基于容忍入侵的数据库安全体系结构

合集下载

Oracle数据库安全技术分析与对策研究

Oracle数据库安全技术分析与对策研究

1引言近年来,随着计算机技术的广泛应用,很多企事业单位、政府部门都建立了自己的网络。

但计算机的安全问题在最近几年才引起人们的关注。

我们知道,数据库中存放着大量的关键数据,这些数据中的有些对所在单位都有着至关重要的作用。

因此,数据库的安全直接关系到公司的存亡,甚至涉及到国家的安全机密。

2Ora cle数据库安全技术分析2.1用户口令管理策略及其改进数据库的安全依赖于始终保密的口令,应该采用如下口令管理策略:1)账户锁定建立一个数据库用户名JP SB,该账户允许连接注册3次,超过3次就会引起账户死锁,它的环境文件名为L im ite d_Profile。

Cre ate Profi le Limite d_profi le lim i t;Fa i le d_L ogin_Attampts3;Cre ate Use rJ PSBIde ntified ByJP1028;Profile Limited_P rofile;Grant Cre ate Se ssiontoJPS B如果J PSB账户连接注册3次,那么该账户就会被Ora cle自动锁住,即使用了正确口令,也会提示出错。

2)口令历史可以通过环境文件的资源PA S SWORD_L IFE_T IME为账户建立一个最大的期限,如要求用户每30天改变一次口令。

A lte rProfi le L imite d_Profile LimitPassword_L ife_Ti m e30;如果口令过期,那么下次注册时必须修改它。

一个过期账户和锁定的账户不同,一个锁定的账户会随时间的推移自动解锁或用由来解锁;一个过期账户ALT ER USERDBA必须在注册时输入新的口令才能重新有效。

2.2数据存储加密较之传统的数据加密技术,数据库密码系统有其自身的要求和特点。

传统的加密以报文为单位,加密脱密都是从头至尾按顺序进行。

而数据库中的数据必须以字段为单位进行加密,否则该数据库将无法被操作。

基于入侵容忍的CA认证中心设计

基于入侵容忍的CA认证中心设计
价值。不管多么努力 ,足够复杂 的计算机系 统总会有一些漏
性和调整 的研究 。通常将这 两种容忍技术合并在 一起进行 系 统设计 , 并按照危害的后果而不是原 因进行分类( 入侵检测 系
统是按照危害 的原 因而不是 后果进行 分类的) ,此时将该 系统 称为入侵容忍 统 。
洞。假设攻 击者利用了漏洞并控制 了系 统是 比较合理 的。在 有这样攻击的情况下保证保密性并保持可 以接受 的服务性能
述了基 于入侵容忍 C A认证中心的体系结构 、各组件 间的相互作 用、基于入侵容 忍的 C A签名 方案及 整个系统的工作过程 。针对 系统的不
足之处 ,指 出了未来工作 中需要 改进的地方 。
关键词 :P I A;入侵容 忍 ;数字签名 K ;C
CA sg s d o n r so o e a c De i n Ba e n I t u i n T l r n e
容忍技术包括错误容 忍和入侵容忍两个方面 ,其 中错误容 忍 主要集中在对硬件/ 软件错误的容忍 , 入侵容 忍则集 中在对 而 恶意攻击 的容 忍。入侵 容忍是在错误容忍 的基础 上发展起来
的,主要是对静态属性 和调整研究 的基础上增加 了对动态属
安全的认证 中心 C ( et i t A toi ) C A C rf ae uh ry , A是 当前 网络 安 ic t 全领 域研 究的热点之一 ,其实现具有重 大的实用价值 和社会
维普资讯
第 3 卷 第 1 期 3 1
VL 3 o3






20 0 7年 6月
J ne2 0 u 0 7
NoJ .J
Co put rEng ne rng m e i ei

在云计算中基于入侵容忍的敏感数据保护(IJISA-V3-N1-8)

在云计算中基于入侵容忍的敏感数据保护(IJISA-V3-N1-8)

I.J. Intelligent Systems and Applications, 2011, 1, 58-66Published Online February 2011 in MECS (/)Sensitive Data Protection Based on Intrusion Tolerance in Cloud ComputingJingyu Wang1,2 and xuefeng Zheng1School of Information Engineering, University of Science and Technology Beijing, Beijing, ChinaEmail: btu_wjy@,zxfxue@Dengliang Luo2Information and Network Center, Inner Mongolia University of Science and Technology, Baotou, ChinaEmail: luoimust@Abstract—Service integration and supply on-demand coming from cloud computing can significantly improve the utilization of computing resources and reduce power consumption of per service, and effectively avoid the error of computing resources. However, cloud computing is still facing the problem of intrusion tolerance of the cloud computing platform and sensitive data of new enterprise data center. In order to address the problem of intrusion tolerance of cloud computing platform and sensitive data in new enterprise data center, this paper constructs a virtualization intrusion tolerance system based on cloud computing by researching on the existing virtualization technology, and then presents a method of intrusion tolerance to protect sensitive data in cloud data center based on virtual adversary structure by utilizing secret sharing. This system adopts the method of hybrid fault model, active and passive replicas, state update and transfer, proactive recovery and diversity, and initially implements to tolerate F faulty replicas in N=2F+1 replicas and ensure that only F+1 active replicas to execute during the intrusion-free stage. The remaining replicas are all put into passive mode, which significantly reduces the resource consuming in cloud platform. At last we prove the reconstruction and confidentiality property of sensitive data by utilizing secret sharing.Index Terms—Cloud Computing, Virtualization, Intrusion Tolerance, Cloud Security, Virtual Adversary StructureI.I NTRODUCTIONCloud computing distributes computing tasks to virtual resource pools which are constituted of a large number of computers, and cloud computing ensures that various applications can get access to computing power, storage space and various software services when needed. Service integration and supply on-demand coming from cloud computing can significantly improve the utilization of computing resources, reduce power consumption of per service, and effectively avoid the error of computing resources. Cloud computing has the following advantages: super-massive scale, virtualization, high reliability, versatility, high scalability, on-demand service and very low-cost [1]. Notwithstanding there are so many advantages, cloud computing is still facing the following challenges.A. Intrusion tolerance of the cloud computing platformIn cloud computing mode, all the business process will be completed on the server side. So cloud computing platform will become the attacking core of intruders. In addition, cloud computing platform itself also faces a range of unexpected errors. For example, in the first half of 2010, the cloud computing service of Amazon arouse malfunction due to human error and unexpected power failure, which resulted in a small number of users in the eastern United States losing services and led to a very small number of data loss. So if the server once has problems, it will cause all the services not to run normally and the data not to be accessed.B. Intrusion tolerance of the sensitive data of new enterprise data centerThe most two important issues of cloud computing are confidentiality and security. Enterprises store sensitive business data, such as corporate information and customer information, etc., into platforms of cloud service providers to reduce economic-cost by giving up the control of some data. Therefore, enterprises are bound to worry about the security of data in cloud whether it will leak and whether it will be stolen or not.For the issues of confidentiality, integrity, availability and reliability of cloud computing, traditional security technologies, such as intrusion detection, firewall, encryption and decryption, etc., can not completely guarantee them, but a survivable technology that is intrusion tolerance technology can make up well. This paper will address the intrusion tolerance problem of cloud computing platform and new enterprise data center by researching on the related intrusion tolerance technology, such as virtualization replicas group and secret sharing.II.R ELATED W ORKS AND O UR S OLUTIONSThe main idea of intrusion tolerance is utilizing hardware or software fault tolerance technology ofdistributed system to mask the impact of any intrusion or attack on the system function, which guarantees the security and continuity of the core function of system. Today’s institutions and organizations research on intrusion tolerance mainly adopt technologies of threshold cryptography, secret sharing and distributed redundancy replication, etc., on the real hardware platform. All those technologies require systems with high computing power and high storage capacity, and these resources generally can not be partitioned and they are usually designed for specific applications. Therefore the utilization of resources is low, the management is hard to implement, and the versatility is poor. In addition, the system also has higher requirements for the number and quality of redundant components, and the recovery of redundant components will seriously affect the availability of system service. Therefore, this high cost of intrusion tolerance is unacceptable for cloud computing service providers and users, and this is not suitable for the virtualization technology of cloud computing. Virtualization technology has been fully developed since it appeared in the 1960s, but its application is still mostly about the efficient management of resources. In fact, virtualization technology also can be used to build security systems, such as Hans P.Reiser and Rüdiger Kapitza, etc., [2] had researched on the intrusion tolerance system with virtualization technology. With the proposal of cloud computing, researching on the security of cloud computing based on virtualization technology has become critical.In order to address the security, reliability and availability of cloud computing platform, this paper presents a solution of virtualization intrusion tolerance based on cloud computing (CC-VIT). This method allows the system to tolerating F faulty replicas in N=2F+1 replicas and ensure that only F+1 active replicas to execute during the intrusion-free stage. The remaining replicas are all put into passive mode, which significantly reduces the resource consuming in cloud platform. While the traditional Byzantine fault-tolerant algorithm tolerates F faulty replicas require N = 3F +1 replicas.For the sensitive service data of data center in cloud computing can be protected by secret sharing. The current proposed secret sharing schemes are mostly based on access structure [3, 4]. As access structure often describes the authorized subset of system, while the system configuration (properties) and security requirements describe the system threats, and its own vulnerabilities and the security target should be achieved in this system configuration, etc.., so it is very difficult to determine the corresponding access structure. While adversary structure [5, 6] indicates the set of participants which is permitted to be simultaneously compromised in system configuration, which can be directly determined by the system configuration (properties) and its security requirements. For these reasons, we propose the concept of virtual adversary structure based on CC-VIT model, and then present a method of intrusion tolerance to protect sensitive data in data center of cloud computing based on virtual adversary structure. This method partitions sensitive data into segments (partitions) and distributes them to each participant, and ensures that only legitimate participants can associate with their partitions to reconstruct sensitive data. At the same time, the illegal participants associate with their partitions can not obtain any information about sensitive data. All participants in this proposal are virtual machines which run on the virtual machine monitor, so it saves a lager number of physical servers. So this method is able to guarantee the security and integrity of important data or sensitive data, and also can effectively reduce the consumption of physical resources.-VIT P ROTOTYPEA. CC-VIT System StructureThis paper adopts virtualization technology to realize the intrusion tolerance of cloud platform, and its system prototype is shown in Fig. 1. Hypervisor is a very small software layer which is running on the top of hardware and that is also virtual machine monitor. Over the Hypervisor, we divide different domains. In fact these are many virtual machines running on Hypervisor, while service instances are running in the customer domain DomU(Guest Domains),Guest Domains have passive mode and active mode. Privilege domain, which is Dom0, controls the creation, execution and destruction of client domains.Figure 1. CC-VIT system structureReplica manager consists of the following components: •Basic component that is used to accept client requests;•Group communication system that is used to continuously forward requests to all the replicas;•Replication logic that is used to realize proactive recovery function;•Voter component that is used to activate passive replicas on-demand;•Related mechanism that is used to update states;•Related component that is used to clone replica domains.CC-VIT provides communication through Hypervisor. Replication logic is running in privilege domain Dom0,which is in charge of specific tasks of service instances while specific service replicas are running in the isolated guest domains. The interaction of clients and servers is realized by the replica manager which is running in system domain Dom0.The reasonably design of CC-VIT is based on the following assumptions:• The interaction of clients and remote services isbased on the basis of request/reply network messages, and it is intercepted at the network level.• The remote service can be modeled as a deterministic state machine.• Service replicas, including operating system and execution environment, may fail in Byzantine failure; CC-VIT permits at most replicas fail within a single recovery period. • The other system parts, including Hypervisor and trusted system domain, fail only because of the crash of physical host.In this paper, we call the set of virtual machines whichpermit to be simultaneously compromised in system configuration as virtual adversary structure. Virtual adversary structure indicates the subset of participants which is permitted to be simultaneously compromised in intrusion tolerance system, which is also the number of virtual machines (Guest OS or DomU) in CC-VIT model. B. Work Process of System ServiceIn the CC-VIT there is a physical machine that is used to accept client's requests, and the replica manager of this machine intercepts client's connection requests and forwards these requests to all the replicas of replica group through group communication system. Each replica executes client's requests, and then returns executive results to the physical machine node which accepts client's connection requests. When the physical machine has received a large number of returned results, then replica manager, which runs in system domain Dom0, executes majority voting algorithm to determine a correct result, and returns the results to users. The realization of the whole process is transparent to users. Replication logic specifically realizes the instantiation and initialization of service replica. IV. I NTRUSION T OLERANCE OF T HE C LOUD C OMPUTING P LATFORM A. Hybrid Fault Model The isolated execution environment permitsimplementing heterogeneous fault and intrusion tolerancemodel. That is to say, this mode can tolerate maliciousattacks on the application instances in the application domains, such as the Byzantine failure, and it can tolerate the crash of physical host in system domain and Hypervisor. In this hybrid fault model, service replicas which run in the isolated application domains, including operating systems, middleware structure and implementation services, can all be heterogeneous.Redundant Execution on a Single Host (RESH) [7] is a variant application of CC-VIT model. It permits redundantly executing multiple replicas of service on a single physical host. This redundant execution needs virtual machine monitor to create multi-application domains to realize isolated execution of replica instances. RESH permits tolerating non-benign random faults in replicas, such as undetected bit errors in memory, and as well as to tolerate software faults by using N-versionprogramming.Redundant Execution on Multiple Hosts (REMH) is another variant application of CC-VIT model. It permitsreplicas with same core architecture to redundantlyexecute on multiple physical hosts. The main differencecompared with RESH is that REMH integrates a group communication facility in the replication logic. Group communication module is responsible for thecommunication and coordination between replicas in agroup of physical hosts. REMH allows tolerating full crashes of some of the physical hosts running replicas.B. Active Replicas and Passive Replicas Traditional Byzantine Fault Tolerant (BFT) replication commonly needs executing client's requests on every replica. In order to reduce resource consumption, we introduce the concept of passive replicas to CC-VIT model. During the normal execution of workloads, weneed at least F+1 active replica to detect errors and the remaining replicas are all put into passive mode. If anerror (accident) occurs in active replica or return timeout, another passive replica will be activated to take over. To make this method feasible, the system architecture must allow rapidly activating passive replica. Otherwise, the services will not be available for customers. In this system, virtual machines hosting passive replicas are put into suspended mode. They are only allocated with memory and disk, but not allocated with other resources, such as CPU or bandwidth. When activating the passive replicas, replica manager simply activates the corresponding virtual machine, and this process requires only a few hundred milliseconds. In general, to tolerate F faulty replicas, this system only requires 2F +1 replicas. But in order to tolerate an unlimited number of replica faults during the whole system life-cycle, we should adopt proactive recoverystrategy to continually resume faulty replicas when faultyreplicas is about to break through threshold F. Therefore,as a matter of fact the system needs 2F +2 replicas, andthe extra one replica is passive replica, which will be usedto clone replica domain and realize proactive recovery. C. State Updates and State TransferIn a stateless replication system, the transfer from old replica to new one is almost instantaneous. While in a state-full system, after creating a new instance of operating system, middleware, and service, the new replica needs to be initialized with the service state, which requires the support of state transfer. State transferincreases the unavailable time of service replica in the⎥⎦⎥⎢⎣⎢−<21n fprocess of proactive recovery, as request execution has to be transitorily stopped during the creation of state checkpoint. Furthermore, the state transfer also affects the utilization of network and CPU resources.Virtualization technology can realize storage management of disk through virtual machine monitor. In the virtualization disk management, permanent state storage of virtualization can be used to realize effective state re-mapping mechanism among multiple domains. This mechanism can be used to realize state transfer strategy with low cost and low overhead. State transfer must deal with the heterogeneity between different replicas, while heterogeneity is usually introduced by diversity. Transferring the state into local replica-specific representations needs some support of replica implementations [8].In CC-VIT system, in order to process the suspended requests, passive replica also must have the recently available application state after activating passive replica. In order to address the problem of state updates and state transfer, this system adopts regular state updates method to update passive replicas. In general, after executing a modifying request, replica managers will retrieve state updates, and the state changes are triggered by the requests from all active replicas. After that, replica managers agree on these state updates and store the verified version of each state updates in a local log. In order to guarantee the correctness of verified versions, we can create distributed checkpoints, and adopt the method of checking local state checksums to verify the validity of local state. Only in the case of an invalid local state, a more expensive remote state transfer is necessary. When the list of log size reaches a certain limit, replica managers temporarily activate local passive replicas to execute the accumulated state updates. After completing state updates, replica managers re-suspend passive replicas which have just been updated, and then replica managers truncate their logs. Note that these periodic updates of passive replicas can reduce the load of instantaneously updating a large number of states on the occurrence of faults, because when a passive replica is activated to tolerate a fault, only state updates after the last periodic update need to be executed.D. Proactive RecoveryTraditional intrusion-tolerant systems [9, 10] generally adopt Byzantine fault tolerant replication algorithms to tolerate a finite number of F replica faults in group of N replicas. But this method has a potential problem. As long as be given sufficient time, an adversary might be able to compromise more than F replicas and break through the threshold F that system can tolerate, which ultimately makes intrusion tolerance system fail. The method to solve this problem is periodicity reinitializing the faulty replicas from a secure base, and the core idea is proactive recovery strategy. Proactive recovery approach can remove some potential intrusions. If we adopt proactive recovery strategy, as long as the number of replica failures that the system can tolerate is limited in the threshold F within a single recovery period, the system can tolerate unlimited replica failures over the system lifetime.In the traditional proactive recovery strategy, we only permit some parts of replicas to restart at the same time to avoid the unavailability of services, while adopting virtualization technology can realize all the replicas simultaneously resume but hardly affect the execution of services. As any virtualization technology provides a core function for creating and destroying domains, so we can achieve an efficient proactive recovery strategy through this mechanism [8]. Periodical recovery strategy can be triggered by the resume service in the isolated system domain. In order to reduce the unavailable time of system services, we can adopt a parallel recovery strategy that creates a new domain in parallel to the execution of the other applications.In the method of virtualization technology, replication logic runs in an isolated and intrusion-free system domain. So replication logic can be used as a trusted entity that is able to completely re-initialize the replica domains without requiring the support of any dedicated hardware. The recovery strategy initializes the complete replica to a “clean” state, securely obtains the service state from other replicas through a fault-tolerant state transfer protocol, and then transfers to the corresponding service state to execute tasks allocated by system. Hypervisor is able to shut down and restart the replicas running in virtual machines. When in the execution of proactive recovery, the new replica instance can be started by using an additional virtual machine in parallel to the execution of the old replica. This method can substantially reduce the downtime of service during recovery, as the boot process does not affect the availability of replica. After initialing the new replica, the replica manager can shut down the old replica and trigger the activation of the new one [11]. However, virtualization-based proactive recovery also has the following shortcomings. On the one hand, proactive recovery usually has some negative impact on services, as the limited local resources (such as CPU and memory) have to be shared among all the replica domains. Proactive recovery inevitably involves the creation of new domains and the destruction of old domains, which inevitability consumes the limited resources. On the other hand, this proactive recovery strategy significantly reduces the unavailable time of service when replica transfers state from an old one to a new one.In fact, in this system, the passive replica has the latest available application state. So the passive replica can be used as the basis of proactive recovery. When the faulty replicas will break through the threshold F, proactive recovery is triggered. In this system, we could clone a passive replica to quickly create a new replica domain with the latest available state, and then obtain the state after the last state updates through state transfer. After state updates and state transfer, the replica manager hands over request execution to the former passive replica (new replica) and shuts down the old faulty active replica. In this way, a potentially faulty replica is efficiently replaced with a clean one, and this system also effectivelyreduces the busty negative effects of proactive recovery on the system platform.E. DiversityVirtualization technology simplifies the introduction of system diversity, as there runs replication logic in the system domain which fully controls the operating systems and the instances of services. The diversity of replicas is the essential technology in intrusion tolerant systems, as it can avoid an adversary to exploit the same vulnerability multiple times within a short time interval. However, virtualization-based recovery mechanism can easily introduce the basis ideal of diversity both in space and in time [12].The hypervisor-based replication architecture allows transparently intercepting the interaction of client–service, independent of the guest operating system, middleware, and service implementation. As long as the assumption of deterministic service state is not violated, the service replicas may be completely heterogeneous, which include different operating systems, middleware, and service implementations. Virtualization -based recovery can be used to provide with diversity in time. For example, the operating system can be changed in the new version, or internal configurations can be modified on each recovery reboot. Address space randomization is another popular technique which is introduced to intrusion tolerance system through diversity.V.I NTRUSION T OLERANCE OF T HE S ENSITIVE D ATA OFN EW E NTERPRISE D ATA C ENTERSecret sharing [13, 14] partitions sensitive data or critical data into multiple security segments (partitions) and distributes them to the collaborating multiple distributed servers set, and ensure the security and integrity of secret or critical data even if parts of system is compromised. Therefore, realizes the decentralization of risk and intrusion tolerance. The participants of secret sharing share a secret S in set P. If we distribute each participant with a segment (partition or shadow) of secret S, we ensure that only legitimate participants can associate with their partitions to reconstruct secret S (the property of reconstruct secret). At the same time, the illegal participants associated with their partitions can not obtain any information about sensitive data (the property of perfect confidentiality), and then we claim such a secret sharing scheme as perfect.Let P={p1,…,p n} be the finite set of all virtual machine identifiers (participants) in the set of virtual machines, and then the virtual adversary structureβis a family of subsets of P that specifies which participants the adversary may corrupt at the same time. It can be informally represented asβ= {X|X⊂P;X is the subset of participants which permit to be simultaneously compromised}.βis monotone, if S∈βand T⊂S then can export T∈β, and can be uniquely determined by the corresponding maximal virtual adversary structure maxβ. The max rtual adversary structure maximal viβmeans that no subset maxinβcontains another one,mely maxnaβ= {X|X ⊂P;X is the set of participants which permit to be simultaneously compromised;∀X1, X2 ∈maxsubβ, X1⊄X2 and X2⊄X1}.Definition 1: 2P is the power set of P, thenβ⊆2P is a virtual adversary structure, ifβsatisfies X ∈β, X'⊆X ⊆P ⇒ X'∈β.Definition 2: Given the virtual adversary structureβover participants set P,the corresponding maximal virtual adversary structure is maxβ={B∈β|B⊄B',∀B'∈β}.To expediently denote virtual adversary structure, we introduce threshold gate. nkΘDefinition 3: Set P={p1,…,p n} as the input of ,then =1⇔nkΘnkΘ∃P i1, P i2,…P ik∈P, and P i1 =P i2=…=P ik=1. Namely the output of the gate is 1 only when n input at least k is 1. Obviously, AND gate and OR gate be equivalent to and, while the traditional threshold scheme can be denoted as g(S) =(S).nnΘn1Θnt1+ΘDefinition 4: Let P={p1,…,p n} be the finite set of all participants, K is system secret, then a secret sharing scheme about K can be denoted by a mappingΠ:K→g(p1)×…×g(p n), among which g(p i) is the shares collected by the participant p i (p i∈P). We say thatΠ is the scheme realizes adversary structureβif it satisfies the following two properties:(1)Reconstruction Property.∀X ⊆P, if X∉β, then H(K|{g(p i| p i∈X)}=0, where H(·) denotes entropy.(2) Perfect Property.∀X∈β,H(K|{g(p i|p i∈X)}= H(K'|{g(p i|p i∈X)},where K' denotes any element in secret space.We define the following rules for facilitation, X, X P, X can be represented by an n-tuple, where n=|P|. That is X=(x1,x2 …x n) {0, 1}∈n,where {XXii∈∉PP=i x1,0,;x=(1x,2x …n x){0,1}∈n,where i x={XX∉∈P1,P0,ii.The secret sharing based on virtual adversary structureβis as follows:Given the system secret K, the allocation of shares can be described in the following steps:Step 1: Compute maxβ= {B∈β|B B',∀B'∈⊄β}.Without loss of generality, marking maxβ= {B1, …,B m}, where m=|maxβ|;Step 2: Secret K is split into K1, …K m, and satisfying .∑==m1KiikStep 3: Letβω = {W1, W2,…W n} ,where W i=i B,1≤i≤m. We callβωas the write structure ofvirtual adversary structureβ.Step 4: Distributing K i to each W i ∈βω. In this way,∀p ∈P ,the shares belong to p are g(p)={K i | p ∈W i ,1≤i ≤m, p ∈P }. VI. R ESULTS AND E XPERIMENT A NALYSIS OF CC-VIT S YSTEM In order to verify the feasibility of CC-VIT system, werealize the VM-FIT prototype on Dawning server (Intel(R)Xeon(TM) CPU 2.40 GHz, Dual-Core CPUs) which runsCentOS5.4 operating system, the platform uses the xen-3.0.3-94.el5_4.3 as Hypervisor and Linux kernel 2.6.18-164.15.1.el5.centos.plusxen i686 as Dom0, and uses 1GBit/s Switched Ethernet. The experiment tests theavailability of service during proactive recovery, the resource consumption of replicas domain when creating state checkpoints and replica updates as well as the resource consumption when activate passive replica andsuspend active replica.Fig. 2 shows the system CPU usage when creating state checkpoints, updating replica, activating passive replica and suspending active replica. At about the 10th second in Fig. 2, the system captures the state of replica (using snapshot) and creates the corresponding state checkpoints, and then stores the corresponding state checkpoints in the local. At about the 22nd second, the system updates the replica. During about the 38th second and the 55th second, the system completes activating passive replica and suspending active replica two times. At about the 60th second and the 72nd second, the system separately completes the capture of replica state (using snapshot) and the update of state again. From Fig. 2 we can clearly see the CPU usage of system in the whole process. When implementing the capture of state, creating the corresponding state checkpoints and updating the state of replica, the CPU usage has some short time peaks, which last about 2s ~ 3s. During this period of time, the maximal CPU usage is between 80%~90%, and the duration time is about tens of milliseconds. While in the time when activating and updating replica, the peaks of CPU usage lasting about 1s~2s, the maximum usage peak is about 25%.Through this experiment we can note that the average CPU usage of system in the whole process keeps between 20%~ 30%, the short time peaks is just about 80%, and the duration time is very short. Thus we can see that the utilization of system resources is not sufficient. In fact, as long as the system memory, disk and network bandwidth and otherresources permit, we can create more DomUs to guarantee the full use of system resources, and increasethe number of failure replicas that system can tolerate. According to the statistics, the resource utilization oftraditional data center server farm is generally lower than20%, even lower than the lowest 10%. While thevirtualization-based cloud computing can significantlyimprove the resource utilization of platform more than50% or even higher 80% without reducing service quality.This is the benefit of cloud computing.Fig. 3 and Fig. 4 respectively show the availability ofservice when executing proactive recovery based on CC-VIT and traditional BFT. In the experiment, we test thesystem throughput when implementing proactiverecovery in both cases.We adopt the proactive recovery based on CC-VIT model in Fig. 3, and we can see the system throughputs are almost continuous in the whole process. That meansthe provided system services are almost continuous.During the running of the service, when the faulty replicas are going to break through the threshold F and then proactive recovery is triggered. In this system, in order to reduce the downtime of system services, we adopt a parallel recovery strategy that creates a new domain in parallel to the execution of the other applications. In CC-VIT system we could clone a passive replica to quickly create a new replica domain with the latest available state, and then obtain the state after the last state updates through state transfer. After state updates and state transfer, the replica manager hands over request execution to the former passive replica (new replica), and shuts down the old faulty active replica. In this way, a potentially faulty replica is efficiently and continuously replaced with a clean one. In fact, there will be a short interruption of service during the switch of the new and old replicas, as the system will temporarily suspend the current requests when capturing state (using snapshot) and detaching disk volumes during the state transfer of replica [8]. After this step, the system will re-execute all requests executed by the old replica after the snapshot has been taken (capturing state) to guarantee the continuity and correctness of service. Sometimes, users may not feel this short interruption of system service when in the superior performance server or lower load platform. Figure 3. Proactive recovery based on CC-VITFigure 2. Creating state checkpoint and state updates (both sidespeaks); Activating replica and suspending replica (middle peaks)。

基于多级入侵容忍的数据库安全模型

基于多级入侵容忍的数据库安全模型
入侵容忍 ; 表 决机 制
[ 中图分类号 ] T 3 3 P 9 [ 文献标识码 ] A [ 文章编号 ] 17 —19 (0 2 0 0 2 0 6 1 6 6 2 1 ) 4— 0 0— 3


问题 提 出
第一 级—— 用 户 ( srL yr : 取 的 安全 措 施 U e a e) 采
2所 示 .
图 2 基 于 多级 入 侵 容 忍 的 数 据 库 安 全 体 系结 构
三 、 体 组 件 介 绍 具
1 策略 管理 者 .
装; 并将 过 滤后 的请 求转 发 给相 应 的数 据 库 ; 接受 系 统 的响应 结果 给用 户 .
2 — 0
体上 考虑 人 侵 容 忍 的方 案 , 冗 余 和 多 样 性 技 术 结 将
合, 利用 事 务 级 入 侵 容 忍 技 术 , 现 了 数 据 的 机 密 实 性、 可用 性 和 完 整 性 . 统 主 要 由策 略管 理 者 、 终 系 对
端用 户 提供 服 务 的服 务 器 、 理 服 务 器 、 决 机 制 、 代 表 冗余 异 构数据 库 、D I S和 事 务 级 入 侵 容 忍 构 成 , 图 如
21 0 2年 8月 第2 8卷 第 4期
江苏教 育 学 院学 报 (自然科 学)
Jun l f i guIstt o d ct n( a rl cec s o ra o a s tue f uai N t a Sin e) Jn ni E o u
Au . 2 1 g ,0 2 Vo , 8 No 4 l2 .
数 据库 安全及 解决 方 案 现 在仍 主要集 中在 系 统
的防御 上 , 采用 了防火 墙 、 证 、 认 加密 、 侵检 测 等 手 入

基于多层次入侵容忍数据库的安全体系入侵容忍实现

基于多层次入侵容忍数据库的安全体系入侵容忍实现
摘 要 : 数 据 库 的 整 体 结 构 出发 , 论 多层 次入 侵 容 忍 数 据 库 安 全 体 系 结 构 中 入 侵 容 忍 的 实现 途 径 。 从 讨 文 献 标 识 码 : A 文 章 编 号 :6 2 7 0 (0 80 ~ 1 3 0 1 7 — 8 0 2 0 )6 0 9 — 2
用 户和D MS 间 的交互关 系其 实就 是一个 由输 入 与输 出 B 之 的映射关 系 构成 的集合 , , 示 , : 用 表 即
作者 简 介 : 高雪 霞(9 4 , , 南 长垣人 , 士 , 乡学 院计算 机科 学 系讲 师 , 究 方 向为 网络数 据库 、 17 ~)女 河 硕 新 研 自然语 言 理解 ; 郜伟 ( 9 4 ) 男 , 南 淮 17 - , 河 滨人 , 州大 学机 械 工程 学院 , 究方 向 为 自动控 制技 术 。 郑 研

14 9・
软 件 导 刊
20 正 08
复制控制管 理 :
, <n u, u u> ; =[Ip tO t t/ p 在 这里 , 洞其实 就是, 漏 的一个 子集 , : 即

IIp tO tu ><n u , u u> , Ip tO tu>为 未 <n u , u t l p O tt I <n u , u t p I t p p

个 动 态 的 优 先 级 。 MP 定 期 向A S 送 消 息 , P 要 对 MP 发 S P发 AS S
出的信息及 时做 出 回应 。 果在 固定 时 间内MP 没有 接受 到某 如 S
设 运 行 在O 上 的数 据库 系 统 为A.则 从 系统 的整 体性 考 S 虑, 其受 到攻 击 的可 能性 由O 的漏 洞 和D MS S B 的漏 洞 两个 部 分

软考-信息安全工程师学习笔记70——入侵容忍及系统生存技术应用

软考-信息安全工程师学习笔记70——入侵容忍及系统生存技术应用

软考-信息安全工程师学习笔记70——入侵容忍及系统生存技术应用入侵容忍及系统生存技术是网络安全防御思想的重大变化,其技术目标是实现网络安全弹性,确保网络信息系统具有容侵能力、可恢复能力,保护业务持续运营人侵容忍及系统生存技术原理入侵容忍及系统生存技术的思想是假定在遭受入侵的情况下,保障网络信息系统仍能按用户要求完成任务。

生存性 3R 方法,该方法首先将系统划分成不可攻破的安全核和可恢复部分;然后对一定的攻击模式,给出和应的3R 策略:抵抗(Resistance)、识别(Recognition)和恢复(Recovery),并将系统分为正常服务模式和被黑客利用的入侵模式,给出系统需要重点保护的基本功能服务和关键信息,针对两种模式分析系统的 3R 策略,找出其弱点并改进;最后,根据使用和入侵模式的变化重复以上的过程。

3R 方法假定基本服务不可攻破,入侵模式是有限集,维持攻防的动态平衡是生存性的前提入侵容忍及系统生存技术主要有分布式共识、主动恢复、门限密码、多样性设计等。

分布式共识避免单一缺陷主动恢复则通过自我清除技术,周期性让系统迁移转变到可信的状态,破坏攻击链条;门限密码则可以用于保护秘密,门限密码算法通常用(n,k)形式表示,n 表示参与者的个数,k 表示门限值(也称为阈值),表示获取秘密最少需要的参与者个数;多样性设计可以避免通用模式的失效,如操作系绕的多样性可增强抗网络蠕虫攻击能力。

入侵容忍及系统生存技应用1.弹性 CA 系统CA 私钥是 PKI 系统的安全基础,一旦 CA 私钥泄露,数字证书将无法得到信任。

为保护CA 私钥的安全性,研究人员提出弹性CA 系统,容忍一台服务器或多台设备遭受入侵时,PKI系统仍然能够正常运行。

其主要技术方法是采用门限密码的技术。

通过将私钥d 分解成若干个数的和,即 d =d1+d2+dt,再将 di 分到第 i 个服务器中去,当需要签名时,客户机将需要的签名信息 Hash 结果 M 发送到这 t 个服务器中,各服务器将计算结果送回客户机,客户机再计算。

基于入侵容忍的集成数据库安全结构

基于入侵容忍的集成数据库安全结构

基于入侵容忍的集成数据库安全结构
李方 涛 ’ 朱 小燕 盂 丽 荣 , ,
(. 1 清华大学 计算机 系智能技术与系统国家重点实验 室,北京 108 ; 004 2 山东大学 计算机科学与技术学院,山东 济南 2 06) . 50 1
摘 要 : 出 了一种 综合 的数据 库安全 结构 , 提 该结构 利 用密码 学知识 , 计 了加 密认证 模 块 , 设 实现 了数 据 的完 整性 、 密性 , 机 并保证 了源数据 的合 法性 。该 结构还 具有 单一 错误检 测修 正功 能 , 一错误 的 纠正 , 单 可以 容忍 在数据 传 输 过程 中 的错 误 , 实 现 了数 据库 的外部 级入 侵容 忍 。内部容 忍模 块给 出 了一 种基 于入侵 容忍 的 内部数 据库 结构 , 高数 据库 的 柔性 和抵 御 入侵 提 的 能力。该 系统 不仅具有 入侵 容忍 功 能, 而且还 具有加 密认证 功 能, 用 于安全 需求较 高的领 域 。 适
1 0 8 ,C ia .C l g f o ue ce c dT c oo y h n d n ies y ia 5 0 0 4 hn ;2 ol e mp tr in ea e h lg ,S a g o gUnv ri ,Jn n2 0 6 ,Chn ) 0 e oC S n n t 1 ia
iC p l ed eet ehg e e ui v ls e d d t a a pyt f ls n oi wh r ih r c rt l e e e . h s y e in Ke r s it so lrn e e cy t n a te tct n d tb s e u i ; e o o eto ywo d : nr int ea c ; n rp i ; u niai ; a aesc rt u o o h o a y r r r cin c

基于自适应入侵容忍的数据库安全体系结构

基于自适应入侵容忍的数据库安全体系结构

p iain t ef—sa i zd lv l f aai tgi a d a al ii n t efc fatc sa d d ma e,a d t lc t swiha sl o t l e e e t n e r哆 n v i lt i h a eo t k n a g b i od b a y a n o
r d c h o to e u i e u e te c s fs c rt y. Ke wo d i tu in tlr c y r s nr so oe a e;d t a es c rt n aa s e u y;a a t er c n iu ain b i d p i e o fg rto v
自我诊 断 、修 复 和 重 构 的 能 力 ,并 能 为 合 法 用 户 提供 所需 的全 部或 者降 级 的服 务 。 目前 的人 侵 容 忍 数 据 库 (n ui oe n a It s nT lat . r o r D
t a yt ) a s Ss m 系统 ,简称 ID be e T B,普遍存在 以下几 个问题 :( ) 1 在面临攻击时,如何维持稳定水平 数
数据 库 安 全 研 究 的重 点 在 于 如 何 保 护 数 据 的 机密 性 、完整 性 和 有 效 性 。随 着 系 统 复 杂 性 和 用 户 数 量 的增 加 ,防 火 墙 、访 问 控 制 、入 侵 检 测 、 认证 、加 密 等 防御 措 施 对 于 一 些 恶 意 的攻 击有 时 是无 效 的 ,。 因此 ,在 防御 失 败 的情 况 下 ,必 须 2 j 寻 找一 种方 案 增 强 现 有 数 据 库 系 统 的安 全 ,使 它 们 针对攻 击具 有 自动恢 复 的 能 力 或 称 弹性 ,提 高

基于多级入侵容忍的数据库安全体系结构

基于多级入侵容忍的数据库安全体系结构

数据库的可生存性 、可用性 及关键数据 的机密性 、完整性。与其他 入侵容 忍数据库相比 , 中提出的数据库安全体系结构能有效抵 御来 自 文 于 O 级 、D MS 以及事务级的恶意攻击 ,同时降低 了安全成本。 S B 级 关翻 :入侵容忍 ;数据库 安全 ;冗余 ;事务容忍
Ar h tcu ef rDa a a eS c rt s d o u t・a e c ie t r o t b s e u iyBa e f M li y r l
2 S h o o o p tr ce c n e h oo y S a d n iest, ia 5 0 . c o l f m ue in ea dT c n lg , h n o gUnv r y Jn n2 0 6 ) C S i 1
[ bt c h ae ao t m l— yr eui o e i e r e r u d n y n r t a h etr , ae s o t rleu t s a g A s a t T i pp r d p u ia e s ry d l n ga s e n a c dv i y r i c e m k s e f n ga sc r r e y r i s s tl c t m , t t d a ae c t u s u ie i tt y
能力。
近年来 ,容忍入侵 的数据库系统的研究取得很 多成果 ,
但也存在一些问题: 1 () 没有从系统的整体结构上考虑容忍入 侵的方案 ; 2 () 系统的安全成本过高。本文采用面向服务 的入
侵容忍思 想,提出一种基于 多级容忍入侵 的数据库安全体系
结构。
田1多缓入侵彝墨t据库安全体熏结构
I t u i n t lr n e n r so .o e a c

基于自适应入侵容忍的数据库安全体系结构

基于自适应入侵容忍的数据库安全体系结构

图 1 T B结 构 图 ID
三 l o ∽ J弓 Q 硒 J ∞ a ∈o o≥ ∞z
维普资讯
Il 术.术 I 用 术 学 技 实技


系统存在 的 问题
消 息 类 型 ;发 送 者 ;接 受 者 ;参 数 名称 ;值 ;单 位 ;行 为; 各 个 消 息 包 含 7项 内容 , 各项 内 容 用 分 号 隔 开 。 第 一 项 内容 , 消 息 类 型 指 出 了 消 息 的 类 型 , 它 的 值 决 定 了剩 余 项 内 容的格式 。发送者指 出了发送部件 的名称。接收者指 出了 目 的 地 部 件 的 名 称 。 参 数 名称 指 出 _需 要 被 改 变 的 参 数 。值 是 r l 由 SS 提 供 的 新 的 参 数 值 。 单 位 指 出 了 度 量 的单 位 ,其 可 M
数 据 库 安 全 研 究 的 重 点 在 于 如 何 保 护 数 据 的 机 密 性 、完 整性 和 有效 性 。随 着 系统 复 杂 性 和 用 户 数 量 的 增 加 ,防 火墙 、 访 问 控 制 、入 侵 检 测 、认 证 、 加 密 等 防御 措 施 对 于 一 些 恶 意


系统的工作原理
策略 执 行管理 器 ( EM) P ,负责代 理 普通 用户 的事 务, 并执 行系统范 围内的入侵容忍 策略 ,如隔离和破坏 控制。入 侵检 测器 (D) I ,使用事务 日志 、数据库 中捕捉到的踪迹以及

的攻击有时是无效的 ” 。 因此 ,在防御失败的情况下 ,我们 ’ 必须寻 找一种 方案增强现 有数据库 系统 的安全 ,使它们针 对
维普资讯
实 技 学 .术U 用 术I 术技
基 于 自适应入侵 容忍 数据库 安全体 系结构 内

自适应入侵容忍数据库系统的研究

自适应入侵容忍数据库系统的研究

自适应入侵容忍数据库系统的研究
王晓燕;杜萍
【期刊名称】《电脑与电信》
【年(卷),期】2008(000)008
【摘要】入侵容忍技术是一种新的信息安全方法.本文首先对入侵容忍技术进行了详细的探讨.讨论入侵容忍技术的实现方法,从系统的整体角度出发,根据数据库系统安全的需求,构建了一种多层次的入侵容忍数据库安全模型--基于角色访问的自适应客侵数据库体系结构.
【总页数】3页(P27-28,38)
【作者】王晓燕;杜萍
【作者单位】东华理工大学数学与信息科学学院,江西,抚州,344000;东华理工大学数学与信息科学学院,江西,抚州,344000
【正文语种】中文
【中图分类】TP3
【相关文献】
1.一种弹性入侵容忍数据库系统的设计 [J], 黄志国;韩慧莲
2.入侵容忍技术在数据库系统中的应用 [J], 于常辉;孟丽荣;徐成强
3.一种入侵容忍的Web数据库系统设计方案 [J], 郑顾平;徐露锋
4.用于入侵容忍数据库系统的多阶段控制技术 [J], 李文才;孟丽荣;于常辉
5.一种入侵容忍的安全数据库系统设计方案 [J], 孟丽荣;夏思淝;陈驰;冯仕红
因版权原因,仅展示原文概要,查看原文内容请购买。

入侵容忍实时数据库的半马尔可夫生存能力评价模型

入侵容忍实时数据库的半马尔可夫生存能力评价模型
陈长清 裴小兵 周 恒 刘云生
( 中科 技 大 学 软件 学 院 武 汉 华 407) 3 0 4


针对 事务和数据 的实 时特性 , 出了具有入侵 容忍 能力 的实 时数据 库系统 的体 系架构. 于实时性 的要 给 基
求 和入 侵 检 测存 在 的 延 迟 , 出 了 半 马 尔 可 夫 评 价 模 型 , 实 时数 据 库 在 入 侵 容 忍 条 件 下 的 生 存 能 力 进 行 评 价 , 提 对 并
根 据 此 模 型 给 出 相 关 的量 化 准 则 , 义 了完 整 性 与 可 用 性 等 生 存 性 指 标 , 实 时 数 据 库 的 生 存 能 力 进 行 了验 证 . 定 对 由 于 误 报 、 出率 和 攻 击 强 度 等 因 素 会 对 生 存 能 力 造 成 重 大 影 响 , 此 利 用 TP 基 准 测 试 对 其 进 行 了详 细 的 数 据 检 因 CC
( c o l f S f wa eEn i ern S h o o o t r g n e ig,Hu z o g U i est f S i c n c n lg Wu a 4 0 7 ) a h n n v r i o ce e d Teh o o y, h n 3 0 4 y n a
t r sp o o e o h e ltme d t b s y t m.Co s d rn e l i a a t r n n r so u e i r p s d f rt e r a— i a a a e s s e n i e i g r a— me p r me e sa d i t u i n t
d t c i a e y,Se — a ko va u to e e ton lt nc miM r v e l a i n mod 1i s a i he o a c s he s v va lt fr a — e s e t bls d t c e st ur i biiy o e l tm e d t b s .Ba e n t s m o e ,r l v nt q n iatv rt ra a e gi e o de i he i ia i aa a e s d o hi d l ee a ua tt i e c ie i r v n t fne t nd c — t s o he s r i a iiy,s c s i t g iy a val biiy,S s t a i a e t ur i a l y o or ft u v v b lt u h a n e rt nd a ia lt O a o v ld t he s v v bi t f i r a— i a a a e Be a e he f c o s s c s f l e a a m , de e to a e a d t nt nst e Itme d t b s . c us t a t r u h a a s l r t c i n r t n he i e iy of a tc ቤተ መጻሕፍቲ ባይዱ ei ta ks h v mpo t nte f c son t ur i a lt r a f e t he s v v biiy,t y a e a a y e he TPC— b nc he r n l z d by t C e hma k i r n

基于入侵容忍的数据库安全体系模型

基于入侵容忍的数据库安全体系模型

随 着计 算 机技 术 的发 展 , 据 库管 理 系统 已经在 商 业 、 数 军 事 等各 种领域 有 了广泛 的应用 , 数据 库 的安全 问题 也一直 倍受 人 们 的关 注 。数据 库安 全 研究 的重 点 就是 保证 数 据 库的 机密
性、 完整性 、 效性 。 有 然而 , 传统 的数据 库 安全 技术如 防火 墙 、 侵检 测 、 密技 入 加 术、 认证 技 术等 一直 是 侧重 于对 攻 击 的防御 上 , 于黑 客攻 进 对 系统 内部 的情 况 , 系统本 身 并没 有 具体 的解 决措 施 , 能任 其 只 肆 意的破 坏 , 且破 坏 会不 断扩 散 , 并 从而 使 得系 统会 付 出沉 重
s s iiu rn a t n r s ltd, n l—tg a g o t le h oo ywa rs ne o pe e td ma e poi at n c mbn d te mut u pco st s ci sae i ae a d mutsa ed ma e c nr c n lg spe e tdt rv n a g rl a o o i o t f i , er o o ie h l_ i
sa ec n o t h o g i n a t n ri , esse a r e d c ei a in fh a g . oe s r h n h s m i i a i , tg o t l c n l y t t s co gn t y tm m y u h r e u e h v s ed ma e T n uew e es t v dn i r e o w hr a i me g h ft r t n o ot t y e sn gt c np v eu i erpe ev e o g i aeu es a r i n tr tds ri re i t s r. o d n u cf l t m

入侵防御参数

入侵防御参数

份证、手机和固定电话号码、银行卡、IP 地址和文件指纹功能。
支持双机热备和双机主备功能,并且主备热备时需支持连接状态和配置同步。
支持硬件 BYPASS。在设备故障、重启及断电的情况下可保障网络畅通,能够手动配置 BYPASS 的
启停。
高 可 用 系统应支持高负载下的 bypass 功能,使得系统在 CPU 和内存较高情况下启动 bypass 功能,避免
信息应包括源目的 IP、协议类型、文件基本信息、危险等级及文件的应用的详细信息(如邮件的
发件人、收件人、标题等),方便对恶意文件进行追踪,
系统支持恶意代码动态检测联动功能,能够和防 http、ftp、邮件协议中包含的 office 文档、图片文档及压缩文档提交给 APT 检测系统,并获得
不少于 40 万;
对于 HTTP 协议和邮件协议,提供信息替换功能,用以通知用户病毒被阻断,管理员可以自行设
置替换信息;
具备邮件内容过滤功能,有效防止恶意邮件及信息外泄。可根据邮件 SMTP 命令、发件人、主题、
附件、IP 及邮件大小进行邮件过滤,(截图证明并加盖公章)
内 容防 护
能够基于流量特征的 P2P 应用识别系统,提供权威机构的证明文件并加盖公章。 系统能够检测敏感信息的外泄行为并阻止传输行为,有效保护用户的知识资产,支持检测和防范 的对象包括但不限于:信息和文件中的关键字,身份证、手机和固定电话号码、银行卡、IP 地址 等信息监控,重要数据文件保护等。并可以设置白名单。需通过产品界面截图证明正则表达式(身
所投产品必须提供以下证明文件(扫描件加盖原厂公章):
产 品资 质要求
具备公安部颁发的《计算机信息系统安全专用产品销售许可证》(国标三级);具备公安部或国家 保密局出具的检测报告 ★具备中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全检测证书》(EAL3+级) 具有国家版权局颁发的《计算机软件著作权登记证书》;

入侵容忍数据库隔离算法设计

入侵容忍数据库隔离算法设计
信 息技 术
2 0 1 6 年 第
任 强
( 中国人民银 行廊 坊市 中心支行 , 河北 廊坊 0 6 5 0 0 0 )
摘 要: 入侵 容 忍数 据 库 是 解 决数 据 安 全 问题 的 有 效 途径 , 但 是 入 侵 容 忍数 据 库 隔 离算 法 的性 能 严 重 影响 入侵 容 忍数 据 库 的运 行效率 , 成 为 制约 入侵 容 忍数 据库 技 术应 用的 主要 障碍 。 这 里 通过 分 析入 侵 检 测和 攻 击 恢 复 的过程 , 给 出一 种入 侵 容 忍数 据库 隔 离算法的设计思路 , 以提 高入侵容忍数据库的运行效率。 关键 词 : 入侵容忍 ; 隔 离; 算 法
1概 述 3 隔 离算 法 设计 数据 库 原 子事 务 的性 质 表 明 , 只 有 被提 交 成 功 的 事 务才 能 改 写 基 于 上述 的隔 离方 案 , 设 计 隔离 算 法如 下 : 数 据 库 中 的数 据 。 因此 , 在理 论 上 只要 我们 能在 事 务 提交 前 检 测 出 开 始 它 是 否是 恶 意 的 , 则可 以在 引起 错 误前 回滚 该事 务 。 然而, 这个 方 案 如果 S Q L语 句想 插 人 数 据 的表 ( 表示 为 R i ) 没有 为 可 疑 用 户建 事 实上 是 不 可行 的 : 首先 , 事 务 执行 的速 度 远 远快 于检 测 的速 度 , 而 立 可疑 版本 ( 指示为 S i ) 降低事务的执行速度会引起严重的拒绝服务。其次 , 一些经过授权 创建 S i ; 却 是 恶 意 的事 务 很难 检 测 出来 。 这 些恶 意 事 务 与其 他 合法 的事 务看 如果 S Q L语 句在 值 域 没 有子 查 询 起来一样。 基 于 事务 语 义 的异 常 检 测可 能 是鉴 别 这种 恶 意 事 务 的仅 重 写 插 入语 句 , 使s i 代替 R i ; 有 的 有 效手 段 , 然 而 对 于异 常 检测 要 想 在 合 理 的检 测 反 应 时 间和 虚 附送 重 写 的插 入语 句 到 O r a c l e S e r v e r ; 警率的条件下实现 1 0 0 %的检测率 , 即使可 以实现也是非 常困难的。 否 则 假设 S Q L语 句 的子 查 询 访 问数 据 表 R j 1 , …. , R j n 因此 , 可行 的 目标 应 该 是 在 数 据 库 被 破 坏后 , 尽 快 定 位 被 破 坏 的 部 对 于 每 一个 R j k , 如果包含 S j k中被 删 除 的记 录 , 则从 R j k中删 分并修复, 从 而 是 数 据库 在 遭受 攻 击 时可 以继 续提 供 服务 。 除, 并 在 内存 中保 存 这 些记 录 ; 2 损 害 数据 的隔 离方 案 对 于 每一 S j k , 如 果包 含 R j k中没 有 的记 录 , 则 插 入这 些 记 录 到 2 . 1隔离工作 过程 R j k中 ; 重 写插 入 语 句 , 去掉 ” I N S E R T I N T O t a b l e _ n a m e ” ; 首先 , 根据门限值 T H 和T H 作为入侵检测报告两种级别的警 告。 当异 常事 务 高 于异 常 门 限 T H 时, 该 事 务被 报 告 为恶 意 的 ; 当 异 重 写 由前 一 步骤 产 生 的查 询语 句 ; 常事务高于异常 门限 T H , 而低 于异常门限 T H 时, 该 事 务 被 报 告 假设 结 果 表示 为 T o — I n s e r t ,附 送这 个 语 句 序列 到 O r a c l e s e r v e r 为可 疑 的( T H 和T H 的值 取 决 于先 前 攻击 的统 计分 析 ) 。当恶 意事 执 行 ; 务 被 报 告之 后 , 系统 进行 以下 工 作 ; 当可 以 事 务被 报 告之 后 , 协调 者 删 除 已经 被插 入 到 R i 1 , …, R j n 的每 一个 记 录 ; 对 已 经被 从 R j 1 ,… , R j n 中 删 除 的记 录 ,重 插 入 这 些 记 录到 在 隔离管理者的协助下 , 将T ( 以及 提 交 T 的用 户 之 后 的事 务 ) 重 定 向到虚拟 的隔离数据库中 , 在那里用户被隔离。 随后 , 如果用户被 R i 1 , …, R j n ; 证 明是 恶 意 的 , 隔 离管 理 者 将 取 消 该 用 户 的 操作 ; 如 果 用 户 不 是 恶 将T o _ I n s e r t 中 的每 一个 记 录 插入 到 相应 的 S j k ; 意的 , 隔 离 管理 者将 该 用 户 的操 作 结 果 导 入 主数 据 库 。 采用 这 种 方 结 束 案, 破 坏 扩散 能 被 急剧 减 少 而不 牺 牲 检 测 速度 或 降 低对 正常 事 务 的 4 下一 步 的工 作 可 用性 。 本 方 案说 明 , 基于 C O T S组件 来 建 设 的 容 忍入 侵 的数 据 库 系 统 我 们 按 用 户 隔 离 是 因 为 由同 一个 用 户 提 交 的事 务 应 该 相互 了 结构 具 有 以下 优 点 : 解结 果 。 这 个 方 案应 该 能够 同时 隔 离多 个 用 户 。 将 一 组 用户 隔离 在 ( 1 ) 一 个 多 层 的 深 度 防御 方 式 , 通 常 比使 系 统 的 可存 活性 依赖 同一个 虚拟 数据库可 以有助于解决合谋攻击 , 然而 , 当只有部分 用 于一 个 或 两个 诸 如入 侵 探 测 的机 制 效率 的方 法有 更 多 的成本 效 益 ; 户是恶意的时候 , 这将导致大量的应用性下降。 ( 2 ) 适 应 性 的容 忍 入侵 机 制 通 常 比提 前 编制 的容 忍 入 侵机 制 有更 多 采 用 完 全 的 数 据 库 复 制去 隔离 用 户 有 两 个 缺 点 :一 是 代 价 高 的成 本效 益 ; ( 3 )面 向服 务 的容 忍 入 侵 数据 库 系 统 通 常 比面 向 状态 昂; 二是 没 被 隔 离 的用 户更 新 结 果 对 隔离 用 户 是 不 可见 的 。在该 方 的容 忍入 侵 数 据库 系统 有更 多 的成 本 效 益 。 案 中, 我 们 采 用 数据 版 本 虚 拟 构建 隔离 数 据 库 。一 个 数 据对 象 X 通 针对 下一 步 工 作 ,我 们认 为 未来 研 究 方 向应 该 有 以下 几 个 方 常总是拥有唯一信任版本 , 记为 x [ m a i n ] 。只有 当 x 被隔离用户更新 面 : 后, x 拥 有 一 个特 别 的 可 疑版 本 。这 样 , 总 的 可 以版 本 的数 量 将大 大 首先 ,恶 性 事 务 也 许 能 被一 系列 部 分 复制 的数 据 库 服 务 器 掩 盖, 这 里 每个 服 务 器 只执 行 一组 而 并 非 全部 事 务 。这 样 一 个伪 装 的 少 于 信 任版 本 的 数 量 。 隔 离算 法 有 两个 关 键 部 分 : ( 1 ) 隔 离用 户 进 行 怎样 读 写 操 作 ( 注 框架的关键挑战应该是安全与数据一致性 间的权衡 。 意, 未 被 隔 离 的用 户 只能 访 问主 数 据 库 ) ; ( 2 ) 一 个 隔 离 用 户 被 证 明 其次 , 入侵 探 测 器 的准 确 性 和 反应 时间 对容 忍 入 侵 数据 库 系 统 这点一般是正确的。 因此 , 为了使配 是 非恶 意 之 后 , 如何 将 其 融 合 到主 数 据库 。 对第 一 个 问 题 , 我们 可 以 的整个成本效益有很大的影响 , 知 道该 探 测 器 采取单 向隔离 : 如果没有一致的可疑版本 , 隔离者可以读信任版本, 置一 个 探 测器 的容 忍入 侵 的数 据 库 系 统 有成 本 效 益 , 根 据 假正 数 率 , 假 负 数率 和 探 测 反应 时 间 ) 是 很 值 且 所有 隔 离 者 的写 操 作 都标 记 为 可疑 版 本 。 第 二个 问题 的关 键 在 于 需要 做 到 怎样 好 ( 信任 版 本 和 可疑 版 本不 一 致 。 如果 一 个 可信 用 户 和一 个 可疑 用 户 分 得 的 。 最后 , 操 作 系 统级 和 事 务 级 的容 忍 入 侵 机制 应 该 被无 缝 的整 合 别更 新 同一个 对 象 x , x [ m a i n ] 与可 疑 版本 将 不 一致 , 为 了进 行 融 合 就 这 个 整合 需 要仔 细 研究 这 两 级 必须 其 中一个 更 新 。此 外 , 研 究 表 明 即使 不 是 更 新 同一 个 对 象 也 会 来建 造 多层 的容 忍入 侵 数 据库 系 统 。 引起 不 一 致 。并 且 , 一 个 隔离 对 象 的 融合 可 能 会 影 响 到 另一 个 仍 旧 机制 间的关 系 。例如 , 尽 管 使 用 事务 级 方 式 不能 探 测 出操 作 系 统 级 数据 污 染 , 但 事务 级 方式 对 恢 复这 些 污染 十 分有 用 。 被 隔离 的 用户 。这些 不 一 致 必须 在 融合 时解 决掉 。 参考 文献 2 . 2 隔 离 方案 的特点 本 方 案具 有 以下 的特 点 : ( 1 ) 在 很 大 程度 上 , 隔离 对 可 疑 用 户是 『 l i e d 、 玉海 , 孟丽 荣. 基 于入侵容忍的数据库安全解决方案 计算机 2 0 0 5 ( 3 ) . 透 明的。( 2 ) 隔离带来 的额外存储开销很低 。( 3 ) 数据在 隔离前和融 工程 与设 计 , 2 1 陈驰 , 孟丽蓉, 夏 思淝. 入侵容忍数据库 系统 中选举方案的设计 与 合 后 是一 致 的 。( 4 ) 在融合过程中 , 如果 这里 有 某 些 不 一致 , 某 些 隔 『 J 1 . 微 电子学与计算机 , 2 0 0 2 , 1 9 ( 1 1 ) : 4 1 — 4 3 . 离 的或未被隔离的事务不得不退 回以解决这个问题 , 这是该方 案的 实现I 主 要 代价 。 幸 运 的是 , 研 究 表 明事 务 回滚 的代 价 只有 5 %。 在 不一 致 问题

入侵容忍数据库隔离算法设计

入侵容忍数据库隔离算法设计

入侵容忍数据库隔离算法设计入侵容忍数据库是解决数据安全问题的有效途径,但是入侵容忍数据库隔离算法的性能严重影响入侵容忍数据库的运行效率,成为制约入侵容忍数据库技术应用的主要障碍。

这里通过分析入侵检测和攻击恢复的过程,给出一种入侵容忍数据库隔离算法的设计思路,以提高入侵容忍数据库的运行效率。

标签:入侵容忍;隔离;算法1 概述数据库原子事务的性质表明,只有被提交成功的事务才能改写数据库中的数据。

因此,在理论上只要我们能在事务提交前检测出它是否是恶意的,则可以在引起错误前回滚该事务。

然而,这个方案事实上是不可行的:首先,事务执行的速度远远快于检测的速度,而降低事务的执行速度会引起严重的拒绝服务。

其次,一些经过授权却是恶意的事务很难检测出来。

这些恶意事务与其他合法的事务看起来一样。

基于事务语义的异常检测可能是鉴别这种恶意事务的仅有的有效手段,然而对于异常检测要想在合理的检测反应时间和虚警率的条件下实现100%的检测率,即使可以实现也是非常困难的。

因此,可行的目标应该是在数据库被破坏后,尽快定位被破坏的部分并修复,从而是数据库在遭受攻击时可以继续提供服务。

2 损害数据的隔离方案2.1 隔离工作过程首先,根据门限值THm和THs作为入侵检测报告两种级别的警告。

当异常事务高于异常门限THm时,该事务被报告为恶意的;当异常事务高于异常门限THs,而低于异常门限THm时,该事务被报告为可疑的(THs和THm的值取决于先前攻击的统计分析)。

当恶意事务被报告之后,系统进行以下工作;当可以事务被报告之后,协调者在隔离管理者的协助下,将Ts(以及提交Ts的用户之后的事务)重定向到虚拟的隔离数据库中,在那里用户被隔离。

随后,如果用户被证明是恶意的,隔离管理者将取消该用户的操作;如果用户不是恶意的,隔离管理者将该用户的操作结果导入主数据库。

采用这种方案,破坏扩散能被急剧减少而不牺牲检测速度或降低对正常事务的可用性。

我们按用户隔离是因为由同一个用户提交的事务应该相互了解结果。

基于入侵容忍的分布式数据库安全体系结构

基于入侵容忍的分布式数据库安全体系结构

技术创新中文核心期刊《微计算机信息》(管控一体化)2006年第22卷第11-3期360元/年邮局订阅号:82-946《现场总线技术应用200例》信息安全基于入侵容忍的分布式数据库安全体系结构I nt r usi on-t ol er antbased ar chi t ect ur e f ordi st r i but ed dat abase syst em secur i t y(1.华北电力大学;2.吉林大学)郑顾平1徐露锋1徐沛娟2ZHENG G UPI N G XU LUFENG XU PEI JUAN摘要:分析了分布式数据库系统的结构及其面临的安全问题,提出了一种基于容侵技术的分布式数据库体系结构。

从事务处理的角度出发,结合入侵检测和容侵技术,对被攻击的部分进行定位和修复,为合法用户提供不间断的服务。

采用门限秘密共享技术,实现关键数据的机密性。

关键词:分布式数据库;入侵容忍;入侵检测中图分类号:TP309.2;TP392文献标识码:AAbs t r ac t :Thi s pa pe r a na l y s e s t he s t r uc t ur e o f di s t r i but e d da t a ba s e s y s t e m a nd i t s s e c ur i t y i s s ue,t he n pr o po s e s a n a r c hi t e c t ur e f o r di s t r i but e d da t a ba s e s y s t e m s e c ur i t y ba s e d o n i nt r us i o n t o l e r a nc e.W i t h i nt r us i o n de t e c t i o n a nd i nt r us i o n t o l e r a nc e t e c hno l o g y,ba s e d o n t r a ns a c t i o ns ,t hi s a r c hi t e c t ur e c a n de t e c t i nt r us i o ns ,l o c a t e a nd r e pa i r t he da ma g e c a us e d by t he i nt r us i o ns ,t hus ,t he s y s t e m c a n pr o v i de uni nt e r r upt e d s e r v i c e s t o l e g i t i ma t e us e r s .Thr e s ho l d s e c r e t s ha r e s c he me s a r e pr e s e nt e d t o pr o t e c t c o nf i de nt i a l da t a.K e y wor ds :di s t r i but e d dat abas e ,i nt r us i on t ol e r anc e ,i nt r us i on de t e c t i on文章编号:1008-0570(2006)11-3-0100-031引言I nt e r ne t 的高速发展推动着分布式数据库的发展,另一方面它也加剧了分布式数据库安全问题的复杂性。

基于容忍入侵的网络安全防护系统设计与分析

基于容忍入侵的网络安全防护系统设计与分析
2 1年第O 期 02 5
基 于容 忍入侵 的 网络 安全 防护 系统设 计与分析
侯 丽 波
( 辽宁警 官高等专科 学校 ,辽宁大连 16 3 1 0 6)
摘 要 :文章 阐述 了新 一代 网络 防护 可生存性 的重要 性 ,并对容 忍入 侵概 念及功 能做 了介绍 。文 中引入 容 忍入侵 的设 计思想 ,采 用冗余结构 ,实现 系统 即使 被入侵 或故 障发 生也能提供 正 常有效服务 的容 忍入侵 的
Ke r s s r ia i t ; nr so lrn e h tr g n o s r d d n y ywo d : u v v b l i t in t e a c ; ee o e e u ; e u a c i y u o n
O引 言
随着网络安全 问题 的 日 益严 峻,网络 安全 防护研 究也 越加深入 ,网络安全 纵深防御体系是 当前 比较重要 的安 全防御思想 , 其主要是 从整体 防御的角度 Ⅲ发,逐层对系统 进行安全保 护,相对 于单独应付某种特定攻击的安全措施,纵深 防御体系是 一个
系统安全 防护体 系
关键词 :可 生存 性 ;容 忍入侵 ;异构 ;冗余
中图分 类号 :T 330 文献 标识码 :A 文章 编号 :1 7— 12( 0 2 0 — 04 0 P9. 8 6 1 12 2 1 ) 5 02 — 3
De i n a nay i fN ew o k S c iy Pr t c i n S t m s d sg ndA l sso t r e urt o e to y为。第二代网络安全防护实现过程中承认了即使使用了保护技术也会有入侵存在,但系统 的正 常运行是建 立在系统部件功能不失效的前提下,该时期以检测技术为重要安全防护技术 ,并结合系统保 护和恢 复技术 ,实现系

入侵容忍 [浅析入侵容忍系统的安全性量化方法]

入侵容忍 [浅析入侵容忍系统的安全性量化方法]

《入侵容忍 [浅析入侵容忍系统的安全性量化方法]》摘要:要:网络系统的攻击与防御,在网络服务普及的同时早就成为了计算机领域内的重要课题,在网络技术发达的今天,基于安全性的技术越来越多,为了更好地保护私钥,出现了基于门限密码学原理的入侵容忍系统摘要:网络系统的攻击与防御,在网络服务普及的同时早就成为了计算机领域内的重要课题。

在硬件技术与系统结构不断发展的同时,网络系统的复杂程度逐渐超越了人们最初的预计。

在复杂的网络环境中,完美的安全系统已经只能成为理想的模型。

入侵容忍系统在这种情况下成为网络系统安全防御的重要策略,并逐渐在实际操作中占有越来越多的比例。

关键词:入侵容忍系统;安全性;量化方法在网络技术发达的今天,基于安全性的技术越来越多。

在网络安全研究技术人员的努力下,已经开发出很多开放环境中服务系统的安全防护技术,包括防火墙技术、存储控制、数据加密算法等。

而在网络技术发达的同时,网络系统的复杂性也越来越高,攻击的方式与技术也在不断发展,想要实现理想状态的网络服务系统是无法完成的。

在这种情况下,我们对网络环境的服务系统的安全性要求就必然要降低水准,只要能够保证关键系统的足够安全性即可。

也就是说在系统遭受入侵的时候,甚至网络系统遭到一定程度的破坏时,能够完成系统的基本功能。

这就是网络系统的入侵容忍。

一、入侵容忍的概念计算机系统的构成从图灵机到现在的大规模集成化系统,系统的复杂程度已经远远超越了最初设计时的现象。

在网络迅速发展的今天,人们采取了各种各样的安全防范方法和策略来提升系统的安全性。

在传统的解决方式中,安全技术的最终目标是将具有风险的攻击排除在系统之外,包括入侵检测、防火墙、认证系统、访问控制、加密等。

但实际情况是,网络系统的构成越来越复杂,使用服务的用户群也越来越庞大,系统运作的细节和用户的控制复杂程度已经远远超出了预计,想要让防御措施深入到每个细节或控制每个用户的安全风险是不可能实现的。

在这样的环境中,传统的防御手段无法对所有恶意攻击进行抵御。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
资源 , 而达 到继续 服务 的 目的。 从
12 2 故 障隔 离能力 ..
的核 心就是 入侵 容 忍技 术 , 。
1 入侵容忍概述
1 1 入 侵容 忍的概念 .

个 人 侵 容 忍 系统 IS8 (nrs nT l a t TI It i o rn uo e
如果诊 断部分认 为某种 操作 可能 会严重 影 响后 续 的系统运作 , 隔离机制会将可疑 的操 作隔离到特殊 区域 Ⅲ’ 埔。针对被隔 离 的数 据 和 操 作 , 当判 决 系统 认 为确 实 是 攻击 时 , 将 被 隔离 的操 作 删 除掉 。反 就 之, 就将这 些隔离的 内容融合到正确的系统 中去 。
第 8卷 第 2 2期 20 0 8年 1 1月 17 —8 9 20 )26 7 —6 6 11 1 (0 8 2 —0 10







V0. No 22 No . 2 o8 18 . v o
S in eT c n lg n gn e i g c e c e h oo y a d En i e rn
着 网络信息系统规模 日益庞大 , 并朝着高度的分布
式 方 向发展 ( 即无边 界系统 ) 传统 的安全 技 术 日益 ,
显 得力不 从 心 。必 须 有 新 的 安 全 理 念 来 保 证 网络
人侵 容忍 的宗 旨就 是 如 何 在 入 侵 发 生 的情 况 下 , 系统 仍 能 为 合 法 用 户 提 供 预 期 的 有 效 服 务 。 使
文献标志码

随着 计算机 网络 的快 速发 展 和广 泛 应 用 , 各行 各 业对 网络 信 息 系 统 的依 赖 程 度 也 越 来 越 高 _2。 】J I
与此 同时 , 网络 安 全 事 件 也 逐 年 上 升 , 网络 安 全 问 题 正成 为人 们 关 注 的焦 点 。传 统 的 网络 安 全 技 术
墙 系统 , 证 和加密 系统 [ 。系统将采取 一些 认 】 等 卜” 必 要 的措 施 保 证 关 键 应 用 的功 能 连 续 正 确 。这 些
措施 包括 从 限制 怀 疑 的代 码 和数 据 到重 新 配置 硬
件 和软件 资源 等 。
1 2 入侵 容 忍的功能 .
主要是通 过保护 和检 测 手段 来 保 障 网络 的安 全 , 随
系 统必须保 证未被 感 染 的部 分 不 被恢 复 , 仅还 原 仅
6 7 02







8 卷
2 基于人侵容忍数据库安全体 系结构
2 1 多级数据 库安全 模型 .
如图 1 示 , 所 当一个 系统受 到人侵 的威胁 , 系统 的保护措 施 , 例如 脆 弱性 检测 等 , 抵 挡 部 分入 侵 ; 会
因此 , 入侵 容忍 系统必须具 有 以下功能 。
1 2 1 自我 诊 断能力 . .
的安全性 , 就是 当前 网络 的可 生 存 性 技 术 , 是 这 也
目前 网络安 全研究 的新方 向L ] 3 。而可 生存 性技 术
入侵容 忍仍 旧依 赖 检测 或 评估 系统 , 为入 侵 称 容忍 的触发 器 _ ]通过检 测到局部 系统 的失效 或 1 , 估 计 到系统 被 攻 击 , 后 调 整 系统 结 构 , 新 分 配 然 重
另外有 部分 入 侵 被 系统 的入 侵 检 测 机 制 所 检 测 并 报告 给系 统 管 理 员 处 理 。但 是 仍 会 有 少 数 入 侵 不 能被检测 和排除掉 , 时 就需 要 系统 的容 忍 人侵 机 这 制来保证 系统 的安 全性 和可用性 了 。
2 2 基 于入 侵容 忍数据库 安全体 系结构 .
了传统的网络安全技术从如何防止攻 击的角度来进行安全保 护的概念 , 从新的角度 对 网络安全 问题进行研 究, 能满足 目前 更 网络应用的现状 。文 中介绍 了入侵容 忍技术的概念、 功能 以及多层次入侵容 忍数据库安全体系结构 。 关键词 入侵容忍 网络安全
中图法分类号 T 3 30 ; P 9 .8
123 还 原重 构能 力 ..
Ss m) yt 是这样 的信息 系统 , 能够 在 面对 攻击 的情 e 它 况下, 仍然 连续地 为 预期 用 户 提供 及 时 的 服务 。入 侵 容忍系 统 能 够检 测 一 些 用 攻 击 避 免 和 预 防手 段
无法 检测 的信 息 攻 击 。这 些 攻 击 可 能 透 过 外 层 防 御, 即用攻 击 避 免 和 预 防 手段 设 置 的 防 御 , 防火 如

2 0 Si eh E gg 08 c.T c. nn .
计 算 机技 术
基于容 忍入侵的数据库安全体 系结构
连 云峰 陈立云 李 锼 高秀峰
( 械 工 程 学 院 , 家 庄 0 00 ) 军 石 50 3


入侵容忍技术能够在信 息系统存在入侵时 , 最大 限度保障关键服 务的运行, 网络安全领 域 的一种新技 术。它突破 是
20 0 8年 7月 9 日收 到
具有容 侵 能 力 的系 统 必 须 修 正 所 有 被 攻 击 影
响 到 的数据 , 而又 不 能采 用 简单 的 回退恢 复 口 被 感染 的文 件 , 用户 的大部分 工作得 以保 留 。 让

第 一作者简介 : 连云峰 (9 1 ) 男, 18 一 , 河北邯郸人 , 硕士 , 研究方 向 计算机网络 。Em i ln f 0 ao.o .1 -al i yl @yho cr ( 。 :a 0 n 5 1
用 户
操 作 系

数据 库管 理系

事务 级入 侵容

实现容 忍 入 侵 的 数 据 库 安 全 体 系 结 构 的基 本

一 非法请求 . - 一 _ 一 针对 D MS - , _ B 漏洞攻击
思想是 : 系 统 构件 中 引 入一 定 的冗 余 度 , 括 硬 在 包
相关文档
最新文档