（计算机软件与理论专业论文）主动网络节点操作系统的关键技术研究.pdf

中国科学技术大学博士学位论文摘要 摘要 随着新型网络技术与应用的不断普及，在现有网络基础设施中引入新的网络 服务已成为不可回避的问题。然而在今天以内景的、标准的t c p i p 协议栈为核 心的因特网中，如果新的服务涉及到对t c p 和i p 协议的修改，那么服务的引入 将是一个漫长而艰难的过程，它必须经历协议标准化以及网络中路由器和主机的 全面升级过程，这使得新服务往往只能在小范围内获得。 主动网络通过将编程能力引入网络中间节点实现网络服务的动态加载，定制 的包处理程序被发送到具有智能处理能力的主动节点，由主动节点执行以处理相 关的数据包。主动网络被认为是解决网络扩展问题的根本性措旖。主动网络的基 本单元是主动节点，它在功能上被划分为节点操作系统、执行环境和主动应用三 个层次，其中节点操作系统是主动节点的基础，负责管理与协调节点的资源。 本文主要研究了节点操作系统的体系结构以及资源管理和安全管理的若干 关键技术，在此基础上实现了一个节点操作系统原型。 在节点操作系统( n o d e o s ) 的体系结构方面，本文提出了一个三层的n o d e o s 体系结构，它将n o d e o s 的功能划分为硬件抽象层、资源管理层和n o d e o s e e a p i 层。硬件抽象层提供统一的访问硬件资源的方法，以使n o d e o s 可被移植到不同 的硬件平台；资源管理层实现以应用流为中心的资源管理和访问控制，可为应用 特定的服务提供资源保证；n o d e o s e ea p i 层向执行环境和网管程序提供经过封 装的a p i 接口，在方便上层程序丌发的同时保护操作系统的安全。 在资源管理方面，本文首先提出了一个通用而简洁的n o d e o s 网络服务模型， 该模型将所有网络服务按照它们对服务质量与费用的不同权衡划分成三大类，并 相应地定义了三种n o d e o s 网络服务。按照该模型，n o d e o s 只提供最基本和必 要的服务区分支持，服务的特殊性由主动应用编程实现，这种分工保证了服务模 型的简单性和通用性。在此基础上，本文系统地研究了实现服务定制所需要的资 源保证技术，包括资源需求计算、接纳控制、资源使用监视与调整等。特别地， 针对c p u 资源需求难以准确估算的问题，我们提出了一种通过在线测量自动估 算c p u 资源需求和自适应调整c p u 资源分配的方法。 在安全管理方面，本文首先提出了一个基于严格的域约束关系和授权访问控 制的n o d e o s 安全体系，该安全体系通过强制实现的域控制链和域间隔离提供对 n o d e o s 、执行环境和主动应用的基本保护，同时通过授权访问控制允誓 ：部分实 体之间有限制地进行信息共享。在此基础上，本文讨论了n o d e o s 安全体系的实 现机制，提出采用虚空间隔离、域层次链检查、对象指针隐藏等方法实现域之间 的控制层次和隔离，利用k e y n o t e 信任管理并辅以包完整性检查手段实现域之间 受控的信息共享。 最后，本文讨论了一个n o d e o s 原型系统的设计与实现问题。 关键词：主动网络，节点操作系统( n o d e o s ) ，n o d e o s 体系结构，n o d e o s 网 络服务模型，n o d e o s 安全体系，资源管理，安全管理，原型实现 中国科学技术大学博士学位论文a b s t r a c t a b s t r a c t w i t ht h ep o p u l a r i z a t i o no fn o v e ln e t w o r kt e c h n o l o g i e sa n da p p l i c a t i o n s i ti so f n e c e s s i t yt oi n t r o d u c en e ws e r v i c e si n t ot h ee x i s t i n gn e t w o r ki n f r a s t r u c t u r e w h i c hi s w i t hac o r eo fi n b u i l ta n ds t a n d a r dt c p i pp r o t o c o ls t a c k i ft h ei n n o v a t i o n r e q u i r e s m o d i f i c a t i o nt ot c p ip t h er e a l i z a t i o np r o c e s sw i l lb ee n d u r i n ga n d e x h a u s t i n g a si t m u s tg ot h r o u g hal e n g t h ys t a n d a r d i z a t i o np r o c e s sf o l l o w e db ym a n u a lu p d a t eo fa l l r o u t e r sa n dh o s t si ni n t e r n e t t h e r e f o r e ，n e ws e r v i c ec a nb eo b t a i n e do n l yi na1 i m i t e d r a n g e b ym a k i n gt h er o u t e r sp r o g r a m m a b l e ，a c t i v en e t w o r ki sc a p a b l eo fd e p l o y i n g n e ws e r v i c e sa tr u n t i m e s p e c i a lp a c k e t s t h a t e n c a p s u l a t ep a c k e td a t aw i ma c u s t o m i z e dp r o c e s s i n gr o u t i n ea r ei n j e c t e dj n t ot h en e t w o r kb yt h ee n du s e r - t h e nt h e r o u t i n ei se x e c u t e da te a c hi n t e l l i g e n ta c t i v en o d et h a ti se n c o u n t e r e da l o n gt h ep a t ht o p r o c e s sp a c k e t s a c t i v en e t w o r ki sc o n s i d e r e dt ob et h eu l t i m a t es o l u t i o nt of l e x i b l e a n de x t e n s i b l en e t w o r ki n f r a s t r u c t u r e a c t i v en o d ei st h ef u n d a m e n t a le l e m e n to f a c t i v en e t ，w i t hi t s f u n e t i o n a l i t yb e i n gd i v i d e di n t on o d eo p e r a t i n gs y s t e m ( n o d e o s ) ， e x e c u t i o ne n v i r o n m e n t s ( e e ) a n da c t i v ea p p l i c a t i o n s ( a a l ，a m o n gw h i c hn o d e o si st h e b a s i so fa c t i v en o d ea n di sr e s p o n s i b l ef o rm a n a g i n gr e s o u r c e si nt h ea c t i v en o d e t h i sp a p e rc o n c e n t r a t e so nt h ea r c h i t e c t u r ea n dc e r t a i nk e y t e c h n o l o g i e si n v o l v e d i nr e s o u r c ea n ds e c u r i t ym a n a g e m e n to fn o d e o s t h e no nt h eb a s i so fw h i c hd e s i g n s a n d i m p l e m e n t san o d e o sp r o t o t y p e i nt h e a s p e c t o fn o d e o sa r c h i t e c t u r e ，t h i s p a p e rp r o p o s e s at h r e e l a y e r e d a r c h i t e c t u r a lm o d e lt h a td i v i d e st h e f u n c t i o n a l i t y o fn o d e o sa m o n gh a r d w a r e a b s t r a c t i o n l a y e r r e s o u r c em a n a g e m e n tl a y e r a n dn o d e o s e ea p il a y e r t h e l l a r d w a r ea b s t r a c t i o n l a y e rp r o v i d e s t h e u p p e rl a y e r w i t hau n i f o r ma n d p l a t f o r m i n d e p e n d e n tm e t h o dt od e s c r i b ea n da c c e s sh a r d w a r er e s o u r c e s ，s oa st o e n a b l et h en o d e o st ob et r a n s p l a n t e dt od i f i l e r e n th a r d w a r ep l a t f o r m s t h er e s o u r c e m a n a g e m e n tl a y e rp e r f o r m s r e s o u r c em a n a g i n ga n da c c e s sc o n t r o lo na p e r - f l o w b a s i s t o g u a r a n t e e t h ec u s t o m i z e dn e t w o r ks e r v i c e r e q u e s t e db ya p p l i c a t i o n s t h e n o d e o s e ea p il a y e rp r o v i d e st h ee ea n dn e t w o r km a n a g e m e n tp r o g r a m sw i t h e n c a p s u l a t e da p i ，w h i c hn o to n l yf a c i l i t a t e st h ed e v e l o p m e n to f e eb u ta l s op r o t e c t s t h eo p e r a t i n gs y s t e m t oh a n d l er e s o u r c em a n a g e m e n t ，ag e n e r a lb u ts i m p l en o d e o sn e t w o r ks e r v i c e m o d e li si n t r o d u c e di nt h i sp a p e r t h i ss e r v i c em o d e lc a t e g o r i z e sa 1 1n e t w o r ks e r v i c e s i n t ot h r e ec l a s s e sa c e o r d i n gt ot h e i rd i f i e r e n tt r a d e o i tb e t w e e nq u a l i t yo fs e r v i c ea n d c o s to fs e r v i c e ，a n da c c o r d i n g l yd e f i n e st h r e et y p e so fs e r v i c e st h a tn o d e o so f f e r s i n t h e l i g h t o ft h e m o d e l ，n o d e o so f f e r s o n l y t h em o s tf u n d a m e n t a ls e r v i c e d i f f e r e n t i a t i o n s u p p o r t ，w h i l e a c t i v e a p p l i c a t i o nd e a l s w i t ha l lt h e s p e c i a l t y o fa p a r t i c u l a rs e r v i c er e q u i r e m e n t ，h e n c et or e t a i nt h eg e n e r a l i t ya n ds i m p l i c 时o f t h e s e r v i c em o d e l o nt h eb a s i so ft h i sm o d e l ，t h i sp a p e rs y s t e m a t i c a l l ya n a l y z e st h e r e s o u r c e m a n a g e m e n tt e c h n o l o g yn e c e s s a r y f o r s u p p o r t i n g s e r v i c ec u s t o m i z a t i o n ， i n c l u d i n g r e s o u r c e r e q u i r e m e n t sc o m p u t a t i o n ，a c c e s sc o n t r o l ，r e s o u r c e u s a g e m o n i t o r i n ga n da d j u s t i n g ，e t c s p e c i a l l y , i no r d e rt os o l v et h ec h a l l e n g i n gp r o b l e m o f 中国科学技术大学博士学位论文a b s t r a c t c p ur e s o u r c e r e q u i r e m e n te s t i m a t i o n ，w ei n t r o d u c eam e a s u r e m e n t b a s e dm e t h o d t h a tc a na d a p t i v e l yc a l c u l a t et h er e q u i r e m e n ta n da d j u s tt h ea l l o c a t i o no fc p u c y c l e r a t eo n l i n e a sf o rs e c u r i t ym a n a g e m e n t ，t h i sp a p e r p r o p o s e sa n o d e o ss e c u r i t ya r c h i t e c t u r e b a s i n go nr e s t r i c t e dd o m a i nr e l a t i o n sa n da u t h o r i z a t i o n b a s e da c c e s sc o n t r 0 1 t h i s s e c u r i t y a r c h i t e c t u r e p e r f o r m sp r o t e c t i o n t on o d e o s ，e e sa n da a st h r o u g ht h e r e a l i z a t i o no fi s o l a t i o na n dc h a i no fc o n t r o la m o n gd o m a i n s w h i l ea tt h es a n l et i m e a l l o w sc o n t r o l l a b l ei n f o r m a t i o n s h a r i n gb e t w e e nc e r t a i na p p l i c a t i o n sb ye n f o r c i n g a u t h o r i z a t i o n b a s e da c c e s s c o n t r 0 1 o nt h i s b a s i s ，t h i sp a p e r d e t a i l st h e i m p l e m e n t a t i o no ft 1 1 en o d e o ss e c u r i t ya r c h i t e c t u r e w h i c he m p l o y sv i r t u a ls p a c e i s o l a t i o n ，d o m a i nh i e r a r c h i c a lc h a i nc h e c k i n g ，p o i n t e rh i d i n g ，i n t e r f a c ee n c a p s u l a t i o n t or e a l i z ei s o l a t i o na n dh i e r a r c h i c a lc o n t r o lo fd o m a i n s ，a n du s e s k e y n o t et r u s t m a n a g e m e n ta n dp a c k e ti n t e g r i t yc h e c k i n gt or e a l i z ec o n t r o l l e di n f o r m a t i o ns h a r i n g b e t w e e nd o m a i n s f i n a l l y , f l a i sp a p e ri n v e s t i g a t e st h ed e s i g na n di m p l e m e n t a t i o no fan o d e o s p r o t o t y p e k e y w o r d s ：a c t i v en e t w o r k ，n o d eo p e r a t i n gs y s t e m o d e o s ) ，n o d e o sa r c h i t e c t u r e ， n o d e o sn e t w o r ks e r v i c em o d e l ，n o d e o ss e c u r i t ya r c h i t e c t u r e ，r e s o u r c em a n a g e m e n t s e c u r i t ym a n a g e m e n t ，p r o t o t y p ei m p l e m e n t a t i o n ! 重型兰塾查盔堂堡圭堂焦堡塞蔓二至堕丝 第一章绪论 1 1 主动网络产生的背景 计算机网络是目前发展非常迅速的一个领域。在最近的十几年中，新的技术 与应用不断涌现，而这些技术与应用常常要受益于网络中新的服务。比如，多方 应用( 象视频会议) 受益于多播服务( 如i p 多播) ，因为多播服务可以极大地降 低点到多点通信所需要的带宽；实时应用( 如i p 电话) 受益于资源预留和服务 区分机制，因为它们可以保证延时敏感数据的及时投递；移动手持设备受益于移 动服务( 如移动i p ) ，因为它允许移动设备在不同的地点接入网络却不需要重新 配置i p 地址。 在今天的通信网络中，有两个因素决定了提供灵活的网络服务是一个必然的 趋势。首先，人们无法预知未来的网络应用模式会是什么样，就像i n t e r n e t 诞 生之初没有人会想到e m a i l 和w e b 在二十年之后会如此普及一样，今天的人们 也无法想象二十年后叉会有哪一种应用模式大行其道。然而，网络的应用模式却 直接影响着网络服务的设计，这就决定了不可能存在普遍适用的“最佳”服务。 另一方面，要求各种应用均“将就”使用目前已有的“尽力而为”服务( b e s t e f f o r t s e r v i c e ) 也不切合实际。因此，提供因应用而异的服务才是最佳的解决方案。其 次，今天的互联网已是一个规模和投资都非常巨大的通信基础设施，新的网络服 务只能通过网络升级而不是重建一个网络来实现，且升级后的网络必须能够兼容 已有的服务，因此，必须允许在现有的网络基础设施中引入新的服务。 然而，要在今天的i n t e r n e t 中引入新的服务并不是一件容易的事。i n t e r n e t 赖 以存在的核心是t c p i p 协议栈，t c p i p 协议栈的设计目标是要互联各种不同的 物理网络以形成一个互操作的基础，因此其核心的t c p 和i p 协议是独立于特定 物理链路和网络应用的，这种结构使得链路层上的新技术( 如千兆以太网) 以及 某些不涉及网络层和传输层的应用( 如w e b ) 很容易引入，这也正是t c p i p 和 i n t e r n e t 大获成功的关键。然而，这种结构也使得涉及t c p 和i p 的网络升级变得 异常艰难，因为任何一个针对这两个协议的改变都要首先经过一个漫长的标准化 过程( 典型地需要好几年) ，然后需要对网络中的路由器及主机进行升级。由于 t c p i p 协议已经在i n t e r n e t 中分布得如此广泛，升级的过程需要花费很长的时间， 这使得新的网络服务往往只能在小范围内获得，这也正是为什么像多播服务、实 时服务和移动i p 服务虽然已经研究了很多年却一直无法大规模推广的主要原 因。显而易见，传统网络提供服务的方式己严重阻碍了网络的发展，制约了网络 在社会经济生活中应当发挥的作用。 在这种背景下，人们认为需要在传统i n t e m e t 体系结构的基础上研究新的网 络体系结构，即具有自适应、动态和智能化特性的网络。主动网络( a c t i v e n e t w r o k ) 2 , 3 1 的提出为解决这一问题开辟了新的思路。主动网络的概念首次出现 于1 9 9 4 年和1 9 9 5 年美国国防研究计划署d a r p a 的研究社团关于“网络系统未 来发展方向”的讨论会。该次会议针对传统网络的多种弊端和不足提出了若干改 进的途径，主动网络是会议的注意焦点。主动网络是一种运行时刻可扩展的网络 系统，它试图利用可编程的网络基础结构和移动代码来实现快速的服务定制与布 中国科学技术大学博士学位论文第一章绪论 署。从而从根本上解决服务引入难的问题。 1 2 主动网络的概念与特点 主动网络是一种允许用户对网络中间节点( 如路由器、交换机等) 进行编程 的新型网络结构，具有智能的主动网络节点通过对收到的报文进行定制的处理来 提供定制的服务。例如，用户可以向路由器发送一个压缩程序，并指示当该用户 的数据报到达路由器时执行该程序。通过向主动节点发送携带有移动代码的报 文，用户可以按需创建自己的服务并分布到网络中。另外，主动节点也可以和传 统节点进行交互，提供透明传递数据报的功能。 主动网络具有很强的自适应性，它能引导数据报主动避开受到破坏的节点； 当节点尚未布署某种服务时，它能自动从相邻节点或指定节点获取服务代码并进 行自动布署；注入网络的移动代码能自动扩散和消失；当节点受到攻击时能自动 启动保护程序，等等。可见，主动网络的结构和行为不再取决于静态的设置，而 是能够根据情况动态改变。 主动网络的“主动性”主要表现在两个方面，一是路由器可对流经它的用户 数据包的内容执行计算，甚至改变数据包的内容；二是用户可将程序注入网络以 剪裁节点对应用特定数据的处理【”。传统网络中节点对数据包的计算能力是非常 有限的，尽管路由器也能对数据包头进行些修改( 如修改t t l 、重新计算校验 和等) ，但路由器对数据包的内容不作任何检鸯和修改，只是透明地转发，并且 对数据包头的计算及路由器转发行为与产生数据包的用户进程或应用无关。 主动网络应具有以下特点： 可编程性：主动网络的报文、体系结构、服务等可以用一种或多种语言 描述，其网络基础结构具有存储计算转发的功能，这是它的最大特色。 移动性：主动网络能够传送携带程序的报文( 主动报文) ，主动报文能在 不同的平台上流动，流经的节点可以执行主动报文中的程序，所以主动 网络可以成为移动计算、a g e n t 技术通信的基础。 可扩展性：主动网络的可编程性使它具有灵活扩展功能的能力，从而可 以加快网络革新的步伐，从传统的面向供应商驱动的网络服务向面向用 户驱动的网络服务转变。 可互操作性：主动网络必须能够与i p 世界的网络交换信息，互操作性是 开放网络体系结构有发展前途的基础。 安全保密性：网络的可编程性同时带来新的安全保密问题，因为每个主 动报文中都可携带程序，这是十分危险的。由主动网络引入的安全问题 必须在主动网络内部解决。 主动网络的以上特点都不是孤立的，其中安全性是基础，互操作性是前提， 可编程性是手段，可扩展性是目的。 1 1 3 主动网络体系结构框架 主动网络由群主动节点构成，主动节点通过执行主动包中的代码实现定制 的服务，因此，主动节点及主动包是主动网络中最主要的两个功能实体，主动节 点体系结构及主动包的定义也就构成了主动网络体系结构的基础。 中国科学技术大学博士学位论文第一章绪论 1 3 1 主动节点体系结构 主动节点提供了主动网络的基本功能，d a r p a 的主动网络工作组提出的主 动节点体系结构【6 】j 备主动节点的功能划分成了三个层次，从下往上依次是主动节 点操作系统( n o d eo p e r a t i n gs y s t e m ，n o d e o s ) 、执行环境( e x e c u t i o ne n v i r o n m e n t s ， e e ) 和主动应用( a c t i v e a p p l i c a t i o n s ，a a ) ，如图1 - l 所示。 图1 1 主动节点体系结构 执彳亍环境是体现主动网络可编程特性的最主要部分，每个执行环境定义了一 组特定的编程接口或者是一个可被主动代码编程或控制的虚拟机。执行环境的作 用类似于通用操作系统中的外壳程守它向主动应用提供一个可访问端端网络 服务的接口。有些执行坏境可能只提供一组受限制的编程接口，用户必须通过一 组规定的参数进行调用；有些执行环境可能实现了一个“通用”的虚拟机，用户 可通过向它发送携带有代码的主动包对其进行编程，仿真其它的机器。主动节点 体系结构允许多个执行环境同时运行在一个主动节点上。 主动应用是一个用户程序，当该程序被一个特定执行环境的虚拟机执行时实 现某种端端服务，所以，实际上是主动应用利用执行环境提供的编程接口为端 用户实现了定制的服务。构成主动应用的代码如何装入相应的主动节点由执行环 境决定，代码可以携带在分组中传输( 带内方式) ，也可以通过单独的信令阶段 或者当分组到达主动节点后按需自动获取( 带外方式) 。大多数端用户不会亲自 对主动网络进行编程，运行在端系统上的应用程序一般通过调用由主动应用开发 商( 或执行环境开发商) 提供的主动应用代码来访问主动网络服务。 执行环境运行在节点操作系统之上，节点操作系统提供了执行环境实现虚拟 机所需要的一组基本能力。节点操作系统位于执行环境和底层物理资源( 传输带 宽，处理器周期，内存) 之问，如果主动节点上只运行一个执行环境，那么完全 可以不需要节点操作系统而由执行环境自己进行系统资源的管理。但是，一个主 动节点上可能运行多个执行环境，这就需要节点操作系统来管理和协调系统资源 的使用，以及在不同的执行环境之间提供基本的安全保证。因此，节点操作系统 向执行环境屏蔽了资源管理的细节以及其它执行环境的行为对它的影响，反过 中国科学技术大学博士学位论文第一章绪论 来，执行环境也向节点操作系统屏蔽了大部分与端用户交互的细节。 此外，每个主动节点中还需要有一个特殊的管理执行环境( m a n a g e m e n t e x e c u t i o ne n v i r o n m e n t ，m e e ) 。用于控制本地节点的配置及策略等事宜，比如维 护本地安全策略数据库、加载新的执行环境或对已有的执行环境进行更新和重配 置、支持远程网管服务的实例化等。 主动网络和传统网络的区别在于主动网络并不规定网络节点应该如何协同 工作以提供某种特定功能的服务( 如尽力的分组传输) ，主动网络关心的是如何 使网络能够自由地增加新的服务并为这种服务增加的过程提供支持。从端用户分 组的角度来看，主动网络服务基于三个层次构造。最底层是节点操作系统的a p i ， 这个a p i 在整个主动网络中都是一致的，它定义了执行环境可以使用的基本功 能模块；各个执行环境使用这些功能模块实现自己的一组抽象功能并提供给端用 户使用；端用户通过调用这组抽象功能获得服务。 1 3 2 通用包处理过程 执行环境通过通信通道发送和接收数据包，节点操作系统可使用各种技术实 现通信通道，包括物理链路技术( 如以太网、a t m ) 及高层协议( 如t c p 、u d p 、 i p ) 等。数据包经过主动节点的一般处理流程如图l 一2 所示。 臣 p a c k e l c l a s s m c a t i o n 回曰一回 - ”p u l 。裂 ： 匪p 8 恂 ；p r o u d c e s t p u t s c h m g a r t p r o c e s s i n 口!：p r o c e s s m g k 圆一 w 嗍一 兀 焖一 - ：- - ：韶粼 图1 2 数据包经过主动节点的处理流程( 略去了链路层协议) 当数据包从一条物理链路到达时，它首先被送到包分类器；包分类器根据包 头中的信息以及各个输入通道在包分类器中注册的包过滤规则( 主要由协议、地 址、端口号等组成) 决定将数据包发往哪个输入通道，每个e e 定义并创建自己 所需要的输入通道；数据包经过输入通道的处理后被交给创建该通道的e e 进行 进一步处理；在输出端，e e 将处理过的数据包提交给某个输出通道，输出通道 主要对数据包进行协议处理和封装；最后，封装好的数据包被交给链路层调度发 送。综上所述，分组经过一个主动节点的全部处理过程包括：链路输入，分类， 输入协议处理，e e a a 处理，输出协议处理，调度，链路输出。需要注意的是， 中国科学技术大学博士学位论文第一章绪论 并不是每一个输出分组都要对应一个输入分组，e e 可以将若干个分组聚合起来 转发，甚至e e 会自发产生新的分组。 节点操作系统可对节点的计算资源和传输资源进行复杂的控制。各种调度器 可用来隔离不同业务流之间的相互影响，比如防止一个行为失常的e e 耗尽节点 的计算资源：它们也可用来提供更复杂的服务，如保证一定数量的带宽( 传输带 宽和计算带宽) 或实现一种公平的服务。需要注意的是，调度输入通道只需要考 虑计算资源，而调度输出通道需要同时考虑计算资源和传输资源。 1 3 3 主动网络封装协议 当主动节点接收到一个主动包后，它必须为主动包确定一个执行环境。为便 于用户指定处理主动包的执行环境，i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ) 的主 动网络工作组提出了主动网络封装协议( a c t i v en e t w o r ke n c a p s u l a t i o np r o t o c o l ， a n e p ) 【7 】，该协议规定了主动包的封装格式，如图1 - 3 所示。主动包可以进 步封装在i p v 4 i p v 6 分组或者链路层帧中，在已有的网络中传输。 071 53 l v e r s i o n f l a gt y p e l d h e a d e r l e n g t h p a c k e tl e n g t h o p t i o n 2 payload 图卜3 主动包封装格式 主动包由a n e p 头和净荷组成。a n e p 头中的版本域指示报头格式，目前协 议的版本号为1 。标志域目前只有最高位有效，用于指示主动节点在不认识 t y l 3 e i d 域中的信息时是转发分组还是丢弃分组( 0 转发，1 丢弃) 。报头长度和 分组长度均以3 2 比特为单位。t y p e l d 域指示处理主动包的执行环境，每个执行 环境均被赋予一个众所周知的t y p e l d ，目前该工作由a n a n a ( a c t i v e n e t w o r k a s s i g n e dn u m b e ra u t h o r i t y ) 负责。当一个包含有效a n e p 头的主动包到达一个 主动节点时，若其t y p e l d 域中指示的e e 与节点上运行的某个e e 匹配，则该主 动包就被发送到该e e 的输入通道。以上这些域构成了主动包的基本头。基本头 后是一系列的选项，每个选项采用t l v ( t y p e l e n g t h v a l u e ) 格式表示，主动节 点对选项域的处理依赖于选项的类型。已经定义的一些选项包括源标识、目的标 识、完整性检查及单向认证( o n e w a ya u t h e n t i c a t i o n ) 等。 对于a n e p 而言，增加一个新的e e 或者一个新的协议仅仅意味着一个新的 t y p e l d 或可选项类型，从而使得协议体系结构具有良好的健壮性和可扩展性。 分组并不一定要有a n e p 头才能被e e 处理，只要建立好合适的通道，e e 也能处理传统的流量( 即由传统终端生成的数据包) ，就像图1 - 2 中的e e 3 ，这 中国科学技术大学博士学位论文第一章绪论 实际上就是一个提供i p v 4 转发行为的“伪e e “。 1 3 4 端系统和中间系统 主动网络由端系统和中间系统组成，端系统是端用户程序的“宿主”，中间 系统主要用于转发分组和沿转发路径处理解释执行分组。区分主动网络体系结 构和传统网络体系结构的一个主要特征是应用特定的功能( a a ) 是否出现在中 间系统。在传统网络中，应用特定的功能只出现在端系统；而在主动网络中，应 用特定的功能也出现在中间系统。因此，主动网络的端系统和中间系统均包含节 点操作系统、执行环境和主动应用，当然它们可能会在安全策略及其它策略方面 有所不同，比如有些端系统只需要一个简单的e e 及基本的n o d e o s 就足够了， 而中阳j 1 3 系统却不行。 1 4 主动网络研究现状 近年来，特别是j a v a 等与平台无关的语苦出现以来，在主动网络领域丌展了 大量的研究工作。d a r p a 是主动网络研究的先驱和推动者，在d a r p a 及部分 公司如i n t e l 和s u n 等的赞助下，许多大学和公司相继开展了对主动网络的研究， 研究范围涉及主动应用、执行环境、节点操作系统和安全等各个方面，这些研究 对未来网络的发展具有重大的意义。 1 4 1 主动应用 由于主动网络中的路由器可以参与计算，因此，许多在传统网络中比较难以 解决的问题在主动网络中都可以得到较好的解决，以下是主动网络中实现的几种 典型应用。 1 4 1 1 主动网络支持的可靠组播 可靠组播在传统网络中是一个难以解决的问题1 2 。所谓可靠组播是指所有组 播数据最终都被正确地传送给每个接收者。为确保数据包的可靠传输，需要有丢 失检测、反馈和数据重传等措施。目前主要有两种基本的确认模型基于肯定 确认( a c k ) 的模型和基于否定确认( n a c k ) 的模型。 基于肯定确认的模型要求接收者对每个收到的包进行确认，向发送者返回 a c k ，由发送者检测丢失的数据包并启动重传。当接收者数量众多时，这种模 型会产生大量的a c k 反馈包，形成反馈风暴。基于否定确认的模型由接收者负 责检测丢失的包，并仅在发现包丢失时发送n a c k 反馈包，这种模型减轻了反 馈风暴的问题。但当网络传输质量不佳时，仍可能出现大量的n a c k ，形成n a c k 风暴。此外，所有的重传数据包都要由源发出，这无疑也增加了发送方的负担并 增加了重传延时。 在主动网络中，令主动路由器直接参与可靠组播协议可高效地解决以上问 题。目前一些典型的解决方案【2 5 。2 7 1 均采取了数据缓存、n a c k 抑制和本地恢复的 中国科学技术大学博士学位论文第一章绪论 措施，即组播树上的主动路由器缓存经过的数据；接收方检测到丢失后发送 n a c k 给源：当n a c k 到达路径上的一个主动路由器时，路由器检查它是否有 请求的包，如果有就组播该包到n a c k 到达的接口链路上，否则向上游转发 n a c k ：每个主动路由器在一定时间内对每个丢失包维护一个n a c k 记录和修 复记录，从而抑制重复的n a c k 。 1 4 1 2 主动拥塞控制 端到端的拥塞控制也是i n t e r n e t 面临的主要难题 2 8 t 。其困难主要体现在以下 几个方面：( 1 ) 算法的分布性，拥塞控制算法的实现分布在i n t e m e t 的各个网络节 点中，每个节点都不能得到完整的信息；( 2 ) 网络环境的复杂性，一方面，i n t e r n e t 中各节点之间的性能参数( 带宽、延迟、丢失率等) 有很大的差异，拥塞控制算 法必须能够广泛适应网络性能参数的变化，另一方面，i n t e r n e t 中使用的是尽 力而为的服务，拥塞控制算法还必须处理报文丢失、乱序到达等特殊情况；( 3 ) 算 法的性能要求，拥塞控制算法在性能( 如公平性、效率、稳定性和收敛性) 上有 很高的要求，某些性能目标之间存在矛盾，算法需要在多个目标之间进行权衡； ( 4 ) 算法的开销，算法首先必须尽量减少由本身带来的附加网络流量，特别是在网 络出现拥塞时，其次必须尽量减少在网络节点上的计算复杂性。 传统的端到端拥塞控制由端节点检测拥塞，并在检测到拥塞后降低发送速 率。发生拥塞的路由器从发生拥塞、拥塞被端节点检测到、再到接收到速率调整 后的分组，这期间一直处于拥塞状态，这段时间和网络的带宽延迟乘积成正比。 主动拥塞控制a c c ( a c t i v e c o n g e s t i o n c o n t r 0 1 ) 1 2 托j | 使用主动网络技术对传 统的基于反馈的拥塞控制进行了增强。在a c c 中，路由器也参与到拥塞控制中， 当路由器检测到拥塞发生时，立即要求它的上游路由器设置过滤器，过滤从导致 拥塞的端节点来的分组，这样可尽快缓解拥塞症状；同时把拥塞情况直接报告给 端节点，加快端节点检测拥塞的时间；当端节点做出反应后，过滤器被撤销。 1 4 1 3 可编程的任意播p a m c a s t 在传统的任意播中，发送方把分组发送给一组接收者中的任意一个，接收者 的选择通常是基于最小跳数或者最小自治系统数。对任意播服务的一种推广是允 许多于一个接收者收到分组，以便用于并行程序下载、并行c a c h e 查询等应用a p a m c a s t l 3 1 3 2 】利用组播树的分支节点进行选择性拷贝来实现可编程的任意 播。p a m c a s t 分组头中除记录组地址外，还记录度( d e g r e e ) 和拷贝模式。拷贝 模式有两种，平衡模式将分组接收者尽可能地在组播组中均匀分布，最近模式则 根据离核心节点的跳数选择最近的k 个接收者。p a m c a s t 分组首先被路由到 p a m c a s t 树的核心节点，核心节点首先决定采取的拷贝模式，然后根据度信息确 定向哪些下游节点转发分组：这个过程在每个p a m c a s t 路由器处都重复执行直 到消息到达成员节点。 中国科学技术大学博士学位论文第一章绪论 1 4 2 执行环境 1 4 2 1a n t s a n t s l l , 8 是由m i t 大学的研究小组提出的一个基于j a v a 的执行环境机制。 a n t s 使用容器编程模型来定制网络服务，容器( c a p s u l e ) 是一种特殊的分组， 它将分组数据与个定制的转发例程封装在一起。转发例程的类型由端用户软件 在发送容器时选择，并和数据起随着容器在网络中传输( 利用移动代码技术) ， 在容器经过的每一个主动节点上转发例程被执行，该例程将容器发往下一个节 点。可构建的用户转发例程依赖于主动节点的能力，a n t s 提供了查询节点环境、 动态管理应用对象库和向其它节点转发容器的a p i 接口。转发例程只影响与之 关联的容器，不同的用户可以配置不同的转发例程，从而可引入不同的服务。由 于这种编程能力位于网络层上，新的服务