入侵容忍技術(shù)是一種融合了密碼技術(shù)、容錯技術(shù)等的全新網(wǎng)絡安全技術(shù),它突出強調(diào)當系統(tǒng)在受到攻擊時,即使系統(tǒng)的某些部分己經(jīng)受到破壞、或者某些部分已經(jīng)受到攻擊者的控制時,整個系統(tǒng)仍然能夠保證服務的可用性和數(shù)據(jù)的秘密性、完整性,保證系統(tǒng)關(guān)鍵功能的運行,從而仍然能夠?qū)ν饫^續(xù)提供正�；蚪导壍姆�務.文中介紹了在入侵容忍領(lǐng)域里常用的基本技術(shù):冗余技術(shù)、多樣性技術(shù)、沙盒技術(shù)、復制技術(shù)、門限方案、恢復策略、群組通信系統(tǒng)等.

1 入侵容忍技術(shù)的概念

    侵容忍技術(shù)是一種融合了密碼技術(shù)、容錯技術(shù)等的全新網(wǎng)絡安全技術(shù)，它突出強調(diào)當系統(tǒng)在受到攻擊時，即使系統(tǒng)的某些部分己經(jīng)受到破壞、或者某些部分已經(jīng)受到攻擊者的控制時，整個系統(tǒng)仍然能夠保證服務的可用性和數(shù)據(jù)的秘密性、完整性，保證系統(tǒng)基本功能的正常運行，從而仍然能夠?qū)ν饫^續(xù)提供正�；蚪导壍姆�務。

    入侵容忍技術(shù)與傳統(tǒng)安全技術(shù)不同，入侵容忍技術(shù)突破以往的以保護和防范為出發(fā)點來使系統(tǒng)免受入侵的傳統(tǒng)思維，更強調(diào)“容忍”，入侵容忍關(guān)注的焦點不再是所構(gòu)建的系統(tǒng)是否足夠安全，入侵活動是否發(fā)生，發(fā)生的具體原因或?qū)嵤┤肭謺r所采取的具體方法等，而是關(guān)注入侵對系統(tǒng)功能的影響，入侵容忍可以用攻擊響應和攻擊屏蔽的方法，可在惡意入侵對系統(tǒng)造成不良影響前消除其危害或恢復系統(tǒng)，這就好比建立起了一道類似于人體的免疫系統(tǒng)，可視作系統(tǒng)中新的一道防線，這樣就能保證系統(tǒng)在具有安全風險威脅的環(huán)境中，一旦系統(tǒng)被破壞或被攻擊，能夠盡早發(fā)現(xiàn)，并采取相應的防護和補救措施，能夠最大限度地保障系統(tǒng)的基本功能，減少在遭到攻擊時的損失，保證系統(tǒng)生存。

2 入侵容忍技術(shù)常見相關(guān)技術(shù)

    2．1冗余

    冗余是入侵容忍的最基本的技術(shù)，也是增強系統(tǒng)服務的重要技術(shù)，冗余的原理是：重復配置系統(tǒng)的一些組件，當系統(tǒng)發(fā)生故障時，冗余配置的組件介入并承擔故障部件的工作，繼續(xù)執(zhí)行該故障組件的功能直到該組件被修復，也即是說，即使所系統(tǒng)的一些地方失效或產(chǎn)生故障，通過使用冗余組件，仍能保障系統(tǒng)的繼續(xù)有效運行、減少系統(tǒng)的故障時間或改善服務性能，增強系統(tǒng)的安全特性。

    需要注意的是冗余不同于復制，復制只是冗余的一種類型，也就是物理資源冗余，物理資源冗余的目的是使用多個部件共同承擔同一項任務，當主要模塊發(fā)生故障時，用后援的備份替換故障模塊，使系統(tǒng)完好無損，也可以用緩慢降級切除故障模塊，讓剩下的正常模塊繼續(xù)工作，此外還有兩種類型的冗余：時間冗余和信息冗余時間冗余適合執(zhí)行時間較寬松的任務，它是通過消耗時間資源來達到了容錯目的的，時間冗余的一個例子是程序回滾，這種技術(shù)用來檢驗一段程序完成時的計算數(shù)據(jù)，如有錯，則回滾重算那個部分，信息冗余的基本思想則是在最低限度的信息碼之外增加一些信息碼，包括奇偶校驗碼、檢查和碼、算術(shù)編碼等，以防止使用錯誤的碼，發(fā)現(xiàn)編碼錯誤，糾正編碼內(nèi)的錯誤，一般而言，附加的信息越多，其檢錯和糾錯能力越強，從實質(zhì)而言，門限機制也是信息冗余的一個例子：它從K份共享的數(shù)據(jù)(原始數(shù)據(jù)被分成N份)中可以重新構(gòu)造出原始數(shù)據(jù)D，每一份共享數(shù)據(jù)中都嵌入一些特定的冗余信息，前者偏重于保證系統(tǒng)的可用性(有效性)，后者偏重于保護系統(tǒng)的完整性和機密性，在目前的容忍入侵技術(shù)中主要使用的是物理資源冗余和信息冗余。

    2．2多樣性技術(shù)

    如果冗余組件只是簡單的對每個系統(tǒng)成員進行復制，那么容忍入侵系統(tǒng)中的無關(guān)性假定就有可能被破壞——也就是說，如果攻擊者已經(jīng)發(fā)現(xiàn)了一種技術(shù)去破壞一個組件，那么在攻擊者的快速攻擊下，所有相同的復制組件都可能會受到同樣的攻擊，這樣整個系統(tǒng)都會被攻陷，這種弱點使得冗余技術(shù)很少被單獨使用在入侵容忍系統(tǒng)中，于是，又提出另一種技術(shù)——多樣性技術(shù)。該技術(shù)確保所有具有相同功能的復制組件不能具有同一漏洞，也防止攻擊者快速破解所有的復制組件。多樣性技術(shù)用不同的設計和實現(xiàn)方法來提供功能相同的計算行為，可以有效防止攻擊者找到冗余組件中共同的脆弱點，一般來說，多樣性可以從硬件、操作系統(tǒng)、軟件開發(fā)等實現(xiàn)。

    此外，在時間和空間上常常也使用多樣性，空間多樣性要求服務必須協(xié)同定位多個地點的冗余組件去阻止局部的災難，而時間多樣性則要求用戶在不同時間段向服務器提出服務請求，幾乎在所有的容侵系統(tǒng)中使用了冗余技術(shù)，例如，分布式容忍入侵(DIT)，容忍入侵服務器基礎組織(ITSI)分層的服務質(zhì)量自適應控制容忍入侵系統(tǒng)(HACQIT)，分布式系統(tǒng)中可升級的容忍體系結(jié)構(gòu)(SITAR)等系統(tǒng)在設計中都具有這樣的能力：容納多個服務器，考慮到多樣性的緣故，每個服務器可以運行在不同的操作平臺國之上，如LiNux或者UNix或者windows之上，此外應用程序也可一在不同的環(huán)境中運行，如Apache，IIS等其他的運行環(huán)境，使用冗余，可以消除系統(tǒng)中的單一脆弱點，同時由于使用了多樣性方法，系統(tǒng)之問以異構(gòu)的方式組織，減少了相關(guān)的錯誤風險，加大了攻擊者完全攻克系統(tǒng)的難度，但是，需要注意的是多樣性的使用也有不利的因素：首先多樣性增加了系統(tǒng)的復雜性，這是因為：為了獲得高級別的多樣性，對于一個服務必須有多種完全不同的實現(xiàn)方式，這包括了在一個混合的硬件系統(tǒng)上運行一個混合操作系統(tǒng)，使用隔離的實現(xiàn)梯隊開發(fā)的應用服務軟件，系統(tǒng)的復雜必然帶來維護上的困難，其次多樣性的代價是昂貴的，這些代價主要有以下幾個方面不同的站點需要使用不同的專家團隊來維護，許多系統(tǒng)管理員只知道一部分系統(tǒng)，而那些了解完整系統(tǒng)的管理員很少而且代價更大，站點必須為這些系統(tǒng)打上補丁，由于系統(tǒng)中的漏洞是不相同的，隨著系統(tǒng)多樣性的增加，為系統(tǒng)打補丁的工作也將會更復雜，多版本的服務需要額外購買或者開發(fā)費用，這必然會增加系統(tǒng)的費用，最后不成熟的多樣性可能存在潛在的危機，所以對系統(tǒng)的每一個部分都必須進行正確的多樣性等級評估，這可能需要在多樣性和容忍做一個適當?shù)恼壑小?/p>

    冗余性和多樣性減少了錯誤關(guān)聯(lián)的危險，但是增加了系統(tǒng)的復雜性，為了得到冗余性，必須提供多套設備或軟件，為了得到更高水平的多樣性，必須使用多個不同執(zhí)行方式的服務，因此這種冗余性和多樣性的代價很昂貴，在使用時必須評估系統(tǒng)的每一部分適合什么程度的冗余和多樣，在性能和代價以及預防和容忍之間進行權(quán)衡。

    2．3沙盒技術(shù)

    沙盒是用來分隔用戶、服務器和其它不被信任組件的工具，它的設計思想是：當系統(tǒng)識別出可能的攻擊請求或發(fā)生錯誤時，依據(jù)系統(tǒng)檢測功能，啟動診斷程序，分析應用日志中最近一些請求，判斷出異常與可疑的請求，將異常與可疑的請求發(fā)送到“沙盒”中逐個進行測試，若某一請求導致了同樣的結(jié)果，則認為其為“惡意請求或非法請求”，被添加到“非法請求列表”中，以后同樣請求將被阻止，在此過程中，所有“非法請求”均在沙盒這個特殊的工具內(nèi)運行，與其它系統(tǒng)和子系統(tǒng)之間的交互都被限制在一定的范圍內(nèi)，因此，從總體上來說，不會影響到系統(tǒng)，ITSI和HACQIT都使用了沙盒技術(shù)。

    2．4復制技術(shù)

    復制技術(shù)其實是基于冗余的思想，作為一種重要的容錯機制，它是入侵容忍里的重要技術(shù)，國內(nèi)一些學者也用此技術(shù)應用到入侵容忍系統(tǒng)中，因此本文將其單獨列出，復制技術(shù)通過對同一個服務進程(可以是數(shù)據(jù)、AgeNt、對象)進行多次復制并將復制品放在不同的服務器上，當出現(xiàn)故障造成某個或某幾個服務器上的服務失效時，整個系統(tǒng)的可用性仍然可以得到保證，這樣就防止了單點失效現(xiàn)象，提高了系統(tǒng)的可靠性(Reliability)和可用性(Availability)；同時復制技術(shù)還可以避免有大量客戶提出請求而只有一個服務進程在運行導致的瓶頸現(xiàn)象，提高了系統(tǒng)的性能。

    復制技術(shù)可分為兩類，一是主動復制(ActiveReplicatioN)，主動復制技術(shù)也稱為狀態(tài)機方法(StateMachiNe ApprOAch)，這種技術(shù)給所有的復制品賦予同等地位，沒有中心控制點，所有的復制品以相同的次序執(zhí)行同一個操作，然后將結(jié)果反饋給請求者，主動復制技術(shù)中，很重要的問題就是每一個復制品的狀態(tài)都必須要始終保持一致，否則，復制就失去了存在的價值，另一種是被動復制(Passive ReplicatioN)，被動復制也稱為主一備份方法(Primary一bacKupApproach)，這種方法中，僅僅有一個復制品(稱之為主席)執(zhí)行操作，然后將處理結(jié)果反饋給客戶端，而且主席要負責及時更新其他所有的復制品，被動復制所要求的處理能力要比主動復制的少，當出現(xiàn)故障時要重新選擇一個復制品作為主席。

    2．5門限方案

    門限方案也被稱為是秘密共享，1979年，Shamir就“如何共享一個秘密”提出秘密共享算法，該算法的基本思想是把數(shù)據(jù)D分成N份，使用其中的K份可以重新還原出數(shù)據(jù)D；如果得到的份數(shù)少于K，就不能還原出原始信息，任意知道少于K個秘密碎片， 就如同一個秘密碎片不知道時是一樣的，這就是秘密共享方案，或者叫門限方案，門限密碼學提出的既可以將權(quán)利分散又可以提高安全性，同樣，在入侵容忍系統(tǒng)中，可以設計一種方法來把數(shù)據(jù)D分割成N份，分布在不同的地點，至少需要K份才能重建數(shù)據(jù)D，少于K份則不能揭示任何信息。

    門限方案在容忍入侵系統(tǒng)中的使用，主要是通過兩種方式：第一，是它本身的方式，數(shù)據(jù)共享份額被分布式的存儲在不同的物理位置，即使N—K-1個共享被攻擊而且已經(jīng)威脅到系統(tǒng)安全，數(shù)據(jù)的機密性仍可以保持并且可以重構(gòu)原始的數(shù)據(jù)，這樣就可以實現(xiàn)容忍入侵，從這個角度來說，本質(zhì)上門限方案本身也是種冗余技術(shù)，第二， 數(shù)據(jù)使用同一個密鑰加密，這個密鑰使用門限方案分成N份，這種方法實際上并沒有給原始數(shù)據(jù)提供任何冗余，然而，為了對信息進行訪問， 必須要把加密密鑰的K份重構(gòu)來得到原始的密鑰， 這實質(zhì)上提供了信息的“聯(lián)合控制和監(jiān)旨”。

    這種方案最主要的局限是N和K的選擇，要在安全性、可用性和存儲空間上進行權(quán)衡，一個較高的N值保證了系統(tǒng)的高可用性，但性能低并且存儲占用量大，一個較小的K值則保證了高性能但卻是低可信任度，如果N和K的選擇合理， 門限方案將很難攻破。

    2．6 恢復策略

    恢復策略是入侵容忍系統(tǒng)中的重要策略之一，與之相對應的災難恢復手段也是入侵容忍系統(tǒng)工作流程的重要部分之一，恢復策略可以分為兩類：后向恢復和前向恢復。

    1)后向恢復，它是比較常用的恢復策略，是指當系統(tǒng)發(fā)生故障時，恢復機制將系統(tǒng)狀態(tài)帶回到事前某一正確的狀態(tài)，這一狀態(tài)可以是事先已經(jīng)通過冗余的手段保存下來的，也可以是通過一步步的回滾操作進行恢復，對于大多數(shù)服務器來說，由于服務器自身狀態(tài)在不斷的演化，因此除非直接回滾到初始狀態(tài)，否則只能一步步的進行恢復，后向恢復的操作時間可能是不可預知的，尤其是采用回滾方式進行恢復的時候，但是，只要后向恢復成功，系統(tǒng)就一定能夠保證處于正確的狀態(tài)，常用的后向恢復的方法有：系統(tǒng)重配和重置系統(tǒng)狀態(tài)。

    2)前向恢復，它是指將系統(tǒng)向更新的狀態(tài)演變，使錯誤的狀態(tài)轉(zhuǎn)化為可以工作的新狀態(tài)，前向恢復策略中比較常用的方法是系統(tǒng)降級，當入侵容忍系統(tǒng)發(fā)現(xiàn)系統(tǒng)遭受入侵而進入一個含有故障的狀態(tài)，恢復機制可以關(guān)閉部分已經(jīng)崩潰的組件服務，提供降級的服務，前向恢復的優(yōu)點是恢復的速度較快，適用于需要提供持續(xù)服務的場合，但是，前向恢復難以將系統(tǒng)恢復到完美的狀態(tài)，一些常用的前向恢復的方法有：在門限密碼學中替換被泄漏的密鑰、降低系統(tǒng)功能和軟件升級。

    系統(tǒng)的前向恢復和后向恢復并非是對立的，例如可以在災難恢復首先嘗試使用的是后向恢復，如果該系統(tǒng)在規(guī)定時間內(nèi)， 無法從災難中完全恢復出來，那么就應該嘗試使用的是前向恢復策略，只有這樣才能保證系統(tǒng)服務的持久性。

    2．7群組通信系統(tǒng)

    在有些容忍入侵系統(tǒng)中，如ITUA、ITDOS、MAFTIA系統(tǒng)中群組通信系統(tǒng)是建立容忍入侵系統(tǒng)非常關(guān)鍵的一個構(gòu)件，群組通信系統(tǒng)框架一般由以下三個基本的群組管理協(xié)議組成：

    第一，群組成員協(xié)議，其目的是保持各對象組和復制品間狀態(tài)信息的一致，對各對象組成員進行管理，實際上，群組成員管理是一個很復雜的問題，就目前看，以下的三個問題是群組成員設計中需要集中解決的問題：

    (1)如果一個組成員崩潰，實際上它就要離開了這個組，問題是，與自愿離開不一樣，它沒有對這一事實進行宣告，其他成員只有在發(fā)往它的消息得不到任何應答后，才發(fā)現(xiàn)這個崩潰成員已離開，一旦確定這個崩潰的成員已經(jīng)停機，就從這個組中刪去該成員。

    (2)加入與離開一個組必須與發(fā)送的消息同步，換句話說，從進程加入到組的瞬間開始，它必須接受所有發(fā)往該組的消息，同樣，一旦進程已經(jīng)離開該組，它就不應再收到該組的任何消息，組內(nèi)任何成員也不應該收到該成員發(fā)出的消息。

    (3)當一個進程組中過多的進程失敗，使得該組不能繼續(xù)提供相應的任務，就需要某個協(xié)議來重建該進程組。

    第二，可靠的多播協(xié)議，用于保證各對象之間安全、可靠的消息傳遞，使用該協(xié)議，即使在入侵存在的情況下消息仍能正確地傳遞給各組并保證了消息完整性。

    第三，全序協(xié)議，用于保證消息按一定的順序發(fā)送，在容忍入侵系統(tǒng)中，為了確保所有的服務器同時執(zhí)行相同的請求，就必須要某種機制來保證傳遞給所有服務器的請求都是有序的，全序協(xié)議一般是通過產(chǎn)生一個全局的序列數(shù)來解決這一問題的。

    群組成員協(xié)議確保了所有正確進程即便在入侵存在的情況下仍能保持各群組成員的一致信息：可靠的傳播送協(xié)議保證了向各組成員間一致、可靠的多點消息傳送，同時保證了消息的完整性和一致性；全序協(xié)議使得多播傳送的消息在配置變化時仍能得到一致的傳輸。

    當前已有許多專門針對群組通信系統(tǒng)的研究，如NEnsemble和SecureRing都是典型的群組通信系統(tǒng)，許多容忍入侵系統(tǒng)在具體實現(xiàn)時，都是根據(jù)系統(tǒng)的特定需求，在原有群組通信系統(tǒng)的基礎上對功能進行擴展，或者只是使用群組通信系統(tǒng)中的某些協(xié)議。

3 結(jié)語

    入侵容忍技術(shù)作為一門新興安全技術(shù)，盡管目前在理論與應用上還不是很完善，但有著廣闊的研究與應用前景，以上介紹的包括冗余技術(shù)、多樣性技術(shù)、沙盒技術(shù)、復制技術(shù)、門限方案、恢復策略、群組通信系統(tǒng)等是入侵容忍的目前常見基本技術(shù)，隨著計算機技術(shù)的發(fā)展與應用，新的技術(shù)會逐步應用到入侵容忍相關(guān)領(lǐng)域里，推動入侵容忍理論的發(fā)展。

    另外，從本質(zhì)上來看，入侵容忍系統(tǒng)的構(gòu)建就是這些技術(shù)的組合與應用。因此，研究和探索入侵容忍相關(guān)技術(shù)是入侵容忍系統(tǒng)走向完善、走向應用的重要工作。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領(lǐng)域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：入侵容忍常見實現(xiàn)技術(shù)研究

本文網(wǎng)址：http://www.oesoe.com/html/support/1112154024.html