（计算机应用技术专业论文）容忍入侵的理论与方法及其应用研究.pdf

内容提要在信息安全研究领域，尽管人们已经开发了许多安全技术来防止攻击者对系统的破坏，但由于网络的开放性以及攻击技术的快速传播性，使得想开发出绝对安全的信息系统是不可能的。随之网运而生的就是一种新的信息安全防护手段一容忍入侵。容忍入侵是一种融合了密码技术和容错技术的全新网络安全技术。传统的安全技术更多强调的是如何保护系统以便之免受入侵；而容忍入侵更强调了系统的某些部分即使已经受到攻击者破坏或被攻击者成功控制时，系统如何继续对外提供服务，并保证数据的秘密性和完整性。显然这种新型信息安全技术更符合当前信息可生存性的需求，是一种很有前途的安全防护手段。本文深入研究了容忍入侵及其一项关键支撑技术一一秘密共享的儿个理论与方法问题，包括面向服务的容忍入侵系统模型、自遁麻安全的容忍入侵安全通信方法、基丁| 通用攻击结构的秘密共享方案和异步环境中实用的先应式秘密共享方法等，同时应用容忍入侵原理研究设计了几个舆型的容忍入侵应用系统，包括容忍入侵的可信第三方系统和容忍入侵的分布式数据存储系统等。具体地讲本文成果包括以下儿个方面：1 、提出了一种面向服务的容忍入侵方法，给出了其系统模型和系统架构，并讨论了其中所涉及的一些重要的基本功能模块；在该模型基础上，设计了一个以容忍入侵为中心，结合防火墙与访问控制系统、分布式入侵检测系统等技术的，具有反馈交互的三层细粒度的动态纵深防御安全体系结构；2 、借助集合论的相关概念研究设计了一种基于通用攻击结构的秘密共享方案，证明了该方案满足秘密共享所要求的秘密重构及完善保密两个基本特性，同时在参与方集上定义了一种关于攻击结构的等价关系，并给出了基丁该等价关系的方案化简方法。最后，利用该通用方案的设计思想，对现有的一种基于图的攻击结构的秘密共事方案进行了适当改进；3 、针对不具同步时钟模型且主机问不存在可靠通信通道的现实分稚式容忍入侵系统虑用场合，通过引入可由协议事件和系统中各主机本地时钟双重驱动的时间片的概念，定义了异步模型中先应式秘密共享的运行状态及其转换过程，给出了异步环境中一种实用有效的先廊式秘密共享方法；同时基于消息的冗余传输机制和认证应答机制，设计了一个消息可靠传输协议，用于在主动链路攻击存在的情况下保证协议参与方之间消息的正确传输；4 、结合可验证秘密共享技术和知识证明技术，设计了一个计算安全且具有容忍入侵功能的可信第三方系统方案。分析表明，该方案具有正确性和保密性，以及抗伪造或假冒等特性；通过实验的方法，我们对系统中各种参数对系统性能的影响迸行了测试评估。实验表明，我们的方案效率较高，有着较强的实用性。此外，本章还使用面向对象的形式化规格说明语言o b j e c tz 对所设计的容忍入侵可信第三方系统进行了形式化描述和规格说明，首次提出了对容忍入侵系统进行形式化描述与规格说明的思想；5 、提出了分布式系统中一种基于t o r n a d o 码的客户一服务器工作模式的容忍入侵数据存储方案，该方案通过构造编码后数据分块的h a s h 值级连( 也称作数字指纹) ，可实现b v z 柚t i n e 环境对所存储数据的完整性保护；采用对称加密技术和分布式门限加密技术相结合的分布式存储系统保密方案，可在不对系统带来额外密钥管理负担的情况下实现对所存储数据的机密性保护；基于容忍入侵可信第三方模型的读写句柄授权与认证机制，可在某些服务器被b y z a n t i n e 攻击者成功控制时，保证客户接收到正确的旬柄，并可防止非授权客户伪造句柄；6 、提出了一种多重驱动的自适应网络安全通信模型，从实例的角度对面向服务容忍入侵模型中的重配置功能及其设计进行了讨论。该模型基于安全策略的冗余和多样性技术，能够根据系统当前安全态势情况及系统资源状态和系统配置变化、用户使用偏好等因素，动态自适应地调整每个会话的安全策略，以便在攻击和系统配置变化的情况下动态调整系统状态，达到系统性能和系统安全防护强度，容忍入侵能力等方面的最佳折衷。还讨论了模型中所涉及的一些关键性技术，设计了一种基于d s 证据推理方法的系统安全态势评估模型，和一种基于层次分析方法的安全策略决策模型。关键词：容忍入侵面向服务通用攻击结构异步先应式秘密共享可信第三方分布式存储自适应安全a b s t r a c ti n t r u s i o n - - t o l e r a n c ei st h et e c h n i q u eo fu s i n gf a u l t - t o l e r a n c et oa c h i e v es e c u r i t yp r o p e r t i e s i ti sa ne m e r g i n ga p p r o a c ht ob u i l ds u r v i v a b l es y s t e m si nr e c o g n i z i n gt h a tn os y s t e mw i l lb ea b s o l u t e l ye x e m p tf r o mi n t r u s i o n s ，a n di sc o n s i d e r e da st h eu l t i m a t ed e f e n s eo ft h ei n f o r m a t i o ns y s t e m s i n s t e a do ff o c u s i n go ni n t r u s i o np r e v e n t i o n ，i ta s s u m e st h a ts y s t e mv u l n e r a b i l i t i e sc a n n o tb et o t a l l ye l i m i n a t e d ，a n dt h a te x t e r n a la t t a c k e r so rm a l i c i o u si n s i d e r sw i l li d e n t i f ya n de x p l o i tt h e s ev u l n e r a b i l i t i e sa n dg a i ni l l i c i ta c c e s st ot h es y s t e m i t sa i mi st od e s i g ns y s t e m sw i t ht h ec a p a c i t yt of u l f i l li t sp r i m a r ym i s s i o n si nt h ep r e s e n c eo fi n t r u s i o no rp a r t i a lc o m p r o m i s i n g t h et o l e r a n c ep a r a d i g mi ns e c u r i t yh a sd e s e r v e dg r e a ta t t e n t i o nr e c e n t l y t h i st h e s i si sc o n c e m e dw i t ht h er e s e a r c ho nt h et h e o r ya n dm e t h o d so fh m u s i o n t o l e r a n c ea n di t sa p p l i c a t i o n s s o m er e l e v a n tm o d e l sa n ds y s t e m sd e s i g na r ep r e s e n t e di nt h i st h e s i s ，i n c l u d i n gas e r v i c e s - o r i e n t e di n t r u s i o n - t o l e r a n tm o d e l ，ac o m p u t a t i o n a l l ys e c u r ea n di n t r u s i o n t o l e r a n tt r u s t e d - t h i r d p a r t ys y s t e md e s i g n ，ap r o t o c o l ss u i t ef o rd i s t r i b u t e dd a t as t o r a g eb a s e do nt o r n a d oc o d e st o l e r a t i n gb y z a n t i n es e r v e r s ，a n dan o v e la p p r o a c ht oa d a p t i v es e c u r ec o m m u n i c a t i o no nd i s t r i b u t e de n v i r o n m e n t b e s i d e s ，w ef o c u s e do nt h ed e s i g no fp r a c t i c a ls e c r e ts h a r i n gs c h e m e ，o n eo ft h em o s ti m p o r t a n tb u i l d i n gb l o c k si nt h ea r c h i t e c t u r eo far a n g eo fd i f f e r e n ti n t r u s i o nt o l e r a n ts y s t e m t h i st h e s i sm a k e ss e v e r a lc o n t r i b u t i o n s ，i n c l u d i n g ：1 f o c u s i n go nt h ee f f e c t so fi n t r u s i o n ，w h i c hc a nb er e p r e s e n t e da st h ef a i l so fc o m p o n e n t sa n df u n c t i o no ft h es y s t e m s ，as e r v i c e so r i e n t e di n t r u s i o n t o l e r a n tm o d e li sp r e s e n t e d ，i t sf r a m e w o r ka n dm a i nb u i l d i n gb l o c k sa r cd i s c u s s e d ，s o m ef u n d a m e n t a lc o n c e p t sa n dp r i n c i p l e so ft h i sm o d e la r ei n t r o d u c e da n ds u m m a r i z e d f u r t h e r m o r e ，af i n e g r a i n e dd y n a m i c a li n f o r m a t i o ns e c u r i t ya r c h i t e c t u r et h r o u g hd e f e n s ei nd e p t hw i t ht h r e et i e ri sp r o p o s e d 2 w ep r o p o s ea ne f f i c i e n ts e c r e ts h a r i n gs c h e m er e a l i z i n gg e n e r a l i z e da d v e r s a r ys t r u c t u r e ，a n dp r o v et h a tt h es c h e m es a t i s f yb o t hp r o p e r t i e so ft h es e c r e ts h a r i n gs c h e m e ，i e t h er e c o n s t r u c t i o np r o p e r t ya n dt h ep e r f e c tp r o p e r t y t h em a i nf e a t u r e so ft h i ss c h e m ea r et h a ti tp e r f o r m sm o d u l a ra d d i t i o n sa n ds u b t r a c t i o n so n l y ，a n dt h a te a c hs h a r ea p p e a r si nm u l d p l es h a r es e t sa n di st h u sr e p l i c a t e d t h ef o r m e ri sa na d v a n t a g ei nt e r m so fc o m p u t a t i o n a lc o m p l e x i t y , a n dt h el a t t e ri sa na d v a n t a g ew h e nr e c o v e r yo fs o m ec o r r u p t e dp a r t i c i p a n t si sn e c e s s a r y s oo u rs c h e m ec a na c h i e v el o w e rc o m p u t a t i o nc o s ta n dh i g h e ra v a i l a b i l i t y s o m er e d u c t i o no nt h es c h e m ea l s oi sd o n ei nf i n a l l y , b a s e do na ne q u i v a l e n c er e l a t i o nd e f i n e do v e ra d v e r s a r ys t r u c t u r e a n a l y s i ss h o w st h a tr e d u c e ds c h e m es t i l lp r e s e r v e st h ep r o p e r t i e so fo r i g i n a lo n e a l s o ，a c c o r d i n gt ot h ed e s i g nm e t h o d o l o g yo fa b o v es c h e m e ，a ni m p r o v e m e n to ns o m ee x i s t i n gs e c r e ts h a r i n gs c h e m er e a l i z i n gg r a p h b a s e dp r o h i b i t e ds t r u c t u r ei sd o n e 3 am e t h o dt or e a l i z ep r a c t i c a lp r o a c t i v es e c r e ts h a r i n gi na s y n c h r o n o u sn e t w o r k sw i t hu n r e l i a b l el i n k si sp r o p o s e d t h ea s y n c h r o n o u sp s si so b t a i n e db yi n t r o d u c i n gac o n c e p to ft i m ep h a s e ，w h i c hi sd e f i n e dn o to n l yi nt e r mo fp r o t o c o le v e n t s ，b u ta l s oi nt i m i n g so fa l lp a r t i c i p a n t s b a s e do nt h i sc o n c e p t ，t h es t a t e sa n dt h e i rt r a n s i t i o n so fa s y n c h r o n o u sp s si sc h a r a c t e r i z e d a n d ，t h er e l i a b l ec o m m u n i c a t i o n sb e t w e e np a r t i c i p a n t si sy i e l d sb yt h ed e v e l o p m e n to far e l i a b l em e s s a g et r a n s m i tp r o t o c o l ，w h i c hi sd e s i g n e db yu s i n gt h em e c h a n i s m so fm e s s a g e sr e d u n d a n tt r a n s m i s s i o na n da u t h e n t i c a t e da c k n o w l e d g e t h er e s u l t ss h o wt h a to n rs c h e m e sa r ec o r r e c ta n dp e r f e c tw h i l ed on o tl o s so fc o m m u n i c a t i n ga n dc o m p u t i n gp e r f o r m a n c e s 4a no r i g i n a la p p r o a c ht oe s t a b l i s hac o m p u t a t i o n a l l ys e c u r ea n di n t r u s i o n t o l e r a n tt r u s t e d t h i r d p a r t ys y s t e mi sp r e s e n t e d ，w h i c hi sb u i l to nk n o w nv e r i f i a b l es e c r e ts h a r i n gs c h e m e sk n o w l e d g ep r o o ft e c h n i q u e s a n a l y s i ss h o w st h a tu n d e rt h ea s s u m p t i o no fad i f f i e h e l l m a nd e c i s i o n a lp r o b l e m ，a l la d v e r s a r yg e t sz e r ok n o w l e d g ea b o u tt h e s e c r e to ft h es y s t e m , a n di nt h er a n d o mo r a c l em o d e l ，a na c t i v ea d v e r s a r yc a n n o ti m p e r s o n a t es u c c e s s f u l l y b yc o n d u c t i n gan u m b e ro fe x p e r i m e n t si nt h ef a u l t f r e ec a s ea n dv a r i o u sf a u l ts c e n a r i o s ，w es h o wt h a ti th a sa na c c e p t a b l ep e r f o r m a n c eo fp r a c t i c a b i l i t y f i n a l l y ，w i t ht h eu s eo fo b j e c tz ，af o r m a ll a n g u a g ef o rs y s t e ms p e c i f i c a t i o ni na i lo b j e c t 。o r i e n t e ds t y l e w et a k et h i si n t r u s i o n t o l e r a n tt r u s t e d t h i r d - p a r t ys y s t e ma sa ne x a m p l et od e s c r i b et h ec o m p o n e n t sn e e d e dt of o r m a l i z eo fa ni n t r u s i o n t o l e r a n ts y s t e mi nt h eo b j e c tzf o r m a l i s m ，a n di l l u s t r a t e sh o wt h e s ec o n l p o n e n t sc a nb ec o m b i n e dv i ai n h e r i t a n c et op r o d u c ec o m p l e t em o d e lo fi n t r u s i o n t o l e r a n ts y s t e m 5 ap r o t o c o l ss u i t ef o rd i s t r i b u t e dd a t as t o r a g eb a s e do nt o r n a d oc o d e st o l e r a t i n gb y z a n t i n es e r v e r si sp r o p o s e d ，w h i c hi sr u n n i n go nt h ec l i e n t s e r v e rm o d e ，a n dg u a r a n t e et h a tt h ep r o c e s so fs t o r i n gt h ei n f o r m a t i o ni sc o r r e c te v e nw h e ns o m eo ft h es e r v e r sf a i l w ea l s oc o n s i d e rs o m ea d d i t i o n a ls e c u r i t yr e q u i r e m e n to ft h es y s t e m ，s u c ha si n t e g r i t y ，p r i v a c y , a n da u t h e n t i c a t i o n ，a m o n gt h e m ，i n t e g r i t yi sa c h i e v e db yu s i n gt h ec r y p t o g r a p h i ct o o lc a l l e d d i s t r i b u t e df i n g e r p r i n t ，w h i c hi st h ec o n c a t e n a t i o no ft h eh a s hv a l u e so fa l lt h ed a t af r a g m e n t se n c o d e db yt h et o r n a d oc o d e s ；p r i v a c yo ft h ed a t ai sg u a r a n t e e db yc o m b i n a t i o nu s eo ft h es y m m e t r i cc r y p t o s y s t e ma n dt h r e s h o l dc r y p t o s y s t e m ；a u t h e n t i c a t i o ni so b t a i n e db yu s i n gt h ei n t r u s i o n t o l e r a n tt r u s t e d t h i r d - p a r t ym o d e lt oa u t h o r i z et h ew r i t e r e a dh a n d l e st ot h eu s e rw h e nh e s h er e q u e s ta nl e g a la c c e s st ot h es y s t e m 6 an o v e la p p r o a c ht oa d a p t i v es e c u r ec o m m u n i c a t i o no nd i s t r i b u t e de n v i r o n m e n ti sp r o p o s e d ，i nw h i c ht h ea d a p t i v ei sd r i v e nb ym u l t i s o u r c e s ，i n c l u d i n gt h r e a t ，p e r f o r m a n c e ，e t c b yu s i n go fr e d u n d a n c ya n da d a p t a t i o n ，t h es e c u r ec o m m u n i c a t i o ns y s t e mc a nd y n a m i c a l l yr e c o n f i g u r ei t ss e c u r i t yp o l i c yo np e rs e s s i o nb a s i s ，b a s e do nt h ea w a r e n e s so fs y s t e m sc u r r e n ts e c u r i t ys i t u a t i o n ，r e s o u r c e sa v a i l a b l e ，c o n f i g u r a t i o n ，a n dt h eu s e r sp r e f e r e n c e ，t h e r e b ya c h i e v eab e t t e rt r a d e o f fi ns y s t e m ss e c u r i t ya n dp e r f o r m a n c e a l s o ，t h ed e t a i l so fb u i l d i n gb l o c k so fa d a p t i v es e c u r ec o m m u n i c a t i o ns y s t e ma r ed i s c u s s e d ，w i t ht h ee m p h a s i so nt h ed e s i g no ft h es y s t e m ss e c u r i t ys i t u a t i o na s s e s s m e n tf r a m e w o r kb yu s i n gd e m p s t e r - s h a f e r s ( d - s ) e v i d e n t i a lr e a s o n i n gt h e o r y ，a n das e c u r i t yp o l i c ym e c h a n i s md e c i s i o nm a k i n gm o d e lb a s e do nt h ea n a l y t i ch i e r a r c h yp r o c e s s k e yw o r d s ：i n t r u s i o n t o l e r a n c es e r v i c e s - o r i e n t e dg e n e r a l i z e da d v e r s a r ys t r u c t u r ea s y n c h r o n o u sp r o a c t i v es e c r e ts h a r i n gt r u s t e dt h i r dp a r t yi n t r u s i o n t o l e r a n td a t as t o r a g ea d a p t i v es e c u r i t y第章绪论第一章绪论容忍入侵是一种融合了密码技术和容错技术的全新网络安全技术，它强调了系统的某些部分即使已经受到攻击者破坏或被攻击者成功控制时，系统如何继续对外提供服务，并保证系统中关键数据的秘密性和完整性。显然，这种新型安全技术更符合当前信息可生存性的需求，是一种很有前途的安全防护手段。本章从分析现有网络安全防护技术的不足入手，讨论了容忍入侵技术的豳然性；然后对容忍入侵及其一项关键支撑技术一一秘密共享的概念、现状和所存在问题进行了介绍；最后给出了本文的主要工作和章节安排。1 1 容忍入侵技术的引入大体上讲，网络安全技术经历了三个发展阶段：以“保护”为目的的第一代网络安全技术；以“保障”为目的的第二代网络安全技术；以“生存”为目的的第三代网络安全技术。第一代网络安全技术通过划分明确的网络边界，利用各种保护和隔离的技术手段，如用户鉴别和认证、存取控制、权限管理以及信息加解密等技术，试图在网络边界上阻止非法入侵，达到信息安全的目的。第一代网络安全技术解决了很多安全问题，但并不是在所有情况下都有效：由于无法清晰地划分和控制网络边界，第一代网络安全技术对一些攻击行为如计算机病毒、用户身份冒用、系统漏洞攻击等就显得无能为力；传统的安全机制，如认证协议、数字签名和加密解密等技术虽然在实现安全方面发挥了重要的作用，但是这些安全机制在实现网络系统的安全保护方面还是不够的，特别是对于诸虫【i d o s ( d e n i a l o f - s e r v i c e ) 之类的攻击行为并不能发挥有效作用。在第一代安全技术中，通常假设系统中的一个或多个部件是安全的，即从未被攻击者所控制。显然，在安全关键的敏感应用环境中，这种做法很不切合实际。无论保护措施有多严密，但由于针对安全关键信息系统的攻击手段和技术的不断发展，保护安全关键系统上的关键部件完全不受干扰、破坏、或者入侵，几乎是不可能的。第二代网络安全技术以检测技术为核心，以恢复技术为后盾，融合了保护、检测、响应、恢复四大技术。众所周知，攻击+ 脆弱性= 入侵。第二代安全技术也正是从防止脆弱性和抗攻击两个方面展开的。防止脆弱性的方法主要是在系统配置或使用之前进行严格测试，试图指出并修正系统部件中存在的脆弱点；或者根据系统配置之后所发现的针对系统的成功入侵，对系统加补丁。尽管这种方法在处理许多攻击时都很有效，然而现实经验表明，大多数应用系统中仍然存在着相当西安电子科技大学博士论文：容忍入侵的理论与方法及应用研究数量的脆弱点，特别是对于网络化的分布式系统，由于其部件间可能的复杂交互，脆弱点的防止会变得尤其困难。入侵捡测系统o d s ) 主要通过对网络流量或主机运行状态的检测来发现对系统资源的非授权访问与破坏行为，并对各种恶意入侵做出响应。在对付针对信息系统的安全威胁方面，入侵检测系统起到了非常重要的作用，然而也有自己的缺陷，例如通常只关注一些己知的和定义好的攻击，而且在性能上存在着高误报率、漏报率、不精确的报告、以及攻击和检测之间的时间延迟等问题。另一方面，即使恶意攻击能够被检测出来，系统管理员仍要面i 临两大难题：一是如何确定入侵所引起的破坏，二是如何将系统恢复到安全状态。由于入侵者一般都会在入侵后修改系统日志文件，擦去入侵的痕迹，使得确定入侵所引起破坏的位置更为困难。而系统恢复需要有干净的备份，还要重新初始化系统、从备份中恢复信息等操作。此外，诊断的困难性也增加了恢复的困难性，而恢复本身通常需要较长的时间才能完成，这无疑也会降低原来系统的可用性，甚至可能引起安全备份与入侵发生期间所建立数据的不一致。防火墙尽管可以较有效地抵御网络外部的入侵攻击，但对于来自网络内部的攻击却显得无能为力。防火墙可以较有效地抵御网络外部的入侵攻击，但对于来自网络内部的攻击却显得无能为力。对于信息系统而言，一个存在缺陷的安全措施在系统工作过程中不可能非常有效和可靠地提供安全保护。更危险的是，这样的系统会给人们造成一个“安全”的错觉。显然，将这样的系统用于安全关键的场合，会造成十分严重的后果。第三代网络安全技术是一种信息可生存技术，卡耐基梅隆大学的学者给这种可生存技术下了一个定义：所谓“可生存技术”就是系统在攻击、故障和意外事故已发生的情况下，在限定时间内完成使命的能力【l ，2 】。它假设我们不能完全正确地检测对系统的入侵行为，当入侵和故障突然发生时，能够利用“容忍”技术来解决系统的“可生存”问题，以确保信息系统的保密性、完整怔、真实性、可用性和不可否认性。当前，在实现系统的可生存性防护方面，容错技术，特别是远地备份技术和b y z a n t i n e 容错冗余技术等，都发挥了很大的作用。然而，容错技术不能解决全部的信息生存问题：并不是所有的破坏都是由故障和意外导致的，例如攻击者的有意攻击。而容错理论并不是针对攻击专门设计的；并不是所有攻击都表现为信息和系统的破坏，例如关键性数据的篡改等，只要这种攻击本身不构成一种显式的错误，容错就无法解决问题；故障错误是随机发生的，而攻击却是有预谋的，这比随机错误更难预防；最重要的是，单纯的备份使得攻击者的攻击点从备份前的一台主机变成多台主机，这不仅不能增强系统中敏感数据的安全性，相反倒增加了攻击者第一章绪论成功的机会。针对上述问题，国际上最近流行着一种新的信息可生存方法一“容忍入侵”方法。与传统网络安全方法的思路不同，容忍入侵的概念承认系统中脆弱点的存在，并假定随着时间的发展，其中某些脆弱点可能会被入侵者利用。其设计目标就是使得系统在受到攻击时，即使系统的某些部分或部件已经受到破坏，或者被恶意攻击者操控，系统仍能够触发一些防止这些入侵或破坏造成系统安全失效的机制，从而仍然能够对外继续维护正常运行( 可能是以降级的模式) ，提供核心或系统的基本服务，以保证系统的基本功能。由于这种方法在考虑对系统可用性保护的同时，还考虑了对系统数据和服务的机密性与完整性等安全属性的保护，因此能够达到防患于未然的目的，被称作是系统安全防护的最后一道防线。1 2 容忍入侵的基本概念与现状从某种意义上讲，入侵可以看作一种蓄意故障，这种故障将引起系统部件的某种错误，使得系统进入某种错误状态，从而引起系统中数据和服务的机密性、完整性以及可用性等安全属性的失败，即攻击+ 漏洞= 入侵一错误( 故障) 一失败。因此从本质上讲，容忍入侵方法实际上可看作一个容忍和避免故障、以及实现安全的问题，其对入侵的检测和响应类似于容错系统中对于系统故障的诊断与处理。容忍入侵主要考虑的是在入侵存在的情况下系统的生存能力。它总是假定系统存在一些未知的脆弱点，并且这些脆弱点总是可为攻击者所利用。其主要思想就是利用分布式系统中的硬件或者软件容错技术屏蔽任何入侵或者攻击对系统功能的影响，保证系统关键功能的安全性和连续性。因此，在容忍入侵机制的保护下，即使入侵活动成功发生，系统也可为用户提供所需的基本服务。根据系统或者信息可生存性的假设，任何系统部件都可能遭到入侵。在容忍入侵模型中，假定入侵总是会引起系统部件发生故障。故障的表现是系统功能或服务的错误，其中，可能的故障模式有以下几种：停止工作：构件不可用( 崩溃或拒绝服务等) ；对称故障：例如，对数据存储构件的攻击使得该部件产生无效或者恶意的信息；b y z a n t i n e 故障：部件表现出任意行为( 包括正常行为，可由攻击者选择) 。其中，出现b y z a n t i n e 故障的系统部件的行为是不可预测的，因此最难以处理。容忍入侵关注的焦点不再是所构建的系统是否充分安全、入侵活动发生与否、发生的具体原因或实施入侵时所采用的具体方法等，而是关注入侵对系统功能的影响。其对入侵的处理就是屏蔽，并在入侵对系统造成更大影响之前消除其危害西安电子科技大学博士论文：容忍入侵的理论与方法及应用研究并恢复系统。这就好比建立起了一道类似于人体的免疫系统。其作用在于保证系统在具有安全风险威胁的环境中，依然能够最大限度地保障系统的基本功能。在遭到攻击时减少损失，保证系统生存。虽然理论上无法完全预防系统受到破坏，但是一旦系统被攻击，则在攻击对系统性能造成很大危害之前能够尽早发觉，并采取相应的防护和补救措施。nbcd8图1 i ：具有容忍入侵防线的系统安全保护过程图1 1 表示的是具有容忍入侵防线的系统安全般防护过程。其中日表示具有许多潜在的脆弱；b 表示通过使用安全工程或形式化方法避免了某些脆弱点( 安全专用系统) ：c 表示通过系统测试、分析等方法消除了一些已知脆弱点：d 表示通过入侵检测等防护技术检测并阻塞掉一些已知脆弱点；e 表示通过容忍入侵手段，对经过上述安全措施之后系统尚存的脆弱点进行屏蔽后的结果。从该图中，我们可以看出容忍入侵方法在系统防护中的作用。早在上个世纪8 0 年代中期以来，d o b s o n 和r a n d e l l 就提出了利用不安全并且不可靠的部件来构建安全可靠的系统的方法 3 】，这实际上是容忍入侵的思想雏形，f r a g a 和p o w e l l 更是在其论文中正式提到了容忍入侵( i n t r u s i o nt o l e r a n c e ) 的术语并一直被延用至今 4 1 ，d e s w a r t ey ，b l a i nl 和f a b r ejc 等人提出了基于分割+ 分散( f r a g m e n t a t i o n - s c a t t e r i n gt e c h n i q u e ) i 构方法实现容忍入侵的思路【5 ，6 】。然而在此之后，容忍入侵的思想一直没有得到业内人士太大关注。直到近几年来，随着分布式密码学的研究，特别是秘密共享和门限密码学方面研究的逐渐成熟与完善，再加上分布式网络应用系统的大量应用，容忍入侵的理论、方法与应用又开始进入人们视野，并且逐渐成为信息安全业内人士关注的个焦点。在美国国防高级研究计划署( d a r p a ) 的o a s i s ( o r g a n i c a l l ya s s u r e da n ds u r v i v a b l ei n f o r m a t i o ns y s t e m l 计划支持下，s t a n f o r d 的i t t c 项目( i n t r u s i o nt o l e r a n c ev i at h r e s h o l dc r y p t o g r a p h y ) 【7 】首开基于门限密码的容忍入侵技术研究之先河。其后，美国c o r n e l l 大学在n s f 资助下相继推出了基于秘密共享方法的容忍入侵在线证书权威服务c o c a 8 ，9 】以及强健的秘密数据分布服务c o d e x 1 0 1 。近几年来，以美国d a r p a 的o a s i s 计划和n s f 一系列计划以及欧盟m a f t i a高级研究计划资助为主体，国外学术界对容忍入侵的相关问题展开了大量研究，第一章绪论并取得了许多丰富的成果。相关的研究主要包括：基于门限密码秘密共享的系统容忍入侵防护，特别是对特定服务和数据，如c a 7 9 】、1 2 1 令认证服务 11 1 、密钥交换服务 1 2 1 、文件服务 4 】、d n s服务 1 3 1 、路由服务 1 4 ，1 5 与重要数据保护服务 1 0 1 等的容忍入侵保护，包括相应的协议设计及性能评估等；使用监控、接受测试以及冗余等容错手段，实现基于c o t s 构件的容忍入侵应用系统，如容忍入侵的w e b 服务器系统 1 6 。2 0 $ 1 1 数据库管理系统等【2 1 3 4 1 ，并实现基于模型的容忍入侵系统运行过程描述 3 5 1 ；。容忍入侵系统，实现和运行中的一些细节问题研究，如i n t e m e t 等异步结构模型中容忍入侵方法的实现问题 3 6 ，3 7 ，异步环境中门限密码，秘密共享方案的设计与实现问题 3 8 ，3 9 1 和异步b y z a n t i n e 系统协商问题 4 0 ，4 1 ，以及秘密份额的动态重分发 4 2 ，4 3 、容忍入侵系统的定量或定性评估 4 4 ，4 5 1 等；综合运用各种容错策略和系统可重配置机制，结合安全通信以及基于入侵检测、入侵遏制、错误处理、损坏评估和可信恢复等手段和机制，构建“纵深防御”的容忍入侵安全防线。例如，p e n n s y l v a n i as t a t eu n i v e r s i t y 的i t d b项目2 2 3 4 1 的目的就是通过多阶段的容忍入侵实现纵深防御功能，开发出能够容忍入侵的数据库管理系统( d b m s ) 。其主要思路就是综合事务级的入侵检测、入侵隔离、多阶段损坏定位和限制、以及自稳定性等技术或手段，达到这容忍入侵的目的。由美国技术研发公司b b n 、i u m o i s 大学、m a r y l a n d 大学和波音公司共同承担的研究项目i t u a 4 6 5 2 1 旨在通过一种先进的冗余管理技术和动态资源分配技术，针对有计划的攻击或按部就班的攻击产生一种对攻击者而言无法预测的资源调配和复杂的响应，使攻击者很难进行攻击计划或协作下一步的攻击。但i t u a 的不足之处在于只能够针对有计划或按部就班的攻击，无法防御未定义的攻击或现有攻击的变种，且没有关注系统的机密性等安全属性。与此同时，国内许多信息安全领域的专家学者也认识到了容忍入侵技术对于信息安全技术发展的至关重要性。中科院信息安全国家重点实验室、国防科技大学、西安电子科技大学、武汉大学、成都电子科技大学、浙江大学、解放军信息工程大学等有关的课题组近几年都开始了这方面的思考和研究。其中，荆继武、冯登国等人设计并实现了一个基于门限密码学的容忍入侵的c a 系统 5 3 ，5 4 】；黄遵国等人给出了一种采用多样化动态漂移的技术途径实现网络生存设计的方法法 5 5 】；崔竞松出了一种并行容忍入侵系统研究模型 5 6 1 ，彭文灵提出了基于秘密共享方法的容忍入侵软件系统模型 5 7 以及一种基于角色访问控制的入侵容忍安全架构 5 8 】；张险峰等人基于门限椭圆曲线密码系统，分别提出了种容忍入侵的西安电子科技大学博士论文：容忍入侵的理论与方法及应用研究c a 和容忍入侵的w e b 方案 5 9 ，