（计算机软件与理论专业论文）嵌入式实时系统可生存性研究.pdf

嵌入式实时系统可生存性研究 摘要 随着嵌入式实时系统的广泛应用，使用“防、“检”思想来实现安全性的传统信息 系统安全技术，如防火墙、入侵检测等，由于存在增加系统整体风险的问题已不能满足 系统安全需要。可生存性则突破了传统信息系统安全的概念，从“容的角度来实现信 息系统的安全性。可生存性强调信息系统在遭受攻击、故障或意外事故的情况下，仍然 能够及时地完成其关键任务的能力。嵌入式实时系统在遇到灾难或意外故障时，如果不 能及时完成其关键任务，必然会造成巨大损失，故本论文从设计和分析角度对其进行可 生存性研究。 本论文首先对信息系统的可生存性在国内外的研究情况做了阐述，提出了嵌入式实 时系统的可生存性规范。然后重点研究了两种可生存性设计方法，并在此基础上提出了 基于入侵容忍技术的嵌入式实时系统可生存性设计方法。另外，本论文搭建了一个嵌入 式实时系统可生存性分析架构，并用一个实例来进行可生存性分析。具体来讲，本论文 的主要工作包括以下几个方面： 1 对可生存性理论进行系统化的研究和分析。介绍了可生存性的研究背景、特点 等，并与安全性、可靠性等系统属性进行了比较。对可生存性的相关理论进行分析和整 理，廓清了可生存性研究的发展方向。 2 给出了嵌入式实时系统可生存性规范。目前可生存性定义多达四十几个，但大 部分都是对可生存性应具备的一些属性进行定性描述，这些定义不能给系统开发者提供 一种标准来确定一个系统是否是可生存的。本论文提出的嵌入式实时系统可生存性规 范，是对系统可生存性的量化，便于对嵌入式实时系统可生存性进行评估和定量分析。 3 在深入研究信息系统的两种可生存性设计方法的基础上，提出了一种基于入侵 容忍技术的嵌入式实时系统可生存性设计方法。以一个嵌入式移动视频点播系统为例， 详细介绍了这种可生存性设计方法。入侵容忍部分采用组件冗余恢复策略，可以有效提 高系统的可生存性能力。 4 搭建了一个嵌入式实时系统可生存性分析架构。提出的分析架构是对s n a 四步 分析法的改进，主要包括定义可生存性服务规范集、建立关系映射模型、确定关键服务 和关键组件、可生存性评价等几个部分。分析架构包括对整个嵌入式实时系统生存性分 析过程进行定义和划分，划分的最终效果是分析过程的规范化和简单化。 5 利用该架构分析了一个嵌入式移动视频点播系统的可生存性。得到的分析结果 指出了系统中存在的一些漏洞，提供给系统用户参考以改进系统功能，同时也验证了架 构的合理性和可行性。 关键词：可生存性；嵌入式实时系统；入侵容忍；分析架构 l i r e s e a r c ho ne m b e d d e dr e a l t i m 匣 s y s t e m s u r v i v a b i l i t y a bs t r a c t w i t ht h ee x t e n s i v ea p p l i c a t i o no fe m b e d d e dr e a l t i m es y s t e m ，t r a d i t i o n a li n f o r m a t i o n s y s t e ms e c u r i t yt e c h n o l o g i e sw h i c hu s e di d e a so f d e f e n s e o r i n s p e c t i o n s u c ha sf i r e w a l l ， i n t r u s i o nd e t e c t i o ns y s t e m sh a v eb e e nu n a b l et om e e ts e c u r i t yn e e d sb e c a u s eo fi n c r e a s i n g t h eo v e r a l lr i s ko fs y s t e m s u r v i v a b i l i t yb r e a k st h r o u g ht h et r a d i t i o n a ls e c u r i t yc o n c e p to f i n f o r m a t i o ns y s t e ma n dr e a l i z e si t ss e c u r i t yf r o man e w p o i n to f “c o e x i s t e n c e ”i te m p h a s i z e s t h ec a p a b i l i t yo fas y s t e mt of u l f i l li t sm i s s i o ni nat i m e l ym a n n e r , i nt h ep r e s e n c eo fa t t a c k s ， f a i l u r e s ，o ra c c i d e n t s o n c ee n c o u n t e r si n v a s i o na t t a c k s ，a c c i d e n t so ro t h e rc a t a s t r o p h i c i n c i d e n t sd u r i n go p e r a t i o n ，i fn o tn e c e s s a r yr e m e d i a lm e a s u r e s ，e m b e d d e dr e a l - t i m es y s t e m w i l li n e v i t a b l yf a i lt oc o m p l e t et a s k so nt i m ea n dr e s u ri nh u g el o s s e s i nt h i sp a p e r , 3 0v c e s t a r tt h es u r v i v a b i l i t yr e s e a r c hf r o mp e r s p e c t i v eo fd e s i g na n da n a l y s i s i nt h i sp a p e r , f i r s t l yw ee l a b o r a t et h er e l a t e dr e s e a r c h e so ni n f o r m a t i o ns y s t e m s s u r v i v a b i l i t yh o m ea n da b o a r da n db r i n gf o r w a r das u r v i v a b l es p e c i f i c a t i o no fe m b e d d e d r e a l t i m es y s t e m s e c o n d l y , w el a yh e a v ys t r e s so nt w os o r t so fs u r v i v a b i l i t yd e s i g nm e t h o d s a n dp u tf o r w a r da ne n h a n c e m e n td e s i g nm e t h o dw h i c hb a s e do ni n t r u s i o nt o l e r a n c e t e c h n o l o g yt or e a l i z es u r v i v a b i l i t yd e s i g n o nt h eo t h e rh a n d , w ep u tu pa na p p r o p r i a t e s u r v i v a la n a l y s i sf r a m e w o r kf o re m b e d d e dr e a l - t i m es y s t e ma n da n a l y z es u r v i v a b i l i t yo fa c o n c r e t es i m p l e s p e c i f i c a l l y ，t h em a i nw o r ko ft h ep a p e ri n c l u d e s ： 1 a n a l y z i n ga n dr e s e a r c h i n gs y s t e m a t i z a t i o no ns u r v i v a b i l i t yt h e o r i e sh o m ea n da b o a r d t h e nw ei n t r o d u c et h eb a c k g r o u n da n dt h ef e a t u r e so fs u r v i v a b i l i t ya n ds oo n o nt h eo t h e r h a n d ，w ec o m p a r ei t 晡t l lo t h e ra t t r i b u t e so fs y s t e ms u c ha ss a f e t y ，r e l i a b i l i t y t h r o u g h a n a l y z i n ga n dr e s e a r c h i n go nt h o s ei n t e r r e l a t e dt h e o r yo fs u r v i v a b i l i t y ，w ec a l lc l a r i f yt h e d e v e l o p m e n td i r e c t i o no fs u r v i v a b i l i t y 2 b r i n g i n gf o r w a r das u r v i v a b l es p e c i f i c a t i o no fe m b e d d e dr e a l t i m es y s t e m t h e d e f i n i t i o no fs u r v i v a b i l i t yi sn o wa v a i l a b l eu pt o4 0 h o w e v e r , t h em o s ta r eo n l yq u a l i t a t i v e d e s c r i p t i o no fs u r v i v a b i l i t yp r o p e r t i e s t h e s ed e f m i t i o n sc a nn o tp r o v i d e as t a n d a r df o r i i l d e v e l o p e rt od e t e r m i n ew h e t h e ras y s t e mi ss u r v i v a b l eo rn o t t h es u r v i v a b l es p e c i f i c a t i o n b r o u g h tf o r w a r db yu sc a r lq u a n t i f yt h es y s t e ms u r v i v a b i l i t ya n dc o n t r i b u t e st oa s s e s s m e n t a n dq u a n t i t a t i v ea n a l y s i so fs u r v i v a b i l i t yo fe m b e d d e dr e a l t i m es y s t e m 3 c h o o s i n gi n t r u s i o nt o l e r a n c et e c h n o l o g yt or e a l i z es u r v i v a b i l i t yd e s i g no fe m b e d d e d r e a l - t i m es y s t e mo nt h eb a s i so fd e e ps t u d yi nt h et w ok i n d so fd e s i g nm e t h o d so fi n f o r m a t i o n s y s t e m ss u r v i v a b i l i t y t h r o u g has a m p l eo fe m b e d d e dm o b i l ev i d e o o n - d e m a n ds y s t e m ，w e d e s c r i b ei nd e t a i lt h i ss u r v i v a b l ed e s i g nm e t h o d m o d u l eo fi n t r u s i o nt o l e r a n c eu s e s r e d u n d a n c yr e c o v e r ys t r a t e g yc a ne f f e c t i v e l yi m p r o v et h es y s t e mc a p a c i t yt os u r v i v a b i l i t y 4 s e t t i n gu pa na p p r o p r i a t es u r v i v a la n a l y s i sf r a m e w o r kf o re m b e d d e dr e a l - t i m es y s t e m f o rb e t t e ra n a l y z a b l ej o b t h ea n a l y s i sf r a m e w o r kp r o p o s e di sa ni m p r o v e m e n tt of o u r - s t e p a n a l y s i ss n a i ti n c l u d e st h ed e f i n i t i o no fs e r v i c e ss p e c i f i c a t i o ns e t so fs u r v i v a b i l i t y , t h e e s t a b l i s h m e n to fr e l a t i o n sm a p p i n gm o d e l ，t h ei d e n t i f i c a t i o no fk e ys e r v i c e sa n dc o m p o n e n t s a n ds oo n t h ea n a l y s i sf r a m e w o r ki n c l u d e sa l ld e f i n i t i o n sa n dc l a s s i f i c a t i o n so fa n a l y t i c a l p r o c e s so ft h ee n t i r ee m b e d d e dr e a l - t i m es y s t e m a tl a s tw ef a c i l i t a t et h ea n a l y s i sp r o c e s s 、析t i ls t a n d a r d i z a t i o na n ds i m p l i f i c a t i o n 5 a p p l y i n gt h ea n a l y s i sf r a m e w o r kt oa n a l y z es u r v i v a b i l i t yo fas i m p l ee m b e d d e d m o b i l ev i d e o - o n - d e m a n ds y s t e ma n dv e r i f y i n gt h er e a s o n a b l e n e s sa n df e a s i b i l i t yo fs u r v i v a l a n a l y s i sf r a m e w o r k t h ef i n a la n a l y s i sr e s u l t sp o 缸o u tt h el o o p h o l e so ft h es y s t e m ，w h i c h w i l lh e l ps y s t e mu s e r st oi m p r o v et h es y s t e mf u n c t i o n s k e yw o r d s ：s u r v i v a b i l i t y ；e m b e d d e dr e a l - t i m es y s t e m ；i n t r u s i o nt o l e r a n t ； i v 浙江师范大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的 研究成果。论文中除了特别加以标注和致谢的地方外，不包含其他人或其他机构已 经发表或撰写过的研究成果。其他同志对本研究的启发和所做的贡献均已在论文中 作了明确的声明并表示了谢意。本人完全意识到本声明的法律结果由本人承担。 作者签名： 五嚏闺 日期：2 _ 7 年月2 1 3 学位论文使用授权声明 本人完全了解浙江师范大学有关保留、使用学位论文的规定，即：学校有权保留并 向国家有关机关或机构送交论文的复印件和电子文档，允许论文被查阅和借阅，可以采 用影印、缩印或扫描等手段保存、汇编学位论文。同意浙江师范大学可以用不同方式在 不同媒体上发表、传播论文的全部或部分内容。 保密的学位论文在解密后遵守此协议。 作者虢艇闺导师虢覆辩眺吁月2 日 4 9 浙江师范大学学位论文诚信承诺书 我承诺自觉遵守浙江师范大学研究生学术道德规范管理条例。我的学位论文中 凡引用他人已经发表或未发表的成果、数据、观点等，均已明确注明并详细列出有关文 献的名称、作者、年份、刊物名称和出版文献的出版机构、出版地和版次等内容。论文 中未注明的内容为本人的研究成果。 如有违反，本人接受处罚并承担一切责任。 承诺人( 研究生) ：碰f 訇 指导教师：秀珈乏 5 1 1 绪论 随着计算机及网络技术的发展，当今社会已经日益依赖运行于无边界环境下的大规 模、高分布的计算机系统。这种依赖性使得包括航空航天和国防在内的各种关键部门已 经承受不起由于计算机系统不能正常运行所导致的后果。可生存性理论的提出可以帮助 系统解决当系统受到意外损坏或恶意侵害后，依然可以维持必要的服务，并维护其系统 的完整性、机密性和性能等必要属性。在可生存性研究的初期，可生存性经常被当作系 统的附加属性加以考虑，目前，可生存性已经是在系统设计阶段所必需考虑的重要一环。 可生存性分析的目的也是为系统的拥有者和管理者提供系统的可生存性信息以及增强 系统可生存性的推荐策略。 1 1 研究背景 可生存性研究最早可以追溯到海军的战船在遭遇持续的损害时，如何阻止其沉没， 而当轮船下沉时如何挽救船员的生命。在一战二战时，有关研究开始系统化，研究方向 主要集中在航空领域：考虑飞机在遭到损害时如何能够继续飞行。二十世纪六十年代末 期，美国军方标准正式定义可生存性为“系统为完成其任务抵抗恶意环境的能力 。目 前，最活跃的可生存性研究是汽车的“防撞”研究，其次是建筑物的“防火保护和“消 防 领域。在电信方面，可生存技术也有了很成熟的发展。信息网络系统的可生存性研 究相对较新：1 9 9 3 年，b a r n e s 等人第一次提出了信息系统的“可生存性 概念【l 】：指系 统面临攻击、失效和偶然事件的情况下，按需求提供基本服务的能力。1 9 9 6 年 d a r p a 1 1 的的项目“信息生存 在h o w a r ds h r o b e 领导下开展了，随后几年s e f c e r t 共同举办了信息生存研究会议i s w ，在1 9 9 9 年可生存性作为商业风险管理的观点第一 次被引入到美国计算机学会新的安全范例研究组( a c mn e ws e c u r i t yp a r a d i g m s w o r k s h o p ) 。 目前对网络系统的可生存性专门研究主要集中在美国，美国近年来一直强调关键基。 1 绪论 础设施的可生存性。这些基于信息的关键基础设施包括电力网、通信网、医疗、银行及 金融、国防等系统。可生存性网络技术( s u r v i v a b l en e t w o r kt e c h n o l o g y ) 研究领域，主 要关注的是当系统被渗透或遭受损害时，为保证基本服务的持续，确认并阻止安全漏洞 的基础技术。它强调运用于有界系统( 整个系统存在一个统一的管理) 有效的安全策略 或方法不一定适用于诸如i n t e m e t 这样的无界系统，要重视设计和实现策略、恢复策略、 抵制攻击策略以及生存性权衡分析和安全结构技术的研究和开发。 系统可生存性的研究范围很广，包括可生存性的基本概念、可生存性体系结构、可 生存性系统模型、可生存性系统分析与设计、可生存性系统工程方法和工具、可生存性 风险评估、可生存性系统评价与测试等。可生存性概念的提出并不是计算机应用发展的 一个新的方向，而是一个综合了其它相关领域的整体安全框架。在上世纪九十年代末， 可生存性概念的研究一度成为热点，虽然目前仍没有公认的定义，但是早已不是研究的 主要方向。一般认为，可生存性的概念应该包括以下几个方面的内容：系统、威胁、适 应性、服务的连续性、时间。在系统需求工程研究的基础之上，可生存性系统需求工程 的研究进展很快，可生存性系统需求的核心内容便是系统的可生存性需求，可生存性需 求又包括了五种类型的需求定义：系统可生存性需求、使用入侵需求、发展需求、操 作需求、演化需求。最近系统可生存性研究的重点和热点为可生存性系统的设计方法和 实现策略，这些直接与各种工程实践相关，具有很强的应用性。目前，在系统设计阶段 已经将系统的可生存性作为关键属性考虑，采用适当的策略增强系统的可生存性，从而 形成了可生存性系统的设计方法，并且针对系统的可生存性需求进行结构和功能设计， 使得整个系统具备完整的可生存性体系。可生存性系统所具备的四个特征：抵抗、识别、 恢复、适应和演化，正是可生存性系统设计时需要考虑的提高可生存性的四个方面。在 可生存性设计中，其它的策略还有系统级与应用级重新配置和分层适应控制等。在系统 生存性评估方法的研究方面，主要有两类方法：一类是定性分析的方法，一类是定量分 析的方法。 由于信息系统的可生存性是一门新兴的学科，如前面所述，有关网络系统的可生存 性至今仍没有一个标准的定义。可生存性技术融合了诸如安全、容错、可靠性、可用性 等技术，但对“可生存性本身是什么仍没有做出一个精确的、完整的描述。因此对 其研究、甚至对它的定义至今众说纷纭，很多工作还在研究探讨阶段。 嵌入式系统是以应用为中心，以计算机技术为基础，并且软硬件可裁剪，适用于应 2 1 绪论 用系统对功能、可靠性、成本、体积、功耗有严格要求的专用计算机系统。它一般由嵌 入式微处理器、外围硬件设备、嵌入式操作系统以及用户的应用程序等四个部分组成， 用于实现对其他设备的控制、监视或管理等功能。如果我们对嵌入式系统的任务加入时 间的限制，即要求其任务在规定时限内完成，那么这类系统可以称之为嵌入式实时系统 ( e m b e d d e dr e a l - t i m es y s t e m ) 。 近年来，有关嵌入式实时系统在工业、通讯、航天以及国防等各个领域的应用越来 越广泛，一旦系统在运行过程中遭遇到入侵攻击、意外故障或其它灾难性事故时，如果 没有必要的补救措施，必然会导致系统无法实时完成任务，从而造成巨大损失。目前， 国内外对嵌入式实时系统的可生存性的研究相对较少，为了有效提高嵌入式实时系统在 遇到灾难或意外故障时的生存能力，有必要对其进行可生存性研究。因此，研究嵌入式 实时系统的可生存性具有重要的理论和现实意义。 1 2 国内外研究概况 自从b a r n e s 等人于1 9 9 3 年首次提出信息系统的“可生存性 概念开始，1 9 9 6 年 d a r p a i t o 的项目“信息生存”在h o w a r ds h r o b e 领导下开展，随后几年s e i c e r t 共同举办了四次( 1 9 9 7 2 0 0 2 ) 信息生存研究会i s w 在1 9 9 9 年可生存性作为商业风险 管理的观点第一次被引入到美国计算机学会新的安全范例研究组。 e l l i s o n 2 给出了针对信息系统的生存性定义，这个定义在日后的研究中被广泛应用。 该定义给出了信息系统生存性包含的若干基本概念，如生存性涉及到的攻击等事件，基 本服务以及实时性等，但并没有具体给出系统应该达到什么条件才算是具有可生存性。 不少学者基于e l l i s o n 的定义，提出了信息系统的生存性定义，如m o i t r a 3 】认为生存性是 系统能多大程度上抵抗攻击以及被攻击后仍能提供一定程度的服务；k m g h t 【4 】认为生存 性是一个可度量的系统特征，将生存性当作一个必须严格设计的系统特征，通过定义一 系列的生存性规范来判定系统的生存性，这种定义方式有利于生存性的评价和定量分 析。c m u s e i 研究小组【5 】给出的定义最具有影响力，即指在遭受攻击、故障、意外事故 时，系统能够及时完成其关键任务的能力。从定义可知，系统可生存能力主要体现在系 统遭受到成功入侵、关键部分遭到损害甚至摧毁时，系统依然能完成其关键任务，并能 及时恢复被损坏的服务，也即系统可生存性强调的是任务、服务，而不是系统中某些具 体的所谓关键部分。 3 l 绪论 在增强系统可生存性研究方面，国外主要是从系统设计的角度来考虑的。c m u s e i 的c e r t c c 6 】将系统划分成不能攻破的安全核和可以恢复部分，然后针对一定的攻击 模式，给出相应的抵抗、识别、恢复策略。美国宾州大学的刘鹏【7 】等人介绍了一种在原 系统中加入入侵检测和响应技术来增强系统可生存性能力的方法，并根据这种方法设计 了入侵容忍数据库系统i t d r ( i n t r u s i o nt o l e r a n td a t a b a s es y s t e m ) 。文献 8 】中介绍了可生 存性系统设计的螺旋模型，该模型基于传统软件工程中的瀑布模型和螺旋模型，并加入 了可信系统的一些概念。文献【9 】中涉及的“关键基础设施保护的信息可生存性 项目 给出了生存体系结构方面的研究。 在系统可生存性评测方面，目前还没有统一的标准，也尚未取得突破性进展。其中， 比较有代表性的是c m u s e i 的c e r t c c 研究中心提出的s s a 方法【i o 】，但它是一种定性 的分析方法，未能提出一个可靠的综合各性能评估的数学模型，因而难以对网络系统的 生存能力做出准确的评价和比较。文献【1 1 】以银行电子支付服务的生存性分析为例，基 于故障场景图( f a u l ts c e n a r i og r a p h ) ，即一种改进的故障树进行分析，由于场景图的数 量众多使得这种方法难以用于复杂环境。 国内在这方面的研究还比较少，大部分集中于网络可生存性方面的研究。文献 1 2 】 主要介绍了网络可生存性的研究情况，着重探讨了可生存性系统的设计方法。文献 1 3 】 采用统计分析方法概述了目前该领域的论文分布情况，也并未给出研究现状详细综述， 主要工作侧重于总结可生存性定义要素、测定标准、实现技术，深入探讨可生存性系统 s s a ( s u r v i v a b l es y s t e m a n a l y s i s ) 分析方法，对比可生存性的两种不同实现方法。文献 1 4 】提出了利用多样化动态漂移技术来达到生存性的系统框架设计。王惠强【1 5 】提出了开 展面向关键任务的分布式信息系统可生存性研究，建立了基于p s t 的分布式信息系统 可生存性模型，并给出了相应的评估方法。文献【1 6 】在给出服务可生存性大小比较的充 要条件基础上，定义了系统服务间的依赖关系，借助于传统与或树概念，将服务用与或 结构表示来分析服务的生存型，探索出一种服务可生存性的定量表达方法。林雪纲【1 7 , 1 8 提出了一种针对网络信息系统的分析框架，并根据该框架提出了一个管理平台的设计方 案，以整合整个生存性分析过程。 纵观国内外研究，可生存性研究目前主要还是处在理论研究阶段，网络可生存性方 面的研究成果相对较多，应用可生存性研究的成功案例还不丰富，国内研究的人员和机 构相对较少，研究焦点散乱。今后，可生存性研究还要不断地吸收容错、入侵容忍、健 4 1 绪论 壮性等研究思路。 1 3 论文选题意义和主要研究工作 1 3 1 论文选题意义 嵌入式实时系统在工业、通讯、航空和航天等各个领域的应用越来越广泛，由于应 用和环境等因素，嵌入式实时系统和一般信息系统相比，具有安全性、实时性和资源有 限性等特点。实现系统的可生存性，保证系统在遭遇故障或灾难事故时，能不间断、连 续的提供关键服务或功能，也即能生存下来，就可以避免系统的更大损失。 可生存性作为信息安全领域的一个新研究方向，有很大的发展潜力。开展嵌入式实 时系统的可生存性研究，有助于统一对可生存性的各种理解和认识，形成系统化、工程 化的可生存性需求分析和开发过程。同时，也有助于改进和完善已有理论框架，建立可 生存系统的体系结构，形成高效的可生存性系统开发方法和实施过程。 随着社会经济的蓬勃发展，银行、金融、交通、航空等诸多影响社会生活的重大基 础设施已经日益依赖于相关的信息系统，这种依赖性使得无法承受信息系统不能正常运 行所导致的后果。可生存性理论的提出可以帮助系统解决在受到入侵后，依然可以维持 必要的服务和基本属性。 综上所述，为了有效提高嵌入式实时系统在遇到灾难或意外故障时的生存能力，改 善其可生存性，对其进行可生存性分析研究是必要的，并且，应该有别于网络信息系统。 因此，无论理论上，还是实践上，嵌入式实时系统的可生存性研究都是嵌入式实时系统 乃至可生存性理论进一步发展的重要方面，是各类嵌入式实时系统稳定可靠工作的基 础，是嵌入式实时系统产业化、标准化、规范化的保证。 1 3 2 论文主要研究工作 ( 1 ) 可生存性概念、定义及与安全性、可靠性等概念区别。 嵌入式实时系统可生存性的定义是一个重要的研究内容，同时，安全性、可靠性等 系统属性与其极易混淆，对这些属性做详细的区别和说明，有助于认识可生存性的重要 性。本文从定义嵌入式实时系统可生存性规范的角度来阐述什么是嵌入式实时系统的可 生存性。 5 1 绪论 ( 2 ) 基于入侵容忍技术的嵌入式实时系统可生存性设计方法。 信息系统两种重要的可生存性设计方法主要有：全新设计方法，增强型设计方法。 入侵容忍是一种比较成熟的技术，研究将其应用到嵌入式实时系统可生存性设计中，作 为一种增强型方式，可以有效提高系统的可生存性能力。 ( 3 ) 搭建嵌入式实时系统可生存性分析架构。 为了将分析过程清晰明了，明确相关步骤和内容，搭建一个恰当的嵌入式实时系统 可生存性分析架构，以后的分析工作就在这个框架下进行。这也为将来实现分析的平台 化、自动化打下了基础。 ( 4 ) 给出了一个应用该架构进行可生存性分析的例子。 利用该架构分析了一个嵌入式移动视频点播系统的可生存性，同时也验证了我们提 出的分析架构的合理性和可行性。 1 4 论文组织结构 论文共七章，具体结构安排如下： 第一章是对可生存性研究的背景、意义、现状以及论文主要工作进行阐述。 第二章介绍可生存性的定义，说明了可生存性系统特征，分析了可生存性和其他属 性的区别。最后介绍了可生存性的适用领域和研究趋势。 第三章主要介绍嵌入式实时系统，结合嵌入式系统和实时系统的概念来阐述嵌入式 实时系统，说明了嵌入式实时系统的软硬件开发方法，并给出了嵌入式实时系统的特征 和可生存性规范。 第四章分析研究了信息系统的两种可生存性设计方法：即全新设计方法和增强型设 计方法，并给出了两种方法的对比。结合嵌入式实时系统的特点，重点阐述了基于入侵 容忍技术的增强型设计方法，以一个简单的移动视频点播系统为例，详细介绍了具体使 用的入侵容忍技术，最后使用组件冗余来实现恢复策略。 第五章给出嵌入式实时系统的可生存性分析架构。介绍了s n a 分析方法，以及嵌 入式实时系统可生存性定量计算和生存性分析平台。 第六章给出嵌入式实时系统的可生存性分析架构的应用，结合一个简单的嵌入式移 动视频点播系统，介绍了架构应用。 第七章总结本次论文的主要工作，并就下一步工作的展开提出计划。 6 2 可生存性概述 可生存性作为一个新兴的研究方向，它是在一些相关领域的基础上发展起来的，其 和安全性、容错性、可靠性等系统性能关系密切而又有所不同。目前可生存性的定义还 没有得到统一，其研究也仅适用于无边界系统。尽管有关可生存性研究的具体应用还没 有成熟的例子，但可生存性研究的发展趋势仍将是系统化、标准化、应用化。 2 1 可生存性定义 可生存性研究源于军事领域【1 9 1 。自从b a r n e s 等人于1 9 9 3 年首次提出信息系统的“可 生存性 概念开始，1 9 9 6 年d a r p a i t o 的项目“信息生存 在h o w a r ds h r o b e 领导下 开展，随后几年s e f c e r t 共同举办了四次( 1 9 9 7 2 0 0 2 ) 信息生存研究会议i s w , 在1 9 9 9 年可生存性作为商业风险管理的观点第一次被引入到美国计算机学会新的安全范例研 究组。 尽管关于可生存性的研究已经开展了十几年，但目前尚无一致认可的定义。 d e u t s c h 4 从软件工程的角度提出可生存性的定义；在系统部分瘫痪的情况下，关键服务 还能够使用的程度。以e l l i s o n 2 1 为代表的c m u s e i 的研究小组给出了针对信息系统的 生存性定义：可生存性是指在遭受攻击、故障或意外事故时，系统能够及时完成其关键 任务的能力。这个定义在日后的研究中被广泛应用。该定义给出了信息系统生存性包含 的若干基本概念，如生存性涉及到的攻击等事件，基本服务以及实时性等，但并没有具 体给出系统应该达到什么条件才算是具有可生存性。不少学者基于e l l i s o n 的定义，提 出了基于个人理解的信息系统的生存性定义，如m o i t r a d i 认为生存性是系统能多大程度 上抵抗攻击以及被攻击后仍能提供一定程度的服务；炳g h t 【6 1 认为生存性是一个可度量 的系统特征，将生存性当作一个必须严格设计的系统特征，通过定义一系列的生存性规 范来判定系统的生存性，这种定义方式有利于生存性的评价和定量分析。c m u s e i d i 研究小组给出的定义最具有影响力，即指在遭受攻击、故障、意外事故时，系统能够及 7 2 可生存性概述 时完成其关键任务的能力。从定义可知，系统可生存能力主要体现在系统遭受到成功入 侵、关键部分遭到损害甚至摧毁时，系统依然能完成其关键任务，并能及时恢复被损坏 的服务，也即系统可生存性强调的是任务、服务，而不是系统中某些具体的所谓关键部 分。 上面仅仅列出了几个典型定义，目前各种论文和文献中提及的可生存性定义多达四 十几个，但还没有一个能够得到学界和业界的普遍认可。随着研究的普遍展开和深入， 可生存性定义必将取得一致性，其定义也会规范化、统一化。尽管暂时还无能力提出能 够被广泛认可的可生存性定义，但是通过对现有的一些定义的研究和分析，我们认为当 定义可生存性时，必须要考虑以下几个方面： 系统：要明确提出定义可生存性的运行环境，系统关键服务类型，以及系统是有 边界系统还是无边界系统等。 威胁：可能影响到系统提供服务的威胁因素，主要分为意外威胁、恶意威胁或灾 难威胁。意外威胁包括：软硬件错误、人为错误，数据损坏等；恶意威胁包括：入侵攻 击、破坏性行为等。灾难威胁则是指各种自然行为( 雷电、洪涝、地震等) 、军事战争 行为、其他人力无法避免事件等。 自适应性：面临各种威胁事件，系统有能力适应威胁并且继续向用户提供正常服 务。 服务的持续性：服务的可用性应该作为系统需求进行定义，系统性能的下降不应 该被用户察觉到。 响应时间( 及时性) ：服务应该满足用户对系统响应及时性的要求，在系统要求 或者用户所期望的时间内可用。 2 2 可生存性系统的特征 具有可生存性的系统的一个关键特征是在面对攻击、错误和意外事件时，依然能够 提供基本服务的能力，核心问题是如何保证系统的完整性、机密性、性能和其它的关键 属性。这些关键属性非常重要，因此，可生存性的定义也常常要将如何维持各种关键属 性的平衡加以描述。由于关键属性所包含的范围很广，一种属性经常同时涵盖了其它的 几种属性，例如，安全属性传统上就包含可用性、完整性、机密性等。 为了保证完成基本服务的能力，具有可生存性的系统必须拥有如表2 1 所示的四个 8 2 可生存性概述 关键特征f 8 】： 表2 1 可生存性系统的关键特征 关键特征描述策略例子 抵抗攻击阻止各类攻击、异常错误或灾难影响访问控制、加密、认证、消息过 系统的安全状态滤、隔离 识别攻击及其影响检测攻击( 入侵) 的策略，了解系统入侵检测、内部数据完整性检查 范围 目前状态，评估危险的程度 攻击后的服务恢复在灾难或攻击发生之后，系统需要具冗余组件、数据复制、系统备份 有修复受损数据和功能的机制。如果和恢复 需要，系统还应当在任务给定的时限 内恢复提供关键服务 自适应和改进 根据从入侵中获得的知识改进系统生识别新的入侵模式的能力 存性策略，避免或减少以后类似攻击 对系统的破坏 ? 2 3 可生存性与其它属性的区别 可生存性和安全性【l o 】：计算机安全为信息系统的保护和完整性做出了巨大的贡 献，然而计算机安全具有两面性，它的使用使得系统同时具有安全性和风险，并且从计 算机安全的角度来看经常会忽视系统从安全威胁中恢复的能力及受到入侵后仍能提供 服务的能力，因此传统的计算机安全的方法已经不足以保护计算机系统免受攻击了，与 之形成对比的是可生存性的理论致力于系统能够在受到攻击或系统的部分已经损坏时 仍可以提供基本服务的能力，系统在遭受攻击后的健壮性至少和系统抵御攻击的健壮性 一样重要，需要说明的是，可生存性能够从计算机安全等相关领域的研究和实践中获益， 所有有效的做法均可以被可生存性的研究和实践加以借鉴。 可生存性和可靠性：可靠性是指系统提供能被用户信任的服务的能力，它基于系 统的内部结构，强调阻止系统遭遇的各种故障的发生，假设各种故障之间是相互独立的。 而生存性强调系统在不同环境下能提供不同形式的服务，且每个服务在不同条件下都有 它自身的可靠性，同时生存性考虑到了故障的关联。以及故障发生后的恢复，使得系统 9 2 可生存性概述 在面对故障时仍能保持继续服务。 可生存性和容错性【l o 】：容错性是保证系统可生存性的一个重要手段，指的是在故 障存在的情况下计算机系统不会失效，仍然能够正常工作的特性，它主要针对随机发生 的自然故障，使用概率模型来描述，一般不包括用户的恶意攻击行为。而生存性面对的 是各种各样的事件，它更强调系统在面对故障时可以提供可替代的服务或预先定义的不 同性能的服务，以及关注故障出现后系统服务的恢复能力。 2 4 可生存性适用领域及实现 2 4 1 可生存性适用领域 可生存性研究适用领域是无边界系统【2 们。无边界系统是相对于有边界系统定义的。 无边界系统也称为无限系统，有边界系统也称为有限系统，此后的行文中一律以无边界 系统和有边界系统出现。 早期的网络信息系统都是有边界系统【2 。在有边界系统中，系统的各个构件被统一 标识、集中管理和控制。系统的管理员具有系统的全部结构、配置、拓扑信息，拥有对 系统的完全的管理、配置、控制的权力。系统与外界的联系，是通过管理员严格控制的 接口进行的瞄】。有边界系统的典型模型就称作是堡垒模型。所以传统的安全观念主要是 制定和执行统一的安全策略，通过边界保护来确保系统的安全。 无边界系统相对于有边界系统来说，关键的区别是对系统边界的突破【2 3 1 。在无边界 系统中，隔离堡垒内部和外部的城墙不存在了，随之而来的就是没有所谓的r 杉 i - 部之分。 在无边界系统中，节点只有对自己局部有限信息的完全控制权限，对系统中其它节点的 结构、配置、拓扑等信息都一无所知，系统中节点位置的平等，使得信任关系变得模糊， 系统任务的完成要依赖于所有这些节点的局部动作和相互协作，而不是特定的节点。所 以系统的可生存性不应该以特定节点即所谓的关键构件的可生存性为前提【2 4 3 - 5 婀。 一个无边界系统可能有若干个有边界系统和无边界系统互联构成刚，各个有边界系 统具有对自己节点的完全控制权，可以根据安全需求制订和执行局部的安全策略，但这 些策略只能够作为评估节点自身安全状态的评估标准，离开节点范围，就失去了意义， 也变得无法保障。 l o 2 可生存性概述 当一个应用系统随着规模的发展变得无法进行有效的全局控制时，我们可以说该系 统已经演变成一个无边界系统。现实中的计算机大规模互联网络如i n t e r n e t 、电力网、 金融网、电信网、医疗保健系统、能源系统、交通系统、电力系统、军事指挥系统以及 生态系统等都属于无边界系统的范畴。 一般来说，无边界系统具有以下特征： 存在多个管理域，但是没有集中控制，也没有明确的边界。 没有全局可见度。 各个管理域之间具有交互、协商能力。 具有高度分布式特点。 攻击者和合法用户可能是对等实体( 即没有攻击者和合法用户节点的区分，没有 内部用户与外部用户、可信与不可信的区分) 。 不能够被简单地划分为有限多个有边界子系统。 2 4 2 可生存性的实现 目前国内外实现可生存性的应用都还主要是非正式应用，我们还没有发现基手实际 应用的可生存性实现的例子。比如c m u s e ic e r t c c 研究中心提出的解决无边界系统 中可生存性问题的紧急算法【2 8 1 ，将可生存性需求和诸如安全性、性能等