英文翻译2-构建分布式安全防御系统

构建分布式安全防御系统摘要：由于基础设施的复杂性，安全技术当前的状态和预期的限制，任何安全防御系统都有可能因为随机出现的故障而导致崩溃。例如，由于多种 DOS攻击。互补到每个节点中几个相同的专用节点的增加（即过剩的）正规的解决方案，非专用节点之间的资源共享方式，旨在打造过剩的及保安分发节点的近似永久可用性的大规模集群。本文的目的是从相关的和不相关的领域建立一个依赖于资源共享的分布式防御系统（DDS） 。该协议集称为美杜莎，他是通过分离信任权威身份和硬件，使一个可移动的被解放出来的产品得到信任从而实现DDS 的。作为一个被信任的可移动物体可以通过进程迁移应用传统的容错技术。关键词：容错性，自组织，信任管理，安全性，免疫系统，移动代理1 引言1.1 动机有基础设施交织的趋势越来越明显，使他们更复杂，难于管理，更容易受到随机系统故障的影响。关键基础设施包含一些具有控制功能的集中节点，就像一个集中的身份验证服务器。抵抗那些节点上服务攻击（DOS）威胁的增长使得这方面的关注度也得到了提高，因为他们表现出多点或单点的故障（MSPF ） 。为了提高可靠性，避免 MSPF，因此重复服务的分散结构（如过剩的）经常被应用 2,15,12。冗余是指（并行或串行）相似的系统准备代替主系统。即时更新冗余系统，以尽量减少停止运行（恢复）时间是很重要的。 ，不论原因在单一系统中分散的结构的失败，都被认为是无害的，因为没收一名成员并不一定会影响整个社会。用许多这样的副本系统可以承受最多故障 18,14。由于冗余是通过专用硬件考虑不可缺少的经济开销方面预算，这些措施是有限的。复制品数量和系统处理故障的能力，即生存能力也是有限的。然而，在理想情况下，为抵御众多的多次攻击和实现永久有效的的安全服务器安全防御系统不应该限制多余系件的数量。尽管实现这一乌托邦的手段似乎缺失 3,6，但是资源共享是可以考虑的。资源共享技术可实现多重的服务和多余的容量，分享彼此的资源以实现规模经济和提高效率 4。然而，这也只是生存能力理想化的乌托邦，通过应用资源共享的技术手段还是充满障碍的。其中一个障碍是有关信任和依赖的模糊性 1,7 。当安全服务配送中心（SDC 的）,就像验证服务器，在组织发行的隐含的假设时他们是值得信赖的。因为他们包括受信任的权威发布安全服务。由于这种信任权威非自治并以某种方式绑定到另一个计算实体（ CE）作为一个属性，知识缺乏信任的权威迁移到另一台主机应用资源共享。16和5的工作就是讨论形式化信任的方式就像在8中研究的一样。尽管有承诺但是他们不会让信任本身就是一个独立的软件对象。1.2 研究方法和组织有了这个动机我们可以说明这个问题，知识缺乏和这项研究的目标。研究问题可以表述为：由于基础设施的复杂性，安全性技术当前的状态和预算的限制，任何安全防御系统都有可能因为随机出现的故障而导致崩溃。例如由于多种 DOS 攻击。内隐知识缺乏是：无知地复制信赖的权威。关于这个问题，本研究的目标是：在预算范围内/附加的补充安全防御体系，其中安全中心的多个随机故障可以被清除的局限性给予提供。在本研究中，我们挖掘思路和方向，通过开展三个案例研究，以满足这一目标。每个后续情况精确追求的方向。在本研究的第一例9中我们探讨了进程迁移的区域，在特定的移动代理模式，并解决了缺乏知识。我们认为，这种缺乏可以通过引入一个分散的和自主的信任模式，预计将成为下一个范式转变的信任，被当做挥发性信任管理（VTM）来克服。我们认为 VTM 作为规范理论，即决定了方法（次） ，使信任自主移动对象。要以 VTM 赋予意义，并运用它来解决研究问题，在本文中，我们还从两个不相关的领域中获得想法。关于研究目标，在我们寻求那些如何继续活着的情况。因此，我们挖掘在宗教领域，并提出了轮回原理（reincamation） 。关于目标在第三种情况下建立一个防御系统人类的免疫系统将作为灵感在第 3 节的来源。经研究这三个领域，我们应用这些画的 VTH4 他应该怎样应用于解决研究问题在第一个印象。这种印象导致了协议在第 5 和第 6 集美杜莎的发展。2 轮回原理在本节中，我们的目标是找到一个知道如何保持受信任的服务器，尽管多次失败，通过绘制类比与民主和宗教（转世） 。我们采用转世原则，定义一个信任标记作为灵魂。2.1 动机信任作为一种相信，可以在直接对等体之间建立或者间接的作为一种参考。间接信任是在开放的网络如互联网常见的，因为在谈判的计算实体之间没有直接接触。首先大家都应该具有统一的信任参考点，这是通常的其余部分依赖于一个第三构件。这第三个 CE 必须从最初的参与者表示他们获得的授权凭证，无论是送他自己的密码，显示证书或者像在现实世界中，显示驾驶执照。之后，他已收集了所有他被授权的认证（即王冠） ，他就可以开始进行他的信任中介。由于没有公开的领导者可以忍受一切的攻击，必须要考虑的另一个问题是这种领导的持久性。星座上任何无政府主义的国家都是从安全禁忌的角度考虑的。因此，在现实世界中，接受该人的权力是暂时的。之后新选举的那个人或死亡的领导继续由另一人担任。出现这种情况无论是在民主基础（选举和批准由议会）或自然演替（王位是通过从父亲到儿子） 。引人注目的是，在这两种情况下，它是一种常见的相信权威的东西和它体现的身份不同。从这个角度来说也是一个比喻将向轮回仪式，也就是转生。在轮回原理是已知的一些宗教，那里的灵魂，相信从身体死亡后溶解，待轮回到另一个身体。Stajano 和 Anderson 21 应用这个逆向逻辑，他们被称为“复活小鸭” 。这种策略是不是证明新老（孙子兵法的第 14 章）策略：“借别人的身体恢复的灵魂” 23。虽然它是身份（主体）在现实世界中接受单独的机构（或灵魂） ，在虚拟的世界里，信任是更少有形的，它不是常见的做法。在这项研究中同样的原则，提出：识别和去耦从识别（即负责人）的可信安全机构（即领导） 。这是即必须防止无政府状态后的一个值得信赖的安全服务配送中心（SDC）的“死亡” 。它会带来不确定性，数据丢失，无法使用和性能损失。当信任的安全权限从特定的所有者分离，信任成为一种商品。由于商品可以被转移到安全的地方，信任的持久性将有可能确保。这意味着，当实体 A 是由管理可信性或发行的安全服务对他们代表的人口受信任的，那么 A 可以传输（因此不仅代表）此获得信任的另一个实体 B ，由字面上移动从 A 到 B （复制）的软件对象不调和的客户。2.2 应用：信任标记关键是要定义王位，这样它可以通过从 CE 到 CE。我们可以建立信任的参考模型，以便能够处理在虚拟世界中真正的信任。这些模型7中进行了说明。但如何让信任的权威有形或措词上与他类似，如何捕捉灵魂？什么是反正 SDC的灵魂？回答这个问题要看具体 SDC 和相似，是什么造就了这个特定的 SDC被信任的问题。正如我们不能简单地定义一个通用的方法来转换真正的信任到虚拟（软件）对象，可以选择他来定义派生指标（即其具体特征是基于信任） 。在现实世界中派生的指标，例如警察制服，表明该行业，因此在服务你可能期望从而依赖于某一个人。这里的假设是任意的虚拟领导者应该总是能够证明在他的领导下，通过独特的显性特征或隐式知道秘密。假设在虚拟世界中什么都可以复制和伪造，独特的通过特性选项仅被忽略。唯一应该再由特征的秘密提供。简单地说，事实上 CE 知道一个秘密，这只是给领导，使行政长官 一个领导者一个秘密。这个秘密可以是散列在一个 PKI 证书的数字签名;该证书的功能在这里作为一个秘密的载体，并假设这种信任可以形式化，并通过秘密或实体之间的证书代表，保存锈指本论文保守秘密这方面的知识。由于这方面的知识可以传递他对现在作为一个令牌到该组的另一个 CE 和各崩溃后复活这个灵魂组件将进一步被称为可信赖标记。可信赖标记用作信任的权威的商品化 对象和作为一个对象可以被交换。这种可交换性，这样可以促进移动和复活的信任权威别处。正因为如此，该令牌可以根据轮回原理保证信任的权威的连续性，因此在一组不同成员的安全服务。正如我们将在后面看到，此令牌实际上可能包含不止一个的秘密。3 复杂适应系统3.1 动机作为脆弱性增加的元凶之一的复杂性，也有一个积极的副作用。人类认为他创造的东西可能会非常复杂，难以控制，但实际上它仍然是大自然复杂性中微不足道的部分。例如哑巴白蚁能够最严重的冬季生存下来，因为他们合作进行食物储备。蜜蜂在一起能够架构一个最复杂的蜂窝状六角形细胞。更复杂的生命形式就像人体描绘许多生物舱的企业集团。那些生物系统在人体内包含无数的细胞具有许多有区别的任务，以维持身体的许多功能，如自愈合的伤口，对病理疾病等免疫系统。通过让专门的细胞样本，以执行其特定的，但简单的任务，他们共同管理的聚合复杂的任务。虽然这种复杂和智能行为的结果不是由每个单细胞的目的，没有人会意识到这一点荟萃目标，但它是他们合作的结果。认人体是非常复杂的，事实上，它是能够控制这种复杂性自主是我们可以从 LEAM 掌握我们的 简单 人为复杂的系统。如涉及生物信息学的新兴领域，我们考虑一个复杂适应系统（CAS）作为相互依存的规则下生物制剂与导致全系统模式复杂的相互作用的集合。也鉴于内增加，我们预计更多的机会申请CAS 反对这些威胁基础设施的复杂性，攻击更复杂的类型。这个比喻将是集群清除电脑内的故障，如人体免疫系统是干什么用的。在本节中，我们的目标是寻找思路和要求，实现研究目标是建立一个安全防御体系。3.2 免疫应答系统人体免疫系统是密切合作的细胞和分子，履行其职能与其他器官系统的复杂网络。它的主要任务是诱导和调节免疫力病原体，如细菌，病毒和其他微生物，以及肿瘤20 。通常是由基因10 的自私行为解释了细胞激发行动。宿主防御包括生理障碍和免疫反应。皮肤和粘膜提供防御的第一道防线。免疫防御由先天免疫和适应性免疫。该机制的先天免疫是始终存在的，并配备快速转化为行动。它提供了一个粗粒度的防御系统，通常不持有很长一段时间。因为它的一般识别系统的许多病原体都能够经过这微弱的访问控制。与此相反的适应性免疫系统能够识别许多具体的病原体和形式这样的细粒度的访问控制。除此之外，它能够建设新的病原体和新的抗体的细胞，虽然这个过程花费的时间很多。而这些反应不是相互排斥的，它们提供明显不同的优势，为处理病原微生物。作为整个免疫系统的具体工作的描述将超过本文的目标，我们将限制我们合作的一些具体的细胞之间的一种特定类型（其中包括来自19 20 ） 。许多类型的白血细胞，如小的 T-和 B -细胞（淋巴细胞） ，起源于骨髓，其成熟的身体是拆解病原体的重要角色。识别抗原后的 B 细胞通过淋巴系统寄发通知，并动员其他淋巴细胞。作为这样的淋巴系统由通过人体循环的淋巴细胞和抗体促进了通信服务。在此期间其他克隆的 B 细胞与抗原结合，以纪念他们，他们几个人什么都不做，因为他们作为存储单元立即承认在未来的入侵。杀手 T 细胞追踪那些标记病原体，穿孔感染的细胞并杀死了人体自身的细胞已被回避通过激活程序性细胞死亡。最终，吞噬细胞，像巨噬细胞和嗜中性粒细胞，微量剩余的标记为微生物。调理作用（涂）或中和后，他们被吸收和破坏。在不同小区之间的无缝和依赖协作出现在许多阶段，像例如在 T-细胞和 B细胞之间。通过克隆的过程中，特定的 B-细胞受到刺激增殖和分化，以结合抗原。虽然 B 细胞能够识别抗原他们无法增殖和分化，除非由 T 细胞的淋巴因子的动作触发。为了使 T 细胞成为受激释放淋巴因子，它们还必须认识到特定的抗原。然而，当 T 细胞通过识别抗原其 T 细胞受体（T-辅助细胞 CD43 ，它们只能在抗原呈递细胞（APC ）的情况下这样做。几种类型的细胞可以用作 APC的功能，如巨噬细胞和树突细胞。当 APC 的抗原后，抗原成为内在化，加工和表达的 AFT 的表面上。此特异性表达现在由 T 辅助细胞识别，以便它们可以释放扳机用于 B-细胞。3.3 应用免疫应答系统显然是具体的，自适应的，具有用于保护和治疗体内的存储器。从前面我们可以得出关于实现目标的防御系统作为 CAS 的一些想法。免疫反应系统描绘了大部分的自组织的合作，通过单个细胞的所有复杂的方式。为实现这一自组织原理要求可来自细胞在免疫系统的工作。细胞 - 有特定的内部触发器或动机行事， - 是自私的 - 不一定知道的后果， - 被限制了其他细胞的知识， - 感知其他细胞无论是作为正确或损害， - 能够找到并与辅助细胞沟通， - 能够探测入侵者和缺陷的细胞， - 能够隔离入侵者和缺陷的细胞， - 能够克隆， - 能够常见和罕见的入侵区别开来。4 把原则放一起：愿景通过轮回原理和自组织原则的手段，我们打算在本节中，介绍一种濒临灭绝的行政长官的所谓“跳脱”的行为。我们将如何绘制一个分布式防御系统的印象，从个人颂歌打造出来的，应该处理随机故障。所描绘的场景使建立专门系统，以更有效，因此重复使用对方的资源来抵御故障的可扩展性和廉价的方式。假设一个空间，其中几十个实体的希望与对方（大学，海军等）进行合作，但未知的，因此默认情况下最初不信任彼此。这意味着，它们在逻辑上依赖于对方的一种网格，小屋由于囚徒困境，他们不采取行动。很多的努力，因此把建立信任中心，并指出其中一个成员作为参考（认证/ 密钥服务器）的信任点。基本要求是，所有其他成员同意并授权此特定成员。一旦做到这一点所有成员可以依靠信任中心用于确认身份和分发密钥。当这种信任中心倒塌或启动故障，这将是灾难性的整个群组。一个新的信托中心的成立将是不可避免的，当信任中心不能正常或者及时的恢复。建立未知的实体之间的信任中心是最困难和昂贵的事情之一在安全领域，因为它不仅需要技术手段，也是社会，有时政治手段（协议，条约） 20 。因此，一旦建立了信任服务最好应进行无任何进程脱节，无论是托管的信任基础的活力。因此，假设现在有两个议会发布了信任（如证书或密钥） ，如 Kerberos 所做。每个 SDC 需要在自己的组密钥的分发照顾。如果一个对象要与另一个对象进行沟通，委员会通过分发会话密钥介导的信任。在图 1.a 中的对象（X，Y ）=（2,3 ） ，因此可以从对象（3，Z）或与另一个基团等（ 3,3）的对象的通信。在后者的 1 它是必需的，这两个 SDC 的具有信任关系。在图 1.ba 情况是描绘在其中信任中心（2，Z）的离去构件（2,3）和新加入成员 之后已经形成了新的组（1,3） ， （2,4）。然而，当像（4,3）信托中心崩溃，那么所有的组成员成为无用的孤儿（至少在某些关键时刻） 。互动的任何请求都将被拒绝，因为没有信任中心，以核实他们的身份，并检查权限。如图 1.C 所示：一个客户端崩溃S D C 2 崩溃图 1 传统的 SDC图 2.a 中和 2.b 中期望的情况的根据是轮回原理，其中，所述受信任的服务器继续他的另一节点上的任务所描绘。根据该原则轮回的信任权威不能永久地绑定到任何硬件架构。这种机制应随后采取巩固互信，包装的状态和启动的信任封装的照顾。这种信任包是应该包含必要的独特的秘密特征，在第 2 节解释了信任标记。在下图 2.B 信任权威（ 4,3）逃脱他的邻居（ 3,3 ）和恢复（转世）的出现，让该集团仍然不受干扰，毕竟。通过这样做，这个机制需要信任服务的可靠性和可用性的照顾。有趣的是，这种方法依然集中在安全会议期间，但在攻击它分配和福利从一个分散的方法，因为它几乎可以跳跃到任何协作同伴。S D C 2 崩溃 修复 S D C 2图 2 行凶后逃离信托中心很明显，较大的网络、更多的合作和轮回原理以及自组织的原则，可以通过不断跳槽离开轮回提供使安全服务永久具有可用性。与传统的信任观念比较这种方法避免了生存能力，成本和信任之间的权衡。现有的基础设施组件的使用更加高效，智能。高效是指投资成本和可用性时间：不投资是需要额外的设备，没有时间将他因信任中心进行恢复的致命错误而丢失。智能地指的是单个节点到其他节点的辨别特定信息，并在其（重新）动作来区分的能力。最终，这会引起所有的实体合作，以实现一个目标的机制。在这种情况下所需的网格作为一个系统的反应作为一个整体来集团的任何干扰，就像一个生物体的免疫系统细胞。这将在接下来的部分进行说明。5 网络组织正如我们已经注意到的移动软件代理是计算机学科9之间缺乏范式，我们的目标是采取这种模式，实现了以往的印象。就像在生物学研究中，首先我们将解释一个 CE 作为一个单独的单元和集团行政长官的然后在网络中的合作“组织”的工作。5.1 独特的细胞在轮回原理决定了令牌的包装和事后举办了别的地方，在那里它可以被回收（ 借尸还魂 ） 。与传统的支持信息系统的本质区别是故障或失败宽容是一种计算过程的能力，自主感知并决定迁移到另一台主机。为了达到这个乌托邦的星座，我们需要了解如何软件单元迁移工作。因此，我们探索依靠进程迁移的移动代理模式1,14 。移动代理依靠预先配置的中间件平台上采取节电状态，包装，同步启动的软件的照顾主机。有些代理平台的存在是为了缓解清除在一个用户友好的环境中，这些步骤没有注意到底层中间件的方式。这些平台的例子是航海者，Grasshopperd 或 Agentbuilder 。这样的平台应该能够清理一些机制。在FIG3听者缓冲区 终端执行派遣克隆 阻塞图 3 移动代理我们描绘了这样一个平台的基本模型。我们假定基础设施可以被播散在至少两层：软件层和硬件层和软件服务功能可以从硬件功能去耦。每个关键总工程师，负责定期克隆和调度的过程中与其相邻的 CE 。所有的 CE 都听过他们的邻居的传入请求特定的端口，接受移民和保存接收到的过程（的状态） 。随后，他们继续监听来自他们的邻居一个预定义的 SOS 信息，这被解释为触发从缓冲区激活保留客人的过程。由中断处理程序在由行政长官失败有一定错误事件产生这种 SOS 信息。除了被动地听，每个 CE 询问（坪） ，他的邻居来检查他们的生存能力 状态。根据不同的 SOS信息和生存能力状态。保留的客人进程要么终止，放弃或继续执行。同时，接受行政长官也能够迁移自己的本地和托管来宾流程，其他的邻居。因此，当这个接收 CE 也开始痛苦，它发送 SOS 信息到下一个邻居等等。状态捕获是进程迁移31 我最困难的部分。通常状态转换的问题，避免了假设的原子事务：一个事务被提交或没有。这意味着，在以前的状态的所有线程都致力于/关闭之前的过程中被迁移到一个新的状态。这里我们假设是相同的。5.2 菌落细胞：自愈环网免疫系统告诉我们，更多的个别实体的合作可以实现稳固可靠的自组织防御系统，以应对身体的随机失败。对于在前一节中规定了该凝集行为，也可以在计算机网络（“组织” ） ，当单个 CE（“细胞” ）：- 具有特定的 intemal 触发器或动机行事， - 是自私的， - 不知道其行动的后果， - 有限制其它 CE 的知识， - 感知其它 CE 无论是作为正确或损害， - 是能够找到并与其他行政长官沟通， - 能够检测并隔离故障行政长官， - 能够常见和罕见的安全漏洞进行区分，并且能够繁殖正确的行政长官。6 概念化 VTM6.1 简介在前面的章节中，我们已经描述的原则和要求，建立安全防御体系。因此根据他们在这节中，我们提出的协议设置美杜莎了能够提高安全性的生存能力。它提供了一个分布式防御系统（DDS） ，使安全系统的永久可用性，具体解决的研究课题。作为此 DDS 是基于资源共享水母声称这种 DDS 变得更加存活时的SDC 参与者的数量增加。像在免疫系统中，我们区分稀有和常见的安全。如示于图 4 三个主要协议提出在外部循环执行罕见的生存安全管理过程（SMP）：准备，死亡和复活。第四个方案，即引导侧钻，需要初始化 SMP 的，它把不相关的和不信任行政长官于起点成一个有序和半可信之一的任何（甚至是无政府主义）星座护理。该协议的安全会话管理（SSM ） ，添加为一个部分来完成 SDC 生命周期（即SMP+ SSM） ，作为共同安全服务在内的连续的过程。内 - 外区别描绘了这两种类型的处理之间的依赖关系。没有可靠的内部处理（SSM）可能不可靠的外（SMF “）过程，反之亦然。美杜莎的努力是为了保证共同安全过程（SSM ）的可用性，如派发的客户端之间的双边或多边通信的会话密钥。在连续的内部过程可能是任何密钥分配协议的结果，就像 KryptoKnight17和 Kerberos18，还包括其他安全服务发布协议是不可想像的。为简单起见，并证明了 SMP 一个密钥分发中心（KDC）的工作中，图 4 SDC 的生命周期假定从这里开始（即 SDC= KDC=值得信赖的领导者，为客户） 。在 SMP 组配置正在改变，因为客户离开和加入。这被视为是被照顾的任何先进的安全管理协议不与 SMP 协议的任何干扰常规进程。6.2 协议概述一个 SDC 开始引导（我） ，在 SMP 的 SDC 和催化的，即配置。一种半无政府主义的空间我假设用松散耦合不受信任的节点和网络。其主要目标是通过安全的自组织的混乱和无政府状态创建订单。决定是基于多数表决的共识。在这里，有兴趣的行政长官宣布他们的信任和安全的生存协作的兴趣，他们配置了美杜莎积木之后。日班从众多候选人由行政长官向中间保安服务选举或手动指出，因此也被称为领导者。领导人为一组客户端（非领导） ，这也被称为端员，因为他们是在层次结构的低端提供这些服务。更多领导者的应用程序的挥发性信托管理的原则，使生存协作被称为信任池。几个池可以由一个或多个领导人在图 5 中描绘充当桥梁领袖是相互关联的。图 5 行政长官的有组织的社区此协议包含最多时间和功率消耗的操作，特别是当它自主地完成。然而，自无政府状态层次初始协议的结果是这样形成的寡头进来一空间控制在理想情况下，我的空间包含我现在的领导人有 k 池掌握客户。在此期间，准备（2 ）开始，并以预期对可能的失败所采取的每个安全中心僖措施。 “身体”和“灵魂”的组件之间的区别是类似的解释轮回的原则。身体成分一旦被预装在几个候选成员。由于所有车身部件可在每个 SDC ，不包含私人信息，他们都出了 SMF 的范围“的。然而，灵魂成分是独一无二的，私人的每个 SDC ;他们应该安全地在其他议会保留到以后复活的时候“身体死亡” 。对于许多安全中心，信任是主要的私人“ 灵魂”组件作为其他组件要么不是秘密或可以很容易地重建。这意味着，信任的状态应该被冻结，复制并分发到其他受信任的 SDC 在一个游泳池。相反，移动代理，它是不是被迁移到另一台主机的过程，而是一个必不可少的最小静态数据包（即信任令牌） 。但是，像在移动代理模式有一定的平台与身体成分应该已经预装在配置协议（ 1 ）使到达包被解包并要继续处理。由于令牌的内容代表了权威信任的类型，它是变量的内容，使不同的信任模型应用美杜莎。协议 3 处理的 SDC（客户端即信任的领导者）的死亡。当在一个突然的时刻 SDC 是从 DOS 攻击，或任何其它可检测失败的痛苦，它会发送 S.0.S 消息。池成员（在加入池即其他日班）自己发送心跳消息来（再次）检查患领袖的状态。当苦难 SDC 确实有不好的健康状况（倒塌或坏的表现）开始最后保存状态复活。回滚机制将未完成的事务和准备的照顾。协议 4 涉及权威的复活。如果可信赖标记被分成一些块，加密用不同的密钥，并发送 unmatchingly（即密钥和令牌不匹配）的成员按计划这个协议是至少困难。令牌可以由授权的 SDC 重建，只有当他收集所有的碎片和钥匙。这种新的领导人可能已经或指出前领导人（逝世前） ，可连选连任由剩余的池成员事后 HY 民主投票。6.3 模拟试验初步测试已经由一个离散事件模拟器 NS+用 C+ T/ TCL Linux 上的方式进行幅度时间缓冲区溢出图 6 SDC 的 DDOS 的示范运行的。要查看是否增加生存能力与参与实体的规模越来越大的索赔成立，创建美杜莎的仿真模型。这种模式是暴露在一个分布式拒绝服务攻击（DDOS） 。图 6 显示（模拟）时间的安全管理流程的可用性。因为这种模式的运行是在图 6 SDC 的参与池中执行，美杜莎才得以复活安全管理过程三次。其中的原因是，大多数议会的必须保持诚实以清除嵌入投票算法。我们进行这项试验与较大的数字。看来，当我们增加参加人数 SDC 也是攻击它可以抵抗的数量增加。7 结论和展望在本文中，我们挖掘的思路和方向，以应用资源共享，以处理随机连续失败，最终，我们旨在通过分布式防御系统的手段达到永久的可用性。这个谨慎的探索是在三个案例研究进行。在第一种情况下，进程迁移，在移动软件代理模式应用，地址为具有挑战性的差距。这种差距的信任填充掺杂挥发性信托管理（VTM） 。 VTM 是规范性理论包含客体，谈判和信任权限分配的方法，使之成为独立的可移动的软件对象.随后，我们从宗教方面得出的思想，提出了轮回原理（reincamation） 。关于目标在第三种情况下建立一个防御系统人体免疫系统有规定，自组织原则的要求。最后，我们已经应用了这些原则及 VTM 来绘制的，旨在分布式防御系统应该如何工作的印象。这种印象导致了协议设置美杜莎的发展。初步测试描绘了美杜莎的索赔可他会见。在今后的工作中，我们打算分别与不同的网络拓扑结构（例如互联网，Ad-hoc 网络等）进行详细的模拟试验对美杜莎的每个子协议。参考文献1 Amy Y., Raphael Finkel, “Designing a Process Migration Facility: The Charlotte Experience”, IEEE Compufer, V01.22, Nr. 9, pp. 47-56, 1989. 2 Barbour A.E., A.S. Wojcik, “A General Constructive Approach to Fault-Tolerant Design Using Redundancy”, IEEE Transacfions an Compufers, Vol. 138, Nr. 1, pp. 15-29,1989. 3 Chang R. K. C., “Defending against Flooding-Bar;ed Distributed Denial-of-Service Attacks: A Tutorial”, IEEE comniuriicafions magazine, Val 40, Nr. 2, pp 42-5 I, 2002. 4 Dannenberg R.B., P.G. Hibbard, “A Butler Process for Resource Sharing on Spice Machines”, Transactions on Office Information Systems, Vol. 3, Nr. 3, pp. 234- 252.19X5. 5 Dasgupta P., “Trust as a commodity”, in D. Gambetta (Ed.), Trust: Making ond Breaking Cooperafive ReIafiorts. Oxford, Basil Blackwell, pp. 49-71, 1988. 6 Daskapan S., “Why is Internet security a problem: A framework for pre-analyzing security lacks”, Proc. of the 6th EUMS Workshop, Netherlands, pp.45- 70, 2001. 7 Daskapan S., Ana Cristina Costa, and Willem G. Vree, “Virtual Trust in Distributed Systems”, International Corerence 011 Trust and Privacy in Digital Business (DEX4 2004). Spain, 2004. 8 Daskapan S., W.G. Vree , A. Ali Eldin, “Tnist metrics for survivable security systems”, Proc. of the IEEE hiteniational Coifererice on SJsteiiis, Man & Cybernetics, Washington, 2003. 9 Daskapan S., A. Verbraeck and W.G. Vree, ”The merge of computing paradigms”, 5fh Iitferriafioiial CO,$ on computer arid iiformafioii technologs, pp.553-55i8, Dhaka, 2002. 10 Dawkins R., The Selfish Gene, Oxford University Press, 1989. 11 Denning D., “A New Paradigm for Trusted Systems”, Proc. of fhe New Secitrip Paradigms Workshop, US, pp.36-41,1992. 12 Dutertre B., Valentin Crettaz, Victoria Stavridou, “Intrusion-Tolerant Enclaves”, IEEE Symposium ,an Secur-iy midPrivacy, Califomia, pp. 216-226.2002. 13 Eskicioglu M.R., “Design Issues of Process Migration Facilities in Distributed Systems,” IEEE Technical Cammiffee on Operating Systems Newsleffer, Vol. 4,Nr. 2, pp. 3-13, 1989. 14 Hac A., “A Distributed Algorithm for Performance Improvement Through File Replicatio