（计算机应用技术专业论文）主动网络节点操作系统的安全管理研究.pdf

中嗡科学技术大学颀l ：学位论义揭要 攘要 圭动潮终蹩穆瑟型戆瓣终俸蓉结搦，由子它突破了当藩溉终孳一霹嗣纯靛 服务模式，可灵活定制和快速引入新的服务，从而可从根本上螂决耳瓣制约网络 发展的难题。同时，由于主动网络允许用户对网络的中间节点缡程，到达主动节 点豹主动健羁奁羧行静过程中需要访润节燕静资源，使褥主动潮络的安全往藉临 更大的威胁。如果安全性锝不到较好的解决，该网络就不存在嶷正的实用馀篮。 主动网络的安全包括两个方面，一个是主动节点的安全，另一个是主动包的 安全。主馥节煮的安全涉及餐翔筒缣证节点鼢资源与藏务不受耩法访问和破坏。 主动包的安全涉及到如倪保谖主动包在传竣过程中不被4 # 法修改。曩瓣主要蠢鼹 种方法用来保证主动刚络的安全，一种是纂于语言的方法，另一种是熬于授权的 方法。基予语言豹方法聚用类型安全及名字空闯限锏的语言，灵允许执行对任何 实体柬说郝是安全的行为，但事实上在一个实际的网络中危验行为是不可能宠全 消除的。基于授权的方法按照一定的安全策略将执行某种行为的许可授予某个主 体，这是种更为通用豹方法。 本论文主要讨论基于授权的主动节点傺护亳陲铡，均建劳实璇了一个主动网络 节点操作系统安全管理子系统。通过包有效性检查对包的来源进行认证和对包的 完慧注进行检查，确保翼有合法的包才能被节点处理：弓 入信任管理系统对差动 节点的姿源进行访阚控铡，扶藤保护圭兹节点夔淡源不受菲法谤逮积玻坏。 本课题得到安徽省自然科学基金( n o 0 3 0 4 2 2 1 1 ) 的资助。 关键词：主动网络；主动节点搡作系统( n o d e o s ) ：安全管理：访问控制。 串鬣辩学技术大学颈士学能论文a b s t r a c t a b s t r a c t a c t i v en e t w o r ka p p e a r sa san e w - t y p en e t w o r ka r c h i t e c t u r e ，a n di ti st h e u l t i m a t em e t h o dt os o l v et h er e s t r i c t i o np r o b l e mo fn e t w o r kd e v e l o p m e n tb e c a u s eo f i t sa b i l i t yt oi n t r o d u c ec u s t o m i z e dn e ws e r v i c e sf l e x i b l ya n dq u i c k l y h o w e v e r ，s i n c e a c t i v en e t w o r km a k e si tp o s s i b l et op r o g r a mo nt h ei n t e r m e d i a r yn o d e sa n dt oa c c e s s t h e i rr e s o u r c e sb ya c t i v ec o d e ，a c t i v en e t w o r kh a st oa s s u r ei t ss e c u r i t ya n dt h e r e f o r e i t sp r a c t i c a l i t y t h es e c u r i t yp r o b l e mo fa c t i v en e t w o r kc o v e r sb o t ha c t i v en o d e sa n da c t i v e p a c k e t s 。t h ef o r m e rr e f e r st ot h ep r o h i b i t i o no fu n a u t h o r i z e da c c e s st oa n dd a m a g eo f t h en o d er e s o u r c e sa n ds e r v i c e s ；a n dt h el a t t e rr e f e r st ot h ei n t e g r i t yo fa c t i v ep a c k e t s d u r i n gt r a n s m i s s i o n t h ee x i s t i n gt w o m e t h o d so fs e c u r i t ya r eb a s e do nl a n g u a g ea n d a u t h o r i z a t i o nr e s p e c t i v e l y t h ef i r s tm e t h o de m p l o y st y p e s a f ea n dn a r r t e s p a c e r e s t r i c t e dl a n g u a g e ，a n dt h ea l l o w e db e h a v i o rs h o u l db es a f et oa l le n t i t i e s ，w h i l e t h r e a t si nan e t w o r ka r ei m p o s s i b l et oe l i m i n a t e 。h e n c et h es e c o n dm e t h o d ，w h i c h g r a n t ss o m er i g h t so nac e r t a i ne n t i t ya c c o r d i n g t os e c u r i t yp o l i c i e s ，i sam o r ep o p u l a r m e a r l s t h i sp a p e rp r o p o s e sa n di m p l e m e n t saa c t i v en e t w o r k sn o d e o ss e c u r i t y s u b s y s t e m ，u s i n ga c t i v en o d ep r o t e c t i o nm e c h a n i s mb a s e d o na u t h o r i z a t i o n a s s u r i n g o n l ya p p r o p r i a t ep a c k e t sw i t sd e a lw i t hb ya c t i v en o d et h r o u g hc h e c k i n gi t sv a l i d i t y b ys o u r c ea u t h e n t i c a t i o na n di n t e g r i t yc h e c k i n g a n dw ea l s o i n t r o d u c eat r u s t m a n a g e m e n ts y s t e mt oa c h i e v ea c c e s sc o n t r o lo fn o d e sr e s o l l r c e s ，t h u sp r e v e n t u n a u t h o r i z e da c c e s sa n dd a m a g e t h i s p a p e rs u p p o r t e db y n a t u r a ls c i e n c ef o u n d a t i o no fa n h u ip r o v i n c e ( n o 0 3 0 4 2 2 11 ) k e y w o r d s - a c t i v en e t w o r k ；n o d eo p e r a t i n gs y s t e m ( n o d e o s ) ；s e c u r i t ym a n a g e m e n t ； a c c e s sc o n t r o l 串蓬季车拳援零天学矮士擎毽论文第l 带镬论 1 。1 生动鼹终瓣提篷 第1 章概论 迅速发展的网络技术及应用对网络服务的多样性甚至个性化提出了越来越 离的要求，僵传统隧络蹶使用熬肇一面固化鲍服务模式使得新驰服务和协汉缀 燕麴入，姨丽飘檬零上制约了潮络的遴一步发矮。一般来说，传统网络静功能 就是将数据包从网络的一端发送刹另一端，网络不必考虑所传递的数据包的具 体内容。数据包在网络内的处理被限制在踌由选择、拥塞控制以及实施服务质 量 组戏，a n e p 头中番 个域静含义鲔下： v e r s i o n ；定义了a n e p 头的格式； f l a g s ：用以指示主动节点在不认识t y p e i d 域中的信息时是转发分组还是丢 弃分组，目前只有一位有效( o 转发。1 丢弃) ； t y p e d ：表示不同的e e ，当主动包送到一个主动节点，分类器根据a n e p 头中 的t y p e l d 域区分主动包势送到不同的e e 中： h e a d e r l e n g t h ：表拳报头长发，以3 2 1 ：t 特鸯荸位； p a c k e t l e n g t h ：表示分缀长度，浚3 2 魄特为单位： o p t i o n s 域中每条纪秉由2 眈耨的标记位和1 4 院特的可选项类黧域组成。对 于a n e p 而言，新协议和新e e 的实现仅仪意味着一个新的t y p e l d 或可选项类型， 从而使得协议体系结构其有定的健壮性和可扩展性。 07 1 5 3 1 v e r s i o n f l a g st y p e l d i a n e ph e a d e rl e n g t h p a c k e tl e n g t h options r = i 1 图1 - 2a n e p 的格式 1 。3 。5 主动包处理流程 当一个主动包裂达妻动照终萤点之艇，主动网终节点将竞成如豳1 - 3 艇承 瓣处理王作。蓄先，擐掇圭漤包靛特定结惑对蔓动镪进行分类，鼓捩定将主动 经输入弱哪一个输入楚瑷遂遴。主动毽进入逶道看，进行相应的通道楚溪，如 6 中固科学技术大学硕士学位论文 第l 章概论 计算校验和，或者去掉稳头，对口网络一般是完成链路层的工作。然后主动 包被送到特定的e e 。完成处理厝输出。值得注意的是，输入信包和输出信包不 一定一对应，e e 商可能把信包集中起来进行周期性地转发，甚至还可以黩发 地产生信包。e e 可以控制接收数据包的规则，如图1 - 3 倒示，e e l 接收辫装在 u d p 数掇报中的a n e p 数撼包；e e 2 也接收类 姓翡数攒钰，毽u d p 端蜀号帮 a n e p 摄头中蠡冬t y p e l d ( 将主动餐送入相戏琶嚣静标琵) 可能不同，勇辨e e 2 还接收蓄逶的u d p 数据龟、封装在舻中的a n e p 数据琵和p 数据包( 特殊的 协议号或指定的源目的鳓址甜) 。 需要指出的是，从任何一个通道输出的报文可以由不同的e e 处理，这由 用户定义：而且，每一个e e 也可以处理来自不同的通道的主动包，然后可以 输出到一个或者多个通邋中去，在固一个通道中也可以输出多个主动包。竣出 时，和传统的网络节点一样，主幼嘲络节点也要完戏相应戆输出调度工 乍。 包分类 i i l c h 处理： e e 处理 o u t c h a n 处理 1 4 主动两络的安全 ；七_ - 1 调度转发 主动网络作为一种新垄的中间节点可编程的网络体系结构。为湖络协议和 新服务的开发、验证和部署提供了很好的支持。同时也为网络管理、服务质量 控制( q o s ) 、可靠组播等提供了条新的途径，主动网络已经成为人们注意的 焦点。但是，主动网络到目前还没有得到广泛地实施和廒用，其主要原因除需 要对传统的中间节点进行改造面遇到阻力和阚赡之钋，其本曳的安全性还没有 德到较好麴鳞决。出于变动阙络允诲用户对阙终靛中闻萤点壤糕，到达主动节 ， 焦可愚呵 制 ，hh_l。；hb；，h=_”n0 中屡科学技术太学鞭士学位论文 繁1 牵檄论 点的主动代玛在技雩亍爨过稷孛灞要谤闯节点靛资滚。攘褥主动阏络熬安全褴面 临黧大的威胁。十分清楚，如果安全性得不到较好的解决该网络就不存在真 正的实用俊值。i e t f ( 甄联网工攫任务缀) 静主动鼹终安全工终组已经褥出了 一个主动网络安全撬范【3 】，毽该援蕊只撬如了个安全程繁，丽许多其体缁节 和实现在该规范中并没有体现。 总瓣来说，圭动网络懿安全毽糕疆今方嚣，一个楚主动节点黔安全，鬓一 个爨主动毽辫嶷全。_ 妻翡节点鼢安全涉毅到翔街缣证节点的资源与服务不受非 法游问和破坏，主动包的安全涉及到如何保证主动包在传输过程中不被非法修 改。 叠静主要察两种方法焉来保迁圭霸礴络的安全，静是基于语蠢的方法， 另种怒基于授权的方法。基于语言的方法采用类型安全及名字空阻限制的语 言，只龛谬技孬对任餐安钵来诞都是寰全静行为，餐事实上在一个实际的网络 审麓陵行为是不霹能完全消鲦豹。基于援权的方法按照定的安全策略将执行 某种行为的许可授予某个主体，这是一种更为通用的方法。 在戮漆，嚣蓠对主动网终的研究避楚于怒步除毂，褥稳主动黼络蜜龛方筒酌 磷究旒羹少。在营矫，几稀较典霾的主动潮络系统( 如a n t s ，j a n o s ，s w i t c h w a r e ， 等) 各自用不同的方法来解决安全方蕊的阅题，他们鬈用的方法及其姆点大致 脊戮下凡稀。 由d a r p a 的主韵网络工作组提出并实现酌主动网络安全原型s a n t s 1 6 1 侧重将传统的认诚、授权积加密技术墨l 入主动网络，势在e e 上提供主动鄹终 静僳护。j a n o s 1 7 1 也是在e e 上提供系统保护的一个面向j a v a 的主动网络原型， 它主要靠j a v a 2 安全体系提供安全保护。这掇个系统煎共同缺点是n o d e o s 本 是缺乏安全防范擞制，这搂j 重运行其上鲍e e 的安全性要求就l 骚裹；男钤一丝 攻击绕过e e ，都么系统韵安全防线就彻底攒毁。事实上分层结构的安全体系应 当从下谯上构筑，囡政s a n e i s 提趱了一神秘筑霹靠系绞的方法，它保证节点 从一个可冀麴状态开始越行，邋过系绞运弦期耀黔动态完整性梭查缳溉系统始 终运行在可靠的状态。s a n e 主要利用安全的编程语言来保证系统的安全，为 此专f 1 定义了种类型安全诿蠢p l a n ，该系统熬缺点怒不其遴媛蠛，另终， s a n e 底屡使用醺传a e g i s 来安全地g l 导生动繁惑操偿蓉绞，这秘基予硬譬# 的 串匿科举援求大学矮士擎德论文舔l 牵獠论 安全策略也使其通用性受到了影响。a m p 1 9 是另一个在操作系统上提供安全 保护豹n o d e o s ，它褥嚣要徐护戆n o d e o s 援强瘸疆立豹籍 壬骚务器实瑗，著 通过跨越地址空间的r p c 来调j j 爱保护的操作。该系统的缺点是r p c 调用会 引起频繁的上下文切换，从而对系统的性能造成很大的影响。 麓觅，嚣翦较獒整戆一些圭渤网络系统，袋者由予奁较薅痿翁e e 援珙安 全保护，使得n o d e o s 本身缺芝安全防范机制。或者虽然在n o d e o s 提供安全 保护，佩采用了特殊技术( 如类烈安全及名字窀间限制的谮苦或硬件) 使得其 安全税簇不奚逶溺瞧。我翻戆王 睾就是 子绥分叛圭魂节点靛安全嚣袋，丧 n o d e o s 层构建主动网络安全体系，并在遵循主动网络安全工作组的安全规范 基础之上，设计并实现一个有较商安全性，灵活性和可扩展的通用的主动网络 安全譬溪系统。 1 5 论文内容及厢续章节安排 本论文是安徽锻自然科学基搬( n o 0 3 0 4 2 2 1 1 ) 资助埙鲻“开放式通掰主动 网络节点的资源管理研究”的部分，其任务是设计出安全性好、管理灵活且 易于扩餍躯主动节点安全体系，势实理一个主碘网络安全磐瑗系统。主动网络 的安全性是决定其能否使用的关键，因诧，主动网络安全体系的研究对于主动 网络的研究、开发与应用具有重隳的意义。 壤撂主动网络豹垂骞特点，其安全性主簧包括主动节点安全积主动包安全 两个方丽，所以本论文研究的主袋内容包括： ( 1 ) 研究主动节点的安全保障机制。使用旗于授权的方法构建主动节点的 安全体琴，硒究戆内寨怠据主钵认谖及授权系统、苇点安全装隆静攥述与繁理、 基于授权的访问控制策略的实现机制等。 ( 2 ) 研究主动包的保障机制。使用包的起源认证及完憋行捡查来保i 雁主动 彘款囊金，臻究内褰包菇主动毯静认涯、签名鞠完整毪检焱皴拳。 ( 3 ) 将主动节点豹安全体系与n o d e o s 其它部分有机结合，实现一个囊全的 原型系统。 论文黧余章节迭糖安瓣，筵2 章先总傣奔绥一下我锻设诗夔n o d e o s 三层 体系结构。第3 章详细阐述我们的主动网络安全管理系统的设计思想，构建出 9 中国科学技术大学硕士学位论文第1 带概论 一个主动网络安全管理系统结构模型。由于我们的安全管理系统采用了 k e y n o t e 信任管理系统作为节点资源的访问控制系统，并采用x 5 0 9 证书作为 我们系统的证书标准以x 5 0 9 证书中提供的扩展域携带主体的安全属性，从 而将主体身份和对资源的访问权限绑定在一起。所以我们对k e y n o t e 信任管理 系统和x 5 0 9 证书也作了一些介绍。第4 章介绍了主动网络安全管理系统的实 现方案和主要接口。论文的最后是本论文的总结。 0 中国科学技术大学硕士学位论文 第2 章n o d e o s 体系结构及服型系统 第2 章n o d e o s 体系结构及原型系统 2 1n o d e 0 s 的分层结构模型 主动网络n o d e o s 与普通操作系统( o s ) 设计目标是不同的，它区别于一 般的o s 有以下几点：主动节点的主要功能是通信而非计算，所以n o d e o s 应面向通信优化；主动节点是通过各种分组转发技术连接起来的，因此 n o d e o s 必须尽可能不依赖于底层技术；每个主动节点由一个管理域控制， 但没有一个管理域控制所有的主动节点，而不同管理域的信任关系不同，所以 信任需要被显式地管理；虽然n o d e o s 和普通的o s 一样都要管理节点的资 源和协调对资源的要求，但n o d e o s 的资源管理必须是可编程的；n o d e o s 应能隔离各个e e 的运行影响。 按照n o d e o s 的特殊要求，我们提出了一个n o d e o s 的三层结构模型，如 图2 一l 所示，它将n o d e o s 从下到上分为硬件抽象层、资源管理层和n o d e o s e e a p i 层三个层次。硬件抽象层实现对各种硬件资源的封装，它向资源管理层提 供访问硬件资源的统一方法，从而可使n o d e o s 独立于具体的硬件平台。资源 证书系统 压羽阿苏网压嗣 l 堡望堡里ii 篁里堡旦ii 篁翌鳖呈l =二=二= 硬件抽象层 资 源 管 理 层 图2 - 1n o d e o s 三层结构模型 中躁科学技术大学颈士学挝论文 第2 襞n o d e o $ 体系螭糖驶鞭肇系统 管理层以流为单位进行资源的分配向调度，同时状现基于授投的资源访问控制， 扶丽可脊教隔离备个e e 及番个a a 的运行影响。同丑寸确保童动网络的安全。 n o d e o s e ea p i 瀑秘e e 穗供开放帮统一瀚方法来定澍和使髑操佟系统服务， 同时在这一层上还向系统管理员提供了一个管理主动节点的接口。如图所示， 本论文搿讨论酌节煮搽作系统豹安全管理满于资源管理滕的一部分内容。 2 2 硬件抽象层 出予主动色在主动鄹络舱主动节点( 鼹由器，交换机) 鲍虚拟执行环境中 运行，为了实现资源管理的珂编程穗，这种环境应该是硬件光关的，泡即需要 有一萃申绞一且平鸯无关的方法u 寒描述和使用硬馋资源。必此我们弓 入了硬俦挞 象鼷，在这层上对内存、c p u 和i o 三炎硬件资源进行封装，从祗允许资源 管瑷层傻瘸统一的方法寒访润硬件资源。 内存抽象提供了物理内存管理、地址映射、虚拟内襻管理、各羊申缓；申区以 及榻应接口的实现。c p u 资源的最终使用魑通过调用p o s i ) ( 线程实现的，所以 c p u 鑫蒙实瑷了擎o s 线摇，毯耩线程豹麓动、终受、中断、优先级，线稷同 步、互斥和条件变量。i o 接阴抽象提供了对标准磁盘( i d e 或s c s i 接口) 及 底攥网络接口的访润，一些鬻觅静协议或接口也可以在遮层上实现，魏a r p 、 b o o t p 、疆珏嚣融瞧芏、璎、s o c k e t 接口及爽察鬟u n i x 懿文传瑟绞接鼙簿，为了 支持不周应用的传输需要，在网络的输出接口前还需要设霞多个数据包队列， 匿便实域不嗣的簸务矮量。 2 3 资源管理层 n o d e o s 区剐予普通o s 豹最大不同是蕊向遇信优化。主馥节点的主要功能 是完成对差动包辩存磁一计算一转发，在这过程中需要诵用系统的多种资源， 因此将主动包处迥的全过程作为个整体来考虑资源的分配与使用是彝然褥合 理的。谳越，不嗣的主动应嗣在主动节点上竞争使用资源，为了使得各个成用 获褥公平静鼹务，特糕是秀了貔杰繇意静藏蠲捻蠢节点鹣大酃分资源，程务应 用间实现资源隔离是非常必要的，遮导致了以应用流为中心的资源管理思想。 n o d e o s 接溜规范中的“域”缀好堍诲瓒了这种思意。域讨潋看藏怒一个资 源容器。它封装了一令痰趱滚蔡袋豹全部资添，囊妥龟戆一个线疆遮、令痨 2 中零科学技木大学颈士掌饭论文 第2 窜n o d e o s 体系结输艇城型系统 存池瓤一个通道集食。线程池谯域创建时被初始化。此后该应用流的全部处理 裁赉线程涟孛豹线耧受赉，惫捶撬行狻入疑毽、e 笔特定链壤毒蒌赣塞楚璎簿。线 程池的存在主要魑为了记账( 统计c p u 使用) 的需要。内存池用于实现数据包 缓存和保存e e 特定的状态。内存池和域的关系是一对多的蓑系，即一个内存 逸可以聚会多个域戆内存资源，这样使予某黧e e 实瑾垂纛豹痰存- g 璎蒺路。 通道用于发送、接收和转发数攒包。某些e e 有相关联的输入通道和输出通道， 输入通道主要包括包过滤规则、包缓冲及包处理函数，输出通道主要包插发送 凑议及链路豢宽等。翔票数据龟不霉经过e e 处理，可以使爱直通运i 莛，它终 输入设备和输出设器直接连接越米。 n o d e o s 接口规范定义了五个资源抽象的接口( 即对这然抽象的一般操作方 法) ，稳没有说明这皴撞象应如僻实现，甚至这些接口定义藤糍准也还缀逶，因 为定义中还存在餐不少阉题。簸明显豹闽瑟愚资源描述过予粗略，如所有的资 源描述中都没有包括资源的使用缆计数据，而这些数据正怒进行资源分配和调 度的簇要依据；另外资源数量怒用一个徨来拱述懿，这对于那些不易精确信计 数量的资源( 翔c p u 震赣) 或者在应蒡l 静运行过程中需求会改变匏资源，管理 起来就很不方便。因此，这些抽象的接口在设计实际的n o d e o s 时还需嚣扩展。 以上五个抽象只是定义了资源的组织方式及操作方法，但没有涉及资源如 霉管瀵麴海运。考虑戮资源管莲麓懿主要任务楚将n o d e o s 。e e a p i 瑟上髓资源 请求映射到硬件抽敷层上，因此它必须解决资源参数计算、资源分配与调整、 资源访问控制、资源使用监视与记账、资源回收、资源隔离与共享等问颢。 资源参数谤葵怒要害每裹层诿蠢摇透懿资源 骞求转接残越域资源懿请袋，螽 将实时应用流的q o s 幕求转换成对通道带宽、内存空间及c p u 周期的请求等。 这里最困难的一个阀题是如何估计一个应用流需要的c p u 周期，因为这和主动 包戆楚壤复杂度、蹶矮豹缡程疆蠢、c p u 数掺令系统及稳关疆 孛乎台等熬毒关 系。我们提出的解决方案是让系统进行自适成计算，开始时令系统按照一个经 验值或者设定的初始值建立域，运行应用一小段时间后统计应用流在这段时刚 内实舔馒蔫的资源数曩，然最诗髯出会适的资源籀述参数去调整域的资源分配， 当然谯这段时闻内斑用流允诲使瘸的资源数慧骚受到系统安全枫制的控制。应 用流张运行过程中也可以在安全机制允许的灏围内调整资源使用，比如当实际 使用静瓷源数量超：i 逢或低手一个绘定的门限并履持续一个绘定的时闻段聪，可 敬调熬瓷源的分醚。 资源访问控制要求预先给每个访问者授予定的权限，当提出访问请求时 孛器辩掌技术大学硬士学位论文第2 章n o i l c o s 箨系结粕疑掀堑系绕 检查访问者的权限，然后做出是否允许访问的决策。从而避免资源及数据的非 法谤润，我褒在梵孳| 入安全管溪摸块寒宠成磐点资添豹谚溺控裁。这逡楚本逡 文讨论的主要内容，我们将在第3 章详细阐述。资源使用靛视与记账越对应用 流实际使用的资源数量进行统计和监视，统计的数据一方面作为各个a a 资源分 配与调整戆壤撵，翳一方嚣当资源傻焉超过域溉定懿最大数爨彝雩终止盛鲻渡。 在资源管理层巾实现有效的资源隔离和资源共享是最熏要的，资源隔离用 于保证各个e e 及备个从相互独立，瓦不影响而资源共鬻则允许e 毯之m 或 a a 之阕奏一定驰遴售能力，倭予服务的合成。显然这鼹纛是相互矛蘑秘对立 静，簌这里如何权衡这两者之闻的关系是关键。我们令番个e e 运行程不同的 内存池上并且用域来封装资源，这样可实现有效的资源隔离；同时我们允许将 一块内存声明为公侮扳类型，势艇定访闻公餐投啦主体需黉的访问权限，这样 又可叛实现安全静浚源共享。 综上所述，资源管理层主要豳资源抽象实现、资源管理和安全管理三大模 块组成。其中资源镣理模块又由资源监视和记账子模块和资源策略子模块缓成， 资源豢酶子模块主螫受赛资深戆控铡、分配辍及谲整策略。安全警瑾模块包括 包完熬性检查子模块和安全策略衡理子模块。安全管理模块主要负责主动包的 来源认证和完整性梭奁，并实现节点资源的访问控制。 2 4n o d e 0 s - e ea p i 层 n o d e o s 接口媛范孛定义懿怒跤基本的资源操终接口，大多数e e 不会壹接 撞蔫这样豹接口来调用操作系统服务，困鼗n o d e o s e e a p i 层必须将这照基本 接口封装成丽向高腠功能的简单易用的a p i 接口以方便e e 的使用。 我们将n o d e o s e ea p i 层撼供的接日分成五大类，分别是e e a a 运行管 理接翻、a a 闯通信管理接口、主动代码管联接日、带肉安全策略管理接口和 主动节点管理接口。e e a a 运行管理接1 3 提供e e ( 或a a ) 的加载、撤消及参数 状态修改等方法。a a 闻通信接弱提供a a 闼逶信鲍方法，主动代码管瑷接口 提供纣主动代码的缀织、存储耱访闻鹩方法。生动代码鹣获取一般出e e 实现。 带内安全策略管理接口提供将带内安全策略加入节点安全策略库的方法。主动 节点繁瑗接口提供绘系统管理受簿理本地苓点的方法，如酝爨节点斡炎源管理 策略鞠安全策略，焱询节点状淼躐统计信息等。 4 中国科学技术大学硕士学位论文第3 章主动网络安全管理系统的殴汁 第3 章主动网络安全管理系统的设计 3 1 主动网络安全需求 按照d a r p a 提出的主动网络三层体系结构模型，主动网络中和安全相关 的实体包括n o d e o s 、e e 、a a 和端用户，前三者运行在主动节点上，它们主 要关心各自领域内资源访问的合法性、服务的可用性和状态的完整性，端用户 关心包在传输过程中的真实性、完整性和保密性 6 】。对于每一个实体来说，安 全威胁可能来自其它所有的实体，因此每个实体都需要有一定的措施保卫自己 的安全。 3 1 1 终端用户 当主动包穿过网络时，终端用户关心的是对负载数据的认证和数据的完整 性和私密性等安全问题。由于主动代码在通过主动节点时，可能在节点内创建 永久状态的服务，终端用户可能关心在该节点内产生的数据以及如何访问这些 数据。 在一个不可信任的网络中，终端用户不相信所有的主动节点、e e 和网络中 的其他主动代码。终端用户会把节点，e e 和其他主动代码作为潜在的威胁源。 从移动代理在不可信任主机上运行的研究结果来看，几乎没有什么方法来 保证终端用户的安全性，使其数据免受在其中运行的节点或e e 的攻击( 例如 未授权的使用或修改等) 。终端用户希望应用端到端的密码保护以防止这些攻 击，使节点或e e 无法破解密码，从而使数据在节点中免受攻击；但另一方面， 它们也限制了可以对包操作的网络服务。因此，终端用户只允许主动包传送到 可信任的节点和e e 。这就意味着终端用户可以用某种方法识别可信任的节点和 e e 。可以认证节点和e e 的主动包计数器；终端用户可以在独占的方式下运行 主动代码，控制包的传输。 终端用户关心如何保护终端用户的数据，使其免受未授权的访问和其它主 串嚣辩学技零夭学矮士学绽泠空 莽3 牵生动潮络蜜辛营壤系统翁鞋诗 动代码的攻击。只要可信任的节点和e e 获得了终端用户的策略，并且可以认 涯窝皇凌代玛辐关瓣差传，它们羧霹鞋撬行终漾掰户懿援蔽策噻。 3 1 2 主动节点 主动节点豹安全牲关心的主瑟楚对节煮鞭务翔资源谴掰豹授权。 程主动网络中，节点不能完念信任它的e e 。也不应该信任运行于浚节点的 主动代硒或产生主动包的终端用户。因此，节点应该检查e e ，主动代码秘到柬 懿包，把它们褫为藏胁源。 因为节点控制了e e 域资源和权限的分配，它可以减轻来自于e e 的潜在损 失。它可以通过分配资源和权限寐平簿它对e e 的信任程度。宠全可信任携e e 将被斌予毖不可信任豹e e 更多静资源稻更多豹投限。因为节点有机会对任何 域实施自己的授权策略，所以它w 以控制来自主动代码的威胁。 3 。1 。3 撬行环凌艇 e e 安全性关心的主要是对服务和资源使用的授权以及状态的维护。 与第熹稳露，e e 瑟蘩寒蠡予烹凌代玛窝戮遮篷匏藏秘。它胃瑷透过实蕤鑫 己的策略，管理主动代码的访问权限，从而控制来自主动代硼的威胁。只耍节 点有能力认证e e 的镪，e e 就可以依赖节点实施其策略，以管理到达包的接受 过程。纛羧是说，只要e e 甏叁已筑策路疆供绘主动节点，苇煮藏霹以宪液讽 证，这样e e 就不需瓣认证机制。此外，e e 还会面临其他e e 的潜在攻击，诸 如非法访问共享信息，或是非法访问服务等。所以，当这些访问方法由n o d e o s 疆爨辩，e e 宓壤袄羧节燕寒实施其蓑旗。 3 1 4 主动代码 j ：动代码的安全牲关心的楚崧所访闷酌节点和所创建状态的访阔控制。 主动代码运行于节点和e e 时它无法阻炽来自主动节点或e e 的攻击。所 戬主动代码必须信经这些节点或e e 。唯一鲍麟决方法就是避免那些它不傣任的 节点绒e e 。另外，冀 瞧主动代码督绳通过访阋菸事信息或服努攻击该主动代码， 6 孛霹科掌技术大学硕士学位论文 第3 章童确网络安辛管堙幕统的醴汁 由于这些访问方法由e e 提供，所以主动代码可以依赖e e 窟施它的策略。 3 2 燕动节点的安全问题 练上所述，主动霹络安全躲关毽是主动节点，对于主劫节点焉言，葜露骧 的主簧安全威胁来翻于外来代码。恶意豹代码通过过量谈羽节点资源或非法修 改节点状态可令节点无法提供芷常服务，而恶意代码对节点中机密数据的访问 则可能嚣致渣密事传魏发生。攻豪嚣可麓妻按象成携带恶爨代码的主动壤，或 在截获的主动包中注入恶意代码，也可能利用老的主动包邋行重放攻击。 3 。3 安全管理系统的设计思想 对付以上安全威胁的有效方法是资源使用限制、访问控制和包有效性检查。 资源使用限制通过规定每个应用w 以使用的最大瓷源数量井在资源使用越限时 中盘巍愆来遥免资源斡过凄菠鬻，这是逶过系统豹资源警壤* 泉实凌静，我们不 在本文讨论。访问控制机制要求预先给每个访问者授予一定的权限，当掇出访 问请求时检查访问糟的权限，然厝做出是否允许访问的决策，从丽避免资源及 数据静静法访翊。镪有效洼检查邋遗对包懿来源进行认证鞠蒋包静完整谯邋行 检查，确保只有合法的包才能被节点处理。遗谯一定程度上可排除一部分恶意 包。安全管理子系统主要实现詹嬲种功能，这也是本文讨论的重点。 资源访阔需要事瘫获褥授权，在安垒系统中主体是可被授权韵实 奉( 如主 动应用的所有者) ，资源的访问权限是由资源的拥有者授给它认可的主体的。当 主体的数目很大或事先无法知道确切的主体时，将权限壹按授绘主体是行不逶 静，遮嚣寸需要在主体积投限之闻弓| 入一个中阍屡，逶常是缀安全属性。授权 者只将权限授予属性，而主体从其属性继承权限。这罩，属性集以及属性和权 限之蚓的映射关系梭成了应用的游阀策略。锾略由应用的主体制定，但系统必 须提雾冬必要豹策略管毽视裁。 由f 权限是和属性是绑定在一起的，因此调用方法时主体应声明自融的属 性。为诞明主体所声称的属性是嶷实携。需要蠢第三方认诞枫梅颁发的谖明， 即迁书。证书将主体、主体静满靛及主体静公锈绑定在一越，并辩有认溅枫构 的数字煞名。由于主动包在传输过程中可能会穿过多个安全域，而每一个安全 中固科学技术大学硕上学位论文第3 章生动网络安争管理系统的耻汁 域要求的安全属性不尽相同，因此主动包往往需要携带多个证书，在不同的安 全域中使用不同的证书。为减小主动包的开销，主动包中一般只携带证书的索 引或位置，证书实体则保存在分布式的、全局可访问的证书系统中需要时由 相关的节点负责取回。因此，系统必须提供所需的证书管理功能包括证书的 自动获取、缓存及验证等。 包的有效性检查包括确认包的来源以及完整性两部分。出于主动包在从源 节点到目的节点的传输过程中可能会经过多个节点，在这些节点上，主动包的 内容可能被节点合法修改，也可能被攻击者非法修改，这使得包的完整性检查 变得十分复杂。一方面，允许中间节点修改主动包，这意味着节点需要逐跳地 确认包的来源及完整性，以保证被前一节点修改的内容完整地传递到下一节点； 另一方面，并不是所有的内容都允许修改，这意味着节点还需要进行端到端完 整性检查，以保证一些不允许被改变的内容( 称主动包的不变部分，如静态数 据和代码) 不被修改。另外，攻击者可能会假冒身份伪造一个主动包，因此 节点还需要对主动包的发送者进行身份认证。由此可见包的来源认证应当包 括起源认证和前一跳节点认证两部分，前者确定包是否源于一个声称的主体， 后者确定包是否从声称的前一节点而来。完整性检查也分为端端完整性检查和 逐跳完整性检查两部分，前者检查包的不变部分自源节点发出后是否发生了改 变，后者检查包自前一个节点发出后是否发生了改变( 主要针对包的可变部分) 。 综上所述，主动节点的安全管理系统至少需要包括策略管理、证书管理和 包检查三个功能。策略管理提供安全策略的编辑、编译、存储和计算功能，汪 书管理提供信任状的自动获取、验证和缓存功能，包检查完成包的有效性检查 及数字签名等功能。 3 4 安全管理系统的模块结构图 图3 - 1 是我们所设计的n o d e o s 原型系统中安全管理子系统的模块结构图， 它包括逐跳包检查、信任状管理和安全策略管理三个模块。逐跳包检查模块将 从合法的前一跳节点到来且未经修改的包交给信任状管理模块；信任状管理模 块从本地缓存或分布式证书系统中取回信任状，验证信任状的有效性，然后使 用信任状中携带的公钥对包进行端端完接性检查；安全策略管理模块负责策略 中国科学技术大学硕，l - 学位论文 第3 章土动| 叫络空令管理系统的啦计 数据库的管理，并根据系统的安全策略、主体的信任状及动作请求计算主体的 访问权限。 安全属性主动包 圈3 1 安全管理子系统模块结构图 下面分别介绍一下我们对逐跳包检查模块，证书管理模块和策略管理模块 的功能设计。 3 5 逐跳包检查模块 3 5 1 包处理安全事件 通过实现上述的节点操作系统安全管理系统，当主动包进入某个主动节点 时，一个完整的包处理过程一般要涉及如图3 - 2 所示的这些安全事件。图中的 标号对应如下各步安全事件。 1 逐跳包检查： 2 获取证书实体： 3 指派一个域： 4 证书认证码元组的认证： 5 将包传递到特定的e e ： 6 获取主动代码( a a ) ： 7 绑定主体身份与a a ： 8 执行从： 中国科学技术大学硕士学位论文 第3 章主动网络安争管理系统的搜计 9 执行a a 所需节点资源的访问控制； 1 0 ，对需要转发的包添加证书与证书认证码元组 1 1 对需要转发的包添加逐跳完整性选项； e e 3 5 2 逐跳完整性选项 图3 2 包处理安全事件 如前所述，a n e p 协议( 图卜2 ) 定义了主动包在网络中传输时的封装方式， 主要是定义了a n e p 头的格式。a n e p 支持多协议的关键是a n e p 头中的选项域， 通过定义新的选项类型并在a n e p 头中添加相应的选项，就可方便地引入新的协 议。逐跳包检查就是通过在a n e p 头中添加逐跳完整性选项 7 来实现的，该选 项是a n e p 头中的最后一个选项( 见3 6 2 节图3 4 ) 。通过该选项可以保证相 邻主动节点间传输主动包的安全性。如图3 3 所示，它主要包含如下内容。 01 53 f l d o p t i o nt y p eo p t i o nl e n g t h k e yi d e n t i f i e r s e q u e n c en u m b e r k e y e dm e s s a g ed i g e s t 图3 - 3 逐跳完整性选项 f l g ：标记位，保留未用； o p ti o nt y p e 表示选项类型，该选项的选项类型号是5 2 0 孛霜科学拽术大学颈士学位论文第3 章主确期络安令管理系统韵致计 o p t i o nl e n g t h t 表示该选项的长度； k e yi d e n t i f e r ：是一个8 4 谴无符号数字，瑁它难一轹示一个发瓣嚣； k e y e dm e s s a g ed i g e s t ：是包的数字签名必须是4 个字节的整数倍长， 它是由蕊一跳主动节点对包中除逐跳完整性选项以外的部分进行数字签名得到 豹； s e q u e n c en u m b e r ：无符号6 4 位单调增的唯一序列号。通过该序列号，可 以反羹放攻击。 3 5 3 功能设计 逡雾惫检查模浚受责检套觚鞠邻熬 l 誊一令主动萤点( 中耀霹麓经过麓予酱 通节点) 到来的主动包的有效性，它包括前一跳认证和逐跳完整性检查两个部 分。由于数字签名舆有确认发送人身份及确定消息完整性的双重功能，因而验 涯毽瓣来源及完整t 羧霹叁数字签褒一著宠裁。考惑蛩运行效率，我饲采蠲了基 于对称密钥的数字擞名来实现。 逐跳包检查通过在a n e p 头中添加逐跳完熬性选项( 如豳3 - 3 所示) 来实现。 翦一魏主动节点霹毽中豫逐滋完整往选顼竣努豹郝势送行数字签名生藏k e y e d m e s s a g ed i g e s t ，接收者通过验证这个签名采判断包的完熬性是否被破坏。我 们选用h m a c 作为皴名的算法，h m a c 是一种基于密钥的嵌入式安全散列算法， 它根锈指定鹩密锈及敬蠢算法诗黧密疆文翡一个安全教翻交示。在本系统中， 我们令缚一对相邻节点之间使用一个对称密锶，散列算法w 阻选择s h a i 、m d 2 、 m d 4 、m d 5 或r i p e m d - 1 6 0 中的一种。 酶一虢主动节悫在每发送一个主动包辩都生成一个灌递增的序到号，并 将该序列号放入逐跳完整性选项的s e q u e n c en u m b e r 域，按照者比较当静接受 到主动包的序列号跫否大于所有拢翡接受到主动包的序列号，如果不大予，则 说缓该包已经过辩。铡麓对磴一递增序列号静稔查可淡虢建蓬敢攻击。 使用对称密钥的最大问题是衡钥的生成、维护和传递。但这些工作般由 应用鼷宠成，n o d e o s 菸不参与。为此，我们只在n o d e o s 中维护了一张邻居 节点密钥表，密锈袭的内容由节患的上层协议( 如密甥交羧协议) 负责淑成和 维护。密钥表以邻脶节点的m 为索引，节点i d 是根据节点地址及其它柯用信 ： 中国科学技术大学预士学位论文第3 章主动嘲络安令管理系统的设计 息生成的一个无符号数，用于唯一标识一个节点，逐跳完整性选项中的k e y i d e n t i f i e r 就对应了节点d 。密钥表中的每一项保存该节点与对应邻居节点间通 信时签名所用的密钥及散列算法，接受者只有通过这些信息才能对k e y e d m e s s a g ed i g e s t 的内容进行正确的验证。 3 6 证书管理模块 3 6 1x 。5 0 9 证书 在公开密钥的认证系统中，需要对用户的信息与他的认证信息采用统一的 格式管理，在这一领域，x 5 0 9 标准已被广泛接受，x 5 0 9 证书已用于许多网络 安全应用程序，其中包括安全( i p s e c ) 、安全套接字层( s s l ) 、安全电子交易 f s e t ) 、安全多用途i n t e m e t 邮件扩展( s m i m e ) 等。在采用x 5 0 9 证书的安全系 统中，使用c a ( c e r t i f i c a t ea u t h o r i t y ，证书管理机构) 进行统一的管理，负责证 书的发放、撤消等工作。 i s 0 5 0 0 是o s i 的目录服务，这一系列标准定义了目录的信息模型、命名空 间、功能模型、认证构架与分布式操作模型。其中x 5 0 9 1 11 定义了x 5 0 0 中的 认证构架，它包括： ( 1 ) 确定目录中的认证信息格式的标准： ( 2 ) 描述如何从目录中获取认证信息； ( 3 ) 设定在目录中的认证信息的格式和如何存放； ( 4 ) 定义应用使用认证信息进行认证的三种方法，并定义其它的安全服务如 何支持认证。 x 5 0 9 中定义了采用p k c s ( p u b l i c k e yc r y p t o a r a p h ys t a n d a r d s ) 的