（计算机系统结构专业论文）自适应入侵容忍数据库体系结构及其关键技术研究.pdf

重庆文学硬学位论文中文攘要 摘要 入侵容忍技术是种新的信息安全方法，在过去十几年逐渐露现出来，最近 赢得了国内终众多研究者的关注。传统的数据库信息安全硪究主要集中在如何进 行防御上，如认证、加密、访问控制、防火墙、入侵检测等，其霞标是建立安全 的数据库系统，然而我们必须清楚地认识到并不是所有的攻击都能有效的被抵御， 对予内部攻诲更是无能为力，再则传统的数据库安全体系结构不熊适应攻击多交 的环境。而囱适应入侵容忍数据库厩是这样的安全系统，仇保证了在系统遭受到 入侵的情况下，如何使系统仍然能够为合法用户提供不闻断的服务，动态魄采取 各种容侵策略，保证数据库的可用性、完整性和机密性，囱适应地提高数据库系 统入侵容忍熊力。 本文首先对入侵容忍技术进行了详细的搛讨，讨论入侵容忍技术的实现方法， 按照旋用类黧、簪 究蘑次； 拜研究阕磁蘑入侵容忍避行分类，介绍了当前嚣凌外稿 关领域的研究现状，并在此基础上，从系统的整体角度出发，根据数据摩系统安 全懿需求，稳建7 一耪多层次鹣入侵容忍数据痒安全模鍪基予惫色访瓣熬鑫 适应容侵数攒库体系结构。设计使用了冗余及多样性技术，从结构上保证了系统 静霹垒存牲；采焉篓子角色戆访翊黪翎技拳( r b a c ) 帮幸孛经溜络技术等生残劳采 取动态的容侵策略，使系统具有更强的弹性；事务级的入侵容忍能够有效抵御攻击 考裂羯合法攘户痿患遴行黪凑部玫燕。 然后，对系统使用的关键技术进行了详细的描述，并对影响系统容侵性能和 效率黪关键瓣素进锤了分辑，劳璎震逛对繁。毙终，本文述讨论了一些鸯争议豹 问题和未来的研究方向。 本文绘爨豹入侵容忍数攒库系绕模型采建了基予焦色鹣谤逮控剃、秘密共享、 间接访问、冗余和多样性等技术，因此具有冗余、焱全、自适应入侵容忍镣特点。 系统不锿赖予单个郝传豹安全，邸使某个缎传被入侵者攻破也不会使整个系统瘫 痪。此外，由于我们的入侵容忍数据库系统是建立在c o t s ( c o m m e r c i a l o f f - t h e - s h e l f ) 数据黪系统之上的，因此还舆有低成本，易扩展， 开发周期短等特点。 关键镯；入侵容忍，自适应，角色谤海往靠l 技术，孝串经两绦，菘密共享 重庆大学 蠹学位论文英文撬要 a b s t r a c t i n t r u s i o nt o l e r a n c e ( i t ) i san e w a p p r o a c ho fi n f o r m a t i o ns e c u r i t yt h a th a ss l o w l y e m e r g e dd u r i n gt h ep a s td e c a d e , a n dg a i n e di m p r e s s i v em o m e n t u mr e c e n t l y t r a d i t i o n a l d a t a b a s ei n f o r m a t i o ns e c u r i t yr e s e a r c hf o c u s e do nh o wt od e f e n da g a i n s tt h e m ，s u c ha s a u t h e n t i c a t i o n , e n e r y p t i o n , a c c e s sc o n t r o l ，f i r e w a l l ，i n t r u s i o nd e t e c t i o n ，i t sg o a li st o e s t a t l i s ha1 1 1 0 r es e c r l l ed a t a b a s es y s t e m ，b u tc a l ln o tr e s i s ta l lt h ei n t r u s i o n s ，a n d p o w e r l e s st od oa n y t h i n gm o r ef o rt h ei n t e r n a la t t a c k s ，m o r eo v c tc o u l dn o ta d a p tt ot h e e v e r - c h a n g i n ge n v i r o n m e n t h o w e v e ra d a p t i v ei n t r u s i o nt o l e r a n td a t a b a s es y s t e mi s s u c has y s t e mt h a ta i m i n gt oc o n t i n u ed e l i v e r i n ge s s e n t i a ls e r v i c e sf o rl e g a lu s e l 嚣u n d e r m a l i c i o u sa r a c k s , d y n a m i c a l l ya d o p tv a r i o u si n t r u s i o nt o l e r a n c es t r a t e g yt oe n s u r e a v a i l a b i l i t y , i n t e g r i t ya n dc o n f i d e n t i a l i t yt ot h ed a t a b a s ed a t a , a n da d a p t i v e l ye n h a r l c e t h es y s t e m si m m s i o n - t o l e r a n ta b i l i t y t h ep a p e rb e g i n sw i t had e t a i l e de x p l o r a t i o no fi n t r u s i o nt o l e r a n c et e c h n o l o g y , e x p l a i n st h er e a l i z a t i o no f i n t r u s i o nt o l e r a n c et e c h n o l o g y , # y e sas o r tr e s e a r c hb a s e d o l l a p p l y i n gt y p e s , r e s e a r c hl e v e l ，a n dr e s e a r c hi s s u e , i n t r o d u c e st h es t a t u si nt h i sa r e a d o m e s t i ca n da b r o a d t h e ns e r i n go f ff r o ms y s t e m a t i ce n t i r e t y , a n do i lt h eb a s e so ft h e s e c u r i t yo fd a t a b a s es y s t e m ，w ep u tf o r w a r dam u l t il a y e ri n t r u s i o nt o l e r a n ts e c u r i t y m o d e l a na d a p t i v ea r c h i t e c t u r ef o ri n t r u s i o n - t o l e r a n td a t a b a s e so nr o l e - b a s e d a c c e s sc o n t r 0 1 r e d u n d a n c ya n dd i v e r s i t yt e c h n o l o g ya r eu s e di nt h i sd e s i g n , w h i c h e n s u r e s s y s t e m + ss u r v i v a b i l i t y a n o t h e r , t h et e c h n o l o g i e s o fr o l e - b a s e da c c e s s c o n t r o l ( r b a c ) a n dn e u r a ln e t w o r k se r eb r i n gd y n a m i c a l l yi n t r u s i o n - t o l e r a n tp o l i c yt o t h i sn e wa r c h i t e c t u r e , a n db e t t e rf l e x i b i l i t yi sg a i n e d a tl a s t , t r a n s a c t i o nl e v e l i n t r u s i o n - t o l e r a n ti so f f e r e d ，w h i c hc o u l dr e s i s ti n s i d ea t t a c k s d e t a i l e dd e s c r i p 畦o na b o u tt h ek e yt e c h n o l o g yi nt h i sa r c h i t e c t u r ei sc a r r i e do u t t h e nw eh a v ed o n ea l la n a l y z et ot h ek e yf a c t o r sw h i c he f f e c ts y s t e mp e r f o r m a n c e a t t h ee n d , t h ep a p e rd i s c u s s e st h ed i r e c t i o n sa b o u tt h ei n t r u s i o nt o l e r a n c ee x i s t i n g p r o b l e m sa n dt h er e s e a r c h t h ep a p e rp r e s e n t sa ni n t r u s i o nt o l e r a n c ed a t a b a s e s y s t e m m o d e l ，w h i c h a d o p t e dr b a c ，s e c r e ts h a r e s ，i n d i r e c t l yi n t e r v i e w , r e d u n d a n c y 们mv a r i e t ye t c t e c h n i q u e , t h e r e f o r eh a v et h er e d u n d a n c y , s a f e , f l e x i b l ei n t r u s i o nt o l e r a n ta b i l i t ye t e c h a r a c t e r i s t i c s 1 1 1 es y s t e mi sd o n en o td e p e n do ns a f e t yo fs i n g l ep a r t s e v e nac e r t a i n m o d u l ew a so f f e n d e dt ob r e a k ，t h ew h o l es y s t e ma l s oc a n tb ep a r a l y z e db yt h ei n v a d e r 重庆大学硕士学位论文英文摘要 i na d d i t i o n , d a t a b a s ei se s t a b l i s h e do nt o po ft h ec o t sc h a r a c t e r i s t i c so fl o wc o s t , e x p a n d se a s i l y , b e c a u s eo fi n t r u s i o nt o l e r a n c eg r o u p w a r e , t h e r e f o r ei t s t i l lh a ss h o r t d e v e l o p m e n tp e r i o de t c 。 k e y w o r d s ：i n t r u s i o nt o l e r a n t ，f l e x i b l e ，r b a c ，n e u r a ln e t w o r k s ，s e c r e ts h a r e s i 重庆火学硕士学位论文 插图与附表清单 插图与附表清单 序号编号名称 页码 l 圈l 。1臻惑安全金三角模裂2 2图l 。2 倍息安全删要素3 3 醒2 1a v i 系统被障模型s 4图2 2 暇止系统失效的a v i 系统故障模型9 5图3 1 s i t a r 系统结构图1 5 6 强3 。2i t t c 瑗磊w e b 系绫黪体系络褥1 6 7图3 3 i t u a 系统结构图1 9 8图3 4 容侵状态转移模型2 1 9 图4 。t数攒痒多级安全摸裂2 2 1 0图4 ，2 自适应容侵数据库体系结构2 4 n图4 3 事务区域平瑟翔分2 6 1 2圈4 4 主p e m 工作过程2 9 1 3 图5 1 r b a c 示意图3 2 1 4圈5 2 蒸子r b a c 静天镘容忍 3 3 1 5 图5 3 b p 网络模型结构 3 5 1 6图5 4 b p 网络学习规则流程图 3 6 1 7 强5 。5 d 熬3 ，4 ) 秘密莛享 3 8 1 8表6 1冗余产生的延迟4 2 1 9匿6 1 一条简单的垂配置靓刚 4 3 v i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取 得的研究成果。据我所知，除了文中特j b , j d h 以标注和致谢的地方外，论文 中不包含其他人已经发表或撰写过的研究成果，也不包含为获得重麽太堂 或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本 研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：右永矛f签字日期：秒7 年莎月乒日 学位论文版权使用授权书 本学位论文作者完全了解重庞太堂有关保留、使用学位论文的 规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许 论文被查阅和借阅。本人授权重庆太堂可以将学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段 保存、汇编学位论文。 保密() ，在年解密后适用本授权书。 本学位论文属于 不保密( v ) 。 ( 请只在上述一个括号内打“”) 学位论文作者签名：岁：意矛7 导师签名，p 沙 签字日期：唧年6 月石日签字日期：么缈7 r 年占月7 日 重庆大学硕士学位论文1 绪论 1 绪论 随着计算机技术的不断发展，各种攻击手段也层出不穷，处于网络环境中的 数据库系统更是成为极具诱惑力的攻击目标，数据的保密性、完整性和有效性都 受到很多方面的威胁，包括密码策略、系统后门、数据库操作以及d b m s 本身的 安全方案，其安全问题早已受到了各界人士的高度重视。目前，信息安全己处于 以“生存技术”为核心和代表技术的第三个发展阶段，数据库入侵容忍技术也随之发 展起来。本文就是以“数据库入侵容忍技术”作为研究的内容。 本章共5 小节，第一节介绍信息安全的基本概述，第二节说明了课题研究背 景，第三节说明本论文作者所做的主要工作，第四节说明本论文的章节安排。第 五节对本章进行小结。 1 1 信息安全概述 “信息安全”曾经仅是学术界所关心的术语。现在，“信息安全”因各种原因已经 像公众词汇那样被广大公众所熟知，具有广泛的普及性。 一般认为网络信息安全应该包括以下几个基本的要素： 机密性( c o n f i d e n t i a l i t y1 ：对抗对手的被动攻击，保证信息不泄漏给未经授 权的用户，或者即便数据被截获，其所表达的信息也不被非授权者所理解。 完整性( i n t e g r i t y ) ：对抗对手主动攻击，防止信息被未经授权的篡改。 有效性( a v a i l a b i l i t y ) ：也称为可用性，保护信息或资源免受非法限制，即指 网络、系统、硬件和软件是可靠的，即使有中断服务的事件发生，也能快速地恢 复正常。确保信息及信息系统能够为授权使用者所正常使用。 这三个重要的基本属性被国外学者称为信息安全金三角( c 队) ，如图1 1 所 示： 重庆大学硕士学位论文1 绪论 机密性( c ) 完整性( i )可用性( a ) 图1 1 信息安全金三角模型 f i g1 1i n f o r m a t i o ns e c u r i t yg o l d e nt r i a n g l em o d e l 从信息安全的属性来看，除了前面所介绍的机密性、完整性、可用性等三个 基本属性之外，还有更多的一些属性也用于描述信息安全的不同的特性，如真实 性、可控性、合法性、实用性、占有性、唯一性、不可否认性、可追溯性、生存 性、稳定性、可靠性、特殊性等。其中：真实性反映的是主体身份、行为及相关 信息的真实有效；可控性反映的是信息系统不会被非授权使用，信息的流动可以 被选择性阻断；合法性反映的是信息或信息系统的行为获得了授权：实用性反映 的是信息加密密钥与信息的强关联性及密钥不可丢失的特性；占有性反映的是信 息载体不可被盗用，确保由合法信息所占有；唯一性反映的是各信息以及信息系 统行为主体之问不会出现混淆；不可否认性反映的是用户不能否认信息或者文件 的来源地，也不能否认接收了信息或者文件；可追溯性反映的是信息系统的行为 具有被审计的能力；生存性反映的是信息系统在受到攻击时可以通过采取降级等 措施以保持最低限度的核心服务能力；稳定性反映的是信息系统不会出现异常情 况；可靠性反映的是信息系统能够保持正常运行而不受外界影响的能力；特殊性 反映的是信息所需要表现的特定的内涵。 国家信息安全重点实验室给出的定义是：“信息安全涉及到信息的机密性、完 整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。”在诸多信 息安全的属性中，分析可见，机密性、真实性、可控性、可用性属于基本属性， 相互不能蕴涵。机密性、真实性、可控性、可用性这四个基本属性实际上就是信 息安全的四个核心属性，可以反映出信息安全的基本概貌。相对信息安全金三角 而言，可称之为信息安全四要素，简称ca c a ，如图1 2 所示： 2 重庆大学硕士学位论文1 绪论 机密性(实性( a u ) 可控性( c t )可用性( a v ) 图1 2 信息安全四要素 f i 9 1 2f o u rf a c t o r so f i n f o r m a t i o ns - u d t y 1 2 课题的研究背景 随着计算机网络应用的普及和提高，数据库在各个领域的应用越来越广泛。 然而数据库是及其复杂的系统，很难进行正确的配置和安全管理，随着应用的深 入，数据信息的不断增加，数据库安全已经成为计算机信息安全的一个重要方面 【l 】【2 1 。计算机软件、硬件故障，特别是日益增多的非法入侵，都将导致数据库系统 不能正常工作，造成大量数据信息被破坏，甚至是数据库系统崩溃。数据库安全 的重要性主要体现在以下几个方面： 首先，数据库是新型电子交易、企业资源规划( e r p ) 、办公自动化( 0 a ) 、 信息管理系统( m i s ) 和其它重要商业系统的基础 3 1 。在电子商务、电子交易关注 于w e b 服务器、j a v a 和其他新技术的同时，不要忽视这些以用户为导向的系统都 是以网络数据库为基础的。 其次，数据库保存敏感数据，在安全性方面却没有的到相应的重视。人们普 遍认为只要把网络和操作系统的安全搞好就可以了，从而忽视了数据库的安全。 然而所有现代关系数据库系统都是“可以从端口寻址的”，即任何人只要有合适的 查询工具，都能轻易的避开操作系统的安全机制与数据库直接相连。例如：t c p i p 协议利用1 4 3 3 端口访问s q l s e r v e r 数据库。 第三，有些数据库的安全漏洞在危害数据库安全的同时也威胁操作系统及其 它可信系统。这也是我们为什么要重视数据库安全的一个重要原因。有些数据库 提供的机制能够影响到操作系统和网络安全的底层，即便数据库运行在非常安全 的操作系统上，入侵者只需执行一些数据库中内置的扩展存储过程，依然可以通 过数据库获得操作系统权限。这些存储过程提供一些执行操作系统命令的接口， 可以访问所有的系统资源，此外，如果这个数据库服务器和其它数据库服务器有 信任关系，则整个域的机器都会面临严重的安全威胁。 数据库安全包括存储在数据库中的信息的机密性、完整性和可用性，与其相 关的研究涉及授权、推理控制、多级安全数据库、多级安全事务进程等。 重庆大学硕士学位论文1 绪论 过去的数据库安全研究强调的是如何将攻击者拒之门外，通过加密和严格的 存取控制保护信息的机密性、完整性和可用性，多级分类安全系统、边界控制、 入侵检测以及物理安全措施能够满足部分用户的保密需求。这些安全技术的主要 目的是防御攻击或入侵，但事实上这些防御措施有时对于一些恶意攻击是无效的， 特别是内部攻击。因此，在防御失败的情况下，我们必须寻找一种方案增强现有 数据库系统的安全，使它们在面临攻击的时候具有自动恢复的能力，提供数据库 系统的可生存能力。 数据库入侵容忍技术为解决这一问题提供了很好的方案。其核心思想是用硬 件或软件的容错技术屏蔽任何入侵或者攻击对系统造成的影响，从而使数据库系 统具有弹性，在系统遭受一定限度的攻击后，依然能为合法用户提供正常的关键 服务。 1 3 作者主要工作 本文主要做以下的工作： 对入侵容忍技术进行分析研究； 分析当前国内外对入侵容忍技术的研究现状； 提出自适应入侵容忍数据库体系结构，实现数据库自适应的入侵容忍； 研究系统用到的关键技术； 深入探讨影响系统容侵性能和效率的因素。 1 4 论文章节安排 本文具体内容安排如下： 第一章介绍信息安全的相关知识，及本课题的研究背景，并简单介绍本论文 所进行的主要工作，及论文的章节安排； 第二章介绍入侵容忍技术的基本概念、技术特点、原理，然后按照入侵容忍 的不同分类方法，对入侵容忍进行分类； 第三章分析国内外对入侵容忍技术的研究现状； 第四章首先，分析当前流行的多级容侵安全模型，提出一种基于角色访问的 自适应容侵数据库体系结构，然后详细阐述该系统的主要的组件及其功能和工作 原理，最后描述入侵容忍的实现过程； 第五章详细讨论系统用到的关键技术； 第六章分析影响系统的工作性能和效率的因素，以及采取的有效措施； 第七章对全文进行总结。 4 重庆大学硕士学位论文 1 绪论 1 5 本章小结 本章首先介绍了信息安全的基本概念，本课题的研究背景，然后说明了论文 中作者的主要工作，最后介绍本文的章节安排情况。 重庆大学硕士学位论文 2 入侵容忍技术 2 入侵容忍技术 2 1 入侵容忍技术出现的背景 计算机网络的发展使网络具有许多安全研究者不愿看到的特点。网络不断庞 大：联入网络的设备种类越来越多；网上应用种类和应用系统也越来越多，功能 与实现越来越复杂，这给信息安全研究带来了更多的困难，同时也带来了更多的 机遇与挑战。 第一代信息安全技术称为信息保护技术。它假设能够划分明确的网络边界并 能够在边界上阻止非法入侵，其技术基本原理是保护和隔离，通过保护和隔离达 到真实、保密、完整和不可否认等安全目的。 信息保护技术解决了很多安全问题，但是，并不是在所有情况下都能够清楚 地划分并控制边界，保护措施也并不是在所有情况下都有效。当i n t c m e t 网络逐步 扩展的时候，人们发现保护技术在某些情况下无法起作用，保护技术在现代网络 环境下已经没有能力全面保护我们的信息安全。 第二代信息安全技术被称为信息保障技术。它包括了保护、检测、响应并提 供信息系统恢复能力的、保护和捍卫信息系统的可用性、完整性、真实性、机密 性以及不可否认性的全部信息操作行为。信息保障技术的基本假设是，如果不能 防御入侵，但至少能发现入侵和入侵造成的破坏。通过发现入侵，可以采取一定 的响应措施，当发现严重情况时，可以采用恢复技术，恢复系统原始的状态。 事实上，检测系统要发现全部的攻击是不可能的，由于信息保障所依赖的检 测技术有不可逾越的识别困难，使得信息保障技术仍没能解决所有的安全问题。 同时，信息保障中的恢复技术也很难在短时间内达到效果。即使不断地恢复系统， 但恢复成功的系统仍旧是原来的有漏洞的系统，仍旧会在己有的攻击下继续崩溃。 第三代信息安全技术称为信息生存技术，是增强抵御入侵和破坏能力的技术。 它假设我们不能完全正确地检测系统的入侵，或者说，检测系统不能保证在一定 的时间内得到正确的答案。入侵容忍技术在这个背景下产生了，其目标是当一个 网络系统遭受非法入侵后，其中的防护安全技术都失效或者不能完全排除入侵所 造成的影响时，即使系统的某些组件遭受攻击者的破坏，容侵系统仍能及时自我 诊断、恢复和重构，并能为合法用户提供所需的全部或者降级的服务。 2 2 入侵容忍技术的概念 容侵的概念最早由j f r a g a 和d p o w d l 在1 9 8 5 年提出。一个入侵容忍系统即第 三代信息安全技术是这样的信息系统，它能够在面对攻击的情况下，仍然连续地 6 重庆大学硕士学位论文2 入侵容忍技术 为预期的用户提供及时的服务，入侵容忍系统能够检测一些用攻击避免和预防手 段无法检测的信息攻击，这些攻击可能透过外层防御，即用攻击避免和预防手段 设置的防御，如防火墙系统，认证和加密系统等。系统将采取一些必要的措施保 证关键应用的功能连续正确。这些措施包括从限制怀疑的代码和数据到重新配置 硬件和软件资源等。d e s w a r t e , b l a i n 和f a b r e 在1 9 9 1 年开发了一个具有容侵功能的分 布式计算系统，但相关研究工作的兴起则是在最近几年才开始。目前，美国国防 高级研究项目署( d a r p a ) 启动了一个新的研究和开发方向，名为“第三代安全”( t h e 3 耐g e n e r a t i o ns e c u r i t y ，3 g s ) ，主要研究容侵技术，包括系统在面临攻击的情况下 保持系统高存活性和弹性( 自动恢复) 的能力，以及对这些能力进行评估的手段。欧 洲启动了m a f t i a 研究项目，以期系统地研究容侵模型，建立大规模的可靠分布式 应用。另外，我国的一些科研单位也在开展这方面的研究工作。国内浙江大学计 算机系蔡亮、杨小虎、董金样等的研究重点是在信息战语义下，如何防止从国外 进口的数据库管理系统本身可能潜藏的恶意功能。我们将在第三章进行详细介绍。 入侵容忍的基础主要是基于传统的容错技术构造( 软件和硬件) ，例如多样性、 冗余、接受测试和投票选举等。入侵容忍系统的目的是保证系统即使在发生故障 的情况下能够正确运转，当系统由于故障原因不能工作时，应以一种无害的、非 灾难性的方式停止。其和容错技术区别在于，容错技术关注的是随机发生的自然 故障；而入侵容忍关注的是人为的恶意攻击，具有智能性和不可控性。 2 3 入侵容忍技术的特点 入侵容忍技术具有以下的特点： 消除单点失效 入侵容忍系统的个重要特点是要求消除系统中所有的单点失效，也就是说， 任何单点发生故障不影响整个系统的运转。入侵容忍系统不相信任何一个单一的 系统，因为它们可能会被攻击者占领。作为基础设施，提出消除单点失效的要求 是合理的。 抵制内部犯罪 入侵容忍技术的另一个特色是抵制内部犯罪。攻击是无法完全禁止的，而内 部犯罪更加难以根除。入侵容忍通过对权力分散及对技术上单点失效的预防，保 证任何少数设备、任何局部网络、任何单一场点都不可能做出泄密或破坏系统的 事情。 权力分散 入侵容忍系统消除了权力集中。它的权力分散不同于一般的权力分散，是彻 底的权力分散：任何设备、任何个人都不可能拥有特权。如入侵容忍的保密不同 7 重庆大学硕士学位论文 2 入侵容忍技术 于一般存取控制中的权力分散，存取控制中总会有一个系统或设备级别非常高， 但入侵容忍系统中不存在这样的设备。 2 4 入侵容忍技术原理 2 4 1 系统故障模型 在面临攻击的情况下，一个系统或系统组件被成功入侵的原因主要有两个： 安全漏洞，本质上是需求、规范、设计或配置方面存在的缺陷，如不安 全的口令、使堆栈溢出的编码故障等，安全漏洞是系统被入侵的内部原因； 攻击者的攻击，这是系统被入侵的外部原因，是攻击者针对安全漏洞而 主动采取的恶意操作，如端口扫描、d o s 攻击等方法。 攻击者对系统或系统组件的一次成功入侵，能够使系统状态产生错误( e r r o r ) ， 进而会引起系统的失效( f a i l u r e ) 。为了把传统容错技术用到入侵容忍上面来，可把 任何攻击者的攻击、入侵和系统组件的安全漏洞抽象成系统故障( f a u l t ) 。一个系统 从面临攻击到系统失效的过程中，通常会出现以下事件序列：故障( f a u l d _ 一错误 ( e r r o r ) 一失效( f a i l u r e ) 。为了推理用于建立阻止和容忍入侵的机制，有必要对系统 故障进行建模。在实践中，常用的故障模型是a v i 混合故障模型( a t t a c k ， v u l n e r a b i l i t y ，i n t r u s i o nc o m p o s i t ef a u l tm o d e l ) ，所图2 i 所示： 攻击 图2 ia v i 系统故障模型 f i g2 1a v is y s t e mf a u l tm o d e l 由图2 1 可见，故障是引起系统产生错误的原因，错误是故障在系统状态方面 的表现，而失效是一个错误在系统为用户提供服务时的表现，即系统不能为用户 提供预期的服务。为了实现入侵容忍，防止系统失效，可以对事件链的各个环节 进行阻断，见图2 2 所示。 重庆大学硕士学位论文 2 入侵容忍技术 攻击攻击 图2 2 阻止系统失效的a v i 系统故障模型 f i g2 2t h ea v is y s t e mf a u l tm o d e lf o rp r o t e c t i n gs y s t e mf r o me x p i r e s 由图2 2 可见，综合应用多种安全技术可以防止系统失效，这些安全技术包括： ( 1 ) 攻击预防：包括信息过滤、禁l l z j a v a s c r i p t 等可能含有恶意的脚本、对入侵进行 预测等技术；( 2 ) 漏洞预防：包括完善的软件开发、预防配置和操作中的故障；( 3 ) 漏洞排除：针对程序堆栈溢出的编码错误、弱口令、未加保护的t c p i p 端口等漏 洞，采用漏洞排除方法，从数量和严重程度上减少安全漏洞的存在，然而要完全 排除系统安全漏洞并不现实；( 4 ) 入侵预防：针对已知形式的攻击，采取防火墙、 入侵检测系统、认证和加密等手段，可以对这些攻击进行预防和阻止；( 5 ) 入侵容 忍：作为阻止系统失效发生的最后一道防线，入侵容忍意味着能检测到入侵引起 的系统错误，并采用相应机制进行错误处理。 2 ，4 2 入侵容忍技术的实现方法 目前，主要通过两种方法来实现入侵容忍p 1 攻击响应的容侵方法 这种解决方案通过检测到局部系统的失效或估计到系统被攻击，而加快反应 时问，调整系统结构，重新分配资源，从而将信息保障技术上升到一种在攻击发 生的情况下能够继续工作的系统。 攻击响应的入侵容忍系统一般都包括一个基于风险概念的入侵预测系统、一 个高正确率的入侵判决系统、一套系统资源控制系统和在线的修复管理程序。有 些系统中还包括了隔离机制。当入侵检测系统预计某些活动可能是攻击时，就能 调用资源的重新分配以减缓这种可能是攻击的操作。如果预测系统认为某种操作 可能会严重影响后续的系统运作，则隔离机制会将这种可疑的操作隔离到其他区 域。最后，到入侵判决系统作出正确的判决以后，修复管理程序再将攻击操作所 导致的错误结果进行修补。针对被隔离的数据和操作，当判决系统认为确实是攻 击时，就将被隔离的操作删除掉。当判定不是攻击时，就将这些隔离的结果融合 到正确的系统中去。 9 重庆大学硕士学位论文 2 入侵容忍技术 资源调整系统是入侵容忍系统中的重要环节。如何有效地调整资源，保证最 大程度地限制被破坏区域的扩大是该类入侵容忍系统所要研究的。己有的许多设 备可以作为资源调整系统的基础，如具有带宽调整功能的防火墙就可以将被怀疑 的攻击i p 地址的带宽限制在一定的范围内，从而保证其他用户的正常通信。通过重 新定向的技术可以把可疑的操作导向到一个隔离区域从而保护系统的正常运转。 修补系统是该类型入侵容忍技术中的一个难点。一旦最后的判决认为某个操 作确实是攻击，系统必须修正所有被该攻击影响到的数据而又不要采用简单的回 退恢复。为了达到入侵容忍的目的，系统必须保证未被感染的部分不被恢复。这 样，修复系统首先必须搞清楚哪些数据或系统受到影响变“坏了”；其次，就是把这 些“坏了”的设备或数据进行正确的修复。如何跟踪每个可疑的操作，如何备份是这 个体系中的重要内容。 许多入侵容忍的系统就基于这样的结构，如i t d b 数据库系统、i n t e r n c t 的服务 保护系统等。这种入侵容忍的特点是不需要重新设计系统结构，系统的操作和连 接界面也可以保持与原有的一样。 攻击屏蔽的容侵方法 多方安全计算的技术、门限密码技术【6 】、b y z a n t i n e 协议技术等都是攻击屏蔽入 侵容忍技术的理论基础。假设计算环境是不可信的，要设计一种结构，使可信的 部分系统能够在不可信的环境中安全地合作，来完成系统的任务。 攻击屏蔽的方法就是一开始就重新设计整个系统，以保证攻击发生后对系统 没有太大的影响。该方法的原理可以用古老的容错技术进行说明。比如，在设计 时就制造足够的冗余，以保证当部分系统被攻击时，整个系统仍旧能够正常工作。 当然，入侵容忍的冗余并不是简单的容错中的冗余，入侵容忍的冗余技术应该保 证各冗余部件之间具有复杂的关系，并具有不一样的结构。类似双机备份这样的 技术没有办法构成入侵容忍的结构，因为攻击者能够攻克第一个服务器，也就能 够攻克第二个服务器。当需要机密性服务时，双机备份也不行，因为攻入一个系 统就能够得到所有的信息。 比如，信息安全国家重点实验室的入侵容忍的c a 系统从门限密码学的思路出 发，利用密钥的拆分来保证私钥安全和签名安全。当有少数设备被敌人占领时， 私钥不泄露，证书和c r l 的签发服务照常进行。c o r n e l l 大学的c o c a 系统是基 于b y z a n t i n e 协议技术的思路，其分布式的c a 系统能够保证，当t 个服务器发生任 意错误的时候，整个c a 系统依旧能够正常地工作。 在具体实现时，对方法的选择没有统一的定论，可根据系统的具体环境选择 合适的实现方法。 1 0 重庆大学硕士学位论文 2 入侵容忍技术 2 5 入侵容忍的分类 入侵容忍技术涉及的问题众多而广泛，下面从应用类型，研究层次，研究问 题等方面对该领域的研究工作情况作综合的分类介绍。 2 5 1 应用类型 在实际应用中，入侵容忍应用可根据被保护的对象分为以下两类： 对服务的入侵容忍 主要研究系统在面l 临攻击的情况下，仍能为预期的合法用户提供有效服务的 方法和机制。目前具有入侵容忍的服务有：入侵容忍的交易服务 7 、入侵容忍的 c a ( c e r t i f i c a t ea u l h o r i 劝认证服务8 】【9 】 1 0 1 、入侵容忍w e b ) r 务【9 1 和入侵容忍的网络 基础设施服判1 等。对服务的入侵容忍策略常用故障避免策略和可重配策略，对 服务的入侵容忍机制常用安全通信机制、入侵检测和遏制机制、错误处理机制。 对数据的入侵容忍 主要研究系统面临攻击的情况下如何保证数据的机密性和可用性。目前涉及 的数据类别主要是入侵容忍的文件系统m 1 2 1 和入侵容忍的数据库系纠”】。对数据 的入侵容忍策略常用可重配策略和机密性操作策略，对数据的入侵容忍机制常用 安全通信机制、入侵检测机制和错误处理机制。 2 5 2 研究层次 按照网络和应用体系分层的思想，入侵容忍的研究在物理层之上分为以下几 个层次： 网络和传输层 研究针对网络基础设施( u p 路由器、域名服务器等) 的入侵容忍方法，以提供网 络环境下安全和可靠的路由、域名解析服务【1 1 】0 4 。 中件间系统 研究基于中间件的入侵容忍解决方案，帮助应用程序在面临攻击的情况下能 够幸存，包括：异构的入侵容忍, c o r b a 系统【1 5 】；能对系统的可用性和质量进行感 知和反应的中间件技术；在恶意环境下，用于入侵容忍服务复制的中间件体系结 构1 1 6 1 ；结合系统症状，在变化的环境和操作条件下能提供自适应的和攻击者无法 预测系统反应的中间件技术。 高级服务和设施 研究面向特殊类型应用的入侵容忍服务和设施，包括：用于网络上认证服务 的c a 8 】【9 】【l o 】；入侵容忍的p k i 1 1 1 等。 应用解决方案 研究基于入侵容忍的特定应用，包括：容错和容侵的文件系统【4 】、能够提供高 安全性和可用性的入侵容2 , w e b 应用9 1 、能提供完整性和可用性的入侵容忍数据库 重庆大学硕士学位论文2 入侵容忍技术 应用1 3 1 等。 2 5 3 研究问题 目前，入侵容忍领域所研究的问题可分为以下几类： 构建方法 1 1 基于软件的入侵容忍 这方面工作主要研究入侵容忍的中间件系统1 1 1 、入侵容忍的软件体系结构 【2 2 1 、对软件系统的安全属性进行建模和量化的方法。 2 ) 基于硬件的入侵容忍 在分布式系统环境中，用于容忍任意故障的分布式算法在资源和时间上开销 很大，为了提高效率，采用具有增强的失效控制模式的硬件有助于建立更高的可 信度，从而实现更为高效的入侵容忍系统。目前这方面工作主要研究硬件组件 的冗余配置【2 4 1 。 实现原理 1 ) 基于门限密码体制的入侵容忍 主要研究密钥管理( 包括共享秘密的产生、分配和更新) 、门限方案的设计、组 件间交互的协议分析设计与验证、多方计算、重构过程、系统恢复、系统评估等 工作【8 】1 9 【2 5 1 。 基于冗余和适应性的入侵容忍 研究基于冗余和适应性的入侵容忍算、法【1 9 1 和入侵容忍系统构建方、法【2 6 1 。 3 ) 基于系统重配的入侵容忍 研究工作包括：当系统组件产生入侵触发信息后，对系统组件的功能和性能 进行重新配置的策略和方澍2 7 】；能够对大规模、异步的分布式系统进行主动或反 应性重新配置的安全、自动的框架【2 耵。 体系结构 对入侵容忍体系结构的研究主要包括：入侵容忍体系结构的概念和设计问题、 自适应入侵容忍服务器的体系结构、能够提供高可用性和完整性的入侵容忍体系 结构口9 1 。 入侵容忍协议 入侵容忍协议设计是入侵容忍群通信系统的重要组成部分。群通信系统是一 组通过网络互连协同操作的进程( 或主机) ，入侵容忍群通信系统是当部分进程( 或 主机) 被入侵时，能够容忍任意形式的故障，连续提供正确结果的群通信系统。在 入侵容忍群通信系统里，入侵容忍协议旨在阻止攻击，提供安全可靠和有序的消 息传送和群成员资格服务( g r o u pm e m b e r s h i ps e r v i c e ) t 3 0 1 。目前，这方面研究主要包 括：安全可靠的入侵容忍群通信协议1 1 4 】 3 0 l 3 q 、用于入侵容忍群通信系统的群成 重庆大学硕士学位论文 2 入侵容忍技术 员资格协议( g r o u pm e m b e r s h i pp r o t o c 0 1 ) t 3 2 1 【3 3 】。 分析方法 信息系统的安全以前被认为是定性的属性，然而，只有对安全进行合理量化 和评估，才能更好地对安全风险、需求和策略进行平衡，从而在保证安全的同时， 节省成本。这方面主要研究：提供群通信系统入侵容忍所需成本的量化方法p 、 入侵容忍的概率验证方法、运用状态转换模型刻划入侵容忍系统【3 5 1 、入侵容忍系 统的安全建模和量化问题等。 2 6 本章小结 本章介绍了入侵容忍技术的一些基本理论知识包括：入侵容忍技术的概念、 入侵容忍技术的特点、原理、以及按照不同的角度进行的分类情况等。对入侵容 忍技术理论进行了全面的分析。 重庆大学硕士学位论文 3 入侵容忍研究现状 3 入侵容忍研究现状 国际上对数据库管理系统入侵容忍技术的研究起源于美国，主要是g m u 的 s u s h i lj a j o d i a ，p a u la m m a l l r i 和u m b c 的p e n gl i u 以及n o r t hd a k o t au n i v e r s i t y 的 b r a n j e n d r ap a n d a 等几个研究组。据公开资料，国内浙江大学计算机系蔡亮、杨小 虎、董金祥等对信息战语义下数据库管理系统的恶意行为作了研究。 3 1 国外研究现状 近几年来，以美国d a r p a 的o a s i s 计划和n s f 一系列计划以及欧盟 m a f t i a 高级研究计划资助为主体，国外学术界对容忍入侵的相关问题展开了大 量研究，并取得了许多丰富的成果。 首先我们简单介绍o a s i s 计划支持的几个典型项目： s i t a r d u k e 大学开展的s i t a r ( s c a l a b l ei n t r u s i o nt o l e r a n c ea r c h i t e c t u r e ，可伸缩的入 侵容忍体系结构) 项目 3 们。其目标是：1 ) 研究容错和入侵的关系，开发入侵容忍模 型，定义初始的体系结构；2 ) 折衷考虑分析和仿真方法，实现一个原型系统，通 过实验评估原型系统。 s i t a r 主要应用了可重配操作策略和错误处理策略，采用了入侵检