介绍

Internet虽然是先进而通用的计算机网络的典型成功范例 ，但依旧存在不少缺陷，其中最为突出的问题之一就是其体系结构所依赖的沙漏模型使其缺乏灵活性。瓶颈处的传输层和网络层是各种链路层技术和高层应用程序实现互操作的基础。保持它们的相对稳定性及向后兼容性是必须的，但同时却不可避免地给完善和修改它的工作增添了诸多不便。一种新的业务从原型系统的设计到大规模的应用 ，一般而言 ，往往需要大约 10年的时间。资源预留 ( RSVP)、 IPv6、移动 IP等就是因此而不能大范围地进入实际应用的最好佐证 。

鉴于以上原因 ，在1994～1995年美国国防部高级研究计划署( DARPA)有关未来网络发展方向的研讨会上 ， 经过多方酝酿，提出了主动网络这一新的网络体系结构。其主要目的是解决现有体系结构在集成新技术、扩展新应用时存在的诸多不便。主动网络继续沿用了存储 /转发的结构，一个显著的特点是网络节点上的路由器或交换机可对经过它的分组流进行定制处理，这种定制处理并非传统分组交换网络中为了将分组转发至目的地而对分组头进行的简单处理 (如路由器对分组头的修改或标记交换机对标记的修改等 )。主动网络中的分组除携带净荷数据以外，还有可能携带程序代码 ，网络内的节点可以在自己的运行环境内执行分组中携带的程序 ，从而改变网络的行为和状态这相对于“被动”的转发分组而言要“主动”许多 。这也就是之所以称其为“主动网络”的原因。主动网络通过节点的计算能力抽象高层协议，省去了为新应用制定标准的过程，新协议的应用等价于网络分组中新应用程序的开发，通过此加速网络的发展是主动网络赋予网络可编程能力的主要动机。

主动网络的基本思想是将程序注入数据包，使程序和数据一起随数据包在网络上传输；网络的中间节点运行数据包中的程序，利用中间节点的计算能力，对数据包中的数据进行一定的处理；从而将传统网络中“存储——转发”的处理模式改变为“存储——计算——转发”的处理模式。

体系结构

主动节点的体系结构相关组织和机构经过几年的研究与讨论，已经基本上清晰地勾勒出了一个有关主动网络体系结构的框架。在这个框架中定义了主动网络的组成构件及接口 ，并对有可能阻碍主动网络发展的安全和性能问题作了特别的考虑.主动网络由节点组成 ，节点间通过各种低层网络技术 (如Ethernet，ATM，SDH和DWDM等 )连接在一起 ，是要求所有节点都“主动” ，统的网络节点依旧可以工作在主动网络环境中。主动节点上运行着一个节点操作系统 ( NodeO S) 、一个或多个执行环境 ( ex ecution env iro nment,，称 EE)。用户通过主动应用 ( activ e applicatio n，称 AA)获得业务。AA是通过 EE提供端到端业务的 。NodeOS负责分配、调度和管理节点的资源 ，过 EE向 AA提供抽象应用 。对于 EE而言 ，NodeOS屏蔽了资源管理的细节和不同EE间行为的相互影响；对于NodeOS而言，EE屏蔽了许多与用户交互的细节。每个EE由一个独立的虚拟机实现 ，责解释到达节点的主动分组 ，同的 EE定义不同的虚拟机。当 EE向 NodeOS请求业务时 ，须附带请求生成者的标识 。它可以是 EE本身 ，可以是用户 。NodeOS将请求信息送至安全执行引擎 ( securityenforcement engine) ，过检查节点的策略数据库校验请求的真实性 ，后视情况来授权请求者接受请求的业务或执行请求的操作。每个节点还有一个管理执行环境 ( manag ement executionenvironment)。借助它来控制本地节点的相应配置和策略主要的管理和控制功能包括3个方面：维护节点的安全策略数据库 ；载入新的 EE，新或配置已有的 EE；支持远程触发的网络管理业务的实例化等。图 1描述了组成主动网络节点的主要构件及其相互关系。

主动网络节点的主要构件及其相互关系

安全体系模型

主动网络中包含许多由各种可能的网络技术连接起来的网络节点，这些网络节点并不一定都是主动节点。体系结构从宏观上分为三层，由节点操作系统（Node OS）执行环境和主动应用主要构件组成，Node OS的功能是主动节点中的通信带宽处理机能Node OS力，以及存储空间等本地资源向其上层的EE提供可供调用的接口，包括输入输出信道软状态存储、安全策略数据库以及安全强制引擎Security Enforcement Engine，EE EE利用Node OS向其提供节点资源的调用接口，再向AA提供相对独立的执行环境的编程接口，一个Node OS中可以有多个EE类似于Java的接口。语言的虚拟机这些EE相对隔离构成一个个相对安全的执行环境，这样既可以限制每个EE对节点资源的使用，从而 保证多个节点资源可以公平地使用节点资源又能隔离每个EE的处理防范。由于某个主动分组无意或恶意地过多使用网络节点资源而妨碍主动节点的正常运行。

（一）ANSA安全体系

ANSA是IETF安全工作小组建议的主动网络安全体系结构。在ANSA体系结构中定义了一个基本的安全角色—主体。它泛指任何网络操作行为的发起者，如：某个人某个团体或团体中的某个成员等。ANSA将主动网络中的安全问题分为两类：端到端 （End-to-End）安全和逐跳（Hop-by-Hop）安全，ANSA建议所有的逐跳安全和绝大部分端到端安全在节点操作系统层实现。其优点是所有 的EE操作都经过统一的安全检查；其缺点是在目前基于类UNIX通用操作系统的主动网实验平台上加载安全机制，并需要修改操作系统内核，这显然大大增加了主动网安全机制开发的难度。

（二）ABone安全体系

ABone是由DARPA资助的在Internet上供研究用的一个主动网实验平台。在功能上对等于IPv6网络的实验平台6Bone。有了ABone人们就可以在全球范围内借助Internet开展主动网的研究工作。ABone支持两种可执行环境EE：ANTS 和ASP。目前加入ABone的节点己遍布于世界各地，基于Abone的主动网安全性研究非常活跃。绝大多数Abone的节点操作系统都为类UNIX操作 系统， Abone将主动网中的安全问题主要划分为以下两类：

1、非法的主动分组对主动节点上合法的AA带来的安全隐患。

2、恶意的AA对主动节点上的EE和节点操作系统的危害。Abone建议逐跳安全可以在EE中实现也可以在网络守护进程（netiod）中实现，端到端安全则在EE中实现。其优点是实施安全机制不需修改操作系统内核；缺点是需要在每个EE中分别实现安全机制。

总之，主动网络与传统网络相比，具有无法比拟的灵活性和开放性，但这些优势也使得主动网络的安全问题变得更加棘手。本文在对主动网络定义阐述的基础上，提出了主动网络安全体系结构模型，并对模型的功能进行了描述，设计了系列基于AN的网络故障管理技术的基本实现方法。

安全威胁

（一）主动节点面临的安全威胁

主动节点希望保护自己的资源，不希望未经过授权的主动分组使用自己的节点资源，确保自己所提供的服 务具有可获得性，保护自己节点状态的完整性和保护自己状态反对未授权暴露。主动节点可能感觉受到的威胁来自执行环境，因为执行环境会消耗主动节点资源或更 改节点状态参数等。作为主动节点必须能够安全有效地管理自己资源，以便分配给经过授权的主动代码使用，为主动应用提供服务此外主动节点必须能够识别邻居节 点，这样能够确保将主动报文传送到可信任的相邻主动节点上。为了满足以上这些安全要求，主动网络应当采用下面方式来保障主动节点安全：（1）主动网络应当 采用有效的安全机制保证主动节点安全；（2）主动节点执行主动代码时候必须能够对其发行者进行身份认证，并执行一种存取控制来实现其资源操作和安全控制； （3）由于主动节点中的执行环境需要安装主动代码、执行主动代码等操作，因此主动节点应当有安全审计功能来实时监视主动节点系统以及主动应用程序的运行状 态，发现威胁时，能够及时终止主动代码的执行并且保留不可抵赖和不可磨灭的记录。