3 可生存性
可生存性(Survivability)是指网络在遭受攻击、失效或者意外后能够及时地完成任务的能力[23]。网络可生存性的实现是靠具体的保护和恢复措施来保证的。保护和恢复均是在网络故障条件下,使受损的业务得以重新运行的具体措施。
目前,网络的安全性日益被纳入到可生存性的范畴。2004年国际实时系统研讨会上召开了基础设施生存性工作组会议,讨论了今天的网络系统面临的生存性挑战,需要综合考虑网络负荷、攻击和故障情况。文献[24]提出了包含了安全的可生存性(SoS)的概念,认为传统安全技术是保护系统部件的技术,而可生存性技术包含了整个系统的功能。可生存性的目标比安全性更高。
这里为了描述方便,我们将传统的针对随机故障的网络生存性称为“狭义可生存性”;而将拓展到包含了人为攻击的、内涵更广的可生存性概念称为“广义可生存性”。
3.1狭义可生存性
网络可生存性研究最早集中在传送网;随着网络业务的发展,对IP网络的可生存性问题也日益关注。
传送网(如SDH网络、WDM网络)由于其链路的传输容量较大,其网络部件因故障失效时可能遭受比其他网络更大的损失。因此,20世纪70年代就开始研究SDH传送网的可生存性问题。目前已有大量文献对传送网可生存性问题进行了深入研究[25]。根据具体应用情况的不同,这些研究可以分为以下几个方面:
(1)从网络拓扑结构的角度看,可以分为对环状、网状网的研究。
(2)从业务模型的角度看,有静态的和动态的生存性算法。
(3)从使用机制的角度看,又分为自愈环、1+1、共享保护、通路保护/恢复、链路保护/恢复、子通路保护/恢复和圈覆盖等。
(4)按照恢复故障场景的不同,又可以分为对单链路失效、多链路失效、节点失效、区域失效的研究。总的来说,这些研究的目的就是如何提高网络的资源利用率(或者提高网络的吞吐率)以及在资源利用率和恢复时间之间找到较好的折衷。
同时,随着网络业务的进一步发展,对IP网络在可靠性、可用性方面提出了更高的要求,传统的“尽力而为”服务已远远不能满足业务需要。传统的IP网在故障发生后通过动态路由收敛来恢复,恢复时间较慢,一般在几秒至几分钟;这对高速骨干网络是不可接受的。因此,在本世纪提出了多种快速自愈机制以提高IP网络的可用性和可靠性[26],大概可分为3类。一类是全网反应式的路由重构自愈机制;第二类是本地预配置的快速重路由机制;第三类是基于多协议标记交换(MPLS)的保护倒换方案。反应式的路由重构自愈机制是利用IP路由协议天然的自愈能力,发生失效后,在新的网络状态下重新计算路由来达到自愈的目的。另一类方法是预先计算多个路由,本地发现失效后,通过本地倒换到备份路由的方式实现路由的本地修复。本地修复的研究工作集中在快速重路由(FRR)[27]和多拓扑路由(MTR)[28]。而保护切换是预先建立备份通路,为每条工作预留空闲资源,因此恢复速度快。保护切换是MPLS网络中达到快速自愈的合适方法。保护切换根据所保护的粒度不同分为端到端方式和本地方式。
3.2广义可生存性
广义可生存性的研究主要有两大问题:一是定量评估问题,涉及建立包括网络的脆弱性分析、用户攻击行为描述在内的合理故障模型理论和定量评估的方法。二是保证广义可生存性的机制和策略问题,从单纯容错到容错、容侵同时考虑;从同构网络环境下的单种技术到异构网络下的层次化、协同可生存性技术。
(1)可生存性定量评估研究
建造一个完美的可生存性网络是不可能的,定量评估网络的可生存性就显得非常有价值。定量研究可生存性可以发现网络的脆弱点、确定存在的风险、有针对性地改善。
可生存性的量化才刚刚起步,尚处于探索阶段,已经出现的研究工作大多借鉴了可依赖性研究的成功经验。与此相比,可依赖性研究经历了多年的发展,已经形成了多种模型方法分别适用于不同的应用场景,如Petri net[29]状态空间的模型方法等。因此,可依赖性研究为可生存性量化研究奠定了基础。但是,可依赖性分析中通常假设故障是由硬件或软件的随机事件引起。而在广义可生存性分析中,除了考虑由随机事件引起的故障外,还有人为故意引起的故障。尽管人为故障从外部观察者来看这些事件似乎是随机的、没有关联,但实际上它们之间是精心设计、彼此相关的。使得它们很难用经典随机模型来正确描述。
目前,在随机故障场景下网络的可生存性量化分析方面和入侵容忍、入侵检测、安全模型等理论和技术等安全方面进行了大量研究。但恶意攻击对网络可生存性的影响的研究还不够深入,主要的研究机构有Virginia大学、Arizona大学、Carnegie Mellon大学和CERT组织等,其研究各有侧重点:Virginia大学和Arizona大学的研究侧重于系统可生存性的量化[30]和体系结构[31];文献[32]基于问题空间转换的思路,把网络系统的可生存性评估转换为某种经典问题求解的方法框架等等。这些研究都处于摸索阶段,还没有形成完整的理论体系和实用技术。
为量化评估网络的可生存性,建立包括网络的脆弱性分析、用户攻击行为描述在内的故障模型理论是非常重要的,也是量化评估的最大挑战。网络故障的特点对可生存性方案的设计是至关重要的,只有准确地建立故障失效特点和模型,才可以有针对性地设计解决方案。2004年,UCDAVIS大学研究了IP骨干网络的故障特点[33]。但这些研究尚不足以导出合适的评估模型。
(2)广义可生存性技术和策略研究
当前关于可生存性机制和算法的研究大都集中于给定网络的故障情况(比如单故障、双故障等)或假设网络的故障是随机发生的情况。对恶意攻击下的网络保护恢复技术研究得很少。错误是随机发生的,而攻击却是有预谋地利用了系统的弱点和漏洞,导致网络中的故障数和故障场景不确定。显然,二者之间存在的区别使得不能直接用现有针对随机故障的保护恢复技术解决恶意攻击的问题。以前提出的生存性机制或者生存性路由算法就不再适用。因此,针对可信网络的容错、容侵问题的解决方案仍有待研究。
广义可生存性的目标在于网络的整体可生存性能,更强调层次化的多域多层联合设计。文献[34]研究了多层网络的可生存性问题。通过层间信息交互,灵活决定在何时、何层实施合适的恢复动作,从而建立起有效的层间调整策略,实现不同层故障恢复机制之间的协调,以避免不同层恢复机制间的竞争,提高网络的整体可生存性。文献[35]研究了多域环境中的网络可生存性问题,指出了现有多域网络中存在的问题和挑战。
4 结束语
本文从网络的安全性、可控可管性和可生存性3个方面讨论了现有的关于可信网络关键技术的研究现状,并分析和评述了技术发展的趋势和方向。从中不难看出,可信网络的研究尚处于起步阶段,仍有众多的问题有待解决。例如,如何整合现有的孤立和分散的安全策略和技术手段;如何从体系结构的角度设计和实现具有内在安全防护和威慑能力的网络;如何在保证对用户行为的高度控制和管理能力的同时,兼顾用户的隐私;如何在集中式控制与可扩展性之间找到合适的平衡;如何定量评估网络的容错、容侵和容忍故障的能力等等。随着技术的进步和业界的共同努力,我们相信,这些困难的问题终将解决,这些困难的折中和平衡终将被找到,而“使网络可信”这一目标也终将被达到。
5 参考文献
