面向Web服務(wù)的容侵策略研究

【摘要】容忍入侵是第三代信息安全技術(shù)中的核心內(nèi)容，與傳統(tǒng)的安全技術(shù)不同，容忍入侵的目的是即使系統(tǒng)的部分組件受到攻擊時，仍能維持整個系統(tǒng)關(guān)鍵信息和服務(wù)的完整性、機密性和可用性。本文給出了一種基于主動秘密共享算法的具體保護方案，通過n個共享服務(wù)器交互協(xié)作完成影子的周期性更新，且在更新和驗證過程中不暴露私鑰的任何有用信息，使得入侵者的有效攻擊時間縮短在一個周期內(nèi)，從而保證了私鑰的長期機密性和安全性。

【關(guān)鍵詞】容忍入侵；web服務(wù)；主動秘密共享

【中圖分類號】TN91 5.08 【文獻標(biāo)識碼】A 【文章編號】1672-5158（2012）09-0371-02

O、引言

傳統(tǒng)的安全技術(shù)手段有很多，例如認(rèn)證、數(shù)據(jù)加密、存取控制、漏洞檢測評估、防火墻、入侵檢測等。這些技術(shù)在入侵檢測領(lǐng)域已進行了卓有成效的研究與開發(fā)。入侵檢測通過收集和分析網(wǎng)絡(luò)中若干關(guān)鍵點的信息，檢查系統(tǒng)是否存在不正常的行為和被攻擊的跡象，一旦發(fā)現(xiàn)系統(tǒng)的“不規(guī)則”行為，它會發(fā)出預(yù)警信號通知管理員。但是入侵檢測也只是一種發(fā)生入侵后的被動防御技術(shù)，現(xiàn)有入侵檢測一般只能檢測到已知的和定義好的入侵或攻擊行為，而且在性能上還存在一些問題。因此，需要一種能夠在系統(tǒng)遭受到攻擊和入侵時，仍然能夠繼續(xù)對外提供全部或者降級的服務(wù)，并保持系統(tǒng)秘密性與完整性的新的安全技術(shù)一容忍入侵。

1、基本技術(shù)

1.1 冗余與多樣性技術(shù)

冗余技術(shù)的原理是：當(dāng)一個冗余組件失敗的時候，其它的冗余組件可以執(zhí)行該失敗冗余組件的功能直到該組件被修復(fù)。目前容侵系統(tǒng)中主要使用的是物理資源冗余和信息冗余。物理資源冗余的目的是使用多個部件共同承擔(dān)同項任務(wù)，當(dāng)主要模塊發(fā)生故障時，用后援的備份替換故障模塊，使系統(tǒng)完好無損，也可以用緩慢降級切除故障模塊，讓剩下的正常模塊繼續(xù)工作。信息冗余的則是在最低限度的信息碼之外增加一些信息碼，以防止使用錯誤的碼。

1.2 門限方案和分布式信任技術(shù)

門限方案也被稱為是“秘密共享”，這個概念是由Shamir和Blakley于1979年分別提出的，其基本思想是設(shè)計一種方法來把數(shù)據(jù)分割成n份，分布在不同的地點，至少需要k份才能重建數(shù)據(jù)，少于k份則不能揭示任何信息。在容忍入侵系統(tǒng)中，使用門限方案有兩種基本方法。第一種，數(shù)據(jù)被分為n份存放在分布的物理地點，至少需要k份才能獲取秘密信息，因此即使n-k-1份被攻擊得到了，原始數(shù)據(jù)仍然可以重建，并且機密性也能得到保證，達到了容侵的目的。第二種，數(shù)據(jù)本身經(jīng)過加密，將加密后的數(shù)據(jù)使用門限技術(shù)分成n份，要得到信息的訪問權(quán)，就需要k份加密數(shù)據(jù)來構(gòu)建原始數(shù)據(jù)。

1.3 入侵檢測技術(shù)

入侵檢測是安全領(lǐng)域中的一個發(fā)展成熟的技術(shù)，整合利用現(xiàn)有的入侵檢測技術(shù)構(gòu)建容忍入侵系統(tǒng)是比較符合實際的做法。為了徹底攻陷擁有冗余組件的容忍入侵系統(tǒng)，攻擊者必須在短時間內(nèi)對多個組件進行嘗試，這樣興師動眾的攻擊行為比單個的攻擊更容易被入侵檢測系統(tǒng)發(fā)覺，因此入侵檢測技術(shù)可作為容忍入侵機制的重要補充，它在容忍入侵系統(tǒng)中是可以發(fā)揮比較好的防御保護作用。

1.4 投票表決技術(shù)

作為擁有冗余組件的容忍入侵系統(tǒng)，當(dāng)多個組件處理同一個請求時，有可能因為有錯誤的組件而出現(xiàn)多個響應(yīng)結(jié)果，投票技術(shù)的目的就是解決冗余響應(yīng)的不同，并最終達成一致得到一個正確的響應(yīng)結(jié)果，而且根據(jù)投票結(jié)果可以發(fā)現(xiàn)發(fā)生錯誤的組件。

2、容侵Web服務(wù)系統(tǒng)的安全體系結(jié)構(gòu)

2.1 模型設(shè)計思想

容侵Web服務(wù)系統(tǒng)的設(shè)計目標(biāo)可以分為三個層次：

（1）保證Web服務(wù)器上數(shù)據(jù)特別是私鑰的完整性和秘密性。當(dāng)系統(tǒng)受到入侵時，容忍入侵系統(tǒng)需要保護服務(wù)器上的數(shù)據(jù)不被非法篡改，或者能夠發(fā)現(xiàn)已經(jīng)被篡改的部分，必要時加以恢復(fù)。

（2）保證Web服務(wù)的可用性。在發(fā)現(xiàn)有入侵發(fā)生甚至入侵者已經(jīng)控制了部分Web服務(wù)器的情況下，容忍入侵系統(tǒng)需要使應(yīng)用系統(tǒng)整體對外仍能為合法客戶提供預(yù)期的有效Web服務(wù)，并且系統(tǒng)性能的下降不應(yīng)該被客戶察覺到。

（3）保證整個系統(tǒng)的安全運行。在發(fā)現(xiàn)入侵者正在實施攻擊但未造成破壞時，容忍入侵系統(tǒng)需要采取預(yù)防措施，阻止入侵者對整個系統(tǒng)進一步的攻擊行為。

2.2 安全體系結(jié)構(gòu)

容侵Web服務(wù)系統(tǒng)的體系結(jié)構(gòu)如圖2.1所示，系統(tǒng)主要由以下幾個單元組成。

（1）ProxyServer：容侵代理服務(wù)器提供容忍入侵服務(wù)的公開接入點，主要起初級防護整個容侵Web服務(wù)系統(tǒng)的作用，可以使外界服務(wù)請求和Web服務(wù)器不直接接觸。

（2）WebServer：為了獲得高的容忍入侵能力，具體實現(xiàn)時引入一定的冗余度用多臺Web服務(wù)器處理請求，保證當(dāng)某些服務(wù)器被入侵時，冗余的服務(wù)器仍然能為客戶提供服務(wù)。

（3）IDS：為保證Web服務(wù)器的正常運行，整個系統(tǒng)安裝了IDS，檢測來自外部的攻擊并同時監(jiān)視各個系統(tǒng)組件的運行狀況，一旦發(fā)現(xiàn)異常將觸發(fā)管理者的一系列容忍入侵策略。

（4）ShareServer：Web服務(wù)器并不存放自己的私鑰d，私鑰通過（k，n）主動秘密共享算法存儲在n個共享服務(wù)器上，Web服務(wù)器無論何時接受到建立安全鏈接的請求，都需要與這些共享服務(wù)器進行交互來應(yīng)用自己的私鑰。

（5）Administrator：這里包括很多模塊，比如私鑰管理模塊PKM（Private Key Management）、系統(tǒng)控制模塊、策略執(zhí)行模塊等，為了分析方便，統(tǒng)稱為管理者。

3、Web私鑰的主動秘密共享算法

在私鑰的主動秘密共享保護方案中，主動秘密共享算法是最關(guān)鍵的部分。在文獻中給出了一個比較完整的主動秘密共享算法，目前各種主動加密算法及主動簽名算法都是以它為理論基礎(chǔ)的。在這個算法中使用的是Feldman-VSS來驗證影子的正確性，但這個驗證方案僅是計算安全的，在有惡意攻擊者的情況下有可能會泄露私鑰d的相關(guān)信息，因為在其驗證過程中g(shù)aO是公開的信息，其中g(shù)是公開的可驗證函數(shù)，aO是分割私鑰時所選的k-1次多項式的常數(shù)項，且a（）就等于私鑰d，得到任意k個或少于k個私鑰影子的攻擊者利用這些公開信息將有可能得到私鑰d。為了保證私鑰的秘密性，讓攻擊者絕對無機可乘，本文使用比Feldmaaa-VSS更安全的Pedersen-VSS來實現(xiàn)基于RSA密碼體制的私鑰主動秘密共享算法。

整個算法由三個部分組成：影子產(chǎn)生算法、更新算法和影子恢復(fù)算法。算法的體制參數(shù)：p，q是兩個大素數(shù)，且有q mp+l（m是小整數(shù)，例如2，3，4等），g∈zq且為p階元，k是門限值，n是共享服務(wù)器的數(shù)目，d為Web服務(wù)器的私鑰，在（k，n）Shamir秘密共享算法生成域zp內(nèi)被分成個影子；另取h∈zq，并使h∈是由g生成的循環(huán)群中的元素。四元組（p，q，g，h）是公開的。

4.改進的投票表決機

當(dāng)容侵Web服務(wù)系統(tǒng)中出現(xiàn)錯誤的Web服務(wù)器時，冗余Web服務(wù)器組對客戶的服務(wù)請求就會出現(xiàn)不同的響應(yīng)結(jié)果。為了得到正確的響應(yīng)結(jié)果，各個Web服務(wù)器在對服務(wù)請求作出處理后，會把響應(yīng)結(jié)果進行投票表決處理。投票表決技術(shù)在容侵Web服務(wù)系統(tǒng)中起著非常關(guān)鍵的作用，其一是保證了從Web服務(wù)器組不同的冗余響應(yīng)中得到一個一致的正確的響應(yīng)結(jié)果；另外投票技術(shù)作為容侵系統(tǒng)的觸發(fā)器能夠補充IDS的不足，能夠發(fā)現(xiàn)IDS難以發(fā)現(xiàn)的未知入侵，這是因為投票表決過程是根據(jù)未知入侵造成的后果，這個特點保證了系統(tǒng)在受到任何未知入侵攻擊時仍可以生存。

5、結(jié)束語

容忍入侵是信息安全領(lǐng)域前沿的研究課題，有著廣闊的應(yīng)用空間。它的目標(biāo)是在系統(tǒng)有部分入侵，性能下降的情況下還可以維持系統(tǒng)的正常服務(wù)。容忍入侵技術(shù)融合了數(shù)據(jù)容錯、免疫理論、門限密碼學(xué)、數(shù)據(jù)恢復(fù)技術(shù)、入侵檢測等相關(guān)理論和技術(shù)。本文在分析學(xué)習(xí)了國際國內(nèi)相關(guān)研究成果的基礎(chǔ)上，對面向Web服務(wù)的容忍入侵策略進行了研究。