一种基于TTCB容侵原子多播协议研究.docVIP

一种基于TTCB的容侵原子多播协议研究 　　摘 要：对基于可信实时计算基（TTCB）的分布式容侵系统的体系结构进行了研究，针对分布式容侵系统中的一致性问题，实现了利用TTCB服务的容侵原子多播协议。在进程总数大于两倍恶意进程个数的条件下，该协议可以满足正确结果的一致性要求，达到了入侵容忍的目的。最后证明了该协议算法的正确性。 　　?す丶?词：入侵容忍；原子多播协议；一致性；可信实时计算基 　　?ぶ型挤掷嗪牛?TP309．2 文献标志码：A 　　 文章编号：1001-3695(2008)07-2174-03 　　?? 　　Study on atomic multicast protocol for intrusion??tolerance based on TTCB 　　ZHOU Hua，MENG Xiang??ru，ZHANG Li 　　(Telecommunication Engineering Institute, Air Force Engineering University, Xi’an 710077, China) 　　Abstract:This paper studied the architecture of a distributed intrusion??tolerance system based on trusted timely computing base(TTCB), and proposed an atomic multicast protocol for intrusion??tolerance using TTCB services to solve the consensus problem in distributed intrusion??tolerance system. When the total of processes is more than twice the number of malicious processes, the protocol can satisfy the consensus and achieve the intrusion??tolerance. It proved the Correctness of the protocol. 　　??Key words： intrusion??tolerance; atomic multicast protocol; consensus; trusted timely computing base(TTCB) 　　 　　世界范围内系统的广泛互连在计算机服务行业产生了重要的社会经济价值，然而这种价值却受到了网络恶意攻击的影响[1]。传统的网络安全技术已不能完全保护网络系统不受攻击，因此产生了一种新的安全措施――入侵容忍。入侵容忍的主要思想就是承认系统中存在可以被攻击者利用的脆弱点，并构建一种可以容忍一定数量故障（包括攻击和入侵）的系统[2]。目前许多容侵系统均采用了分布式的体系结构。然而，分布式容侵系统的一个困难就是一致性问题[3]。一致性协议要求所有复制品的进程均提议一个值，然后对最终决定某个值达成一致。但是系统中因入侵而产生的任意行为的恶意进程可能会影响结果的一致性。假定分布式系统中进程总数为 ??n??，最大恶意进程个数为 ??f??。文献[4]需要 ??n≥3f+1??才能保证结果的一致性；文献[5]要求 ??n≥2f+1??，但其体系结构中客户端与服务器直接交互，存在恶意客户端对服务器进行攻击的缺点；文献[6]中进程总数减少到 ??n≥f+2??，但是没有解决sender是恶意进程以及各个进程提交消息的全序（total order）问题。 　　?ケ疚牟捎昧嘶?于TTCB的容侵分布式体系结构，并在客户端与服务器之间引入了代理服务器，可以有效阻止恶意客户端对服务器的直接攻击。系统中实现了容侵原子多播协议，在最大恶意进程个数为 ??f??的条件下，该协议只需要??n≥2f+1??就能保证结果的一致性。该协议还克服了sender是恶意进程的问题，并可以保证各个进程以相同的顺序提交消息。 　　 　　1 体系结构与TTCB 　　 　　?ケ疚牡娜萸窒低持饕?由客户端、代理服务器和服务器组成。主代理与服务器以及服务器之间通过负载网络进行连接。笔者认为负载网络是可靠通道，即如果发送方与接收方均是正确的，它满足两个条件：a）消息最终被接收;b）传输通道中的消息内容不会被窜改。系统的时间模型总体上是异步的，除了服务器的本地安全内核――可信实时计算基（TTCB）[7]，所有的TTCB通过专有控制通道进行连接。容侵系统的体系结构如图1所示。 　　1．1 TTCB 　　??TTCB是一种