普适计算中网络可生存性及系统的设计.docVIP

普适计算中网络可生存性及系统的设计 　　摘要：主要就普适计算下无边界网络系统的可生存性问题进行分析，然后介绍了可生存系统设计的两种设计方法，并对两种设计方法进行对比分析。?? 　　关键词：可生存性; 无边界网络; 网络安全; 可生存系统设计方法 　　?ぶ型挤掷嗪牛?TP393.01文献标志码：A 　　文章编号：1001－3695(2008)01－0246－03 　　 　　人类社会诸多的关键性信息基础设施越来越依靠于大规模、分布式计算机网络系统，即计算方式越来越朝着普适计算的方向发展。这种发展已经跨越了传统的网络边界，演变成无边界网络系统。这些网络系统的安全形势日益严峻，传统的基于网络边界和安全域划分的安全观念已经不适应网络形势的发展。在普适计算环境下的无边界网络系统中，如何提高其安全性和关键网络服务的可持续性，给人们提出了新的要求。于是人们提出新的安全理念来确保网络信息系统的安全性，这就是当前网络安全研究的新方向――可生存性研究。?? 　　 　　1可生存性分析?? 　　 　　1．1普适计算中无边界系统分析?? 　　普适计算的环境跨越地理和空间区域，包含海量的设备和用户，它的网络环境发展成无边界系统。无边界系统是相对传统的有边界系统而定义的。传统的有边界系统是指系统各个部件被统一标志、集中管理和控制。但是在一个无边界系统中，所有节点均无法获得关于这个系统的完整、准确的信息，必须依赖和信任其邻居节点提供的信息，节点在其本地控制域外没有任何控制权。?? 　　一个无边界系统可由若干个有边界系统和无边界系统互连构成，如图1所示。虽然各个有边界系统的安全策略在它的安全管理控制域外无法得到保障，但是仍然可以作为有边界系统其自身安全状态评估的标准。有边界系统可以向外宣称其安全策略，但是其管理者无权强迫域外的实体也遵从其安全策略。这种情况在无边界系统中更加突出，因为无边界域的概念已经跨越了有边界系统的权限边界，使得权限认证无法实施。?? 　　 　　一般来说，无边界系统具有以下属性：?? 　　a)存在多个管理域，但是没有集中控制，也没有明确的边界；?? 　　b)没有全局可见度(不能了解网络中节点的数目和所有节点的状态属性)；?? 　　c)各管理域之间具有交互、协商能力；?? 　　d)具有高度分布性和协作能力；?? 　　e)攻击者和合法用户可能是对等实体（即没有攻击者和合法用户节点的区分，也没有内外部用户、可信与不可信的区分）；?? 　　f)不能被简单地划分为有限个有边界子系统。?? 　　现实中的计算机大规模互联网络（如Internet）以及电力网、金融网、电信网、医疗保健系统、社会和生态系统等均属于无边界网络的范畴。?? 　　无边界系统已经成为普适计算网络系统向大规模、高分布式方向发展的必然结果，在未来社会中将会扮演更加重要的角色。与此同时，对无边界系统的安全性问题的研究也越来越得到重视。?? 　　1．2可生存性的定义和特征?? 　　普适计算指无论何时何地，只要需要就可以通过某种设备访问到所需的信息。它强调计算是可以无所不在、随时随地进行的。普及计算环境由于设备、服务可用性的频繁变化而且是在无边界系统的环境下，表现出动态特征。在这样的环境下,安全状态是极不稳定的。在如此不稳定的动态环境下，如何保证任务的执行？于是人们提出网络系统的可生存性。?? 　　可生存性是指在遭受攻击、故障或意外事故时，系统能够及时地完成其关键任务的能力。任务是一个抽象的概念，是指网络系统的高层目标、需求或它所提供的服务。生存能力的中心思想是即使在遭受到成功入侵、系统的关键部分遭到损害甚至摧毁时，系统依然能够完成其关键任务，并能及时恢复被损坏的服务。可生存性强调可生存的是任务、服务，而不是系统中某些具体的所谓关键部分。?? 　　可生存系统的核心就是维持关键服务，也就是维持系统中支持关键服务的关键属性，如性能、完整性、机密性、安全性和其他属性等。维持关键服务不能以系统中特定信息源、节点计算能力或通信链路的可生存为前提。也就是说，即使系统中某一关键部分遭到破坏，依然能够维持关键服务，甚至在该服务遭到毁灭性打击而根本无法继续提供时，系统中还必须有其他服务能够按照不同但同样有效的方式来替代该服务。?? 　　关键服务本质上是一种比较特殊的系统功能。为了维持关键服务，可生存性系统必须拥有四个关键属性（R3A），即抵抗攻击、识别攻击、恢复服务和自适应及演化。这些关键属性是通过制定相应的策略得以体现和保障的。?? 　　1．3可生存性与传统安全概念的区别?? 　　从上面的分析可以看到，可生存性的提出突破了传统狭隘的安全观念。可生存性明确地提出以关键服务为核心保护对象，即使攻击已经对网络系统造成了一定程度的损害，仍然要保证网络系统关键服