普適計(jì)算中網(wǎng)絡(luò)可生存性及系統(tǒng)設(shè)計(jì)

摘要：主要就普適計(jì)算下無邊界網(wǎng)絡(luò)系統(tǒng)的可生存性問題進(jìn)行分析，然后介紹了可生存系統(tǒng)設(shè)計(jì)的兩種設(shè)計(jì)方法，并對兩種設(shè)計(jì)方法進(jìn)行對比分析。

關(guān)鍵詞：可生存性; 無邊界網(wǎng)絡(luò); 網(wǎng)絡(luò)安全; 可生存系統(tǒng)設(shè)計(jì)方法

中圖分類號：TP393.01文獻(xiàn)標(biāo)志碼：A

文章編號：1001－3695(2008)01－0246－03

人類社會諸多的關(guān)鍵性信息基礎(chǔ)設(shè)施越來越依靠于大規(guī)模、分布式計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，即計(jì)算方式越來越朝著普適計(jì)算的方向發(fā)展。這種發(fā)展已經(jīng)跨越了傳統(tǒng)的網(wǎng)絡(luò)邊界，演變成無邊界網(wǎng)絡(luò)系統(tǒng)。這些網(wǎng)絡(luò)系統(tǒng)的安全形勢日益嚴(yán)峻，傳統(tǒng)的基于網(wǎng)絡(luò)邊界和安全域劃分的安全觀念已經(jīng)不適應(yīng)網(wǎng)絡(luò)形勢的發(fā)展。在普適計(jì)算環(huán)境下的無邊界網(wǎng)絡(luò)系統(tǒng)中，如何提高其安全性和關(guān)鍵網(wǎng)絡(luò)服務(wù)的可持續(xù)性，給人們提出了新的要求。于是人們提出新的安全理念來確保網(wǎng)絡(luò)信息系統(tǒng)的安全性，這就是當(dāng)前網(wǎng)絡(luò)安全研究的新方向——可生存性研究。

1可生存性分析

1．1普適計(jì)算中無邊界系統(tǒng)分析

普適計(jì)算的環(huán)境跨越地理和空間區(qū)域，包含海量的設(shè)備和用戶，它的網(wǎng)絡(luò)環(huán)境發(fā)展成無邊界系統(tǒng)。無邊界系統(tǒng)是相對傳統(tǒng)的有邊界系統(tǒng)而定義的。傳統(tǒng)的有邊界系統(tǒng)是指系統(tǒng)各個部件被統(tǒng)一標(biāo)志、集中管理和控制。但是在一個無邊界系統(tǒng)中，所有節(jié)點(diǎn)均無法獲得關(guān)于這個系統(tǒng)的完整、準(zhǔn)確的信息，必須依賴和信任其鄰居節(jié)點(diǎn)提供的信息，節(jié)點(diǎn)在其本地控制域外沒有任何控制權(quán)。

一個無邊界系統(tǒng)可由若干個有邊界系統(tǒng)和無邊界系統(tǒng)互連構(gòu)成，如圖1所示。雖然各個有邊界系統(tǒng)的安全策略在它的安全管理控制域外無法得到保障，但是仍然可以作為有邊界系統(tǒng)其自身安全狀態(tài)評估的標(biāo)準(zhǔn)。有邊界系統(tǒng)可以向外宣稱其安全策略，但是其管理者無權(quán)強(qiáng)迫域外的實(shí)體也遵從其安全策略。這種情況在無邊界系統(tǒng)中更加突出，因?yàn)闊o邊界域的概念已經(jīng)跨越了有邊界系統(tǒng)的權(quán)限邊界，使得權(quán)限認(rèn)證無法實(shí)施。

一般來說，無邊界系統(tǒng)具有以下屬性：

a)存在多個管理域，但是沒有集中控制，也沒有明確的邊界；

b)沒有全局可見度(不能了解網(wǎng)絡(luò)中節(jié)點(diǎn)的數(shù)目和所有節(jié)點(diǎn)的狀態(tài)屬性)；

c)各管理域之間具有交互、協(xié)商能力；

d)具有高度分布性和協(xié)作能力；

e)攻擊者和合法用戶可能是對等實(shí)體（即沒有攻擊者和合法用戶節(jié)點(diǎn)的區(qū)分，也沒有內(nèi)外部用戶、可信與不可信的區(qū)分）；

f)不能被簡單地劃分為有限個有邊界子系統(tǒng)。

現(xiàn)實(shí)中的計(jì)算機(jī)大規(guī)模互聯(lián)網(wǎng)絡(luò)（如Internet）以及電力網(wǎng)、金融網(wǎng)、電信網(wǎng)、醫(yī)療保健系統(tǒng)、社會和生態(tài)系統(tǒng)等均屬于無邊界網(wǎng)絡(luò)的范疇。

無邊界系統(tǒng)已經(jīng)成為普適計(jì)算網(wǎng)絡(luò)系統(tǒng)向大規(guī)模、高分布式方向發(fā)展的必然結(jié)果，在未來社會中將會扮演更加重要的角色。與此同時，對無邊界系統(tǒng)的安全性問題的研究也越來越得到重視。

1．2可生存性的定義和特征

普適計(jì)算指無論何時何地，只要需要就可以通過某種設(shè)備訪問到所需的信息。它強(qiáng)調(diào)計(jì)算是可以無所不在、隨時隨地進(jìn)行的。普及計(jì)算環(huán)境由于設(shè)備、服務(wù)可用性的頻繁變化而且是在無邊界系統(tǒng)的環(huán)境下，表現(xiàn)出動態(tài)特征。在這樣的環(huán)境下，安全狀態(tài)是極不穩(wěn)定的。在如此不穩(wěn)定的動態(tài)環(huán)境下，如何保證任務(wù)的執(zhí)行？于是人們提出網(wǎng)絡(luò)系統(tǒng)的可生存性。

可生存性是指在遭受攻擊、故障或意外事故時，系統(tǒng)能夠及時地完成其關(guān)鍵任務(wù)的能力。任務(wù)是一個抽象的概念，是指網(wǎng)絡(luò)系統(tǒng)的高層目標(biāo)、需求或它所提供的服務(wù)。生存能力的中心思想是即使在遭受到成功入侵、系統(tǒng)的關(guān)鍵部分遭到損害甚至摧毀時，系統(tǒng)依然能夠完成其關(guān)鍵任務(wù)，并能及時恢復(fù)被損壞的服務(wù)。可生存性強(qiáng)調(diào)可生存的是任務(wù)、服務(wù)，而不是系統(tǒng)中某些具體的所謂關(guān)鍵部分。

可生存系統(tǒng)的核心就是維持關(guān)鍵服務(wù)，也就是維持系統(tǒng)中支持關(guān)鍵服務(wù)的關(guān)鍵屬性，如性能、完整性、機(jī)密性、安全性和其他屬性等。維持關(guān)鍵服務(wù)不能以系統(tǒng)中特定信息源、節(jié)點(diǎn)計(jì)算能力或通信鏈路的可生存為前提。也就是說，即使系統(tǒng)中某一關(guān)鍵部分遭到破壞，依然能夠維持關(guān)鍵服務(wù)，甚至在該服務(wù)遭到毀滅性打擊而根本無法繼續(xù)提供時，系統(tǒng)中還必須有其他服務(wù)能夠按照不同但同樣有效的方式來替代該服務(wù)。

關(guān)鍵服務(wù)本質(zhì)上是一種比較特殊的系統(tǒng)功能。為了維持關(guān)鍵服務(wù)，可生存性系統(tǒng)必須擁有四個關(guān)鍵屬性（R3A），即抵抗攻擊、識別攻擊、恢復(fù)服務(wù)和自適應(yīng)及演化。這些關(guān)鍵屬性是通過制定相應(yīng)的策略得以體現(xiàn)和保障的。

1．3可生存性與傳統(tǒng)安全概念的區(qū)別

從上面的分析可以看到，可生存性的提出突破了傳統(tǒng)狹隘的安全觀念。可生存性明確地提出以關(guān)鍵服務(wù)為核心保護(hù)對象，即使攻擊已經(jīng)對網(wǎng)絡(luò)系統(tǒng)造成了一定程度的損害，仍然要保證網(wǎng)絡(luò)系統(tǒng)關(guān)鍵服務(wù)的持續(xù)。

以下是可生存性與傳統(tǒng)安全概念的對比。

a)傳統(tǒng)安全概念：其核心是在集中管理的基礎(chǔ)上制定和執(zhí)行安全策略。 建立安全域，具有明確的邊界劃分，信任安全域內(nèi)的成員，通過加強(qiáng)保衛(wèi)安全域邊界來建立安全網(wǎng)絡(luò)系統(tǒng)。

b)可生存性：沒有集中管理，缺乏全局可見度，也無法制定和執(zhí)行統(tǒng)一的安全策略。可生存性建立在這樣的假定基礎(chǔ)上，就是網(wǎng)絡(luò)中任何一個節(jié)點(diǎn)均可能會因?yàn)槭芄簟⒐收匣蛞馔馐鹿实榷А?shí)際上，這也是網(wǎng)絡(luò)系統(tǒng)的真實(shí)現(xiàn)狀。可生存性主要研究無邊界系統(tǒng)的本質(zhì)屬性，是對傳統(tǒng)安全概念的突破。可生存性不能被看做是系統(tǒng)的一個補(bǔ)充屬性，它必須作為系統(tǒng)的一個基本需求和目標(biāo)，滲透到系統(tǒng)開發(fā)周期過程中的每一個環(huán)節(jié)。

2可生存系統(tǒng)的設(shè)計(jì)方法

2．1可生存系統(tǒng)的全新設(shè)計(jì)

系統(tǒng)要重新設(shè)計(jì)就要有需求。與普通系統(tǒng)不同的是，可生存系統(tǒng)在開發(fā)的早期除了有系統(tǒng)功能需求外還加入了系統(tǒng)可生存性需求。可生存系統(tǒng)需求因系統(tǒng)使用范圍、重要程度、服務(wù)停止或中斷造成的后果的嚴(yán)重程度而不同。在很多文獻(xiàn)中均提到了系統(tǒng)可生存性需求的重要性，并介紹了通過可生存性需求設(shè)計(jì)可生存系統(tǒng)的辦法。

系統(tǒng)的可生存性需求包括五種類型的需求定義，即系統(tǒng)/生存性需求、使用/入侵需求、開發(fā)需求、生存性操作需求和系統(tǒng)演化需求。圖2給出了這五種需求的循環(huán)定義的模式。

系統(tǒng)/生存性需求：系統(tǒng)需求要指系統(tǒng)必須提供的基本用戶功能。例如一個網(wǎng)絡(luò)管理系統(tǒng)必須提供允許用戶監(jiān)測網(wǎng)絡(luò)操作、調(diào)節(jié)性能參數(shù)等功能。系統(tǒng)需求也包括系統(tǒng)非功能性方面，如定時、性能和可靠性。生存性需求指系統(tǒng)在遇到入侵或損壞的情況下完成基本任務(wù)的能力以及恢復(fù)整個服務(wù)的能力。

使用/入侵需求：可生存性的測試必須證明基本服務(wù)和非基本服務(wù)在正常模式和入侵模式下都能很好地工作。一個生存系統(tǒng)測試的有效方法是使用基于模式的使用方法。使用模式是由使用需求發(fā)展而來的。使用模式指定使用的環(huán)境和系統(tǒng)使用的方法。基本和非基本服務(wù)的使用需求必須與系統(tǒng)和生存性需求同時定義。此外，入侵者和合法用戶須一視同仁。指定入侵使用環(huán)境和入侵使用方法的入侵需求也必須定義。在該方法中，對系統(tǒng)服務(wù)的入侵使用和合法使用都是這種模式。

開發(fā)需求：在系統(tǒng)開發(fā)和測試過程中生存性對需求有嚴(yán)格的要求。不適當(dāng)?shù)墓δ芎蛙浖e誤均對系統(tǒng)生存性造成破壞性的影響并為入侵者提供機(jī)會。

操作需求：可生存性將請求放在系統(tǒng)操作和管理的需求上。這些需求包括定義和連接生存性機(jī)制、監(jiān)視系統(tǒng)使用、報(bào)告入侵以及根據(jù)需要改善系統(tǒng)功能，以便在使用環(huán)境和入侵模式變化時能確保生存性。

演化需求：系統(tǒng)根據(jù)用戶對新功能的需求來演化。但是，這種演化也需要對入侵者有關(guān)系統(tǒng)行為和結(jié)構(gòu)的知識作出反應(yīng)。特別是生存性要求系統(tǒng)能力的演化速度快于入侵者的知識。這種快速的演化可以阻止入侵者為其成功入侵積累足夠多的知識。

文獻(xiàn)[8]介紹了可生存性系統(tǒng)設(shè)計(jì)的螺旋模型。該模型基于傳統(tǒng)的軟件工程中的瀑布模型和螺旋模型，并加入了可信系統(tǒng)的一些概念。

圖3中描述了螺旋模型設(shè)計(jì)中的一個周期。

在系統(tǒng)開發(fā)周期的早期階段，利用系統(tǒng)的功能需求、可生存性需求以及系統(tǒng)運(yùn)行環(huán)境約束建立具有可生存性的系統(tǒng)模型，根據(jù)系統(tǒng)模型進(jìn)行系統(tǒng)的設(shè)計(jì)開發(fā)，如圖4所示。

可生存性系統(tǒng)的重新設(shè)計(jì)注重于體系結(jié)構(gòu)設(shè)計(jì)，將風(fēng)險管理引入到設(shè)計(jì)過程中，針對系統(tǒng)運(yùn)行環(huán)境中的入侵使用，制定出能夠?qū)崿F(xiàn)可生存系統(tǒng)關(guān)鍵屬性的策略，并反過來指導(dǎo)和改進(jìn)系統(tǒng)的體系結(jié)構(gòu)設(shè)計(jì)。在系統(tǒng)可生存性模型的構(gòu)造過程中包括系統(tǒng)定義、關(guān)鍵能力定義、受威脅能力定義和可生存性分析四個步驟。

在模型的構(gòu)造過程中階段成果主要有：a）關(guān)鍵服務(wù)、關(guān)鍵資產(chǎn)和關(guān)鍵體系結(jié)構(gòu)構(gòu)件；b）典型入侵及對應(yīng)的易受威脅構(gòu)件；c)體系結(jié)構(gòu)脆弱點(diǎn)；d）為實(shí)現(xiàn)抵抗、識別和恢復(fù)（resistance、recognition、recovery，R3）而制定的消減策略；e）系統(tǒng)可生存性映射表。這些階段性成果通過報(bào)告的形式提供給管理組，為進(jìn)行風(fēng)險分析、代價收益折中和系統(tǒng)改進(jìn)提供重要參考。

2．2基于入侵容忍技術(shù)的二次開發(fā)

可生存系統(tǒng)的全新設(shè)計(jì)中將生存性需求貫穿到系統(tǒng)設(shè)計(jì)和開發(fā)的各個階段，推翻現(xiàn)有的系統(tǒng)模型，重新開發(fā)出能夠在遭遇網(wǎng)絡(luò)攻擊、故障或意外事故等的時候生存下來的網(wǎng)絡(luò)信息系統(tǒng)，但問題是開發(fā)設(shè)計(jì)的成本非常高，并且目前相關(guān)研究還不成熟，仍處于理論研究的階段。

于是人們想到了另外一種設(shè)計(jì)辦法，在原有系統(tǒng)的基礎(chǔ)上進(jìn)行系統(tǒng)的可生存性增強(qiáng)設(shè)計(jì)，使系統(tǒng)在遭受到網(wǎng)絡(luò)攻擊、故障或意外事故時能夠生存下來，同時還可以最大限度地降低可生存系統(tǒng)的設(shè)計(jì)開發(fā)成本，這就是基于入侵容忍技術(shù)的二次開發(fā)方法。

這種設(shè)計(jì)模式并沒有重新設(shè)計(jì)現(xiàn)有系統(tǒng)，這也是針對第一種設(shè)計(jì)模式從代價上來說相對比較昂貴，并且技術(shù)還不成熟，從而衍生出的一種設(shè)計(jì)和開發(fā)思路。到目前為止，這種設(shè)計(jì)模式主要就是在現(xiàn)有系統(tǒng)中基于入侵檢測技術(shù)，加入自動入侵響應(yīng)的有關(guān)內(nèi)容。比如賓州大學(xué)（Pennsylvania State University）劉鵬博士所設(shè)計(jì)實(shí)現(xiàn)的入侵容忍數(shù)據(jù)庫系統(tǒng)（intrusion tolerant database system，ITDB）就是一個可生存數(shù)據(jù)庫系統(tǒng)。

信息處理國際組織（International Federation for Information Processing，IFIP）WG10.4工作組在2002年關(guān)于入侵容忍系統(tǒng)研究發(fā)展方向的研討會上總共提出了六個方案:

a）自適應(yīng)入侵容忍服務(wù)器體系結(jié)構(gòu)；

b）Willow系統(tǒng)結(jié)構(gòu)；

c）隨機(jī)自適應(yīng)入侵容忍系統(tǒng)；

d）QoS入侵容忍分級自適應(yīng)控制系統(tǒng)；

e）入侵容忍數(shù)據(jù)庫系統(tǒng)；

f）實(shí)現(xiàn)容侵和容錯服務(wù)冗余的中間件體系機(jī)構(gòu)。

目前，這些方案均取得了不同程度的進(jìn)展。限于篇幅，本文不再詳細(xì)介紹。

2．3兩種設(shè)計(jì)方法的比較

全新設(shè)計(jì)主要就是將可生存性需求作為系統(tǒng)設(shè)計(jì)的必要先決條件，將該需求明確地貫穿到系統(tǒng)設(shè)計(jì)開發(fā)的整個生命周期中。總結(jié)常見入侵的使用情景，制定出滿足系統(tǒng)可存性關(guān)鍵屬性R3的應(yīng)對策略，并且該過程可以迭代循環(huán)，然后就能夠不斷地調(diào)整和改進(jìn)系統(tǒng)及其構(gòu)件應(yīng)對入侵的能力。這種基于入侵使用情景的系統(tǒng)設(shè)計(jì)模式是對系統(tǒng)模型的重新開發(fā)。

基于入侵容忍技術(shù)的二次開發(fā)并沒有重新設(shè)計(jì)現(xiàn)有系統(tǒng)，這也是針對第一種設(shè)計(jì)模式代價比較昂貴，技術(shù)并不成熟，從而衍生出的一種設(shè)計(jì)思路。目前，這種設(shè)計(jì)模式主要是基于現(xiàn)有入侵檢測技術(shù)，加入自動入侵響應(yīng)的有關(guān)內(nèi)容。還有一部分系統(tǒng)采用了冗災(zāi)、容侵、可靠性設(shè)計(jì)等技術(shù)來加強(qiáng)系統(tǒng)的可生存性。這兩種實(shí)現(xiàn)方法的簡單對比如表1所示。

3結(jié)束語

目前，網(wǎng)絡(luò)信息系統(tǒng)正朝著普適計(jì)算環(huán)境下的大規(guī)模、高度分布式的方向發(fā)展，它已經(jīng)跨越了傳統(tǒng)的有限系統(tǒng)的邊界。在無邊界網(wǎng)絡(luò)系統(tǒng)中，傳統(tǒng)的安全技術(shù)和觀念越來越難以適應(yīng)。網(wǎng)絡(luò)的可生存性是網(wǎng)絡(luò)安全研究的新方向，它是對傳統(tǒng)安全觀念的一個突破和創(chuàng)新。可生存性關(guān)系到國家網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施保護(hù)戰(zhàn)略的實(shí)施，國內(nèi)外都積極投入到相關(guān)領(lǐng)域的研究中。本文介紹了作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)發(fā)展方向的普適計(jì)算下無邊界系統(tǒng)，并且探討了無邊界系統(tǒng)與傳統(tǒng)網(wǎng)絡(luò)在安全研究上的差異，介紹了網(wǎng)絡(luò)可生存性定義，最后討論了可生存系統(tǒng)的兩種設(shè)計(jì)方法——可生存性系統(tǒng)的全新設(shè)計(jì)方法和基于入侵容忍技術(shù)的二次開發(fā)設(shè)計(jì)方法，并簡單比較了兩種設(shè)計(jì)方法。

參考文獻(xiàn)：

［1］ELLISON R J， FISHER D A， LINGER R C. An approach to survivable systems[C]//Proc of the 21st Century NATO IST Symposium on Protecting Information Systems. Washington D C: [s.n.]，1999:1445 1530.

［2］ELLISON R J， FISHER D A， LINGER R C，et al. Survivable network systems: an emerging discipline[M].Pittsburgh: Software Engineering Institute，Carnegie Mellon University，1997:5－28.

［3］LINGER R C， MEAD N R， LIPSON H F. Requirements definition for survivable network system[EB/OL].（1998－03－09）.http://www.cmu.edu.

［4］ELLISON R J， FISHER D A， LINGER R C， et al. Survivable network analysis method[EB/OL].（1998－12－22）. http://www.cert.org/archive/pdf/00tr013.pdf.

［5］LIU Peng. Architecture for intrusion tolerant database systems[C]//Proc of Foundation of Intrusion Tolerant Systems(OASIS’03). 2003:1320 1345.

［6］LIU Peng.Research directions in survivable systems and networks[EB/OL].（2003）. http://www.is.ac.cn/pliu talk beijing－2.ppt.

［7］LANDWEHR C.Research direction in intrusion tolerant systems[C]//Proc of the 42nd IFIP WG Meeting. 2002.

［8］LINGER R C， LIPSON H F， MCHUGH J，et al.Life cycle models for survivable systems，Sledge Technical Report CMU/SET－2002 TR－026 ESC TR－2002－026[R].Pittsburgh:[s.n.]，2002.

“本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文”