（计算机应用技术专业论文）入侵容忍系统模型及基于门限的ca方案研究.pdf

哈尔滨工程大学硕一 ：学位论文 摘要 入侵容憨技术是美国褥融的第三代安全的核心。入侵容忍是一种主动防 轳缒力，警受缳护系统豹酃分缀 孛受到酸壹嚣，入侵容忍善在髓缳持蘩| 爪系 统关键信息和服务的完整性、机密性和可用性。 本文蓠茺分缨了入莰餐忍技零赘基零理论熬萋懑爨占庭穆议，在憩基疆 之上，提出了一个入侵容忍系统的应用模型。在襄际应用方面，入侵容憨系 绕可强震来傈诞c a 的安金。它逶过将繇锾分笈绘不围酌部伟，势保谣经俺 个在线的部件无法恢复c a 的私钥，从而保护了c a 私钥的保密性。论文 对基于两辩不同静门陵蔽术静入侵容忍c a 方案谶露了深入酶磷究帮阮鞍， 并给出了两种不同方案的对比纳果，结果表明：基于门限e c c 的入侵容忍 c a 方案，放安全往稻效率懿角凌考塞，都要俊予基 二门隈r s a 懿入侵容忍 e a 方案。 燕键词：入侵察忍；r s a ；e c c ；c a 嗡尔滨土稳夫学颈士学捷论文 _ _ 皇昔皇昌薯鞲黼誊萱_ _ _ 墨黛黼省喾毒_ 黑蔫删i _ - - 置宣罩爿警黼薯蕾i i i 墨_ - _ 删 a b s t r a c t i n t r u s i o nt o b 煳e et e c h n o l o g yi st h e o 霉o ft h et h i r ds e c u r i t yp r o p o s e db y t h eu s a i n t r a s i o nt o l e r a n c eh a sak i n do fa b i l i t yw i t h p o s i t i v ed e f e n s e 曼 i n t r u s i o nt o l e r a n c ec a l l a c c o m p l i s h t h ef u n c t i o nt om a i n t a i n i n t e g r a l i t y , c o n f i d e n t i a l i t ya n du s a b i l i t yo fk e yi n f o r m a t i o na n ds e r v i c ei nt h ew h o l es y s t e m ， w h e n s o m ep a r t so f t h es y s t e mp r o t e c t e da r ea t t a c k e d 。 t h i sp a p e ri n t r o d u c e st h ef u n d a m e n t a lt h e o r yo ft h ei n t r u s i o nt o l e r a n c e t e c h n o l o g y - - b ) t a n t i u mp r o t o c o lw h i c ht ob eb a s e do na na p p l i c a t i o nm o d e li s p r o p o s e df o ri n t r u s i o nt o l e r a n c es y s t e m ，捷p r a c t i c e , i n m t s i o nt o l e r a n c es y s t e m p r o t e c tc a 。t h es y s t e mi sa b l et ok e e pt h ec o n f i d e n t i m i t yo ft h es e c r e tk e y s f o rc ab yh a n d i n go u tt h es e c r e tk e y st od i f f e r e n tp a r t sa n d g u a r a n t e e i n gt h a ta n y o ft h eo n - l i n ep a r t sc o u l dn o tr e s u l l l et h es e c r e t k e y s ，i nt h i sp a p e r , i n t r u s i o n l b l e r a n c es o l u t i o n sf o rc aa r ed e e p l yr e s e a r c h e da n dc o m p a r e do nt h eg r o u n do f t w od i f f e r e n tt h r e s h o l dt e c h n o l o g i e s i nt h es u m m a r y , t h ep a p e rc o n c l u d e st h e r e s u l to fc o m p a r i n gt w os o l u t i o n s t h er e s u l ts t a t e st h a ti n t r u s i o nt o l e r a n c e s o l u t i o nf o rc ab a s e do nt h r e s h o l de c ci sp r i o rt ot h a tb a s e do nt h r e s h o l dr s a i nt h ep e r s p e c t i v eo f t h e s e c u r i 移a n de f f i c i e n c y k e y w o r d s ：i n t r u s i o nt o l e r a n c e ；r s a ；e c c ；c a 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指导 下，由作者本人独立完成的。有关观点、方法、数据和文 献的引用已在文中指出，并与参考文献相对应。除文中已 注明的内容外，本论文不包含任何其他个人或集体己经公 开发表的作品成果。对本文的研究做出重要贡献的个人和 集体，均已在文中以明确方式表明。本人完全意识到本声 明的法律结果由本人承担。 作者( 签字) ： 日期：砂，年岁月日 哈尔滨工程大学硕士学位论文 第1 章绪论 1 1 引言 近几年来，随着信息技术和计算机技术的飞速发展与广泛应用。人类已 经进入了一个空前繁荣的信息化时代。大范围的网络应用已经广泛的深入到 国防、电信、银行、金融、交通、电子商务、能源以及大众商业等各个领域。 与此同时，信息安全相关事件也逐年上升，给实施信息系统的各方都带来严 重的威胁，信息安全问题正在逐步成为人们关注的焦点。 所谓的信息安全，是指网络信息系统的保密性、完整性、可用性、可控 性以及不可否认性。它涉及到网络通信、密码学、芯片、操作系统、数据库 等多方面的理论和技术。传统的网络安全产品有很多，如防火墙、入侵检测、 漏洞检测评估、灾难恢复、反病毒软件、v p n 、p k i 、安全路由、安全操作 系统、安全w e b 等。为保护信息安全，以上的技术和产品都做出了巨大的 贡献。尽管如此，信息安全问题仍是一年比一年的严重。对于分布性越来越 高的网络应用来说，攻击是越来越无法避免的，并且会随着防护技术的不断 改进，攻击也会愈加的尖锐。另一方面，从技术实现来说，世界上还没有一 个系统能够强悍到可以保证没有漏洞可以被用于攻击的地步。 在过去，网络安全的研究重点是将入侵者隔离在系统之外，从而保证信 息系统的安全。目前，保密性和完整性已经通过加密重要信息和限制只有授 权用户才能访问系统而得到了实现。然而，还没有任何一种安全防范措施能 够保证系统不被渗透，一旦系统被入侵或者只是处在攻击状态下，它将出现 漏洞和各类不可预知的状态，因此它将不能接受危急的应用任务并提供相应 的服务。作为防御的第二道防线，入侵检测和响应的研究大部分集中在已知 的或已经定义完好的攻击上。这也正是许多商务入侵检测系统的成功和局限 1 哈尔滨工程大学硕士学位论文 性。一些好的研究成果和成功的商务入侵检测系统在过去的两年中已经在 m i t 的l i n c o l n 实验室里被评估。评估结果表明，新的异常攻击能够对这些 系统产生强大的挑战。 当我们将注意力集中在网络攻击本身时，由于很多的攻击无法被准确定 义，且有些攻击还可能是未知的，因此还无法研制出一种全面的保护机制。 尽管入侵容忍也必须要处理入侵，但它还必须依靠系统的功能与服务。利用 入侵容忍的方法来建立网络防御体系具有以下三个方面的优点： 首先，可集中考虑那些对服务造成威胁的事件来开发入侵策略； 第二，能够从容错技术和可信性计算技术中借鉴经验； 第三，最新的入侵容忍技术能够被用于建立新的信息系统，对于入侵来 说是无懈可击的( 无论有怎样的入侵，服务也能保持令人满意的程度) 。 为了能够尽可能处理未知类型的攻击，需要将注意力从攻击或攻击者本 身转移到被保护的目标上来，这自然依靠被保护的功能和服务。因为在判定 一个攻击是恶意攻击，还是本身故障，亦或是人为事故之前，系统将不得不 处理这些不利的影响，并且还需要从这一影响中摆脱出来，这就意味着攻击 的影响比攻击的起因要重要的多。对故障任务和商务系统中入侵检测技术的 研究表明，真正完美的检测和直接攻击几乎无法实现，即使花费很大代价开 发的容忍入侵系统也不可避免的具有个别的错误和弱点。因此入侵容忍的重 点是操作的连续性，或者不管是否出现动态攻击，都应该提供最小级别的服 务。 “入侵容忍”具有明确的定义：当系统的一些组件被破坏或出现入侵时， 系统必须保持对合法客户的正确而连续的服务能力。一个入侵容忍系统应该 能够自我诊断、修复和重构，在入侵出现时能够连续地向合法用户提供正确 的服务。入侵容忍系统的目标有以下四个层次： ( 1 ) 保证服务器数据的真实性、完整性； 2 晗尔滨工稷大攀预士学搜论文 ( 2 ) 绦涯骚务器鼗撰夔穗密瞧； ( 3 ) 傈证联务的可魇性； ( 4 ) 保护系统的安全运行。 这四个层次逐层递进，每一个层次都比前一个层次对系统提供的保护更 强，实现起来也更难。目前所谓的系统安全已经发展成为以下几个方面的结 合：防止特定事件的攻击；消除软件中的弱点；防止攻击导致的入侵 2 。 1 2 研究的意义 麓代安全系统蔹靠密码学、可麓豹诗葵基爨c r c b ) 、试谨和访滔控潮 蔽零寒羝餐入疆行秀。燕二找安垒涉及到邋蠲透赛控镯器f 蟊貔炙蘧，、m s 、 p k i 等技术来弥替普遍存在的防曩添灞。因此，传统上的安全工 睾可归结梵 两个方面： ( 1 ) 阻止攻击的发生； ( 2 ) 不断解决系统存在的安全漏洞。 由于不可能预知所有未来攻击的彤戏，也不可能完全杜绝新安全漏洞的 存在，这将导致一些攻击取得成功。所以裔必要研究开发入侵容忍系统( i t s ) 期使遭裂攻击仍能运转的系统。鼹褥，荚国嚣防高级研究项目署( d a r p a ) 缀绞歪在开震一令叛豹硬究秘诗翔，鬣为o a s i s ( o r g a n i e a l l y a s s u r e da n d s u r v i v a b l ei n f o r m a t i o ns y s t e m ) ，其中鼹穗了“t h i r dg e n e r a t i o ns e c u r i t yo g s ) ” 的概念，主要研究系统在面幅攻_ 毒的辩况下确保系统幸存的能力，实现它的 核心手段是入侵容忍技术( i t ) 。 入侵容忍系统允许系统存在一定獠胰的安全漏洞，并且假设一些针对该 系统组件的攻击能够取得成功。在面对攻击的情况下，入侵容忍系统不是想 办法阻止每一次单个入侵，而是设计触发“阻止使系统失效发生”的机制， 从而能够以可测的概率保证系统的安全和可操作。门限密码学能够灵活地产 哈尔滨工程大学硕士学位论文 生、安全地存储和发放密钥，进而使系统在部分组件被攻破的情况下仍能保 护系统中用于加密、签名等的秘密信息，为开发入侵容忍系统提供了有效的 新技术手段。基于门限密码学的入侵容忍研究，主要集中在秘密分享方案、 门限解密和门限签名方案的设计与实现上。目前这些方案的实现，特别是门 限加密和门限解密的实现，一般要求所使用的密码算法具有同态的属性，其 原因在于：同态的密码算法可以很方便地将基于秘密共享的多个密文分片组 合成整个消息的密文，而非同态密码算法则很难实现。由于r s a 是一种同态 密码，在其基础上设计的门限密码体制具有结构的简洁性和安全的易证明性， 因此，在已有的研究成果中，几乎所有门限密码学的研究都集中在基于同态 密码算法( 尤其是r s a ) 的门限密码技术上。这其中，比较著名的研究项目是 斯坦福大学的i t t c 项目，该项目基于r s a 来研究门限解密和门限签名方案， 进而实现能够容忍入侵的应用。 随着大整数分解方法和并行计算技术的发展，r s a 所需用的密钥将愈来 愈长，这将使采用r s a 系统的速度变得愈来愈慢。迄今为止，e c c 被技术 界公认为能比r s a 等其他公钥加密系统提供更好的加密强度、更快的执行 速度和更小的密钥长度。这些性能使得e c c 可用较小的开销和时延实现较 高的安全性，特别能满足在带宽、计算能力或存储能力等受限的各种特殊应 用场合。因此，e c c 及其应用已正在成为信息安全研究领域中令人关注的热 点。然而，从本质上讲，e c c 并没有引入新的密码体制，e c c 的贡献在于 为密码运算提供了一种新的代数系统椭圆曲线群，e c c 的安全性也正是 基于椭圆曲线群上离散对数问题的难解性。在椭圆曲线群中虽然也可以实现 r s a 体制，但并无实用及理论价值，因此，基于e c c 的门限密码体制的设 计方法不能采用基于r s a 的门限密码体制的，需要寻求新的途径，这具有 理论上的难度。事实上，目前，在公开发表的研究成果中，基于e c c 的门 限密码体制的报道非常少，在门限e c c 密码体制基础上建立入侵容忍应用 哈尔滨工程大学硕士学位论文 的研究工作则更未见到报道。鉴于e c c 所具有的独特优势，e c c 取代r s a 已成为一种趋势，因此，基于e c c 的门限密码体制及其在入侵容忍中的应 用的研究具有理论意义和重要的实用价值。 本论文以门限密码体制为主攻对象和以入侵容忍等为应用背景，开展了 门限密码体制及其应用的研究。内容主要涉及秘密共享方案、基于门限解密 和签名方案、基于门限入侵容忍c a 应用等。 1 3 国内外研究现状 目前，有五个项目对入侵容忍的研究最为成功。下面对他们的研究成果 进行分析。 1 3 1it t c 对入侵容忍系统的研究 i t t c 即i n t r u s i o nt o l e r a n c ev i at h r e s h o l dc r y p t o g r a p h y ，它是由s t a n f o r d 大学主持开发的入侵容忍研究项目。它将重点放在了保护系统的机密性的问 题上。i t t c 采用门限密码学保证了当系统中的某台主机遭受入侵时不会造成 机密信息的泄漏。另外，c o m e l l 大学l i d o n gz h o u 研究了如何通过异步的、 主动的密钥共享来设计并实现一个安全的分布式在线的c a c o c a ( c o m e l l o n 1 i n ec e r t i f i c a t i o na u t h o r i t y ) 1 3 。国内的荆继武、冯登国提出了一种基于门 限r s a 的具有可伸缩性的入侵容忍的c a 方案【4 1 。 i t t c 方案中研究的主要问题是当系统中的若干服务器损坏的情况下，系 统依然可以保证密钥不丢失，而且通过刷新使得密匙不需重建就可被使用。 基于e c c 的零知识认证方案可以使我们验证影子服务器是否拥有有效的影 子。通过门限签名方案可以在完成对证书签名的同时提供c a 私钥的机密性 和可用性。i t t c 并没有在入侵发生前检测出入侵并阻止入侵，它允许系统在 少数系统构件遭受入侵的时候仍然保证敏感信息的安全。为了做到这一点， 哈尔滨_ | ：= 程大学硕士学位论文 i t t c 根据门限密码学的原理，将密钥分布到几个服务器中，而且密钥永远不 会在单一位置重构。同时，i t t c 使得应用程序在入侵容忍的方式下存储它们 的密钥。通过序列号的使用来观察一个被检测的客户机并且不暴露任何共享 密钥。它们的系统通过在单一的位置不重建共享私钥来消除单一点的故障。 甚至密钥的产生也是共享的形式。系统检测和修改脱机和腐蚀的服务器。 i t t c 很容易嵌入到现存的应用程序中，在他们建立的一个w e b 服务器和一 个c a 中使用i t t c 来管理密钥。结果表明使用i t t c 的代价是合理的。通过 服务器来进行交换会议密钥仅仅是全部工作的- d , 部分。因为浏览器和服务 器缓存了会议密钥，所以交换会议密钥不会经常出现。 1 3 2s lt a r 对入侵容忍的研究 s i t a r 是由普渡大学等发起的旨在保护c o t s ( c o m m e r c i a l o f - t h e s h e l l 商用现货) 服务器安全性的入侵容忍计划，该计划的最大特点是为已有的商 用服务器提供入侵容忍的能力。s i t a r 希望建立一个透明的保护机制，使得 c o t s 服务器端和客户端都不用进行任何修改就可以获得入侵容忍的能力【”。 他们提出的框架主要是利用冗余和多样性技术来建立系统，并且把重点放在 了保证系统操作的连续性和提供一个框架来为分布式服务建立入侵容忍系 统。它主要有以下几个新颖的方面： ( 1 ) 将建立在c o t s 组件上的分布式网络服务作为保护的目标： ( 2 ) 将基本的容错技术应用到了他们的目标系统并且着重处理了外在的 攻击和妥协的组件； ( 3 ) 在基于入侵容忍模型的前提下建立动态重配策略。 s i t a r 的工作流程如下： 首先，客户端的请求信息发送至p r o x ys e r v e r ，p r o x ys e r v e r 根据目前的 入侵容忍策略来执行服务方针。方针决定请求将被转发到哪个c o t s 服务器， 6 哈尔滨工程大学硕士学位论文 并经由b a l l o tm o n i t o r 和a c c e p t a n c em o n i t o r 传送给真正提供服务的c o t s 服 务器；当c o t ss e r v e r 回送相应数据后将首先传送给a c c e p t a n t em o n i t o r ， a c c e p t a n c em o n i t o r 将对响应进行合法性检验，粗略的判断其中是否有非法的 数据，并按照检验结果将数据传送给b a l l o tm o n i t o r ，另外，a c c e p t a n c em o n i t o r 也检测c o t s 服务器上的妥协信号并且对自适应的重配模型产生入侵触发。 由b a l l o tm o n i t o r 通过简单的多数投票或拜占庭协议程序来决定最终的响应， 最终的响应将通过p r o x ys e r v e r 转发给远程客户；无论是b a l l o tm o n i t o r 还是 a c c e p t a n c em o n i t o r 发现异常的时候都会产生入侵警报，a d a p t i v e r e c o n f i g u r a t i o n 将会从所有的其它模块中接收入侵策略信息，评估入侵威胁， 容忍目标和性价比冲突，并且根据警报信息对服务器进行重新配置和恢复； a u d i tc o n t r o l 将会为所有的其它组件提供审核的方法。所有系统模型保留带 有签名保护的审核日志。这些日志通过审核模型被验证，它将通过动态的审 核帮助管理员监控所有在框架中的新功能域的安全操作【o j 。 这个入侵容忍系统框架不需要任何对c o t s 服务器应用程序的改变。并 且通过在c o t ss e r v e r 前设置一系列转换和监视组件，使得他对终端用户和 服务器应用程序都是完全透明的。这也是目前出现的唯一能够透明的提供入 侵容忍能力的模型。 1 3 3i t u a 对入侵容忍系统的研究 i t u a 计划是由b b n 和伊里兰大学发起研究的。i t u a 即i n t r u s i o n t o l e r a n c eb yu n p r e d i c t a b i l i t ya n da d 印t a t i o n ，它是通过对不可预知攻击的适应 来进行入侵容忍，该计划的目的是开发出基于中间件的入侵容忍解决方案来 帮助应用程序在特定的攻击下仍然可以存活h 】。 i t u a 的研究目标是建立一种基于中间件的机制。这种机制包括故障容 忍、安全技术以及对不可预测的入侵行为的容忍能力，通过它可以提高分布 哈尔滨_ i 二程人学硕士学位论文 式应用程序的存活能力。其研究的主要方法是自适应的中间件技术。这种方 法可以让应用程序清楚的知道可用的系统资源，并根据资源做出相应的响应。 在入侵容忍中，适应是至关重要的。为了在攻击中生存，应用程序必须适应 损坏的环境并且改变资源的质量，适应将在系统中的不同级别被提供。 另外，i t u a 设计出了组通讯系统、组通讯协议、可靠的组播协议和总体序 列化协议。它提供了可靠的多点传输和在组中的全部秩序和组成员的操作。 这个项目在一个现存的抗毁的组通讯系统中嵌入了这些协议的实现，即 c e n s e m b l e 。因此，i t u a 的入侵容忍机制是通过冗余的方式保证了系统的 安全属性，通过管理者、从属者和复制这三个角色的配合使得系统具有入侵 容忍的能力l 。 1 3 4s r i 对入侵容忍系统的研究 s r i 是一个非盈利性的研究机构，它提出了构造入侵容忍系统的另一种 方案，s r i 的研究目标是在系统结构的层次上定义抽象的入侵容忍属性，并 且研究保证这些属性的机制。s r i 相信通过对入侵容忍属性的分解，可以得 到简单的而且可以被直接证明的机构属性。 s r i 开发出了具有入侵容忍能力的e n c l a v e s ，在这个具有入侵容忍能力 的版本中，当每一个e n c l a v e s 拥有n 个l e a d e r 时，整个组可以容忍f 个l e a d e r 的错误，其中j 厂+ l n 。从而可以看出，e n c l a v e s 具有入侵容忍的能力。在这 个结构中，为了避免l e a d e r 的拜占庭错误，s r i 采用选举算法避免了部分l e a d e r 失效带来的系统故障。s r i 实现入侵容忍的手段是：采用冗余的方式避免了 单个l e a d e r 失效带来的系统故障，采用了更复杂的控制方法选举的方法 使得系统具有对拜占庭故障的容忍能力。 哈尔滨工程大学硕士学位论文 1 3 5m a f t l a 对入侵容忍的研究 m a f t i a 是一个由欧洲多个大学和实验室联合研究的入侵容忍项目，其 中包括了纽卡斯尔大学、里斯本大学、i b m 苏黎世实验室等著名研究机构【9 1 。 因为有强大的研究力量，m a f t i a 的研究计划非常的宏大，他们的设计目标 是建立一个综合的系统，在这个系统中综合运用多种安全手段，包括入侵容 忍、入侵检测、密码学等等，保证系统能够在恶劣的、充满各种危险的环境 中的可信性。m a f t i a 将工作分成了若干步骤，从最开始的建立概念模型到 设计出中间件套件，从设计出容忍机制到开发出容忍协议以及a p i ，还包括 设计并开发出一套验证和评估机制。这个项目正在进行中，而且已经取得了 很多重要的成果，包括系统结构、中间件模型、a p i 等等。虽然m a f t i a 还 没有最终完成，但是可以预计一旦完成，它将在安全领域中迈出一大步。 m a f t i a 希望采用一种整体的结构来解决可信性问题，无论是安全性问题还 是一些意外故障造成的服务偏移，可以说是一个一揽子工程。 1 4 课题研究的主要内容及论文的结构 本论文对分布式入侵容忍系统的体系模型做了初步的研究，并结合入侵 容忍的关键技术，对一种崭新的c a 方案进行了深入的探讨。 论文的整体结构安排如下： 第一章首先论述了入侵容忍技术和入侵容忍系统的研究现状，对目前最 成功的五大项目作了详尽的介绍与分析，并对比了这些项目所使用的关键技 术。 第二章介绍了入侵容忍系统的相关特点，并分析了入侵容忍系统所采用 的基本技术。 第三章首先比较了入侵检测、故障容忍和入侵容忍技术之间的差异；并 介绍了入侵容忍系统一些基本概念以及理论基础拜占庭协议。提出一个 9 哈尔滨工程大学硕士学位论文 入侵容忍系统的模块模型，描述了各模块的功能。 第四章提出了并实现一个基于门限r s a 的入侵容忍c a 应用的方案。该 方案的基本思想是在系统组件中引入冗余技术，利用门限秘密共享将秘密信 息分布于多个系统组件上，使得有关的重要数据不在一个地方重构，从而达 到容忍入侵的目的。 由于目前e c c ( 椭圆曲线密码体制) 被认为比r s a 等其他公钥密码系统能 够提供更好的加密强度、更快的执行速度和更小的密钥长度。所以，第五章 提出了实现一个基于门限e c c 的入侵容忍c a 应用的方案。并将该方案与基 于r s a 的入侵容忍c a 应用方案进行了深入的比较和分析。 哈尔滨上程大学硕士学位论文 第2 章入侵容忍基本技术分析 对于基本技术的分析有助于我们更进一步理解入侵容忍系统，并可以指 导我们建立入侵容忍系统的构造方案。 通过对于已有的入侵容忍系统的分析研究，本章总结出了有关入侵容忍 系统的介绍、特点以及它的基本技术。 2 1 入侵容忍系统的介绍 一个入侵容忍系统是这样的信息系统，它能够在面对攻击的情况下仍然 连续地为预期的用户提供及时的服务。入侵容忍系统能够限制一些用攻击避 免和预防手段无法检测的信息攻击。这些攻击可能渗透过外层防御，即用攻 击避免和预防手段设置的防御，如防火墙系统、认证和加密系统等。系统将 采取一些必要的措施保证关键应用的功能连续j 下确。这些措施包括从限制被 怀疑的代码和数据到重新配置硬件和软件资源等。 一般而言，入侵容忍系统技术包括两个方面： 一是容忍技术( t o l e r a n c et e c h n o l o g i e s ) 。这是目前商用系统所缺乏的功 能。容忍技术可以让系统对入侵和攻击具有可复原性能( 弹性) 。这些技术包 括资源重新分配，系统冗余等。容忍技术是包括错误容忍和入侵容忍两个方 面：其中错误容忍主要集中在对硬件软件错误的容忍，而入侵容忍则集中在 对恶意攻击的容忍。入侵容忍是在错误容忍的基础上发展起来的，主要是在 对静态属性和调整研究的基础上增加了对动态属性和调整的研究。通常我们 是将这两种容忍技术合并在一起进行系统设计，并按照危害的后果而不是原 因进行分类的( 入侵检测系统是按照危害的原因而不是后果进行分类的) ，此 时将该系统称为入侵容忍系统。 二是容忍机制的触发器( t o l e r a n c et r i g g e r s ) ：入侵检测系统可以成为一 哈尔滨工程大学硕士学位论文 个这样的触发器。但即使是目前最顶级的入侵检测系统( i d s ) 也具有太高 的误警率和太低的入侵识别范围。理论上，触发器应该具有很高的覆盖范围 和零误警率。很高的覆盖范围是指对由于任何攻击和入侵导致的错误都能检 测出来。同时，错误在系统传播之前就应该检测到。例如，如果容忍系统依 赖于单元的冗余备份，就必须在所有备份单元崩溃之前发现攻击入侵错误。 在错误影响到容忍机制之前检测到错误也是很重要的。 从上面的介绍中，我们就可以发现入侵容忍技术是在错误容忍技术的基 础上发展起来的，并与入侵检测技术有非常密切的关系。入侵容忍作为一种 新技术发展势头迅猛，虽然目前国内还没有其它机构从事这方面的研究，但 是国外在这方面的研究却正是如火如荼，例如：美国国防部高级研究计划局 ( d e f e n s ea d v a n c e dr e s e a r c he r o j e c t sa g e n t ，简称d a r p a ) 赞助的u m b c 大学开始的一项研究是一个入侵容忍的数据库管理系统；m c n c 和杜克大学 开始的一一项研究是在网络环境下对一个分布式服务开发一个可扩展的入侵容 忍体系结构；同样是由d a r p a 赞助的c o l o r a d o 大学的研究内容是通过安 全的系统重新配置来实现入侵容忍；由d a r p a 赞助的伊利诺斯大学的一个 项目叫做i n t r u s i o nt o l e r a n c eb yu n p r e d i c t a b l ea d a p t a t i o n ，这个项目旨在使它 的入侵容忍技术中的自适应行为或响应对攻击者而言是不可预测的，从而增 强攻击的难度；同样是由d a r p a 赞助的项目是高质量服务入侵容忍的分级 的自适应控制；等等。 2 2 入侵容忍的特点 入侵容忍系统技术假设攻击的发生是不可避免的，并且攻击数据与正常 数据是不能明确区分的。与入侵检测技术不同，入侵容忍主要考虑的是在入 侵存在的情况下系统的生存能力，所关注的是入侵造成的影响而不是入侵的 原因。它要求系统具有耐攻击的可操作性，当系统遭受攻击或入侵时，仍然 能够连续地提供所期望的服务；并且，即使系统的某些组件已遭受了破坏， 1 2 哈尔滨工程大学硕十学位论文 系统也能继续提供降级的服务。因此，入侵容忍必须具有以下特点【m 】： ( 1 ) 自我诊断能力：入侵容忍仍旧依赖检测或评估系统，称为入侵容忍 的触发器，通过检测到局部系统的失效或估计到系统被攻击，然后调整系统 结构，重新分配资源，从而达到继续服务的目的。 ( 2 ) 故障隔离能力：如果诊断部分认为某种操作可能会严重影响后续的 系统运作，隔离机制会将可疑的操作隔离到特殊区域。针对被隔离的数据和 操作，当判定系统认为确实是攻击时，就将被隔离的操作删除掉。反之，就 将这些隔离的内容融合到正确的系统中去。 ( 3 ) 还原重构能力：具有容侵能力的系统必须修正所有被攻击影响到的 数据，而又不能采用简单的回退恢复。系统必须保证未被感染的部分不被恢 复，仅仅还原被感染的文件，让用户的大部分工作得以保留。 入侵容忍的目标就是如何在入侵发生的情况下，仍然可以保证系统可以 为合法用户提供预期的有效服务。 2 3 入侵容忍的基本技术 以下分别从门限方案、表决技术、恢复策略、多样性冗余策略以及验收 测试等方面对于入侵容忍的基本技术进行分析。在后续的文章当中，将对于 基于门限r s a 和e c c 的入侵容忍方案做具体的研究。 2 3 1 门限方案 门限方案也被称为是秘密共享。意思是设计一种方法来把数据d 分割成 n 份，分布在不同的地点，至少需要k 份才能重建数据d ，少于k 份则不能 揭示任何信息。在入侵容忍系统中，使用门限方案有两种基本方法： 第一种，以它最为本原的形式，数据被分为n 份存放在分布的物理地点， 至少需要k 份才能获取秘密信息，因此即使n k 一1 份被攻击到了，原始数据 哈尔滨工程大学硕士学位论文 仍然可以黧建，并且机密性也& 得到保证，达到了容侵的目的。实际上，这 种形式不仅使用了门限技术，谯数据的分散中也用到了冗余技术。 第二耱，数握本塞经过麓褰，凌鸯薹密嚣豹数舔袋麓门疆按末努残n 份， 要得到信息的访问权，就需鬻用k 份加密数据来鞠建原始数据。 门限方案对于保证数据的可靠性和存活性很有用。使用门限方案最鼠代 表性的是p a s i s ( p e r p e t u a l l ya v a i l a b l ea n ds e c u r ei n f o r m a t i o ns y s t e m s ) 系统和 c o n t r a ( c a m o u f l a g eo f n e t w o r kt r a f i ct or e s i s ta t t a c k s ) 系统。翦者使惩门疆技 术在安全鞫性能之闯权簿，届卷通过对数据送行鸯密后使用门限方案糖供对 系统的保护和容忍入侵。 该方案最主要的局限是n 和k 的选择。这要在安全性、可用性和存储空 闯上进彳亍权衡。一个较高的n 值保证了系统豹高w 搦性，但性糍低并虽存储 占爱量大。一令较枣戆k 蘧粼绦 蒌了毫经辘篷帮怒低可售任度，秘巢n 鞠哭 的选择合瑷，门限方案将很难攻破。 2 3 2 表决技术 乍为糖骞冗余组静静入授容憨蓑统，当多个服务器处理弱一个请求辩， 有可驻出瑗多个响应结果，闲魏系统中正确靛缀幸牛麓否在错误组 掌褥程靛清 况下确定肖效的输出结果显得非常重要：投票技术的目的就是解决冗余响应 的不同，凝终达成一致，得到个正确的响应结果。 投票过程首先要对考查的对象进行形式上的转换，常用的是字符串棚似 程疫滋较箨法滔d i td i s t a n c e ) 蘩l 埝薷编鹞( h a s h c o d e ) 。e d i td i s t a n c e 罴瘸予考 虑修改( 插入、删除、替换) 代价时的数据比较。使用e d i td i s t a n c e 算法时可 能会存在海明距离等一系列的变量。h a s hc o d e 方法常应用在大型的数据流 上。 当计嚣字簿串耪强度毙较复杂游，可激雳数溅攘器豹方法，h a s hc o d e 可以使用c r c 、m d 5 和s t l & 簿籀要丞数寒；卡舞。形式转换螽霉焉投鬃算法 1 4 哈尔滨工程大学硕士学位论文 进行昆较，确定一个最悉确静穗盔。一觳懿授票算法包摇： ( 1 ) 大多数投票：邋是最常用的算法，也可以理解为选取大多数意见的 投票。该算法将所有的响应分成若干类别，每个类别里响应的熬别不超过某 一陵谴，选窭其中包含晌应数量最大豹一个类黧，该类弱中懿强鬻一令镌痘 就作为最后的响应结果。 ( 2 ) 大概中央投票：在所有的响臌量化值中选择一个中间德，该值对应 静响应终瓷簸后的嘀应镣莱。 s i t a r 项目就是使用了e d i td i s t a n c e 算法和大多数投票算法。同样由 d a r p a 资助的可靠系统结构项目d i h d e p e n d a b l ei n t r u s i o nt o l e r a n c e ) 主要 侵蘑了啥希编码和大多数投票方法。霹凳，不霹豹络梅要校摇焚安全需求捩 况的不同来选择合适的辫法。 在确定致性策略并选择比较方法的时候，需器在性能和。可靠性上进行 投衡。毽怒这个方法缀滚潮定一些泰鲻狡态是否怒入侵行为。该方法懿舅一 个缺陷就魁需要数量庞大的冗余，因此代价比较高。 2 。3 3 恢囊蓑路 恢复策略是入侵容忍系统中的熏睽策略之一，与之相对应的灾难恢复手 段也是入 受容忍系统工作流程的重要部分之一。恢复策略可以分为两类：后 自恢复以致裁自恢复。 后向恢复是常用的恢复策略，后向恢复指的怒当系统发生故障时，恢复 机制将系统状态带回到攀前某一正确的状态。这状态可以是察先已经通过 冗余的手段僳存下来豹这穗方法邋应静范围嚣鬻窄，饺麓瓣于箕有擎一 状态的系统；也可以是通过一步步的回滚操作进行恢复对于大多数服务 器来说，幽予服务器自身状态在不断的演化，因此除非直接回滚到初始状态， 否鄹只能一步步静进行後复。磊齑恢笈的操俸辩阕可能是不可镁懿懿，戈箕 是采用回滚方式进行恢复的时候。但是，只要后向恢复成功，系统就一定能 1s 哈尔滨工程大学硕士学位论文 够保证处于正确的状态。 常用的后向恢复的方法有： a 系统重配 b 重置系统状念 所谓前向恢复指的是将系统向更新的状态演变，使错误的状态转化为可 以工作的新的状态。前向恢复策略中比较常用的方法是系统降级。当入侵容 忍系统发现系统遭受入侵而进入一个含有故障的状态，恢复机制可以关闭部 分已经崩溃的组件服务，提供降级的服务。前向恢复的优点是恢复的速度较 快，适用于需要提供持续服务的场合。但是，前向恢复难以将系统恢复到完 美的状态。 例如，一些常用的前向恢复的方法： a 在门限密码学中替换被泄漏的密钥 b 降低系统功能 c 软件升级 系统的前向恢复和后向恢复并非是对立的，例如我们可以在灾难恢复首 先尝试使用的是后向恢复，如果该系统在规定时间内，无法从灾难中完全恢 复出来，那么我们就应该尝试使用的是前向恢复策略，只有这样才能保证系 统服务的持久性。 对于入侵容忍系统而言，恢复速度是评价恢复策略的重要依据。入侵容 忍系统的目标就是要保证系统可以提供持续的服务，如果恢复的速度很慢， 则肯定会发生服务中断，快速恢复技术也是入侵容忍系统中需要讨论的有一 个重要的策略。 2 3 4 多样性冗余策略 可以说，如果没有恰当的冗余就没有入侵容忍系统。容错的基本思想即 来源于硬件可靠性中的冗余技术，而入侵容忍系统又是从容错系统当中发展 1 6 哈尔滨工程大学硕士学位论文 过来的，冗余技术不可或缺。虽然冗余单元会增大程序规模、增加系统开销， 但同时也能够为系统提供更高的安全性和可靠性。冗余策略本不是一个新的 技术问题，但在入侵容忍系统中，对恰当的冗余方式提出了新的要求，即多 样性冗余【l i i 。 在传统的系统可靠性技术中，大多采用了简单的冗余策略以对应随机的 系统故障，但简单的冗余更适合于硬件系统故障。硬件系统的故障是随机的， 当一次故障发生后，只要系统采取了恢复策略就可以重新正常工作，从而保 证系统的可靠性。但对于入侵而言，入侵的实施者是人，入侵的方式是有明 显针对性的，入侵的目的是最终攻破系统。因此，如果采用简单的冗余，即 使成功的恢复了系统故障，但马上又会面临相同的攻击，系统再一次陷入故 障状态。假如入侵者不停的发起攻击，当恢复速度跟不上故障的发生速度时， 系统仍然会崩溃，不能够有效的容忍入侵。 以美国国防部高级研究计划局( d a r p a ) 赞助研发的s i t a r ( s c a l a b l e i n t r u s i o nt o l e r a n ta r c h i t e c t u r e ) 模型为例，该系统从内到外的每层结构都使用 了冗余和多样性技术。比如，如果保护的对象是w e b 服务，就会有多台c o t s w e b 服务器来处理请求，同时为保证其多样性，w e b 服务器可以是a p a c h e 、 i i s 等不同类型。当遭受红色代码攻击时，即使i i s 服务器难逃劫难，用户仍 然可以通过a p a c h e 服务器得到正确的响应结果。 冗余性和多样性减少了错误关联的危险，但是增加了系统的复杂性。为 了得到冗余性，必须提供多套设备或软件，为了得到更高水平的多样性，必 须使用多个不同执行方式的服务。因此这种冗余性和多样性的代价很昂贵， 在使用时必须评估系统的每一部分适合什么程度的冗余和多样，在性能和代 价以及预防和容忍之间进行权衡。 哈尔滨1 二程大学硕士学位论文 2 3 5 验收检测技术 验收测试来源于软件容错研究，该测试方法在检测攻击中扮演着重要的 角色。它是一种预先设计的应用，主要对用户的请求以及服务器的响应进行 特定的测试，该方法根据攻击的影响来检测系统受破坏的情况【12 1 。 验收测试的结果有助于确定： ( 1 ) 系统存在什么类型的破坏； ( 2 ) 系统的哪些组件可能卷入其中； ( 3 ) 由这些组件产生的响应是否仍然有效。 根据测试结果，系统可以调整组件的配置，从而掩盖攻击对系统服务造 成的影响，使破坏的部分得到还原。在对于一般的c o t s 服务设计验收测试 时，需要确定使用什么类型的验收测试方法，并且要注意到验收服务器与系 统中的其他组件的合作。具体的测试方法有：需求测试、合理性测试、时间 测试、计算测试以及译码测试等等。 s i t a r 的请求流和响应流都使用了验收测试，这对于检测已知攻击和某 些精心制造的攻击是很有用的。d i t 使用验收测试对请求流进行语义检查。 验收测试可以看作是一个用在入侵检测系统和入侵容忍系统上的规范性检 查。 验收测试可以设计成规范的测试模型，但要根据实际应用程序的工作流 程，提出合理的测试方案，因此要成为严格的软件规范。其中的局限性是测 试规则的设计很难，开发代价非常大。高度模块化的系统结构对于测试的规 范化会起到大的促进作用。 2 4 本章小结 哈尔滨工程大学硕士学位论文 本章介绍了入侵容忍系统及其特点，以及相关的基本技术。一般说来， 每一个入侵容忍系统都应该具备自我诊断能力、故障隔离能力以及还原重构 的能力；入侵容忍系统经常采用的基本技术有：门限方案、表决技术、恢复 策略、多样性冗余策略以及验收测试。对这些策略的讨论有助于我们对入侵 容忍系统展开进一步的研究。 1 9 哈尔滨工程大学硕士学位论文 第3 章基于拜占庭协议的入侵容忍系统模型 目前大多数入侵检测和响应系统都依赖于具体的攻击行为。由于并不是 所有的攻击行为都是可良好定义的，并且总是存在未知的攻击方式，因此我 们不可能找到一个通用的保护机制，来保护系统。 入侵容忍技术是第三代网络安全技术的核心，是保证网络和系统安全的 一个新的概念和思路。我们对网络的等级保护不应该仅仅是空间的，还应该 是逻辑上的和技术上的。深层防御就是在不同的地方，用不同的方式，建立 多条防线，保护关键网络。当受保护系统的部分组件受到攻击时，入侵容忍技 术能维持整个系统关键信息和服务的完整性、机密性和可用性。尤其是入侵 容忍技术在识别恶意主机欺骗方面的优势，使得入侵容忍技术在网络安全、 电子商务和证书签发等方面大有可为。 3 1 几个概念之间的区别与联系 在正式讨论入侵容忍系统之前，我们必须弄清楚入侵容忍系统与入侵检 测系统；以及入侵容忍系统与故障容忍系统之间的区别与联系。 3 1 1 入侵容忍系统与入侵检测系统之间的区别与联系 首先，二者的作用域不同，二者并非同一层面上的安全工具。入侵检测 系统和入侵容忍系统不是并列的，而是有先后之分的，入侵检测系统在前； 入侵容忍系统在后。入侵检测系统工作在入侵者侵入系统之前，它通过对数 据包、系统事件等多种信息的检测，尝试发现入侵的行为，并在入侵成功前 就对入侵者做出响应，避免系统被侵入。而入侵容忍系统则是工作在入侵检 测系统没能够成功地避免系统被侵入的情况下。入侵容忍系统通过冗余或者 其他的方法保证即使入侵者已经侵入了系统，甚至拥有很高的权限也无法破 哈尔滨工程火学硕士学位论文 坏系统安全性。这是