主动网安全体系的研究

1、主动网安全体系的研究黎忠文' 黎忠秀2李乐民】(1 电子科技大学宽带光纤传输与通信系统技术国家重点实验室 四川成都61(x)54)(2四川省邮电技工学校四川徳阳618000)摘 要：安全是阻碍主动网发展和实用化的主要因索之一。主动网的安全性包括security和safety两个重 要且紧密相关的方而，然而日前绝人多数的研究只限于security。木文在总结主动网当前的security机制和 深入分析主动网safety需求的基础上，提出了建立集security和safely保障为一体的主动网安全体系的设想， 并对该安全体系应具有的特点和设计h标进行探讨。然后探索把safety核这种saf

2、ety保障新概念用于“主 动网”的可行性后，建立了主动网安全体系sssano关键词：主动网；security; safety; safely核；safety策略；体系；设计目标；安全域 中文分类号：tn913.24research on security and safety structure of active networkszhongwen li1 zhongxiu li2 leming li3(1.national key i-ab of optical fiber transmission and communication networks, uest of china, che

3、ngdu 610054)(2.co)lcgc of post and telecommunication of sichuan, dcyang 618000)abstract security and safety are important and related factors that baffle the development and practicality of active networks. however, most of researches on active networks focus on security. after drawing a conclusion

4、of current research on active networks and analyzing safety requirements of active networks, wc put forward new ideas for setting up the security and safety structure of active networks and based on the analyses of characteristics, designing aims for this structure and possibility of using safety ke

5、rnel that is a new concept of safety assurance, we set up sssan(security and safety structure of active networks)key words active networks; security; safety; safety kernel; safety policy; structure; designing aim; security and safety domain1引言“主动网(active networks)"是近年來国际上网络研究的前沿课题,其概念最早由dartp于1

6、994至1995年 在讨论网络系统的发展方向中提出来的山。简而言之，主动网由-纽被称为主动节点的网络节点构成，每个主动节 点可以是路山器或交换机，其“主动性”有两层含义：1)交换设备对流经的用户数据进行处理；2)用户通过将程 序注入网络來定制更具冇针对性的数据处理过程。与传统网络相比，主动网的优势是非常明显的。传统网络主要是 被动传送数据，网络川丁-终端系统之间数据的转发，在分组交换网和面向连接的网络中，交换设备主要的计算分别 在于对分组头进行处理和执行信令协议，网络并不对数据内容进行调整和改动。因此人们又把传统网络称为“被动” 网络。显然这种网络中，诸如信息分布与融合(information

7、 distribution and fusion)等新技术的应用往往要等待某 种协议标准的制定，而这却是个漫长的过程，待标准出台时，可能已落后丁-川户的需求。如果能增强网络内部设 备的计算能力，而不仅仅是被动地转发数据，则有望以较快的速度开辟新的应用前景，比如防火墙、web代理、多 播和移动代理等。基于此，主动网正在成为通信领域的研究热点。基金项口： “十五”预研项目作者简介：黎忠文(1970)，女，重庆，博士后，研究领域：主动网、移动通信苟安全和烏可靠分布式系统，qos,并行处理：黎忠秀(1965小 女，重庆，硕上生，研究领域：通讯技术；李乐民(1932)男，上海，博上后导师，中国工程院院士

8、，研究领域：光纤通信。然而，主动网的“主动性”对网络系统的安全性提出了新的挑战。显然当主动节点执行主动代码时，极有可 能造成主动节点或主动代码或者它们两者均被非正确地修改,以至丁使网络受到破坏，从而造成重大损失。妙实上, 仔细分析主动节点和主动代码被非正确修改的错误源，不难看出它们分为无惹和有惫（即恶意）两类，其屮无意错 误源是指主动节点或主动代码本身存在的一些缺陷，但这些缺陷不是被有意设登用來攻击网络的，比如软件开发屮 没有完全排除的故障；而恶意错误源则指有意设置，用來攻击网络的错误，比如用户对网络资源的非法使用和黑客 的入侵。这两者分别属于safety和security问题，它们决不能互相

9、代替。因此对主动网安全机制的研究应包括 safely 和security两个方面，缺一不町。然而长期以來，人们对主动网安全机制的研究主要集中在security方面，对safety 的研究非常少,而且在研究过程中,security和safety往往被分离开来。如：ants是著名的“主动网”协议构 造和配置工具，由m1t开发，它一方面利用md5处理主动代码的校验和，并依靠java的字节码验证机制来确定 主动代码的可靠性；另一方面在主动节点上，通过提供一个初始原语集，來提供对网络资源的存取控制。 switch ware141 51是security型"主动网”的典型代农，sane是swit

10、ch ware解决主动网security问题的方案，它保证 了从网络口举到整个程序设计环境的security-致性，共提供三种security服务：公川服务，如ping；审记服 务，如rlogin；验证服务，即在主动代码中把对程序security验证的规格说明和程序木身捆绑起來，移动到h的 执行环境，由目的执行环境检查程序的合法性。文献初步提出了针对主动节点的security模型。safetynet1111从编 程语言的角度研究了主动网的safely性，sussex大学的研究者们在safetynet项目中提出了一种编程模式，用来 减少编程中出现的故障，从而提高主动网的safety 。该项h在一

11、定程度上可以提高主动网的safety tt，但是山于 不可能完全剔除故障，所以主动网中仍然存在safety隐患。事实上，忽视safcty的研究是一个曹遍的问题，不只反映在主动网领域。多年来，对safety的研究远不及可靠 性和security<>这是ill于过去safety问题并不十分突出，一般通过传统的safety技术（即破!件safety技术和口j靠性技 术）就能满足系统的safety离要。当前这种格局随着计算机的广泛应用和系统结构的口趋复杂化被打破了，系统当 前面临的safety问题让传统的safety技术渐感力不从心,近年来safety事故频繁发生，比如90年1月美国电话系

12、 统屮断爭件、92年11月伦敦救护车事件等。safely问题h前被提到了大型控制系统设计首要考虑的位置。址然 就目前的情况而言，在主动网中safety问题还没冇security问题突出，但是随着主动网的兴起及软件技术的口益应 用，safety问题必将越来越重耍，因此要吸取控制领域的教训，越早研究越好。现在研究主动网safety性的另一个 好处是口前主动网的security研究正在进行之屮，许多技术尚未成熟，可以充分利用security和safety的木质联系 把它们冇机地结合起來，减少系统中两者的冇缝连接，进而提高系统的效率。本文正是在这种背景下展开的研究： 在深入分析safety核种新的sa

13、fety保障技术（该技术在承认系统中存在软件故障的前题下保障系统的safety的） 和主动网安全需求的基础上，提出了一种基于safety核的“主动网”安全体系。2 “主动网”与safety核2.1 "主动网"safety需求“主动网”的safety需求包括用户数据和主动节点两个方面。“主动网”通过提供通用的网络可编程接口，一 方面允许儿乎所有的网络用户按各口的应用需求针对网络节点、甚至直接针对报文进行编程并嵌入可执行的代码； 另一方面允许网管人员对网络节点进行配置和功能的剪裁。当主动节点执行这些外來的代码（即主动代码）时，使''主 动网”面临严重的safet

14、y威胁：极冇可能存在冇缺陷主动代码，它们的执行无疑会破坏主动节点的safety；也 可能存在有缺陷的主动节点,在执行主动代码时非法修改了用户的数据。因此“主动网”中，被保护对象为有safety图1 safety核原理盂求的用户数据和主动节点上的资源。2.2 safety核的原理safety核的灵感來源于信息保密系统中较为成熟的 security核，它最先由著名安全学家leveson冈等人丁八十年 代+期提h o真正从security核视角看待safety的是rushby191。 后来kevin""继承和发扬了 rushby的safety核概念,并在 mss上建立了 safe

15、ty核的雏型。safety核冇別于security核，它关心的是如何保护设备，以避免因对设备的谋操作引起重人的生命财产损失和环 境的破坏，其原理见图1所示。safety核把受保护设备与系统的其它部分隔离开，通过实i& safety策略(safety policy) 对这些设备进行特殊保护：凡是对受保护设备的访问，都必须经过safety核的审查控制，合法者予以支持，反z则 釆取相应的出错处理措施。2.3 “主动网”采用safety核的合理性和优越性定义1消极型错误当系统做了不希望做的事情时，称系统发生了消极型错误。比如，口动飞行控制软件在飞机处于飞行状态时，启动着陆装置。定义2积极型错误

16、希望系统做的事情，系统没有完成时，称系统发生了积极型错谋。-般來说，积极型错谋比消极型错误易于检查和评估，采用的方法也比较多。safety核机制与人多数传统的 safety.可靠性方法不一样，它善长处理消极型错误：无论safety核外其它系统组件如何工作，safety核都必须要维 持safety策略的不变性。因此若把“主动网”被保护对彖视为设备，则在主动节点上采用safety核是合理的。主动节点上釆用safety核的优势：统一性：所冇的safety策略都能由单一的代码集合來执行。可修改性：易丁-对safety机制作出改变和对这种改变进行测试。紧凑与可验证性：safety核只完成safety功能

17、，其结构柑对较小，冇利于正确性的验证。单纯性：把safety 3：作交由safety核处理，减少了系统其它纽件的负担。2.4 “主动网”采用safety核的有效性和safely策略的设计2.4.1保证safety核有效的条件在“主动网”中，要保证safety核的有效性，必须遵循f列的规则。1. safety核应短小精练safety核尽可能小，才易丁其正确性的检验。为此'主动网”所有的safety策略均由safety核來实施是不现实 的。需要山safety核來实施的safety策略应满足的条件归纳为下面两条： 这些safety策略中所包含的变量必须在safety核的控制z否则对safet

18、y核來说这些safety策略本身就是可变的，safety核根本无法去维护它们。 对于第二个条件，rushby形式化表示为：论忙 p(a)(1)其中op“是safety核提供的所冇功能组成的集合，其元素(1)中以a代衣，"代农“所包含的具体功能)可以是 safety核的一个或多个功能组成；p(d)则农示safety核对a包含的所有功能的输入/输出都有临控权。窃实上，safety 核为“主动网”提供的毎一次safety服务(实际上就是主动节点其它组件对被保护对彖的一次访问)，都可看成是一 系列冇序的safety核的功能集(即a).因此(1)式说明，无论系统其它纽件(特别是主动报文)如何访

19、问被保护对彖(即 ()，safety核都要保持safety策略的实施(即p(a)。2. 完备性完备性要求不通过safety核，任何对被保护对彖的访问都必须被禁止。它衣明对被保护对彖的任何访问请求都 必须通过safety核来传递，所以釆川了 safety核的主动节点必须要保证safety核对被保护对象的专一控制。2.4.2 “主动网”的safety策略在“主动网”中，由safety核执行的safety策略可分为四类：1. 被保护对象的控制策略当主动报文向主动节点的资源发出动作指令时，该策略用以判断这个动作指令的执行是否使主动节点的被保护 对彖保持在非危险状态，如果可行，允许执行操作，否则出错处理

20、。2. 主动报文的状态策略与换件相似，在一个特殊的软件行为发生前，必须要检测这种行为发生的合理性，即严格控制软件的执行路径， 避免错谋指令的产生。对于每一个主动报文的行为都要为z设计可接受的命令序列及参数，以备检测时使用。3. 设备错误诊断策略这类策略主要是检测主动节点设备的动作是否与指令动作一致。4.错误响应策略错谋出现后，采取的补救措施。3安全体系sssan的设计3.1主动网安全体系的设计目标主动网安全体系的设计h标是：1. 灵活性：在实际应用中，并不是每时每刻都需要安全服务，仅当需要时才捉供。这样既能使系统的安全得 到保障，乂可避免不必要的开销。2. 透明性：对用户而言，安全系统应该是透

21、明的，让用户尽可能的感觉不到安全系统的存在。3. 安全服务的周密性：安全服务的周密性表现在功能的多样性和严谨性。安全系统既要向用户提供丰富的安 全服务，乂提供各种管理功能，以便对安全系统进行安装、监测和重建。安全系统还要保证这些安全服务不发生冲 突，而尽可能的避免漏洞。4. 安全实施的独立性：安全保障措丿施山安全系统全权负责实丿施。5. 适应性：安全系统既能适用于从单个pc到lan,甚至于开放系统等多种坏境，乂能适用于多种用户、应 用和数据。6. 易验证：安全系统不能太复杂，必须要易于开发、测试和验证。3.2主动网的抽象主动网具有多个主动节点，我们称毎个节点为一个域，并用互联表示数据通信设备和

22、网络，于是主动网可抽象 为图2所示。显然要保证主动网的安全，就必须要保证域内和域间（即互联）的安全。域域耳图2 4动网的抽象衣示域主动报文图3主动节点的安全概念用户全竹理数据廉安全系统的管理层安全服务代理层安全服务实现层图4 sssan的外部视图3.3域间安全3.3.1域与域的关系域与域z间的关系可分为对等和主从两种。在对等关系中，域与域z间是完全平筹的，都冇各白的安全政策， 而h安全政策可能是相同的。在主从关系中,域与域之间有着从属性,即一个域是另一个域的子域。这时安全政策 具冇继承性，即子域要共享母域的安全政策。此外，子域还可以冇h己的安全政策。3.3.2安全需求必须要保证域间传递的信息具

23、有保密性、完整性，一些osi通信协议的security如下说】：x.25： x.25提供了认证、数据完整和访问控制security服务，但不包括数据保密和防抵赖。 x.400： x.400提供了标准的osi security服务（认证、访问控制、数据保密、数据完整性利防抵赖）。 x.500： x.500提供实体认证和基本的文章控制两种security服务。ftam： ftam捉供了访问控制服务、认证服务、保密和完整服务。edi：基本的edi security服务冇认证、保密、完整和防抵赖。3.4域内安全同一域内的安全系统必须统一设计，这样才能保证该域内的全局安全性。域内安全包括用户数据的安全和

24、执行 环境的安全。域内的安全概念可表示为图3所示。3.5 sssan的外部视图在结构上将sssan设计为三层，其外部视图见图4所示。1. 安全系统的管理层安全系统的管理层由完成安装、调试、监视、维护和重建安全系统的模块纽成。2. 安全服务代理层女全服务代理层由各个女全代理组成，它们之间相互配合，保障系统的安全。3. 安全服务实现层安全服务实现层就是安全系统提供的安全服务的集合，具体完成安全保障的职能。4. 安全管理数据库安全管理数据库是一个信息库，存放所冇与系统安全相关的信息。安全管理数据库是集 中式还是分布式管理视具体系统而定。3.6安全服务代理及其功能为了便于统一管理，在sssan中设直下

25、述几类安全服务代理：1. 报文代理记录报文的安全需求；根据标准的安全信息，审查报文安全需求的合理性，并做出适当的响应。2. 用户代理记录用户注入的“小程序”，根据严格的规则來判断其合法性，并做出适当的响应。向用户提供帮助信息。3. 安全管理代理与监视代理和恢复代理协同丁作；与安全管理数据库代理协同t作，完成对安全管理数据库的访问。4. safety核代理safety核代理是安全系统的屮心控制和操作代理，主要负责提供safety核服务。5. 安全管理数据库代理凡是要访问安全管理数据库的代理均需通过安全管理数据库代理。6. 监视代理监视代理接收安全管理代理所收集的数据并通过安全管理数据库代理把它们

26、记录在安全管理数据库中。7. 恢复代理恢复代理负责探测系统的安全性是否被破坏，并在系统进入不安全状态时将系统恢复到安全状态。8. 坏境代理对用户、报文和管理倍息进行初步的安全审杳，合格者交给相应的代理，不合格者禁止访问本域。负责域间网络安全，确保域间数据的保密性和完整性。9. 管理信息代理管理代理负责管理系统管理员在主动节点上加载的管理倍息。3.7安全服务代理之间的关系各安全服务代理z间相互配合，共同保障系统的安全。安全服务代理z间的相互关系见图5所示：图5安全服务代理z间的关系主动节点3.8安全服务安全服务是安全系统的功能，这些功能针对系统屮潜在的不安全因索提供有效防范措施。为支持安全服务代

27、 理，域内安全服务分为三类：1. safety核服务：safety核服务分为四类，分别用于维护交换设备控制策略、用户数据的状态策略、设备错误诊断策略和错误 响应策略。2. 数据库security服务数据库security服务引用开放系统环境中的数据库security服务，即除了 osi的访问控制、数据保密利数据 完整security服务外，还提供保持数据流安全-致性和防止推知数据两项security服务。3. 管理安全服务安全审核服务：安全审核服务实现探测和调查与安全性有关的事件，即记录、分析和报告与安全性有关的 信息。安全恢复服务：在安全性破坏发生后，安全恢复服务采取一定的措施将系统恢复到安

28、全状态。4结论主动网的安全性研究包括safety和security两个方面，但h前的研究主要集中在security方面。木文徃分析两者 关系和主动网safety需求的基础匕 提出了为主动网建立集safety保障机制和security保障机制为一体的安全体系 的设想。然厉探索了该安全体系统应具有的特点和设计h标。并在深入分析safety核这种新safely保障技术在主动 网中实施的有效性后，提出了主动网的safety策略，最后建立了以safely核技术为基础的安全体系sssan。参考文献111 darpa. darpa active network home page. h【p:/wvv.(j3rpamil/io/research/ane(s/indexhlml|2李一果，温蜀山，孙海荣和孚乐民.主动网络的安全技术探讨.电子科技大学学报,2000, 29(4): 402 -405|31何丹，谢立.-种新型的网络体系主动网络.计算机研究与发展，1999, 36( 1):174 tcnncnhousc d l, ct al. a survey