的数据库系统更是成为了极具诱惑力的攻击目标，数据的保密性、完整性和有 效性都受到很多方面的威胁，包括密码策略、系统后门、数据库操作以及d b m s 本身的安全方案，其安全问题早已受到了各界人士的高度重视。目前，信息安 全已处于以“生存技术”为核心和代表技术的第三个发展阶段，数据库入侵容 忍技术也随之发展起来。本文就是以“数据库入侵容忍技术”作为研究的内容。 本章共三小节，第一节介绍数据库安全需求，第二节说明了课题研究背景， 第三节说明了本论文所做的工作。 1 1 数据库系统的安全需求 与其它系统的安全需求一样，数据库系统的安全1 1 l 主要包括数据库的完整 性、可靠性、有效性、保密性、可审计性、存取控制与用户身份认证等。安全 数据库系统中，要求数据粒度精确到表级、域级、直到行级、元素级等，并重 视数据的语义。 数据库系统的完整性与可靠性：是指必须保证数据的正确性，涉及到数据 库内容的正确性、有效性与一致性。实现数据完整性就是要保证数据库中数据 的正确、有效、并且能够使其不受无效更新的影响。数据库的完整性实际上是 数据库系统自身、操作系统、应用系统的职责。 存取控制：数据库通常是根据用户的存取权限的不同从逻辑上分离数据。 也就是说数据库系统必须指定哪个或那些用户被允许存取字段或者记录以及元 素的哪些数据。标示和认证是存取控制的基础。在数据库中，由于记录、字段、 元素之间是相互联系的，所以，用户有可能仅仅通过读出其它的数据文件而推 断出某一数据元素，这种现象被称为“推理( i n f e r e n c e ) ”【2 j q 可以通过推理而 非直接存取的方式存取保密实体。 访问控制机制主要包括两类： d i s c n 6 0 蚰r y a c c e s sc o n t r 0 i ( d a c 自主访问控制) ：自主访问控制根据用 户的标示和访问规则处理用户对系统中数据的访问。访问规则规定了用户主体 ( s u b j e c t ) 对数据客体( o b j e c t ) 的访问模式，访问规则集合反映的是授权信息。自 主访问控制策略允许用户授予其它用户访问某些客体的授权。 m a n d a t o r ya c c e s sc o n t r o l ( m a c 强制访问控制) ：强制访问控制策略依赖 客体和主体用户的安全级来限制用户对信息的访问。它通过无法回避的存取限 北京化t 大学硕士学位论文 制来防l i i = 各种攻击，实施强制访问控制的数据存储安全系统使得恶意用户不能 通过特洛伊木马等入侵手段获取其无权知道的信息。 分级保护：一个安全级( c l a s s i f i c a t i o n ) 由一个安全级别( s e c u r i t vl e v e l ) 和一个范畴( c a t e 鐾o r i e s ) 组成。一个安全级别也被称为安全标示( s e c u r i t y l a b e l ) 。 对于客体，它代表了其敏感性，对于主体，它代表了其安全许可证( s e c u r i t v c l e a r a n c e ) 。例如安全级别通常包含有绝密( t s ) 、机密f s ) 、秘密( c ) 、公 开( u ) 四级。如果安全级c 1 的安全级别 安全级c 2 的安全级别且c 1 的范畴集 合包含c 2 的范畴集合，那么安全级c 1 z 安全级c 2 ；如果c 1 c 2 和c 2 c 1 都不满足，则称c l 和c 2 是不可比较的。 强制访问控制遵循下面的强制安全策略：一个主体只能读比它安全级别低 的客体；一个主体只能向比其安全级高的客体写。具有高安全保证的数据库系 统必须遵循强制安全策略m a c 。 数据库加密：对于一些重要部门的数据库的安全，仅从访问控制和数据库 的完整性方面考虑还不够。因为原始数据是以可读方式保存在数据库中的，攻 击者可以攻入系统或者从存储介质中导出。数据库的保密问题，不仅仅是在传 输过程中采用加密保护和控制非法访问，还必须对存储数据进行加密保护。 推理通道：推理就是根据低密级的数据和模式推导出高密级的数据的存 在，即信息的泄露并非来自安全机制，而是来自信息本身的信息和语义。基于 强制安全策略的系统可以防止低安全级的用户读到高安全级的数据，却不能防 止根据语义和应用来推导高安全级的数据。 1 2 课题研究背景 今天，许多政府机构、军事部门和企业、公司大都将信息存储在数据库系 统上，作为信息系统的一部分，数据库的安全就显得十分重要。特别是我国正 在进行大规模的信息化建设，网络上如电子商务、电子现金、数字货币等各种 新业务不断涌现，对数据库系统的高安全性的要求也更加迫切。数据库安全的 重要性主要体现在以下几个方面： 1 、数据库是新型电子交易、办公自动化( o a ) 、信息管理系统( m i s ) 、 企业资源规划( e r p ) 及其他重要商业系统的基础1 3 j 。 2 、数据库中保存大量非常重要的、敏感的数据。以s q l s e e r 、o r a c l e 等为代表的现代关系型数据库系统几乎都是“可从端口寻址的”，也就是说， 只要选择了合适的查询工具，就能轻易的避开操作系统的安全机制与数据库直 第一章绪论 接相连。如，s q l s e e r 的1 4 3 3 端口，o r a c l e 的1 5 2 1 和1 5 2 6 端口等i 。所以， 仅仅将网络和操作系统的安全搞好是不够的。 3 、有些数据库的安全漏洞会威胁到操作系统及其它可信系统。比如，有 些数据库提供的机制能够影响到操作系统或网络底层的安全，攻击者可能仅执 行一些数据库系统中内置的扩展存储过程，便可获得操作系统的权限。这样会 造成不可估计的损失。 过去的数据库安全研究重点是如何将攻击者拒之门外，通过加密和严格的 存取控制保护信息的机密性、完整性和可用性。并由此发展的一些技术，如多 极分类安全系统、边界控制、入侵检测以及物理安全措施能够满足部分用户的 保密需求。这些安全技术的主要目的是防御攻击或者入侵，但是实际上这些防 御措施对于恶意攻击并不总是有效的。并且这些安全系统只能针对较小的团体， 实施这种多极技术、研究模型、控制软件硬件开发的每一个细节用户、评估和 检查其安全性都会增加系统成本，而效率、功能等却与商用系统的需求存在较 大的差距。因此，我们必须找到一些能够增强现有数据库系统安全性的方案， 使它们针对攻击具有自动恢复能力( 或弹性) ，从而提高数据库系统的可生存 性。 而数据库入侵容忍技术为解决以上问题提供了实现的可能性。数据库入侵 容忍技术是一种新的安全技术，其核心思想是利用容忍技术屏蔽入侵或者攻击 对系统功能的影响，使数据库系统具有弹性，从而达到即使系统在遭受到一定 限度的攻击后，仍然能为合法用户提供不问断的正常服务的目的【5 】【“。 1 3 本论文的工作 在后续几章中，我们将会详细论述本论文所取得的各项工作成果。 课题研究的内容主要有以下几个方面： 首先，提出一种基于容忍入侵的多层次数据库安全系统的模型和体系结 构。该系统中，采用了不同的容忍技术从不同的方面考虑系统在遭受入侵时的 可生存性，使系统在结构上、策略上都就有很强的弹性。 其次，详细讨论了基于形式化的大数表决技术的表决方案，并进行了算法 实现，它的使用为系统提供了识别未知攻击及内部误操作( 恶意操作) 的能力： 表决控制是系统容忍实现的关键部分之一，也是系统重配置的主要依据。同时， 给出了异构冗余结构间服务器上的数据问的同步方案，并进行算法实现，方案 中采用触发器( t r i g g e r ) 记录数据库执行的写操作，通过定期比较各数据库的 北京化t 人学硕1 。学位论文 同步表对数据库之间的相异信息进行同步，在一定程度j ! 二提高了入侵容忍数据 库系统的性能。 第三，详细讨论了基于a s m u t h b l o o m 门限( 一种“，h ) 秘密共享方案) 的 机密数据存储方案，并进行了算法实现，它的使用在保证敏感数据的机密性的 同时，还保证了数据的可用性和完整性。敏感数据的存储也是数据库安全的一 个非常重要的问题，基于“，n 1 秘密共享的机密数据存储方案能够保证系统在遭 受一定程度的攻击后，不会产生泄密，并仍能够为正常用户提供不间断的服务。 第阴，对多层次入侵容忍数据库的性能进行了详细的分析，并进行了仿真 实验，给出了实验的结果。 最后，是本论文的结论及对以后工作重点的展望。 第一章入侵容忍拙术 第二章入侵容忍技术 本章主要介绍入侵容忍技术相关的知识。第一节主要介绍了入侵容忍技术 出现的背景；第二节是有关入侵容忍系统的技术原理的些说明；第三节是一 些常用的入侵容忍技术；第四节说明了入侵容忍技术的触发机制；第五、六节 是关于入侵容忍技术的研究现状及发展趋势的些说明。 2 1 入侵容忍技术的引入 信息安全技术的发展大致包括信息保护、信息保障及生存技术等三个阶 段。在每个阶段，针对当时的攻击手法，都发展了相应的核心技术，而入侵容 忍技术正是第三代信息安全技术的核心技术。 1 、第一代：信息保护技术 第一代信息安全技术之所以被称为“保护技术”，是因为它假设能够划分 明确的网络边界并能够在边界上阻止非法入侵，通过各种手段对信息进行保护 和隔离，从而达到真实、保密、完整和不可否认等安全目的。通过口令阻止非 法用户的访问；通过存取控制和权限管理让某些人看不到敏感信息；通过加密 使别人无法读懂信息的内容；通过等级划分使保密性得到完善的保证等。 信息保护技术的缺陷是，不能够在所有情况下都能够清楚地划分并控制边 界，保护措施也不是在所有情况下都有效。 2 、第二代：信息保障技术 信息保障包含了比“信息安全”有更宽的含义，包括保护、检测、响应并提 供信息系统恢复能力的、保护和捍卫信息系统的可用性、完整性、真实性、机 密性以及不可否认性的全部信息操作行为。但由于同时代的技术是以检测和恢 复为主要代表的第二代信息安全技术，所以就把这一代安全技术称为“信息保障 技术”。其代表和核心技术是检测技术。 但是，检测系统要发现全部的攻击是不可能的，因为检测技术存在不可逾 越的识别困难，所以，信息保障技术还是没能解决所有的安全问题。 3 、第三代：生存技术 第三代技术是关于增强免疫能力的技术，也被称做信息生存技术。卡耐 基梅隆大学的学者给生存技术做得定义是：系统在攻击、故障和意外事故已发 生的情况下，在限定的时间内完成使命的能力。由于生存技术的代表和核心技 术正是入侵容忍技术，所以入侵容忍技术也被直接称为第三代信息安全技术。 解决了入侵容忍，也就解决了系统的生存问题。 北京化t 人学顾l 学位论史 入侵容忍技术的目标是，当一个网络系统遭受非法入侵后，其中的防护安 全技术都失效或者不能完全排除入侵所造成的影响时，即使系统的某些组件遭 受攻击者的破坏，容侵系统仍能及时自我诊断、恢复和重构，并能为合法用户 提供所需的全部或者降级的服务8 1 。 2 2 入侵容忍技术原理 2 2 1 入侵模型 导致入侵的原因主要有两个：系统漏洞，是系统被入侵的内部原因，即在 系统的需求中、规格说明中、配置中及实现使用的方法中，存在一个或者多个 弱点或者缺点( 脆弱点) ，包括意外的、恶意的或非恶意的有意识的故障：恶 意行为或攻击，是系统被入侵的外部原因，指攻击者对系统或者系统组件的成 功入侵，比如端口扫描，从而使系统状态产生错误( e d r ) ，并引起系统的失 效( f a i l u r e ) 。将系统漏洞和外部攻击称为故障( f a l l l t ) ，则一个系统被成功入 侵时，通常出现这样的事件序列：故障( f a u l t ) 一错误( e n d r ) 失效( f a i l u r e ) 。 图2 1 给出了这个过程的图形化描述a v i 【9 】( a t t a c k ，v u l n c r a b j l i t v ，i n t m s i o n c o m p o s i t ef a u l tm o d c l ) 失效模型： 圈2 - l a v l 失效模型 f 塘2 1a v ic o m p o s i t ef a u l im o d e l 系统的脆弱点无法完全消除，所以在大多数系统的实现中，都会存在被攻 击的可能性。在这样的前提，如何处理系统失效才是关键所在，可以通过两种 策略来解决这样的问题：第一种是预防阻止，即在设计时尽量减少系统的脆弱 点，并通过预防措施阻止攻击。可以综合应用多种安全技术来实现，如，信息 过滤、漏洞扫描、防火墙、入侵检测、认证以及加密等成熟的技术。第二种就 是容忍入侵机制，其目标是容忍已经被入侵者成功利用的脆弱点，也就意味着 能够检测到入侵引起的系统错误，并采用相应机制进行错误处理。图2 2 是综 合利用两种策略的防止系统失效的a v i 模型。 第章入侵容忍技术 减少脆弱点 图2 - 2 防止系统失效的a v i 模型 f i 9 2 2a v lp r e v e n t i n gs e c i l r i t yf a i l u r em o d e l 从图2 - 2 中可以看出来，当入侵成功事件发生后，容忍入侵成为系统的最 后一道防线。 2 2 2 入侵容忍技术的特点 l 、消除单点失效 入侵容忍系统的一个重要特点是要求消除系统中所有的单点失效，也就是 说，任何单点发生故障不影响整个系统的运转。入侵容忍系统不相信任何一个 单一的系统，因为它们可能会被攻击者占领。作为基础设施，提出消除单点失 效的要求是合理的。 2 、抵制内部犯罪 入侵容忍技术的另一个特色是抵制内部犯罪。攻击是无法完全禁止的，而 内部犯罪更加难以根除。入侵容忍通过对权力分散及对技术上单点失效的预防， 保证任何少数设备、任何局部网络、任何单一场点都不可能做出泄密或破坏系 统的事情【1 0 】。 3 、权力分散 入侵容忍系统消除了权力集中。它的权力分散不同于一般的权力分散，是 彻底的权力分散：任何设备、任何个人都不可能拥有特权。如入侵容忍的保密 不同于一般存取控制中的权力分散，存取控制中总会有一个系统或设各级别非 常高，但入侵容忍系统中不存在这样的设备。 2 2 3 入侵容忍技术分类 从容忍入侵技术上分为两类： l 、基于容错技术的入侵容忍 北京化工大学坝1 学位论文 这种方法主要采用一些容错技术实现系统或者应用的容忍入侵。该方法比 较符合信息可生存性的要求，但是不满足信息及密性的要求。在容错系统中， 处理菜个错误一般需要四个步骤：错误检测，破坏估计，重配置和恢复。这与 容忍入侵的处理步骤大体相似，所以可以把入侵容忍技术看作容错技术的延伸。 但是要将容错技术应用到入侵容忍系统中，还有许多挑战，主要表现在以 下几个方面： 1 ) 在现实的网络系统中，安全威胁最终都是人为( 大多是恶意的行为) 的，受到恶意入侵的系统组件，其故障行为几乎是不可预测的。但是容错技术 主要着眼于在设计或实现阶段的意外故障，允许对可预言的故障行为进行一些 合理的假设。这是安全问题与容错问题的一个显著区别。 2 ) 目前的容错系统大多着眼于明确定义的软硬件模块，其故障模式相对 容易定义。但在现实的较大的网络系统中，每个组件的功能都十分复杂，导致 很难定义其故障。 3 ) 在网络系统中受到的大部分入侵主要来自系统内部，传统的容错技术 对此问题根本没有加以考虑。 4 ) 容错技术构成的系统大多主要考虑如何对攻击的阻止，但事实证明， 在现实的系统中，许多攻击往往是很难阻止的。因此也很难保证系统的可靠性。 对于基于容错技术的入侵容忍系统，i ( a t e r j n ag o s e v a p o p s t o i a l l o v a 和f c i y i w a i l g 等人利用状态转移图模型【l l 】给出了其动态行为。这个模型有助于描述已 知和未知的安全攻击。通过将已知的安全脆弱性影射到这个状态图，可以确定 合适的故障空间。 2 、基于门限密码技术的入侵容忍 这种方法主要采用门限密码技术实现容忍入侵。其比较符合机密性要求， 但是不完全能够满足信息可生存性的要求。另外，该方法虽然也包含了冗余的 容错计算思想，但是并不能对受故障或者入侵影响的系统进行适当的重构和恢 复。 目前使用门限密码技术构建的入侵容忍系统大都基于s h a m i r 的秘密共享 方案，其数学原理是l a g r a n g e 插值方程，主要思想是：将系统中敏感的数据或 者系统部件利用秘密共享技术以冗余分割的方法进行保护。有个基本的假设： 在给定时间段内被攻击者成功攻破的主机数目不超过门限值。 实现过程一般是将门限密码学方法和冗余技术相结合，在一些系统部件中 引入一定的冗余度，基于门限密码技术将秘密信息分布于多个部件中，而且有 关的秘匙从来都不在一个地方重构，从而达到容忍入侵的目的。 第一章入侵容忍技术 在目前的研究中，有三个比较理想的方案，它们是l b mr e s e a r c h z u r i c h 研究院v i c t o rs h o u p 的方案i ”j ，纽约c e r t c o 公司y a i rf r a n k e l 等人提出的方案 【1 3 】以及美国s t a n f o r d 大学的i t t c 项目方案【1 4 】【1 5 】【1 6 l 。这几个方案都是在s h a m i r 的秘密共享方案之上提出的。欧盟支持的一个重要的长期研究计划m a f t 忪 也主要利用秘密共享技术来实现对i n t e m e t 应用中恶意的以及偶然的故障( 入 侵) 的容忍。 按服务器的工作模式上电可以分为两类： l 、全激活模式( a c i v e ) 在该模式中，用户的请求会被多播给冗余服务器群，所有的服务器都独立 的处理该请求。如果某个服务器失效，可能会影响到整个系统的性能，但是其 余的服务器仍可以提供持续的服务。这种模式的特点是能够容忍b v z a n t i n e 错误 【“。缺点是由于所有的服务器都处理请求并反馈给前端代理处理，所以必然增 加系统的开销。 其一般的处理模式如下： 1 ) 请求：系统的前端( 往往是一个代理服务器) 收到用户的请求后，为 该请求加上一个唯一的标识( 如系统产生的序列数) ，然后多播给服务器群。 2 ) 协调：群组通信系统负责可靠有序的传递请求给每个正确的服务器。 3 ) 执行：服务器群收到请求后开始执行，并把结果反馈给系统前端。 4 ) 表决：通过嵌入在前端或者服务器系统中的表决器对系统的相应结果 进行表决。在一些系统中会把表决器嵌入到客户端，用来判定b v z a n t i n e 错误， 但是，如果用户不可信，那么表决器的表决往往会影响到系统对服务器的正确 判定，所以在这种情况下，必须保证用户的可信性。 5 ) 响应：表决结果反馈给前端，然后由前端将结果传递给用户。 2 、主从模式( p r i m a r y - b a c k u p ) 在这种模式中，在任何时刻只有一个主服务器，有n 个( n 不小于1 ) 个 从服务器。用户通过前端只与主服务器通信。主服务器执行用户的请求并发送 更新后的数据副本给从服务器。如果主服务器失败，那么通过预定的选举机制 从从服务器中选出一个提升为新的主服务器来继续为用户提供服务，从而保证 系统服务的持续性。这种模式的优点是开销较小，因为只有主服务器为用户提 供服务，缺点是无法处理b y z a n t i n e 错误。比较有代表性的系统是h a c q i t 。 其一般的处理模式如下： 1 ) 请求：系统的前端( 往往是一个代理服务器) 收到用户的请求后，为 该请求加上一个唯一的标识( 如系统产生的序列数) ，然后发送给主服务器。 9 北京化t 人学删l 学位论文 2 ) 协调：主服务器按照顺序接受每一个请求，然后检查请求的标识。如 果已经执行了该请求，那么它只需要重发请求就可以。 3 ) 执行：如果该请求标识显示该请求时一个新请求，主服务器便丌始执 行请求、并响应结果。 4 ) 一致性协商：如果请求要对数据作更新操作，主服务器发送更新后的 状态、响应和标识给所有的备份服务器。每个备份服务器收到该更新后，给主 服务器反馈一个确认信息。 5 ) 响应：主服务器将结果反馈给前端，由前端将结果传递给用户。 2 2 4 入侵容忍技术的实现方法 目前，主要通过两种方法来实现入侵容忍【7 】o l 、攻击响应 这种解决方案通过改进检测系统，加快反应时间，从而将信息保障技术上 升到一种在攻击发生的情况下能够继续工作的系统。 攻击响应的入侵容忍系统一般都包括一个基于风险概念的入侵预测系统、 一个高正确率的入侵判决系统、一套系统资源控制系统和在线的修复管理程序。 有些系统中还包括了隔离机制。当入侵检测系统预计某些活动可能是攻击时， 就能调用资源的重新分配以减缓这种可能是攻击的操作。如果预测系统认为某 种操作可能会严重影响后续的系统运作，则隔离机制会将这种可疑的操作隔离 到其他区域。最后，到入侵判决系统作出正确的判决以后，修复管理程序再将 攻击操作所导致的错误结果进行修补。针对被隔离的数据和操作，当判决系统 认为确实是攻击时，就将被隔离的操作删除掉。当判定不是攻击时，就将这些 隔离的结果融合到正确的系统中去。 资源调整系统是入侵容忍系统中的重要环节。如何有效地调整资源，保证 最大程度地限制被破坏区域的扩大是该类入侵容忍系统所要研究的。已有的许 多设备可以作为资源调整系统的基础，如具有带宽调整功能的防火墙就可以将 被怀疑的攻击i p 地址的带宽限制在一定的范围内，从而保证其他用户的正常通 信。通过重新定向的技术可以把可疑的操作导向到一个隔离区域从而保护系统 的正常运转。 修补系统是该类型入侵容忍技术中的一个难点。一旦最后的判决认为某个 操作确实是攻击，系统必须修正所有被该攻击影响到的数据而又不要采用简单 的回退恢复。为了达到入侵容忍的目的，系统必须保证未被感染的部分不被恢 复。这样，修复系统首先必须搞清楚哪些数据或系统受到影响变“坏了”；其次， 1 0 第一章入侵容忍技术 就是把这些“坏了”的设备或数掘进行正确的修复。如何跟踪每个可疑的操作， 如何备份是这个体系中的重要内容。 许多入侵容忍的系统就基于这样的结构，如i t d b 数据库系统、i n t e m e t 的服 务保护系统等。这种入侵容忍的特点是不需要重新设计系统结构，系统的操作 和连接界面也可以保持与原有的一样。 2 、攻击遮蔽 多方安全计算的技术、门限密码技术【1 9 】、b y z a n t i n e 协议技术等是攻击屏蔽 入侵容忍技术的理论基础。假设计算环境是不可信的，要设计一种结构，使可 信的部分系统能够在不可信的环境中安全地合作，来完成系统的任务。 攻击遮蔽的方法就是一开始就重新设计整个系统，以保证攻击发生后对系 统没有太大的影响。该方法的原理可以用古老的容错技术进行说明。比如，在 设计时就制造足够的冗余，以保证当部分系统被攻击时，整个系统仍旧能够正 常工作。当然，入侵容忍的冗余并不是简单的容错中的冗余，入侵容忍的冗余 技术应该保证各冗余部件之间具有复杂的关系，并具有不一样的结构。类似双 机备份这样的技术没有办法构成入侵容忍的结构，因为攻击者能够攻克第一个 服务器，也就能够攻克第二个服务器。当需要机密性服务时，双机备份也不行， 因为攻入一个系统就能够得到所有的信息。 比如，信息安全国家重点实验室的入侵容忍的c a 系统从门槛密码学的思 路出发，利用密钥的拆分来保证私钥安全和签名安全。当有少数设备被敌人占 领时，私钥不泄露，证书和c r l 的签发服务照常进行。c o r n e l l 大学的c o c a 系统是基于b v z a n t 血e 协议技术的思路，其分布式的c a 系统能够保证，当t 个 服务器发生任意错误的时候，整个c a 系统依旧能够正常地工作。 2 3 常用入侵容忍技术 2 3 1 冗余技术 冗余i 加】是容忍的最基本、最重要的技术，可以说没有冗余就没有容忍( r e d u n d a n c y ， n ot b l e r a n c e ) 。冗余一般是指系统资源超出正常工作条件所需 的标准。冗余与复制( 备份) 是有区别的，复制只是冗余的一种，是物理上对 数据源的冗余。此外还有两种冗余：时间冗余和信息冗余。被广泛用于通信协 议的超时技术( t i m e o u tt e c h n i q u e ) 就是时间冗余的一个例子，当发送连接请 求并等待回应时，通常会设置一个超时时间，这个时间范围允许在一定范围内 北京化t 人学坝= b 学位论文 容忍通信连接中的临时错误。信息冗余的应用也很广泛，例如原始数据被采用 多余的比特编码，用于提供同步、纠错等功能，从而更好地容忍错误。 采用冗余技术也会带来一些问题，其不足主要表现在以下两个方面：一是 冗余在减少错误发生的同时会增加系统的复杂度；二是增加了系统成本，而且 不成熟的冗余会增加潜在的错误发生几率。 为了保证从冗余的源中得到正确结果，就需要进行表决【2 1 】。举一个简单 的例子：文件s 存放在5 个服务器上，当对s 进行查询时，需要从5 个服务器 上取回查询结果 s 1 ，s 2 ，s 3 ，s 4 ，s 5 ) ，并由一个表决执行者对这5 个查询结果 进行比较，如果其中的多数( 如4 个) 服务器上的内容一致，就认为成功，也 表明另一个服务器可能遭受到了攻击者的入侵。可以看出，表决的作用有两个： 得到正确的结果；标识入侵。 2 3 2 系统自适应技术 由于影响入侵容忍数据库系统的因素很多，所以即使相同的入侵容忍手 段，在不同的系统状态下得到的效果也会有很大的差异。可以通过采取自适应 技术增强系统的工作效果。常用的自适应技术有以下几种： l 、回滚：受影响的组件透明地被正确的备份组件代替。 2 、转移：将所有拥塞的请求转移到另一个安全的服务器。 3 、共享负载：或称负载平衡，用于避免负载过重导致服务器不可用或者 降级。 4 、阻塞：如果某个客户被认定是攻击者或者是可疑的，则系统可以拒绝 为其服务。 5 、鱼缸：类似于阻塞，但是允许可疑客户继续接受服务，但是将禁止其 执行某些操作，以保护其它正常客户不受影响。 6 、复原：当遭受攻击的组件恢复正常后，可以被重新启用。 7 、调整系统状态：系统的多级防御措施可以根据操作环境和遭受攻击情 况进行调整。 在数据库入侵容忍系统的设计方案中，可以综合应用以上自适应技术，但 必须注意以下两个方面：一是系统的自适应方案是不可预见的，否则将会被攻 击；二是自适应方案要有弹性，防止短暂的行为导致系统调整工作状态，以致 造成系统状态的不稳定。实时的或者无级的自适应是非常困难的 2 “。 2 3 3 间接访问技术 招一章入侵容忍技术 间接访问技术，用来在客户和服务器之间设置防御。其实现采用墨盒设计， 对于客户来说是透明的。有三种常用间接访问技术： l 、代理( p r 假y ) 代理是系统的入口，代理客户的请求，是系统防御的第一道防线。主要功 能是：代理客户请求；流量( 负载) 平衡；客户合法性测试；基于签名的测试 等。由于p r o x v 是系统的入口，所以其性能是系统性能瓶颈的一个重要因素。 代理很容易成为被攻击的目标，所以实现时应采用多p r o x y 设计。 2 、封装( w 瑚p p e r ) 封装是服务器最常用的方法，一个单独的代理封装就是一个防御线。通常 封装是在其它迂回技术后台工作的，用于给服务器添加功能同时又不会改变 c o t s 自身的特性。它检查请求并在与其它组件( 不是终端客户) 共享该请求 之前发出响应。封装不同于代理的方面是在封装模块内部存放着服务器的一些 内容。 3 、沙盒( s 蛆曲倔i g ) 沙盒是用来分隔用户、服务器和其它不被信任组件的工具。该方法将不信 任的程序在单独的虚拟地址空问里安全地运行，限制其访问本地资源的权限， 使其只能施加有限的影响，破坏有限的资源。这样，沙盒为不被信任的组件提 供了一个安全执行窗口。沙盒通常用于保护错误的移动代码，测试和诊断可疑 的攻击。 间接访问技术有称为迂回技术，种类较多，它们的共同目的是：通过附加 的层分隔用户和服务器来达到保护系统的目的。使用问接访问技术能够较大程 度地提高系统的安全性，但是会增加额外的成本和时延。 2 4 入侵容忍技术研究现状 国际上很早就开始了入侵容忍技术的研究，早在1 9 8 5 年，f r a g a 和 p o w e l l 就发表文章提到了入侵容忍的概念。目前，许多重要的国际研究机构 都在研究入侵容忍技术或生存技术。美国著名的学术会议a c mc c s2 0 0 3 专门 开出一个w o r k s h o p 讨论生存系统问题。国外的主要研究项目有【2 3 】： l 、0 a s l s o a s l s ( o r g a n i c a l l ya s s u r e da n ds u r v i v a b l ei n f o 瑚a t i o ns y s t e m ) 是美国国防部 高级研究计划署f d a r p a ) 的一个重要研究计划。该计划旨在减弱敌人通过信息 系统攻击美国国家安全的能力，并使信息系统能够在敌人攻击成功的情况下继 北京化工大学硕学位论文 续正常运转。该计划提供了构建生存系统的基础技术并帮助美国国防部掌握信 息控制权。 2 、m a f r i a m a f r i a ( m a l j c j o u s - a n da c c j d e n t a l f a u l tt o l e r a n c ef o ri n t e m e ta p p l i c a t i o n s ) 是 欧盟的研究项目，其中重要的一个工作是用容错技术和分布式系统技术构建入 侵容忍系统。 3 、d a r p a 资助项目 2 0 0 0 年，d a r p a 就开始将信息保障和生存相提并论，开始推进信息保障 和生存技术( n s ) 。d a r p a 入侵容忍系统项目的目标就是构思、设计、开 发、实现、演示和验证入侵弹性系统和入侵容忍系统的结构、方法和技术。 d a r p a 资助的入侵容忍系统项目有： i t u a 项目 墟p a 资助了一个由b b n 技术公司、i l l i n o i s 大学、m a r y l a n d 大 学和波音飞机公司联合进行的入侵容忍项目。项目名称为i n t m s i o nt