可信网络中安全、可控可管及可生存技术研究

而可生存性技术包含了整个系统的功能。可生存性的目标比安全性更高。

　　这里为了描述方便，我们将传统的针对随机故障的网络生存性称为"狭义可生存性"；而将拓展到包含了人为攻击的、内涵更广的可生存性概念称为"广义可生存性"。

　　3.1 狭义可生存性

　　网络可生存性研究最早集中在传送网；随着网络业务的发展，对IP网络的可生存性问题也日益关注。

　　传送网(如SDH网络、WDM网络)由于其链路的传输容量较大，其网络部件因故障失效时可能遭受比其他网络更大的损失。因此，20世纪70年代就开始研究SDH传送网的可生存性问题。目前已有大量文献对传送网可生存性问题进行了深入研究[25]。根据具体应用情况的不同，这些研究可以分为以下几个方面：

　　(1)从网络拓扑结构的角度看，可以分为对环状、网状网的研究。

　　(2)从业务模型的角度看，有静态的和动态的生存性算法。

　　(3)从使用机制的角度看，又分为自愈环、1＋1、共享保护、通路保护/恢复、链路保护/恢复、子通路保护/恢复和圈覆盖等。

　　(4)按照恢复故障场景的不同，又可以分为对单链路失效、多链路失效、节点失效、区域失效的研究。总的来说，这些研究的目的就是如何提高网络的资源利用率(或者提高网络的吞吐率)以及在资源利用率和恢复时间之间找到较好的折衷。

　　同时，随着网络业务的进一步发展，对IP网络在可靠性、可用性方面提出了更高的要求，传统的"尽力而为"服务已远远不能满足业务需要。传统的IP网在故障发生后通过动态路由收敛来恢复，恢复时间较慢，一般在几秒至几分钟；这对高速骨干网络是不可接受的。因此，在本世纪提出了多种快速自愈机制以提高IP网络的可用性和可靠性[26]，大概可分为3类。一类是全网反应式的路由重构自愈机制；第二类是本地预配置的快速重路由机制；第三类是基于多协议标记交换(MPLS)的保护倒换方案。反应式的路由重构自愈机制是利用IP路由协议天然的自愈能力，发生失效后，在新的网络状态下重新计算路由来达到自愈的目的。另一类方法是预先计算多个路由，本地发现失效后，通过本地倒换到备份路由的方式实现路由的本地修复。本地修复的研究工作集中在快速重路由(FRR)[27]和多拓扑路由(MTR)[28]。而保护切换是预先建立备份通路，为每条工作预留空闲资源，因此恢复速度快。保护切换是MPLS网络中达到快速自愈的合适方法。保护切换根据所保护的粒度不同分为端到端方式和本地方式。

　　3.2 广义可生存性

　　广义可生存性的研究主要有两大问题：一是定量评估问题，涉及建立包括网络的脆弱性分析、用户攻击行为描述在内的合理故障模型理论和定量评估的方法。二是保证广义可生存性的机制和策略问题，从单纯容错到容错、容侵同时考虑；从同构网络环境下的单种技术到异构网络下的层次化、协同可生存性技术。

　　(1)可生存性定量评估研究

　　建造一个完美的可生存性网络是不可能的，定量评估网络的可生存性就显得非常有价值。定量研究可生存性可以发现网络的脆弱点、确定存在的风险、有针对性地改善。

　　可生存性的量化才刚刚起步，尚处于探索阶段，已经出现的研究工作大多借鉴了可依赖性研究的成功经验。与此相比，可依赖性研究经历了多年的发展，已经形成了多种模型方法分别适用于不同的应用场景，如Petri net[29]状态空间的模型方法等。因此，可依赖性研究为可生存性量化研究奠定了基础。但是，可依赖性分析中通常假设故障是由硬件或软件的随机事件引起。而在广义可生存性分析中，除了考虑由随机事件引起的故障外，还有人为故意引起的故障。尽管人为故障从外部观察者来看这些事件似乎是随机的、没有关联，但实际上它们之间是精心设计、彼此相关的。使得它们很难用经典随机模型来正确描述。

　　目前，在随机故障场景下网络的可生存性量化分析方面和入侵容忍、入侵检测、安全模型等理论和技术等安全方面进行了大量研究。但恶意攻击对网络可生存性的影响的研究还不够深入，主要的研究机构有Virginia大学、Arizona大学、Carnegie Mellon大学和CERT组织等，其研究各有侧重点：Virginia大学和Arizona大学的研究侧重于系统可生存性的量化[30]和体系结构[31]；文献[32]基于问题空间转换的思路，把网络系统的可生存性评估转换为某种经典问题求解的方法框架等等。这些研究都处于摸索阶段，还没有形成完整的理论体系和实用技术。

为量化评估网络的可生存性，建立包括网络的脆弱性分析、用户攻击行为描述在内的故障模型理论是非常重要的，也是量化评估的最大挑战。网络故障的特点对可生存性方案的设计是至关重要的，只有准确地建立故障失效特点和模型，才可以有针对性地