概述
英文縮寫: Active Networks分 類: 網路與交換
解 釋: 能根據企業的優先等級來識別用戶與內容,使傳送最最佳化的網路。
主動網路有兩個含義:一是被稱為ANN的網路中間節點(如路由器、交換機),不僅完成存儲轉發等網路功能,而且可以對包含數據和代碼的所謂主動包和普通包進行計算,具有計算能力的網路節點從網路設備接收數據包後執行相應的程式,對該數據包進行處理,然後將數據包傳送給其他網路節點。二是用戶根據網路套用和服務的要求可以對網路進行編程以完成這些計算。
主動網路的基本思想是將程式注入數據包,使程式和數據一起隨數據包在網路上傳輸;網路的中間節點運行數據包中的程式,利用中間節點的計算能力,對數據包中的數據進行一定的處理;從而將傳統網路中“存儲——轉發”的處理模式改變為“存儲——計算——轉發”的處理模式。
安全體系模型
主動網路中包含許多由各種可能的網路技術連線起來的網路節點,這些網路 節點並不一定都是主動節點。體系結構從巨觀上分為三層,由節點作業系統(Node OS)執行環境和主動套用主要構件組成,Node OS的功能是主動節點中的通信頻寬處理機能Node OS力,以及存儲空間等本地資源向其上層的EE提供可供調用的接口,包括輸入輸出信道軟狀態存儲、安全策略資料庫以及安全強制引擎Security Enforcement Engine,EE EE利用Node OS向其提供節點資源的調用接口,再向AA提供相對獨立的執行環境的編程接口,一個Node OS中可以有多個EE類似於Java的接口。語言的虛擬機這些EE相對隔離構成一個個相對安全的執行環境,這樣既可以限制每個EE對節點資源的使用,從而 保證多個節點資源可以公平地使用節點資源又能隔離每個EE的處理防範。由於某個主動分組無意或惡意地過多使用網路節點資源而妨礙主動節點的正常運行。(一)ANSA安全體系
ANSA是IETF安全工作小組建議的主動網路安全體系結構。在ANSA體系結構中定義了一個基本 的安全形色—主體。它泛指任何網路操作行為的發起者,如:某個人某個團體或團體中的某個成員等。ANSA將主動網路中的安全問題分為兩類:端到端 (End-to-End)安全和逐跳(Hop-by-Hop)安全,ANSA建議所有的逐跳安全和絕大部分端到端安全在節點作業系統層實現。其優點是所有 的EE操作都經過統一的安全檢查;其缺點是在目前基於類UNIX通用作業系統的主動網實驗平台上載入安全機制,並需要修改作業系統核心,這顯然大大增加了 主動網安全機制開發的難度。
(二)ABone安全體系
ABone是由DARPA資助的在Internet上供研究用的一個主動網實驗平台。在功能上對等於IPv6網 絡的實驗平台6Bone。有了ABone人們就可以在全球範圍內藉助Internet開展主動網的研究工作。ABone支持兩種可執行環境EE:ANTS 和ASP。目前加入ABone的節點己遍布於世界各地,基於Abone的主動網安全性研究非常活躍。絕大多數Abone的節點作業系統都為類UNIX操作 系統, Abone將主動網中的安全問題主要劃分為以下兩類:
1、非法的主動分組對主動節點上合法的AA帶來的安全隱患。
2、惡意的AA對主動節點上的EE和節點作業系統的危害。Abone建議逐跳安全可以在EE中實現也可以在網路守護進程(netiod)中實現,端到端安全則在EE中實現。其優點是實施安全機制不需修改作業系統核心;缺點是需要在每個EE中分別實現安全機制。
總之,主動網路與傳統網路相比,具有無法比擬的靈活性和開放性,但這些優勢也使得主動網路的安全問題變得更加棘手。本文在對主動網路定義闡述的基礎上,提出了主動網路安全體系結構模型,並對模型的功能進行了描述,設計了系列基於AN的網路故障管理技術的基本實現方法。
主動網路的安全威脅
(一)主動節點面臨的安全威脅主動節點希望保護自己的資源,不希望未經過授權的主動分組使用自己的節點資源,確保自己所提供的服 務具有可獲得性,保護自己節點狀態的完整性和保護自己狀態反對未授權暴露。主動節點可能感覺受到的威脅來自執行環境,因為執行環境會消耗主動節點資源或更 改節點狀態參數等。作為主動節點必須能夠安全有效地管理自己資源,以便分配給經過授權的主動代碼使用,為主動套用提供服務此外主動節點必須能夠識別鄰居節 點,這樣能夠確保將主動報文傳送到可信任的相鄰主動節點上。為了滿足以上這些安全要求,主動網路應當採用下面方式來保障主動節點安全:(1)主動網路應當 採用有效的安全機制保證主動節點安全;(2)主動節點執行主動代碼時候必須能夠對其發行者進行身份認證,並執行一種存取控制來實現其資源操作和安全控制; (3)由於主動節點中的執行環境需要安裝主動代碼、執行主動代碼等操作,因此主動節點應當有安全審計功能來實時監視主動節點系統以及主動應用程式的運行狀 態,發現威脅時,能夠及時終止主動代碼的執行並且保留不可抵賴和不可磨滅的記錄。
(二)執行環境面臨的安全威脅
執行環境感覺其受到的威脅可能來自其它的執行環境、來自主動分組或者來自主動代碼。因為在一個主動 節點中可能存在著多個執行環境,如果其中一個執行環境過多的消耗主動節點資源,那么必然對其它執行環境的運行造成損害。同樣一個惡意的主動代碼在執行環境 中運行的時候,該惡意主動代碼可能更改執行環境參數、超額消耗執行環境所授權使用的資源、進行執行環境所未授權的存取控制操作,導致執行環境不能有效的或 正確的為其它主動代碼提供服務。
(三)主動分組面臨的安全威脅
主動代碼可能向主動節點發出存取控制操作請求,其目的是為了處理和傳送;主動代碼可能向主動節點發 出存取請求,其目的是為了取得服務;主動代碼也可能請求存取一個主動分組,其目的是為了處理或刪除和更改這個分組,這些意味著主動代碼應當能夠識別它所想 處理的主動分組。一個主動節點可能對主動代碼進行存取、檢索更改或終止;主動分組需要保護自己數據沒有經過未授權而被竊取或更改,保護自己的服務防止未授 權使用,保護自己的資源防止未授權使用。主動代碼感覺受到的威脅主要來自其它主動分組、其它主動代碼、來自執行環境和節點,它能保護自己防止其它主動代碼 對其造成的安全危害,但是它不能保護自己防止受到執行環境和主動節點的安全威脅,因為主動代碼不得不在執行環境和主動節點中運行。主動代碼所能做的是保護 自己確保它沒有被傳送到不信任的節點和執行環境上。主動分組應當不相互干涉,一些分組將基於下面幾個標準安裝新的代碼和進行存取控制:(1)授權分組創始 人允許安裝新的代碼;(2)代碼被證明非干涉;(3)代碼僅允許執行通過認證的創始動作;(4)代碼被證明有邊際影響,但僅影響信任使用者的代碼。
(四)用戶面臨的安全威脅
用戶或源節點希望保護自己主動分組中的傳輸數據和代碼,確保主動分組中數據和代碼的完整性和機密 性。因為其它非法或惡意的用戶主動代碼可能通過在主動節點上運行來查看其主動分組的數據、代碼和運行狀態等,所以主動套用用戶會感覺威脅來自其它用戶的主 動代碼或主動分組:主動套用用戶還把執行環境和節點看作威脅源,因為防止未授權的主動節點查看和修改其主動分組的數據、代碼和運行的狀態。
主動網路的保護策略
(一)主動節點的保護
(1)主動分組的認證:任何主動分組都具有一份證書,該證書由一個可信任的證書中心發布。證書用來 保證對該證書籤名的持有者為主動分組負責;(2)監視和控制:可以通過設定訪問監視器,它可以根據策略資料庫中的安全決策來決定訪問是否被授權,通過安全 策略來允許主動分組訪問和使用主動節點資源和服務;(3)限制技術:時間限制、範圍限制以及複製限制,這些限制在阻止主動分組過度占用節點資源方面是必要 的。(二)主動分組的保護
(1)在主動網路中,主動分組可能會導致一些在現有的傳統網路中不易經常出現的一些問題,如毀壞節 點資源、拒絕服務、竊取信息等。為了保護主動分組的安全,可以採用加密、容錯、數字簽名技術等安全技術;(2)加密指主動分組不含有明文代碼和數據,防止 在傳輸過程中代碼和數據被破壞;(3)容錯技術就是備份、持續和重定向。備份意味著在每個節點都進行複製。持續是指分組臨時被存儲以防節點失效,這樣即使 節點崩潰,分組仍然存在存儲器中。由於備份和持續會消耗大量的記憶體和 頻寬,對大部分分組來說是不可接受的,所以只有非常重要的分組才這樣做;(4)數字簽名技術對於主動分組進行完備性檢測常採用公鑰簽名或X.509證書形 式。接收方收到主動分組後,利用CA公鑰驗證CA數字簽名以保證證書的完整性,然後從證書中獲得主動分組傳送者的公鑰,驗證主體的身份。主動網路的研究背景
主動網路由於允許用戶對網路的中間節點編程,到達主動節點的主動代碼, 在執行的過程中需要請求相關的服務,訪問所需要的節點資源,因此其安全性面臨更大的威脅。如果安全性得不到更好的解決,該網路就不存在真正的實用價值。 IETF(網際網路工程任務組)的主動網路安全工作組已經提出了一個主動網路的安全規範,但該規範只提出了一個安全框架,許多細節和實現在該規範中並沒有得 到具體的體現。國外主動網路系統中考慮了一些安全方面的問題,方法大致有以下幾種:(一)使用強類型語言限制資源訪問:如BBN公司的SmartPacket系統採用了Sprocket語言,賓夕法尼亞大學的Switchware系統採用了PLAN語言。這種方法雖然能夠保證一定的安全,但與他們所採用的語言有著密切的關係,不具有通用性。
(二)直接限定最大值:直接在主動信包中限定AC的最大跳數,從而避免耗費過多的資源。由於不同AC所訪問的資源量不同以及節點環境的動態性,所以在實現過程中該最大值最終難以確定。
(三)使用硬體:如Switchware在安全方面做的研究工作並取得了一定的研究成果,通過在底層使用硬體AEGIS來安全地引導主動節點作業系統。但是這種基於硬體的安全策略使其通用性方面受到了影響。
(四)使用認證和授權:如SmartPacket採用了認證技術對信包的創建者進行身份認證,採用 訪問控制列表來仲裁主動信包的訪問許可權和可訪問的資源,但該方法需要修改主動網路封裝協定。由此可見,國外研究的一些主動網路系統因其側重點不同而對安全 性考慮得很少。即使有所考慮,但採用了特殊技術使得其安全機制不具有通用性。
