李媛州　王子強　陳曼青

[摘要]隨著網(wǎng)絡(luò)安全問題日益嚴(yán)重,容侵技術(shù)提供網(wǎng)絡(luò)安全保密研究第三代的安全保障機制越來越引起人們的重視。針對網(wǎng)絡(luò)入侵容忍系統(tǒng)的特點,設(shè)計應(yīng)用服務(wù)器容侵、代理服務(wù)器容侵和秘密數(shù)據(jù)的容侵。

[關(guān)鍵詞]入侵容忍體系結(jié)構(gòu)容忍機制

中圖分類號:TP3文獻標(biāo)識碼:A文章編號:1671-7597(2009)0710061-01

一、引言

本文的容侵模型主要針對容忍機制進行分析和設(shè)計,采取冗余技術(shù)設(shè)計應(yīng)用服務(wù)器的容忍、代理服務(wù)器的容忍和秘密信息的容忍等。

二、系統(tǒng)的體系結(jié)構(gòu)

系統(tǒng)的體系結(jié)構(gòu)如下圖2-1所示:

圖2-1系統(tǒng)的體系結(jié)構(gòu)圖

系統(tǒng)主要由以下幾個部件組成:

1.應(yīng)用服務(wù)器組(Application Servers):每組應(yīng)用服務(wù)器組由在功能上具有一定冗余的多個服務(wù)器構(gòu)成,其主要功能是為客戶提供應(yīng)用服務(wù),簡記為AS。這些應(yīng)用服務(wù)器分別運行于不同的操作系統(tǒng)平臺,所有應(yīng)用服務(wù)器都具有相同的功能,但運行的軟件采用多版本程序設(shè)計技術(shù)設(shè)計。這種多樣性能夠有效地阻止一種攻擊策略對主系統(tǒng)和所有備份系統(tǒng)的攻擊。應(yīng)用服務(wù)器的個數(shù)取決于該類服務(wù)對系統(tǒng)性能高低的要求。

2.代理服務(wù)器(簡記為PS):系統(tǒng)的中心是一個或多個代理服務(wù)器,其中的一個稱為主代理服務(wù)器,負(fù)責(zé)過濾和凈化客戶的服務(wù)請求,并將有效的客戶請求傳給應(yīng)用服務(wù)器組。應(yīng)用服務(wù)器組處理客戶請求并將結(jié)果返回到主代理服務(wù)器,主代理服務(wù)器經(jīng)過判斷后,將結(jié)果提交給客戶。其它代理服務(wù)器是起輔助作用的,稱為輔助代理服務(wù)器。當(dāng)主代理服務(wù)器出現(xiàn)故障時,其中一個輔助代理服務(wù)器將取代主代理服務(wù)器繼續(xù)工作。

3.控制服務(wù)模塊(簡稱為CS):在系統(tǒng)體系結(jié)構(gòu)中,每個應(yīng)用服務(wù)器和代理服務(wù)器上分布一個或多個控制服務(wù)模塊,負(fù)責(zé)監(jiān)視所在服務(wù)器的運行狀態(tài)以及其中關(guān)鍵數(shù)據(jù)的機密性和完整性?？刂品?wù)模塊中的接收器將從其所在主機的代理接收信息并向監(jiān)視器進行報告,由監(jiān)視器進行綜合后向主代理服務(wù)器報告,由主代理服務(wù)器決定所采取的措施。

三、系統(tǒng)容忍機制的設(shè)計

(一)應(yīng)用服務(wù)器的容忍機制的設(shè)計

應(yīng)用服務(wù)器的容忍機制主要通過以下兩個方面來體現(xiàn):

1.不同的應(yīng)用服務(wù)器運行于不同的平臺上,所運行的應(yīng)用軟件采用多版本程序設(shè)計,以防止同一種攻擊造成所有服務(wù)器的破壞。

2.通過代理服務(wù)器對應(yīng)用服務(wù)器的認(rèn)證,及時發(fā)現(xiàn)出現(xiàn)問題的應(yīng)用服務(wù)器。此外,還可以由主代理服務(wù)器通過控制服務(wù)模塊中的監(jiān)視器發(fā)現(xiàn)可疑服務(wù)器,并暫時中斷與它的聯(lián)系,進行故障處理。

(二)代理服務(wù)器容忍機制的設(shè)計

1.基本思想。在代理服務(wù)器的設(shè)計中引入一定的冗余度,以便增強代理服務(wù)器的抗攻擊能力,達到容忍入侵的目標(biāo)。

2.方案的設(shè)計與描述。在本文的容侵結(jié)構(gòu)中,代理服務(wù)器起著關(guān)鍵的作用,因而也易成為外部攻擊的重點目標(biāo)之一。其入侵容忍特征通過以下兩個方面來體現(xiàn):

(1)在系統(tǒng)運行過程中,主代理服務(wù)器上的控制服務(wù)模塊(CS)一直在監(jiān)視主代理服務(wù)器的運行狀態(tài),同時,其它輔助代理服務(wù)器也在監(jiān)視主代理服務(wù)器的運行情況,一旦發(fā)現(xiàn)異?；蚬收?立即由一輔助代理服務(wù)器升為主代理服務(wù)器,而原主代理服務(wù)器的故障處理完成后,作為輔助代理服務(wù)器繼續(xù)運行。即主代理服務(wù)器通過其控制服務(wù)模塊中的“監(jiān)視器”(“Monitor”)定期向輔助代理服務(wù)器發(fā)送信息,并互相進行認(rèn)證。所有輔助代理服務(wù)器都能收到主代理服務(wù)器所發(fā)送的信息,如果在一定時間內(nèi)沒有收到主代理服務(wù)器的信息,則從輔助代理服務(wù)器中選擇一個成為新的主代理服務(wù)器。(2)為了減少主代理服務(wù)器出現(xiàn)故障時的交接時間,每個代理服務(wù)器都設(shè)定一定的優(yōu)先級P,主代理服務(wù)器通過其控制服務(wù)模塊中的“監(jiān)視器”定期(間隔幾秒,稱為廣播間隔)向輔助代理服務(wù)器發(fā)送信息,并互相進行認(rèn)證。同時,輔助代理服務(wù)器也要對主代理服務(wù)器發(fā)出的信息及時作出回應(yīng)。

(三)秘密信息容忍機制的設(shè)計

1.基本思想。對秘密數(shù)據(jù)的存儲引入一定的冗余度,利用門限秘密共享技術(shù)將秘密信息分布于多個系統(tǒng)的構(gòu)件上,使得相關(guān)秘密信息從來不在一個地方重構(gòu),以便達到容忍入侵的目標(biāo)。

2.方案的設(shè)計。對系統(tǒng)中的機密數(shù)據(jù)采用(n,t)門限密碼體制實現(xiàn)入侵容忍,將系統(tǒng)中的機密數(shù)據(jù)分成n份,分別存儲在n個服務(wù)器中。其中任何t個以上的服務(wù)器能夠重構(gòu)機密數(shù)據(jù),但任何小于t個服務(wù)器都不能重構(gòu)機密數(shù)據(jù)。這樣,只有當(dāng)入侵者同時控制n個服務(wù)器中的t個以上,才能實現(xiàn)對機密數(shù)據(jù)的操作。如果某個服務(wù)器被攻擊,只要被攻破的服務(wù)器沒有達到t個,就能夠保證對機密數(shù)據(jù)的安全讀取,從而實現(xiàn)機密數(shù)據(jù)的入侵容忍。入侵容忍秘密共享的結(jié)構(gòu)可描述為一個3元組:

=(,,),其中也是一個三元組,即=(,,)。此處的Proxy Server'可看作是圖2-1中PS的一部分,也可以是單獨的服務(wù)器。

四、結(jié)論

入侵容忍技術(shù)包括兩方面的內(nèi)容:首先是容忍技術(shù)。容忍技術(shù)使系統(tǒng)對于入侵和攻擊具有可復(fù)原性,這主要是通過冗余來實現(xiàn)的。其次是入侵觸發(fā)器。這個觸發(fā)器通常由入侵檢測系統(tǒng)來實現(xiàn)。

本文詳細(xì)講述了一個容侵系統(tǒng)的設(shè)計過程與設(shè)計原理。分別設(shè)計了應(yīng)用服務(wù)器容侵、代理服務(wù)器容侵和秘密數(shù)據(jù)的容侵。

參考文獻:

[1]蘇衡、鞠九濱,構(gòu)建二維網(wǎng)絡(luò)安全防護系統(tǒng)[J].大連理工大學(xué)學(xué)報,2003,43(S1):12-15.

[2](德)Bauer E L著,吳世忠等譯,密碼編碼和密碼分析原理與方法[M].機械工業(yè)出版社,2001:34-83.

作者簡介:

李媛州(1977-),女,河北省唐山人,裝甲兵工程學(xué)院計算機科學(xué)與技術(shù)專業(yè),講師。