（计算机系统结构专业论文）主动网络中动态安全分析与研究.pdf

摘要 摘要 随着网络规模的日益扩大，传统网络难以扩展的局限性日益明显。主动网络 作为一种新型的中间节点可编程网络体系结构，为当前传统网络中所面临的标准 化周期长和兼容性差等问题提供了有效的解决方案。 主动网络的安全问题严重制约了自身的发展。本文结合主动网络具有的动态 特性，在对现有网络安全技术进行改进的基础上提出了适用于可编程动态网络环 境的安全体系结构模型d s a n ( d y n a m i cs e c u r e a c t i v e n e t w o r k ) 。具体工作如下： 本文首先分析了主动网络的发展趋势及现存问题，由此引出课题的研究目的 和意义。随后对主动网络体系结构及关键网络要素的构架进行分析，并在此基础 上深入研究主动网络中各关键实体的安全性能及相互关系，提出了适用于d s a n 系统的安全技术方案。本文主要从认证和授权两方面来考虑，结合h o p h o p 和 e n d e n d 两种机制来保障信息的安全传输，并通过p e t r i 网来分析功能模型。最 后，将上述核心技术应用于网络通信过程中，提出了d s a n 体系模型，分别从整 个网络环境的组建、主动节点的安全模型和主动信包的安全结构三方面进行了设 计，并采用p e t r i 网对各模型的运行机制进行描述。同时，对各模型中涉及的多个 功能服务器与主动节点之间的交互过程进行了安全控制。 关键词：主动网络安全模型主动代码访问控制 a b s t r a c t a l o n gw i t ht h ei n c r e a s i n g l ye x t e n do ft h en e t w o r ks c a l e ，t h el i m i t a t i o n o ft h e t r a d i t i o n a ln e t w o r kh a sb e c o m em o r ea n dm o r eo b v i o u s l y a san e wn e t w o r ks y s t e m s t r u c t u r e i nw h i c ht h en o d e sa r ep r o g r a m m a b l e ，t h ea c t i v en e t w o r kp r o v i d e sav a l i d s o l u t i o nt ot h ep r o b l e m s ，l o n gp e r i o df o rs t a n d a r d i z a t i o na n db a dc o m p a t i b i l i t y , f a c e d b yt h ec u r r e n tt r a d i t i o n a ln e t w o r k s i n c et h es e c u r i t yp r o b l e m sh a v er e s t r i c t e dt h ed e v e l o p m e n to ft h ea c t i v e n e t w o r ks e r i o u s l y , t h i sp a p e rp u t sf o r w a r dd y n a m i cs e c u r ea c t i v en e t w o r k ( d s a n ) ， w h i c hi sa p p l i c a b l et ot h ep r o g r a m m a b l ed y n a m i cn e t w o r ke n v i r o n m e n t , c o m b i n e st h e d y n a m i cc h a r a c t e r i s t i co fa c t i v en e t w o r k , a n db a s e so nt h ei m p r o v e m e n to fe x i s t i n g n e t w o r ks e c u r i t yt e c h n i q u e s w h a tt h i sp a p e rh a sd o n ei sa sf o l l o w s ： f i r s t l y , t h i sp a p e re d u c et h er e s e a r c hp u r p o s ea n dm e a n i n go ft h et o p i ca f t e r a n a l y z i n gt h ed e v e l o p m e n tt r e n da n de x i s t i n gp r o b l e m so ft h ea c t i v en e t w o r k t h e n , t h i sp a p e rb r i e f l ya n a l y z e dt h es y s t e ms t r u c t u r eo ft h ea c t i v en e t w o r ka n dt h eb a s i c f r a m e w o r ko f t h ek e yn e t w o r kf a c t o r s b a s e do nb o t ho f t h e m ，ad e e p l yr e s e a r c ho nt h e s a f ep e r f o r m a n c e sa n dc o r r e l a t i o n so fe a c hk e ye n t i t yh a sb e e nd o n e ，a n df i n a l l yp u t f o r w a r dt h es e c u r ep r o j e c to ft h ed s a ns y s t e m t h i sp a p e rm a i n l yf o c u so nt h e a u t h e n t i c a t i o na n dt h ea u t h o r i z a t i o n , c o m b i n i n gt w ok i n d so fm e c h a n i s m so f h o p h o pa n de n d e n dt og u a r a n t e et h es e c u r i t yo ft r a n s p o r t i n gi n f o r m a t i o n , t h e p e t r i n e t si su s e dt od e s c r i b et h ef u n c t i o nm o d e l f i n a l l y , a f t e ra p p l y i n gt h e a b o v e m e n t i o n e dc o r et e c h n i q u et ot h et r a n s p o r t i n gp r o c e s so fa n ，t h ed s a ns y s t e m m o d e lh a sb e e np u tf o r w a r d ，i nw h i c ht h e r ea r et h r e ea s p e c t s ：t h ew h o l en e t w o r k e n v i r o n m e n t ，t h es e c u r em o d e lo fa c t i v en o d e sa n dt h es e c u r es t r u c t u r eo fa c t i v e p a c k e t s t h ep e t r in e t sh a sa l s ob e e nu s e dt od e s c r i b et h ef u n c t i o nm e c h a n i s mo ft h e s e m o d e l s a tt h es a m et i m e ，t h i sp a p e rh a sm a d eas e c u r i t yc o n t r o lo nt h ep r o c e s sc a r r i e d o nt h ee o m m u n i c a t i o nb e t w e e na na n dt h ef u n c t i o ns e r v e r si n v o l v e di nt h e s em o d e l s k e y w o r d ：a c t i r en e t w o r k s e c u r em o d e la c t i v ec o d ea c c e s sc o n t r o l 创新性声明 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中 不包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学 或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所 做的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：日期：趔 ：压 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文( 保密的论文 在解密后遵守此规定) 。 本人签名：重叠渔 导师签名；：3 圃 日期；2 迦 l j ，。 日期：皇盟2 。2 。s 第一章绪论 第一章绪论 1 1 引言 随着网络技术的迅速发展，特别是基于网络多媒体应用、网络安全控制和网 络管理等各种网络应用的发展，对现有网络体系结构提出了新的挑战，使得传统 的网络体系结构面临着一些难以解决的问题：首先，新的网络技术和标准很难集 成到当前正在使用的网络设备中去。由于现有的网络结构是封闭式系统，其网络 编程环境仅限于端系统内的高层网络应用软件中，网络中间节点不可编程，因此 造成网络技术更新速度缓慢，不能适应新的技术和标准的应用；其次，现有网络 体系中几个协议层的冗余操作造成网络性能不佳；再次，网络设备受现有网络体 系的限制不能动态更新，新的服务很难应用到现在的网络中；最后，在现有的网 络体系结构下，投资者为了满足市场的需求，不得不为每一种新增加的服务去重 新购买新的设备，所以传统的网络结构体系不能保护投资者利益。因此，人们在 面对现有网络体系与需求矛盾的基础上，提出了“主动网络”这一新型网络体系 结构。为了满足新的网络服务应用的需求，将传统的一维网络模型转变为二维网 络模型，即从传统的信包处理和传输模型到信包的处理、计算和传输模型，我们 称这个二维模型为可编程网络模型，即a c t i v en e t w o r k ( 主动网络) 。 主动网络【l ，2 j 作为一种中间节点可编程的新型网络体系结构，其最大的特点就 是灵活性和可编程性，主动网络可以利用移动代码和可编程的网络基础设施来动 态快速地引入新服务，但与此同时，这些特点也使主动网络的安全问题相比传统 网络更加棘手。众所周知，在开发性网络中传递信息时，固有的一个缺点就是不 安全。由于主动网络的信包和节点中含有可执行代码，当信息在网络中传输时， 信包和节点都有可能受到恶意代码的攻击。所以，如何解决主动网络的安全问题 就成为主动网络研究中的一个重要课题，也是制约主动网络全面推广与长远发展 的先决条件。本文主要将从主动网络中的主动节点结构及主动信包这两方面入手， 深入分析并研究主动网络中的安全防范问题。 1 2 主动网络提出的背景与特点 计算机网络从产生到现在，经过多年的发展和完善已经成为全球性的通信媒 介。随着人们对网络依赖程度的同渐提高以及网络结构的迅速发展，网络结构变 得越来越复杂，传统网络的难以扩展和一成不变已经很难适应发展的需要。在传 2 土动网络中动态安全分析与研究 统网络中，网络节点实现的功能本质上讲仅仅是实现信包的存储转发，即网络只 能被动地将数据从一个节点或终端传输到另一个节点或终端，网络节点只处理信 包头而对数据本身不会进行新的计算或改变。在整个数据的传输过程中，网络节 点只是被动的接收并转发信包，服务提供者不能控制或改变路由器的运行环境、 算法或状态，这使得开发新的网络服务几乎不可能。主要面临如下几个问题 3 1 ： 把新的技术和标准引入现有网络中的困难；由于几个网络协议层的冗余操作而使 网络性能下降；在己存在结构模块中加入新服务的困难。 针对传统网络发展过程中遇到种种困难，1 9 9 4 年由美国国防部高级研究计划 署d a r p a ( d e f e n s ea d v a n c e dr e s e a r c hp r o j e c t sa g e n c y ) 在有关未来网络发展方 向的研讨会上提出了主动网络【i , 4 1 ( a c t i v en e t w o r k ) 这一新型的网络体系结构。 其命名是相对于现有的被动网络( 传统网络) 比较而言的。包括两层含义：一是 传统网络中仅能完成存储转发功能的网络节点被具有一定计算能力的主动节点所 代替，主动节点可以对流经它的包含代码和数据的主动信包进行计算；二是用户 可以根据应用的需要，通过主动信包对网络进行编程，使网络能够提供新的服务， 适应各种新的网络应用的需要。主动网络这一概念的提出，有利于解决现有体系 结构在集成新技术、扩展新应用时存在的诸多不便。可以说，主动网络是下一代 网络体系结构的理想解决方案。主动网络的目标是具有可编程的开放节点，同时 具有在节点引擎中运行程序的能力。该网络节点的功能不应该被标准化，但执行 环境应被标准化。 主动网络提供了可编程的平台，通过向主动节点注入预定义的代码或其它信 息，用户可以自行获取或修改主动网络节点上的网络服务，这种管理模式为主动 网络的实施提供了更广阔的发展空间。从应用的角度看，主动网络的优势主要表 现在四个方面： 1 可编程网的诸多技术能有效地改善网络性能，加快网络基础设施服务的实施 和更新。 2 缩减网络服务提供者开发和实施新的网络服务的时间。 3 可以使用户或第三方在一个更细的粒度层面上创建和裁减服务。例如在军事 对抗中，可以采用快速更改网络服务机制的方法避免敌方窃取或攻击我军的 网络信息。 4 提供了智能化的网络管理，大大降低了网络实施和管理的开销。 1 3 主动网络的研究现状 国际上进行主动网络技术研究的组织【2 ，9 】主要有三家：d a r p a 主动网络研究 组，i e e ep 1 5 2 0 工作组，智能网研究组： 第一章绪论 3 d a r p a 2 2 , 4 3 1 是主动网络研究的先驱和推动者。在d a p r a 及部分公司如i n t e l 和s u n 等的赞助下，首先在m i t 、宾夕法尼亚大学、哥伦比亚大学、亚利桑那大 学、加州大学和b b n 、b e l l c o r e 等公司和组织内，开展了主动网络的研究工作。 目前，d a r p a 主动网络研究组的研究工作主要集中在主动网络的安全领域。 d a r p a 根据m b o n e ( m u l t i c a s tb o n e ) 的成功经验，现在已经建立了a b o n e l 5 5 】 ( a c t i v en e t w o r kb o n e ) ，用于运行和检测a n 技术的阶段性研究成果。 i e e ep 1 5 2 0 d , 5 1 工作组是从o p e n s i g 研究组织中分离出来的，其研究重点集 中在主动网络应用程序接口方面，旨在为第三方开发的增值服务提供便捷的接口。 针对电路交换网络、a t m 交换网络和i p 网络提出统一的控制体系结构，i e e e p 1 5 2 0 提出了p 1 5 2 0 参考模型，定义了四层模型以及层与层之间的接口。 智能网工作组【3 9 】将智能网概念引入主动网络中。智能网本身并不属于主动网 络范畴之内，但是该工作在进行互联网中智能化研究的同时，融入了主动网络技 术，使两者协同工作。其研究的目的在于提供应用层的快速服务。但由于大部分 研究工作都是基于电话网络开展的，限制了其扩展性。 国内对主动网络的研究还处于起步阶段【2 9 j 4 , 3 7 , 3 9 , 4 8 5 7 6 5 1 ，而在主动网络安全领 域的研究也尚未取得显著成果。清华大学、西安交通大学，武汉大学、电子科技 大学、南京大学等科研机构都已开展了主动网络的研究工作。 目前，已经研究出来的几个比较典型的主动网络模型有a n t s t 5 1 、 s w i t c h w a r e l 6 ，7 ，16 ，1 卅和s m a r t p a c k e t s l l l 挪1 。本文将在后续的章节中对这些模型的体系 结构及运行机制进行详细的分析，并比较其各自在安全领域所做的工作。 1 4 主动网络面临的安全问题 主动网络与当前普遍应用的被动网络相比，其基础设施具有很大的区别，在 被动网络的路由器中转发一个信包时，主要资源消耗只是l 临时存储该包的内存以 及寻找正确的路由所消耗的c p u 资源，另外对i p 选项的处理也要消耗一定的资 源，但这些相对于主动信包处理所需的资源来说都是很少的。所以，在被动网络 中不需在网络中间节点进行严格的资源控制，所有的安全策略都基于e n d e n d 的模式来进行。从现有的应用情况来看，被动网络虽然在大部分时间工作正常， 但也存在一些问题。主动网络作为一种全新的中间节点可编程网络体系结构应运 而生，其扩展了被动网络的服务能力，使新业务的部署和实施变得更加灵活，并 可实现用户自定义的网络功能部署，但是，也进一步扩大了已有安全问题，主要 集中在两个方面：系统的公共资源( 包括c p u 、内存、网络资源) 的安全问题和 系统内容( 包括主动信包本身以及主动节点存储的信息) 的安全问题。在主动网 络中，主动信包可能会以各种各样的方式滥用主动节点、网络资源和别的主动信 4 主动网络中动态安全分析与研究 包；同样，主动节点也可能会滥用主动信包。为此，主动网络必须解决5 种类型 的安全问题【j ： 1 破坏：主动信包通过重新配置、修改以及从内存中清除等手段破坏或改变节 点的资源或服务；主动节点可能提前结束主动信包的执行；主动信包和节点 之间可能会互相攻击，共享同样计算环境的主动信包之间也可能会互相攻击。 2 欺诈：不同的主动信包可以具有不同的优先级，因此系统要提供相应的认证 机制防止低优先级的包欺骗系统以获得高优先级的权利。 3 d o s 攻击：由于用户可以通过主动信包直接携带代码在中间节点执行，怀有 恶意的用户可能使用主动信包在运行时大量甚至无限制地消耗单个节点的资 源( c p u 周期，内存，带宽) 、网络资源或服务，使节点不能正常运转，导致 别的用户因无法得到资源而被拒绝。 4 窃取：主动信包可以访问或窃取节点的保密信息；主动信包在传送过程中， 所携带的数据会遭到窃取。另一方面，即使经加密的主动信包也不是完全安 全的，因为执行时，往往需要把它解密。 5 组合攻击：主动节点最大威胁是具有特定目标的组合攻击，例如恶意用户可 向某中心路由器发送很多主动信包耗完其所有带宽，使其瘫痪。 1 5 论文研究的目的和意义 与传统网络相比，主动网络以其中间节点可编程的特性为网络中新服务的开 发与扩展提供了广阔的发展空间，但仍然存在着很多问题制约了主动网络的发展 步伐。其中，一个重要的方面就是安全问题。在任何一种网络中，安全性能都是 非常重要的研究领域，如果没有安全技术对网络中各实体的保护，那么这样的网 络结构是不可能获得推广并获取商业价值的。对主动网络而言，其安全问题比起 传统网络显得更加重要，同时也更加棘手，其灵活的节点可编程特性使得传统的 网络安全技术作用于主动网络的实施过程时显得力不从心，在主动网络中出现的 安全隐患也大大增加。主动网络作为一种新兴的网络结构，其优点显而易见，但 是到目前为止，仍没有得到普及和推广，大多数研究工作都只是基于实验来完成， 对其实用过程中的可能遇到问题都只是处于推测阶段。造成这种局面的原因归根 结底就在于其安全研究却始终没有得到很好的解决。因此，为了使主动网络技术 得到广泛的应用并进行更进一步的研究，对其安全领域的研究势在必行、首当其 冲。 由于现有的网络安全技术基本上都是基于传统网络的，在其设计思想中并没 有考虑到主动网络动态可编程的特性，因此要将这些网络安全技术应用到主动网 络中必须有对其进行一些改进，以使其适用于主动网络的动态安全需求。本文通 第一章绪论 5 过对现有网络安全技术进行深入研究并改进其运行机制，使得这些网络安全技术 能够更适合主动网络的安全需求。在对主动网络的整体运行机制深入研究的基础 上，提出一个主动网络动态安全体系结构模型d s a n ，通过此模型对主动网络运 行过程中各个环节的安全需求进行综合考虑，确保主动网络中信息传输和新服务 部署的安全性和可靠性。在文中采用自项向下的设计思想，首先对整个网络运营 环境进行全局考虑，然后分别从组成主动网络的各个关键要素入手来进行细节功 能实现的构建，分析其存在的问题并提出相应的解决方案。 1 6 论文结构 论文结构如下： 第章绪论，简述论文的研究对象、目的和意义，介绍课题目前已取得的成 果以及国内外的发展现状，本文所做的工作及预期结果。 第二章主动网络体系结构分析，对主动网络的整体结构进行深入的研究，要 解决主动网络中存在的安全问题，必须首先对主动网络中的整体运行机制以及网 络中的关键安全组件进行深入的了解。在本章，首先对目前已有的几个典型的主 动网络模型进行研究，在此过程中找出其各自的优缺点，为此后d s a n 网络体系 结构的构建提供参考。其次，对主动网络的体系结构层次进行介绍，目前主动网 络的分层模式主要有横向结构和纵向结构两种。最后，描述主动网络中至关重要 的两个组件：主动信包和主动节点，对其结构及运行机制进行深入研究。 第三章主动网络安全技术研究，本文的最终目标是要构建个安全的主动网 络体系结构d s a n ，对于任何一个安全体系，都有其存在的必要性，即，该系统 的设计必定是为了满足某些需求而存在的，同时其中也必将用到一些安全防范技 术。本章的重点内容就在与此，首先对主动网络所面临的安全问题进行概要的介 绍，接下来，分别从不同的角度入手来详细分析主动网络中安全问题及可行的解 决方案，最后，对这些方案中用到的主要安全技术进行研究，如前所述，已有的 安全技术多是针对传统网络而设计的，因此要将其应用到主动网络的安全防范中， 还需要在对其进行深入研究的基础上来进行改进。在此，对网络安全中最广泛设 计的认证和授权两种技术进行了研究，并提出了一些改进措施以使其能更好的服 务于主动网络的安全防范。同时，对d s a n 中引入的一些策略管理技术，如k e y n o t e 系统，进行了介绍。 第四章d s a n 动态安全主动网络模型设计，本章详细阐述了d s a n 的设计 思想及各个组件的实现细节。首先，对两个典型的主动网络安全体系进行简要阐 述。随后，对d s a n 中采用的通信机制进行了详细设计，并对每个环节的操作步 骤进行了详细阐述。最终，在前期所有准备的基础上，给出了d s a n 系统的体系 主动网络中动态安全分析与研究 结构模型，包括主动信包的结构、主动节点的安全结构模型，以及融合所有组件 的整体网络安全结构。 第五章结论，对本文所做的工作进行总结，并提出将来工作的研究方向。 第二章主动网络体系结构分析 7 第二章主动网络体系结构分析 2 1 典型主动网络模型及其安全性能 主动网络的概念自从提出后就得到了网络界的普遍关注并进行了广泛的研 究，下面就以几个国际上知名的典型主动网络模型为例进行介绍，这几个模型分 别是：麻省理工大学开发的a n t s ，宾夕法尼亚大学开发的s w i t c h w a r e ，b b n 公 司开发的s m a r t p a c k e t s 。 2 1 1a n t s a n t s l 5 是在1 9 9 6 年由m i t 的d a v i dw a t e r f a l l 发展起来的一种使用集成方法 建立的主动网络结构。它是基于p c 硬件，在l i n u x 、s o l a r i s 操作系统平台上开发 的，执行环境( e e ) 采用了j d k l 2 ，a n t s 信包和a n t s 代码使用j a v a 语言。在 a n t s 中，为了避免重新为相关信包组装载代码，a n t s 节点c a c h e 缓存最近使 用的代码。其中的数据都被封装成一个个的信包，该信包传输和主动代码段相关 的参数。如果一个含有相关代码的信包通过节点时，节点先用信包的参数值初始 化代码，然后再执行这些代码。反之，如果这些代码不在这个节点上，这个节点 将向最近的上游节点请求代码。a n t s 设计的目的是革新网络协议，与现有网络 相比具有更大的灵活性。 a n t s 结构有三个组件【5 1 ：主动信包( c a p s u l e ) 、程序代码分布系统和主动信 包程序代码执行环境。三者之间的关系如图2 1 所示： 协议 设计保护单元 7 代码传输单元 代码组，代码组2 一 代码组t i 信息传输单元主动信包2 1主动信包n 主动信包 图2 1a n t s 组件继承关系【5 1 其中，主动信包结构中最重要的是指向向前传输事务的指针，该指针向前传 8 主动网络中动态安全分析与研究 输事务，在每个主动节点处理主动信包。主动信包不是常驻每个主动节点，而是 必须由代码机制安排传输到每个节点，代码组是相关信包类型的集合，这些信包 类型传输事务由代码分配系统作为一个单位来传输。协议是相关代码组的集合， 主动节点将每个代码组作为一个保护单位。 主动信包代替了传统网络中的信包，位于主动节点上的代码执行环境负责执 行和处理通常事务和维持它们相关状态，用代码分配机制来确保处理事务能够自 动和动态的被分配到它需要的这些节点上。其格式如图2 - 2 所示： i 协议表示信包类型共享包头包头的其余部分负载 图2 - 2 信包基本结构f 2 1 除数据外，主动信包还包含了一个m d 5 指纹加密的程序代码索引 ( r e f e r e n c e ) 。根据该索引就可以获得处理信包的程序代码。由于程序代码没有 在主动信包中传输，而且程序代码索引具有较高的安全性，所以程序代码索引机 制允许完成较大较复杂的协议。用于产生程序代码索引的m d 5 指纹将在每个节 点处被重新计算，以判断程序代码是否正确或已被改动或被欺骗。采取这项措施 是为了在分布状态下能快速确认信包的协议类型，并通过采用m d 5 机密和哈希 函数阻止代码欺骗行为的发生，降低协议欺骗对网络安全的危害。目前，a n t s 采用授权和认证来阻止恶意代码的攻击，并建议使用时由服务提供者预先检查程 序代码的正确性、资源使用和安全等有关问题。 在a n t s 中，程序代码分布系统是用于在信包的传输路径上传送程序代码的 一个简单的轻量级协议。当主动信包到达一个节点，该节点首先在自己的程序代 码库中查找相应的程序代码。如果程序代码存在，主动信包将被立即处理。如果 程序代码不在，该节点沿原路径向前一个节点发一个请求去中请相应的程序代码， 当然，对主动信包的处理将被延迟一段时间。如果前一节点找到了所需程序代码 段，便会立即返回该程序代码段。否则，继续向更前面的节点发送请求。 为了提高性能，a n t s 采用了需求装载代码机制，a n t s 的代码分配机制过 程如下： 1 信包通过识别类型和协议来判断选择的路径。 2 当一个信包到达一个节点时，检查协议证书代码的缓存，如果所需要的代码 不完全存在，一个基于信包类型和协议装载丢失部分的请求向上游节点发出。 3 当一个节点接收到一个装载请求时，它立即发出装载响应，这个响应含有请 求所要求的代码。 4 当节点接收装载响应时，它将代码放入缓存，如果这时候所有的代码都在， 第二章主动网络体系结构分析 9 主动节点唤醒睡眠的信包，此时如果请求的响应不能被接收到，则睡眠的信 包将被丢弃。 2 1 2s w i t c h w a r e s w i t c h w a r e l 6 , 1 8 】是由p e n n s y l v a n i a 大学开发出来的一种采用可编程交换技术 的主动网络体系。其通过离散方式来实现主动网络的技术。使用者首先把定制好 的处理程序代码注入到所需要的路由器中( 假设这些节点支持主动网络操作并且 往往位于网络的关键位置) ，然后用户像传统网络那样传输信包，当信包到达节点 时，节点检查信包的头部。如果信包是属于程序代码类型，则节点经过安全验证 后接受这部分注入代码；如果信包属于数据类型，则根据其头部信息来选择相应 的已经驻留在节点中的用户处理程序对其进行处理。s w i t c h w a r e 的网络体系结构 由三部信包成：主动信包、主动扩展、主动路由设备。其结构如图2 3 所示： 图2 - 3s w i t c h w a r e 体系结构 1 主动信包( a c t i v ep a c k e t s ) ：与主动应用a a 相对应，其中包含主动代码。a p 种的主动代码采用自行设计的主动网络编程语言p l a n l 7 1 ( p r o g r a m m i n g l a n g u a g ef o ra c t i v en e t w o r k ) 编写，p l a n 【l ”简单、精练，在考虑安全性方 面，主动信包采用静态类型检查，防止在中间节点执行是出现类型错误，同 时限制p l a n 功能，不允许它直接访问节点状态。因此，一般情况下p l a n 无需认证。p l a n 在需要时通过调用主动扩展层的服务例程扩展功能。这些 1 0 主动网络中动态安全分析与研究 服务例程需经过认证和授权之后才能访问节点环境。 2 主动扩展( a c t i v ee x t e n s i o n ) ：充当e e 的角色。可以动态的加载并驻留在主 动节点，不具备移动性，其主要作用是负责执行主动代码，内嵌于其中的核 心代码s w i t c h l e t s 是采用通用语言编写的服务程序，可以动态装载。主动网络 中的安全审计和程序验证也在此进行。该层不同于其上层，它动态从本地或 网络调入，不允许移动远程执行，与其它节点的通信由主动信包完成。 3 安全主动路由设施( s e c u r e a c t i v er o u t e ri n f r a s t r u c t u r e ) ：该设施建立在安全主 动网络环境s a n e i l 6 】之上。s a n e 系统遵循的设计原则如下：首先，在系统 进入操作状态前执行一次静态检查；其次，当系统在执行操作时应当尽可能 多次并快速执行动态检查；最后，系统通过达到动态检查花费和静态检查花 费之间的均衡来提高性能。 为了保证网络的安全性，s w k c h w a r e 1 9 1 的安全模型提供三种机制： ( 1 ) 公用机制：提供一种任何人都可使用的公用服务，对其不做安全检查。 ( 2 ) 审计机制：对特定的服务，使用者必须提供一个标识，由审计机制决定 使用者的权限如l o g i n 。 ( 3 ) 验证机制：保证可以安全的运行不可信代码。 2 1 3 s m a r t p a c k e t s s m a r t p a c k e t s 2 0 1 是b b n 公司开发的一种主动网络管理工具，管理者通过发送 s m a r tp a c k e t s 能够有效的管理网络资源。该项目主要用来改善大型和复杂网络的 性能。将主动网络技术引用到网络管理中，使管理节点可编程化，管理中心能够 发送程序到管理节点。首先，通过执行用户自定义的程序，可以使管理中心只获 取其感兴趣的信息，这就大大减少了传输的信息量；其次，管理中心能够将管理 规则嵌入到程序中去，发送到各个节点。节点自动识别和纠正错误而不需要由中 心进一步干涉；最后，s m a r t p a c k e t s 减少监控和控制循环，即监控与控制只是通 过信包穿越网络的一个周期完成，而不是通过一系列的从管理站的g e t 和s e t 操作 完成。 s m a r t p a c k e t s 主要包括四个主要组件：s m a r t p a c k e t s 主动信包的格式和封装说 明，高层语言说明，提供执行环境的虚拟机和安全结构。这些组件之间的相互关 系如图2 - 4 所示。 网管工作站( n m s ：n e t w o r km a n a g e m e n ts t a t i o n ) 是网络管理中心，用户可 以在此通过发送主动信包( s m a r t p a c k e t s ) 来下达相应的管理任务。n m s 的用户 将编写的网络管理和监控程序产生的s m a r t p a c k e t s 用a n e p 进行封装，得到 s m a r t p a c k e t s 信包，在信包中嵌入可执行的主动代码。并将它们交给网络节点进 第二章主动网络体系结构分析 舀 a p 崩 画名 、 网络节点 。一，一，一j 图2 - 4s m a r tp a c k e t 体系结构 行处理。接收n m s 管理的网络节点中的虚拟机( v m ：v i r t u a lm a c h i n e ) 负责解 释执行主动信包中的主动代码，完成具体的管理任务。网络节点一般以端到端， 节点到节点的方式将s m a r t p a c k e t s 注入到网络中。在端到端模式下，程序仅在目 的端主机中被执行；在节点到节点模式下，程序在源节点、目的节点和所有节点 间执行。节点接收到s m a r t p a c k e t s 信包，用其虚拟机执行其中的代码。安全引擎 ( s e c u r i t ye n g i n e ) 主要通过对主动信包创建主体认证和利用访问控制列表( a c l ： a c c e s s i n gc o n t r o ll i s t ) 对资源访问进行控制来保证主动代码的安全正确地执行。 虚拟机执行程序报中的s p a n n e r 代码。 当一个s m a r t p a c k e t s 到达一个节点时，后台程序检查它的完整性，执行授权 和认证，如果s m a r t p a c k e t s 不是程序信包，后台程序直接将信包提交给适当的使 用者。对于虚拟机而言，安全是最重要的，所以虚拟机对信包对节点资源的访问 做了限制，如最大执行指令数，多少内存被使用，特权使用的控制。虚拟机能追 踪这些资源的使用，检查一个指令是否超过程序特权等。如果一个程序超过其中 一个限制，此程序将被终止，然后发送给源端一个错误信包。 2 1 4 各模型的安全性能 a n t s 侧重协议和主动服务的快速开发，仅依靠语言的特点来保证主动网络 的安全，没有考虑进行安全控制。这对a n t s 的推广无疑是一个亟待解决的问题。 因此，在对a n t s 进行研究的基础上，该研究小组进一步丌发了s a n t s 和p a n 。 1 2 主动网络中动态安全分析与研究 其中，s a n t s ( s e c u r ea n t s ) 是a n t s 的一个扩展，主要是在a n t s 中加入安 全机制，在节点操作系统上采用x 5 0 9 加入较精细的授权和身份认证来决定应用 能否在节点上被执行。p a n 进一步改善了a n t s 结构的性能，它与l i n u x 内核有 更紧密的接口，允许执行和发布不安全的目标程序代码。p a n 节点在内核处理信 包，而不是在用户层，它提供一致内存管理系统避免将数据拷贝到内核空间与用 户空间之间。通过在内核中处理信包、减少数据复制、缓存代码和立即执行这四 种方法为信包提供灵活执行环境。 s w i t c h w a r e 在安全方面做了一些研究，开发了s a n e ( 安全主动网络环境) ， s a n e 是一个分层的体系结构。体系的下层确保系统启动到预想的状态，它通过 使用种安全启动结构a e g i s 来实现的，这属于静态检查。然后进行以每个用户 或每个数据包为单位的“动态”检查，这是由高层来实现的。s a n e 结构在一定 程度上解决了安全问题，但是这种基于硬件的安全策略使其通用性受到影响。 图2 - 5s a n e 与交换设备的关系”6 1 s m a r t p a c k e t s 在安全方面实现了基于a c l 的访问控制。对于策略的描述采用 访问控制表a c l ( a c c e s sc o n t r o ll i s t ) ，是目前通用的一种安全控制手段。a c l 实质上是存在于主动节点中的一张详细资源控制列表，描述了每个主体对特定系 统资源和对象的存取访问权限。每个a c l 都有一个或多个访问控制入口，对应了 不同主体的名称。对于每个主体，他们的访问权限通过表中的一个位串记录来描 述。例如用三元组表示，其形式是( 对象，主体，行为) ，即某个主体对某个对象 能具有的行为有哪些。这种方式比较容易实现。其缺点是灵活性较差，描述能力 氧圃 第二章主动网络体系结构分析 较弱，通常是一种静态的列表，难于动态修改。 综上所述，现有的这几种典型结构，到目前为止都不能提供比较完善的安全 保证，其安全性仍有待提高。本文将在下面的章节中从不同的角度对主动网络的 安全问题进行详细的分析，并最终设计出一个主动网络的安全体系结构模型。 2 2 主动网络的体系结构 近年来，相关研究组织和机构经过多年的研究和讨论之后，已经基本明确了 一个有关主动网络体系结构的框架，在此基础上对主动网络体系结构的设计主要 分为纵向体系结构设计与横向体系结构设计【2 1 1 两种，具体设计思想如下： 2 2 1 纵向体系结构 由于主动网络是对端对端原则的重要突破，而端对端原则又要从分层的结构 来考虑，提出网络设计的原则，所以从分层结构来设计主动网络有其必要性和实 际意义。在此，我们采用t c p i p 的四层协议模型m 】来加以设计。在主动网络中， 鉴于用户对网络的控制能力大大增强，各层所发挥的作用也大大提高。 在应用层，将数据与程序融合的典型例子是j a v aa p p l e t 。在浏览网页时，页 面携带一些安全的j a v a 程序是主动网络概念的雏形，对于用户和系统提供者而 言，应用层数据的可编程使网络和数掘传输具有很强的灵活性。另一个例子是多 播，它能使一个用户( 数据发送者) 与其他一组用户( 数据接收者) 建立连接。 目前实现多播的方法是在发送者和每个接收者之间建立连接。如果连接使用b ( b s ) 的带宽，发送者的链路容量为n b ( b s ) ，则至多能有n 个接收者。在主 动网络中，不使用这种方法，而是建立接收者的生成树，树根位于发送者。新的 接收者依附于离他“最近”的己连接的接收者上，该接收者复制发送者的信包， 转发给新的接收者。而且，生成树上的主动节点接收发送者的信包后，根据每个 目标地址所对应的端口的带宽，自适应地调整转发信包的速率。从而使能够连接 的接收者数量没有限制并且提高了带宽的利用率。 在传输层，t c p i p 协议中的流量控制、分片传输等任务由端到端来完成。因 而窗口控制等从结果来分析现象的方法得到了采用。端到端的控制假设数据信包 的丢失是拥塞引起的，从而改变窗口的大小来适应网络的特性。但端到端并不了 解网络上真正的情况，例如在卫星信道上误码率较高，对方丢弃校验和错误的数 据，引起信包丢失。因此，仅仅一味改变窗口大小是无济于事的。再如基于反馈 控制的流量控制机制在网络具有大的时延带宽的情况下就会失效。因此动态地完 成流量控制、分片传输更符合异构网络互连的本身规律。例如，在m p e g 数据流 4 主动网络中动态安全分析与研究 传输中，可由用户指定主动节点拥塞时丢包的策略，当拥塞出现时，主动接点根 据用户指定的策略动念地对m p e g 数据流进行处理，从而有效地改善拥塞状态。 在网络层，主要工作在于异种网络互连。在网络互连时，人们考虑更多的是 安全性问题，恶意的程序将可能造成巨大的损失，而无意的程序编制错误也会产 生严重的危害。因此，统一规范的网络编程语言的制订将能有效降低此类风险。 同时，资源的访问控制也能在很大程度上保护网络的j 下常运行。例如，在主动网 络节点操作系统中对系统程序区和中断向量表等核心区域禁止访问，在运行程序 之前进行模拟检查，用s h e l l 语言充当编程语言并使之简单化，这些方法都会有效 地提高主动网络的安全性。另一方面，主动网络还能防止某些网络攻击。例如， s y n f l o o d 用s p o o f - a d d r e s s 和t c p s y n 包消耗服务器资源，是一种难以对付的攻击 方法；如果利用主动网络，使动态包过滤逐渐逼近s y n f l o o d 源，就能有效抑制其 对网络资源和服务器资源的消耗。 在链路层，主动网络的作用在于动态适应介质性能和不断更新链路协议。例 如匹配不同速率的m o d e m ，使p c m c i a 卡适应不同m a c 协议等，适应多点广播， 简化硬件升级等都是主动网络的用途。 2 2 2 横向体系结构 所谓“横向体系”【3 8 】，就是对主动信包在主动节点中的程序设计结构的研究。 目前主要的开发模式分为分布式和综合式两种结构。分布式结构比较安全，对错 误易更正，并能有效实现大批量数据的处理，但从端用户的角度来看，不够灵活。 综合式结构更能体现可编程特性，实时处理能力较强，但对错误不易更正。考虑 到实际情况，对主动网络横向体系的设计通常是综合两种设计方式来进行。 1 分布式结构 分布式结构将程序注入主动节点的过程与信包在主动节点处理