（计算机应用技术专业论文）基于服务复制和表决的容忍入侵技术研究.pdf

哈尔滨下程大学硕十学位论文 摘要 近足年来，随着计算机网络及分布式系统的大量应用，网络入侵的方式 层出不穷，计算机网络的安全问题越来越成为人们广泛关注的焦点。传统的 安全技术，如入侵防御和入侵检测技术无法实现一个具有抵制任何故障或入 侵能力的系统。容忍入侵技术则允许入侵发生，然磊通过系统容忍触发机制 可以阻止入侵对系统产生威胁，该技术已经引起了许多研究者的关注。 容忍入侵技术是一种融合了容错技术和密码学技术的新型网络安全技 术，它是第三代信息安全技术一网络可生存技术中的核心内容。与传统的安 全技术不同，容忍入侵技术是一种主动防御技术，其研究的目标是使系统在 受到攻击，甚至某些组件受到破坏或被攻击者操控时，具有继续维持整个系 统关键信息和服务的完整性、保密性和可用性的能力。 复制技术和表决机制是实现系统容忍入侵，提高系统的可靠性和可用性 的瑟大关键技术。在查阅大量相关文献后，本文对这两项技术震开研究，并 进行改进。首先，对复制技术进行了研究，在分析了主动复制和被动复制技 术优缺点的基础上，结合容忍入侵系统的目标，提出了基于服务的半主动复 制技术以实现服务级上的容忍入侵，给出了相应的系统模型，并对这一技术 进行了协议上的实现，然后进行了定性分析。其次，对表决机制进行了研究， 分析了常用的表决技术一规范化大多数表决算法的不足，提出了副本可靠性 权僮豹概念，并在此基础上对大多数表决算法在输出结果时的约束条件上进 行了改进，使得改进之后的算法更适合于容忍入侵系统的要求。最后，实验 及性能分析表明改进后的算法缩短了表决的等待时间，提高了表决的成功率。 关键词；网络安全；容忍入侵；复制技术；表决机制 哈尔滨工程大学硕士学位论文 a b s t r a c t r e c e n t l y , n e t w o r ki n t r u s i o nb e c o m e sm o r ea n dm o r ef r e q u e n tw i t ht h ew i d e a p p l i c a t i o no fc o m p u t e rn e t w o r ka n dd i s t r i b u t e ds y s t e m ，c o m p u t e rn e t w o r k s e c u r i t yp r o b l e m h a sb e c o m et h ef o c u so fa t t e n t i o n t r a d i t i o n a l s e c u r i t y t e c h n i q u e ss u c ha si n t r u s i o np r e v e n t i o na n dd e t e c t i o nc o u l d n ti m p l e m e n ta n y s y s t e mt h a tc a l lr e s i s ta l lt h ef a u l t sa n di n t r u s i o n s 。w h e r e a st h e s ef a u l t sa n d i n t r u s i o n sa r ea l l o w e di nt h ei n t r u s i o nt o l e r a n tt e c h n i q u e ，b u tt o l e r a t e d ：t h es y s t e m t r i g g e r st o l e r a n tm e c h a n i s m st h a tc a np r e v e n tt h e i n t r u s i o n sf r o mg e n e r a t i n g s e c u r i t yt h r e a t st ot h es y s t e m 。t h i sn e wt e c h n i q u eh a sg o tm o r ea n dm o r e a t t e n t i o n i n t r u s i o nt o l e r a n c ei san o v e ln e t w o r ks e c u r i t yt e c h n i q u ew h i c hc o m b i n e s c r y p t o l o g yt h e o r ya n df a u l t - t o l e r a n tt e c h n i q u e i ti st h ec o r eo ft h e3 喇g e n e r a t i o n i n f o r m a t i o ns e c u r i t yt e c h n i q u e n e t w o r ks u r v i v a b i l i t yt e c h n i q u e ，w h i c hw a s p r e s e n t e db yd a r p a d i f f e r e n tf r o mt h et r a d i t i o n a ls e c u r i t yt e c h n i q u e s ，i n t r u s i o n t o l e r a n c ei sap r o a c t i v et e c h n i q u e i ta i m st od e s i g nas y s t e mw i t ht h ec a p a c i t yt o m a i n t a i nt h ei n t e g r i t y , c o n f i d e n t i a l i t ya n da v a i l a b i l i t yo ft h ec r i t i c a ld a t aa n d s e r v i c e se v e ni nt h ep r e s e n c eo ft h ei n t r u s i o no rp a r t i a lc o m p r o m i s i n g r e p l i c a t i o nt e c h n i q u ea n dv o t i n gm e c h a n i s ma r et h et w o c r i t i c a lt e c h n i q u e s f o ri m p l e m e n t i n gt h ei n t r u s i o nt o l e r a n t s y s t e ma n de n h a n c i n gt h er e l i a b i l i t y , d e p e n d a b i l i t ya n da v a i l a b i l i t yo ft h ew h o l es y s t e m a f t e rc o n s u l t i n gm a s s i v e r e l a t e dr e f e r e n c e s ，t h i st h e s i sh a sc o n d u c t e dt h o r o u g hr e s e a r c ht ot h e s et w ok i n d s o ft e c h n i q u e sa n dm a d es o m ei m p r o v e m e n t s f i r s t l y , b yc o n d u c t i n gt h er e s e a r c h t ot h er e p l i c a t i o nt e c h n i q u e ，at e c h n i q u eo fs e m i - a c t i v er e p l i c a t i o nb a s e do n s e r v i c e ( s a r b s ) f o rr e a l i z i n gt h es e r v i c e - l e v e li n t r u s i o nt o l e r a n c ew a sp r e s e n t e d , w h i c hb a s e do nt h ea n a l y s i so ft h ea c t i v er e p l i c a t i o na n dp a s s i v er e p l i c a t i o na n d c o m b i n i n g 诚撒t h et a r g e to f t h ei n t r u s i o nt o l e r a n ts y s t e m t h e nt h ec o r r e s p o n d i n g s y s t e mm o d e lw a sg i v e n ，t h ep r o t o c o lo ft h et e c h n i q u ea b o v ew a si m p l e m e n t e d a n dt h e nt h eq u a l i t a t i v ea n a l y s i sw a ss t a t e d s e c o n d l y ，t h ev o t i n gm e c h a n i s mw a s “f 0 眦a l i z e dm a j o r i t yv o t i n g ，t h ec o n c e p to ft h er e p l i c a s r e l i a b l ew e i g h tw 雒 p r c s e n 绝d t h e ns o m ei m p r o v e m e n t sw a sm a d e t ot h ec o n s t r a i n tc o n d i t i o n sw n e n 也ef o r m a l i z e dm a j o r i t yv o t i n ga l g o r i t h mo u t p u tt h er e s u l t sb a s e do n t h ee 艰 a b o v e ，t h ei n l p 州e da l g o r i t h mw a sm o r es a t i s f i e d t ot h er e q u i r e m e n t so ft h e i 瞧驻蜓潍埝l e 绉贰s y s t e m f i n a l l y , t h ee x p e r i m e n tw a sd o n ef o r v 明每i n gt h e i m p r o v e da l g o r i t h m 。t h ee x p e r i m e n t a l r e s u l t sa n dp e r f o r m a n c ea n a l y s i ss h o w 也a t 证ei 掣。谢a l g o r i t h mr e d u c e st h ew a i t i n gt i m ef o rv o t i n ga n d r a i s e st h es 黼c e s s r a t i oo ft h ev o t i n g k e yw 。r d s ：n e t w o r ks e c u r i t y ；i n t r u s i o nt o l e r a n t ；r e p l i c a t i o n t e c h n i q u e ；v o t i n g m e c h a n i s m 哈尔滨工程大学 学位论文原创性声明 本入郑重声明：本论文的所有工作，是在导师的指导下，由 作者本人独立完成的。有关观点、方法、数据和文献的弓l 用已在 文中指出，并与参考文献相对应。除文中已注明引用的内容外， 本论文不包含任何其他令人或集体已经公开发表的作品成果。对 本文的研究做出重要贡献的个人和集体，均已在文中以明确方式 标明。本人完全意识到本声明的法律结果由本人承担气 作者( 签字) ：学豢 日期： 如7 年拳月5 日 哈尔滨工程大学 学位论文授权使用声明 本人完全了解学校保护知识产权的有关规定，即研究生在校 攻读学位期间论文工作的知识产权属于哈尔滨工程大学。哈尔滨 工程大学有权保留并向国家有关部门或机构送交论文的复印件。 本人允许哈尔滨工程大学将论文的部分或全部内容编入有关数据 库进行检索，可采用影印、缩印或扫描等复制手段保存和汇编本 学位论文，可以公布论文的全部内容。同时本人保证毕业后结合 学位论文研究课题再撰写的论文一律注明作者第一署名单位为哈 尔滨工程大学。涉密学位论文待解密后适用本声明。 本论文( 图在授予学位后即可口在授予学位1 2 个月后口 解密后) 由哈尔滨工程大学送交有关部门进行保存、汇编等。 作者( 签字) ：告未 日期：撕 年，月l 日 i 导师( 签字) ：j 、- 7 章谈 1 钙月| 弓日 哈尔滨j j 程人学硕十学何论文 i 1 课题的背景及意义 第1 章绪论 随着计算机网络技术，信息技术的高速发展与广泛应用，人类已经进入 了一个空前繁荣的信息化时代。特别是i n t e r n e t 的兴起，正从根本上改变传 统的信息技术产业，大范围的网络应用已经深入到阑防、电信、银行、金融、 电子商务、能源及大众商业等各个领域，信息交流变得更加便利和快捷。然 而，由于网络信息系统的开放性和全球化使得网络环境变得异常复杂，这给 薅络信息傺密和安全提澎了很高的要求。 一般认为网络信息安全包括以下5 个基本的安全属性i l l ：保密性 ( c o n f i d e n t i a l i t y ) ：保证信息不被泄漏给未经授权的用户；完整性( i n t e g r i t y ) ： 指信息在存储和传输过程中保持不经授权不能改变的特性：有效性，可震性 ( a v a i l a b i l i t y ) ：信息可被授权的用户访问，并保证网络、系统、硬件和软件是 可靠的，即使有恶意事件发生，也能快速地恢复正常；抗抵赖性 ( n o n - r e p u d i a t i o n ) ：信息使用者不能否认、抵赖曾经对信息或文件的修改或接 收；可控性( c o n t r o l l a b i l i t y ) - 指网络管理的可控性，包括网络运行的物理和逻 辑上可控性，能够有效地控制网络中信息的传播范围等。 为了保护网终信息系统的安全，人们研究并提出一系列的安全措施和技 术。传统的网络安全方面的产晶很多，如防火墙、认证系统、入侵检测、漏 洞检测评估、灾难恢复、反病毒软件、v p n 、p k i 、安全路由、安全搡作系 统、安全w e b 等等 2 - 4 1 。这一系列技术和产品，为保护网络信息系统的安全 做出了巨大的贡献。 尽管如此，嗣络信息安全问题的形势依旧是一年比一年严峻。对予复杂 性和分布性越来越高的网络应用，攻击也越来越难避免，其原因有以下4 个 哈尔滨工程大学硕士学位论文 方两： ( 1 ) 网络协议的缺陷：互联网的共享性和开放性是基予t c p i p 协议连接 的，而互联网最初产生的时候，更多地考虑“互联，很少考虑“安全”， 因此信息系统就是建立在一个没有安全考虑的t c p i p 协议的互联网上。 ( 2 ) 系统管理上的欠缺：网络系统的严格管理是企事业单位及用户免受攻 击的重要措施。事实上，很多网站或系统都疏忽了这方面的管理，对于攻击 准备不足。 ( 3 ) 黑客的攻击：这已不再是一个高深莫测的概念，攻击技术逐渐被越来 越多的人所掌握。目前，世界上有大量的黑客网站，这些网站都介绍一些攻 击方法、攻击软件的使用以及系统的一些漏洞，因此系统、网站遭到攻击的 可能性越来越大。这是计算机网络所面临的最大威胁，它分为两种类型：网 络攻击和网络侦察，这两种攻击均会对计算机网络造成极大的危害。 ( 4 ) 软件的漏洞和“露门 ：随着软件系统规模的不断增大，系统中的安 全漏洞也不可避免地存在。比如常用的操作系统，无论是w i n d o w s ，l i n u x 还是u n i x 几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、 应用软件等也存在安全隐患。任何一个软件系统都可能会因为程序员的疏忽、 设计的缺陷等原因而存在安全漏洞。这些漏洞恰好就是黑客进行攻击的首先 磊标。磊且软件的设计人员有时为了盘身翰方便或其它的原因在软件中设置 的“后门 ，这些“后门也经常被攻击者所利用。 近几年来所发生的网络安全事件不计其数，据美国联邦调查局( f b i ) 和计 算机安全研究所( c s l ) 联合进行的计算机犯罪调查结果显承，8 5 的组织机构 遭遇过安全破坏事件，6 4 的组织回答这些事件引起了不同程度的经济损失。 对于我国也是这样，据国家计算机网络应急技术处理协调中心于2 0 0 7 年8 胃公布的嬲络安全工作报告显示【霉：据不完全统计，2 0 0 7 上半年网络仿冒事 件和网页恶意代码事件，已分别超出2 0 0 6 年全年总数的1 4 6 和1 2 5 。此 外网络黑客发动的拒绝服务攻击( d o s ) 等更是不计其数，安全事件带来的直接 经济损失也越来越大。除了经济方面的威胁外，信息战的问题更是关系到国 2 哈尔滨工程人学硕士乎：位论文 家的根本安全闻题，信息安全保障能力是新世纪一个国家综合国力、经济竞 争实力和生存能力的重要组成部分。 因此，网络信息安全的问题非常严峻，这一现实使得人们开始对现有的 技术和观念进行反思。计算机网络的发展使网络具有了一些特点：如网络规 模不断扩大、接入网络的设备种类越来越多、网上应用种类和应用系统也越 来越多、功能与实现越来越复杂等等。这些特点是许多安全工作的研究者所 不愿看到的，这给传统的网络安全技术带来涎大的压力，所以必须要提出新 的安全理念来保证网络信息系统的安全性，这就是当前网络信息安全研究的 新方向一可生存性技术研究。有关系统可生存能力的定义目前还没有统一严 格的定义，影响最大的是以e l l i s o n 为代表的c m u s e i 研究小组给穗的定义嘲： 可生存性是指在遭受攻击、错误和突发故障时，系统能及时完成其关键任务 的能力。 网络可生存性研究可理解为对冗余资源的调度问题 7 1 。容忍入侵( 箍称为 “容侵”) 技术正是可生存性技术研究的核心，它结合了密码学技术、容错计 算技术和计算机安全技术，提供信息系统在遭受攻击或入侵的情况下，继续 保持系统关键服务的能力，是网络和信息安全领域的研究热点。如对已经突 破防火墙、认证和加密系统的攻击，采取一些必要的措施( 如对冗余资源的重 配置) 来屏蔽攻击对系统的影响，保护关键应用的功能连续正确地运行( 即满 足信息的完整性、保密性和可用性的要求) 。容侵技术是实现网络系统安全的 一个崭新技术，对它的研究具有重要的理论意义与实际应用价值，它已经成 为匿际上有待解决的重大前沿课题。 2 国内外的研究现状 1 2 1 国外研究现状 国际上很早就开始了容忍入侵技术的研究，在1 9 8 5 年f r a g a 和p o w e l l 就发表文章提到了容忍入侵的概念p l 。随后，许多重要的国际研究机构在军 3 哈尔滨： 程犬学硕士学位论文 方、大公司的支持下研究容忍入侵技术或生存技术，以期建立新的网络安全 保障体系，他们的研究工作大部分是基于协议的，而且这些研究工作都是独 立的，并没有形成完整的体系。直到2 0 0 0 年以后，随着美国国防高级研究计 划署( d a r p a ) 支持的o a s i s t g ( o r g a n i e a l l ya s s u r e da n ds u r v i v a b l ei n f o r m a t i o n s y s t e m ，组织保障和生存信息系统) 、欧盟的m a f t i a t o j ( m a l i c i o u sa n d a c c i d e n t a l f a u l tt o l e r a n c ef o ri n t e r a c ta p p l i c a t i o n s ，用于互联网应用的恶意和 意外故障容忍) 这两个顼匿在概念、机制和体系结构主的建设性麓工作，容忍 入侵领域的研究才有显著的发展。 2 0 0 0 年1 月，欧盟启动了m a f t i a 研究项目计划，以期系统地研究容 忍模型，建立可靠的、大规模的分布式应用系统。该计划综合使用了多种容 错技术、分布式系统技术和安全策略来实现系统的容忍入侵。m a f t i a 的主 要研究成果有：( 1 ) 定义以用于弥补可靠性和安全性差异的容忍入侵结构化架 构和概念模型：( 2 ) 开发一组建立容忍入侵系统的机制和协议，包括：组模 块化和可扩展的安全群组通信中间协议、大规模的分布式入侵检测系统体系 结构等；( 3 ) 提出了针对m a f t i a 中闻件部分的形式化验证和评估方法。 自2 0 0 0 年开始，d a r p a 就将信息保障技术和生存技术相提并论，开始 推进信息保障和生存技术，并资助实施o a s i s 计划。该计划的目的是研究入 侵和攻击的方法，它由将近3 0 个项西组成。o a s i s 的研究叠标有：( 1 ) 基予 具有潜在安全漏洞的组件来建立容忍入侵系统：( 2 ) 提供节省成本的容忍入侵 机制；( 3 ) 开发验证和评估容忍入侵机制的方法。 d a r p a 资助了很多容忍入侵系统顼匿，获褥了较为显著的成果，如i t u a 的先进冗余技术、i t t c 的门限密码学技术、s r i 的可靠系统等。下面介绍 o a s i s 计划支持的几个典型项目： 1 。l t u a 项目 i t u a ( i n t r u s i o nt o l e r a n c eb yu n p r e d i c t a b l ea d a p t a t i o n ) 项目是在d a r p a 资助下，由b b n 技术公司、i l l i n o i s 大学、m a r y l a n d 大学和波音公司联合进 行开发的f l l l 。该项目主要利用容错策略，采耀入侵检测和错误处理等容忍机 4 哈尔滨”j ：程火学硕十学何论文 制，开发出自适应的中闻件技术，使得系统具有自适应性和结构的不可预知 性，帮助应用程序在面临入侵或攻击的情况下能容忍入侵所造成的影响。 2 s it a r 项圈 s i t a r ( s c a l a b l ei n t r u s i o nt o l e r a n ta r c h i t e c t u r e ，可扩展的容忍入侵体系结 构) 是北卡罗来纳微电子中心m c n c 和美国d u k e 大学联合研究的容忍入侵安 全技术项目1 1 2 ”1 。s i t a r 主要应用了错误处理策略和可重配置操作策略，采 用7 入侵检测、入侵遏制等机制。具体蒸言，系统中的代理服务器运用冗余 和多样性技术，每个系统组件中有入侵检测模块。系统在面临攻击入侵时能 够对系统资源、安全策略和服务进行重新配霹，保证系统的安全和服务的连 续性。因此，s i t a r 是具有代表性的容忍入侵系统之一，但s i t a r 架构在设 计上过于依赖组件的冗余度，系统结构过于复杂，在实际应用中难以真正的 实现。 3 。l t t c 项目 i t t c ( i n t r u s i o nt o l e r a n c ev i at h r e s h o l dc r y p t o g r a p h y ) 项目是由s t a n f o r d 大 学d a nb o n e h 等研究小组利用门限密码学设计的容忍入侵系统删。该项霄主 要基于r s a 的门限密码体制，进丽建立容忍入侵的w e b 安全和c a 认证应 用。在项目的研究中，开发了一些软件工具，这些软件让需要长时间有效的 密钥信息分成若干令共享影子并分布到多个服务器中存放，并曼这些密钥永 远不在单一的场点恢复。这就保证了当少数服务器被攻击成功且这些服务器 内的信息被泄露后，不会造成信息的丢失。 4 。c o c a 项冒 c o c a 是c o m e l l 大学在美国自然基金的资助下研发的一个认证系统，为 局域网和i n t e m e t 提供容错和安全的在线认证服务【1 5 1 6 1 。该系统是基于 b y z a n t i n e 协议技术和秘密共享方法的思路。在c o c a 中，签名私钥以秘密 码共享的方式分别存放在3 什1 个共享服务器上，系统采用门限密码算法签发 证书，这样c a 系统能够保证，当系统中最多有t 个服务器发生任意错误的 时候，整个c a 系统依l 爨能够不受影响而正常地工作。另外，该机构还开发 s 哈尔滨t 程人学硕十学位论文 出了强健的秘密数据分布服务c o d e x 。 5 d l t 项目 d i t 项目在s r i 研究组织下，提出了一个自适应的容忍入侵服务器架构 d i t 顼匿的设计思路与s i t a r 项霉十分接近，也是针对通用服务进行保护， 其研究的重点是通过使用免费软件降低成本的前提下提供高可靠性w 曲服务 的可行性【1 7 l 。 除了以上介缨的这些典型的容忍入侵系统研究项露外，还有很多研究项 目( 如h a c q i t 【q 、i t d b v ，l 等) 也取得了实际的研究成果，由于篇幅的关系， 在此就不一一列举。 。2 。2 国内研究现状 国内在容忍入侵方面研究大约从1 9 9 9 年开始，相对予国外较晚，技术领 域才刚刚起步，但是许多信息安全领域的专家学者已经充分认识到容忍入侵 技术对于信息安全技术发展的重要性。中科院信息安全国家重点实验室、国 防科技大学、西安电子科技大学、武汉大学、成都电子科技大学以及浙江大 学等有关课题组近几年都开始了这方面的思考和研究，并取得了一些成绩。 其中，荆继武、冯登匡等人设计并实现了一个基于门限的容忍入侵酶c a 系 统 2 0 - 2 1 ，增加了密钥分布和组合器，在秘密分数的前提下，保证了任意门限值 以上的服务器都能在组合器的组织下行使系统私钥的功能，从而以很小的代 价为用户认证提供了容侵功能；崔竞松、王丽娜、张焕国等人提出了一种并 行容忍入侵系统研究模型- - r c 模型【2 2 l ，从资源分类的角度对并行容忍入侵建 立了模型，并给出了实例分析；殷丽华等人提出一种自适应容侵系统的体系 结构，在节点和系统两个级别上实现入侵容忍1 2 3 1 ；张险峰等人基于门限椭圆 曲线密码系统，分别提出了一种容忍入侵的c a 和容忍入侵的w e b 方案1 2 4 - 2 5 1 | 西安电子科技大学马建峰教授负责的国家自然基金项目( 容忍入侵的入侵检 测模型与检测方法) 提出了许多有建设性的理论：史庭俊等人提出了动态自适 应安全的先应秘密共享系统结构和设计方法以及多代理的容忍入侵体系结构 6 哈尔滨“r 程大学硕十学位论文 等l i t , i t l 王超和马建峰对三种类型的容忍入侵系统，即资源冗余、完全信息冗 余和部分信息冗余的容忍入侵系统，采用随机p e 琅网模型进行了系统服务的 可用性分析1 2 1 i 郭渊博和马建峰等人给出了面向服务的先应式容忍入侵系统 结构1 2 9 - 3 0 l 。尽管磊前国内关注容忍入侵研究领域的业内人士比较多，僵研究的 深度和广度还有所欠缺，研究工作主要偏重于基于门限密码学和秘密共享理 论的容侵模型与系统设计。 综上所述，近a 年来以美国d a r p a 的o a s i s 计划以及欧盟的m a f t i a 高级研究计划资助为主体，推动了国内外学术界对容忍入侵的相关问题进行 了大量的研究，并取得了丰硕的成果。 1 3 主要工作及论文结构 本文的研究工作是在国家自然科学基金项目“移动计算环境的故障恢复 机制研究”( 资助编号：n o 6 0 8 7 3 1 3 8 ) 的课题下展开的。 论文的主要工作是： 在国内外现在研究成果的基础上，针对基于服务复制和表决的容忍入侵 技术研究，主要圉绕复制和表决这两大关键技术展开研究：首先，介绍了容 忍入侵的基本概念和理论基础，并对容忍入侵系统和容忍入侵技术进行梳理； 接着，针对基于服务复制的容忍入侵系统，在架构上进行设计，提出了基于 服务的半圭动复制的技术，并给出了实现；最后，对表决技术进行研究与改 进，提出了一种适用于容忍入侵系统的表决算法。 论文共分为5 章，其组织结构具体安排如下： 第l 章首先讨论了课题的研究背景和意义，然焉阐述了国内外研究的现 状，最后说明了论文主要工作内容及组织结构； 第2 章介绍了容忍入侵系统相关的基础理论及技术。首先阐述了系统的 入侵模型，接着从技术的层面上分别介绍了容忍入侵的目标、容忍入侵系统 分类和容忍入侵的策略与方法，然后重点介绍了容忍入侵基本技术： ? 哈尔滨t 程大学硕士学位论文 第3 章对复制技术进行研究，利用主动复制和被动复制技术的优点，结 合容忍入侵系统的目标，提出了基于服务复制的半主动复制技术，给出了基 于该技术的容忍入侵系统模型，并对这一技术进行了协议上的实现，最后进 行定性分析； 第4 章对表决机制进行研究，分析了常用的表决技术一规范化大多数表 决算法的不足，提出了副本可靠性权值的概念，并在此基础上对大多数表决 算法进行了适应性的改进，然震讨论了其在系统组体重配置过程中的庭用； 第5 章对本文的表决算法进行实验模拟，并从表决等待时间和功能测试 两个方面进行性能分析。 最后是本文的结论以及对今后进一步研究工作豹展望与设想。 8 哈尔滨一i ：程大学硕十学位论文 第2 章容忍入侵系统概述 2 。1 容忍入侵系统概念 容忍入侵的概念最早由f r a g a 和p o w e l l 于1 9 8 5 年提爨的f s l 。所谓容忍入 侵就是认为网络安全问题是不可避免的，针对安全问题，不再将防堵或者消 除攻击作为关键点，蔼把焦点转移到如何在攻击之焉系统仍能保证不问断的 运行这上，它是第三代信息安全技术“生存技术 的核心。 容忍入侵是信息安全技术研究的新方向【幢胛4 】。与传统的防火墙、入侵检 测等安全技术强调保护系统免受入侵不同，容忍入侵的冒的是即使系统的某 些组件已经遭受到攻击者的破坏或者某些部分已经被攻击者的操控时，系统 仍然能够触发一些防止这些入侵造成系统完全失败的机制，从而整个系统仍 然能够对外提供全部或者降级的赧务，保证系统基本功筢的正常运行，同时 保持系统数据的完整性、保密性、可用性等安全属性。也就是当一个网络信 息系统遭受入侵，而传统安全技术不能完全排除入侵所造成的影响或者都失 效时，容忍入侵便成力了系统的最盖一道防线。 由于不可能预知所有攻击的形式，也不可能完全杜绝所有安全漏洞的存 在，导致了一些攻击或入侵会取得成功，因此有必要开发_ 出即使遭到攻击但 仍然能够聂常运转的系统。容忍入侵技术考虑的就是在入侵存在的情况下系 统的生存能力，它假设系统存在一些已知或未知的安全漏洞，并且这些漏洞 总是可以被攻击者利用并成功入侵。在面对入侵或攻击的情况下，容忍入侵 系统并不是想办法来阻止每一次的入侵，而是设计出触发阻止使系统失败发 生的机制，从而能够以可测的概率保证系统的安全运行。 容忍入侵关注的焦点不再是构建的系统是否安全，入侵的活动是否发生， 发生的原因以及实施入侵所采用的技术等，丽是关注入侵对系统产生的影响。 9 哈尔滨t 程大学硕十学位论文 它对入侵的处理办法是屏蔽( m a s k i n g ) ，在入侵对系统造成更大的影响之前消 除其危害并恢复系统以保障系统中关键功能或服务的安全性和连续性。 2 。2 容忍入侵系统基本理论 2 2 1 系统入侵模型 组成计算机网络的资源如t c p 锺p 网络协议、网络操馋系统、中闻件和监 务软件不可避免地存在已知的或者未知的安全漏洞，这些漏洞很有可能被恶 意的用户( 攻击者) 所利用，对系统进行未授权的访闯或者破坏，因此对此必 须给出一个应对的策略。在讨论这个| 薅题的鳃决办法之前，先对入侵是如何 威胁到一个安全计算机系统的基本模型进行描述。在文献 3 5 1 q 臼提出了著名 的a v i 入侵模型： 攻击( a t t a c k ) + 漏洞( v u l n e r a b i l i t y ) = 入侵( i n t r u s i o n ) ( 2 一1 ) 图2 1 是这个模型的图形化描述。 j 。 蚕2 1a v i 系统入侵模型 从图2 1 中可以看出，由于设计者在设计的时候可能没有考虑周全或者 由于操作者的不合法操作，造成了系统的安全漏洞。攻击者通过安全漏洞进 行攻击形成入侵，成功入侵后在系统内进行破坏，导致系统行为错误( e r r o r ) 。 当系统行为错误影响到系统的关键服务甚至整个系统的运行时，就出现了系 统失败( f a i l u r e ) ，即系统崩溃或者不能为用户提供正常的服务。 从以上的分析中可以看出，攻击者对一个系统的成功入侵取决于鼹个方 面的因素：( 1 ) 系统中存在一定的安全漏洞且被攻击者发现，这本质上是由需 l o 哈尔滨t 程大学硕士学侍论文 求、规范、设计或配置方面存在的缺陷而造成的，如使得程序堆栈溢出的代 码错误、弱口令、朱加保护的t c p i p 端口等，这是系统被成功入侵的内部原 因；( 2 ) 攻击者恶意的攻击，这是系统被成功入侵的外部原因，其方法包括尝 试发现系统的脆弱点而进行端翻扫描操作、d o s 攻击、恶意的j a v a 应用程序、 邮件病毒等方法。通过这甄方面的因素可成功实现系统的入侵，即公式( 2 1 ) 。 为了把传统的容错技术用到容忍入侵上丽来，可将入侵者的攻击、系统 组件的安全漏洞和入侵统一抽象为故障( f a u l t ) ，则系统从被攻击到失败的过 程就可以描述成事件链：故障一错误一失败。其中故障是导致系统产生错误 的原因，错误是故障在系统状态方面的表现，而失败则是系统发生错误后对 外提供服务时的表现形式。为了实现容忍入侵，防止系统失败，可以对事件 链的各个环节进行防御，其故障模型是a v i 混合的入侵模型，如图2 2 所示。 攻击攻击 图2 2 引入容忍入侵机制的a v i 入侵模型 由图2 2 可见，在容忍入侵之前，可以应用多种安全技术来防止系统失 败，铡妇减少系统安全漏洞( 提高软俘开发质量，预防配置和操作中的故障 等) 、攻击入侵阻止( 通常是一些传统的信息安全技术如信息过滤、入侵检测、 防火墙、认证和加密等) ，但是系统的漏洞并不能完全被消除，恶意入侵者及 内部人员完全有可能利黑这些漏洞进行非法操作。以上这些技术只能是尽量 消除或减少引起系统错误状态的各种原因，系统仍有可能因为成功的入侵产 生错误进而导致全部失败或崩溃( c r 嬲h ) 。而容忍入侵技术作为系统的最后一 道防线，它能检测到入侵弓| 起的系统错误，并通过相应的策略与机制来进行 错误处理，使整个系统仍然能够提供全部或降级的服务，从而避免系统失败， 撇& | | _ ， - _ _ 嚣，_ ； _ 、 n雄汀 _ ：-| | p 燮i j _ _ _ - - - - | | 一 | | 搬焖 | | | p 堡i 翔竺 盘古、_ k | | 篙艾 | | 防一，卜。，一 删腿廿一回骞 ， 一 l i i m 噱 哈尔滨丫程大学硕士学位论文 使系统具有可生存的特性。 2 。2 2 容忍入侵的目标 容忍入侵系统的设计目标可以分为四个层次，以： ( 1 ) 保证服务器上数据的真实性、完整性。当应用服务器受到入侵时，容 忍入侵系统需要保护服务器上的应用数据和系统数据不被嚣法篡改，或者能 够发现已经被篡改的部分，必要时加以恢复。 ( 2 ) 保证服务器上数据的保密性。拍被入侵者通过非法的途径掌握了对服 务器数据的访闫权限时，容忍入侵系统需要保证入侵者不能得到明文数据。 ( 3 ) 保证服务的可用性，尤其是关键服务的可用性。当入侵者对应用系统 部分服务器的攻击已经成功以精，容忍入侵系统需要使应用系统整体对外仍 然能够提供完整的或降级的服务，并力图通过重配置和恢复机制使 ! 导整个系 统回到正常状态。 ( 4 ) 保护系统的安全运行。在入侵者尚未攻击或正在实施攻击但未造成破 坏时，容忍入侵系统需要预防，阻止进一步的攻击行为，报警并力图自动恢 复系统中的相应缺陷。 这四个层次是逐层递进的，每一个层次都比前一层次对系统提供更强的 保护，实现起来也更加困难。 2 2 3 容忍入侵的策略 为了实现系统容忍入侵的目标，在建立容忍入侵应用系统时要结合相应 豹容忍入侵策略，即系统应采取什么样的策略来容忍入侵或攻击，从焉避免 系统服务失败的发生。容忍入侵策略主要来源于密码学技术和传统的容错技 术的融合，具体而言，包括以下5 个方面 3 s - 3 9 ( 1 ) 保密性策略。当策略的麓标是保护数据的保密时，容忍入侵要求在部 分未授权数据泄露的情况下，不揭示任何有用的信息。容忍入侵系统的保密 性操作服务可以通过错误屏蔽( e r r o rm a s k i n g ) 机制来实现，错误屏蔽有多种方 法，如门限密码体制。 哈尔滨j r ：程大学硕士学位论义 ( 2 ) 故障避免和容错策略。故障避免是指在系统设计、配置及操作过程中 尽量排除故障发生的策略，由于要完全排除系统组件的安全漏洞并不现实， 而且通过容错的方法来抵消系统故障的负面影响往往比故障避免更经济，因 此，在设计容忍入侵系统时，应将故障避免和容锩策略折衷考虑。在些特 殊情况下，对于非常关键的系统，故障避免是追求的目标。 ( 3 ) 可重配策略。可重配策略是指在系统遭受攻击时，系统根据组件或子 系统的受破坏程度来评 砉入侵成功的程度，进焉对系统资源或服务进行重薪 配置的策略。可重配策略基于入侵检测技术，在检测到系统组件错误时能够 自动用正确的组件来替代错误组件，或者用适当的配置来代替不适当的配置。 可重配策略用于处理面向可用性或完整性服务，比如事务数据库、w e b 服务 等。由于可重配策略需要对资源或服务进行重配，系统提供的服务可能临时 无效而造成一些性能上的降级。 ( 4 ) 可恢复策略。对于一个系统，假设：使它失败至少需要时闻铱 系统至多需要时间t r 才能从失败状态恢复到正常状态，而且时间t r 对于应用 者箍言可以接受；系统崩溃也不会产生不正确的计算； 对予一次绘定的 攻击，其攻击持续时间为t 曩，并且有t a t f + t f 。如果系统满足以上四个假设， 则其遭受攻击并失败时，系统可采用可恢复策略来恢复正常。 ( 5 ) 防失败策略。当攻击者戒功入侵系统的部分组件时，系统功能或性能 受到破坏；当系统不能再容忍故障发生的情况下，系统有可能发展到潜在的 不安全状态。此时，有必要提供紧急措施，例如停止系统的运行，以避免系 统受到不期望的破坏。这种策略常用予任务关键的系统，是其他策略的眷充。 以上所阐述的容忍入侵的镣略是指导容忍入侵系统的设计、并决定其运 行效果的关键。在具体选择策略的时候，应考虑以下有关因素： ( 1 ) 容忍入侵的程度。在应用系统受到入侵豹时候，容忍入侵系统需要将 应用系统保护到的程度。例如：只需要保护服务器上数据的完整性，或者还 必须保护数据的秘密性，或者还要提供降级服务，或者还簧有自动重组修复 的能力等。 1 3 哈尔滨t 程大学硕+ 学位论文 ( 2 ) 容忍入侵的代价。显然，要实现上述任何一种容侵的程度，都是需要 付出相应的代价的。这种代价包括硬件设备上的和软件设计方面的代价，还 有效率上的和控制粒度上的代价，还可能包括其它方面的代价。这需要在受 保护系统的价值及重要性和容忍入侵的代价上进行权衡。 ( 3 ) 动态重配鼹。对于已经完成的容侵系统还可以在运行的过程中，根据 管理员的配置动态调整容侵的策略。但这种动态配置的功能同样也需要付出 相应的代侩。 总之，在设计和实现容忍入侵系统之前，必须要对容忍入侵的策略进行 全面的研究，在衡量受保护系统的价值和容忍入侵的代价的基础上，并结合 操作类型、系统整体性能、可实现的技术等因素来制订具体的容忍入侵策略。 2 。3 容忍入侵系统分类 2 3 1 按服务器的工作模式分类 按照服务器的工作模式可以将已有的容忍入侵系统分为两类： 1 主从( p r l m a r yb a c k u p ) 模式 在主从模式中，任何时刻只有一个主服务器和多个从服务器协同工作。 在这种模式中，客户端通过前端( f r o n t ，通鬻是一个代理服务器) 只与主服务 器之间进行通信。主服务器负责执行客户端的服务请求并返回响应给前端， 同时发送更新消息给从服务器。如果主服务器失败，那么通过预定的选举机 制从服务器中选擞一个新的主服务器来继续为客户端提供服务，从丽傈证了 系统服务的持续性。这种模式的优点是系统开销小，因为只有主服务器为客 户端提供服务，缺点是无法容忍拜占庭错误( b y z a n t i n ef a u l t ，需要少数服从 多数类的错误) 删。 在主从模式下，服务器端处理客户端服务请求的过程分为以下4 个步骤： ( 1 ) 接收请求处理：当前端接收到客户端的服务请求后，为之加上一个唯 一的连续的标识符，然后将请求发送给主服务器； l 哈尔滨工程大学硕士学位论文 ( 2 ) 执行服务请求：当主服务器接收到请求时，检查请求的标识符，如果 这是一个新的请求，主服务器开始执行服务请求并存储响应结果； ( 3 ) 一致性协商：如果服务请求的类型是读( r e a d ) 操作，那么可以不需要 这一步；否则，如果服务请求的类型是写( w r i t e ) 操作或读写( r e a da n dw r i t e ) 操作，那么主服务器发送更新消息、响应结果和标识符给所有的从服务器。 从服务器收到后更新消息后给主服务器反馈一个确认消息a c k ； ) 返回响应结果：主服务器将晌癍结果反馈给前端，然后毒蓠端将结果 传递给客户端。 2 全激活( f u iia c t i v e ) 模式 在全激活模式中，