!)国家自然科学基金(60363001)资助项目。陈晓林 副教授;陆桑璐 教授,博士生导师;陈道蓄 教授,博士生导师,研究领域均为分布式计算与并行处理。
计算机科学2006VoI.33N.8
主动网络安全的研究与进展!)
陈晓林1,2
陆桑璐2 陈道蓄2
(楚雄师范学院计算机科学系 楚雄675000)
1
(南京大学计算机软件新技术国家重点实验室 南京210093)
2
摘 要 主动网络面临的安全挑战比传统网络更严峻,安全问题成为由实验阶段进入实际应用阶段的关键。本文介绍了主动网络安全体系结构,总结了主动网络安全的研究现状,分析比较了实现主动节点安全的
方法,并进一步探讨了未来主动网络安全研究中值得注意的方向。
关键词 主动网络,主动节点,安全,网络体系结构
Rearch and Development of Active Network Security
CHEN Xiao-lin 1,2
lU Sang-lu 2 CHEN Dao-Xu 2
(Department of Computer Science ,Chuxiong NormaI University ,Chuxiong 675000)1
(State Key laboratory of NoveI Software TechnoIogy ,Nanjing University ,Nanjing 210093)
2
Abstract Security issue chaIIenges active network much more than it does to the traditionaI one ,and obviousIy is an obsta-cIe preventing active network from being put into reaI appIication.In this survey ,we focus our rearch on active network -curity.We first prent the state-of-art of this rearch fieId ,and then introduce the curity architecture of active networks.Afterwards ,differen
t approaches to impIement cure activate network are anaIyzed.FinaIIy ,we give some interesting fieIds that are worthy of investigation and rearch in the future.
Keywords Active network ,Active node ,Security ,Network architecture !"引言
目前,基于TCP /IP 的Internet 采用层次型网络体系结构。对等层间的通信需要采用相同协议,使得新协议能广泛应用于Internet 都需要一个前提:通过标准化过程成为一个标准协议。随着Internet 的迅速发展,用户对网络服务的需求变化很快,没有人知道未来10年内会出现什么样的新网络
服务[1]
。但针对用户需求的新协议,从提议到形成标准需要
多年的时间,使得网络提供商无法针对用户需求变化而及时地提供相应服务。另外,TCP /IP 协议栈的沙漏模型中,瓶颈处的网络层和传输层是各种物理网络之间和高层应用程序之间实现互操作的基础,为了保证它们的相对稳定性和向后兼容性,对它们进行修改将经历一个缓慢的标准化过程。而且,修改TCP /IP 协议将导致修改Internet 中所有路由器和主机操作系统中的TCP /IP 实现,从而经历一个漫长的手工部署过程。目前大多数高速路由器的IP 实现与硬件捆绑在一起,修改IP 实现需要替换昂贵的硬件,导致部署新的IP 协议尤为困难,IPv6、RSVP 、MuIticast 至今仍未得到广泛应用就是最
好佐证。所以,目前的Internet 体系结构缺乏灵活性,使新协议和新服务不能及时应用到Internet ,延缓了Internet 基础设施的进化速度。
主动网络[2~6]
为解决上述问题提供了一种有效途径。主
动网络的“主动”表现在通过主动报文将用户定义的计算引入到路由器。主动报文除携带数据载荷外,还可携带用户编写的程序代码。主动路由器除对经过的主动报文做存储、转
发,还对报文内的数据进行处理,甚至执行报文内携带的程序。用户(网络提供商或普通端用户)可以通过发送主动报文,向报文经过的主动路由器插入用户定义的程序。这些程序一方面可以动态引入、配置、定制应用定义的服务,使用户定义的新协议和新服务可立即自动下载、安装并应用到这些路由器,而无需经过漫长的标准化过程和手工部署过程;另一方面,可以利用主动网络中间节点的处理能力以及获取应用所需的但只有网络中间节点才可获取的信息,以便于协同端应用计算,简化具有内在分布式特性的网络应用的设计。这些使得主动网络不仅可以加快新协议、新服务应用到Internet 的速度,提高Internet 基础设施的进化速度以及增强网络管理的能力,而且非常适合解决大规模分布式计算系统的可扩展性、自适应性和自组织性等挑战性难题。主动网络具有非常广阔的应用前景,可应用于可编程的网络基础设施、网络管理、无线移动计算、分布式端到端应用等领域,是将来网络体
系结构发展的一个趋势,是Internet 的发展方向之一[7,8]
。
然而,在主动网络中,用户可以向主动路由器插入并执行用户定义的程序,使其面临的安全挑战比传统网络更严峻。主动网络要由实验阶段进入实际应用阶段,安全问题最为关键,所以主动网络安全成为目前的一个研究热点。#"主动网络体系结构
主动网络由互联的主动节点组成,相邻节点间可通过物理网络直联,也可通过UDP 隧道等方式建立逻辑直联。主动节点为主动报文中携带的主动代码(或主动代码的引用)提
·
搀的意思
41·
供执行环境。主动报文到达主动节点后,主动节点从报文中提取主动代码或根据主动代码的引用获得相应主动代码,然后执行这些代码。这些代码可以改变报文自身的内容或主动节点的环境状态,从而实现报文处理或网络服务的配置。
The DARPA Active Networks Community于1999年发布了主动网络节点体系结构(Active Network No
de Architecture,简称ANNA)[9~11],一个主动节点由一个节点操作系统(Node Operating System,简称Node OS)、一个或多个执行环境(Exe-cution Environment,简称EE)组成。EE负责用户-网络接口的所有方面,包括用户发送的主动报文的语法、语义,提供的编程模型和抽象,地址和命名机制。每种EE向用户提供一些API,这些API定义了一个用于解释、处理主动报文的虚拟机。不同的EE定义不同的虚拟机,可以将IP实现看作是一个简化的EE。多个EE可以运行在一个主动节点上,不同的EE标识不同。主动节点根据主动报文中的EE标识,将报文交给相应的EE进行处理。Node OS管理可用的节点资源和控制资源竞争,EE访问节点资源都必须通过Node OS,Node OS还实现一个安全策略数据库和一个执行引擎(Enforcement Engine)来控制资源的安全使用。另外,Node OS支持对EE 有用的抽象,如路由表。用户通过主动应用(Active Applica-tion,简称AA)与EE的交互来获取服务。一方面,用户可动态获取并组合EE提供的服务;另一方面,用户可通过EE提供的API来编写自定义的服务并将新服务加载在EE上。为了使EE能移植到多种不同实现的Node OS上,ANNA定义了EE与Node OS的边界接口。Node OS接口定义了4个主要的抽象:线程池、存贮池、通道和域(Domain,早的版本称为flow)。前3个封装的是3种系统资源:计算,通道和带宽,第4个用于前述三者的控制和调度。
!"主动网络安全体系结构
连眉的人早亡
针对ANNA中各组成构件面临的安全威胁,The DARPA Active Networks Community于2001年11月发
布了主动网络安全体系结构(Active Network Security Architecture,简称AN-SA)[12],随后ABone(Active Networks Bone)针对其特点对ANSA做了少许修改,形成ABone的安全体系结构[13]。
在主动节点中,有4类实体需要保护,它们分别是:源和目的地的端用户、Node OS、EE和AA。同传统网络一样,端用户关心主动报文中负荷数据(Payload Data)的真实性、完整性和保密性。另外,由于AA可通过主动报文在它经过的主动节点中创建临时或持久状态,端用户还关心这些状态会不会被Node OS、EE和其它AA非授权访问。Node OS关心主动代码、EE和端用户是否授权使用节点资源和Node OS提供的服务。另外,Node OS还关心自身状态的完整性和保密性。EE关心主动代码和端用户是否授权使用EE资源和EE提供的服务,也关心EE自身状态的完整性和保密性。AA由在端节点上运行的代码和在主动网络中运行的主动代码组成。AA关心其主动代码的完整性、创建在主动节点中的状态、提供的服务是否被其它AA非授权访问。
ANSA没有涉及上述4类实体各应采用什么措施以保证它们的安全,只讨论了授权策略的实施。通过以下机制实施动态的、可扩展的、可互操作的授权策略:第一,有一种通用的授权策略表示语言,主动报文中可以携带用授权策略语言表示的授权策略,主动节点可对这些授权策略进行解释。第二,有一种方法来表示请求授权的实体(Principal)。主动网络中的安全不仅依赖Principal的标识(Identity,简称ID),而且依赖Principal的属性。为了使得授权策略的表示具有可扩展性,使用证书(Credential)
表示Principal的属性,授权策略根据Principal的属性制定,而不是根据单个的Principal ID制定。一个Principal可以拥有多个证书,不同的证书可能在不同的安全域使用。主动报文中可以携带Principal ID和Prin-cipal拥有的多个证书(或证书的引用)。主动报文经过主动节点时,主动节点从主动报文中提取出对该节点所在安全域有效的证书,并根据它们和本地策略确定Principal拥有的权限,即该主动报文使用节点资源的权限。第三,有一些机制保证Principal的真实性和主动报文的完整性。ABone的Hop-By-Hop安全保护虽然可以保护相邻主动节点间通信的完整性和真实性,防止地址欺骗、重放攻击和中间人攻击等,但它是以相邻主动节点的ID作为授权对象,而主动节点需要以发送主动报文的端用户ID作为授权对象。所以仅采用Hop-By-Hop安全保护是不够的,还需要端到端的安全保护,即基于Principal和Credentials的端到端认证和授权。然而,由于主动报文中的数据可以被其经过的主动节点读、写,使得端到端认证具有挑战性。ANSA采取了一个折衷的办法,即将主动报文中的负荷分为静态和可变两部分,静态部分包括主动代码和静态数据(数据内容不可以被修改),可变部分的内容可以被主动节点修改。数字签名只覆盖静态部分,Hop-By-Hop完整性保护覆盖静态部分和可变部分。只依靠Hop-By-Hop完整性保护,并不能确保可变部分不被非授权修改。ANSA希望端用户在AA中增加主动代码以保护可变部分的安全。
ANSA建议通过密码、证书、策略、授权执行4个组件实现上述授权策略的实施。密码组件提供加密、签名、密钥管理等服务;证书组件提供证书验证、检索等服务;策略组件由一个策略数据库和一个策
略评估引擎组成,提供策略的存贮、检索、评估等服务;授权执行组件根据Principal及其Creden-tials、本地策略确定是否授权Principal请求的操作。
#"主动网络安全的研究现状
早期的主动网络节点实现大多在ANNA发布之前,这些实现很多只有EE,没有Node OS,并且只有简单的安全模型,例如ANTS[14]、ASP[15]等。在ANNA发布之后、ANSA发布之前实现的Node OS大多也只有简单的安全模型,如Bow-man[16]、Scout[17]。目前主动网络安全的研究主要集中在安全EE和安全Node OS上,国外已在这两方面开展了大量研究并取得了不少成果。典型的安全EE有:Network Associates Technology,Inc.的SANTS[18](Secure ANTS),Pennsylvania大学Switchware[19]项目中的PLAN[20](Packet Language for Ac-tive Network),Secure PLAN[21],SANE[22](Secure Active Net-work Environment);典型的安全Node OS有Cambridge大学的RCANE[23](Resource Controlled Active Network Environment)和Utach大学的Janos[24](Java-bad Active Network Operating System)。国内一些高校和研究机构也对主动网络进行了研究,但对主动网络安全的研究还很少。
#!$"典型的安全""
4.1.1 SANTS
SANT是一个基于ANTS的安全EE,它完整实现了
·
5
1
·
ANSA 的安全机制。
阴阳师狐妖在认证方面,
SANTS 采用X.509版本3证书表示Princi-pai ID 和Principai 属性,并使用DNSSEC 存贮和检索X.509证书。与ANSA 不同,SANTS 认为一个主动报文中的Princi-pai ID 可能有多个并且是可变的(主动报文经过某些节点时,节点可以在主动报文中增加新的Principai ID ),因为一个安全域的Principai ID 和Principai 属性在其它安全域可能没有任何意义。为了支持主动报文在不同的安全域使用不同的Principai ID 和Principai 属性,SANTS 在一个主动报文中可以携带多个X.509证书引用,每个X.509证书引用包括X.509identifier 和相应DNS CERT record 的域名。同ANSA 一样,SANTS 将主动报文负
荷分为静态部分和可变部分。静态部分的保护使用数字签名。HMAC-SHAl 完整性保护覆盖整个主动报文。当收到主动报文,SANTS 从主动报文中提取出X.509证书的引用,通过DNSSEC 检索到相应的证书并验证这些证书,然后验证每个证书对主动报文静态部分的签名,通过上述两步验证的证书将传递给策略评估引擎(Poiicy Evaiua-tion Engine ),作为请求授权的实体。
在授权方面,SANTS 采用KeyNote [25]
少先队入队誓词信任管理系统作为
授权策略语言和策略评估引擎,并在Java 2安全体系结构的基础上开发了一个授权执行引擎。但授权执行引擎只能根据授权策略控制主动代码的装载和控制主动代码是否有权执行某个方法,不能保证主动代码安全消耗主动节点资源。
4.l.2 PLAN /Secure PLAN
PLAN 是一个主动应用编程语言,提供语言级支持远程执行程序。在PLAN 中,执行OnRemote 原语将构造一个包并发送给远程节点,这个包在远程节点执行OnRemote 原语定义的计算,计算被定义为一个具有0个或多个本地参数的函数调用。另外,PLAN 程序可以使用通常的函数调用语法调用服务。服务由执行PLAN 程序的节点提供,服务可以用C ,Java 等语言实现,如图l 所示。PLAN 被设计成
所有的PLAN 程序都是安全的。也就是说,PLAN 程序(没有调用服务或只调用了安全的服务)不可能发起拒绝服务攻击,也不可能有
害于其它程序或节点中的代码和数据。
图l Ping in PLAN.Service invocations are itaiics
因为PLAN 的表达性有限,使得纯PLAN 程序的灵活性较差。解决这个问题的方法是调用服务,而服务可能是用C 这样的弱类型语言实现的,这就不再保证调用了服务的
PLAN 程序仍是安全的。Secure PLAN 通过OCM [26]
(Ouery
Certificate Manager )策略管理器控制PLAN 程序调用服务,当一个PLAN 程序要调用一个受保护的服务,与PLAN 包相关联的principai 将被认证,并由策略管理器根据已认证的prin-cipai 和本地策略库决定是否允许调用。Secure PLAN 只讨论了服务策略的定义和执行,没有涉及资源策略。
在服务策略的定义方面,每principai 对应一个ACL (Ac-cess Controi List )的可扩展性较差。为获得较好的可扩展性,Secure PLAN 采取:第一,假设有一个核心服务集,ACL 定义了在核心服务集之上的哪些服务可提供给哪些principai ;第二,定义一些principai 集和服务集,并建立两者之间的映射;第三,基于策略的参数化(poiicy-bad parameterization )不仅可以定义一个服务是否可以被一个principai 使用,还可定义一个服务如何被principai 使用。例如一个软状态服务允许PLAN 包在节点中暂时存储一些状态信息,并为不同的princi-pai 分配不同大小的存储空间。
在服务策略的执行方面,为了减少策略检查的开销,Se-cure PLAN 采用基于命名空间的安全(namespace-bad cur-ity )
。PLAN 包的principai 通过认证后,将该包可以调用的所有服务加到该包的服务命名空间,之后该包要调用一个服务时,如果服务在该包的服务命名空间中,则允许调用,否则被拒绝。
4.l.3 SANE
SANE 由AEGIS Bootstrap [27]和ALIEN [28]
组成,体系结构
如图2所示。AEGIS Bootstrap 保护系统安全启动,防止在系统启动过程中系统管理员信任的系统硬件和软件被篡改。ALIEN 由Loader ,Core Switchiet 和Library 组成。Loader 通过Objective Cami 运行时系统提供一个访问操作系统的接口,并提供系统启动功能和装载Switchiet (即主动代码)功能;Core Switchiet 提供一个接口给Switchiets 并确定系统的安全策略,它通过Loader 来访问操作系统资源;Library 是一个函数库,它提供一些有用的例程(routines ),这些例程不需要特权就可执行。Switchiets 只能通过Core Switchiet 提供的接口和Li-brary 访问节点资源。
AEGIS 将系统启动过程分为五级:第一级包含一小部分可信的代码、数字签名、公钥证书和恢复代码;
第二级包含所有的扩展卡和扩展卡上的ROM ;第三级包含操作系统的引导扇区;第四级包含操作系统;第五级为ALIEN 体系结构和其它主动节点。传统的引导过程使用jump 或caii 指令跳转到下一级时,不检查下一级的完整性,而AEGIS 使用公钥加密和加密Hash 保护每个低级向上一级的转移,并且即使下一级的完整性检查失败,也能通过一个可信的repository 进行恢复。这个repository 可以是一块扩展ROM 卡,它包含所需的已通过完整性验证的软件备份;repository 也可以是另一个主
动节点,它通过Station-to-Station [29]
安全协议为没通过完整性
检查的节点提供恢复所需的软件。
图2 SANE 的体系结构
Core Switchiet 中的安全策略通过moduie thinning 和type safety 实施。Switchiet 用类型安全语言Caim 编写,保证一个switchiet 只能访问它可以命名的数据和函数,使得多个switchiets 可以运行在同一地址空间而又保证它们之间的内存隔离。moduie thinning 使得Core Switchiet 可以为不同的switchiet 提供不同的接口,例如可以为一个可信的switchiet
·
6l ·
提供一个功能丰富的接口,而为一个匿名switchiet 提供一个功能受限的接口。通过设计接口,系统可以控制switchiet 能做什么和不能做什么,从而控制switchiet 对系统资源的访问。
!."#典型的安全NodeOS 4.2.1 RCANE
RCANE 是一个基于Nemesis [30]
操作系统的NoGeOS ,它
允许主动节点执行非信任的主动代码,并控制这些代码消耗节点的CPU 、内存和网络带宽资源;另外,它提供多个主动应用之间的资源隔离,并允许不同主动应用相互通信。RCANE 采用ALIEN 的体系结构,由Runtime ,LoaGer ,Core 和Libraries 组成。与ALIEN 不同的是,RCANE 的Runtime 提供CPU 和网络带宽的实时调度,并为每个主动应用提供独立的堆和垃圾回收器,同时对主动应用消耗的节点资源进行记帐;在Runtime 的支持下,RCANE 的Core 提供一个与NoGeOS 中Domain 相似的抽象Session ,一个Session 代表一个principai 和预留的节点资源,Session 之间是相互隔离的。一个Session 的活动不会影响其他Session 的OoS (一个Session 使用另外一个Session 提供的服务除外)。
4.2.2
Janos
图3 Janos 的体系结构
Janos 是一个面向Java 的NoGeOS ,支持非信任的Java 主动代码在主动节点中执行,并对Java 主动
代码的执行提供较
精确的资源控制。Janos 的体系结构如图3所示。OSkit
[31]
是一个操作系统的开发工具集,它提供了一个框架和一些组件库及函数库,用来构造操作系统内核、服务程序和其他操作系统级功能。它将操作系统的实现模块化为一些可重用的独立组件和相互依赖最小化的C 函数库。C 函数库提供相对低级的服务,例如内核引导、内核环境的建立等;组件提供相对高级的服务,例如调度、设备驱动、内存管理、文件系统等;组件间通过COM (Component Object MoGei )接口进行通信。通过利用或替换组件库中的组件和函数库中的函数,开发者可
以快速开发一个用户定制的操作系统。Moab [32]是一个在
OSkit 上用C 语言实现的NoGeOS ,向EE 提供一个与DARPA NoGeOS 接口定义基本一致的C 语言接口,支持DARPA NoGeOS 接口定义的域、线程池、存贮池和通道。JanosVM 是一个基于kaffeOS
[33]
的Java 虚拟机,支持操作系统中的进程
抽象。每个Java 应用程序以一个进程的形式在虚拟机中执行,每个进程有各自独立的堆和堆回收线程。JanosVM 提供了进程间相互隔离和限制进程消耗节点CPU 、内存和网络出口带宽的能力,以及进程终止的能力和受限的进程通信能力。JanosVM 用C 和Java 混合实现,它有两个版本,可分别运行在Moab 或Linux /BSD Unix 上。Java NoGeOS 将DARP
A NoGeOS 接口定义映射为Java 语言接口,并提供给EE 。它也有两个版本,一个运行在JanosVM 上,另一个运行在Moab 上,将Moab 提供的C 语言NoGeOS 接口映射为Java 语言接
口。ANTSR
[34]
是一个基于ANTS 的EE ,它在Java NoGeOS 提供的接口上实现,并作为JanosVM 的一个进程执行。与ANTS 相比,ANTSR 依靠JanosVM 提供的进程抽象和改进的安全机制,可以控制AA 安全地消耗节点资源,而ANTS 只可以通过命名空间限制来控制AA 能装载哪些代码,但不能控制已装载的代码非授权地或过量地消耗节点资源。$#分析与总结
在主动网络中,主动节点要执行主动报文中用户定义的主动代码,而这些代码可能非授权地访问主动节点中的信息和资源、过量消耗节点资源等等,使主动节点面临非信任主动代码的安全威胁。总结目前控制非信任主动代码安全访问节点资源,保护主动节点安全的方法,主要可以分为5类:
第一,使用类型安全语言作为主动应用编程语言,在不同主动应用间提供存储保护,防止缓冲区溢出等攻击。例如ANTS 、SANTS 、ANTSR 、SANE 等使用Java 、Caim 作为主动应用编程语言。
第二,通过命名空间限制,控制主动代码能装载哪些代码或者能调用哪些服务,从而控制主动报文可以执行哪些代码。例如ANTS 、SANTS 中的类装载器可以控制主动代码能装载哪些Java 类文件;
SANTS 中的Java 2安全体系结构可以控制主动代码能执行一个Java 类中的哪些方法、Secure PLAN 中的namespace-baG curity 可以控制一个服务是否可以被一个principai 使用和如何被使用、SANE 中的moGuie thinning 为不同的switchiet 提供不同的接口。
第三,通过细粒度的资源调度和计帐,较精确地控制主动代码可消耗节点资源的数量,例如RCANE ,Janos 。
第四,通过特定的安全主动应用编程语言,保证用这些语言编写的主动代码是安全的,例如PLAN 。
第五,通过Necuia 和Lee 提出的Proof-carrying CoGe
(PCC )[35]
技术。主动代码的生产者根据主动代码的源程序
或可执行代码和主动节点定义的安全策略,为主动代码创建一个形式化的安全性证明,其证明主动代码的执行将完全遵守主动节点的安全性规则。主动节点收到携带有安全性证明的主动代码后,使用证明验证器验证安全性证明的有效性,通过验证的主动代码则可在主动节点中执行。这样,就允许和保证任意的主动代码可在主动节点中安全执行,只要它们携带有效的安全性证明。
上述5类保护主动节点安全的方法中,第一、二种方法开销较小,因为大多数安全检查是静态的,在主动代码执行前完成。但这种方法不可以对主动报文消耗的资源进行细粒度的控制。主动代码在节点获得执行后,在其执行结束前不能被终止,这将无法控制恶意或有缺陷的主动代码大量地或无限地消耗节点资源,所以只依靠这两种方法并不能保证主动节点的安全。第三种方法可以保证主动节点的安全,但开销较大,因为主动代码每次访问资源时都要进行动态的安全检查。为了降低运行时检查的开销,可以结合前两种方法,通过第一、二种方法执行静态检查和保护,以减少使用第三种方法执行运行时检查的次数。第四种方法既可保证主动节点的安全,又无需对主动代码进行任何的安全检查,开销最小,但编
·
71·
程语言的可表达性较差,不能解决复杂问题,大大限制了它的应用范围。第五种方法中,由于主动节
点仅需对主动代码携带的安全性证明进行验证,安全性证明由主动代码生产者提供,安全性证明的生成需要经过复杂的处理,开销较大,但安全性证明的验证却简单、快速,并且在主动代码执行前完成,无需运行时检查,所以既可以保证节点的安全,开销又小。
因此,目前研究主动节点安全的技术路线有两条:第一条是结合类型安全语言、命名空间限制提供的静态保护和细粒度的主动节点资源管理器提供的运行时动态保护。动态保护控制主动报文访问主动节点资源的能力,确保主动代码在主动节点中安全执行;静态保护控制主动报文访问服务的能力,减少执行运行时检查的次数而降低开销。第二条是利用特定的安全主动应用编程语言或PCC。第一条路线因要执行运行时检查和使用密码技术,开销较大,但在主动节点上可执行复杂的主动应用。第二条路线是将来一个重要的研究方向,它无需对主动代码进行安全性检查,或者只需对主动代码做执行前的安全性证明验证,开销较小,但要实现实用化,特别是能适用于复杂的主动网络应用,还有很多问题有待解决。
我们认为,两条技术路线都值得进行研究。第一条路线开销较大,但随着将来计算机运算速度的不断提高,这个问题也许不再存在。另外,通过一些技术也可以加快主动节点处理主动报文的速度,例如我们在文[36]中提出了一个基于群集的主动节点体系结构,可以从一定程度上部分解决该问题。第二条路线要优于第一条路线,但能否适用于复杂的主动网络应用,目前还不确定。
结束语主动网络具有广泛应用前景,一旦在Internet 中部署,Internet将会迎来一次变革,对Internet的发展产生深远影响。然而,主动网络面临严峻的安全挑战,安全问题成为其实用化的关键。国外在主动网络安全领域开展了大量研究,并取得了一些令人鼓舞的研究成果。这些成果表明主动节点的安全是可以保证的,但距离全面保证主动网络的安全,仍有许多问题有待研究,例如:如何在保证主动节点安全的前提下提高节点的性能;如何制定主动节点的资源分配策略、服务使用策略,这些策略应该是分布式的,并且是基于市场化经济模型的;如何提高分布式信任管理系统的性能和可扩展性;如何保证主动应用的OoS;如何保证整个主动网络的安全,防止分布式DOS攻击;以及对安全主动网络应用的研究和对主动应用编程语言的研究等。
参考文献
1WetheraII D.Service Introduction In An Active Network:[Ph D Thesis].MIT,1999.
http://www.cs.washington.edu/reach/networking/ants/
2Tenenhou D L,WetheraII D.Towards an Active Network Architecture.Computer Communications Review,1996,26(2):21~28
3Tennenhou D L,Smith J M,Sincoskie W D,et aI.A survey of active network rearch.IEEE Communications Magazine,1997,35(1):80~86
4WetheraII D,Legedza U,Guttag J.Introducing new Internet rvices:why and how.IEEE Network,1998,12(3):12~19
5Smith J M,CaIvert K L,Murphy S,et aI.Activating networks:a progress report.
IEEE Computer,1999,32(4):32~41
6WetheraII D.Active network vision and reaIity:Iession from a capsuIes-bad sys-tem.Operating System Review,1999,34(5):64~79
7任丰源,任勇,山秀明.主动网络的研究与进展.软件学报,2001,12(11):1614 ~1622
8陈晓林,李冀,陆桑璐,等.Internet发展方向之一:主动网络.计算机科学,2002,29(1):5~79CaIvert K L.Architecture Framework for Active networks.1999.http://www.
gatech.edu/projects/canes/papers/
10CaIvert K L.Node OS Interface Specification.2000.http://www.cs.princeton.
edu/nsg/papers/nodeos.ps
11AIexander D S,Braden B,Gunter C A,et aI.Active Network EncapsuIation Proto-coI(ANEP).1997.http://www.cis.upenn.edu//~switchware/ANEP/docs/
12AN Security Work Group.Security Architecture for Active Nets.2001.http:// www.dcs.uky.edu/~caIvert/c-Iatest.ps
13Faber T,Braden B,LindeII B,et aI.Active Network Security for the Abone.No-vember2001.http://www.isi.edu/abone/DOCUMENTS/carch.pdf
14WetheraII D,Guttag J,Tennenhou D L.ANTS:Network Services Without the Red Tape.IEEE Computer,1999,32(4):42~48
15Braden B,Cerpa A,LindeII B,et aI.Introduction to the ASP Execution Environ-ment.2001.http://www.isi.edu/active-signaI/ARP/DOCUMENTS/ASP—EE.
ps
16Merugu S,Bhattacharjee S,Zegura E,et aI.Bowman:a node OS for active net-works.IEEE Communications Magazine,1998,36(10):72~78
17Joust:a Java OS in scout.http://www.cs.princeton.edu/nsg/joust.htmI
18Murphy S,Lewis E,Puga R,et aI.Strong curity for active networks.Proc of IEEE OPENARCH,2001
19AIexander D S,Arbaugh W A,Hicks M W,et aI.The SwitchWare Active Net-work Architecture.IEEE Network.1998,12(3):29~36
20Hicks M,Kakkar P,Moore J T,et aI.PLAN:A Packet Language for Active Net-works.InternationaI Conference on FunctionaI Programming,1998
21Hicks M,Keromytis A D,Smith J M.A Secure PLAN.IEEE Transactions on Sys-tems,Man,and Cybernetics,Part C,2003,33(3):413~426
22AIexander D S,Arbaugh W A,Keromytis A D,et aI.A cure active network en-vironment architecture:ReaIization in switchware.IEEE Network,1998,12(3):29 ~36
23Menage P.RCANE:A Resource ControIIed Framework for Active Network Serv-ices.In:Proc.of the First InternationaI Working Conference on Active Networks,1999
24TuIImann P,HibIer M,Lepreau J.Janos:A Java-oriented OS for Active Net-works.IEEE JournaI on SeIected Areas of Communication,2001,19(3):501~ 510
25BIaze M,Feigenbaum J,Ioannidis J.The KeyNote Trust-Management System.
1998.http://www.cis.upenn.edu/~angeIos/keynote.htmI
26Gunter C A,Jim T.PoIicy-Directed Certificate RetrievaI.Software Practice and Experience,2000,30(15):1609~1640
27Arbaugh W A,Farber D J,Smith J M.A cure and reIiabIe bootstrap architec-ture.IEEE Symposium on Security and Privacy,1997
28AIexander D S,Smith J M.AIien:a generaIized computing modeI of active net-works:[Ph D.thesis].University of PennsyIvania,1998
29Diffie W,van Oorschot P,Wiener M.Authentication and authenticated key ex-changes.Designs,Codes Cryptog,1992,2:107~125
野战xXX30Nemesis.http://www.cI.cam.ac.uk/Rearch/SRG/netos/oId-projects/neme-sis/
31Ford B,Back G,Benson G,et aI.The FIux OSKit:A Substrate for OS and Lan-guage Rearch.In:Proc.of the16th ACM Symposium on Operating Systems Prin-cipIes,1997
32Peterson L,GottIieb Y,HibIe M,et aI.An OS interface for active routers.IEEE JournaI on SeIected Areas of Communication,2001,19(3):473~487
33Back G,Hsieh W C,Lepreau J.Process in KaffeOS:IsoIation,Resource Man-agement,and Sharing in Java.In:Proc.of the Fourth Symposium on Operating Sys-tems Design and ImpIementation,2000
34ANTSR.http://www.cs.utah.edu/fIux/janos/arch.htmI#ANTSR
35NecuIa G C,Lee P.Proof-Carrying Code.Proc of the24th ACM SIGPLAN-SI-GACT Symposium on PrincipIes of Programming Langauges,1997
36Chen Xiao-Iin,Zhou Jing-yang,Dai Han,et aI.A CIuster-bad Secure Active Network Environment.Wuhan University JournaI of NaturaI Sciences,2005,10(1):142~147
·
8
1
·
主动网络安全的研究与进展
作者:陈晓林, 陆桑璐, 陈道蓄, CHEN Xiao-Lin, LU Sang-Lu, CHEN Dao-Xu
作者单位:陈晓林,CHEN Xiao-Lin(楚雄师范学院计算机科学系,楚雄675000;南京大学计算机软件新技术国家重点实验室,南京210093), 陆桑璐,陈道蓄,LU Sang-Lu,CHEN Dao-Xu(南京大学计算机软件新技术国家重点实验室
,南京210093)
刊名:
冲浪的原理计算机科学
英文刊名:COMPUTER SCIENCE
年,卷(期):2006,33(8)
1.Braden B;Cerpa A;Lindell B Introduction to the ASP Execution Environment 2001
2.Wetherall D;Guttag J;Tennenhou D L ANTS:Network Services Without the Red Tape 1999(04)
3.Faber T;Braden B;Lindell B Active Network Security for the Abone 2001
4.Wetherall D Active network vision and reality:lession from a capsules-bad system 1999(05)
5.Smith J M;Calvert K L;Murphy S Activating networks:a progress report 1999(04)
6.Wetherall D;Legedza U;Guttag J Introducing new Internet rvices:why and how 1998(03)
7.Chen Xiao-lin;Zhou Jing-yang;Dai Han A Cluster-bad Secure Active Network Environment[期刊论文]-Journal of Wuhan University(Natural Science Edition) 2005(01)
8.Necula G C;Lee P Proof-Carrying Code 1997
9.ANTSR
10.Back G;Hsieh W C;Lepreau J Process in KaffeOS:Isolation,Resource Management,and Sharing in Java 2000
11.Peterson L;Gottlieb Y;Hible M An OS interface for active routers 2001(03)
12.Ford B;Back G;Benson G The Flux OSKit:A Substrate for OS and Language Rearch 1997
13.Calvert K L Architecture Framework for Active networks 1999
14.陈晓林;李冀;陆桑璐Internet发展方向之一:主动网络[期刊论文]-计算机科学 2002(01)
15.任丰源;任勇;山秀明主动网络的研究与进展[期刊论文]-软件学报 2001(11)
16.Tennenhou D L;Smith J M;Sincoskie W D A survey of active network rearch[外文期刊] 1997(01)
17.Tenenhou D L;Wetherall D Towards an Active Network Architecture 1996(02)
18.Nemesis
19.Diffie W;van Oorschot P;Wiener M Authentication and authenticated key exchanges[外文期刊] 19
92
吴铁城20.Alexander D S;Smith J M Alien:a generalized computing model of active networks 1998
21.Arbaugh W A;Farber D J;Smith J M A cure and reliable bootstrap architecture 1997
22.Gunter C A;Jim T Policy-Directed Certificate Retrieval 2000(15)
23.Blaze M;Feigenbaum J;Ioannidis J The KeyNote Trust-Management System 1998
24.Tullmann P;Hibler M;Lepreau J Janos:A Java-oriented OS for Active Networks 2001(03)
25.Menage P RCANE:A Resource Controlled Framework for Active Network Services 1999
26.Alexander D S;Arbaugh W A;Keromytis A D A cure active network environment architecture:Realization in switchware 1998(03)
27.Hicks M;Keromytis A D;Smith J M A Secure PLAN 2003(03)
28.Hicks M;Kakkar P;Moore J T PLAN:A Packet Language for Active Networks 1998
29.Alexander D S;Arbaugh W A;Hicks M W The SwitchWare Active Network Architecture 1998(03)
30.Murphy S;Lewis E;Puga R Strong curity for active networks 2001
31.Joust:a Java OS in scout
新生儿低钙血症
32.Merugu S;Bhattacharjee S;Zegura E Bowman:a node OS for active networks 1998(10)
33.AN Security Work Group Security Architecture for Active Nets 2001
34.Alexander D S;Braden B;Gunter C A Active Network Encapsulation Protocol(ANEP) 1997
35.Calvert K L Node OS Interface Specification 2000
36.Wetherall D Service Introduction In An Active Network 1999
本文链接:d./Periodical_jsjkx200608003.aspx