英文文献翻译(计算机方面的)

《英文文献翻译(计算机方面的)》由会员分享，可在线阅读，更多相关《英文文献翻译(计算机方面的)（29页珍藏版）》请在装配图网上搜索。

1、网络的可信性，容错性，可靠性，安全性和生存性的分析比较(原文名字 A Comparative Analysis of Network Dependability,Fault-tolerance,Reliability,Security, and Survivabilit)M. Al-Kuwaiti IEEE 成员，N. Kyriakopoulos IEEE 高级成员 S. Hussein, Member IEEE 成 员摘要人们用一些定性和定量的术语来描述众所周知的信息系统、网络或基础设施的性能。然而，为严格评价那些系统的性能而定义了的一些术语中，存在一些重复定义或者歧义的问 题。这种问题的产

2、生是因为信息技术学科包含了各种各样的学科，而那些学科中已经定义了自 己独特的用语。本文提出了一种系统的方法，来确定五个被广泛应用的概念的通用和互补的特 征，这五个概念分别是：可信性，容错性，可靠性，安全性和生存性。并分析了五个概念的定 义，探讨了它们之间的相似性和差异。关键字：可信性，容错性，可靠性，安全性和生存性。/ /概述各种基础操作的混乱使建立减少混乱的影响改善基础的性能的机制显得非常重要。问题从基础 的构成开始出现。它们组成系统，这些系统通过不同的学科发展成熟了。信息基础设施的硬件 部分包括来自各个领域的电气工程设备，软件部分包括计算机科学的所有学科的发展，这里仅举 两个例子。不同领域

3、的产品组成复杂的系统，包括人员组成，给以分析和改善基础设施运作为 目的的高效机制的发展增添了困难。其中一个问题可以被归结于描述在不同领域的表现的术语 的歧义。一个设计者或用户面对的术语中一些可能是互相补充的或是同义的或者是介于两者之 间的。因此，有必要为制定一些术语而达成一致，这些术语的含义不涉及具体学科的并且能被 最广泛使用。在工程设计方法的演变中，最初所关注的是：一个特定的系统能否在一系列特定 规范下运行；很少考虑系统能够在这些特殊规范下运行多久。军事和随后的太空应用十分重视 可靠性，即一个给定的系统需要满足的一定期限内的设计要求。类似的需求出现在从简单到复 杂的计算机软件中，并以容错设计

4、要求为主导。不久便认识到虽然这两个概念起源于不同的领 域，即工程学和计算机科学，但他们各自的目标却是相近的，都是确保系统在指定时间内的性 能，第一个系统是硬件方面的，第二个是软件方面的。这种认识导致了可信性的概念发展成一 个包罗万象的概念，即包括可靠性又包括容错性】1-6。随着计算机与通信相结合，形成了全 球信息网络，信息安全和网络生存性也成为重要的设计目标。此外，如可信赖性2、高可靠 性、高信赖性3、超可靠性5和鲁棒性2等许多其他的概念也被用来描述复杂系统的性能。 在参考文献】3中，已经作了观察，但没有详细分析，可靠性，高可信，生存性和可信赖性“在他们的目标基本上是等效的，解决类似威胁的”。

5、这些术语已经通过不同学科和在不同时 间被运用了。例如：鲁棒性在统计学和程序控制方面的应用已经有悠久历史，生存性是作为评 价军事通讯网络性能特征而被引入的，安全性一直与执法和军事行动联系在一起的。最后两个 例子来阐明对离散物理实体性能测定标准，第一个例子涉及到性能的测定。随着信息网络已变 得更加复杂，涉及到的硬件，软件和人员都起到突出的作用，整个系统提供所需的服务的性能 要求的建立已经不可避免。评价性能的概念是随着技术的发展而发展的。例如，电子设备的 可靠性发展成了电路的可靠性，并最终演变成了整个火箭发射运行的可靠性，或者，在另一个 应用程序是一整个核电厂的可靠性。其他一些概念被从一个技术中”借

6、用“过来用到另外一个 技术上。生存性起初是作为一个物理网络通信性能特征，已经被引用为刻画信息基础设施的性 能特点。7-12.另外一个随着技术发展而出现的概念是服务质量（QoS），被国际电信联盟 中所定义。x.902定义为在一个或多个对象上共同的一类质量要求。在数字通讯的开始，通 道传输是以误码率来表示的，需要遵循服务质量描述分组交换网络性能标准。随着国际互联网 和数据流的出现，这个描述服务质量的概念也被用来描述应用程序的性能。概念的不同起源和 发展路径与词汇学的相似性组合在一起导致了问题的发生，是否有一些术语概念重叠以及重叠 程度如何，如果有，应该在使用这些概念的同时剔出一些概念。因为一些努力

7、使这个问题变得 更加重要，这些努力使可靠性发展成为一个综合性概念，包括可用性，可靠性，安全性，完整 性和可维护性这样的属性3。虽然从理论上说，这是一个非常可取的目标，但主要由于观点 和定义的多样性，出现了一些实际问题。例如：有关可信性的不止一个定义。这些概念已经使 用了很长一段时间，并且在不同学科和各自的领域是根深蒂固的，并作为最终目标，而不是作 为一些其他概念的属性值。其中一个广泛被使用的概念是可靠性.应用范围从统计数据分析到 社会系统的性能说明。如果使用可靠性的IEEE定义“一个系统或组件在规定条件下，指定时间 内完成所需功能的能力”。结论就是这是一个尽量广阔的可靠性的概念。术语“所需功能

8、”是 广泛的足以涵盖，例如，安全和保险一被视为可靠的属性的定义。虽然可靠性能被明确地定量 评价，但安全性的属性却是一个没有一个客观评价标准的，这便是一个例子。如果这些属性将 被作为设计参数时，它们需要被量化。毫无疑问，有一句古老的汤姆德马科说的格言：“你 无法控制你无法衡量的东西”它是在描述这些概念，并制定相关的基本性能要求。另一个问题 来自于设计的观点分歧。从历史上看，工程设计的重点一直是设备，部件和系统的顺序。硬件 和软件集成提供服务，使这些服务产生了有指定的性能特点的需求。人们可以认为计算容错是 评价服务性能的基础，可信性是前提。另一方面，可以说是服务质量（QoS）同样是一个有效的 集成

9、概念，它用于指定的服务性能。服务质量的定义集合中包括“质量要求”，也可以作为可 信性的属性。此外，对比工程设计从设备到系统的演变，即从“自下而上”的方法，到可靠性 的“自上而下”观点。其结果是一个复杂多层次的树状结构，包括定量和定性属性。随着向 树的底层推进，从树分出的可行路径会越复杂，定量和定性交织在一起，这些对于一个复杂的 系统转换成可信的设计规范，高层可靠性的概念是一个重大挑战。本文工作的目的是为确定复 杂系统性能指标的框架发展作努力，如信息基础设施。我们的目标不是要提出另一个概念，但 是，相反，以从现有概念的真子集的交集中确定，并对其中的含义中相同的和一致的属性达成 共识。可靠性，容错

10、性，可靠性，安全性和生存性是用来描述所提出的分析框架的代表性例 子IT行业在人们生活各个方面的迅速发展和广泛应用，使这些性能指标成为系统用户和设计 人员的重大挑战。对各种关键的基础设施，这些的概念或者是体现在第一阶段开发设计中，或 者成为一项附加功能。在8 9 10 12 22 23 提出的这些系统包括防御系统，飞行 系统，通讯系统，财务系统，能源系统，交通系统。本文组织结构如下：第二节对五个概念进 行了讨论，因为它们已发生变化。从三个不同角度：组件级，基础设施级和服务级对这些概念 进行了分析。在分析五个概念定义和特点之后，介绍分析方法。本节最后描述了集成服务和 系统的性能要求的研究框架。第三

11、节研究了概念的定义，要求，和属性分类法。第四部分分析 了概念的定义，并探讨它们之间的相似性和差异。第五节研究他们的评价措施。讨论一些主要 观点后，紧接着是对一些概念进行了比较。最后，第七节结尾的总结和今后的工作。通过对这五个概念的含义进行分析，表明它们之间有着相关和重叠的特征。这五个概念 中，有些是很明确的，有些却很模糊，这取决于用来描述它们之间相关性的术语。下面对五个 概念的关系进行粗略定性的描述。虽然可靠性或者生存性是一个总括的概念，但是对这五个方面的定义进行审查仍然表明 在概念层次有着大量的重叠。这五个概念的差异，更多的是因为每个概念的起源学科内部，而 不是它们显著的差别。去除安全性之外

12、，对剩余的四个方面的定义进一步的审查表明它们可被定义为带有细微 差别的同义词。单独的考虑可靠性和可信的定义，可靠性即在一定时间内、在一定条件下无故 障地执行指定功能的能力；可信赖性即系统提供用户所需的、特定的服务的能力可以论证是可 信赖的。在特定条件下完成所需的功能和提供所需的特定服务没有逻辑上的差别。额外的限定 “提供的服务是可信赖的”并没有表明任何额外的显著特征。这句话是说当一个系统完成 （提供）用户制定功能（服务），系统已经完成了满足用户使用的使命。按照同样的推理，我们可以鉴别出可信赖性、可靠性、生存性和故障容忍之间的相似点。 及时完成任务的能力（生存性）和在一定时间内、在一定条件下无故

13、障地执行指定功能的能力 （可靠性）、系统提供用户所需的、特定的服务的能力（可信赖性）、系统在出现故障后能继 续工作的能力（故障容忍）之间没有差别。以可信赖性为例，它的限定条件包括“存在攻击， 故障或者突发事件（生存性）”和“尽管有硬件和软件故障存在（故障容忍）”，这些条件是 解释性的而不是对某个特定概念的独有显著特征进行陈述。相反，可信赖性和可靠性的定义对 系统任务完成有着确定的要求，即在所有系统的运行条件下提供特定的服务，内部的和外部 的。参考上一部分介绍的概念分类，可以看出这四个概念中存在相同的特征，这些特征包括：处理类似的威胁（即，随机或偶然的错误，故障和失效）采用相似的实现手段（即，故

14、障避免，发现，移除，隐藏，预测，重构，恢复和冗余）它们的失效可以通过概率分布和随机模型进行模拟。必须指出，在（可信赖性/可靠性）和（容错/生存性）这两个集合间存在着微妙的差别。 详细地说，前者最初没有明确的暗含降低服务或者执行能力的属性，但自从这个属性被嵌入到 容错中后，它开始被可信赖性含蓄的使用。也就是说，可信赖性/可靠性是一种性能的度量，这 种性能就是系统的所有功能能否正确的执行；而容错/存在性连同它的可执行性属性是另一种性 能的度量，这种性能是系统功能的某个子集能否正确的执行。降级服务对充分的解决信息结构 是重要的也是必要的。另一方面，安全性在其它四个概念中有着特殊的地位。在可信的定义中

15、，可靠性被看作是 一个属性，安全性被看作是一个共享可用性、保密性和完整性等属性的独立的概念。在概念层 次对安全性的严格审查有着侧重点。在传统意义上，安全性是指遍及整个系统实体的和虚拟的 具有保护性功能的外壳结构。最初，这个保护性的外壳结构被涉及实体保护，可被看作是硬件 安全的一个子集。在信息基础设施中，除硬件外，它还包含软件和管理程序。“不希望发生的 偶然事件或者动作”被认为等同于“攻击，失败或事故”或者是“硬件或软件存在故障”。不 希望发生的偶然事件包括故障或者整个系统或组件的服务下降，它是一个相当广泛的术语。因 此，安全性，容错性和生存能力定义相似的环境条件，在这个环境条件中执行所需的功能

16、。这 就意味着，如果在保护系统方面这个外壳是有效的，则系统的任务将会完成。不像其它的概念，在许多早期的系统中，安全性在最初设计的时候没有被考虑，但后来可 以添加到系统中去确保系统受攻击时候的保护能力和抵抗能力。安全性和其它概念存在着一些 重要的差异，如下所述：完全性主要处理故意/恶意的威胁，而其它几个概念，除存在性偶然的和故意的两个都 处理外，剩余的只处理偶然的随机的故障。-安全性威胁是由人类的意图引起的，因此它不能使用定量的概率评估被模拟和分析 636465。实现其它几个概念所使用的手段（比如：故障预防，检测，移除等等）不同于普通的安 全机制（比如：密码技术，访问控制，认证等等）。安全性很少

17、涉及系统在遭受攻击期间或受到攻击后怎样恢复和维持服务3240。因 此，不像其它的概念，安全性没有明确的包含可维护性属性。通过上面对这四个方面定义的分析，可以得出这样的结论，即他们的定义的条件相同但具 体的特征不同。有人认为，即使安全性没有确切的定义，但被广泛接受的安全含义使得它派生 出下属的概念。这四个概念的共同核心是要求系统在指定的时间限制内执行指定的服务。由于 系统存在并运行在给定的环境中，为了完成指定的任务，环境条件的影响，包括故意干扰必须 被考虑。/服务属性用户系统边界:接口点其它系统或子系统高层（应用程序）系统属性 子系统属性总结本文在定义，特性，相互关系的基础上，对可信行，容错，可

18、靠性，安全性，可存活性这 五个概念进行了整合。本文所描述的工作，只是为信息基础结构建立一个统一的设计模式的进 程的第一步。本文的工作也对区分这五个模糊术语和它们之间的关系有所帮助，并将面向用户 的主观需求映射成客观性能参数。无论一个概念是多么的不明确，一个设计者想要根据所需的服务来设计一个能更好实现最 终目标的系统，他必须明确以下几点：系统的需求：这需要观察我们所需要的系统环境，在这个环境中我们试图实现可信的，容 错的，可靠的，安全的和可存活的这些特点。这包括系统的技术配置，功能，规格，服务和物 理环境。目标和宗旨：当确定你需要什么特性时，知道你想要系统为你做什么，是非常有帮助的。可量化的参数

19、设置在这里是非常有用的。系统策略：它包括给所有使用者提供的研究以上五个概念所制定的策略目标、一般的管理 目标及描述。不可量化的参数设置在这里是非常有用的。其他要求和限制：详细的表达了普遍的需求和限制，这些需求和限制可能会对选择正确的 能够实现预定目的工具和机制有一定的影响。它包括外部需求和对资源的限制。为了实现系统的优化设计，这些要点需要作出正确的定义，合理的说明及平衡。本文制定的方法可应用于特定的系统，如电信网络。在电信网络的设计中，这些概念与服 务质量密切相关。一般来说，服务质量（QoS）可定义为一个具有定性和定量特点的网络，这个 网络对获得一个应用程序所需的功能是有效的。QoS这个术语的

20、作用，是通过注意数据传输来 衡量IP网络的性能。这个想法是，在一个单一网络中，将表三中所发现的共同属性，转变成QoS网络设计的参 数（如数据包丢失，延迟或抖动）。在某种意义上，可信性，可靠性，容错，安全性及可存活性的概念和这种服务质量是可以比较 的。QoS这个术语包含很多方面，如可靠性，可用性，容错。一个系统级的设计可以被优化， 主要是通过将在应用层上的QoS性能需求映入到ISO模型的各个层中来实现的。/冯宏斌高奔网络的可信性，容错性，可靠性，安全性和生存性的历史发展与研究框架摘要本文提出从组件级、基础设施、服务级来识别可信性，容错性，可靠性，安全性和生存性，以 对这5个概念的细微差别有更好的

21、了解。并提出一个综合研究框架，作为迈向目标的第一步。 关键字：可信性，容错性，可靠性，安全性，生存性II. HISTORICAL DEVELOPMENT AND RESEARCH FRAMEWORK二历史发展与研究框架A历史发展科技发展和技术创新形成了新的学科，新的学科创建了自己的术语，一部分是从现有学科借鉴 的，一部分是新生成的。每个学科的发展都有自己的道路甚至条件，这些条件有着相同起源， 受着上学科发展的细微差别的影响。为了对五个概念的内在细微差别有更好的了解，就要遵循 的他们发展变化路径。要建立一个跨学科的参考点，可以从三种不同的系统视图观点来识别， 即（一）组件级，（二）基础设施，（三

22、）服务。1）组件级的观点：工程系统设计经历了从组件级别到大的复杂的系统的过程。抛开复杂性，系统设计涉及规划， 其中包括设计目标、规格、取舍、架构和功能、要求和功能分析、流程分析、物理设计还集成 了测试。部件级观点的特性已经成为设计者在结构和系统的运行设计中的核心，不论规模大 小。该参考点可以在晶体管电路，软件，大型计算机，通信网络和其他范围内的系统（的设计 中）体现出来。计算机系统的大型主机或者中级系统也是（通过该参考）来进行区分和控制管理 的。从几个主要组件或设备，然后经一段时间后发展到完整的系统。系统设计是基于对可定量 的参数的应用，这体现了部件性能要求。因此，能够发展和在所述系统中应用的

23、概念主要是 可定量的概念，例如可靠性和容错性。从历史上看，可靠性已是系统设计中使用的最古老的基 本概念之一。它最初是作为一个要求出现的，该要求是必须确保部件在规定时间和指定环境实 现所需功能。这些组件的可靠性，发展到整个系统的可靠性5 - 26.出现的太空计划可能被 视为（其发展的）决定性的时刻，元件故障导致系统故障使器件的可靠性演变成完整的系统的可 靠性。1952年，冯诺依曼在他的概率逻辑和从不可靠部件实现可靠设计的成果中奠定了容错的 基本原则。随后，在1967年Avizienis将容错系统的概念集成为故障检测，故障诊断和故障恢 复28。随着计算机系统的发展和各种复杂的关键技术的应用，容错成

24、为一个基本的设计理念 和独特的研究领域，但其根源是可靠性的概念。另一个在组件级别的观点产生的概念是生存 性。这个概念的初始作用之一是在军事通信网络的设计，即使一些节点或链路被摧毁，网络仍 能够可靠地工作8 11 29 30。在随后的生存性概念的从通信网络发展到计算机网络和 信息基础设施，并应用于大型网络系统12 31 32 33。不过，原来的原则强调应用到通 信网络仍然保持不变。虽然容错性和生存性这两个概念可以追溯到可靠性，但它们已经成为独 特的学科。然而，它们的共同起源让他们在可靠性方面有一定程度的重叠。在其他方面他们既 不相交也无层次概念。组件级的角度可以被看作与OSI参考模型中较底层的关

25、联，即网络层。另一方面，可靠性和安全性，已经发展成为自上而下的方法1 2 23 34 35 36。在 这方面，人们可以看到可靠性和安全性与OSI参考模型的上层关联。在自顶向下的方法中，可 信性以及延伸出的生存性被归入可靠性和容错性的概念中3 5 33 37 38。2）基础设施的角度计算机和通信合并成计算机通信网络，发展成为继信息基础设施之后的更广泛的概念一信息系 统。尽管信息系统通常意味着与拓扑结构、位置、组件、指定范围内的网络、信息基础设施包 括信息系统的集合相关或不相关的。与正式计划的系统不同的是正式计划是从组件级别的角度 建立系统，信息基础设施，如互联网，成长专案和计划外（的东西）。随着

26、信息基础设施革命 性的改变了人们的交往行为，他们引发了新的问题，涉及到服务的可靠性，针对政府和非政府 人员威胁的隐私保护问题。这些威胁是开放性的信息基础设施天生与之俱来的，这使得这些系 统具有最好优势同时具有最糟糕的缺点39。无计划发展的信息基础设施已经不允许使用工程 系统设计方法。部分原因是因为基础设施的规模和复杂性随着系统变得更加复杂、界限更加模 糊、变量的数目大幅增加，以及模型的数量使用已经使组件级的发展变得不切实际。因此，新 的自上而下的概念已经出现，修订了以前从信息基础设施的角度对复杂系统的性能特点进行描 述和分析的自下而上的概念。可信性是最全面的体现采取自上而下的复杂系统建模方法的

27、概念 它正在发展成为一个独特的试图囊括上述概念的可靠性和容错性学科。虽然没有普遍接受的可 信性的定义，这个词已象伞的概念一样作为一般意义上接受并使用3 37。分界线可以从这 个术语定义的角度来追溯。在ISO和CCITT标准所包含的定义是以组件级的观点，而作为一个 统一的概念可靠性的开发遵循自上而下的方法2 3 23。后者从可靠性，可用性和容错性 的考虑下演变而来38 40 41。为对可信性定义一个统一概念，Avizienis等已经制定了 一套全面的定义和分类。在这样的框架，可靠性，可用性和容错性的概念已经被赋予的属性的 作用，尽管从组件级的角度来看，他们有整个系统的性能评价特点。信息基础设施的

28、角度来 看，也存在了安全的概念。虽然这是一个更古老的概念，其应用的信息基础设施对网络系统来 说是较新的和密切相关的。信息基础设施的开放和完整的系统设计，同时带来大量的存储和信 息传输，并招致恶意入侵和干扰。因此，安全在信息基础设施的运作中已成为一个考虑的重要 因素。在可信性发展的同时，安全性也有所发展，特别是从恶意攻击的获取经验教训结果。这 产生了与硬件和软件有关的理论和实践模式、技术和工具的集合体35 36 39 42- 47。这些措施包括管理规范，硬件的物理保护和软件的数据保护的定性技术。美国国家标准 与技术研究院（NIST）的计算机安全部一直是开发安全信息系统的机构之一。虽然是可信性是

29、一个统一的概念，但安全性对可靠性的特点有一个补充。除了公用一些属性，如可用性，保密 性和完整性，安全性也有独特的属性，如可访问性，问责性，真实性和不可抵赖性3 40 48。同样，还有与安全性和容错性存在关联49.继可靠性自上而下的发展，应发展框架策 略的要求，生存的概念被引入31 32。此外，生存能力严格被定义为一个系统符合六元组的 生存性规范的能力33。为解决大型系统的设计而各个设计步骤的进行技术评估的需求，促进 应用技术向可靠性和容错性方向的发展9 10 1230 32。实际上，生存性在信息基础 设施的角度和组件级别的角度是相互融合的。虽然可靠性和生存性的概念是独立发展的，他们 已经发现他

30、们有一些共同的特征2 12。同样，从组件级别的角度看，安全性与生存性也有 紧密联系9。在这个简短的回顾中，很明显，可信性，容错性，可靠性，安全性和生存性是由 于其进化的结果而存在相关，并有重叠的一些特征。在这方面，他们可能是平行的概念，而不 是一些附属于其他（概念）。他们既不是无关的，也不是完全相同的，而是介于两者之间。需 要对五个概念确定一套正确的特点。3）服务的角度：虽然组件级和基础设施的角度采取不同的方法，但他们都是通过系统性能分析和设计来解决问 题。然而，基础设施的角度有另一个层面，即作为使用这一基础设施的用户的服务提供商。 人们可以很容易找出许多这样的服务，例如远程数据库检索，旅游预

31、订等。虽然一些用户希望 为这种服务的性能公平合理，但其（公平合理的）要求也可被定性归类。随着音乐下载和视频 流的到来，对服务的要求更重要，因为信息基础设施提供的服务质量直接影响到声音和图像的 质量。因此，从基础设施的观点派生出了两点需求，一个用于系统，另一个用于服务。确定合 理的系统设计程序，让该服务的性能要求与合理的系统要求映射一致。图1表示用户，服务和 系统之间的关系，以及这些组件之间的边界。为了发展服务和系统要求之间合理的关系，需要 对系统性能之间的五个概念可靠性，容错性，可靠性，安全性和生存能力及服务理念体现有一 个清晰的了解。B. 一个综合框架为了找到之间的服务质量和系统性能的参数的

32、关系，需要解决两个问题。首先，需要将用户期望的服务质量进行量化。二是需要设定独立的系统性能参数。既然本文探讨五个概念有不同程度的重叠，为了向实现一个独立的系统性能参数这方面发展， 第一步是要澄清这些概念的含义，并确定在其中体现性能参数并集。设计方法需要采取一种从三个方面考虑其优势的方式。例如： 一个正式规划的部件级设计方法的优点来自于用可度量因子优化设计的能力。（如可靠性 概念）另一方面，一个无规划的信息系统基础设施的优势是它允许在很短时间内扩大基础设施和 提供的服务。图2体现了系统级设计观点以及术语“信息系统基础设施”的重要组成部分。为了将组件级和基础设施级的观点集成起来，必须分析用户在应用

33、程序级明确的要求，并最终 将其映射到物理部件上。继在OSI参考模型的层次结构之后的对用户的服务和提供这些服务的 物理系统的划分如图3所示1）评估方法：此方法用于分析和评价系统的性能，判断系统与哪个层次联系最紧密。组件级 的观点产生了定量分析和评估技术。这是对描述小规模的成分定量模型使用的自然延伸。定量 分析方法具有结果比较的优势，它可以用来控制或比较系统或服务的各种性能特点42。例 如，在基于IP网络的环境下，应用程序或网络服务质量参数实现了对特定用户服务表现的评 估。定量方法的例子有：分析，实验及模拟模型，确定性和概率分析，算法和图形分析，权重 或影响分析，和这些技术组合25 40 50。随

34、着组成部分演变成基础设施（系统），定量 模型需要大量的变量来充分说明其性能，导致这种模型使用笨重。虽然量化标准的发展是当今 设计的信息基础设施所必需的，以实现服务的性能要求与系统需求相一致，但存在挑战。实施 的复杂系统承担的挑战有系统要求的动态调整以及越来越多的干扰32 51 52。另一个困 境来自与信息基础设施发展变化的本性。随着通信和计算机技术的发展，与新系统相比，“遗 留”系统具有不同的性能特点，通常性能低下8 50 53。除了具有不同性能特点的技术整 合会产生问题，由于对其中的基础设施建设的各个阶段进行环境不断改变，也会产生问题。例 如，尽管网络攻击的威胁并不存在于模拟通信系统，但电磁

35、干扰的威胁却存在，而且仍在当前 的系统中持续着。此外，在组件级别的方法中使用的一些概念可能不再满足重要信息基础设施 的要求，诸如“开启”和解除（某些）功能22 52，机动性和灵活性9，整合能力和普遍 性9，负载共享或温和的销毁能力5 33 54。基础设施的角度产生了系统整体性观点， 可信性概念的发展就是一个例子。在定量模型方面，整体性观点不优于组件级的观点。基础设 施的状态空间过大，使定量模型的发展不切实际。因此，基础设施的观点大多产生一些定性描 述和技术分析等，例如专业经验，政策和关心标准，集思广益和文档，图形分析和标签分配， 问卷调查，调查，核对表和采访39 42。基础设施的观点给利用定量

36、技术来处理最高层次 的需求如可信性，安全性和生存性提出了挑战，这增大了性能要求量化的困难度。部分原因 是，这些基本概念有各种各样的很难评估的性能属性。然而，客观分析和评价需要使用可衡量 的指标。与此同时，定性分析技术如前面提到的方法也有助于在改善基础设施的运作。因此， 这两种方法都非常重要，需要结合起来以对任意系统有更好的理解，设计和控制42。沃恩等 人使用了一个相关表征图来寻找信息安全指标。在文献55 中他们描绘了一个跨（领域）产品 涉及到需要对什么做衡量，为什么要衡量，为了谁而衡量，以及如何衡量。我们追求评价指标 的概念可以用如图4来泛化。2）横向方法：本文后续研究提出的五个概念在他们的应

37、用系统性能评价中遵循的方法，不讨 论它们是如何产生的。组件级的方法按从底部到顶部结构的性能标准进行开发的，相反，基础 设施的做法是从顶部到底部的方式。这个过程加上一个事实创造和使用一些模棱两可的概念， 事实便是五个概念拥有不同学科的起源，出现在不同时间。反过来，这些含糊的性能指标集合 使得分析大型基础设施的性能变得很困难。作为迈向这一目标的第一步，必须加以澄清这五个 概念区别于彼此的确切含义。实际上，本文所采取的方法是平行地分析他们，确定他们是否独 立的（不相交），包含，或部分重叠，并不是从某个层次结构的角度来看这些概念。我们分析 了五个概念的定义和属性的相似性和差异。也确定它们的评价标准。的

38、优化设计，由用户需求 转为属性需求方面发展。下图5显示了研究框架并且下一部分介绍更多的细节 /高奔田泽宇III.网络的可信性，容错性，可靠性，安全性和生存性的定义，要求和属性分类法摘要本文提出了一种系统的方法，来确定五个被广泛应用的概念的通用和互补的特征，这五个概念 分别是：可信性，容错性，可靠性，安全性和生存性。该方法比较了五个概念的定义、属性， 并形成了对应关系，以去除冗余和消除歧义。关键字：可信性，容错性，可靠性，安全性和生存性。本节回顾（按字母顺序）的五个概念的定义和使用各自属性的结构分类观点。为了清楚起见，被使用在属性的规范中的术语也被定义。被使用的大多数术语或是根据字典的 定义或是

39、根据计算机网络词汇表的定义，例如国家标准与技术研究院（NIST） 43或IEEE标准 计算机词汇（IEEE Std. 610） 24。可达性：能限制、控制和确定实体到系统的访问级别，以及确定他们如何可以得到很多信息的能力问责制：能追踪或审核个人或单位正在一个系统里做什么。-真实性：这个性质能核实用户、进程或设备的身份，经常作为允许访问信息系统资源的一 个先决条件43。-保密性：在信息的访问和披露上，保留授权的限制，包括保护个人隐私和私有信息的手段故障避免（预防）：采用一种方法试图防止故障的发生。5容错（隔离）：隔离一个错误和防止它的影响传播的过程5故障检测：故障发生的认识过程。 likely

40、consequence of faults. 3故障预测（预测）：估计目前的数字，未来发生率，以及 故障可能后果的手段。3故障定位：确定故障发生在哪里并恢复的过程。5故障掩蔽：防止系统中的故障引入错误到系统的信息结构的过程。故障排除：减少故障数量和严重程度的方法。故障恢复（恢复）：剩余的过程操作或通过重组获得的作战状态 事件发生在断层的存在。5功能退化：一个系统自动减少它的性能级别来补偿硬件或软件故障的能力完整性：避免不适当的信息修改或破坏，包括确保信息 不可抵赖性和真实性。可维护性：为了纠正故障，提高性能或者其他的属性，或者适应改变的环境，系统或组件 能被改良的容易程度不可抵赖性：保证信息的

41、发送者是提供投递的证明 并且收件人将得到发送者提供的证明 的标识，所以以后也不能否认曾经处理过的信息。43可运行性：在给定参数的条件下，一个系统或组件完成它的指定功能的程度，如速度，准确性或内存使用的限制24。一些职能的一个子集正确执行也被定义为一个措 施的可能性。556可测试性：在何种程度上的系统或组件促进了测试标准和性能的建立，为了确定这些标准 是否得到满足。这些术语有助于使人们关注另一个困难，这个困难就是努力发展量化系统性能特点。这是 不可抵赖性的最好说明。这是属于系统的领域或是用户的领域吗？在一组用户是一个属性集而不属于系统中，一个不可抵赖性机制可被表明。一个相似的观点可为真实的特性。

42、它涉及到用户之间的交易，这是为满足对用户需求的机制;该 系统只执行交易。这个说法是这些属性是否是系统或用户的属性会被用一个明确的系统和用户之间接口的定义来澄清。A. 可靠性的定义，要求和分类没有唯一的可靠性定义。通过一个定义，它是一个系统能提供所需的特定可以“信任”的服务.它也被定义为一个系统的能力，避免更频繁或是更严重的失败对于用户来 说是更可以接受的通过在4中的另一个定义，可靠性是一个系统属性，可以防止一个系统以意 外或灾难性的方式失败。尽管这些定义是相似的，我们将采纳第一个为我们的框架。可靠性从可信赖和可用性的考虑演变而来。要删除的可靠性和可信赖性之间潜在的混淆概 念，可靠性在一般意义上

43、作为一个起保护作用的概念，而可信赖性的概念定义为一个精确的数 学函数3 37 使用。可靠性估量了，在任意时间在一个特定的任务剖面，一个系统的可操作性的程度并假定它 的服务是可实现的在任务的开始阶段。一些可靠性要求需要考虑的是：有没有单点故障，预期所有的故障并且使得系统的设计处 理所有的预期故障通过减少它的影响到一个可以接受的程度，并且执行故障处理方法。预期所 有故障的要求被认为是一个巨大的挑战在这门学科中。除此之外，一个系统的可靠性可能被达 到如Avizienis et al描述的。通过联合平衡部署和操作四种技术，分别是：故障预报（或预 测），故障预防，故障排除和容错性2。更多有关这些要求的详

44、细情况说明在如下参考文献12 3 38。可靠性不是一个单独性能措施，而是一个相关措施的集合，包括一些属性例如：可靠性， 可用性和安全性1 2 4。不同的作者描述系统的可靠性作为一组属性。例如，在1 23 22 57，可靠性概念包括一些属性诸如可靠性，维修性属性，安全性，可用性，机密性 和完整性，最后的三个共享安全的概念。属性中的有些是定量的（例如，可靠性和可用性）而 有些是定性的（例如，安全）。可靠性的一个广泛的观点以及它的威胁和达到可靠性的方法是图6.可靠性概念的分类B. 容错的定义，要求和分类容错是一个系统或组件，不管硬件或软件故障的存在，继续正常执行的能力。一个容错系 统是一个在输入/输

45、出操作出现故障的情况下，有能力继续正确执行程序的系统2427。以类 似的方式，在一个活动故障存在的情况下，它的目的在于维持正确服务的送交12。如在上 面的可靠性定义和在下面的可信赖性定义所示，容错性被认为是一个达到可靠性和可信赖性的 重要的方式2554。有三个重要的术语在容错的设计中，它们是故障，错误，失效，有个因果关系存在于它们 之间5。容错设计要求在整个需求定义和系统设计过程中都考虑到故障。由于失效是直接被错 误引起的，“故障容忍”的概念和“错误容忍”的概念经常交替使用。此外，容错性支持可运 行性和适度的降解的特点，降解提供缓慢和逐渐评估系统软硬件故障影响的能力，因此，允许 系统功能水平的

46、一些减少。有很多技术来实现容错2352558。一般来说，它被误差检测机制查出，然后被适 当的系统恢复。故障屏蔽技术是另一种容忍故障的技术。其他技术包括检测，定位，诊断和限制故障以及重新配置系统删除故障部分。重新配置是“从一个系统中消除一个错误的实体和恢复系统到可使用的条件或 状态”5。当使用重新配置过程，然后设计者必须关注故障检测，故障定位，故障遏制，和故 障恢复5。满足容错系统需求（系统在它的一些组成成分出现故障后仍然能正常的运行）的一种方法 是引进系统一些组成成分的冗余。但是，这种方法要求系统即使在没有冗余部件的情况下，仍 然能达到可接受的性能水平。容错是一个属性，这个属性为了获得一些设计

47、目标，而在设计时被引入系统。虽然许多作者都讨论容错的属性，这些属性中最常见的就是可用性，保能性，可维护性和可测 试性55859。另外，优雅降级（Graceful Degradation）也是一个重要的特征，这个特 征和保能性密切相关。容错的概念分类如图7所示：。、可靠性定义，要求和分类不像可信和容错性，可靠性有一个良好的数学函数定义，特别指出“一个系统或组件在特 定的时间和特定的条件下执行其所需功能的能力” 24。更为精确地，可靠性被定义为一个条 件概率，这个概率表示一个系统在t时刻没有故障的条件下完成其预定功能的能力，并且其在 t=0时刻是满负荷运行的5。另外，还有一种定义，它以相似的方式把

48、可靠性定义为：“一种无间断正确服务的度量” 13。图7容错概念的分类可靠性有一个相关的概念，这个概念需要解决的是可用性问题。这个概念和可靠性定义密 切，它被定义为“在给定的时间间隔内，一个系统在给定的时刻或者任意时刻执行其所需功能 的能力，同时，如果需要的话，假设外部资源是足够的24。区分可靠性和可用性两个概念， 重要的是要意识到，可靠性强调在一段时间内无故障的运行；而可用性强调在给定的时刻系统 无故障运行，并且这个时刻，系统通过被访问，来提供所需的功能或者服务537”。因此， 我们可以假设可用性是可靠性在某一时刻的评估。在分析这些概念，可用性总是作为一个先验 的属性。为了获得可靠的设计，可靠

49、性必须被落实到系统的每个组件；也就是说在系统一开始设 计，就要考虑可靠性54。为了获得可靠的和可用的系统，和可信的需求相似，在系统设计的 开始阶段我们就要考虑和落实四个重要的特征。即：故障避免，故障容忍，故障检测/定位，故 障修复2654。容错中使用的可维护性和可测试性的属性也同样是可靠性的属性。另外，像前面提到的那 样，虽然可用性可被看作是可靠性的特例，但通常它还是被更多的认为是可靠性的属性。比 如，麦克卡布在文献50中表明，由于不可靠系统首先不能提供特定的需求，因此为了衡量可 靠性时可用性是需要的。图8,显示了可靠性的概念分类。D.安全的定义，需求和分类起初，安全性涉及到人身安全。随着通讯

50、和计算机网络的扩大和广泛应用，信息安全也日 益突出。安全性已没有确切的定义。从广义上讲，它是保护避免不应该发生的事情或行为的伤 害。安全性的概念是与保密性，完整性和资产的可用性密切相关的51。根据诺伊曼的技术报告51，“安全性必须包含可信赖的保护措施来阻止相关威胁，包括 对保密性，完整性和可用性可靠的保护，防止拒绝服务，防止和侦别滥用，对威胁有及时的反 应，降低不可预见的后果”。因此，安全性的概念包括了系统、网络、行为部件的滥用、以及 信息的保护，例如，保护数据和程序不受不当行为的影响。安全性也需要对可能的威胁进行预测，包括内部对系统的滥用或误用，以及外来的入侵或违规 行为。因此，还要有更多的

51、要求，不只是提供机密性，完整性和可用性。另一种方式表达的概 念是一个系统能抵御任何恶意攻击型38。值得一提的是，大多数“遗留“系统和传统网络只是将安全性设计为一个附加功能， 而不是作为其系统设计的一个重要的综合性能的一部分。因此，安全性和安全政策很大程度上 实现力度不足，经常被忽视或很薄弱9 32 46。安全性要求的目标是引进的措施和程序， 来维护保密性，完整性，可用性，以及诸如真实性和不可抵赖性等属性。控制机制的实施，有 助于强化系统的阻止、预防、侦测、容忍、并响应安全攻击的功能。理论和实践方法已经被实 施，例如访问控制，认证，防火墙，风险评估，政策，审核和入侵检测和预防系统，以及提高 人类

52、的安全意识的培训。不同的研究人员研究不同的安全属性。事实上，文献中使用的安全性及它的属性没有一致 性的看法。同样的属性有时被称为安全性元素35，或安全服务60，甚至安全性能15。 一般来说，这些属性被认为是任何安全结构以及评估系统安全因素的基础。在文学中， Reznik52 定义了安全性具有下列属性：资源或信息的可用性，保密性，完整性和安全性。同 样，安全性也有如3560描述的七个重要的属性，即：问责性，访问控制，可用性，真实 性，保密性，完整性和不可抵赖性。对于我们而言，用先前介绍的概念结构类似的方式，我们 推广了安全性的概念，结构如图9所示，它包括了在一个类似的框架的各种属性。应该指出的

53、是，相比其他的概念，安全性不应该与其它概念公用一些属性，同时应该单独拥有其它属性。图8可靠性概念分类E生存能力的定义，需求和分类作为一个概念，生存性有其在军事方面的起源。它已被定义为一个“对系统属性，子系统，设备，工艺或过程提供了一个明确的保证度，要求 其在自然或人为干扰期间和结束后能继续运作，例如，核爆炸”12 61。该定义的变种已被 应用于依靠信息系统提供服务同时依赖时间的系统中。它被定义为一个系统“在攻击，出现故 障或意外事故的情况下完成任务”的能力12 31 32。它只有一个重要目的就是及时完成任务。一些定义需要完整的服务恢复（功能），而另一些只 需指定完成任务12。功能，任务和服务之

54、间没有清晰的定义。在生存性中，服务应该有能力识别和抵御攻击， 从打击中恢复，适应攻击，以减少将来攻击造成的后果。将一个系统定义为可生存的，必须满 足一些条件，第一，该系统在一个敌对的（偶然的，或故意）环境下能区分必要服务和不必要 服务。此外，在攻击环境下的系统能对服务进行排序和最小化业务操作成本。Park等62也描 述了一个生存策略，可以分三步：保护，检测和响应。按照埃利森等人的描述，有五种与生存系统相关的需求，即：系统/生存性要求，使用/入侵的 要求，发展要求，操作要求，演化要求。32。生存性概念适用于整个系统，这个系统提供定义的服务，而不是针对任何特定部分或系统 的组成部分。主要目标是完成

55、使命，即基本服务的表现结果，而不是服务恢复执行。这意味着，一个有生存能力的系统必须首先能从破坏性效果甚至宕机的条件下作出反应，并尝 试恢复。换句话说，在一个持续的敌对环境中，一个有生存能力的系统在完全挂掉之前可以降 低功能或者能长时间提供最必要的服务。类似可靠性的概念，生存性有最最基本的属性，如可靠性，可用性，safety，容错性，安 全性（security）和保能性32 51。在有生存能力的优先级服务系统包括并平衡这些属性。 继上一节的模式，生存性概念结构如图10所示。图9安全性概念分类图10生存性概念分类田泽宇闫定网络的可信性，容错性，可靠性，安全性和生存性性能评价和度量摘要本文比较了可信

56、性，容错性，可靠性，安全性和生存性这五个概念的评价措施，不涉及具 体的应用和特定的环境。关键字：可信性，容错性，可靠性，安全性和生存性。以下是对在评价这五个概念时所使用的主要工具的一个概述，不涉及具体的应用和特定的 环境。在实践中，性能评估与具体的应用和操作环境相关。例如，在基于IP协议的通信网络， 分组传输的性能参数通过QoS指标给出的，一般包括体现IP分组传输独立性的延迟和丢失参数 66。然而，本节的目的不是给与五个概念相关的所有潜在的性能指标一个详细的考查。相 反，重点是与每个概念相关的通用指标。此外，对一些成熟的分析模型的调查进行探究。由于这些概念随着科学技术不断发展并跨越时代，为了更

57、好的展现他们的性能指标和度 量，本节将介绍他们的发展历程。从历史上看，可靠性是这些概念中最古老的一个。因此，本 节以讨论可靠性的评价措施开始。然后按顺序介绍：容错，安全性，可信性，生存性。如下所 述，当一个全方位的概念发展的时候，它通常包含先前概念的性能评价和度量，并且给先前概 念新增一些性能指标。A.可靠性的性能评价和度量在评价可靠性和可用性所使用的各种方法和模型中，涉及到的一些共同的量化性能指标， 如下所示：.可靠性，R(t)，不可靠性Q (t)，函数,可用性，A(t)，不可用性U(t)，函数.平均故障间隔时间(MTBF).平均故障时间(MTTF).平均修复时间(MTTR).失效率(入).

58、修复率或可维护性参数(U)这些参数的数学发展情况在这里我们省略。读者可参考使用这些参数的可靠性计算，模型 和方法的出版物。比如特里维迪的书37,利昂-加西亚67，还有其它的书或者论文 515546869。关于可靠性定量的性能度量有精确的数学定义。可靠性R(t),是一个计算概率R(t)的时 间函数， 表示从t = 0到t = t之间不间断服务的时间。这就形成了一个“任务一时间” 的可靠性度量方法，这个方法测量提供服务的可靠性达到的程度。可靠性函数R(t)也和故障率函数或者风险函数z(t)有关，它表示一个组件已经运行到时 间t，将在接下来的dt秒内失效的可能性。这个关系可表示如下：R ( t )=

59、 e - J z ( t ) d ( t )如果我们假设系统是可用的，这时候故障率函数包含一个常量入，因此，上式可化简为含 有参数入的指数函数，如下所述：R ( t ) = e -私这个函数我们假设一个系统经过时间t失效的可能性服从指数分布。虽然上述假设被普遍 应用于很多应用系统中，但是还存在许多描述系统失效的著名模型和概率分布(比如，正态分 布，韦伯分布，双变量正态分布)153967。一些最常用的可靠性分析技术是组合模型和 马尔可夫538。组合模型(例如，可靠性框图和故障树)使用概率技术列举各种方法，用这 些方法系统可继续运行。相反，马尔可夫模型使用空间状态方法，这些方法允许复杂关系的显 式

60、建模和通过捕捉序列事件的随机行为的中间结构。B. 可靠性的性能评价和度量与可靠性相比，虽然容错起源于不同的领域，但是它们有着相同的标准，那就是确保系 统的性能。一个系统的容错性通过与它的可靠性设计目标和方法联系起来可以被定量或者定性 58。这些定性的评价目标一般通过具体指定一些可靠性设计特点构成，其中包括故障一安全 模型，无单点故障和一致规范性。相比之下，定量的评价一般则通过一些同样重要的可靠性参 数来表示，比如，最大允许故障率（入），修复率（u），MTBF,MTTF, and MTTR。对于容错，另外一个重要的评价参数是故障覆盖率5。它被定义为“一个系统执行故障 检查，故障定位，故障包容，故

61、障修复”。还被定义为一个条件概率，即在一个故障存在的条 件下系统恢复的概率。系统覆盖率最根本的问题是“计算极为困难”，这是因为它需要定义一 个系统中可能发生的所有故障。然而，有许多评价故障覆盖率参数的方法，最常用过的一种是 “制定一个所有可能发生的故障的列表，再制定一些故障可被检测，定位，包容和恢复的列 表”。在这些列表中，我们可以通过查找每种故障类型的一部分计算故障检测，定位，容忍和 恢复等覆盖率因素5。一些故障容忍模型也使用概率方法，就像在文献234069中描述 的一样。另外一点，值得指出的是容错需要多种类型的冗余，这些冗余可以是硬件冗余，软件冗 余或者时间冗余。然而，冗余能够对系统的性能

62、产生不利的影响。比如，它增加了数据传输线 路或者增减了资源消耗。C. 安全性的性能评价和方法如前所述，安全性通过分正式的和主观的评估手段进行评价。没有系统级方法学去量化 安全性，也没有有效的机制去预测无界系统的行为3852。尽管如此，缺少量化措施并没有 成为系统安全性保护的障碍。事实上，存在大量的工具和机制，它们可以像前面第III.D.部分 所提到的那样，加固系统以及帮助系统获得更好的安全性。此外，还有一些方法，它们试图通过比较系统策略和配置来评价安全性70。例如，一个定性的评价任何系统安全性的方 法，这个方法试图考虑三个重要的因素：需求，策略和机制。根据Bishop，需求通常描述希望 达到的

63、安全目标，策略就是为了达到这些目标所采用的典型的处理步骤，机制通过使用可用的 工具使策略生效47。然而，实施一个严格的安全策略，影响系统适应一个短期变化的灵活 性。由于在可信的例子中，一些定量的和定性的方法和模型已经形成并用来在一些特定环境 中评价系统的安全性。这些模型一般强调的是安全性的具体属性，比如机密性（例如，贝尔一 拉帕杜拉模型），完整性（例如，贝巴模型），或者两者兼备（例如，中国长城模型）47。还有多种的风险评估评价模型通过分析失效的频率，威胁，脆弱性，严重程度，停电持 续时间，与对策来对安全性进行评估3以4265。估算风险的常见公式P，如下所示：p = T x V x C其中，T是以百分比表示的一个问题的威胁或者频率。V表示漏洞或者一个威胁将对一个 系统的运行产生影响的可能性。C表示预期成本或威胁所造成的损失15。结构P是一个货币 价值。定量的风险评估方法一般（i）基