（计算机应用技术专业论文）主动网络安全认证模型的研究与实现.pdf

主动网络安全认证模型的研究与实现 摘要 传统网络存在着标准化周期长和兼容性差的问题，新应用和新技术往往领 先于新服务的出现，严重制约了新服务的快速拓展。为此，人们提出了主动网 络的概念。主动网络允许用户向网络中注入定制服务的程序代码，对网络基础 设施进行编程，因而带来了灵活性和可扩展性，适应了快速部署新服务应用的 需要。但是由于主动数据包中携带有主动代码，它们在某些程度上可以对资源 进行分配、修改等操作，这些都可能使网络受到恶意程序和有缺陷代码的攻击 或影响，因而给主动网络带来了更多的安全隐患。本文在分析主动网络面临的 潜在安全威胁的基础上，利用身份认证和权限检查等相关技术来保障主动网络 的安全。如何在欠缺认证机制的现有主动网络系统中实现认证操作是本文研究 的主要课题。 s e n c o m m 环境作为一个主动网络控制、监测和管理的智能环境，它在设 计之初并未对安全性方面( 安全管理、信息的安全传输) 作过多的考虑。本文 基于对主动网络通用体系和s e n c o m m 的安全缺陷的分析，探讨其安全隐患、 需求和信任模型。在此基础上，本文提出了一种基于认证的、用于加强主动网 络安全性的主动网络安全认证模型。本模型下，每个用户或主动节点都扮演着 一个角色，每个角色都有角色名和权限等级( 用于操作限制，如资源访问) ，在 网络数据传输中，需要对传输双方进行身份认证和权限检查。本模型已经在 s e n c o m m 环境下设计和实现。 关键词：主动网络，主动代码，安全威胁，身份认证，权限检查 t h er e s e a r c ha n dr e a l i z a t i o no ft h e a c t i v en e t w o r k s e c u r i t ya u t h e n t i c a t i o nm o d e l a b s t r a c t t r a d i t i o n a ln e t w o r ke x i s t sl o n gp e r i o do fs t a n d a r d i z a t i o na n dp o o lc o m p a t i b i l i t y p r o b l e m s n e wa p p l i c a t i o n sa n dt e c h n o l o g i e so f t e nk e e pa h e a do ft h ee m e r g e n c eo f n e ws e r v i c e s i ts e v e r e l yc o n s t r a i n st h er a p i de x p a n s i o no fn e ws e r v i c e s t h e r e f o r e ，i t w a sm a d et ot h ec o n c e p to fa c t i v en e t w o r k a c t i v en e t w o r ka l l o wu s e r st oa d d c u s t o m i z e ds e r v i c e sc o d e ，p r o g r a m m i n go nt h en e t w o r ki n f r a s t r u c t u r e ，t h u si tb r i n g s f l e x i b i l i t ya n de x p a n s i o n a r y i ta d a p t e dt o t h en e e d so fr a p i dd e p l o y m e n to fn e w s e r v i c e sa n da p p l i c a t i o n s b u ta c t i v ep a c k e t sc a r r y i n ga c t i v ec o d e s ，t os o m ee x t e n t ， t h e yc a na l l o c a t e o rc h a n g et h er e s o u r c e s a l lt h e s ec a nm a k et h en e t w o r k sb e a t t a c k e da n da f f e c t e db yt h em a l i c i o u s ，f l a w e do ri m p a c tc o d e t h u si tc a r lb r i n g g r e a t e rp o t e n t i a ls e c u r i t yt h r e a t st ot h ea c t i v en e t w o r k t h i sd i s s e r t a t i o ni sb a s e do n t h ea n a l y s i so f p o t e n t i a ls e c u r i t yt h r e a t s ，a n du s e st h ei d e n t i t ya u t h e n t i c a t i o n 、a u t h o r i t y i n s p e c t i o na n do t h e rr e l e v a n tt e c h n o l o g i e st oe n s u r et h es e c u r i t yo f t h ea c t i v en e t w o r k h o wt oa c h i e v ec e r t i f i c a t i o no p e r a t i o no nt h el a c ko fa u t h e n t i c a t i o nm e c h a n i s m si n t h ee x i s t i n ga c t i v en e t w o r ks y s t e mi st h em a i nt o p i co f t h i sd i s s e r t a t i o n s e n c o m m 髂an e t w o r kc o n t r 0 1 m o n i t o r i n ga n dm a n a g e m e n tp l a t f o r mo n a c t i v en e t w o r k ，i ti sl a c ko ft h es a f e t yc o n s i d e r a t i o n s ( s a f e t ym a n a g e m e n t ， i n f o r m a t i o ns e c u r i t yt r a n s m i s s i o n ) o nt h eb e g i n n i n go fd e s i g ns t a g e t h i sd i s s e r t a t i o n i sb a s e do nt h ea n a l y s i so fc o m n l o na r c h i t e c t u r eo fa c t i v en e t w o r ka n dt h es e c u r i t y p r o b l e m so fs e n c o m m ，a n dd i s c u s s e si t sh i d d e nd a n g e r s ，n e e d sa n dt r u s t sm o d e l o nt h e s eb a s e s ，t h i sd i s s e r t a t i o np r o v i d e san e t w o r ks e c u r i t ym o d e lb a s e do n c e r t i f i c a t i o n , f o rs t r e n g t h e n i n gt h es e c u r i t yo ft h ea c t i v en e t w o r k i nt h i sm o d e l ，e a c h u s e ro ra c t i v en o d ep l a y ear o l e ，a n de a c hr o l eh a si t sn a m ea n dl e v e l ( f o ro p e r a t i n g r e s t r i c t i o n s ，s u c h 髂r e s o u r c e sv i s i t ) i nt h en e t w o r kd a t at r a n s m i s s i o n ，i t sn e e df o r i d e n t i t ya u t h e n t i c l i t i o na n da u t h o r i t yi n s p e c t i o n 1 1 1 i sm o d e lh a sb e e nd e s i g n e da n d r e a l i z e di nt h es e n c o m m p l a t f o r m k e yw o r d s t a c t i v en e t w o r k ，a c t i v ec o d e ，p o t e n t i a ls e c u r i t yt h r e a t s ， i d e n t i t ya u t h e n t i c a t i o n ，a u t h o r i t yi n s p e c t i o n 插图清单 主动网络体系结构框架模型7 主动节点结构8 a n e p 报头结构9 主动包格式9 分组的处理过程1 0 a s p 体系结构。1 4 x 5 0 9v 3 证书格式2 0 s e n c o m m 体系结构图2 3 s e n c o m m 的主动包封装结构2 5 s e n c o m m 主动包的a n e p 头格式定义2 5 s e n c o m m 公共头结构2 6 加载库查询头格式2 7 加载库传输的头结构2 7 s e n c o m m 工作过程2 9 s e n c o m m 安全模型3 5 可加载库传输过程3 8 实验环境结构图4 1 a s p 运行效果图4 1 用户( 主动节点) 间认证模型4 6 修改后的智能探针包头结构。4 6 运行结果5 1 可加载库安全传输模型5 3 修改后的可加载库查询包格式5 5 修改后的可加载库传输包结构5 6 可加载库服务器上的执行结果5 7 v i m粥“撕撕“化似稻”。：配酏艮乳雕艮图卧图图图图图图图图图图图图图图图图图 表4 ，1 表6 1 表6 2 表6 3 表6 - 4 表6 5 表6 6 表6 7 表格清单 包类型标志表 正常日志记录 出错日志记录 主动节点权限表 主动节点黑名单表 可加载库权限表 用户权限表 用户，主动节点黑名单表 2 6 4 7 4 8 5 2 5 2 5 2 5 4 5 5 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。 据我所知，除了文中特别加以标志和致谢的地方外，论文中不包含其他人已经发表或撰写 过的研究成果也不包含为获得盒口b 王些太坐或其他教育机构的学位或证书而使用过 的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表 示谢意。 靴做储婵：啦移 辩脯“邓月7 t 日 学位论文版权使用授权书 本学位论文作者完全了解金i 王些太兰有关保留、使用学位论文的规定，有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅域借阅。本人授权 合肥工业大学可以将学位论文的全都或部分论文内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文者签名： 签字日期：年形月扣日 学位论文作者毕业后去向 工作单位： 通讯地址： 铆躲f 够艺、 签字日期：叫“年矿月弘日 电话： 邮编： 致谢 本论文是在沈明玉副教授的悉心指导和亲切关怀下完成的，在此论文完成 之际，谨向我的导师沈明玉副教授表示真诚的谢意! 沈老师渊博的学识、敏锐 的学术洞察力、忘我的工作精神、不断创新和严谨求实的科研态度以及豁达的 胸怀、执着的人生信念、宽以待人的品质、严谨的治学态度以及开明的作风， 为我指明了研究方向，培养了我的研究能力，为我创造了良好的研究环境，使 得我的论文能够顺利完成，在此表示衷心的感谢。 感谢侯整风教授，他在我的学习和工作中给我很大的帮助和指导。 感谢合肥工业大学计算机与信息学院胡学钢教授、王浩教授、郭骏副教授、 胡东辉老师、王新生老师等，感谢他们为我所付出的辛勤工作，感谢评阅、评 审、出席论文答辩会的各位专家在百忙中给予的悉心指导。 感谢我的家人多年来对我求学的一贯支持和鼓励，使我得以顺利完成学 业。 同时，感谢我的师兄汪跃、吕建勇，同学李飞、孙明保等，感谢实验室各 位师弟师妹们，大家一起对主动网络和网络管理课题进行研讨，集思广益，对 于我论文的完成有很大的启发和帮助。 i 【i 作者：王锦超 2 0 0 6 年4 月 第一章引言 1 , 1 研究背景 i n t e r a c t 自产生以来，其规模和应用范围急剧扩大，已经成为了人们现实生 活中不可缺少的一部分。人们对网络的依赖性越来越强，因此希望能够在网络 中快速和动态地发布和展开他们所需的各种服务。现有网络中存在着标准化周 期长和兼容性差等问题，严重制约了新服务的快速拓展。在这样的状况下，新 应用和新技术往往都是领先于新服务出现的，因此无法把新服务利用起来。为 了解决这样的问题，人们提出了“主动网络”的概念。 主动网络【l 】概念的提出始于1 9 9 5 年，由美国国防部高级防御计划署 d a r p a ( d e f e n s e a d v a n c e d r e s e a r c h p r o j e c t s a g e n c y ) 在关于网络系统的未来发 展方向的内部讨论会上提出的。当时所探讨的就是现有网络的低标准化速度和 兼容性问题。主动网络为设计和实现嵌入式网络服务提供一般性的框架，其研 究目标旨在增加网络灵活性和可扩展性，并加速网络软件升级的步伐。 主动网络的研究主要经历了三个阶段： 1 、早期的概念模型、体系结构等理论的研究。这个期间定义了主动节点的 体系结构( 节点操作系统n o d e o s 、执行环境e e 和主动应用a a ) ；i e t f 的主 动网络工作组制定了主动网络的帧封装格式1 9 ( a n e p 信头和净荷组成) ，并定 义了a n e p 的具体格式：同时，w e t h e r a l l 和t e n n e n h o u s e 等提出a c t i v ei p 方案 l l o ，把主动应用程序作为可选项嵌入i p 分组的可选项中，这样主动路由器可以 识别并加以执行。 2 、主动网络基础设施如n o d e o s 、e e 、接口规范等的研究开发，这个期间 对主动网络的基础设施进行了大量的研究与探讨。 3 、主动应用的研究开发。主动网络的应用大致可以分为两类：一种是针对 现有网络体系结构下无法圆满解决的技术难题；另一种则是新颖别致的网络新 应用。 除了各个大学在进行主动网络研究开发外，贝尔实验室、i b m 、c i s c o 等 已经研发主动网络原型产品；爱立信、西门子等已经开发出基于主动网络的移 动终端原型和实验环境；美国2 0 0 3 年底在高校和公司建立上千个节点的主动网 络，以供主动网络研究与产品开发，并部分投入商用；欧洲1 2 国联合开发f a i n 计划1 1 1 】，并已经与美国几百个主动节点互连。主动网络已经从理论研究进入到 实际的实验开发和测试阶段。 国内主动网络的研究相对于国外来说较晚。目前国外已经研究实施的与主 动网络有关的项目主要包括：a s p ，a n t s t l 射、c a n e s t l4 1 、s w i t c h w a r e 【1 5 】、 a n n 1 6 、f a i n 、b o w m a n 【1 3 j 、j a n o s l l 7 1 、s a f e t y n e t 1 8 l 、s m a r tp a c k e t s t 9 - 2 0 l 等几 十个项目。 作为一种新兴的网络技术，主动网络已越来越引起国内专家学者的关注。 研究主动网络安全问题具有广阔的拓展空间，其目标旨在针对主动网络的体系 结构和安全需求，指定合理的安全体系来确保主动网络中各资源管理和使用的 安全。 1 2 意义与目的 传统网络中的安全隐患同样存在于主动网络中。不仅如此由于主动数据 包中携带有主动代码，它们在某些程度上可以对资源进行分配、修改等操作， 这些都可能使网络受到恶意程序和有缺陷代码的攻击或影响，因而相对于传统 网络来说，主动网络带来了更多的安全隐患。 在主动网络安全体系中，与传统网络一样，认证【2 1 】、授权、完整性和机密 性在安全保障体系是至关重要的，尤其是认证。日常生活中，认证处处可觅， 它是人们之间相互鉴别的过程，通过你的外形、衣着、走路姿势、说话声音等 等来确认你是谁。对生存来说，鉴别是基础。人们每天都在进行着鉴别。 同样的道理，当使用者登录某一个计算机系统时，他需要向计算机证明他 的身份。同样，计算机也需要向人们证明它自己。在一个机构里面，每个人身 份不一样，所扮演的角色也不一样，拥有不同的机构内资源使用权限，具有不 同的主体身份。同样地，在计算机系统中，不同的主体也有不同的资源使用权 限，具有不同的主体身份标志。通过数字网络认证身份是本文需要解决的最重 要的问题。当某一主体需要访问特定的资源时，系统就必须验证该主体的身份 是否合法，然后再根据其拥有的权限来判定是否允许访问。认证就是判定主体 身份的过程，是安全操作的基本要素。 有效地进行资源控制是必须的，因为资源的访问控制是保障安全的基础， 所以就必须解决好认证问题。在主动网络中，各资源都是具有不同身份的实体， 是允许用户编程的网络，解决主动网络安全的关键问题之一，是如何有效地对 主动网络资源进行访问控制。 本文提出安全认证模型的任务是保证主动网络操作及数据交换的安全性， 包括防止网络攻击、误用、非授权访问、窃取数据等。它通过对用户的身份认 证、网络资源分类定义安全策略、记录日志等方法来实现。安全认证模型需要 提供一个安全策略，根据安全策略确保只有授权的合法用户可以访问受限的网 络资源。 不同的安全要求有不同的认证解决方案，在主动网络中引入认证机制存在 着许多挑战。本文作者针对现有主动网络环境实现案例存在的安全缺陷，分析 2 探讨了主动网络的安全威胁、安全需求和信任模型，提出了一个主动网络下的 安全通信模型，来实现主动网络下信息的安全传输与一个相对安全的管理执行 环境，并在s e n c o m m 环境下加以实现。 本文所做的主要工作如下： 1 分析主动网络系统中存在的安全性问题，比较多个主动节点平台，选择 了主动节点平台s e n c o m m ，对其做详细深入的研究。 2 利用现有的网络安全技术，针对主动网络下主动包和动态加载库安全传 输的需要，设计了一个主动网络下的基于身份认证的信息安全传输模 型。 3 在主动网络平台s e n c o m m 下实现了所设计的安全认证模型的一个原 型，并能够在局域网实验环境下实际运行。 全文共分为七章， 第一章描述了本文研究的背景和意义。 第二章概述了主动网络的相关理论及主动网络的实现方法，以及目前国内 外主动网络的研究现状。 第三章分析了主动网络存在的安全威胁，对目前的一些网络安全技术进行 了简要的阐述。 第四章分析研究了本课题所基于的实验环境a s p 和s e n c o m m ，分析了 s e n c o m m 环境的安全隐患。 第五章提出了基于认证的安全性思想和s e n c o m m 环境下的安全通信模 型。 第六章阐述了怎样搭建安全模型的实验环境，怎样在s e n c o m m 环境下实 现本文所设计的安全通信模型。 第七章为总结和展望，对安全模型进行客观的评价，并对将来的研究工作 进行了展望。 1 3 小结 本章总结和分析传统网络的局限性，提出了主动网络的概念，同时对于主 动网络的研究现状进行了分析并给出了本文的研究目的和意义、文章的结构安 排等。 第二章主动网络概述 主动网络是一个全新的概念。相对于传统网络，主动网络的体系结构t l 3 】 发生了深刻的变化，它在很多方面具有比传统网络明显的优越性，展现了网络 未来可能的发展趋势。本章对主动网络的相关理论和发展现状进行分析与阐述。 2 1 主动网络的由来 2 1 1 传统网络的局限性 传统的计算机网络中的网络节点( 如路由器、网关、交换机) 实现的功能 从本质上讲仅仅是数据包的存储转发【2 2 1 ，因而传统网络只能被动地将数据从一 个节点或终端传输到另一个节点或终端，网络节点只处理数据报头而对数据本 身不会进行新的计算或改变，所以这样的网络又称为被动网络【1 1 ( p a s s i v e n e t w o r k ) 。 传统网络的局限性 2 3 1 表现在；第一，一个新技术从提出到推广应用一般要 经过以下几个过程：协议的标准化、进入硬件供应商的产品以及相关程序的开 发和安装调试等，因而新的协议、标准往往得不到快速应用和推广；第二，采 用协议重叠( o v e r l a y ) 的方式开发应用新的协议技术增加了协议层间的冗余开 销，降低了网络的性能；第三，对数据本身的处理计算工作都限制在终端上， 不能充分利用网络的计算能力。 与此同时，软硬件技术的迅猛发展使得节点的计算能力越来越强大，而花 销却越来越低。随着计算机网络技术和应用的快速发展，新的技术层出不穷， 如第三层交换、w d m 、网络安全技术( 如防火墙、v p n ) 等的出现使得这 种被动的网络体系越来越难以适应新的需求，因为这些新技术设备是各自独立 地“堆积”在网络中，为了能构架一个透用网络基本设施来实现这些新功能、 新技术，就要求未来的网络体系结构应是开放的、可扩展的和可编程的。 2 1 。2 主动网络的提出 鉴于传统网络存在的局限性，人们重新审视现有的网络体系结构，实现了 从传统报文的存储和转发模型，到报文的存储、计算和转发模型1 2 1 。于是便产生 了主动网络的概念。 主动网络的概念是由美国国防部高级防御研究计划署( d e f e n s ea d v a n c e d r e s e a r c hp r o j e c t sa g e n c y ，d a r p a ) 的研究协会于1 9 9 5 年，针对当时网络发展 过程中遇到的几个问题( 8 把新的技术和标准引入现有网络中的困难：b 由于 几个网络协议层的冗余操作丽使网络性能下降；c 在已存在的结构模块中加入 新服务的困难) 而提出的。主动网络方案是使网络节点不仅能转发报文，而且可 4 以通过执行附加程序来对报文进行处理。整个网络上的节点也都是可编程的， 可以执行用户定义的报文处理程序。同时d a r p a 指出未来网络系统应该是运行 时刻可扩展的；网络系统结构应该动态地支持对网络服务的不同程度的控制： 网络报文本身应该是被一种语言描述的可以被网络应用所“裁减”的网络资 源，即网络应用可以根据需要，有选择地使用网络资源；而且网络体系结构应 该是灵活可变的。 主动网络是相对于现有网络而言的。现有网络不对报文进彳亍处理或计算，虽 然现有网络中的路由器和交换机也可以改变报文的报头，但它们对真正的用户 数据却不做任何处理，原封不动地转发用户数据。即使对报头的改变和相关路 由处理也是独立于用户处理和产生这些报文的应用程序。相比之下，在主动网 络中的路由器和交换机可以对网络报文进行用户自定义的计算【4 l 。 主动网络继续沿用存储转发模式，但是区别于传统网络节点被动转发数据 分组，主动网络中的节点可以对经过它的分组进行定制处理。主动网络中的分 组不再只是数据，而是包含有可执行的程序代码。主动节点铪接受、恢复并执 行主动包中的代码，以实现对节点状态的修改、对包的修改或者是传送一个或 以上的分组等功能。主动网络对传统的网络节点兼容，传统的数据包可以和以 前一样被传输。 主动网络具备以下特性： 1 可编程性( p r o g r a m a b l e ) 主动网络的报文、体系结构、服务等可以用一种或多种语言描述。主动网 络最有特色的是可编程性，主动网络的体系结构比传统网络存储一转发复杂，至 少增加计算的功能，即存储一计算辞 发。这种计算能力可以开发出很多方面的 应用。其网络节点的计算能力使得主动网络节点本身具有可编程性，从而使得整 个网络结构也是可编程的。 2 ，移动性( m o b i l i t y ) 主动网络能够传送携带程序的报文( 主动报文) ，主动报文能在不同的网络 平台上流动，流经的节点可以执行主动报文中的程序。所以，主动网络可以成为 移动计算a g e n t 技术通信的基础。 3 可扩展性( e x t e n s i b i l i t y ) 主动网络应具有灵活扩展功能的能力以加速网络革新的步伐，从传统的面 向供应商驱动的网络服务向面向用户驱动豹网络服务转变。 4 互操作性 主动网络必须与i p 世界的网络交换信息，互操作性是开放的网络体系有发 展前途的基础。 综上所述，主动网络可以有效地改善网络性能，可以使用户或第三方在一个 更细粒度层面上创建和裁减服务，可以缩减网络服务提供者开发和实施新的网 络服务的时间，可以为测试新的网络服务提供了非常便利的平台。因此，主动 网络使网络系统更具灵活性和可扩展性。 主动网络使网络的体系结构发生了深刻的变化，有关的研究结果和应用实 例表明，它在很多方面具有比传统网络明显的优越性，主要有以下几个方面： l 、主动网络可加速网络结构的更新1 7 j 主动网络的网络节点有很大的灵活性，它不再是对数据包执行相同的计算 向目的节点传送数据包，而代替以支持相同的可计算模块。在获得权限的 条件下，任何用户都可以把自己的程序发送到节点上并要求执行，任何用户的 程序都可视为是对节点功能的扩充。 2 、使用户参加的网络保护成为可能 主动网络试图设计一个一体机制来统一管理网络上的所有资源和在网络上 传输的数据。这样就允许在每个应用或每个用户的基础上定制自己的安全策略， 其意义由主动网络上已严格定义的语言及其扩展功能来解释。网络设备生产商 只需要生产带有用户希望的基本功能并对网络语言有强大支持的设备，而设备 的扩展功能软件则可以由用户自己来添加，即向网络节点中注入用户程序。 3 、提供智能化网络管理1 2 5 2 6 】 为了提供最有用的网络管理数据，网络必须有一定的智能，以便从诸多的 网络事件中过滤掉对特定用户没有用的网络事件。主动网络技术可以用来实现 网络监视和事件过滤的智能化。主动网络的路由器甚至可以通过向它们的相邻 节点注入自定义的监视和分析程序来对网络事件进行分析和过滤。 2 2 主动网络框架 2 2 1 主动网络体系结构 d a r p a 定义的通用主动网络框架如下1 3 】： 主动网络由一套通过各种网络技术连接在一起的节点( 包括主动节点和非主 动节点) 组成。 每个主动节点运行一个节点操作系统( n o d eo p e r a t i n gs y s t e m 。n o d e o s ) 和一个或多个执行环境( e x e c u t i n ge n v i r o n m e n t ，e e ) 。 节点操作系统负贵节点资源( 连接带宽，c p u 时钟，存储器) 的分配和调 度。 每个执行环境实现一个虚拟机，用来解释抵达节点的主动分组。不同的e e 定义不同的虚拟机；有的可执行任何计算，有的可能仅仅简单地根据i p v 4 的报头来控制分组的传递。 6 用户通过主动应用程序( a c t i v e a p p l i c a t i o n s ，a a s ) 来从主动网络中获得服 务，a a 对e e 提供的虚拟机进行编程以提供端到端的服务。 为此，d a r p a 定义了一个通用的主动网络体系结构，如图2 - i 所示。 图2 - l 主动网络体系结构框架模型 主动节点( a c t i v en o d e ) ：是能够执行主动报文的网络节点，是主动报文的 执行场所。主动节点与通道( c h a n n e l ) 相连，以便从通道收发主动包。 主动报文( a c ti v ep a c k e t ) ：是包含可执行代码或对象的报文。一般以密封 舱( c a p s u l e ) 的形式封装。 主动代码( a c t i v ec o d e ) ：是主动报文中内嵌的。小程序”，是一段程序代码， 能够在主动节点上执行，完成面向应用的定制功能。 主动应用程序( a c t i v ea p p l i c a t i o np r o g r a m ) ：是由一组主动代码组成，运 行在执行环境上，提供应用定制的主动服务功能的程序。 网络体系结构( n e t w o r ka r c h i t e c t u r e ) ：指构成网络的软件和硬件的总称。 在主动网络的体系结构中，主动路由器( a c t i v er o u t e r ) 和传统路由器 ( l e g a c yr o u t e r ) 并存。主动路由器可以编程，能够插入定制的程序；传统路由 器只做报文转发，不对源( s o u r c e ) 和目的( d e s t i n a t i o n ) 之间的通信报文做解 释。 2 2 。2 主动节点构架 d a r p a 主动网络委员会为一个主动节点定义了一个体系结构“1 ( 如图2 2 所 示) ，其结构框架由节点操作系统( n o d e o s ) 、一个或多个执行环境( e e ) 和主动应 用程序( 从) 构成。 节点操作系统( n o d e 0 s ) 为执行环境( e e ) 提供了构造网络的可编程接口所需 要的基本功能，相当于传统操作系统的功能。从分层的角度看，它工作于多个 e e 和底层的物理资源之间，负责分配和调度主动节点的资源，这些资源包括带 宽、c p u 和存储资源等等。n o d e o s 可以支持多个执行环境并存，其接口定义了计 算、存储和通信调度资源的抽象虚拟机。此外，n o d e o s 还为e e 提供安全保障， 在主动节点之间实现分组路由。 郾觑 矬邋存储 图2 - 2 主动节点结构 e e 定义了一个虚拟机v m ( v i r t u a lm a c h i n e ) 和可编程接口。它们都由主动 报文中所包含的指令或可执行的代码控制，负责对到达节点的主动报文进行解 释及处理，为用户提供端到端的网络服务接口。一个主动节点中允许有多个可 执行环境存在，不同的可执行环境定义了不同的虚拟机。e e 在执行主动分组过 程中通过n o d e o s 提供的服务接口调用所需要的资源。这样，既可以限制每个e e 对节点资源的使用，保证多个髓可以公平地使用节点资源，又可以隔离每个e e 的处理，防范由于某个主动分组无意或者恶意地过多使用网络节点资源而妨碍 主动节点的正常运行。一个主动应用是通过执行环境提供的a p i 定制网络服务 的。每一个节点都有唯一的一个管理执行环境，可以通过这个管理执行环境来 配置节点和策略，例如维护本节点的安全策略数据库、载入新的执行环境、升 级或配置执行环境以及支持远程的网管等。 主动网络的服务是通过主动应用从( a c t i v ea p p l i c a t i o n ) 提供给用户的。 从是一个应用程序，它由一个特定的e e 提供的虚拟机来执行，并通过e e 提供 的接口向端用户提供端到端的服务。 2 2 3 主动包格式及处理过程1 2 7 i 1 主动包格式 为了使主动节点间能够相互识别主动分组，并在收到时确定处理它们所需 要的e e ，以及相互间能安全地传递，d a r p a 主动网络工作组定义了主动网络封 装协议a n e p j ( 图2 3 所示) ，并作为i e t f 的草案。 8 0vtt 椭期 ：鼋鞴 能舯撒 a n e p 定义了主动分组且在现有的网络环境下( i p v 4 和i p v 6 的网络环境， 以及一般数据链路环境) 的封装格式，指示执行环境e e 的类型标识域，方便e e 对主动分组的处理以及对该分组进行安全控制。该报文的格式是一种通用的、 可扩展的。适用于各种主动网络的执行环境的可操作的主动报文格式，如图2 - 4 所示 艇本昔安垒填吐类型标诅协 n e p 头长废 懈p 包长度 铁证长度 羧事签名长度 认 芷 披枣簋名 蠼璃 有绶负戗 撼羁螂定 图2 4 主动包格式 包括选项在内，所有超过一个字节的字段都是按网络字节顺序排列的。 版本号字段表示使用中的头部格式，当前的版本号字段值为l 。当a n e p 变 更时，这个字段会发生变化，如果一个主动节点收到一个具有不可识别版本号 的包，这个包会被丢弃。这个字段的长度是8 比特。 安全模式字段也是8 比特。在此协议的版本1 中，只有一些最重要的比特 被使用，用来表示当包的类型标识i d 字段不能被识别时，节点所应做的处理。 如果这个值是0 ，节点将尝试使用缺省路由技术转发该包，处理所需要的信息包 含在选项字段中，如果这个值是1 ，节点将丢弃该包，这个字段的其它位将被忽 略。 类型标识i d 字段表示了包属于哪个执行环境，该字段的长度也是1 6 比特。 类型标识i d 是由a n a n a ( a c t i v en e t w o r k sa s s i g n e dn u m b e r sa u t h o r i t y ) 分配 的。0 被保留给未来的网络层错误处理。如果这个字段不能被识别，那么节点将 检查安全模式字段，以决定如何处理t a n e p 头长度字段规定了以3 2 比特为单位的a n e p 头部的长度。如果包头部 没有选项字段，这个字段的值是2 。这个字段的长度为1 6 比特。 2 分组处理过程 甜i p 数据包。 一1 。、： 。幽塑塑f 一i 吻 购 - 固 - 匣回 鬯 j 、嘀 r = 1 扣 1 耻3 j ，回一 锨鼍戡曩 硅蟪 。触鼍戡誓 j 图2 - 5 井绱酌 k m h 1 0 在输出这一侧，执行环境将处理过的分组送入输出通道，在输出通道内要完成 协议处理和输出队列的调度。这样，一个完整的处理过程需要经过这些步骤： 链路输入，分类，输入协议处理，执行环境主动应用处理，输出协议处理，输 出调度，链路输出。需要强调的是，并不是每一个输入的分组都对应个输出 分组，因为执行环境可能会将若干个分组的内容聚合起来作为一个分组，或是 自己产生分组送出。节点操作系统需要对本节点的计算和传输资源进行合理的 管理以防止某一个出错的执行环境占用所有的资源。例如，它保证了一个出错 的e e 不会耗尽节点所有的计算资源。它也能提供各种服务，例如预留带宽，实 现公平的服务等。在输入通道只对计算资源进行计划，而在输出通道则对计算 和传输资源都进行了计划。 2 3 主动网络的实现途径 分离方法：也称为可编程结点( 交换机路由器) 方法。这里，程序将分别 插入可编程的主动结点，与实际的数据包分离，并可以在网络中传输。“用户” 能将程序发送至网络结点( 交换机路由器) ，在结点中被存储，然后当数据抵 达结点时执行程序，对数据进行处理。数据中包含引导结点如何处理或处理哪 些程序的信息。 集成方法：集成方法也称为压缩方法，程序被集成到每一个数据包，然后 发送到网络，每一个信息或包都要求包含一个程序段，说明是否可能嵌入数据。 当这些包到达主动结点时，主动结点将解释这些程序，然后将程序的嵌入数据 发出。此过程类似p o s t s c r i p t 代码，实际数据嵌入到程序段中，从而使打印机 可阱识别。在这种方法中，每一个主动结点都有一种内置的机制来下载压缩代 码，一种执行环境来执行这些代码，并有一些长期应用的存储器来存储信息或 恢复信息。 2 4 主动网络的研究热点 由于主动网络提出了一个全新的概念，使网络的体系结构发生了深刻的变 化，有关的研究结果和应用实例表明，它在很多方面具有比传统网络明显的优 越性，展现了网络未来可能的发展趋势，所以也掀起了对它的研究热潮。 目前，有关主动网络的研究主要包括： ( 1 ) 体系结构。即怎样构架一个主动网络、如何支持网络的可扩展或可裁 减。如何开放编程接口等基本组成要素方面的问题。 ( 2 ) 安全性。主动网络作为一个可编程系统，其安全性问题具有至关重要 的意义。通常，一个系统的安全性可分为两个方面：l 、合法用户操作出错时引 发的系统安全性( s a f i y ) 问题，称之为安全容错技术。2 、非法用户入侵或超越 权限使用所引发的系统安全性( s e c u r i t y ) 问题，称之为安全防护技术。第二类 安全性导致了网络安全服务包括四个方面认证：访问控制、机密性、完整性和 不可抵赖性。 ( 3 ) 应用。利用主动网络的基础设施更好地解决诸多遗留的网络问题是主 动网络研究的另一个重点，已有的研究成果已经在网络管理、拥塞控制、多目 传输和w e bc a c h e 等方面取得了可喜的成果。 ( 4 ) 可编程性。如何具体实现主动网络的可编程性、如何描述和解释编程 服务，如何管理和配置各种编程服务是主动网络研究的又一个重要内容。目前， 采用类型语言，如j a v a 语言等在主动网的研究中得到了广泛的应用。 在体系结构方面，主动网络的三层框架结构得到了广泛的认可，研究热点 主要集中的性能和安全两个方面，即如何提高主动网络的性能和强化其安全性。 如高性能主动路由器的设计、通用的主动服务实施、主动网的定制服务、强安 全的主动网络设计、主动任务的资源分配等。 在主动网络应用方面的研究非常广泛【3 翻，它们都是利用了主动网络独特的 技术优势，例如： l 、在网络拥塞的控制方面，利用主动节点的处理能力根据本节点负载信息 对未来的节点状况进行预测，利用提前反馈机制，达到很好地控制拥塞，解决 传统网络中拥塞的探测和控制的滞后效应【2 8 , 2 9 1 。 2 、在分布协同的网络管理方面，利用主动网络和移动代理( m o b i l e a g e n t ) 实现对网络状态的实时感知、预测、协作，动态实施网络监管，能克服目前的 集中式网络管理的缺陷1 3 0 川】。 3 、在网络的多播安全性和流量控制方面，传统的多播通信存在很多难以解 决的问题。如：多播进程的授权、完整性和隐私的安全性问题，n a c k 爆炸问 题。利用主动网络很容易实施安全策略，实现安全多播：利用主动节点进行数 据缓存、局部多播、定制服务等解决n a c k 爆炸问题，在带宽占用、数据恢复 延时方面有较好的性能改善【3 2 1 。 4 、在w e b 缓存方面，在网络中引入主动c a c h e ，克服了传统i n t e m e t 中需 要静态配置c a c h e 的缺点，主动c a c h e 尽可能在本地缓存w e b 数据，优化了带 宽使用，通过动态配置，实现了c a c h e 的重定向和负载平，衡【3 3 1 。 5 、在网络安全方面，提出了应用于无线设备与i n t e r a c t 互连的漫游主动过 滤防火墙【6 1 】，应用主动网络实现对d d o s 的攻击源的自动追溯及抵御 3 4 1 等。 在主动应用领域，不断有新的设想、新的技术提出，还有许多应用技术有 待探讨。 1 2 2 5 国内外著名研究项目 国内对主动网络的研究还处于起步阶段，但己经引起了有关方面的注意。 国家“十五”、“8 6 3 ”计划中“信息技术领域通信技术主题课题申请指南”的 “新一代信息网创新技术研究( 开放课题) ”将主动网络技术列为其中个方向。 其它支持主动网络研究的基金项目或受资助单位还有：国家自然科学基金( 上海 交大、北邮国家重点实验室) 、国家”9 7 3 ”信息技术与高性能软件基础规划项目 ( 东南大学) 、国防科研基金( 电子科大光线传输与通信系统技术实验室) 。南京 大学、西安交通大学等单位或组织己开发出自己的主动网络原型系统。以下是 国际上几个知名的主动网络研究成果，其中的大部分后来相继成为o p e n s i g 组 织的i e e e p 系列标准之一或i e r f 组织的r f c 规范( 草案) 。 a n t s ( a c t i v e n e t w o r k t r a n