（计算机系统结构专业论文）主动网络安全体系结构模型的设计.pdf

华中科技大学硕士学位论文 摘要 主动网络是一个全新的网络体系结构，其网络可编程特性给网络安全带来了严 重的挑战。与传统被动网络相比，主动网络的安全保护更显得至关重要。 分析了主动网络中存在的安全问题以及系统设计者必须考虑的安全因素，论述 了主动网络的安全基本模型关系模型和威胁模型，以及主动网络的安全需求， 并给出了保护主动网络安全性的一些可行方案。 ， 提出了一般主动网络安全体系结构模型。f 该安全模型是基于主动网络的安全关 系模型、威胁模型并满足主动网络安全需求的。它包括认证、授权、策略、加密和 数字签名等。使用认证来核实报文发送者的身份，使用加密和数字签名来保护主动 报文的完整性，使用授权和策略来阻止非法引用以及对主动节点的资源进行有控制 地访问。基于该机制实现的安全设施可作为通用的网络组件来构建安全的主动网络j 接着，为了改善上述安全模型实施复杂、网络负载较重以及性能低下等缺陷， 设计了另一种基于i p s e c 虚拟专用网实现的主动网络安全体系结构。该系统用a h 协议来保证主动报文的完整性和报文发起者身份的真实性，用e s p 协议来保证主动 报文的机密性，以虚拟隧道为基本实体单位来实施授权和访问控制策略。 最后，分析比较了两种体系结构的复杂度和性能，结论认为后者具有实施更简 单、网络负载更轻、安全性更好，从而性能更高等特性，同时能够与原有的i p s e c 实现方案完全兼容。 关键词：主动网痞妥，主劫苇轰体系结构，主劫冶包，虚霸；用网 i 华中科技大学硕士学位论文 a b s t r a c t t h ea c t i v en e t w o r ki san o v e ln e t w o r ka r c h i t e c t u r e ，b u ti tc r e a t e ss i g n i f i c a n tn e w c h a l l e n g e s f o rn e t w o r kb e c a u s eo fi t s p r o g r a m m a b i l i t y c o m p a r i n g w i t l lt r a d i t i o n a l p a s s i v en e t w o r k ，s e c u r i t yp r o t e c t i o no f t h e a c t i v en e t w o r ki se s p e c i a l l ym o r e i m p o r t a n t f i r s t l y , t h i sp a p e rb e g i u s w i t hs o m es e c u r i t yi s s u e so fa c t i v en e t w o r ka n da n e n u m e r a t i o no ft h ec h a l l e n g e sf o rs y s t e md e s i g n e r s t h e ni td i s c u s s e st h eb a s i cm o d e l s ( i e a r e l a t i o nm o d e la n dat h r e a dm o d e l ) a n dt h e s e c u r i t yr e q u i r e m e n t sf o ra c t i v e n e t w o r k t h i r d l y , i tp r o p o s e ss o m e f e a s i b l em e t h o d st op r o t e c tt h es e c u r i t yo f i t a g e n e r a l - p u r p o s ea c t i v en e t w o r ks c c u e cs y s t e ma r c h i t e c t u r em o d e lb a s e do nt h e s e m o d e l sa n d s e c u r i t yr e q u i r e m e n t s i st h e n p r e s e n t e d t h i s s e c u r em o d e li n c l u d e s a u t h e n t i c a t i o n , a u t h o r i z a t i o n , p o l i c y , e n c r y p t i o n ，d i g i t a ls i g n a t u r e ，e t c a u t h e n t i c a t i o ni s u s e dt o v e r i f y t h e i d e n t i t y o fp a c k e t s s e n d e r e n c r y p t i o na n dd i g i t a ls i g n a t u r e a r e e m p l o y e dt op r o t e c t t h e i n t e g r i t y o fa c t i v ep a c k e t s a u t h o r i z a t i o na n dp o l i c i e sa r e e n f o r c e dt oi n h i b i ti u e g a lr e f e r e n c e sa n dc o n t r o lt h ea c c e s st ot h er e s o u r c e so fa c t i v en o d e s e c u r en e t w o r ki n f r a s t r u c t u r eb a s e do nt h i sm o d e lc a nb eu s e da sag e n e r a ln e t w o r k c o m p o n e n t t ob u i l ds e c u r ea c t i v en e t w o r k s a n o t h e rs e c u l f em o d e lb a s e do ni p s e ev p ni sc o m e u p w i t ht or e d u c et h e c o m p l e x i t y a n do v e r l o a do ft h ea b o v em o d e l i nt h i sm o d e l a ha n de s p a r ea p p l i e dt op r o t e c tt h e i n t e g r i t ya n dc o n f i d e n t i a l i t yo f t h ea c t i v ep a c k e t sd i s t i n g u i s h i n g l y , a n dv i r t u a lt u n n e l sa r e e x p l o i t e d t oc a n - yo u ta u t h o r i z a t i o na n da c c e s sc o n t r o l p o l i c i e s f i l l a l l y w ec o m p a r et h er x r f o r m a n c ea n dc o m p l e x i t yo ft h e s et w om o d e l s ，i t c o n c l u d e st h a tt h es e c o n dm o d e li s s i m p l e r , s e c u r e ra n dm o r ee f f i c i e n t ，a n da l s o c o m p a t i b l ew i t h c u r r e n ti p s e c i m p l e m e n t a t i o n k e y w o r d s ：a c t i v en e t w o r k s e c u r i t y , a c t i v en o d ea r c h i t e c t u r e ，c a p s u l e ，v p n h 华中科技大学硕士学位论文 1 绪论 当前的i n t c m e t 主要是被动传送数据，网络系统对数据本身的语义不作分析、理 解，扮演网络计算的角色很有限，因而称为被动网络( p a s s i v e n e t w o r k ) 。随着硬件 技术的突飞猛进，新技术如帧中继、a t m 、无线网络技术和移动通信的发展，对网 络系统软件提出了新的要求；新的服务如信息的分布与融合( i n f o r m a t i o nd i s t r i b u t i o n a n df u s i o n ) 、视频会议等的出现，必须改造传统的网络协议以适应新的应用的需要。 但是，在传统分层协议体系结构的网络上开发新的协议并不合适【l 】，协议分层 的开销很大，如果需在i p 层增加新功能则包格式及其语义也要相应改变，如i p 层 从i p v 4 到i p v 6 。因此，传统网络要使用当前快速发展的上层应用和底层网络技术 已力不从心，成为互联网的发展瓶颈。 1 1 主动网络概述 网络研究界为了解决当前互联网络模型存在的上述问题，对可编程网络体系结 构进行了广泛的研究，提出了主动网络a n ( a c t i v e n e t w o r k ) 2 - 3 模型。其基本思想 是使用一种可移动编程语言的程序替换i p 头，每个中间节点提供一个运行环境解释 执行包中携带的程序或利用其携带的参数执行已在节点上的程序，由程序决定对包 的具体处理操作，不同的体系结构其具体实现有差异。概括地讲，主动网络具备以 下特点【4 l ： 1 可编程性【5 i ：主动网络的报文可以用一种或多种语言描述，从而成为网络服 务的“裁剪”资源。在主动网络中，只需标准化网络节点的编程和节点资源 的描述和分配就可以加速协议的开发，其协议可动态部署，不需标准化仲裁 机构。 2 可计算性：与传统的网络节点不同，主动网络的主动节点不只是简单地存储 转发各种数据，而具有很强的计算能力，其计算分布在网络的各个主动节点 上，能够对流经它的数据进行语义分析、理解、计算等处理； 华中科技大学硕士学位论文 3 可移动性：主动网络能够传递封装有可执行代码的主动报文，主动报文可以 在主动节点中移动，流经的主动节点可以获取主动报文中的代码而执行，以 便有目的地收集并处理被管资源的数据； 4 可动态配置性：用户开发的新业务可通过主动报文动态地安装到被管设备， 从而可以减少新网络业务的开发和加载时间，减少了对网络维护的开销； 5 健壮性：主动网络具有强大的生命力，能自我复制、自我再生、自我发展、 自我保护。 1 2 主动网络的优势 主动网络的目的是使得网络智能化，其业务传输与业务控制分离的思想是与智 能网相同的。主动网络提供了可编程的平台，通过向主动节点注入代码或其它信息 来获取或修改主动网络节点上的网络服务。这种模式( p a r a d i 蛐) 提供了许多优点， 包括可以快速地开发和使用新的网络协议，以及根据不同用户组的需求制定不同的 服务类型。 1 2 1 能够加快网络基础设施服务的实施和更新 主动网络的中间节点有很大的灵活性，它不再是对数据包执行相同的计算 向目的节点传送数据包，而代替以支持相同的可计算模块，也就是主动网络语言的 预定义功能。任何用户都可以把自己的程序发送到节点上并要求执行，任何用户的 程序都可视为是对节点功能的扩充。这样傲的结果实际上就是把网络结构和技术的 更新工作分配给所有的用户而不再仅仅是网络专家。网络中也不再需要为每一种新 的功能制定新的标准了，只需要制定主动网络语言的标准。任何新功能或新协议的 开发都是编制新的主动网络应用程序的过程。这些新协议和功能的应用也简化到只 是把程序代码发送到需要扩展这一功能的节点上的过程。显然，在这种用户推动的 主动网络中，技术更新要快得多。这样，就可以从根本上克服传统网络( 如因特网) 存在的服务实旋和更新方面的困难。 华中科技大学硕士学位论文 1 2 2 能够支持传统网络不能支持和不能有效支持的网络应用 传统网络节点只是“被动”地转发用户数据；而主动网络节点则可以对用户数 据进行一定的计算处理，如软状态存储、数据合并、数据包过滤等。因此，主动网 可以更好的满足一些网络应用，如在线拍卖、可靠多播等的特殊网络服务需求。 1 2 3能够支持用户参加的网络保护 现有的网络是硬件与软件的结合。象防火墙这样的服务是作为一种特定的附加 功能加入网络中的，虽然生产商在防火墙的软件上留有一定的配置余地，可以让用 户配置防火墙的功能，但是它的基本功能是不变的，它只对信息来源进行检查并屏 蔽用户不希望的数据。 相比之下，主动网络可以很好地解决这个问题。因为主动网络的体系结构是硬 件与软件分离的。主动网络试图设计一个一体机制来统一管理网络上的所有资源和 在网络上传输的数据。这样就允许我们在每个应用或每个用户的基础上定制我们自 己的安全策略。其意义由主动网络上已严格定义的语言及其扩展功能来解释。网络 设备生产商只需要生产带有用户希望的基本功能并对网络语言有强大支持的设备， 而设备的扩展功能则可以由用户自己来添加，即向网络节点中注入用户程序。 1 2 4 能够提供智能化网络管理 现在，对网络的许多管理工作无非是收集、比较和分析数据。为了提供最有用 的网络管理数据，网络必须有一定的智能，以便从诸多的网络事件中滤掉对特定的 用户发现网络问题没用的事件。主动网络技术可以用来实现网络监视和事件过滤的 智能。主动网络的路由器甚至可以通过向它们的相邻节点注入自定义的监视和分析 程序来对网络事件进行分析和过滤。 1 3 主动网络国内外研究现状 华中科技大学硕士学位论文 工作组，智能网研究组。d a r p a 根据m b o n e ( m u l t i c a s tb o n e ) 的成功经验，现 在已经建立了a b o n e ( a c t i v en e t w o r kb o r i c ) ，用于运行和检测a n 技术的阶段性 研究成果。i e e e p l 5 2 0 定义了网络的应用可编程接口a p i ( a p p l i c a t i o n p r o g r a m m i n g i n t e r f a c e ) 【6 】。针对电路交换网络、a t m 交换网络和p 网络提出统一的控制体系结 构，提出了p 1 5 2 0 参考模型，定义了四层模型以及层与层之间的接口。 下面就主动网络的几个主要解决方案作一简要介绍。 1 3 1a n t s a n t s ( a c t i v en e t w o r kt o o lk i t s ) 【7 】是m i t 开发的主动网络工具集。是一个最 为流行的基于j a v a 编程语言的执行环境。它采用了移动代码技术使得新协议能够 灵活地配置到端系统和中介节点上。a n t s 结构中有三个组件：主动包( c a p s u l e ) 、 程序代码分布系统和主动代码执行环境。 主动包使用了具有代码发布机制的封装( c a p s u l e ) 方法，代替原来的i p 数据报， 封装体的格式如图1 1 所示。其中协议类型是一个m d 5 指纹加密的程序代码索w i ( 协 议代码指纹) ，从而大大减少了协议欺骗的风险。根据该索引就可以获得处理数据报 的程序代码，协议的执行是限定在对共享头优先访问的环境中，阻止了失控协议的 损害。 协议类型 j 共事头 l 报头其余部分 i 载荷 i l ( p r o t o c o l c a p s u l e ) i ( s h a r e dh e a d e r ) i ( r e s to fh e a d e r ) l ( p a y l o a d ) | 图1 1a n t s 封装报文格式 程序代码分布系统是用于在数据报的传输路径上传送程序代码的一个简单的轻 量级协议。当主动包到达一个节点，该节点首先在自己的程序代码库中查找相应的 程序代码。如果程序代码存在，主动包将被立即处理。如果程序代码不在，该节点 沿原路径向前一个节点发一个请求去申请相应的程序代码，当然，对主动包的处理 将被延迟一段时间。如果前一节点找到了所需程序代码段，便会立即返回该程序代 码段，否则，继续向更前面的节点发送请求。程序代码索引机制允许完成较大较复 杂的协议，因为程序代码没有在主动包中传输，而且程序代码索引有安全性的优点。 旦王e 笙堡璺垡曼茎曼! 塑婴i 堂簦整垄量全堇盛丝塑重堑盐兰：坠型堑墨壁垡里 4 华中科技大学硕士学位论文 是否正确或已被改动或被欺骗。而且a n t s 还建议，程序代码由服务提供者预先检 查正确性、资源使用和安全等有关问题。 此外，节点提供了一个具有网络安全和资源管理的执行模型。 1 3 2s w i t c h w a r e s w i t c h w a r e 8 9 项目是宾夕法尼亚大学研究和发展起来的。它具有一个三层的网 络体系结构：交换点( s w i t c b l e t ) 、安全主动路由器( s e c u r ea c t i v er o m e r ) 和安全 主动网络环境s a n e ( s e c u r e a c t i v e n e t w o r k e n v i r o n m e n t ) ，如图1 2 所示。 交换点 ( s w i t c h l e t ) 安全主动路由嚣体系结构 ( s e c u r ea c t i v er o u t e r ) 安全主动网络环境 ( s a n e ) n e t s c r i p t 代理 连接性服务资源管理代理服务 ( c o n n e c t i v i t y ( r e s o u r c e ( a g e n t s e r v i c e s ) m a n a g e m e n t ) s e r v i c e s ) 盎撤链路( v i r t u a ll i n k s ) 物理链路( p h y s i c a ll i n k s ) 图i 2s w i t c h w a r e 体系结构图1 3n e t s c r i p tv n e 体系结构 交换点由主动包( a c t i v ep a c k e t s ) 和主动扩展( a c t i v ee x t e n s i o n s ) 组成，提供 了网络服务的基本原语，能够动态地加载，主要用于扩展主动节点的功能，负责网 络安全审计即程序验证，并解释执行主动报文中的程序。主动包用一个程序代码段 和一个数据段来代替口包。其不同于a n t s 的主动包之处在于，它的主动包中包含 的是实际的程序代码段而不是程序代码索引。因为程序代码合并到主动包中，程序 代码必须是压缩的。p l a n ( p r o g r a m m i n gl a n g u a g e f o r a c t i v en e t w o r k ) 【1 川就是为此 而设计的一种高级编程语言。主动扩展驻留在主动节点内，不必有良好的可移动性， 克服了程序代码的大小受限的问题，所以可以用一个更一般性的可编程语言来写， 从而解决了主动包内含程序功能有限的问题。主动包和主动扩展相结合就可以实现 复杂而灵活的协议了。 安全主动路由器是建立在s a n e 上的一个中间过渡层；s a n e 是s w i t c h w a r e 的 垫堑丕撞：堡垂工丛旦鳖鱼堂型鳖全堡壁堡生堑垄笪室全= 鍪丝： 华中科技大学硕士学位论文 1 3 3n e t s c r i p t n e t s c r i p t 1 1 】是哥仑比亚大学研制的一种用于实现协议和服务的编程语言和环 境，对移动代理进行编程。能在本地或远程控制程序的运行。是一种基于数据流模 型的主动网络结构，提出了虚拟网络结构，解决了节点功能的可编程性，保证了可 伸缩网络节点与协议栈的互操作性。n e t s c d p t 的核心是由分布在多个节点上的程序 组成的虚拟网络引擎v n e ( v i r t u a ln e t w o r ke n g i n e ) ，如图1 3 所示。其中，v n e 之间用虚拟连接v l ( v i r t u a ll i n k s ) 相连，代理( a g e n t s ) 主要处理v n e 间报文传 输。a g e n t 服务层( a g e n ts e r v i c e s ) 是n e t s c r i p t 代理程序的多线程执行环境，支持 代理程序的执行、控制及传输。 网络节点的基本功能是处理数据包流和管理网络资源，因此n e t s c r i p t 的基本原 语的功能也关注这两点。n e t s c r i p t 可以用来构成各种对数据包流的处理，并可以随 时配置它以适应新的变化。它可以用来构成路由协议、协议分析、防火墙等功能。 一组n e t s c r i p t 主动元素的集合形成一个虚拟网络引擎( v m u a l n e t w o r ke n g i n e ) ，简 称v n e 。在n e t s c r i p t 编程的网络中，网络的功能扩展可由用户对v n e 的扩展来实 现。 1 3 4p a n p a n ( p r a c t i c a l a c t i v e n e t w o r k ) 0 2 1 为建立实际主动网络提供一个基础，p a n 目标 是提供一个执行移动代码的执行环境并取得与被动网络可以相媲美的性能。p a n 进 一步改善了a n t s 结构的性能，它与l i n u x 内核有更紧密的接口，允许执行和发布 不安全的目标程序代码： p a n 通过四种方法取得性能：在内核中处理单元；减少数据复制；缓存代码为立 即执行：为单元提供灵活执行环境。 处理单元在内核，而不是在用户层，避免在内核与用户空间之间拷贝数据。提 供一致内存管理系统，p a n 使用一种和a n t s 相似的主动网络结构，一个单元含有它 传输的数据和指向代码对象的指针。这些代码对象含有在单元传输经过的每个节点 时被评价的指令。这些指令能直接指示节点将单元传输到目的地、更改单元的内容、 6 华中科技大学硕士学位论文 将单元提交给应用、访问节点的状态。如果一个代码对象不能在节点中得到，则向 上游节点发出装载请求，这和a n t s 一样。 1 3 5s m a r tp a c k e t b b n 公司的s m a r tp a c k e t t 3 的结构是由四部分组成的：s m a r tp a c k e t 报文格 式和封装说明，高层语言说明，提供执行环境的虚拟机和安全结构。 因为s m a r tp a c k e t 在每个报文包含执行代码，所以危险是很大的，s m a r tp a c k e t 通过下面几种方法来保护其安全：有正确的程序评价：确保程序正确；程序来自授 权用户；运行环境对程序进行限制，能捕获程序缺陷，确保对节点没有损害。 1 4本章小结 本章介绍了主动网络概念，指出了主动网络与传统网络相比的优势，并重点分 析了国内外关于主动网络研究的实例，这些主动网络系统中考虑了一些安全方面的 问题，他们的方法大致有以下几种： 1 使用强类型语言限制资源访问，如s w i t c h w a r e 采用了p l a n 语言，这种方 法能够保证一定的安全，但与所采用的语言有密切的关系，不具有通用性。 2 直接限定最大值，如在主动包中限定a c 的最大跳数，从而避免耗费过多的 资源，由于不同a c 所访问的资源量及节点环境的动态性，该值难以确定。 3 使用硬件：如s w i t c h w a r e 在底层使用硬件a e g i s 来安全地引导主动节点操 作系统，这种基于硬件的安全策略使其通用性受到了影响。 4 使用认证和授权，如s m a r tp a c k e t 采用了认证技术对信包的创建者进行身份 认证，采用访问控制列表a c l ( a c c e s sc o n t r o ll i s t ) 来仲裁主动信包的访 问权限和可访问的资源，该方法需修改主动网络封装协议。 可见，国外研究的一些主动网络系统，或者由于其侧重点不同而对安全性考患 得很少，或者虽然考虑了一些，但采用了特殊技术使得其安全机制不具通用性。这 在“主动网络目前必须与传统p 网络相兼容”【i4 】的情况下不能作为构建安全主动 网络体系结构的基础设施，从而限制了主动网络的发展与应用。 7 华中科技大学硕士学位论文 2 主动网络及其应用 2 1主动网络主要研究内容 主动网在网络体系结构的发展上是一次质的飞跃，它使网络成为“运行时可扩 展的网络”l l s l 。主动网络的互操作性统一于一种计算模型，而不是统一于标准化的 报文格式与寻址方式。但作为可编程的网络基础设施，在提供灵活性的同时，可用 性、安全性、性能也是其应考虑的主要问题。 目前，主动网络技术的研究主要涉及以下几个方面： 2 1 1 主动节点的模型 目前的网络体系结构都基于i s o 的开放系统互联参考模型o s i r m ( o p e ns y s t e m i n t e r c o n n e c t i o nr e f e r e n c em o d e l ) 。实践证明，该模型是非常有效的。但是，在 这种模型中，网络层及其以下各层所提供的服务都与用户和具体的应用无关，所以 它不适用于a n 。 2 1 2 主动节点的运行环境 该环境至少应该具备以下功能：主动包的识别、任务的调度、向应用提供可共 享的资源；限制应用对某些公共资源的调用能力。 2 1 3 主动节点的开发环境 研究主动节点上应该具有的基类。这些基类的实例可以提供各种应用协议所需 的基本服务。 2 1 4 主动包的传输机制 该机制用于把主动包从源节点传送到目标节点。一个好的机制应该是高效的， 华中科技大学硕士学位论文 并且可以根据节点的连接的变化进行动态调整，还应该不影响网络的健壮性。 2 2主动网络主要实现方案 目前，主动网络有两种实现方案：可编程交换机方案和封装方案。 2 2 1 可编程交换机 可编程交换机方案【l6 】的思想是保留现在的报文包格式，但是提供一个分离机制， 对主动报文的处理和分发程序代码到网络节点的过程是两种相互独立的机制。 在这种方案中，如果要让中间节点执行用户定义的功能，就需要用户通过网络 管理传输信道将定制好的服务处理程序插入到相应的主动节点( 如路由器) 中这 样程序会被暂时储存在节点的存储空间里。然后用户发送想要处理的数据报文，节 点会根据报文头的信息来确定应该用哪个用户程序来处理。 主动报文像在传统网络中那样被传输，当报文按照它在今天网络中的传输方式 到达这些可编程交换节点时，可编程交换节点分析报文头，如果报文是属于程序代 码类型，则节点经过安全验证后接受这部分注入代码，如果代码属于数据类型，则 根据其头部信息来选择相应的已经驻留在节点中的用户处理程序对其进行处理。如 果用户不想再用此程序来处理报文，可以简单地发信息告诉节点放弃原先的程序； 如果用户想采用新的程序来处理自己的报文，他也只需发送新的程序到节点上。可 编程交换机方案对处理大报文的应用尤其适合。 2 2 2 封装体 所谓“封装体( c a p s u l e ) ”指的是不仅仅包含数据，而且还包含了小程序段( 至 少一条指令) 的主动信包。这种封装数据和程序的报文被形象地称之为c a p s u l e i ”】， 它改变了现在的报文格式。此方案将数据和程序代码封装到同一报文( 封装体) 中， 然后在主动网络中传输。当一个封装体到达主动节点时，它的内容被按照一定的规 则进行处理，如果通过安全鉴定并符合处理规则，则封装体的内容被分配到一个暂 时的执行环境中进行处理。 9 华中科技大学硕士学位论文 早期的主动网络大多建立在该策略的基础上。c a p s u l e 中的小程序可以被主动网 络的中间节点的路由器和交换机识别并在中间节点上执行，因此报文的传输过程就 是它被执行的过程。网络内的节点也应是主动的，因为它们须执行“主动信包”中 的程序代码，执行程序代码的结果可能是主动携带所需的计算数据，或者是要求改 变节点工作状态的指令信息，但在各个主动节点中不驻留任何主动代码，它们仅为 主动信包提供必要的代码执行环境。 在主动网络的中间节点上，除了现有的路由选择和交换功能外还有三个新的元 素：一个代码调用机制，用来将代码从c a p s u l e 中调到节点中；一个临时的执行环 境，用来执行从c a p s u l e 中调入的代码；一个永久的存储空间。当c a p s u l e 到达节点 时，代码调用机制就会把c a p s u l e 中的代码调出来连同c a p s u l e 中的数据一起放入一 个临时的执行环境中。然后程序可以在这个临时环境中执行，并允许有限制地访问 节点的内存或是其它存储元素等资源。c a p s u l e 程序也被允许从节点的永久性存储空 间( 高速缓存) 中取出或放入数据。当程序执行完毕之后，它所在的临时环境就被 撤销，它所占用的存储空间也被释放。程序执行的结果可能是产生更多的c a p s u l e 并传输到网络上的其它节点去，也可能仅仅是改变节点的缓冲存储器的内容。 2 3 主动信包的格式 根据设计思想的不同，主动报文目前主要有下面两种格式：a n e p 封装报文格 式( 集成方案) ，它较适合面向包的无连接网络( 如p ) ；另一种是a c t i v e i p 报文格 式( 离散方案) ，它适合面向连接的网络。 2 3 1 a n e p 封装报文格式 为了保证主动节点能够动态加载和执行定制的程序，主动网络工作组定义了主 动数据报文的语法和语义草案a n e p ( a c t i v en e t w o r ke n c a p s u l a t i o np r o t o c 0 1 ) 【1 8 1 。 该报文的格式是一种通用的、可扩展的，并且适于各种主动网络执行环境的可互操 作的主动报文格式，能允许现存的网络结构在主动网络中使用。如图2 1 所示。程 序将在接收节点被执行，而这些节点是在该协议所定义的环境中。 1 0 华中科技大学硕士学位论文 图2 1a n e p 封装报文格式 主动代码指针指示e e 在处理c a p s u l e 时所需要调用的a c ，实际上是一个a c 标识符。当所指示的a c 在本地代码库中不存在时，e e 根据分布式的主动代码分发 机制请求动态加载。 数据参数是a c 执行时所需要的相应参数。 控制策略用于主动节点授权a c 访问节点资源。 证书用于a n n 对主动信包进行认证，采用基于p k i t l 9 j 的公钥认证机制，所以主 体在创建c a p s u l e 前必须从证书中心( c e r t i f i c a t e a u t h o r i t y ，c a ) 处获得证书。 数字签名用于对c a p s u l e 进行完整性检测，防止c a p s u l e 在传输过程中被篡改。 a n e p 报文的版本域目前为l ；标识位目前只使用了最高位，表示主动节点对于接 收报文的缺省处理，0 表示调用缺省路由转发该报文，l 表示丢弃该报文。类型域长 度为2 字节，用于指出主动报文的执行环境。报文头长度定义了包头的长度，当无 选项域时，其值为2 。报文长度定义了包括载荷在内的整个报文的长度。选项域用 于定义网络的源标识、目的标识、校验及审计信息。 01 51 63 1 f版本标志类型号 l ( v e r s i o n )( f l a g s )( t y p ei d ) l报文头长度报文长度 ( h e a d e rl e n g t h ) ( p a c k e tl e n g t h ) i竺竺：!i 图2 2a n e p 头格式 a n e p 报头是为了使得c a p s u l e 的格式遵循主动网络封装协议，便于主动网络之 间的互通，它具体包含有版本号、标志位、类型标识符、报头长度、报文长度、源 地址和目的地址等，如图2 2 所示。其中版本用来指定协议版本：标志位用来指定 主动节点对接收包的缺省处理；类型m 用来指定执行处理报文封装的e e ；报头长 度定义了报头的长度；包长度定义了包括负荷在内的整个包长度；可选项用来定义 华中科技大学硕士学位论文 网络源地址、目标地址和审计等信息。与i p v 6 一样，a n e p 允许在报头定义不同的 选项，这些选项包括了( 但并不局限于) 授权、保密性和完整性。 2 3 2a c t iv o i p 报文格式 与a n e p 协议不同，w e t h e r a l l 等提出了一种称为“a c t i v e i p ” 2 0 - 2 1 1 的报文格式， 即在传统报文格式中携带定制的程序，通过增强传统网络p 的主动网络选项来指明 主动报文类型，如图2 3 所示。 i p 头i p 选项用户数据 主动选项、 类型长度代码类型和值 图2 3 a c t i v ei p 报文格式 传统报文中的m 选项主要用于诸如网络检测与度量等网络应用。主动婵选项 提供了一个用来向口数据报嵌入程序段的方法。这些程序段在沿途路径的每个路由 器上被评估和执行。由于主动选项在包的有效载荷中，传统的路由器甚至不能看到 它，只能将其传递给主动路由器。在这些主动路由器中，主动选项编码( 报文所携 带的定制程序) 将被调用，并被路由器执行，从而增强了传统报文的主动能力。 主动网络封包的处理机制位于d 层，在口数据报通过该层时被调用。需要注 意的是，处理机制并非形成一个新的协议层次，因此不需要点对点的逻辑模式，而 t c p i p 2 2 1 协议各协议层之间是一一对应的。处理过程在主动网络信源、主动网络信 宿以及主动网络路由器中通过调用主动网络节点提供的各种原语进行。 2 4 主动网络相关应用 主动网络是网络发展的一个方向，也是目前国际上研究的一个热点。主动网络 的新特性使新标准和新技术的采用变得迅速而简单。主动网络的发展和应用前景十 分广阔，在当今计算机技术和网络技术飞速发展的情况下，在不久的将来，主动网 必然得到蓬勃的发展和应用。 华中科技大学硕士学位论文 2 4 1 主动可靠多播 目前支持多点通信的新技术层出不穷，但由于传统网络固有的缺陷，它们对于 多点通信存在一些问题。首先，如果很多组成员都未收到发送者的数据时，它们会 同时发出相同的重传请求，于是就造成了所谓n a c k 泛滥m e g a t i v e a c k n o w l e d g e m e n ti m p l o s i o n ) 1 。再者，若只一个接收者没有收到数据也会导致给 所有的接收者重传数据，很显然这浪费了大量带宽。还有另一个难题是组成员不固 定，老成员任何时候都可以离去，新成员任何时候都可以加入。 而主动节点允许分解主动包和运行主动程序的特性，使上述问题变得迎刃而解： 第一，主动节点具有的c a c h e 缓存机制，能够在需要数据重传的情况下使网络传输 延迟和通信量得到极大的减少。第二，主动节点能够及时处理流经的n a c k 消息包， 从中获取与n a c k 消息发出者有关的信息，并保存在节点内，当同样的n a c k 消 息包经过时，节点不执行转发操作，直接将其丢弃，从而可以避免n a c k 消息包被 重复送往同一接收对象。第三，主动节点能够有效地控制n a c k 消息包的传送范围。 用户可以在n a c k 消息包中指定获取修复数据包的路径，节点根据对n a c k 消息 包分析的结果，在指定的链路上转发n a c k 消息包。 m r r 大学主动网络研究小组提出的主动可靠多播a r m ( a c t i v er e l i a b l e m u l t i - c o m m u n i c a t i o n ) 【2 4 j 方案，是展示利用主动网络处理多点通信问题的一个很好 的实例。a r m 尚在继续研究的问题是：如何有效地选择主动路由器在网络中的位 置；如何处理接收者的异质性a t e r o g e n e i 啪问题，即不同的接收者享有的q o s 不 同。 2 4 2 网络管理 传统的网络管理是通过轮询被管理的网络设备来获得管理变量值以便检测。该 方法将所有的网管职能都集中在网管工作站上，导致了处理和通信的瓶颈。此外， 轮询检测机制严重限制了实时、有效地跟踪问题的能力。 主动网络管理构架泌1 使上述问题得到了合理的解决。首先，利用主动网络允许 动态配置网络结构的特性，可以使管理中心移动到网络真正的“中心”位置，大大 华中科技大学硕士学位论文 一= = = = ；= = = = = = # = = j = = = ；= = ；= = = = = ；= ； 减少了管理响应延迟和管理信息传输带宽。其次，通过在网络重传送携带某些特殊 代码的主动数据报，可以对网络进行巡逻监视和应急处理。第三，管理中心向被管 理节点发送管理程序而不是大量管理信息，且能根据当前的需要请求实时裁剪反馈 信息，也使管理中心的通信量得到缩减。最后，基于主动技术所固有的灵活性，可 以根据管理需求的变化来灵活调整管理策略。 鉴于此，主动网络技术成为提高网络管理的理想方案。针对主动网络的网管问 题，已经开展了许多实验工作，例如b b n t e c h n o l o g i e s 设计的“智能包”项目( s m a r t p a c k e tp r o j e c t ) 开发了使被管理节点具有可编程性的体系结构、语言和协议。 c o l u m b i a 的n e t s c r i p t 项目采用了主动元素结构开发了能够自动创建系统管理设备 及相关m i b 的技术。哥伦比亚大学的d e l e g a t i o np a r a d i g m 设计的网络管理( n e t w o r k m a n a g e m e n t ) 系统和c a r n e g i em e u o n 大学所开发的达尔文项目( d a r w i np r o j e e t ) ， 等。 2 4 3 拥塞控制 传统网络一般采用标准t c p 协议的消息反馈式拥塞控$ 1 j ( c o n g e s t i o nc o n t r 0 1 ) 机 制，但由于这种机制增加了总量分离拥塞点和端点的工作量，所以它仍不能很好地 适应网络带宽和延迟时间的要求。网络延迟越大，则端点对网络是否拥塞作出正确 判断所需时间也就越长。网络带宽越窄，端点在检测拥塞是否发生的时间内向拥塞 网络送出的数据报就越多。网络组建的带宽和延迟性能将反之影响拥塞现象持续时 间。 主动网络提出的通过数据包对路由器进行再编程的思想，在很大程度上克服了 反馈式拥塞控制的缺点。首先，主动节点可以监视可用带宽，并利用其具有大容量 缓冲区的优势，控制通道内数据流的传输速率，以尽量减少拥塞现象的发生。其次， 主动网络在检澳i 到拥塞现象时，网络拥塞控制机制能够自动地、有选择的丢弃某些 相对不重要的消息单元体、数据报或信元，这一措施也能有效地降低发生拥塞现象 的可能性，并防止拥塞范围的扩大。第三，对于具有不同传输优先级别的数据流， 主动节点不仅能够从总体上控制它们的整体流速，甚至还能细化到控制每条数据流 的流速，且控制限额速率还能随时进行动态调整。最后，在网络的拥塞发生点，通 1 4 华中科技大学硕士学位论文 过执行主动程序能够进行数据转换( 如压缩数据格式、改变数据传输路由等) ，从而 避免拥塞向整个网络范围内扩大。 针对主动网络的拥塞控制问题而开展的实验项目有很多，例如南加利福利亚大 学所进行的主动拥塞控制( a c t i v ec o n g e s t i o nc o n t r o l ，a c c ) f 2 6 1 系统研究。 2 4 4 服务质量 传统网络普遍存在着拥塞、连接丢失等问题，造成了应用流服务质量低下。为 此，可以采用自适应机制以适应网络条件。发送者根据检测到的网络条件决定向接 收者适当地传送数据报文。由于网络环境是高度动态、实时的，为了能够无缝隙地 适应网络条件，主动节点将适时、适地调整自适应类型。例如，内嵌协议在自举时 透明地使用网络条件；网络拥塞时为了保证m p e g 视频流的智能丢包策略等机制。 2 4 5 网络缓存 为了减小数据传输时延，在传统的广域网络中常采用的技术就是网络缓存。具 体来讲，就是在一些网络关键节点缓存一些用户最近用过的数据，使得用户再访问 这些数据时不需要再从远端的数据源获取数据，而从距自己较近的节点就能获取数 据，从而减小数据传输时延及网络负荷。 然而，这种网络缓存技术对于实时性应用的性能优化几乎起不到什么作用，在 某种程度上讲，由于缓存了一些过时的信息，反而会降低应用的性能。以实时股市 行情查询系统为例，股市行情查询系统由一个数据中心提供实时数据，用户用w e b 浏览器透过i n t e r n e t 进行测览查询。在任何地方任何时候都能获取最新股市行情信 息是该系统的关键。一般地，通过w e b 页面缓存机制可以减小用户访问w e b 服务 器的时延从而提高性能。但是，普通缓存技术在该系统中却不能起到什么作用。首 先，普通w e b 页面缓存无法保证数据的实时性，因为各条信息更新周期不确定；第 二，普通缓存技术无法动态调整数据缓存的大小和缓存数据的范围：第三，普通缓 存没有考虑最佳缓存点问题，基本都是静态配置，这将会消耗过多的网络资源或影 响网络的整体性能。 1 5 华中科技大学硕士学位论文 而主动网络却使用了一种智能化转移c a c h e 内容的方式，将不同的缓存策略注 入到网络节点中去，通过分析统计通过该节点的数据特性，从而动态地调整缓存策 略，如选置缓存点，确定缓存数据，设置缓存范围及大小，甚至变“拉”为“推”。 目前大