可信系统与网络题报告.ppt

可信系统与网络：需求、现状和挑战 闵应骅 Fellow of IEEE 中国科学院计算技术研究所 第十七届全国网络与数据通信学术会议 秦皇岛，2010/9/16 提纲 可信系统与网络的需求 云计算 物联网 信息化的实体系统(Cyber-Physical Systems, CPS) 现状 可靠性现状 安全性现状 挑战 可信系统与网络的热点问题 结束语 云计算需要高可靠 软件可靠性 虚拟机的可靠性 用户和云通讯可靠性 海量存储的可靠性和可用性 灾难情况下的可生存性 ----- 异地备份 物联网需要高可靠 基础设施的可靠性对物联网很重要 传感器不但要节能、灵敏、小型化，还必须可靠、长寿命、抗恶劣环境、可维修性 但常不被国人重视 大型无线自组传感网信息传输的可靠性、路由的可靠性？ 特别是在某些传感器节点故障的条件下 无线自组网的故障检测和诊断 了解各传感器的状态 真正要有效益，而不是请奖的话，可靠性第一重要。 物联网建设，先做软件 软件失效的教训（2005 IEEE Spectrum） 2004年10月，一家英国食品上市公司注销了一个5.26亿美元投资的自动贮藏链管理系统项目。 Sydney Water Corp.是澳洲最大的水提供商，该公司的自动顾客信息和计费系统，花费3,320万美元，在2002年被取消。 Oxford Health Plans Inc. 在1997年，该公司的自动计费和索赔系统不能处理扩展的商务，导致4亿美元没有收上来，6.5亿美元没有付出去。 应该先写软件规范，理清思路。 信息化的实体系统(CPS)需要高可靠 没有时态语义和并发计算模型、尽力而为的网络服务不可能达到信息化实体系统的可靠和实时的要求 要包含实体动作，实时和容错是两个关键需求 现在这种可靠性水平，交通控制、汽车自动驾驶、远程卫生保健是不能用的。 对付不可预见的突发事件 下一层不完全可靠，上一层就必须健壮。 例如无线链路，不可靠、不可预料 软件系统能做到可靠、可预见吗？ 例如C语言执行就没有时限，操作系统线程管理和I/O达不到实时。 RTOS太粗，复杂起来以后不能保证实时。 怎么达到实时和可靠？ 时态语义（逻辑的或解析的） 并发编程 安全技术 安全三角形 缺一不可 安全问题是个社会问题 搞技术的是提供技术支撑 云计算需要安全 信息安全光盯着PC机，肯定是不够的。 不光是自己的PC机要被信任，自己远处的“云”也得被信任。 云成为众矢之的，易受到攻击，拜占庭容错很有必要。 信任计算的研究要面向世界。 物联网需要安全 物联网怎么保证企业和个人的信息安全？ 在概念上讲，物联网与隐私是矛盾的。 在供应链上交换货品信息，可能泄漏商业秘密。 所以，首先要解决模型的问题。 创建模型 检验模型 信息化的实体系统需要安全 信息化的实体系统（CPS）要动真格的，非容错不可 远程手术如果不容错，谁敢做？ 智能交通控制如果不容错，怎么保障交通安全？ 自动驾驶系统必须容拜占庭故障 飞机驾驶系统现在已采用四模冗余 现状----可靠性，国外 2001年4月，在美国，一个操作错误引起一个网络自治系统（AS）通告从它到9177个地址前缀都不可达。 这个错误的通告又被通知到其他自治系统。要走这些路由的包就全部被踢掉。 可用性 市场宣称可用性99.999% 今天管理良好的服务器，可用性达到99.9% to 99%, 即每年故障时间为 8 to 80 小时 对于因特网服务，每小时损失20万美元 亚马逊(Amazon)的股票证卷公司可损失6百万/小时 而当年ATT ESS系统每年的故障时间只有2 分钟 David Patterson，UCBerkeley的研究 美国骨干网链路失效统计Sprint Advanced Technologies Lab 传感网可靠性（UCBerkele试验） 在缅因州一个岛上要研究海鸟的生态环境（2003年） 鸟巢洞内红外热传感器 露天气象传感器 监视范围221米x71米 每20分钟采样一次 无线频率435兆 62+36节点 做120天试验 节点、多跳、功率、网络（多种原因） 非正常TCP连接 正常的TCP连接要经过从连接建立到连接结束的多个状态，以保证数据的可靠传送。 一个大学校园网边界流量研究表明：20-80% 的TCP连接是不正常的，至少用了一次 TCP reset. 商用网络服务提供商也已发现在骨干网上的类似结果。 Lawrence Berkeley Labs (LBL)在其他网上也发现类似现象。 这对可靠性和传输性能都有影响。 现状----可靠性，国外（续） 2002年3月14日下午1:10-2:40，拍卖网站eBay计算机系统90分钟失效。 只有8%用户登录成功 在2001年1月它就有11小时宕机，双机失效。 2001年6月，因特网