（计算机科学与技术专业论文）面向应急响应的服务恢复机制研究与实现.pdf

国防科技大学研究生院硕十学位论文 摘要 国民经济和国家安全等众多领域的关键应用日益严重依赖信息技术，如何有 效实现信息系统的应急响应与灾难恢复，已成为信息安全领域亟待解决的课题。 当前应急响应与灾难恢复、系统恢复以及数据库恢复的相关研究大多基于本 地或异地的数据备份与恢复技术，应急响应决策主要着眼于备份数据的优选与恢 复，很少涉及“服务恢复 的概念。数据冗余备份的方法，应用于开放的分布式 信息系统针对服务的应急响应与灾难恢复中，与实际的需求相比，还存在较大的 差距。本文从支持信息系统应急响应的需求出发，针对服务恢复机制问题进行研 究，取得了以下研究成果： 1 定义了“面向应急响应的服务恢复 的概念。深入研究了现有的应急响 应与灾难恢复技术，分析、总结传统方法的核心思想、技术特点及适用范围，整 合服务组合与服务质量的概念，应用现有的服务恢复技术，针对信息系统的应急 响应问题，定义了“面向应急响应的服务恢复”的概念，并归纳出服务恢复机制 中服务的内涵与特点。 2 提出了面向应急响应的服务恢复的5 r 模型与体系结构。借鉴经典的动 态信息安全保障体系p d r r 模型，提出了服务恢复的5 r 模型，为服务恢复机 制的研究提供了统一的方法论指导。在5 r 模型基础上，提出了面向应急响应的 服务恢复体系结构，充分体现了服务恢复机制的概念性结构与功能特性，为服务 恢复机制的实现提供了结构依据。 3 设计并实现了三种服务恢复决策算法。针对不同用户需求，合理选择相 应恢复决策算法，主要包括：1 ) 针对明确应急响应需求的“基于图论的服务恢 复决策算法 ，运用贝尔曼动态规划思想，充分保证了决策的最优性；2 ) 针对多 种应急响应评价标准或不一致用户需求的“基于信息熵的恢复决策算法”，合理 解决了多目标决策问题；3 ) 关注恢复后服务质量的“基于广义满意度原理的恢 复决策算法，在优化的时空开销下，获得了极大满意的决策方案。 4 设计并实现了服务恢复决策原型系统。对服务恢复决策原型系统进行了 功能测试和性能分析，并结合网络购书系统实例对三种决策算法进行对比测试。 试验结果与理论分析表明了本文所提出的面向应急响应的服务恢复机制的合理 性与可行性，验证了服务恢复决策核心算法的可靠性与高效性。 主题词：应急响应，服务恢复，服务描述，评价标准，服务恢复决策 第i 页 a b s t r a c t n o w a d a y s ，c r u c i a la p p l i c a t i o n so fn a t i o n a le c o n o m ya n ds e c u r i t yh a v eh e a v i l v r e l i e do ni n f o r m a t i o n t e c h n o l o g y t h e r e f o r e ，h o wt o e f f e c t u a l l yi m p r o v et h e e m e r g e n c yr e s p o n s ea n dd i s a s t e rr e c o v e r ya b i l i t yo ft h ei n f o r m a t i o ns y s t e mh a s b e c o m ea nu r g e n ti s s u ei nt h ei n f o r m a t i o ns e c u r i t yd o m a i n c u r r e n tr e s e a r c h e so nd i s a s t e rr e c o v e r y , e m e r g e n c yr e s p o n s e ，s y s t e mr e c o v e r y a n dd a t a b a s er e c o v e r ya l w a y se m p h a s i z e p a r t i c u l a r l yo nt h em e t h o do fd a t ab a c k u p s a n dr e c o v e r y e m e r g e n c yr e s p o n s ed e c i s i o n m a k i n g sm o s t l y e m p l o yt h em e t h o do f o p t i m a ls e l e c t i o na n dr e c o v e r yf r o ml o c a lo rr e m o t ed a t ab a c k u p s ，r a t h e rt h a nt h e m e t h o do fs e r v i c er e c o v e r y i ti sn o ts a t i s f i e dw h e nt h ed a t am e t h o di sa p p l i e dt ot h e e m e r g e n c yr e s p o n s ea n dd i s a s t e rr e c o v e r ya p p l i c a t i o n so nt h es e r v i c e so ft h eo p e n d i s t r i b u t e di n f o r m a t i o ns y s t e m s b a s e do nt h ep r a c t i c a lr e q u i r e m e n t so fe m e r g e n c v r e s p o n s e ，t h i sp a p e rh a ss t u d i e do nt h em e c h a n i s mo fs e r v i c er e c o v e r y , a n dh a s a c h i e v e dt h ef o l l o w i n gc o n t r i b u t i o n s f i r s t l y , t h ec o n c e p t i o no fe m e r g e n c yr e s p o n s eo r i e n t e ds e r v i c er p c o v e r yh a s b e e nd e f i n e d t h ee x i s t i n gt e c h n o l o g i e so fe m e r g e n c y r e s p o n s ea n dd i s a s t e rr e c o v e r y h a v eb e e ns t u d i e di n d e p t h ，a n dt h ek e yi d e a s ，t e c h n o l o g i c a lc h a r a c t e r i s t i c sa n d a p p l i c a b l es c o p e so ft h e s et r a d i t i o n a lm e t h o d sh a v eb e e ns u m m a r i z e d c o m b i n i n g w i t ht h ec o n c e p t i o n so fw e bs e r v i c ec o m p o s i t i o na n dq u a l i t yo f s e r v i c e ( q o s ) ，a n d a p p l y i n gt h ee x i s t i n gt e c h n o l o g i e so fs e r v i c er e c o v e r y , t h i sp a p e rh a sd e f t n e dt h e c o n c e p t i o no fe m e r g e n c yr e s p o n s eo r i e n t e ds e r v i c er e c o v e r yt or e a l i z ee m e r g e n c y r e s p o n s e ，a n dg e n e r a l i z e dt h em e a n i n ga n dt h ef e a t u r e s o fs e r v i c e su n d e rt h e m e c h a n i s m s e c o n d l y ，t h em o d e la n dt h ea r c h i t e c t u r ef o re m e r g e n c yr e s p o n s eo r i e n t e ds e r v i c e r e c o v e r yh a v eb e e np r o p o s e d u s i n gt h ec l a s s i cd y n a m i ci n f o r m a t i o ns e c u r i t ys y s t e m p d r r - m o d e lf o rr e f e r e n c e ，5 - rm o d e lh a sb e e np r o p o s e df o r s e r v i c er e c o v e r y p l a n n i n g ，w h i c hp r o v i d e su n i v e r s a lm e t h o d o l o g yf o r t h es e r v i c er e c o v e r ym e c h a i l i s m e m e r g e n c yr e s p o n s eo r i e n t e ds e r v i c er e c o v e r ya r c h i t e c t u r eh a sb e e np r o p o s e d b a s e do nt h e5 - r m o d e l ，w h i c hr e v e a l st h ec o n c e p t u a lc o n s t r u c t i o na n dt h ef u n c t i o n a l c h a r a c t e r i s t i c so fs e r v i c e r e c o v e r ym e c h a n i s m t h ea r c h i t e c t u r e p r o v i d e s t h e s t r u c t u r a lf o u n d a t i o nf o rt h ei m p l e m e n t i o no fs e r v i c er e c o v e r ym e c h a n i s m t h i r d l y , t h r e es e n , i c er e c o v e r yd e c i s i o n - m a k i n ga l g o r i t h m sh a v eb e e nd e s i g n e d a n di m p l e m e n t e d t h r e ea l g o r i t h m sc o u l db ep r o p e r l ys e l e c t e da c c o r d i n g t ot h ea c t u a l 国防科技大学研究生院硕士学位论文 r e q u i r e m e n t s 1 ) s e r v i c er e c o v e r yp l a n n i n gb a s e do ng r a p ht h e o r y , f o rt h es p e c i f i c e m e r g e n c yr e s p o n s en e e d s ，u s i n gt h et h o u g h to fb e l l m a nd y n a m i cp r o g r a m m i n g ， e n s u r e st h eo p t i m a l i t yo ft h ep l a n n i n ge f f e c t i v e l y 2 ) s e r v i c er e c o v e r yp l a n n i n gb a s e d o ni n f o r m a t i o ne n t r o p y , f o rav a r i e t yo fe v a l u a t i o nc r i t e r i ao rd i f f e r e n te m e r g e n c y r e s p o n s en e e d s ，s o l v e st h em u l t i o b j e c t i v ed e c i s i o n m a k i n gp r o b l e mr e a s o n a b l y 3 ) s e r v i c er e c o v e r yp l a n n i n gb a s e do ng e n e r a l i z e ds a t i s f a c t o r yd e g r e ep r i n c i p l e ，f o rt h e r e q u i r e m e n t sf o c u so n t h eq u a l i t i e so ft h er e c o v e r e d s e r v i c e s ，o p t i m i z e st h e c o m p l e x i t yo ft h et i m ea n dt h es p a c e ，a n dp r o v i d e st h ee x t e n d e ds a t i s f y i n gs o l u t i o n f o rt h er e c o v e r yd e c i s i o n - m a k i n g f i n a l l y , t h es e r v i c er e c o v e r yd e c i s i o n - m a k i n gp r o t o t y p es y s t e mh a sb e e n d e s i g n e da n di m p l e m e n t e d t h ef u n c t i o n a lt e s ta n dt h ep e r f o r m a n c ea n a l y s i sh a v e b e e nc a r r i e do u t a n dt h ed e m oo fb o o k s t o r ei nw e bh a sb e e n u s e df o r t h e c o m p a r i s o na m o n gt h et h r e ea l g o r i t h m s e x p e r i m e n t a lr e s u l t sh a v es h o w e dt h e r a t i o n a l i t ya n df e a s i b i l i t yo fs e r v i c er e c o v e r ym e c h a n i s m ，w h i l et h e o r e t i c a la n a l y s i so f c o m p u t i n gc o m p l e x i t yh a sg i v e nag o o de x p l a n a t i o nf o ri t sr e l i a b i l i t ya n dh i g h e f f i c i e n c y k e yw o r d s ：e m e r g e n c yr e s p o n s e ，s e r v i c er e c o v e r y , s e r v i c ed e s c r i p t i o n ， e v a l u a t i o ns t a n d a r d ，s e r v i c er e c o v e r yd e c i s i o n m a k i n g 第i i i 页 同防科技大学研究生院硕十学何论文 表目录 表4 1 相对重要性判断标度表2 9 表4 2 评价随机一致性指标c r 3 0 表5 1 算法测试平台软硬件配置详表5 0 表5 2 相关q o s 参数表51 表5 3m a i l s e r v i c e 服务恢复决策结果5 2 表5 4d s 备选服务q o s 描述矩阵。5 4 表5 5d s 备选服务q o s 归一描述矩阵5 5 表5 6q o s 属性熵值熵权表5 5 表5 7d s 备选服务加权的q o s 归一描述矩阵5 5 表5 8d s 备选服务到伪理想点距离及排序表5 5 表5 9 备选服务的q o s 描述矩阵5 6 表5 10 候选恢复方案列表5 7 表5 11q o s 属性熵值熵权表5 8 表5 1 2 候选方案到伪理想点距离及排序表5 8 表5 1 3 约简后q o s 属性熵值熵权表5 8 表5 1 4 约简后的候选恢复方案列表5 9 表5 15 约简候选方案到伪理想点距离及排序表。5 9 表5 1 6 备选服务q o s 描述矩阵6 0 表5 1 7 备选服务q o s 描述矩阵6 1 表5 18 备选服务到伪理想点距离及排序表6 1 表5 1 9 约简后备选服务q o s 描述矩阵。6 l 表5 2 0 约简后备选服务到伪理想点距离及排序表6 l 第1 v 页 国防科技大学研究生院硕士学位论文 图目录 图1 1 信息系统网络生存能力模型【”】一3 图1 2 论文主要内容及其关系一7 图2 1w e b 服务角色、操作和组件f l l 】9 图2 2 静态服务组合体系结构【1 0 1 1 0 图2 3 动态服务组合体系结构【1 0 】1 l 图2 4 服务漂移技术示意图12 图2 5 分布式异构多服务恢复示意图1 3 图2 6 服务功能层次树1 6 图3 1p d r r 安全体系模型【3 5 】1 9 图3 2 服务恢复的5 r 模型2 0 图3 3 支持服务恢复的环境体系【5 8 】2 2 图3 4 面向应急响应的服务恢复决策体系结构2 3 图3 5 支持服务恢复的s o a 封装示意图2 4 图3 6 服务恢复典型流程。2 5 图4 1 服务恢复决策评价标准层次模型实例2 8 图4 2c e b a r k n c 算法【4 0 1 。3l 图4 3 主客观交互赋权算法3 2 图4 4 功能路径寸恢复方案的映射3 5 图4 5 图决策算法伪高级语言描述3 7 图4 6 服务恢复决策过程图3 9 图4 7 关键功能路径专恢复候选资源图的映射4 3 图4 8 针对某一q o s 属性加权的w r c c g 4 4 图5 1 服务恢复决策实现机制4 7 图5 2 服务恢复决策原型系统框架4 8 图5 3 分布式可控信息系统示例5 0 图5 4m a i l s e r v i c e 服务功能描述图51 图5 5m a i l s e r v i c e 相关资源互连图5 2 图5 6m a i l s e r v i c e 服务恢复映射图5 2 图5 7 算法性能对比图5 3 图5 8 信息熵决策算法的应用5 4 图5 9 备选服务邻接关系图一5 7 图5 10 算法约简前后性能对比图5 9 第v 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 学位论文题目：亘囱廑垒煎廛数腿盔这复扭剑堡究复塞理 一一一 学位论文作者签名：4 亟查 日期：渺占年i 月t 7 日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文作者签名：旺车 日期：y 譬年 i 月- 7 日 撇始一呲臁m 弘 国防科技大学研究牛院硕士学位论文 第一章绪论 1 1 课题研究背景和意义 随着计算机技术和互联网技术的飞速发展，国民经济和国家安全等众多领域 的关键应用日益严重依赖信息技术，信息系统正成为国家建设的关键基础设施， 保障信息系统的安全性与可靠性成为至关重要的问题【1 ，2 1 。 面对入侵和攻击事件如此频繁的网络环境，如何保证信息系统在受攻击情况 下或者出现系统异常时仍然能够正常工作，成为亟待解决的课题。自美国“9 1 1 ” 事件之后，世界各国政府更加重视信息系统的应急响应与灾难恢复问题；同时， 许多关键行业和领域( 例如银行、保险等) 先后建立了信息系统灾难恢复机制【3 ，4 】。 分布式信息系统的强生存性需求要求应急响应与灾难恢复机制具有以下特点： 1 实时性。由于分布式信息系统服务的运行往往具有强实时性要求，尤其 是军事、金融等关键领域的紧迫应用需求。因此，应急响应与灾难恢复机制必须 具有实时性特点。 2 可靠性。稳定性与可靠性是整个信息系统正常运行的关键。应急响应与 灾难恢复过程中，即使很小的失误都可能导致服务失效、系统宕机等严重后果。 3 精确性。信息系统应用的运行状态随时间不断变化。对失效应用的灾难 恢复，不仅要满足可用性需求，更要满足正确性需求。因此，信息系统应急响应 与灾难恢复机制必须具有精确的故障恢复能力，以满足关键行业和领域的应用需 求。 信息系统应具备很强的应急响应与灾难恢复的能力，以保证系统的强生存 性，使其在遭受一定程度损毁的情况下，仍能维持系统的正常运转。为了解决系 统应急响应与灾难恢复问题，全世界的科研、工程人员经过多年的研究和探索， 推出了多种灾难备份产品，其核心技术主要可归结为两类：1 ) 数据恢复方法； 2 ) 服务切换方法。 1 数据恢复方法 在以往的针对信息系统的应急响应与灾难恢复的研究中，数据备份与恢复技 术是研究的重点【5 7 】。该方法的主要思想是将应用与数据统一看待，单纯地将应 用按照数据的方式进行备份，采用数据恢复的方法实现应用及系统恢复的目标。 例如：g h o s t 系统恢复方法，数据库热备、冷备方法等。 数据恢复方法虽然能够达到应急响应与灾难恢复的可靠性要求，在一定程度 上解决了信息系统中的应用服务失效问题。但是，应用于开放的分布式信息系统 的针对服务的应急响应与灾难恢复中，与实际的应用需求相比还存在较大的差 第1 页 国防科技大学研究牛院硕十学位论文 距，主要表现在以下几个方面：1 ) 忽视应用的时间无关性，单纯地把应用按照 数据的方式进行备份，导致依据时间的多备份副本冗余，造成了严重的资源浪费。 2 ) 不能充分利用分布式应用所具有的公共性、可访问性和互操作性等特点，忽 略了分布式系统服务提供的动态性和随机性，尚未把整个网络服务资源统一地利 用起来。3 ) 解决应急响应问题效率不高、动态性不足。一些应用对信息系统服 务的实时性要求较高，但是，在网络环境下，数据恢复速度受到存储位置分散、 网络传输延迟等问题的制约。传统数据恢复的技术特点决定了它无法满足信息系 统应急响应高效性、强实时性的要求。 2 服务切换方法 该方法使用互为备份的两台( 或多台) 服务器共同执行同一任务，其中一台 主机为工作机，另一台( 或多台) 主机为备份机。在系统正常情况下，工作机为 应用系统提供服务，备份机监视工作机的运行情况。工作机同时检测备份机是否 正常。当工作机出现异常，不能支持应用系统运营时，备份机主动接管工作机的 工作，继续支持关键应用服务，保证系统不问断的运行。例如，集群技术，双机 热备技术等。 服务切换方法能够在一定程度上实现应急响应与灾难恢复的实时性、可靠性 和精确性要求，但仍存在致命缺陷，主要表现在：1 ) 兼容性低。由于历史的原 因，许多备份恢复系统都是基于各自的应用系统设计的，这种分离性设计方案在 解决单系统的灾难恢复问题过程中发挥了很大的作用。但是，随着互联网应用的 增加，信息系统服务也朝着彼此兼容的趋势发展。因此，在开放网络环境下，原 有的备份恢复系统应用于当前信息系统的服务恢复应用中，存在着兼容性低的问 题。2 ) 技术手段单一。传统的灾难恢复系统单纯采用服务切换方法，手段单一， 一般只是针对单一系统、特定灾难进行恢复，难以应对分布式环境下信息系统服 务的多样性特征，无法适用于开放网络环境下信息系统混合型服务的整体范围。 w e b 服务技术将互联网转化为应用协作与集成的平台。随着面向服务的架构 ( s e r v i c e o r i e n t e da r c h i t e c t u r e ，s o a ) 和面向服务的计算( s e r v i c eo r i e n t e d c o m p u t i n g ，s o c ) 概念和标准化技术体系的推出，栅格化和服务化己成为信息系 统的主要发展趋势。s o a 架构，采用服务总线的思路对应用服务进行平台化的 封装，旨在构建一种分布式服务系统来将应用程序功能作为服务统一地对外提 供。该架构屏蔽了应用平台的异构性，支持服务的远程引用，使服务发展成为开 放网络环境下的各种资源封装与共享的核心概念。 针对传统应急响应与灾难恢复技术的诸多不足，我们迫切需要围绕信息系统 的应急响应与灾难恢复需求展开研究，建立相应的应急响应与灾难恢复机制，以 增强系统在复杂网络环境下的生存性与可靠性。尽管数据备份恢复技术是当前信 息系统应急响应与灾难恢复研究所采用的主要技术，但本文另辟蹊径，立足于分 第2 页 国防科技人学研究牛院硕十学位论文 布式环境下的应急响应需求，重点研究支持信息系统应急响应与灾难恢复的服务 恢复技术。 1 2 国内外研究现状 1 2 1 应急响应技术研究现状 计算机应急响应体系，对突发性的、不可预料的安全事件进行应急响应，是 对现有计算机安全防御体系的一个有力的补充。 应急响应和灾难恢复能力已经成为信息系统生存能力的一个重要体现。从国 外研究情况看，自1 9 8 8 年美国计算机事件响应协调中心c e r t c c 和计算机安全 事件咨询小组c i a c 成立以来，世界各地相继成立了众多应急响应协调小组，在 应对网络安全事件的过程中发挥了重要作用，并得到了广泛的认可。这些研究机 构将应急响应作为动态信息安全保障体系p d r r ( p r o t e c t ，d e t e c t ，r e s p o n s e ， r e c o v e r y ) 模型的重要一环，主要技术包括入侵追踪、陷阱、联动、可信恢复、 灾难控制、自适应响应等。 飞物攻击识别 。乙 攻击容忍 攻击响应 咫复睃 是攻击识另1 ( r e c o g n i z e ) ，攻击容忍( r e s i s t ) ，攻击响应( a d 印t ) ，系统。 疚复( r e c o v e 0 ， 如图1 1 所示 1 3 - 1 5 。但是，由于缺乏基于策略响应的、能自主学习的智能协调与 因此，构建信息安全应急响应体系，必须对信息系统进行总体的分析、论证、 第3 页 国防科技人学研究生院硕+ 学位论文 国内各部门、各行业应急响应小组的协调工作；中国教育与科研计算机网络 c e r n e t 于19 9 9 年在清华大学成立了c e r n e t 应急响应组c c e r t ，为中国教 育和科研行业的用户提供应急响应服务；在c n c e r t c c 的协调组织下，中国网 通、中国移动等各大电信运营商都纷纷成立了自己的应急响应队伍，国家相关部 门均在考虑建设自己的应急处理机构；许多公司也已经开展了网络安全救援的相 关服务。 目前，国际上许多著名的计算机公司都推出了各自的灾难备份产品。其中， 有代表性的灾难备份和恢复技术包括【l 每1 9 】： ( 1 ) i b m 公司的跨域并行系统耦合体技术。 i b m 公司根据异地远程灾难备份的需要，提出了基于大型计算机主机的灾 难备份技术，即跨域并行系统耦合体技术( g e o g m p h i c a l l yd i s p e r s e dp a r a l l e l s y s p l e x ，简称g d p s ) ，该技术已成为目前大型计算机系统灾难备份技术的主要 解决方案。 g d p s 是一种多站点应用可用性解决方案，具有管理远程拷贝配置和存储子 系统、自动执行p a r a l l e ls y s p l e x 操作任务、从单一控制点执行故障恢复等功能。 在i b m 主机系统的灾难备份中，g d p s 将p a r a l l e ls y s p l e x 技术与远程拷贝技术 集成在一起，能够提高应用的可用性和灾难恢复能力。 ( 2 ) e m c 公司的s r d f 远程数据备份技术。 e m c 公司的远程数据备份软件( s y m m e t r i cr e m o t ed a t af a c i l i t y ，简称s r d f ) 是一个在线并且独立于主机的数据镜像存储解决方案，可在多种操作系统下使 用。该方式可在多达1 6 个本地或远程的磁盘系统间提供完整的数据备份。 当数据中心的操作发生故障时，系统管理人员可以快速地从源系统切换到目 标系统。当主结点的故障排除之后，通信连接被重新建立，s r d f 能够自动地在 结点之间进行数据同步，从而使正常的操作得以恢复。 s r d f 能够同时为大型机、u n i x 、w i n d o w sn t 和a s 4 0 0 系统提供完整的业 务连续可用能力。数据复制通道既可以采用传统的i p 网络，也可支持光纤通道、 t 1 t 3 、e l e 3 、a t m 和波分多路复用等多种方式。 ( 3 ) v e r i t a s 公司的异地备份容灾技术。 v e r i t a s 容灾系统的构建过程包括：备份中心、主机网络存储系统的构建 以及应用系统的安装；建立数据中心与备份中心的数据同步传输系统；建立基于 广域网的集群系统。其中，远程数据同步复制的实现依赖于足够带宽的网络连接 和稳定可靠的数据复制管理软件。 通过对现有的灾难恢复和应急响应系统进行研究，我们发现目前的灾难恢复 系统大多基于数据的“同城异地备份”技术，应急响应决策主要着眼于备份数 据的优选与恢复，很少涉及“服务恢复 的概念。 第4 页 国防科技大学研究生院硕十学位论文 1 2 - 2 服务恢复技术研究现状 服务恢复是应急响应与灾难恢复技术体系的重要组成部分。关于服务恢复， 已有研究主要是针对传统的服务概念( 即特定的网络服务或者应用业务) 开展 1 9 - 2 1 】。例如，在网络环境下，关于负载均衡与连接切换的研究，特别是为了解决 生存性问题而提出的i p 重定向技术、动态d n s 技术、t c p 迁移技术和后备系统 切入技术等；基于门限密码秘密共享的系统服务切换防护，如c a 、认证服务、 密钥交换服务、文件服务、d n s 服务、路由服务与重要数据保护服务等；使用 监控、接受测试以及冗余等容错手段，实现基于c o t s 构建的服务恢复应用系统， 如w e b 服务器系统和数据库系统：等等。 随着s o a 和s o c 概念和标准化技术体系的推出，2 0 0 2 年出现的开放网格 服务体系结构( o p e ng r i ds e r v i c e sa r c h i t e c t u r e ，简称o g s a ) t 9 2 2 目前也得到了较 广泛的认同。国外有代表性的相关研究项目包括美国d a r p a 的o a s i s 计划， n s f 计划以及欧盟的m a f t i a 计划等。同时，栅格化和服务化也成为了军事信 息系统的发展趋势，例如，美军g i g 计划中的n c e s 系统就是基于面向服务的 开放体系结构设计实现的。 新的服务概念的出现必然将导致新的服务恢复技术的研究，但这方面的成果 还很少。 在服务恢复技术方面，生存性技术被深入研究。生存性研究主要集中在信息 基础设施的保障技术、分布式数据动态备份与恢复技术、多样化动态漂移技术等 方面。目前，以国防科技大学、武汉大学以及相关部门和公司为代表的研究机构 对此给予了极大的关注，在服务的连续性、异化识别以及灾难恢复等方面均有较 为深入的研究。 与国外研究情况类似，国内研究对于服务的认识大都局限于传统应用业务的 范围。由于服务的概念仍在不断发展，将当前主流服务的特点与服务恢复相结合 的研究在国内比较少见，相关研究通常针对具体应用展开，具有较大的局限性。 1 3 课题研究内容与论文结构 通过前文对课题研究背景和研究现状的分析，我们认识到随着分布式计算技 术的飞速发展，以w e b 服务为代表的软件服务及服务协同已发展成为开放协作 网络环境下的典型应用模式。应用的网络化、服务化趋势，促成了网格计算、服 务组合等技术的迅速发展。面向服务的架构( s e r v i c eo r i e n t e da r c h i t e c t u r e ，简称 s o a ) 应运而生，s o a 充分发挥服务的公共性、可访问性和互操作性等特点，成 为构建新一代分布式服务的技术架构。 第5 页 国防科技大学研究生院硕十学位论文 新的服务的概念触发了新的应急响应与灾难恢复技术的研究。在上述研究背 景下，本文的研究目标为：在分布式环境中，实现信息系统在系统临灾情况下的 相容、正确、最优恢复，以解决信息系统服务体系的应急响应问题。研究工作主 要集中在以下几个方面： 1 深入研究现有的数据、系统及数据库的备份与恢复技术，分析它们的核 心思想、技术特点及适用范围；广泛涉猎w e b 服务的相关研究与现有技术，合 理借鉴w e b 服务组合与服务质量的概念；深入理解并有效应用现有的服务恢复 技术；定义新的灾难恢复概念面向应急响应的服务恢复，详细阐述其作用和 意义；归纳服务恢复机制中服务的概念和内涵，构造服务的形式化描述方式。 2 基于传统灾难恢复流程以及经典的动态信息安全保障体系p d r r 模型， 构造服务恢复的5 r 模型；在5 一r 模型基础上提出服务恢复体系结构；采用支持 服务恢复的s o a 封装对现有服务进行改造，使现有服务适应服务恢复体系结构 的应用要求：并归纳服务恢复的典型流程。 3 详细分析服务恢复决策的相关要素，制定公平、准确的服务恢复决策评 价标准；基于服务的形式化描述，针对不同用户需求，设计并实现合理、高效的 服务恢复决策算法。 4 制定服务恢复决策的实现机制，设计并实现服务恢复决策原型系统，对 面向应急响应的服务恢复机制和决策算法进行功能测试与性能分析。 本文后续章节安排如下： 第二章重点研究服务恢复的相关技术，定义“面向应急响应的服务恢复” 的概念，确定服务的形式化描述方式。为后续章节的展开提供重要的理论基础。 第三章构造服务恢复模型，提出服务恢复体系结构，归纳服务恢复的典型 步骤。为后续面向应急响应的服务恢复决策算法的制定提供结构性基础和方法论 依据。 第四章归纳决策优度评价标准的制定方法；针对不同的用户需求，设计面 向应急响应的服务恢复决策算法。 第五章确定服务恢复决策实现机制，实现面向应急响应的服务恢复决策原 型系统；在原型系统基础上，构造测试实例，论证面向应急响应的服务恢复机制 的可行性，并对第四章中提出的服务恢复决策算法进行模拟验证与性能分析。 第六章对本文工作进行总结，并对课题的下一步研究进行展望。 论文各主要部分及其相互关系如图1 2 所示。 第6 页 国防科技大学研究生院硕= 十：学位论文 图1 2 论文主要内容及其关系 第7 页 同防科技大学研究生院硕+ 学位论文 第二章服务恢复相关技术研究 上文指出，现有的数据备份与恢复方法不符合当前分布式可控信息系统的应 急响应与灾难恢复要求。本章从服务的角度出发，深入研究服务、w e b 服务与服 务组合的特点，合理借鉴w e b 服务组合的思想，有效运用现有的服务恢复技术， 定义“面向应急响应的服务恢复 概念，并深入探讨服务恢复的内涵，从而解决 分布式可控信息系统的应急响应与灾难恢复问题。整合服务组合与服务质量的概 念，归纳提出服务的形式化描述方式，并制定组合服务质量的计算方法。上述研 究是建立面向应急响应的服务恢复机制的理论基础。 2 1 服务的基本概念 所谓的服务，是指在“客户服务器”( c l i e n t s e r v e r , 简称c s ) 的分布式计算 结构中，用来表示由服务器承载管理的、可通过网络访问的资源或应用程序【l o 】。 在信息系统中，各种各样的业务集合，如文电服务、邮件服务、数据库服务、名 录服务、w e b 应用服务等等，共同构成了一个信息系统业务的全景服务视图。 随着分布式计算技术的飞速发展，服务这一概念拓展为应用开发的基本元 素，面向服务的计算( s o c ) 已成为开放网络环境下构建分布应用的主流计算范 型；而面向服务的体系结构( s o a ) 则是旨在构建分布式服务系统的软件系统设计 逻辑方法。作为s o c 与s o a 的核心概念，服务被认为是一种可通过网络公共 访问的、具有良好接口的软件实体，其目的是封装可共享的各类资源，包括计算 资源、数据资源与应用资源。服务已经成为构建开放的分布式应用系统的基本元 素。相比传统意义下的服务，s o a 架构下的服务具有如下基本特征i l o 】： 有用性 有用性是指服务具有满足一定需求的内在价值。这意味着服务总是与特定的 需求( 包括功能的与非功能的) 以及产生需求的“被服务者”( 称为客户或服务 消费者) 联系在一起。因此，服务的目的是为满足客户的功能与非功能需求。 公共性 公共性是指服务的功能是可公共获取的，即服务的设计目的是服务于开放的 群体。 自描述性 自描述性是指服务使用机器可处理的形式显式地描述其自身。服务描述的目 的是使得到服务的客户能够准确地理解服务、正确地使用服务。服务描述的内容 一般包括服务的接口、网络位置、通信协议、功能语义、非功能属性等。自描述 笫8 页 同防科技大学研究生院硕十学位论文 性是服务松散耦合、位置透明的前提；同时也为服务的公共性提供技术保证，因 为只有明确地给出服务描述，才能保证开放环境下的用户能够正确理解并使用服 务。 可访问性 可访问性具有两层含义：其一是指服务具有可访问的入口，即服务具有特定 的网络标识以实现服务定位，该标识通常直接或间接地指示了服务运行的网络地 址和资源位置，客户可根据服务的网络标识构造消息访问服务；其二是指服务的 功能可访问，即提供功能的软件实体能够感知客户请求，并通过计算响应请求， 从而实现服务的价值。服务的可访问性表明，只有已经部署、运行在特定网络位 置的应用系统才构成服务。 2 2w e b 服务与w e b 服务组合 s o c 与s o a 技术的蓬勃发展，极大地促进了w e b 服务与服务组合技术的相 关研究，并为w e b 服务组合技术提供了可行化平台。 w e b 服务可以看作一个软件接口，它描述了一组可以在网络上通过标准化的 x m l 消息传递访问的操作。w e b 服务使用基于x m l 语言的协议来描述要执行 的操作或者要与另一个w r e b 服务交换的数据。 w 曲服务由服务描述和服务实现两部分构成【8 一