可信系统与网络主题报告.ppt

1 可信系统与网络 需求 现状和挑战 闵应骅FellowofIEEE中国科学院计算技术研究所第十七届全国网络与数据通信学术会议秦皇岛 2010 9 16 2 提纲 可信系统与网络的需求云计算物联网信息化的实体系统 Cyber PhysicalSystems CPS 现状可靠性现状安全性现状挑战可信系统与网络的热点问题结束语 3 云计算需要高可靠 软件可靠性虚拟机的可靠性用户和云通讯可靠性海量存储的可靠性和可用性灾难情况下的可生存性 异地备份 4 物联网需要高可靠 基础设施的可靠性对物联网很重要传感器不但要节能 灵敏 小型化 还必须可靠 长寿命 抗恶劣环境 可维修性但常不被国人重视大型无线自组传感网信息传输的可靠性 路由的可靠性 特别是在某些传感器节点故障的条件下无线自组网的故障检测和诊断了解各传感器的状态真正要有效益 而不是请奖的话 可靠性第一重要 5 物联网建设 先做软件 软件失效的教训 2005IEEESpectrum 2004年10月 一家英国食品上市公司注销了一个5 26亿美元投资的自动贮藏链管理系统项目 SydneyWaterCorp 是澳洲最大的水提供商 该公司的自动顾客信息和计费系统 花费3 320万美元 在2002年被取消 OxfordHealthPlansInc 在1997年 该公司的自动计费和索赔系统不能处理扩展的商务 导致4亿美元没有收上来 6 5亿美元没有付出去 应该先写软件规范 理清思路 6 信息化的实体系统 CPS 需要高可靠 没有时态语义和并发计算模型 尽力而为的网络服务不可能达到信息化实体系统的可靠和实时的要求要包含实体动作 实时和容错是两个关键需求现在这种可靠性水平 交通控制 汽车自动驾驶 远程卫生保健是不能用的 对付不可预见的突发事件下一层不完全可靠 上一层就必须健壮 例如无线链路 不可靠 不可预料软件系统能做到可靠 可预见吗 例如C语言执行就没有时限 操作系统线程管理和I O达不到实时 RTOS太粗 复杂起来以后不能保证实时 怎么达到实时和可靠 时态语义 逻辑的或解析的 并发编程 7 安全技术 安全三角形缺一不可安全问题是个社会问题搞技术的是提供技术支撑 8 云计算需要安全 信息安全光盯着PC机 肯定是不够的 不光是自己的PC机要被信任 自己远处的 云 也得被信任 云成为众矢之的 易受到攻击 拜占庭容错很有必要 信任计算的研究要面向世界 9 物联网需要安全 物联网怎么保证企业和个人的信息安全 在概念上讲 物联网与隐私是矛盾的 在供应链上交换货品信息 可能泄漏商业秘密 所以 首先要解决模型的问题 创建模型检验模型 10 信息化的实体系统需要安全 信息化的实体系统 CPS 要动真格的 非容错不可远程手术如果不容错 谁敢做 智能交通控制如果不容错 怎么保障交通安全 自动驾驶系统必须容拜占庭故障飞机驾驶系统现在已采用四模冗余 11 现状 可靠性 国外 2001年4月 在美国 一个操作错误引起一个网络自治系统 AS 通告从它到9177个地址前缀都不可达 这个错误的通告又被通知到其他自治系统 要走这些路由的包就全部被踢掉 12 可用性 市场宣称可用性99 999 今天管理良好的服务器 可用性达到99 9 to99 即每年故障时间为8to80小时对于因特网服务 每小时损失20万美元亚马逊 Amazon 的股票证卷公司可损失6百万 小时而当年AT TESS系统每年的故障时间只有2分钟 13 DavidPatterson UCBerkeley的研究 电话网的软件失效 8 远低于因特网 34 因特网由拥塞引起的失效远少于电话网 11 2000年美国200次电话失效使3万用户至少30分钟不能打电话2001年 对因特网上500 5000台计算机 观察半年 25 失效分析不出原因 14 美国骨干网链路失效统计SprintAdvancedTechnologiesLab Asingledotat t l isusedtorepresentafailurethatstartedattimet onlinkl 15 传感网可靠性 UCBerkele试验 在缅因州一个岛上要研究海鸟的生态环境 2003年 鸟巢洞内红外热传感器露天气象传感器监视范围221米x71米每20分钟采样一次无线频率435兆62 36节点做120天试验节点 多跳 功率 网络 多种原因 16 非正常TCP连接 正常的TCP连接要经过从连接建立到连接结束的多个状态 以保证数据的可靠传送 一个大学校园网边界流量研究表明 20 80 的TCP连接是不正常的 至少用了一次TCPreset 商用网络服务提供商也已发现在骨干网上的类似结果 LawrenceBerkeleyLabs LBL 在其他网上也发现类似现象 这对可靠性和传输性能都有影响 17 现状 可靠性 国外 续 2002年3月14日下午1 10 2 40 拍卖网站eBay计算机系统90分钟失效 只有8 用户登录成功在2001年1月它就有11小时宕机 双机失效 2001年6月 因特网路由问题 有4小时只能间断性的连接服务前期部署的设计和测试策略是不够的运行中的问题不成熟的软件无法预期的负载操作差错 18 现状 可靠性 国内 2005年6月7日银联系统POS机系统主机故障造成POS交易停顿2个小时 由于上述系统故障 市民无法刷卡消费 银行间无法进行跨行结帐 2006年4月20日上午10时56分 中国银联系统通信网络和系统主机出现故障 造成辖内跨行交易全部中断8个多小时 2006年10月10日 由于中国民航信息网络有限公司 简称 中航信 离港系统的主机出现技术故障 导致包括北京首都国际机场等多个机场离港系统瘫痪 严重影响了北京 上海 广州等多个大型机场的航班进出港 造成大量旅客滞留 造成了巨额的经济损失 严重影响了交通运输秩序 2005年7月 北京部分地区出现上网中断问题 很多ADSL以及宽带用户断网超过30分钟 通信线路中断故障不时出现 2009年5月19日的影音风暴DNS域名解析故障导致15省网络瘫痪 2007年6月29日iPhone推出后 AT T公司网内的数据流量3年内激增了5000 AT T的网络多次出现拥塞或是局部瘫痪的情况 19 现状 安全性 国外 据美国卡内基梅隆大学统计 在互联网上 2001年出现52 655次入侵事件 而2002年前三季度已达73 359次 可见增长速度之快 IBM及VMware声称 他们发现了可以绕过WindowsVista系统上的所有存储保护措施 而进入到WindowsVista系统 绕过Vista系统上的 地址空间随机化布局 ASLR 和 数据执行保护 DEP 以及其他防止通过标准网页浏览器加载恶意软件的简捷保护措施 利用各种各样的脚本语言 包括ActiveX Java和 NET在内 在不经用户同意情况下随意进入用户系统 美国信息卡处理中心的安全漏洞使4千万帐号有被欺诈的危险 秘密地使用陌生人的WiFi连接是很容易的 像骇客之间的游戏一样 在2008年LasVegas的一个无线网络会议上 狂热者 knownas wardrivers 两小时就找到1000个无线网 20 现状 安全性 国外 续 2008年 美司法部在8月5日发表声明说 有11人因涉嫌非法闯入美国9大零售商电脑系统 并且偷盗贩卖了4100万个信用卡和提款卡号而被起诉 在这11人中还有一名美国密情局特工 根据FBI和CSI对484家公司进行的网络安全专项调查结果显示 超过85 的安全威胁来自公司内部 在损失金额上 由于内部人员泄密导致了6056 5万美元的损失 是黑客造成损失的16倍 是病毒造成损失的12倍 21 现状 安全性 国内 2002年 月 覆盖中国全国的鑫诺卫星多次遭到非法电视信号攻击 一再以非法信号持续攻击正常的卫星通信 2009年中国网络信息安全状况报告 问卷调查 22 现状 安全性 国内 续 有人说 灾难发生所造成的后果一方面是down机 另一方面是经济损失 中国的down机时间多为8小时到一天 不少情况在1 3天 中国专家们还表示 信息安全投入大约占企业IT总支出的18 这个比例比全球其他地区的数据都高 信息安全问题在中国究竟有多严重 具体数据少政治考量比较多 23 DSN 08热点问题 云计算 基于云的DoS缓解机制DSN是InternationalConferenceonDependableSystemsandNetworks DSN 的缩写 是关于可信系统和网络的国际会议 是国际顶尖的计算机会议之一 会议关注了可信计算领域最新的研究成果 还有解决的问题以及在最新的挑战 存储系统 容错的闪存系统程序分析 选择的符合执行操作系统 抗腐败的结构 系统调用问题诊断复制协议 非民用广域网状态机复制的低潜伏期失效预测 大网络中健壮聚合的分布式机群DSN国内至今没有一篇文章被接收 除短文或Post外 DSN2011将在香港召开 24 云计算 如果许多用户被一个系统管理程序进行管理 一个虚拟机的用户可以进入相同虚拟机的另一个用户 http web nvd nist gov view vuln detail vulnId CVE 2009 3733对每一个用户的每一个服务 分开管理的系统肯定是不经济的 不可行的 在虚拟的用户环境下 提供细粒度的存取和预先定义的安全控制 例如不同层次的通信通道和协议 财务信息 信用卡信息必须分开处理 而且有审计跟踪 25 存取控制 按几次鼠标 用户就可以进入自我服务入口 而建立一个新的多层虚拟应用环境 如果没有细粒度的存取控制 该用户就可能存取他人的敏感数据或者在无安全评价和修改管理的情况下修改程序 细粒度的存取控制需要确定谁有权进行这些操作 如果能预先定义安全控制模板 也是有益的 挂靠组织的信息安全组能够定义一组控制规则 对一个给定的应用 根据待处理的数据类型 或者该应用的需求 规定任何控制 例如 用户要处理信用卡信息的新虚拟环境 自我服务入口能够自动识别欲处理的数据类型 并且对数据库 应用和Web显示应用预先定义的控制规则 预先定义的防火墙规定对网络各层的存取 这些要求现在都做不到 还需要若干年才能实现 26 重构和修改 如何进行适当的重构和修改管理 即使有了细粒度的存取控制 还需要规定什么时候 在什么条件下用户可以进行这样的操作 否则 未经测试的程序或系统修改可能产生不可想象的后果 在自我服务中一个单位 其政策改变的自动重构和修改机制是很必要的 不是什么人都可以做这事的 27 审计跟踪 在开发 测试 生产各层次上关于服务正当性和权威性的审计跟踪 亨 诺伊曼在上世纪50年代提出用不可靠元件构成可靠系统现在我们需要在不安全的环境下提供安全的服务 传统的入侵检测 防火墙 内容过滤和脆弱性测试 传统的服务方式 有ASP联合安全卖家 手动设计和提供给加工外包环境 问题是怎么能在不损失灵活性的条件下提供这些服务的集成 自我服务入口也许希望自己创建自选服务 例如安装安全服务产品 或者从多个专业服务提供商那里开发复杂的多服务云模型 现在对私人云模式已有商家提供这种能力 但对其他模式还是做不到 28 数据加密 如果侵入了你的虚拟机 用基于文件的加密就没有意义 因为他既然可以存取你的环境 当然也就可以存取你前端的加密机制 基于磁盘的加密也有问题 因为虚拟存储不提供用户组织对物理存储地址的控制 磁盘是为许多用户提供的 不可能对每一个用户用一个密码 提供加密闲置数据的能力 并且说明如何解决共同关心的问题譬如有些单位已经用了基于文件或者基于磁盘的加密 29 服务器的性能和可用性 因特网服务器Web服务器电子邮件服务器流媒体服务器电子商务服务器数据库系统传统的客户端 服务器结构负载变化可能很大 以致崩溃准入控制 影响性能 可用性 QoS动态 非线性 控制的传递函数 带反馈 30 通信 流交换取消由光信号变为电信号的过程 因特网可提速1000倍 纳米随机数电路对芯片安全有重要意义 欧盟支持的AETHER项目开发了一个自适应体系结构 使未来的普适网络能自动处理环境和技术的变化 31 新攻击 恶意软件制造者们开发了一种难防的新技术 使病毒软件卖家寻找与这些威胁战斗的新方法 而这些新攻击不过是重新使用那些已有恶意软件的编码和策略 有些骇客采用新的传播矢量例如 P2P系统 即时通信 IM 浏览器 SMTP引擎做到病毒里 其他攻击有新的目标开源系统有些攻击有新目的盗取密码恶意软件击垮系统 抹掉数据 送机密文件给无授权的阅读者 安装使PC机进入僵尸状态 执行分布式拒绝服务攻击 32 与恶意软件战斗的麻烦 没有足够的恶意软件攻击的数据 使反病毒攻击者很难下手许多公司不报告 甚至不知道受到了这种攻击损害很难定量 因为由于宕机 盗取商业秘密 身份证信用卡号偷窃的损失很难估计标号已知病毒 认定潜在威胁 目前没有标准 大家随便取名字 对网管造成混乱 33 两步病毒 用户先收到一个看来无害的程序 然后又收到一个程序 和第一个组合起来成为一个病毒 让PC Web服务 数据库和其他系统通过内网或外网通信的Web服务可能成为一个新的恶毒软件 将有越来越多的activecode成为因特网攻击占据服务器多目标 复杂的探测脆弱点假装合法商业信息流的恶意程序 34 网络之可控 Internetinfrastructure 很难控制 单点故障 35 Saf