《英文文献翻译(计算机方面的)》由会员分享,可在线阅读,更多相关《英文文献翻译(计算机方面的)(29页珍藏版)》请在金锄头文库上搜索。
1、网络的可信性,容错性,可靠性,安全性和生存性的分析比较(原文名字 A Comparative Analysis of Network Dependability,Fault-tolerance,Reliability,Security, and Survivabilit)M. Al-Kuwaiti IEEE 成员,N. Kyriakopoulos IEEE 高级成员 S. Hussein, Member IEEE 成 员摘要人们用一些定性和定量的术语来描述众所周知的信息系统、网络或基础设施的性能。然而,为严格评价那些系统的性能而定义了的一些术语中,存在一些重复定义或者歧义的问 题。这种问题的产
2、生是因为信息技术学科包含了各种各样的学科,而那些学科中已经定义了自 己独特的用语。本文提出了一种系统的方法,来确定五个被广泛应用的概念的通用和互补的特 征,这五个概念分别是:可信性,容错性,可靠性,安全性和生存性。并分析了五个概念的定 义,探讨了它们之间的相似性和差异。关键字:可信性,容错性,可靠性,安全性和生存性。/ /概述各种基础操作的混乱使建立减少混乱的影响改善基础的性能的机制显得非常重要。问题从基础 的构成开始出现。它们组成系统,这些系统通过不同的学科发展成熟了。信息基础设施的硬件 部分包括来自各个领域的电气工程设备,软件部分包括计算机科学的所有学科的发展,这里仅举 两个例子。不同领域
3、的产品组成复杂的系统,包括人员组成,给以分析和改善基础设施运作为 目的的高效机制的发展增添了困难。其中一个问题可以被归结于描述在不同领域的表现的术语 的歧义。一个设计者或用户面对的术语中一些可能是互相补充的或是同义的或者是介于两者之 间的。因此,有必要为制定一些术语而达成一致,这些术语的含义不涉及具体学科的并且能被 最广泛使用。在工程设计方法的演变中,最初所关注的是:一个特定的系统能否在一系列特定 规范下运行;很少考虑系统能够在这些特殊规范下运行多久。军事和随后的太空应用十分重视 可靠性,即一个给定的系统需要满足的一定期限内的设计要求。类似的需求出现在从简单到复 杂的计算机软件中,并以容错设计
4、要求为主导。不久便认识到虽然这两个概念起源于不同的领 域,即工程学和计算机科学,但他们各自的目标却是相近的,都是确保系统在指定时间内的性 能,第一个系统是硬件方面的,第二个是软件方面的。这种认识导致了可信性的概念发展成一 个包罗万象的概念,即包括可靠性又包括容错性】1-6。随着计算机与通信相结合,形成了全 球信息网络,信息安全和网络生存性也成为重要的设计目标。此外,如可信赖性2、高可靠 性、高信赖性3、超可靠性5和鲁棒性2等许多其他的概念也被用来描述复杂系统的性能。 在参考文献】3中,已经作了观察,但没有详细分析,可靠性,高可信,生存性和可信赖性“在他们的目标基本上是等效的,解决类似威胁的”。
5、这些术语已经通过不同学科和在不同时 间被运用了。例如:鲁棒性在统计学和程序控制方面的应用已经有悠久历史,生存性是作为评 价军事通讯网络性能特征而被引入的,安全性一直与执法和军事行动联系在一起的。最后两个 例子来阐明对离散物理实体性能测定标准,第一个例子涉及到性能的测定。随着信息网络已变 得更加复杂,涉及到的硬件,软件和人员都起到突出的作用,整个系统提供所需的服务的性能 要求的建立已经不可避免。评价性能的概念是随着技术的发展而发展的。例如,电子设备的 可靠性发展成了电路的可靠性,并最终演变成了整个火箭发射运行的可靠性,或者,在另一个 应用程序是一整个核电厂的可靠性。其他一些概念被从一个技术中”借
6、用“过来用到另外一个 技术上。生存性起初是作为一个物理网络通信性能特征,已经被引用为刻画信息基础设施的性 能特点。7-12.另外一个随着技术发展而出现的概念是服务质量(QoS),被国际电信联盟 中所定义。x.902定义为在一个或多个对象上共同的一类质量要求。在数字通讯的开始,通 道传输是以误码率来表示的,需要遵循服务质量描述分组交换网络性能标准。随着国际互联网 和数据流的出现,这个描述服务质量的概念也被用来描述应用程序的性能。概念的不同起源和 发展路径与词汇学的相似性组合在一起导致了问题的发生,是否有一些术语概念重叠以及重叠 程度如何,如果有,应该在使用这些概念的同时剔出一些概念。因为一些努力
7、使这个问题变得 更加重要,这些努力使可靠性发展成为一个综合性概念,包括可用性,可靠性,安全性,完整 性和可维护性这样的属性3。虽然从理论上说,这是一个非常可取的目标,但主要由于观点 和定义的多样性,出现了一些实际问题。例如:有关可信性的不止一个定义。这些概念已经使 用了很长一段时间,并且在不同学科和各自的领域是根深蒂固的,并作为最终目标,而不是作 为一些其他概念的属性值。其中一个广泛被使用的概念是可靠性.应用范围从统计数据分析到 社会系统的性能说明。如果使用可靠性的IEEE定义“一个系统或组件在规定条件下,指定时间 内完成所需功能的能力”。结论就是这是一个尽量广阔的可靠性的概念。术语“所需功能
8、”是 广泛的足以涵盖,例如,安全和保险一被视为可靠的属性的定义。虽然可靠性能被明确地定量 评价,但安全性的属性却是一个没有一个客观评价标准的,这便是一个例子。如果这些属性将 被作为设计参数时,它们需要被量化。毫无疑问,有一句古老的汤姆德马科说的格言:“你 无法控制你无法衡量的东西”它是在描述这些概念,并制定相关的基本性能要求。另一个问题 来自于设计的观点分歧。从历史上看,工程设计的重点一直是设备,部件和系统的顺序。硬件 和软件集成提供服务,使这些服务产生了有指定的性能特点的需求。人们可以认为计算容错是 评价服务性能的基础,可信性是前提。另一方面,可以说是服务质量(QoS)同样是一个有效的 集成
9、概念,它用于指定的服务性能。服务质量的定义集合中包括“质量要求”,也可以作为可 信性的属性。此外,对比工程设计从设备到系统的演变,即从“自下而上”的方法,到可靠性 的“自上而下”观点。其结果是一个复杂多层次的树状结构,包括定量和定性属性。随着向 树的底层推进,从树分出的可行路径会越复杂,定量和定性交织在一起,这些对于一个复杂的 系统转换成可信的设计规范,高层可靠性的概念是一个重大挑战。本文工作的目的是为确定复 杂系统性能指标的框架发展作努力,如信息基础设施。我们的目标不是要提出另一个概念,但 是,相反,以从现有概念的真子集的交集中确定,并对其中的含义中相同的和一致的属性达成 共识。可靠性,容错
10、性,可靠性,安全性和生存性是用来描述所提出的分析框架的代表性例 子IT行业在人们生活各个方面的迅速发展和广泛应用,使这些性能指标成为系统用户和设计 人员的重大挑战。对各种关键的基础设施,这些的概念或者是体现在第一阶段开发设计中,或 者成为一项附加功能。在8 9 10 12 22 23 提出的这些系统包括防御系统,飞行 系统,通讯系统,财务系统,能源系统,交通系统。本文组织结构如下:第二节对五个概念进 行了讨论,因为它们已发生变化。从三个不同角度:组件级,基础设施级和服务级对这些概念 进行了分析。在分析五个概念定义和特点之后,介绍分析方法。本节最后描述了集成服务和 系统的性能要求的研究框架。第三
11、节研究了概念的定义,要求,和属性分类法。第四部分分析 了概念的定义,并探讨它们之间的相似性和差异。第五节研究他们的评价措施。讨论一些主要 观点后,紧接着是对一些概念进行了比较。最后,第七节结尾的总结和今后的工作。通过对这五个概念的含义进行分析,表明它们之间有着相关和重叠的特征。这五个概念 中,有些是很明确的,有些却很模糊,这取决于用来描述它们之间相关性的术语。下面对五个 概念的关系进行粗略定性的描述。虽然可靠性或者生存性是一个总括的概念,但是对这五个方面的定义进行审查仍然表明 在概念层次有着大量的重叠。这五个概念的差异,更多的是因为每个概念的起源学科内部,而 不是它们显著的差别。去除安全性之外
12、,对剩余的四个方面的定义进一步的审查表明它们可被定义为带有细微 差别的同义词。单独的考虑可靠性和可信的定义,可靠性即在一定时间内、在一定条件下无故 障地执行指定功能的能力;可信赖性即系统提供用户所需的、特定的服务的能力可以论证是可 信赖的。在特定条件下完成所需的功能和提供所需的特定服务没有逻辑上的差别。额外的限定 “提供的服务是可信赖的”并没有表明任何额外的显著特征。这句话是说当一个系统完成 (提供)用户制定功能(服务),系统已经完成了满足用户使用的使命。按照同样的推理,我们可以鉴别出可信赖性、可靠性、生存性和故障容忍之间的相似点。 及时完成任务的能力(生存性)和在一定时间内、在一定条件下无故
13、障地执行指定功能的能力 (可靠性)、系统提供用户所需的、特定的服务的能力(可信赖性)、系统在出现故障后能继 续工作的能力(故障容忍)之间没有差别。以可信赖性为例,它的限定条件包括“存在攻击, 故障或者突发事件(生存性)”和“尽管有硬件和软件故障存在(故障容忍)”,这些条件是 解释性的而不是对某个特定概念的独有显著特征进行陈述。相反,可信赖性和可靠性的定义对 系统任务完成有着确定的要求,即在所有系统的运行条件下提供特定的服务,内部的和外部 的。参考上一部分介绍的概念分类,可以看出这四个概念中存在相同的特征,这些特征包括:处理类似的威胁(即,随机或偶然的错误,故障和失效)采用相似的实现手段(即,故
14、障避免,发现,移除,隐藏,预测,重构,恢复和冗余)它们的失效可以通过概率分布和随机模型进行模拟。必须指出,在(可信赖性/可靠性)和(容错/生存性)这两个集合间存在着微妙的差别。 详细地说,前者最初没有明确的暗含降低服务或者执行能力的属性,但自从这个属性被嵌入到 容错中后,它开始被可信赖性含蓄的使用。也就是说,可信赖性/可靠性是一种性能的度量,这 种性能就是系统的所有功能能否正确的执行;而容错/存在性连同它的可执行性属性是另一种性 能的度量,这种性能是系统功能的某个子集能否正确的执行。降级服务对充分的解决信息结构 是重要的也是必要的。另一方面,安全性在其它四个概念中有着特殊的地位。在可信的定义中
15、,可靠性被看作是 一个属性,安全性被看作是一个共享可用性、保密性和完整性等属性的独立的概念。在概念层 次对安全性的严格审查有着侧重点。在传统意义上,安全性是指遍及整个系统实体的和虚拟的 具有保护性功能的外壳结构。最初,这个保护性的外壳结构被涉及实体保护,可被看作是硬件 安全的一个子集。在信息基础设施中,除硬件外,它还包含软件和管理程序。“不希望发生的 偶然事件或者动作”被认为等同于“攻击,失败或事故”或者是“硬件或软件存在故障”。不 希望发生的偶然事件包括故障或者整个系统或组件的服务下降,它是一个相当广泛的术语。因 此,安全性,容错性和生存能力定义相似的环境条件,在这个环境条件中执行所需的功能
16、。这 就意味着,如果在保护系统方面这个外壳是有效的,则系统的任务将会完成。不像其它的概念,在许多早期的系统中,安全性在最初设计的时候没有被考虑,但后来可 以添加到系统中去确保系统受攻击时候的保护能力和抵抗能力。安全性和其它概念存在着一些 重要的差异,如下所述:完全性主要处理故意/恶意的威胁,而其它几个概念,除存在性偶然的和故意的两个都 处理外,剩余的只处理偶然的随机的故障。-安全性威胁是由人类的意图引起的,因此它不能使用定量的概率评估被模拟和分析 636465。实现其它几个概念所使用的手段(比如:故障预防,检测,移除等等)不同于普通的安 全机制(比如:密码技术,访问控制,认证等等)。安全性很少涉及系统在遭受攻击期间或受到攻击后怎
