高翔　郭新東　逢曉燕　張鳳蘭

摘 要： 分布式系統(tǒng)發(fā)展至今，規(guī)模越來(lái)越大，網(wǎng)絡(luò)中故障節(jié)點(diǎn)的查找更加困難。在此針對(duì)這種問(wèn)題提出了一種新的基于安全日志的問(wèn)責(zé)方法。通過(guò)維護(hù)一個(gè)系統(tǒng)安全日志以記錄節(jié)點(diǎn)過(guò)去的行為，節(jié)點(diǎn)間依賴此安全日志中的記錄來(lái)確定其他節(jié)點(diǎn)行為的正確性。通過(guò)在NS?3環(huán)境下對(duì)問(wèn)責(zé)機(jī)制的模擬，得出結(jié)論：使用問(wèn)責(zé)機(jī)制可以確保分布式環(huán)境下任意發(fā)生故障的節(jié)點(diǎn)最終能被至少一個(gè)正確的節(jié)點(diǎn)檢測(cè)出來(lái)，并且存在至少一個(gè)正確的節(jié)點(diǎn)持有該節(jié)點(diǎn)發(fā)生故障的確鑿證據(jù)。

關(guān)鍵字： 分布式系統(tǒng)； 故障節(jié)點(diǎn)； 安全日志； 問(wèn)責(zé)機(jī)制

中圖分類號(hào)： TN964?34 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2014）10?0092?04

Abstract： With the development of distributed systems， their scale is becoming larger and larger， but it is more difficult to find the fault nodes in network. A new accountability method based on the security log is proposed in this paper. The previous behaviors of nodes are recorded by maintaining a security log in the system， and the nodes rely on the record in this security log to determine the correctness of other nodes' behaviors. Through simulating the accountability mechanism in NS?3 environment， a conclusion is obtained in this paper. That is， the application of the accountability mechanism is able to ensure any fault node can be detected by at least one correct node in the distributed environment， and at least one correct node holds the conclusive evidence of the fault that has occurred in the node.

Keywords： distributed system； fault node； security log； accountability mechanism

0 引 言

分布式系統(tǒng)發(fā)展至今，規(guī)模越來(lái)越大，組件越來(lái)越多，只有每一個(gè)組件協(xié)調(diào)合作，才能保證整個(gè)系統(tǒng)的正常運(yùn)行。如果其中的一個(gè)組件出現(xiàn)故障，則有可能威脅到整個(gè)系統(tǒng)的安全。由于系統(tǒng)規(guī)模的不斷擴(kuò)大，復(fù)雜度和風(fēng)險(xiǎn)性也日益變大，系統(tǒng)安全面臨前所未有的挑戰(zhàn)。系統(tǒng)管理者迫切需要通過(guò)可靠的網(wǎng)絡(luò)舉證技術(shù)來(lái)幫助解決故障發(fā)現(xiàn)，系統(tǒng)調(diào)試，問(wèn)責(zé)和損害評(píng)估等問(wèn)題。

在分布式系統(tǒng)中查找故障通常是極其困難的，這往往也是由分布式系統(tǒng)的復(fù)雜程度決定的。假如懷疑其中的一些節(jié)點(diǎn)出現(xiàn)故障，可能是由于設(shè)備硬件損壞、或是管理員的配置失誤、再或是節(jié)點(diǎn)被黑客攻擊或更改了其中運(yùn)行的軟件，但是由于地域分布問(wèn)題，并不知道具體哪些是故障節(jié)點(diǎn)，也不知道故障的具體表現(xiàn)癥狀。而且，當(dāng)規(guī)模較大時(shí)，節(jié)點(diǎn)因誤配或安全性較低而使這些問(wèn)題更加明顯。尤其在跨多個(gè)管理域的系統(tǒng)中，由于缺乏總的管理域，上述問(wèn)題會(huì)更加嚴(yán)重。這類多管理域的系統(tǒng)如提供網(wǎng)絡(luò)服務(wù)的DNS，NTP和SMTP等，再如信息系統(tǒng)，網(wǎng)格計(jì)算系統(tǒng)，Web Service和P2P系統(tǒng)等。

1 問(wèn)責(zé)機(jī)制的基礎(chǔ)

針對(duì)上述問(wèn)題，提出一種新的基于安全日志的“問(wèn)責(zé)”方法加以解決。在一個(gè)具備問(wèn)責(zé)機(jī)制的系統(tǒng)中，所有的節(jié)點(diǎn)行為都經(jīng)過(guò)加密后被鏈接到相關(guān)的實(shí)施節(jié)點(diǎn)上。系統(tǒng)中維持一個(gè)安全記錄以記錄過(guò)去的行為，系統(tǒng)中的節(jié)點(diǎn)可以使用此記錄相互檢查以確定其正確性。

假定節(jié)點(diǎn)的行為正常稱之為正確節(jié)點(diǎn)，否則稱之為錯(cuò)誤節(jié)點(diǎn)。

首先引出系統(tǒng)的模型如圖1所示。

如圖1所示，每個(gè)節(jié)點(diǎn)可以被建模為一個(gè)狀態(tài)機(jī)S、一個(gè)檢測(cè)機(jī)D、和一個(gè)應(yīng)用A的模型。狀態(tài)機(jī)代表所有需要被問(wèn)責(zé)機(jī)制檢測(cè)的服務(wù)或應(yīng)用，而應(yīng)用服務(wù)則代表其他的不需要被檢測(cè)的功能，如圖形用戶界面GUI[1]。檢測(cè)機(jī)是對(duì)問(wèn)責(zé)機(jī)制的具體實(shí)現(xiàn)，它可以觀測(cè)到狀態(tài)機(jī)S的所有輸入和輸出，并且還可以與其他節(jié)點(diǎn)的檢測(cè)機(jī)通信。我們假設(shè)正確節(jié)點(diǎn)的狀態(tài)機(jī)S和檢測(cè)機(jī)D依照指定的規(guī)范實(shí)現(xiàn)，而錯(cuò)誤的節(jié)點(diǎn)則可能表現(xiàn)出任意行為。

檢測(cè)機(jī)向其本地應(yīng)用層報(bào)告其他節(jié)點(diǎn)的錯(cuò)誤標(biāo)示。通常，當(dāng)節(jié)點(diǎn)i發(fā)現(xiàn)節(jié)點(diǎn)j具有異常行為時(shí)，就會(huì)發(fā)出exposed（j）信號(hào)。當(dāng)節(jié)點(diǎn)i懷疑節(jié)點(diǎn)j未發(fā)送其本應(yīng)該發(fā)送的消息時(shí)，就會(huì)發(fā)出suspected（j）對(duì)節(jié)點(diǎn)j表示置疑，其他情況則以trusted（j）來(lái)表示[2]。

2 問(wèn)責(zé)機(jī)制的實(shí)現(xiàn)技術(shù)

問(wèn)責(zé)機(jī)制的實(shí)現(xiàn)主要包含了安全日志、提交協(xié)議、一致性協(xié)議、審計(jì)協(xié)議、挑戰(zhàn)＼回復(fù)協(xié)議、證據(jù)傳輸協(xié)議。

2.1 安全日志

為了強(qiáng)制實(shí)現(xiàn)“問(wèn)責(zé)性”，系統(tǒng)必須為每個(gè)節(jié)點(diǎn)的輸入和輸出維持一條記錄，并且在記錄被篡改的情況下有能力檢測(cè)出來(lái)。使用一種只增型安全日志作為記錄工具[4]。

只增型安全日志是一個(gè)只允許增加的鏈表，該日志按時(shí)間先后順序記錄一個(gè)特定節(jié)點(diǎn)的狀態(tài)機(jī)的輸入和輸出。安全日志還包含狀態(tài)機(jī)的周期性快照和檢測(cè)機(jī)的部分注釋。每條日志記錄包括一個(gè)序列號(hào)[si]、一個(gè)類型[ti]、和特定類型的內(nèi)容[ci]，把它表示為[ei=（si，ti，ci）]。該序列號(hào)可以是非連續(xù)的，但必須是嚴(yán)格遞增的。我們可以使用時(shí)間戳來(lái)作為序列號(hào)。另外，每條記錄還包括一個(gè)遞歸定義的哈希值[hi]，該哈希值可以表示為[hi=hash（hi-1sitihash（ci））]，[其中]表示連接，哈?；礹ash（i-1）已知。

日志的安全性由合成的哈希鏈（如圖2）和一個(gè)認(rèn)證者集來(lái)確保。認(rèn)證者是經(jīng)節(jié)點(diǎn)的私鑰簽名后的聲明，它的日志條目具有相應(yīng)的哈希值。以a來(lái)表示認(rèn)證者，以[signj（arg）]表示用節(jié)點(diǎn)j的私鑰對(duì)參數(shù)arg進(jìn)行簽名，則一個(gè)認(rèn)證者[aji=signj（si，hi）]表示節(jié)點(diǎn)j簽名的聲明，且該認(rèn)證者的記錄條目[ei]包含哈希值[hi]。

2.2 提交協(xié)議

必須確保一個(gè)節(jié)點(diǎn)的日志不能被加入一個(gè)未發(fā)生的日志條目，如一條它從未發(fā)送或接收的消息。同樣，也必須確保節(jié)點(diǎn)日志具有完整性，即日志應(yīng)其包含節(jié)點(diǎn)發(fā)送或接收的所有消息，或者是來(lái)自其他正確節(jié)點(diǎn)的消息。

當(dāng)節(jié)點(diǎn)i發(fā)送消息m到節(jié)點(diǎn)j時(shí)，節(jié)點(diǎn)i必須提交它發(fā)送過(guò)消息m，而節(jié)點(diǎn)j必須提交它接收到m。它們擁有一個(gè)認(rèn)證者，該認(rèn)證者由其他節(jié)點(diǎn)充當(dāng)，并在消息中說(shuō)明，認(rèn)證者檢查相關(guān)的日志條目。記錄接收消息的日志條目里必須包含相應(yīng)的認(rèn)證者，因此，節(jié)點(diǎn)無(wú)法偽造它并未發(fā)送過(guò)的消息條目[5]。

仍以節(jié)點(diǎn)i向節(jié)點(diǎn)j發(fā)送一條消息m舉例，節(jié)點(diǎn)i首先創(chuàng)建一個(gè)日志條目（[sk]， SEND， {j，m}），然后將[hk-1]，[sk]和[signk（skhk）]附到m上，再將結(jié)果發(fā)送至節(jié)點(diǎn)j。因此，節(jié)點(diǎn)j有足夠的信息計(jì)算出[hk]，并提取出[aik]，如果[aik]中的簽名無(wú)效，j將丟棄m。否則，j創(chuàng)建自己的日志條目（[sl]，RECV，{i，[sk]，m}），并返回一個(gè)附有[hl-1]，[sl]和[signl（slhl）]的應(yīng)答。這使得節(jié)點(diǎn)i可以提取并驗(yàn)證[ajl]，如果i收到的應(yīng)答無(wú)效，就會(huì)向j的證人節(jié)點(diǎn)發(fā)出挑戰(zhàn)請(qǐng)求。

2.3 一致性協(xié)議

如果節(jié)點(diǎn)i收到來(lái)自節(jié)點(diǎn)j的認(rèn)證者，它必須再將認(rèn)證者轉(zhuǎn)發(fā)至j的證人集[w（k）]，因此，證人節(jié)點(diǎn)擁有所有節(jié)點(diǎn)j發(fā)送或接收的消息的可驗(yàn)證證據(jù)[6]。每個(gè)證人節(jié)點(diǎn)[w∈w（j）]周期性的選取認(rèn)證者及最小序列號(hào)和最大序列號(hào)并對(duì)節(jié)點(diǎn)j進(jìn)行挑戰(zhàn)，以獲取節(jié)點(diǎn)j的所有處于該序列號(hào)范圍內(nèi)的日志條目。如果節(jié)點(diǎn)j是正確的，這些日志條目將會(huì)構(gòu)成一條線性的哈希鏈，該鏈包含所有其他認(rèn)證者所持的哈希值。如果上述不滿足，證人w將持有j發(fā)生錯(cuò)誤的確鑿證據(jù)。

最后，證人可以使用日志條目來(lái)提取所有的認(rèn)證者，這些認(rèn)證者來(lái)自其他節(jié)點(diǎn)且被節(jié)點(diǎn)j轉(zhuǎn)發(fā)至相關(guān)證人。這點(diǎn)是必要的，因?yàn)楣?jié)點(diǎn)j可以與其他節(jié)點(diǎn)k共同發(fā)生錯(cuò)誤，這樣，它可以轉(zhuǎn)發(fā)k的消息到證人集[w（k）]而不轉(zhuǎn)發(fā)k的驗(yàn)證者[7]。

2.4 審計(jì)協(xié)議

可以利用節(jié)點(diǎn)的日志來(lái)檢查該節(jié)點(diǎn)的行為是否符合其參考實(shí)現(xiàn)。節(jié)點(diǎn)i的證人w周期性的檢查i的最近的認(rèn)證者，然后對(duì)i發(fā)出挑戰(zhàn)以獲取自上次審計(jì)后的所有日志條目。然后證人w將新的日志條目添加到它對(duì)i的本地拷貝日志中[8]。

隨后，證人w在本地建立i的參考實(shí)現(xiàn)的實(shí)例，并用來(lái)自i的最近一次快照對(duì)實(shí)例進(jìn)行初始化。然后，從這個(gè)快照處開(kāi)始重播所有的輸入，并比較[Si]的輸出和該日志中記錄的輸出。

因?yàn)橐骩Si]是確定的，所以任何不符都表示節(jié)點(diǎn)i是錯(cuò)誤的[8]。這種情況下，證人w可以用[aik]和本地拷貝的下標(biāo)作為針對(duì)節(jié)點(diǎn)i的可驗(yàn)證證據(jù)，這樣，任意正確節(jié)點(diǎn)都可以檢查此證據(jù)。

2.5 挑戰(zhàn)/回復(fù)協(xié)議

如果節(jié)點(diǎn)對(duì)挑戰(zhàn)進(jìn)行了回復(fù)，則該協(xié)議可以暴露錯(cuò)誤節(jié)點(diǎn)。但是，如果節(jié)點(diǎn)并未回復(fù)挑戰(zhàn)或并未回復(fù)一個(gè)發(fā)送給它的消息，除非對(duì)同步性做一個(gè)強(qiáng)假設(shè)，否則我們無(wú)法區(qū)分一個(gè)節(jié)點(diǎn)是惡意的錯(cuò)誤還是因?yàn)榫W(wǎng)絡(luò)的問(wèn)題[9]。

當(dāng)節(jié)點(diǎn)j發(fā)現(xiàn)節(jié)點(diǎn)i拒絕其合作時(shí)，將節(jié)點(diǎn)i的狀態(tài)標(biāo)記為可疑并對(duì)節(jié)點(diǎn)i發(fā)起挑戰(zhàn)。挑戰(zhàn)必須包含有足夠的證據(jù)使其他節(jié)點(diǎn)相信，如果節(jié)點(diǎn)i是正確的那么它會(huì)回復(fù)挑戰(zhàn)。然后節(jié)點(diǎn)j將挑戰(zhàn)發(fā)送至i的證人集，證人再將挑戰(zhàn)發(fā)送至節(jié)點(diǎn)i。如果節(jié)點(diǎn)i對(duì)此不予回復(fù)，則證人指出節(jié)點(diǎn)i是可疑節(jié)點(diǎn)。

挑戰(zhàn)的方式有兩種：

（1） 審計(jì)挑戰(zhàn)：審計(jì)挑戰(zhàn)有2個(gè)認(rèn)證者組成，[aik]和[ail]（k

（2） 發(fā)送挑戰(zhàn)：發(fā)送挑戰(zhàn)由一條簡(jiǎn)單的消息m和由一致性協(xié)議附加的額外信息組成。通過(guò)提取和檢查消息m中的認(rèn)證者，任意正確的節(jié)點(diǎn)都確信節(jié)點(diǎn)i必須對(duì)m進(jìn)行應(yīng)答。如果節(jié)點(diǎn)i是正確的且從未收到過(guò)m，則i可以接受m并返回一個(gè)應(yīng)答。如果i已經(jīng)收到過(guò)m，則它可以簡(jiǎn)單的重發(fā)一下之前的應(yīng)答即可。

2.6 證據(jù)傳輸協(xié)議

為了確保所有正確的節(jié)點(diǎn)最終都能對(duì)錯(cuò)誤節(jié)點(diǎn)做出一致的指證，即持有相同的證據(jù)，其中包括相同的審計(jì)集和相同的挑戰(zhàn)信息，允許每個(gè)節(jié)點(diǎn)i周期性的獲取由其他節(jié)點(diǎn)j的證人收集到的挑戰(zhàn)。在大多數(shù)實(shí)際的情況中，節(jié)點(diǎn)i可能只關(guān)心對(duì)與它進(jìn)行直接或間接通信的節(jié)點(diǎn)的控告[10]。

如果一個(gè)正確的節(jié)點(diǎn)i擁有對(duì)另一個(gè)節(jié)點(diǎn)j的挑戰(zhàn)，則它的檢測(cè)機(jī)指示suspected（j）。在此狀態(tài)下，如果i收到一條來(lái)自j的消息，則i對(duì)j進(jìn)行挑戰(zhàn)[11]。一旦i收到對(duì)未判定信息的挑戰(zhàn)的有效回復(fù)，則i的檢測(cè)機(jī)重新指示為trusted（j）。如果節(jié)點(diǎn)i擁有關(guān)于節(jié)點(diǎn)j行為異常的證據(jù)，則節(jié)點(diǎn)i的檢測(cè)機(jī)發(fā)出exposed（j）。

3 結(jié) 果

在NS?3模擬環(huán)境下將問(wèn)責(zé)機(jī)制在一個(gè)覆蓋多播環(huán)境下進(jìn)行了仿真實(shí)驗(yàn)，實(shí)驗(yàn)?zāi)M了單一源點(diǎn)向多個(gè)節(jié)點(diǎn)發(fā)送數(shù)據(jù)流的情形，因?yàn)樵垂?jié)點(diǎn)可能沒(méi)有足夠的帶寬或資源為所有的節(jié)點(diǎn)發(fā)送流，所以需要所有的節(jié)點(diǎn)參與其中，將自己收到的數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，以達(dá)到對(duì)源節(jié)點(diǎn)負(fù)載均衡的目的。這樣，中間節(jié)點(diǎn)就有機(jī)會(huì)對(duì)轉(zhuǎn)發(fā)數(shù)據(jù)進(jìn)行篡改或不進(jìn)行轉(zhuǎn)發(fā)。

仿真環(huán)境的規(guī)模為100個(gè)節(jié)點(diǎn)，并手動(dòng)的注入了一定數(shù)目的錯(cuò)誤節(jié)點(diǎn)，設(shè)置了2條多播，每條只有一個(gè)源節(jié)點(diǎn)，50個(gè)客戶節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)設(shè)計(jì)2個(gè)證人節(jié)點(diǎn)。在沒(méi)有使用問(wèn)責(zé)機(jī)制的情況下，錯(cuò)誤節(jié)點(diǎn)不轉(zhuǎn)發(fā)或?qū)?shù)據(jù)進(jìn)行隨機(jī)篡改，數(shù)據(jù)完整性無(wú)法保證，鏈路利用率低。使用問(wèn)責(zé)機(jī)制后，數(shù)據(jù)完整性和鏈路利用率都有明顯提高。

4 結(jié) 語(yǔ)

本文討論分布式系統(tǒng)下錯(cuò)誤檢測(cè)的難點(diǎn)所在和需要解決的問(wèn)題，并提出一種新的解決方法，即問(wèn)責(zé)機(jī)制，通過(guò)問(wèn)責(zé)可以確保表現(xiàn)錯(cuò)誤的節(jié)點(diǎn)最終能被至少一個(gè)正確的節(jié)點(diǎn)指證出來(lái)，同時(shí)保證正確的節(jié)點(diǎn)不被誣告。問(wèn)責(zé)機(jī)制需要的一系列條件限制了它只能在規(guī)模適度的環(huán)境下使用，除非犧牲部分完整性，一旦滿足了這些條件，問(wèn)責(zé)機(jī)制就可以在較大規(guī)模的網(wǎng)絡(luò)環(huán)境下使用了。

參考文獻(xiàn)

[1] 潘愛(ài)民.計(jì)算機(jī)網(wǎng)絡(luò)[M].4版.北京：清華大學(xué)出版社，2004.

[2] 張千里.網(wǎng)絡(luò)安全新技術(shù)[M].北京：人民郵電出版社，2003.

[3] 高永強(qiáng).網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].北京：人民郵電出版社，2003.

[4] 陳魯生.現(xiàn)代密碼學(xué)[M].北京：科學(xué)出版社，2002.

[5] 韓海東.入侵檢測(cè)系統(tǒng)實(shí)例剖析[M].北京：清華大學(xué)出版社，2002.

[6] 劉洪斐，王灝，王換招.一個(gè)分布式入侵檢測(cè)系統(tǒng)模型的設(shè)計(jì)[J].微機(jī)發(fā)展，2003（1）：92?95.

[7] ARGYRAKI K， MANIATIS P， IRZAK O， et al. An accountability interface for the Internet [R/OL]. [2007?08?10].http：//www.infoscience.epfl.ch/record/109957.

[8] BARKER E， BARKER W， BURR W， et al. Recommendation for key management [R/OL]. [2005?08?12].http：//csrc.nist.gov/publications/nistpubs/800?57/SP800?57?Part1.

[9] BARRINGER H， GOLDBERG A， HAVELUND K， et al. Rule?based runtime verification [J]. Lecture Notes in Computer Science， 2004， 2937： 44?57.

[10] BAZZI R A， NEIGER G. Simplifying fault?tolerance： providing the abstraction of crash failures [J]. Journal of ACM， 2001， 48（3）： 499?554.

[11] BRACHA G. Asynchronous Byzantine agreement protocols [J]. Information and Computation， 1987， 75（2）： 130?143.

[12] 陽(yáng)萬(wàn)安，李振，李彥，等.無(wú)線分布式系統(tǒng)中基于移動(dòng)Agent的日志分析[J].現(xiàn)代電子技術(shù)，2007，32（10）：91?93.

4 結(jié) 語(yǔ)

本文討論分布式系統(tǒng)下錯(cuò)誤檢測(cè)的難點(diǎn)所在和需要解決的問(wèn)題，并提出一種新的解決方法，即問(wèn)責(zé)機(jī)制，通過(guò)問(wèn)責(zé)可以確保表現(xiàn)錯(cuò)誤的節(jié)點(diǎn)最終能被至少一個(gè)正確的節(jié)點(diǎn)指證出來(lái)，同時(shí)保證正確的節(jié)點(diǎn)不被誣告。問(wèn)責(zé)機(jī)制需要的一系列條件限制了它只能在規(guī)模適度的環(huán)境下使用，除非犧牲部分完整性，一旦滿足了這些條件，問(wèn)責(zé)機(jī)制就可以在較大規(guī)模的網(wǎng)絡(luò)環(huán)境下使用了。

參考文獻(xiàn)

[1] 潘愛(ài)民.計(jì)算機(jī)網(wǎng)絡(luò)[M].4版.北京：清華大學(xué)出版社，2004.

[2] 張千里.網(wǎng)絡(luò)安全新技術(shù)[M].北京：人民郵電出版社，2003.

[3] 高永強(qiáng).網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].北京：人民郵電出版社，2003.

[4] 陳魯生.現(xiàn)代密碼學(xué)[M].北京：科學(xué)出版社，2002.

[5] 韓海東.入侵檢測(cè)系統(tǒng)實(shí)例剖析[M].北京：清華大學(xué)出版社，2002.

[6] 劉洪斐，王灝，王換招.一個(gè)分布式入侵檢測(cè)系統(tǒng)模型的設(shè)計(jì)[J].微機(jī)發(fā)展，2003（1）：92?95.

[7] ARGYRAKI K， MANIATIS P， IRZAK O， et al. An accountability interface for the Internet [R/OL]. [2007?08?10].http：//www.infoscience.epfl.ch/record/109957.

[8] BARKER E， BARKER W， BURR W， et al. Recommendation for key management [R/OL]. [2005?08?12].http：//csrc.nist.gov/publications/nistpubs/800?57/SP800?57?Part1.

[9] BARRINGER H， GOLDBERG A， HAVELUND K， et al. Rule?based runtime verification [J]. Lecture Notes in Computer Science， 2004， 2937： 44?57.

[10] BAZZI R A， NEIGER G. Simplifying fault?tolerance： providing the abstraction of crash failures [J]. Journal of ACM， 2001， 48（3）： 499?554.

[11] BRACHA G. Asynchronous Byzantine agreement protocols [J]. Information and Computation， 1987， 75（2）： 130?143.

[12] 陽(yáng)萬(wàn)安，李振，李彥，等.無(wú)線分布式系統(tǒng)中基于移動(dòng)Agent的日志分析[J].現(xiàn)代電子技術(shù)，2007，32（10）：91?93.

4 結(jié) 語(yǔ)

本文討論分布式系統(tǒng)下錯(cuò)誤檢測(cè)的難點(diǎn)所在和需要解決的問(wèn)題，并提出一種新的解決方法，即問(wèn)責(zé)機(jī)制，通過(guò)問(wèn)責(zé)可以確保表現(xiàn)錯(cuò)誤的節(jié)點(diǎn)最終能被至少一個(gè)正確的節(jié)點(diǎn)指證出來(lái)，同時(shí)保證正確的節(jié)點(diǎn)不被誣告。問(wèn)責(zé)機(jī)制需要的一系列條件限制了它只能在規(guī)模適度的環(huán)境下使用，除非犧牲部分完整性，一旦滿足了這些條件，問(wèn)責(zé)機(jī)制就可以在較大規(guī)模的網(wǎng)絡(luò)環(huán)境下使用了。

參考文獻(xiàn)

[1] 潘愛(ài)民.計(jì)算機(jī)網(wǎng)絡(luò)[M].4版.北京：清華大學(xué)出版社，2004.

[2] 張千里.網(wǎng)絡(luò)安全新技術(shù)[M].北京：人民郵電出版社，2003.

[3] 高永強(qiáng).網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].北京：人民郵電出版社，2003.

[4] 陳魯生.現(xiàn)代密碼學(xué)[M].北京：科學(xué)出版社，2002.

[5] 韓海東.入侵檢測(cè)系統(tǒng)實(shí)例剖析[M].北京：清華大學(xué)出版社，2002.

[6] 劉洪斐，王灝，王換招.一個(gè)分布式入侵檢測(cè)系統(tǒng)模型的設(shè)計(jì)[J].微機(jī)發(fā)展，2003（1）：92?95.

[7] ARGYRAKI K， MANIATIS P， IRZAK O， et al. An accountability interface for the Internet [R/OL]. [2007?08?10].http：//www.infoscience.epfl.ch/record/109957.

[8] BARKER E， BARKER W， BURR W， et al. Recommendation for key management [R/OL]. [2005?08?12].http：//csrc.nist.gov/publications/nistpubs/800?57/SP800?57?Part1.

[9] BARRINGER H， GOLDBERG A， HAVELUND K， et al. Rule?based runtime verification [J]. Lecture Notes in Computer Science， 2004， 2937： 44?57.

[10] BAZZI R A， NEIGER G. Simplifying fault?tolerance： providing the abstraction of crash failures [J]. Journal of ACM， 2001， 48（3）： 499?554.

[11] BRACHA G. Asynchronous Byzantine agreement protocols [J]. Information and Computation， 1987， 75（2）： 130?143.

[12] 陽(yáng)萬(wàn)安，李振，李彥，等.無(wú)線分布式系統(tǒng)中基于移動(dòng)Agent的日志分析[J].現(xiàn)代電子技術(shù)，2007，32（10）：91?93.