軟件生存性與安全分發(fā)技術(shù)研究.pdf

1、在信息系統(tǒng)中，軟件是信息系統(tǒng)的“靈魂”。軟件的脆弱性通常是導(dǎo)致信息系統(tǒng)失效和癱瘓的主要根源，因而軟件的運(yùn)行安全對信息系統(tǒng)的安全至關(guān)重要。由于現(xiàn)代信息系統(tǒng)的基礎(chǔ)平臺很大程度上依賴于網(wǎng)絡(luò)，因此軟件產(chǎn)品通過網(wǎng)絡(luò)環(huán)境發(fā)布和交付也就成為了新常態(tài)。隨著這種新常態(tài)的出現(xiàn)，軟件的實(shí)體安全也開始受到人們的關(guān)注和重視。
　　本論文的研究工作就是圍繞軟件安全（包括運(yùn)行安全和實(shí)體安全）而展開的。具體地講就是，尋求以下兩個問題的技術(shù)解決方案：
　　（

2、1）降低軟件脆弱性對信息系統(tǒng)的危害程度；
　?。?）確保軟件產(chǎn)品通過網(wǎng)絡(luò)安全發(fā)布和交付。
　　對于第一個問題，本文嘗試基于信息系統(tǒng)生存性技術(shù)思想尋求答案：我們提出了一種軟件系統(tǒng)生存性評估模型，并重點(diǎn)研究了一種重要的軟件系統(tǒng)生存性確保技術(shù)——生存性恢復(fù)技術(shù)。對于第二個問題，我們提出了一種通用的可實(shí)現(xiàn)用戶身份隱私保護(hù)的軟件安全分發(fā)協(xié)議，并對該協(xié)議中的關(guān)鍵技術(shù)——基于證書的數(shù)字簽名技術(shù)——進(jìn)行了深入探討。
　　本論文的研究成

3、果和貢獻(xiàn)可以歸納為以下五點(diǎn)：
　　（1）提出了一種基于運(yùn)行環(huán)境和系統(tǒng)結(jié)構(gòu)的軟件系統(tǒng)生存性評估模型
　　該模型從生存性的角度把軟件系統(tǒng)抽象為一組軟件服務(wù)的集合，又把一個軟件服務(wù)抽象為一組軟件操作的集合；在此基礎(chǔ)上，該模型給出了軟件操作的生存性量化定義，進(jìn)而給出了軟件服務(wù)生存性的計算公式，并最終給出了軟件系統(tǒng)生存性的計算模型。與現(xiàn)有軟件系統(tǒng)生存性評估模型相比較，該模型充分考慮了軟件系統(tǒng)所處的運(yùn)行環(huán)境對軟件系統(tǒng)生存性的影響，將環(huán)境

4、因素納入到軟件操作生存性量化定義以及軟件服務(wù)生存性計算公式中；同時，該模型還充分考慮了軟件服務(wù)之間的相互依賴關(guān)系對軟件系統(tǒng)生存性的影響，提出了“適用于服務(wù)權(quán)重優(yōu)先的服務(wù)重要性加權(quán)平均”和“適用于服務(wù)調(diào)用概率優(yōu)先的馬爾可夫狀態(tài)轉(zhuǎn)移”兩種軟件系統(tǒng)生存性計算模型。
　?。?）提出了一種可靠的基于檢查點(diǎn)的分布式軟件系統(tǒng)生存性恢復(fù)機(jī)制
　　基于本論文提出的軟件系統(tǒng)生存性評估模型，本論文進(jìn)一步給出了軟件系統(tǒng)部分服務(wù)或全部服務(wù)失效時的恢復(fù)

5、策略。為了在分布式軟件系統(tǒng)中實(shí)現(xiàn)這些恢復(fù)策略，本論文基于協(xié)同分布式檢查點(diǎn)技術(shù)設(shè)計出一種可靠的分布式軟件系統(tǒng)生存性恢復(fù)機(jī)制。該機(jī)制的可靠性體現(xiàn)在：在檢查點(diǎn)中心進(jìn)程與分布子進(jìn)程通信鏈路發(fā)生故障時，通過探測并建立冗余通信鏈路或?qū)嵤┻M(jìn)程遷移來保障相關(guān)分布子進(jìn)程檢查點(diǎn)活動的順利實(shí)施，進(jìn)而保障各分布子進(jìn)程檢查點(diǎn)狀態(tài)的全局一致性。
　?。?）提出了一種面向切面編程的應(yīng)用級檢查點(diǎn)實(shí)現(xiàn)技術(shù)
　　實(shí)現(xiàn)本論文提出的分布式軟件系統(tǒng)生存性恢復(fù)機(jī)制有三

6、個層次：系統(tǒng)級、用戶級和應(yīng)用級；其中，應(yīng)用級實(shí)現(xiàn)技術(shù)具有開銷小、可移植性好等優(yōu)點(diǎn)，但存在容易產(chǎn)生代碼糾纏、增加軟件系統(tǒng)開發(fā)人員負(fù)擔(dān)等缺點(diǎn)。為了克服這些缺點(diǎn)，本論文又進(jìn)一步基于面向切面編程原理設(shè)計出一種新的應(yīng)用級檢查點(diǎn)實(shí)現(xiàn)技術(shù)。該技術(shù)將所有有關(guān)檢查點(diǎn)技術(shù)的代碼從核心業(yè)務(wù)模塊中剝離放在檢查點(diǎn)切面中實(shí)現(xiàn)，核心業(yè)務(wù)模塊開發(fā)人員完全可以不用關(guān)心檢查點(diǎn)技術(shù)如何被實(shí)現(xiàn)、如何被引用，檢查點(diǎn)切面開發(fā)人員將會按要求把檢查點(diǎn)機(jī)制與核心業(yè)務(wù)模塊掛鉤，即便如此也

7、不會干擾或影響核心業(yè)務(wù)模塊開發(fā)人員。
　?。?）提出了一種通用的可實(shí)現(xiàn)用戶身份隱私保護(hù)的軟件安全分發(fā)協(xié)議
　　本論文利用基于證書的環(huán)簽名和密鑰隔離簽名技術(shù)設(shè)計出一種通用的可保護(hù)用戶身份隱私的軟件安全分發(fā)協(xié)議。該協(xié)議不僅能夠?qū)崿F(xiàn)軟件供應(yīng)商與軟件用戶之間雙向身份認(rèn)證，還能保護(hù)軟件用戶的身份信息不會泄露給包括軟件供應(yīng)商在內(nèi)的任何其他實(shí)體。同時，當(dāng)某一時刻軟件供應(yīng)商主密鑰泄漏時，在主密鑰泄露時刻前后本論文設(shè)計的協(xié)議其安全性均不會受到

8、影響。由于本論文設(shè)計的協(xié)議引入了基于證書的公鑰密碼體制，因此不存在公鑰證書管理和密鑰托管問題。更進(jìn)一步，本論文設(shè)計的協(xié)議能夠采用任意的基于證書的環(huán)簽名方案和密鑰隔離簽名方案來實(shí)現(xiàn)。
　?。?）提出了一個可證安全的基于證書的密鑰隔離簽名方案
　　基于證書的簽名（CBS）融合了基于公鑰簽名和基于身份簽名的特點(diǎn)，因而本論文提出的方案避免了基于公鑰簽名和基于身份簽名的缺點(diǎn)?？紤]到在充滿敵意的情況下，CBS不安全的部署經(jīng)常會引起不可避