盐城工学院
2013秋学期《网络新技术》课程
论文
浅谈主动网络技术
批改教师:
课程名称网络新技术
班级
学号
学生姓名
完成日期2013.11.16
浅谈主动网络技术
班级:学号:姓名:
【摘要】:主动网络(Active Network,AN)是一种新颖的网络体系结构,这种新的网络体系加速了底层网络的革命,为网络新型应用的产生创造了条件.本文主要介绍了主动网络技术的基本思想、体系结构、关键技术、特点优势和安全问题及其防护措施。
【关键词】:主动网络;主动节点;执行环境;节点操作系统;主动应用
1引言
网络技术的飞速发展正强烈影响并深刻改变着人们生活的方方面面,然而传统网络的功能单一而封闭,对网络内部节点的功能开发很少,服务只能在端系统实现,使得现有服务的优化和扩展,以及新服务的开发和部署都受到了很大的限制。1994年至1995年,DARPA在讨论网络系统的未来发展方向时首次提出了主动网络的概念,其主要目的是解决现有体系结构在集成新技术、扩展新应用时存在的诸多不便。可以说,主动网络是下一代网络体系结构的理想解决方案。 2 主动网络的基本思想
主动网络(AN)也称可编程网络(Programmable Network),是一种区别于传统网络的被动运输的全新网络计算模型平台。传统网络可视为被动网络(Paive Network,PN),它只是将信息被动的从一个端系统传送到另一个端系统,网络一般不对传输中的用户数据进行修改。主动网络提出了一种允许配置更为灵活的网络服务体系,它使用一种可编程的分组交换网络,通过各种主动技术和移动计算机技术使传统网络从被动的字节传送模式向更一般化的网络计算模式转换,提高了网络数据传输、动态定制及提供新服务的能力。主动网络的基本思想是将程序嵌入数据包中,使程序随数据包一起在网络上传输;网络的中间节点运行数据包中的程序,利用其计算能力对数据包中的数据进行一定的处理;根据用户定制的要求,决定数据包的转发方式、返回的数据包类型及数据,从而将传统网络中的“存储-转发”处理模式改变为“存储-计算-转发”的处理模式。
主动网络的主要特征是“主动性”,即用户可以直接向网络节点插入定制程序来动态配置或扩展网络功能,快速升级网络服务和部署原来不可能的服务,并可自主对其有关资源、机制和策略等进行优化。
3主动网络体系结构
DARPA主动网络结构可以分为三部分:节点操作系统(Node OS)、执行环境(Execution Environment,EE)和主动应用(Active Application,AA)。节点操作系统类似一般操作系统的内核,通过固定的接口为执行环境提供服务。执行环境实际上是一个与平台无关的透明的可编程空间,它运行在网络中各个主动节点上和用户终端节点上。多个执行环境可以同时运行在同一个主动节点上。执行环境为上层应用提供了各种各样的网络应用接口。主动应用是一系列用户定义的程序,它透过执行环境提供的网络应用接口(Network API)获取运行程序所需的相关资源,实现特定的功能。
主动网络由多个主动节点通过数据传输信道互连构成。它还可以包括传统的IP路由器。网络中的主动节点既具有IP路由器的基本功能,还能够解析主动包,为主动包中携带的程序提供执行环境,当主动包到达主动节点时执行其中携带的程序,改变主动包自身的内容或主动节点的环境状态,从而实现报文处理或网络服务的配置。
3.1 主动节点的结构
主动网络由互连在一起的众多主动节点(Active Node)组成,每个主动节点可以是路由器或交换器等网络设备,这些主动节点共同构成了主动网络的执行环境。主动节点是主动报文的执行环境,主动节点的结构是主动网络体系结构的重要组成部分,它要用来定义节点应该具有的能力,如处理包的方法和本地资源的分配策略等。
EE负责用户-网络接口的所有方面,包括用户发送的主动报文的语法、语义,提供的编程模型和抽象地址和命名机制。每个EE向用户提供一些API,例如:一个扩展的Java虚拟机。多个EE可以运行在一个主动节点上,Node OS管理可用的资源和控制资源竞争,EE访问节点资源都必须通过Node OS,Node OS还实现一个安全策略数据库和一个执行引擎(enforcement engine)来控制安全使用资源。另外,Node OS支持对EE有用的抽象,如路由表。用户通过与EE的交互来获取服务。一方面,用户可动态获取并组合EE提供的服务;另一方面,用户可通过EE提供的API来编写自定义的服务,并将新服务加载在EE上。
所有主动节点操作模型都是相同的。包到达物理链路后(如Ethernet,ATM),Node OS根据包头将包送到合适的逻辑通道,每一个逻辑通道做相应的协议处理(如TCP,UDP,IP),然后将包递交给EE解释和处理或者递交给逻辑输出通道。
3.2 主动包的处理方法
当主动包通过主动节点时,主动节点不仅完成被动的传输功能,还应该对包的内容进行一定的处理。当主动节点从输入链路上收到一个包后,首先根据包头的信息对包进行分类,然后将包放入相应的通道。在创建通道之前,节点操作系统将调用全局变量模块来检查申请者的要求是否合法。当输入包不能和任何通道的模式匹配时,由本地节点决定是丢弃该包,还是进行其他默认处理。然后由监
护进程标识主动包界限,并将主动包中的内容指派到一个临时执行环境中去执行。在程序执行过程中,可以调用外部方法,以访问临时工作环境以外的资源。主动包的执行结果既可能是从输出链路输出零个或多个主动包,也可能是改变主动节点的某些非临时性的状态数据。当主动包的执行结束时,需要回收相应的临时工作环境。
4 主动网络安全问题及防护措施 4.1 主动节点面临的安全威胁
主动节点希望保护自己的资源,不希望未经过授权的主动分组使用自己的节点资源,确保自己所提供的服 务具有可获得性,保护自己节点状态的完整性和保护自己状态反对未授权暴露。主动节点可能感觉受到的威胁来自执行环境,因为执行环境会消耗主动节点资源或更 改节点状态参数等。作为主动节点必须能够安全有效地管理自己资源,以便分配给经过授权的主动代码使用,为主动应用提供服务此外主动节点必须能够识别邻居节 点,这样能够确保将主动报文传送到可信任的相邻主动节点上。为了满足以上这些安全要求,主动网络应当采用下面方式来保障主动节点安全:(1)主动网络应当 采用有效的安全机制保证主动节点安全;(2)主动节点执行主动代码时候必须能够对其发行者进行身份认证,并执行一种存取控制来实现其资源操作和安全控制; (3)由于主动节点中的执行环境需要安装主动代码、执行主动代码等操作,因此主动节点应当有安全审计功能来实时监视主动节点系统以及主动应用程序的运行状 态,发现威胁时,能够及时终止主动代码的执行并且保留不可抵赖和不可磨灭的记录。
4.2 执行环境面临的安全威胁
执行环境感觉其受到的威胁可能来自其它的执行环境、来自主动分组或者来自主动代码。因为在一个主动节点中可能存在着多个执行环境,如果其中一个执行环境过多的消耗主动节点资源,那么必然对其它执行环境的运行造成损害。同样一个恶意的主动代码在执行环境中运行的时候,该恶意主动代码可能更改执行环境参数、超额消耗执行环境所授权使用的资源、进行执行环境所未授权的存取控制操作,导致执行环境不能有效的或正确的为其它主动代码提供服务。
4.3 主动分组面临的安全威胁
主动代码可能向主动节点发出存取控制操作请求,其目的是为了处理和传送;主动代码可能向主动节点发 出存取请求,其目的是为了取得服务;主动代码也可能请求存取一个主动分组,其目的是为了处理或删除和更改这个分组,这些意味着主动代码应当能够识别它所想 处理的主动分组。一个主动节点可能对主动代码进行存取、检索更改或终止;主动分组需要保护自己数据没有经过未授权而被窃取或更改,保护自己的服务防止未授 权使用,保护自己的资源防止未授权使用。主动代码感觉受到的威胁主要来自其它主动分组、其它主动代码、来自执行环境和节点,它能保护自己防止其它主动代码 对其造成的安全危害,但是它
不能保护自己防止受到执行环境和主动节点的安全威胁,因为主动代码不得不在执行环境和主动节点中运行。主动代码所能做的是保护 自己确保它没有被传送到不信任的节点和执行环境上。主动分组应当不相互干涉,一些分组将基于下面几个标准安装新的代码和进行存取控制:(1)授权分组创始 人允许安装新的代码;(2)代码被证明非干涉;(3)代码仅允许执行通过认证的创始动作;(4)代码被证明有边际影响,但仅影响信任使用者的代码。
4.4 用户面临的安全威胁
用户或源节点希望保护自己主动分组中的传输数据和代码,确保主动分组中数据和代码的完整性和机密性。因为其它非法或恶意的用户主动代码可能通过在主动节点上运行来查看其主动分组的数据、代码和运行状态等,所以主动应用用户会感觉威胁来自其它用户的主动代码或主动分组:主动应用用户还把执行环境和节点看作威胁源,因为防止未授权的主动节点查看和修改其主动分组的数据、代码和运行的状态。
5主动网络的特点和优势
与传统被动网络相比,主动网络具有如下特点和优势。
(1)可移动性:主动网络能够传递具有可执行程序代码的主动分组,主动分组可以在主动节点之间移动,并且主动节点可以执行主动分组中的代码。(2)动态配置性:用户开发新业务可以通过主动分组动态地安装到相关网络设备上,从而减少新网络业务的开发和加载时间,以及网络维护的开销。(3)很好的灵活性:任何授权用户都可以把自己的程序发送到节点上并要求执行,任何用户的程序都可视为对节点功能的扩充。(4)提供功能强大的网络平台(5)提供智能化的网络管理:主动网络可用于实现网络监视和事件的智能过滤,主动路由器可以注入自定义的监视和分析程序来对网络事件进行分析和过滤。(6)提高了网络互操作行的抽象层次。
6 结束语
主动网络有很多优点,对于网络提供商,可缩短运用新协议/服务的时间;对于端用户或第三方,可动态引入、定制、配置服务及协同端应用计算;对于研究者,可在现有的Internet上实验新协议/服务二不影响Internet原有的服务。但主动网络方面的研究还不纯熟,还有很多问题需要解决。涉及到的方向有:EE中的可编程计算模型;如何保证主动路由器在为用户提供自定义服务时并能快速路由转发IP包;能提供QoS的Node OS;EE和Node OS的安全性;主动网络在可编程的网络基础设施、网络管理、无线移动计算、分布式端到端应用者4个领域的应用等。
参考文献
[1] 王海涛,张学平,陈晖等.网络新技术---原理与应用[M],电子工业出版社,2012,11.
[2] 邱航.主动网络技术研究[M],计算机应用,2003.
[3] 杜旭,黄家庆,杨宗凯,程文青.主动网络技术及应用研究[J],计算机应用,2002(7):21-24.
[4] 邹显春,张伟群.一种主动网络管理系统结构的分析与研究[M],计算机科学,2006.
