拜占庭将军问题
n>=3m+1
网络系统的生存技术
关于拜占廷将军问题
The Byzantine Generals Problem
相关连接:
这个问题是在1982年由Lamport, Shostak, Pease提出,后少人问津。为了利于对“拜占廷将军”问题原意的理解和避免曲解,把英文解释奉上:
Byzantine General Problem ——The problem of reaching a consensus among distributed units if some of them give misleading answers. The original problem concerns generals plotting a coup. Some generals lie about whether they will support a particular plan and what other generals told them. What percentage of liars can a decision making algorithm tolerate and still correctly determine a consensus?
The Byzantine Generals Problem
拜占庭将军问题是容错计算中的一个老问题。
邦占庭帝国是5~15世纪的东罗马帝国,即现在的土耳其伊斯坦布尔。几个师包围着敌人的一座城市。每一个师都由它自己的将军统帅,司令之间只能通过报信者互相通信。他们必须统一行动。某一位或几位将军可能是叛徒,企图破坏忠诚的司令们的统一行动。将军们必须有一个算法,使所有忠诚的将军能够达成一致,而且少数几个叛徒不能使忠诚的将军们做出错误的计划。
来源:——〈信息安全与通信保密〉杂志
前不久,一起广泛性的网络中断事件在某国发生,上千万用户突然在同一时间无法上网,各地保障电话很快接到大量用户投诉……事后媒体披露,这次断网事件持续10分钟到1小时不等,而导致断网的原因却众说纷纭,有人说是遭到了黑客攻击,有人说是网络运营商在更新服务器系统,有人说是硬件设备出现了故障,至今仍无定论。人们在思考,为什么在安全技术手段如此健全的今天,还会发生这种事件,造成如此严重的后果和影响?能否有方法在局部系统出现问题时,仍然不影响整个系统的正常运转与“生存”?
于是,网络容忍技术应运而生了。人们开始研究诸如“The Byzantine Generals Problem”(拜占庭将军问题),试图解决以“生存”为目的网络攻击防御技术。现将进展概况分述如下,以飨读者。
网络安全技术“三步曲”
通常,我们说网络安全技术经历了三个发展阶段:
以“保护”为目的的第一代网络安全技术;
以“保障”为目的的第二代网络安全技术;
以“生存”为目的的第三代网络安全技术。
第一代网络安全技术通过划分明确的网络边界,利用各种保护和隔离的技术手段,如用户鉴别和认证、存取控制、权限管理和信息加解密等,试图在网络边界上阻止非法入侵,达到信息安全的目的。第一代网络安全技术解决了很多安全问题,但并不是在所有情况下都有效,由于无法清晰地划分和控制网络边界,第一代网络安全技术对一些攻击行为如计算机病毒、用户身份冒用、系统漏洞攻击等就显得无能为力,于是出现了第二代网络安全技术。
第二代网络安全技术以检测技术为核心,以恢复技术为后盾,融合了保护、检测、响应、恢复四大技术。它通过检测和恢复技术,发现网络系统中异常的用户行为,根据事件的严重性,提示系统管理员,采取相应的措施。由于系统漏洞千差万别,攻击手法层出不穷,不可能完全正确地检测全部的攻击行为,因此,必须用新的安全技术来保护信息系统的安全。
第三代网络安全技术是一种信息生存技术,卡耐基梅隆大学的学者给这种生存技术下了一个定义:所谓“生存技术”就是系统在攻击、故障和意外事故已发生的情况下,在限定时间内完成使命的能力。它假设我们不能完全正确地检测对系统的入侵行为,当入侵和故障突然发生时,能够利用“容忍”技术来解决系统的“生存”问题,以确保信息系统的保密性、完整性、真实性、可用性和不可否认性。
无数的网络安全事件告诉我们,网络的安全仅依靠“堵”和“防”是不够的。
入侵容忍技术就是基于这一思想,要求系统中任何单点的失效或故障不至于影响整个系统的运转。由于任何系统都可能被攻击者占领,因此,入侵容忍系统不相信任何单点设备。入侵容忍可通过对权力分散及对技术上单点失效的预防,保证任何少数设备、任何局部网络、任何单一场点都不可能做出泄密或破坏系统的事情,任何设备、任何个人都不可能拥有特权。因而,入侵容忍技术同样能够有效地防止内部犯罪事件发生。
入侵容忍技术的实现主要有两种途径。第一种方法是攻击响应,通过检测到局部系统的失效或估计到系统被攻击,而加快反应时间,调整系统结构,重新分配资源,使信息保障上升到一种在攻击发生的情况下能够继续工作的系统。可以看出,这种实现方法依赖于“入侵判决系统”是否能够及时准确地检测到系统失效和各种入侵行为。另一种实现方法则被称为“攻击遮蔽”,技术。就是待攻击发生之后,整个系统好像没什么感觉。该方法借用了容错技术的思想,就是在设计时就考虑足够的冗余,保证当部分系统失效时,整个系统仍旧能够正常工作。
开辟信息网络安全的新机制
“入侵容忍”早在1982年就已提出,但相关研究工作是最近几年才兴起的。目前,许多重要的国际研究机构和研究人员都在潜心研究入侵容忍技术或生存技术,虽然取得了一些成果,但还没有投入实际应用的产品或系统。
1991年,国外学者开发了一个具有入侵容忍功能的分布式计算机系统。2003年,美国著名的学术会议ACM推出一个专题讨论生存系统问题,据悉,美国国防部高级研究计划署目前正在资助实施有机保证和可生存的信息系统计划,该计划大致由近30个项目组成。2000年1月,欧洲启动了基于因特网应用的恶意或意外故障入侵的容忍技术研究项目,该项目通过定义用于弥补可靠性和安全性差异的入侵容忍结构化框架和概念模型等,来建立大规模可靠的分布式应用系统。
虽然入侵容忍技术的研究尚处于起步阶段,但却已展示出广阔的发展前景。随着科技的不断进步,新的网络信息安全机制、入侵检测机制、入侵遏制机制和故障处理机制等将逐步建立起来,届时研究人员将从网络和传输层、高级服务、应用方案等层次上提供面向不同应用的入侵容忍新技术,相信入侵容忍新技术定会在未来信息系统中发挥重要作用。
信息安全新概念:
Intrusion Tolerance 入侵容忍
设想一下这样的情形:导弹控制系统在瞄准目标的关键时刻却无法发射; 雷达系统在敌机侵入的关键时刻却出现了故障; 电力系统在医疗手术时突然失效……所有这些对时间敏感的关键系统都不能因此停顿,必须在短时间内完成使命,这依靠现有的信息安全技术根本无法实现,需要用新技术来保证关键系统在遭受突然攻击或出现临时意外时,能在带病的状态下坚持工作,保持业务的连续性。于是,一种新的信息安全技术应运而生,这就是目前在全球信息安全领域中最新的,被专家称之为能在攻击中保持生存的入侵容忍技术。
从物理世界的对应中,我们也不难看出,很多人感染了非致命的疾病时,比如感冒,并未因此影响工作,而是通过坚持治疗实现痊愈。因此,专家认为,能在攻击中保持业务连续性的入侵容忍技术,是在目前的信息安全技术无法彻底实现入侵检测、入侵防御的残酷的现实面前的一个新希望,它必将是信息安全技术新的发展方向。为此,本报特约中国科学院研究生院信息安全国家重点实验室的专家们独家撰写了系列文章,全面阐述了这一代表信息安全发展新方向的新技术——入侵容忍技术。
入侵容忍技术的起源
第一代:信息保护技术
当设计和研究信息安全措施时,人们最先想到的是“保护”,我们把这样的技术称为第一代信息安全技术。它假设能够划分明确的网络边界并能够在边界上阻止非法入侵。比如:通过口令阻止非法用户的访问;通过存取控制和权限管理让某些人看不到敏感信息;通过加密使别人无法读懂信息的内容;通过等级划分使保密性得到完善的保证等。其技术基本原理是保护和隔离,通过保护和隔离达到真实、保密、完整和不可否认等安全目的。
第一代技术解决了很多安全问题,但是,并不是在所有情况下都能够清楚地划分并控制边界,保护措施也并不是在所有情况下都有效。当Internet网络逐步扩展的时候,人们发现保护技术在某些情况下无法起作用。比如:在正常的数据中夹杂着可能使接收系统崩溃的参数;在合法的升级程序中夹杂着致命的病毒;黑客冒充合法用户进行信息偷窃;利用系统漏洞进行攻击等。随着信息空间的增长,边界保护的范围必须迅速扩大,正如长城虽然修得高,但空间边疆的保护乃至太空边界的保护无法通过修建长城解决一样,保护技术在现代网络环境下已经没有能力全面保护我们的信息安全,如图所示。于是,出现了第二代信息安全技术。
第二代:信息保障技术
在第一代安全技术为主的年代,为了保护网络,人们尽量多修一些不同类型的墙,比如,在
系统存取控制的基础上,人们发明了各种类型的防火墙,希望这些高墙能够堵住原来系统中的缺口。然而,没有人认为这些保护措施天衣无缝。实际情况往往比设计者和评估者想像的还要复杂得多,许多著名的安全协议和系统都被发现存在漏洞。仅仅依靠保护技术已经没有办法挡住所有敌人的进入,于是,第二代安全技术就随着美国政府对信息保障的重视而诞生了。信息保障是包括了保护、检测、响应并提供信息系统恢复能力的、保护和捍卫信息系统的可用性、完整性、真实性、机密性以及不可否认性的全部信息操作行为。尽管信息保障本身比“信息安全”有更宽的含义,但由于同时代的技术是以检测和恢复为主要代表的第二代信息安全技术,所以就把这一代安全技术称为“信息保障技术”。
“信息保障技术”的基本假设是,如果挡不住敌人,但至少能发现敌人和敌人的破坏。比如,能够发现系统死机,发现有人扫描网络,发现网络流量异常。通过发现,可以采取一定的响应措施,当发现严重情况时,可以采用恢复技术,恢复系统原始的状态。信息保障技术就是以检测技术为核心的,以恢复技术为后盾,融合了保护、检测、响应、恢复四大技术,针对完整生命周期的一种安全技术。这四项技术的首字母为PDRR,有些学者在前面加上“预警”,在后面加上“反击”,希望使信息保障技术更加全面。由于检测技术是第二代信息安全技术的代表和核心,检测技术也就跟随着信息保障,成为国际研究的热点,基于知识学习、基于推理、基于遗传免疫等的入侵检测技术不断涌现。入侵检测产品也成为了信息安全产业的一个增长点。
在信息保障兴起的年代,许多其他技术也一起成长起来,如PKI等,尽管它们仍属于保护技术的范畴,但有时也被称为第二代安全技术。
在信息保障技术中,由于所有的响应,甚至恢复都依赖于检测结论,检测系统的性能就成为信息保障技术中最为关键的部分。因此,信息保障技术遇到的挑战是:检测系统能否检测全部的攻击?
但是,所有人都认为,检测系统要发现全部的攻击是不可能的,准确区分正确数据和攻击数据是不可能的,准确区分正常系统和有木马的系统是不可能的,准确区分有漏洞的系统和没有漏洞的系统也是不可能的。早在1987年,Cohen博士就发表了关于区分病毒代码和正确程序代码的定理,认为通过分析代码是不可能区分它们的。正是由于系统漏洞千差万别,攻击手法层出不穷,完全正确地检测攻击和失效是不可能的。现实生活中,要识别一个间谍就非常困难,雷达等侦察手段也无法发现所有伪装巧妙的敌人,我们必须用新的技术来保护关键系统。由于信息保障所依赖的检测技术有不可逾越的识别困难,使得信息保障技术仍没能解决所有的安全问题。同时,信息保障中的底牌技术——恢复技术也很难在短时间内达到效果。即使不断地恢复系统,但恢复成功的系统仍旧是原来的有漏洞的系统,仍旧会在已有的攻击下继续崩溃。学术界在努力改进检测技术的同时,也在努力寻找新的技术途径。
第三代:生存技术
如果说第二代信息安全技术是关于发现病毒以及如何消除病毒,那第三代技术就是关于增强免疫能力的技术,也被称做信息生存技术。它假设我们不能完全正确地检测系统的入侵,比如当一个木马程序在系统中运行时,我们可能并不知道。或者说,检测系统不能保证在一定的时间内得到正确的答案,然而,关键系统不能等到检测技术发展好了再去建设和使用,关键设施也不能容忍长时间的等待,所以,需要新的安全技术来保证关键系统的服务能力。卡耐基·梅隆大学的学者给生存技术下了一个定义:所谓“生存技术”就是系统在攻击、故障
和意外事故已发生的情况下,在限定的时间内完成使命的能力!
生存核心:入侵容忍
当故障和意外发生的时候,我们可以利用容错技术来解决系统的生存问题。如远地备份技术和Byzantine容错冗余技术。然而容错技术不能解决全部的信息生存问题: 第一,并不是所有的破坏都是由故障和意外导致的,例如攻击者的有意攻击,容错理论并不是针对攻击专门设计的; 其次,并不是所有攻击都表现为信息和系统的破坏,例如把账户金额改得大一点或把某个数据加到文件中,这种攻击本身不构成一种显式的错误,容错就无法解决问题; 第三,故障错误是随机发生的而攻击者却是有预谋的,这比随机错误更难预防。所以,生存技术中最重要的并不是容忍错误,而是容忍攻击。容忍攻击的含义就是:在攻击者到达系统,甚至控制部分子系统时,系统不能丧失其应该有的保密性、完整性、真实性、可用性和不可否认性。
解决了入侵容忍,也就解决了系统的生存问题,所以入侵容忍系统一定是错误容忍系统。入侵容忍技术就成为第三代信息安全技术的代表和核心,也被直接称为第三代信息安全技术。
入侵容忍的技术原理
入侵容忍技术的特点
入侵容忍系统的一个重要特点是要求消除系统中所有的单点失效,也就是说,任何单点发生故障不影响整个系统的运转。作为基础设施,提出消除单点失效的要求是合理的。
入侵容忍技术的另一个特色是抵制内部犯罪。攻击是无法完全禁止的,而内部犯罪可能更加难以根除。入侵容忍通过对权力分散及对技术上单点失效的预防,保证任何少数设备、任何局部网络、任何单一场点都不可能做出泄密或破坏系统的事情。
入侵容忍系统消除了权力集中,它的权力分散不同于一般的权力分散,是彻底的权力分散:任何设备、任何个人都不可能拥有特权。如入侵容忍的保密不同于一般存取控制中的权力分散,存取控制中总会有一个系统或设备级别非常高,但入侵容忍系统中不存在这样的设备。
入侵容忍系统不相信任何单一的系统,因为它们可能会被对手占领了。
实现方法
实现入侵容忍有两种途径。第一种途径是攻击响应,这也是比较容易想到的解决方案,通过改进检测系统,加快反应时间,从而将信息保障技术上升到一种在攻击发生的情况下能够继续工作的系统。另一种则被称为攻击遮蔽,意思是攻击发生了以后,整个系统好像没什么感觉。这两种实现方式各有优缺点。
攻击响应的入侵容忍
攻击响应的入侵容忍技术仍旧依赖检测或评估系统,或称为入侵容忍触发器系统。通过检测到局部系统的失效或估计到系统被攻击,然后调整系统结构,重新分配资源,从而达到继续服务的目的。
攻击响应的入侵容忍系统一般都包括一个基于风险概念的入侵预测系统、一个具有很高正确
率的入侵判决系统、一套系统资源控制系统和在线的修复管理程序。有些入侵容忍的体系中还包括隔离机制。当入侵检测系统预计某些活动可能是攻击时,就能调用资源的重新分配以减缓这种可能是攻击的操作。如果预测系统认为某种操作可能会严重影响后续的系统运作,则隔离机制会将这种可疑的操作隔离到其他区域。最后,到入侵判决系统作出正确的判决以后,修复管理程序再将攻击操作所导致的错误结果进行修补。针对被隔离的数据和操作,当判决系统认为确实是攻击时,就将被隔离的操作删除掉。当判定不是攻击时,就将这些隔离的结果融合到正确的系统中去。
可以看出,攻击响应的入侵容忍技术非常依赖于入侵判决系统,这样的系统也被称做入侵容忍的触发器。但目前的入侵检测系统拥有太高的误警率和太高的漏警率,从而无法担当入侵容忍触发器的重任。在实际的应用中,人的干预往往是这样的触发器中的重要部分。比如在信用卡交易中,用户的报告可能是最重要的入侵判决依据。
资源调整系统是入侵容忍系统中的重要环节。如何有效地调整资源,保证最大程度地限制被破坏区域的扩大是该类入侵容忍系统所要研究的。已有的许多设备可以作为资源调整系统的基础,如具有带宽调整功能的防火墙就可以将被怀疑的攻击IP地址的带宽限制在一定的范围内,从而保证其他用户的正常通信。通过重新定向的技术可以把可疑的操作导向到一个隔离区域从而保护系统的正常运转。
修补系统是该类型入侵容忍技术中的一个难点。一旦最后的判决认为某个操作确实是攻击,系统必须修正所有被该攻击影响到的数据而又不要采用简单的回退恢复。为了达到入侵容忍的目的,系统必须保证未被感染的部分不被恢复。这样,修复系统首先必须搞清楚哪些数据或系统受到影响变“坏了”;其次,就是把这些“坏了”的设备或数据进行正确的修复。比如,一个病毒进入系统感染了5个文件,而用户此时又修改了10个重要的文件,而10个中只有2个感染了病毒,此时,必须要定位到哪些文件被感染了,如果不能很好地定位,而采用简单的恢复技术,则用户的10个文件就都会被恢复到原始状态,不能称此系统为入侵容忍,只能被称为是简单的恢复。如果能够仅仅恢复被感染的文件,而让用户的大部分工作得以保留,这才是入侵容忍的宗旨。如何跟踪每个可疑的操作,如何备份就成为这个体系中的重要内容。
许多入侵容忍的系统就基于这样的结构,如ITDB数据库系统、Internet的服务保护系统等。这样的入侵容忍不需要重新设计系统结构,系统的操作和连接界面也可以保持与原有的一样。
攻击遮蔽的入侵容忍
攻击遮蔽的方法就是一开始就重新设计整个系统,以保证攻击发生后对系统没有太大的影响。该方法的原理可以用古老的容错技术进行说明。比如,在设计时就制造足够的冗余,以保证当部分系统被攻击时,整个系统仍旧能够正常工作。当然,入侵容忍的冗余并不是简单的容错中的冗余,入侵容忍的冗余技术应该保证各冗余部件之间具有复杂的关系,并具有不一样的结构。类似双机备份这样的技术没有办法构成入侵容忍的结构,因为攻击者攻克第一个服务器,他也就能够攻克第二个服务器。当需要机密性服务时,双机备份也不行,因为攻入一个系统就能够得到所有的信息。
多方安全计算的技术、门槛密码技术、Byzantine协议技术等成为入侵容忍技术的理论基础。这些理论都具有同样一个基本假设,就是计算环境是不可信的。要设计一种结构,使可信的部分系统能够在不可信的环境中安全地合作,才能完成系统的使命。
“n个个体中的t个个体参与合作就能够完成某种密码计算,而少于t个个体即使合作也无法完成这种密码计算”,这就是门槛密码学的一个简单解释。这就是说,只要少于t个个体被攻击者控制了,只要我们自己还拥有多于t个个体,我们就能完成这种计算而攻击者不能完成。Byzantine容错主要针对随机错误发生,当错误发生时,只要满足一定的条件,整个系统仍旧能够得出正确的结果。
信息安全国家重点实验室的入侵容忍的CA系统从门槛密码学的思路出发,利用密钥的拆分来保证私钥安全和签名安全。当有少数设备被敌人占领时,私钥不泄露,证书和CRL的签发服务照常进行。Cornell大学的COCA系统是基于Byzantine协议技术的思路,其分布式的CA系统能够保证,当t个服务器发生任意错误的时候,整个CA系统依旧能够正常地工作。
展望未来:自生成技术
网络和计算机迅速发展的今天,过去能够解决问题的安全方案现在无法解决全部的安全问题。一个基本的事实就是没有人能够保证一个系统是能够抵制任何攻击、故障和事故的。入侵容忍这一新技术,不仅仅是阻止攻击者,更重要的是在攻击、故障或事故已经发生的情况下,能保证关键功能继续执行,关键系统能够持续地提供服务。入侵容忍技术是理解风险分析最好的一种技术,因为它不仅放弃了过去绝对安全的假设,其实现机制也是针对系统使命来进行,而不是致力于完善和保护工具本身。
入侵容忍技术并不能替代第一代和第二代安全技术。过去的安全技术以有效性和相对更低的成本优势,仍旧具有广泛的应用前景。各种新的保护、检测、响应和恢复技术对整个信息网络的发展具有重要的意义,并具有非常巨大的发展空间。入侵容忍技术,作为一种新的安全技术就如同原子弹相对于常规武器一样,将在关键的信息系统中发挥重要作用。
有了入侵容忍技术,或者说有了生存技术,安全技术本身是不是就到了尽头了?我们可以看到,入侵容忍仍旧有一些不能解决的问题,就像一个人可能能够带病工作,但他仍旧会在不断的攻击中死亡。一个Byzantine容忍(拜占庭容忍)系统也不能容忍多数系统被敌人占领。那么,是否存在第四代安全技术?学者们已经开始讨论自生成系统技术。简单想像:其使命就像愚公移山,只有靠子子孙孙做后盾才能够完成一个人、一代人无法完成的使命。再比如传感器网络,从飞机撒下的许多智能传感器自动组成了一个网络,向后方报告情况。当网络遭遇炸弹时,剩下的智能传感器会重新组织一个网络,重新感知现场状况并向后方汇报。当飞机再次撒下一些传感器时,一个新的更快的传感器网络又自动形成了。可以看到,自生成系统能够更加有效地进行“进化”,使整个系统能具有更强的抗攻击能力。相信在不久的将来,这样的系统一定能够在关键的设施中得到应用。
【相关链接】
入侵容忍技术在国外
国际上很早就开始了入侵容忍技术的研究,早在1985年,Fraga和Powell就发表文章提到
了入侵容忍的概念。目前,许多重要的国际研究机构都在研究入侵容忍技术或生存技术。美国著名的学术会议ACM CCS 2003专门开出一个Workshop讨论生存系统问题。
两个重要的研究计划
OASIS(Organically Assured and Survivable Information System)是美国国防部高级研究计划署(DARPA)的一个重要研究计划。该计划旨在减弱敌人通过信息系统攻击美国国家安全的能力,并使信息系统能够在敌人攻击成功的情况下继续正常运转。该计划提供了构建生存系统的基础技术并帮助美国国防部掌握信息控制权。
MAFTIA(Malicious-and Accidental-Fault Tolerance for Internet Applications)是欧盟的研究项目,其中重要的一个工作是用容错技术和分布式系统技术构建入侵容忍系统。
2000年美国信息保障计划包含了入侵容忍技术
2000年,DARPA就开始将信息保障和生存相提并论,开始推进信息保障和生存技术(IA&S)。美国国防部希望通过这些技术保障统治多国环境下紧密集成的信息。为了保护美国的信息控制权,DARPA需要高有效的信息保障和生存防御谋略、架构和机制来保护自己的系统。在DARPA的IA&S项目中,入侵容忍系统项目计划(ITS)就是十几个重大计划中的一个。最近,美国DARPA的信息技术办公室(IPTO)将入侵容忍的研究转移到“组织保障和生存信息系统”(OASIS)上。同时对OASIS的测试和验证研究也单独立项资助。在非密级研究中,美国2001年在入侵容忍技术的经费投入为218.6万美元,2002年转到OASIS后经费增长到1815.2万美元。
2000年DARPA入侵容忍项目的目标和范围
入侵容忍系统项目的目标就是构思、设计、开发、实现、演示和验证入侵弹性系统和入侵容忍系统的结构、方法和技术。一个入侵容忍系统(ITS)是这样的信息系统,它能够在面对攻击的情况下仍然连续地为预期的用户提供及时的服务。入侵容忍系统能够检测一些用攻击避免和预防手段无法阻止的信息攻击。这些攻击可能透过外层防御,即用攻击避免和预防手段设置的防御。系统将采取一些必要的措施保证关键应用的功能连续正确。这些措施包括从限制被怀疑的代码和数据到重新配置硬件和软件资源等,对逐步降低系统能力的可能进行功能的重组和资源的再分配。
DARPA资助的入侵容忍项目
ITUA项目
DARPA资助了一个由BBN技术公司、Illinois大学、Maryland大学和波音飞机公司联合进行的入侵容忍项目。项目名称为Intrusion Tolerance by Unpredictability and Adaptation。其主要设想就是利用不可预言和适应性来设计入侵容忍技术。其技术手段是通过一种先进的冗余管理技术,特别是针对有计划的攻击或按部就班的攻击,先进的冗余管理技术产生一种对攻击者来说是无法预测的资源调配和复杂的响应,使攻击者很难进行攻击计划或协作下一步的攻击。开发的算法能够容忍Byzantine失效。
ITTC项目
是由Stanford大学Dan Boneh等组成的研究小组利用门槛密码学设计的入侵容忍的系统。项
目全称是Intrusion Tolerance via Threshold Cryptography。项目的目标是为入侵容忍的应用提供一些工具和基础设施。ITTC项目不将防御和保护作为重点,而注重保证当少数系统被攻击后不泄露整个系统的秘密。项目开发了一些软件工具,这些软件让需要长时间有效的密钥信息分布到多个服务器中,并且这些密钥永远不在单一的场点恢复。这就保证了当少数服务器被占领且这些服务器内的信息被泄露后,不会造成信息的丢失。
SRI的可靠系统结构研究
由DARPA资助的可靠系统结构项目由SRI下的系统设计实验室和NAI实验室合作进行研究,其重点是设计一种入侵容忍的系统结构。
目前,一般的软件工程和一般的系统复杂度会产生许多系统漏洞。避免漏洞产生,消除已有漏洞,停止一些有漏洞的系统运作都是系统安全的重要方法。然而,该项目组认为,入侵容忍技术是最终的和根本的防御方法,因为未知的或没有解决的漏洞总会存在。入侵容忍技术的目标是当攻击发生或成功时维持一个可以接受的系统服务,当然效率可能会有所降低。
●其他入侵容忍技术研究
UMBC(美国Maryland University, Baltimore County)的itDBMS项目也是DARPA资助的入侵容忍数据库系统项目,是通过入侵检测、入侵隔离、入侵标识、破坏判断与安全恢复等技术,在商用系统上实现入侵容忍的安全数据库系统。MCNC和Duke进行的Sitar(可扩展的入侵容忍结构)项目和欧洲的MAFTLA(Malicious and Accidental Fault Tolerance for Internet Applications)在入侵容忍技术上是比较突出的。
在密钥管理上,人们也开始研究入侵容忍,希望密钥的分发和维护能够抵制多种攻击。