|
主动网络的安全模型研究
张 明 曾家智*
(电子科技大学新型网络教研室 四川成都 610054)
摘要:与传统网络相比较,主动网络具有更大的优越性,它是未来网络的发展方向,而安全性是制约主动网络迅速发展的一个重要因素。本文介绍了主动网络的基本概念和主动网络的安全技术,以主动信囊为基础,提出了一种适用于主动网络的安全模型,该模型可以为主动信囊提供认证、授权等安全措施,能够在一定程度提高主动网络的安全性能。
关键词:主动网络 安全 信囊 认证 授权 策略
中图分类号:TP393 文献标识码: A
Secure Model Research of Active Network
ZHANG Ming ZENG Jia-zhi
(New Type Network Research Office , UEST of China, Chengdu, China 610054)
Abstract Compared with the traditional network, Active Network is characterized by better advantages, it leads to the developing direction of the network in future. However the security is a fatal factor restricting the rapid development of Active Network. This paper introduces the basic conceptions and security technologies of Active Network. Based on the capsule, a secure model is presented for Active Network and provides some secure measures for the capsule, such as authentication and authorization. The secure model can improve the secure performance for Active Network to some extent.
Key words active network; security; capsule; certification; authorization; strategy
主动网络[1](Active Networks) 是针对传统网络的不足而提出的,具有许多传统网络不具备的优越性[2,3]。先进的主动技术和分布式运算技术在网络体系中得到了充分应用,网络也具有了“主动”的特性。通过将可执行代码随数据包在网络内传输,可以使新服务和新协议在全网范围内迅速实现; 从另一个角度来讲,通过主动网络,主动信囊可以控制网络的某些运行特征,远程动态修改网络配置,从而加速了网络应用和网络服务的更新。
1. 主动网络体系结构
传统的网络主要是被动传送数据。网络系统对数据本身的语义不作分析、理解, 扮演网络计算的角色很有限, 因而称为被动网(passive network)。
主动网络AN (Active Network) 的概念最早是在1994~1995年DARPA (Defense Advanced Research Projects Agency) 在讨论网络系统的未来发展方向中提出的。主动网络的节点体系结构由节点操作系统(NodeOS)、执行环境(EE) 和主动应用(AA ) 三部分组成,见图1:
EE 定义了一个虚拟机和主动网络主动信囊可调用的编程接口。
AA 是一段程序, 它通过使用EE 提供的编程接口, 实现端主动信囊所定制的服务。
张明,男,1972年5月生,汉, 电子科大计算机软件工程领域硕士研究生,现主要研究方向为新型网络体系结构.
曾家智,教授,博士生导师,主要研究方向为计算机网络与通信.
NodeOS 提供了执行环境所赖以生存的基本功能, 它管理主动节点的资源, 并且在资源(如传输、计算、存储等) 之间进行协调。
图1 主动网络体系结构
目前的主动网络方案主要有两种:主动信囊(capsule)[4]方案和可编程交换方案。主动信囊方案以主动信囊代替传统的IP数据包,在主动信囊内包含可执行的程序和数据。可编程交换方案将信息的处理与程序的注入分离开来,使两者分别采取不同的机制。
2. 主动网络安全技术
主动报文采用ANEP[5](Active Network Encapsulation Protocol,主动报文封装协议),携带程序是非常有效的,但同时也是十分危险的。 正确地执行、安全地传输及如何安全地控制主动信囊存取主动结点的资源, 是主动网络安全性的要求。主动网络安全技术针对主动网络中各个部分对安全的需要,采取相应措施对其加以保护。具体来说,主动网络主要采用如下几种安全技术。
2.1认证
认证就是一个校验身份的过程,每一个主体都应通过认证而赋予一个能代表其身份的证书,认证的具体实现采用公钥体系结构(PKI)作为认证机制,而证书的格式采用X.509v3格式。在每个信囊中都含有证书,为了保证信囊的完整性,采用了数字签名技术,该技术同时也可以对发送者的身份进行确认。
下面介绍两种认证:
2.1.1 预言家(oracle)补偿认证
预言家是一个中间节点,它能够证明某些信息是否已经包含在主动信囊中,并且它具有比其它节点更高的安全访问权限。当后面的节点不能访问系统的安全信息或者无法使认证者合法化时,它能够向这些节点提供所需的相关信息。预言家可能位于节点的边界,作为边界控制者。
及时认证
及时认证是主动网络的一种容错技术。当主动网络出现故障而导致认证或授权不能通过验证时,主动信囊以降低的优先级执行,这样就保证了主动信囊能够持续、不间断地在主动网络内执行。
2.2授权
在主动网络中,授权是一个重要的问题,它决定了主动信囊可以访问哪些资源以及对这些资源能够进行哪些操作。一般说来,主动信囊的基本权利是自动赋予的。当主动信囊需要更多的资源访问权限,就必须向授权中心提出申请。授权中心经审查后向主动信囊发放主动信囊ID、组ID、权限、密钥以及数字证书,同时,授权中心通知主动网络各节点更新访问控制表。
2.3 安全策略
在主动网络中,安全策略表现为对资源访问控制的形式。安全策略的实现需要对网络资源进行划分,以及为每一资源对象定义可访问操作集。另外还需要对访问权限划分不同级别并将不同级别的权限赋予不同的主动信囊组。同时,权限级别的划分也是安全审计与自动授权委托机制的必要条件。
对于策略的描述可以采用访问控制表(ACL)及权能(Capability)[6]的方法。
2.4 主动权能(AC Active Capability)
AC可以随主动信囊代码以及主动信囊访问权限进行动态修改。它是一段用Java编写的代码,这段代码可以应主动信囊的要求对访问控制权限及访问过程中的其他限制进行编码,它体现出动态的安全策略机制。同时,主动权能用数字签名来保证它的可靠性,它可以驻留在主动信囊区,可以被主动信囊代码访问。
主动权能以一个基本策略框架作为初始,其中包括最基本的数据、协议、访问控制和主动信囊认证。在运行的过程中,动态地下载所需要的策略代码加入它的策略框架中。当然,主动权能中的本主[7]、主动信囊、角色都是经过权威机构认证的。虽然这种方法可以动态地实现策略集合的扩展,但随着系统的应用,动态地扩展很多的策略会使主动框架很冗大,可以将策略框架扩展成主框架和附框架的层次机构,将最基本的策略置于主框架中,而一些不是经常应用的策略置于附框架中。
2.5执行引擎
执行引擎负责响应EE的服务请求,对信囊主体的身份进行认证并授权信囊对资源的访问。虽然策略灵活多变,但对于不同的主体和不同的策略,其认证授权的机制却相同。为了提高系统的灵活性,将执行引擎与策略的描述相分离。在实现上,执行引擎可分为认证授权执行引擎和资源访问控制执行引擎,分别进行认证、授权和控制对节点资源的合法性访问。执行引擎在为EE提供服务时,查阅证书库对信囊主体进行身份认证,参考策略库授权进行资源访问,只有通过认证和授权才允许访问节点资源,不能通过认证的主动信囊不允许执行而被丢弃,通过认证但不能通过授权的主动信囊允许执行,但只能访问默认的最小节点资源。
2.6代码撤消
主动网络安全要解决的另一个主要问题是代码撤销。当发现了一个终止主动代码的原因,这个主动代码已分布于系统,则无论在那里发现,一定要终止它。可用移动代理系统的代码定位方式实现 ,并使用全局数据库方式实现代码撤销,其具体方法是:在主动网络上分布式建立转发信囊登记表,记录每个转发信囊的ID 和下一个转发节点的地址。当发送者请求代码撤消时,采用递归方法确定代码位置,执行代码撤消命令撤消代码。
2.7 数字水印技术
数字水印技术是在主动信囊中嵌入特殊的隐藏标志,以验证代码是否被篡改过。因为这种类型的主动网络中的主动代码为定制的服务程序,程序的规模较大,有利于提高水印方案的安全性和效率。
3 主动网络的安全模型
通过对以上主动网络安全技术的分析,本文提出一种主动网络的安全模型,如图2所示。
图2 主动网络的安全模型
在该模型中,当主动网络发现主动信囊出现异常或者出现错误,而该信囊已经分布在网络中了,则必须采用代码撤销方法,通过代码定位方式找到该主动信囊并且立刻终止它。同时,主动信囊发送时,通过数字水印技术在主动信囊中嵌入特殊的隐藏标志;接收时,需要识别该信囊中的隐藏标志是否被篡改,如果已经被篡改过,则丢弃该信囊。这样将增强采用直接向网络节点插入主动信囊定制程序来配置或扩展网络功能的主动网络安全。
通过数字签名来验证主动信囊的完整性,如果信囊是完整的,则可以对该信囊进行加密操作,然后将信囊发送出去;如果信囊是不完整的,则将其证书填入证书库以备今后认证查阅。如果信囊中含有资源访问控制策略,则将策略填入策略库,以便授权时参考。然后由认证引擎和授权引擎在安全策略的支配下,将信囊传输至资源访问控制引擎,在授权范围内对主动网络节点资源进行访问控制。当信囊的优先级很高时,为了防止信囊消耗过多的节点资源,采用限制技术, 如时间限制(限制主动信囊执行的时间长短);范围限制(限制允许信囊经过的节点总数);拷贝限制(限制信囊拷贝自己的次数)等以阻止主动信囊独占节点资源。
另外,在主动网络中,安全策略表现为对资源访问控制的形式,模型中采用访问控制表ACL及主动权能AC来描述策略,而AC可以应主动信囊的要求,对访问控制权限及访问过程中的其它限制进行编码,它体现出动态的安全策略机制。
4 结束语
虽然主动网络体系结构的研究取得了一定的进展,但是在改善安全性能方面还不尽人意。本文介绍了主动网络的安全技术,并提出一种安全模型,融合了主动网络的安全技术,丰富和完善了主动网络的安全性能。
参 考 文 献
1 Tennenhouse D L, Smith J M, Sincokie W D, et al. A survey of active network research [J]. IEEE Comm Mag,
1997, 35(1); 80~85.Y
2 amamoto M, Performance Aspects of Active Network Applications [M]. Osaka University, 2001.
3 Lau W. Current directions in Active Programmable Network[M]. University of Utah, 2001.
4 Tennenhouse D L, Wetherall D J. Towards an active network architecture. ACM SIGCOMM CCR.
1996;26(2):5~18. et al.
5 Scott D A, Bob B,Carl A G, et al. ANEP: active network encapsulation protocol [EB/OL].
http://www.cis.upenn.edu/SwitchWare/ANEP/docs/ANEP.txt, 1997-07-01/2000-03-09.
6 Ken C, Roy C, Carl G, et al. Security architecture for active network[EB/OL].
http://www.ittc.ukans.edu/~ansecure/0079.html,2000-05-19/2000-12-10.
陈 茹, 朱小骏. 主动网络节点研究及安全实现[J].微机发展,2003, 13(8):108~113
作者简介:
张明,男,1972年5月生,汉, 电子科技大学计算机软件工程领域硕士研究生,现主要研究方向为计算机新型网络体系结构.
ZhangMing, Male, born in 5,1972, Han, post-graduate in Computer Software Engineering Field, UESTC,present research direction is New Type Network Architecture.
联系方式:
电子科技大学计算机学院新型网络教研室 四川成都 610054
联系电话:
13086699722, 028-83204873 E-mail: davidzm@sina.com
《孟子·梁惠王》下(1)
85(总2359)
丙泊酚对脂多糖诱导的大鼠肺微血
主动网络的安全模型研究 张 明 曾家智* (电子科技大学新型网络教研室 四川成都 610054) 摘要:与传统网络相比较,主动网络具有更大的优越性,它是未来网络的发展方向,而安全性是制约主动网络迅速发展的一个重要因素。本文介绍了主动网络的基本概念和主动网络的安全技术,以主动信囊为基础,提出了一种适用于主动网络的安全模型,该模型可以为主动信囊提供认证、授权等安全措施,能够在一定程度提高主动网络的安全性能。 关键词:主动网络 安全 信囊 认证 授权 策略 中图分类号:TP393 文献标识码: A Secure Model Research of Active Ne 主动网络的安全模型研究
|
