23、基于冗余的入侵容忍基本方面

基于冗余的入侵容忍基本方面

1. 冗余入侵容忍概述

在安全领域，迅速检测受攻击的组件至关重要，可防止攻击路径得逞，避免大量（潜在关键）组件被攻破。不过，仅依靠检测可能不足以实现理想的安全水平，因此需要采取入侵管理措施。

几十年来，可靠性领域提出了容错技术，旨在确保在出现故障时服务不中断。容错包括错误检测和系统恢复技术，系统恢复又由错误处理和故障处理机制组成。尽管容错最初主要用于应对意外故障，但其实质概念也适用于恶意故障，从而催生了入侵容忍。

安全领域的故障模型与意外故障有相似之处：存在漏洞，攻击者可利用漏洞发起攻击，若攻击成功则导致入侵。例如，未妥善屏蔽的硬件组件可能被电磁场粒子穿透，导致操作故障和计算错误。但有意攻击有其特殊性，需要仔细分析，尤其是攻击背后的逻辑。

为清晰起见，参考AVI（攻击 - 漏洞 - 入侵）故障模型，我们认为攻击→漏洞→入侵这一故障链是错误的根源，而入侵容忍可作为屏障，防止错误导致系统故障。

在众多入侵容忍研究方向中，我们专注于处理入侵产生的错误的技术，特别是采用冗余来掩盖错误的解决方案，即补偿类别。冗余是指利用更多组件，通过适当定义的裁决函数从冗余结构的多个结果中选择，以掩盖受损计算、存储值或传输消息的存在。常见的基于冗余的容错结构有恢复块和N版本编程，我们将借鉴其概念应用于入侵容忍领域。时间冗余（如重试计算或传输）在应对攻击时通常不合适，因为攻击不会随时间消失，甚至可能加剧。

利用冗余掩盖错误，虽然使错误检测并非立即必要，但它仍是识别和限制入侵传播的关键步骤。在某些情况下，掩盖入侵影响可能是满足系统要求的唯一选择，例如攻击检测的高延迟无法满足应用的时间要求。对于有状态计算，建议将掩盖与状态恢