主動(dòng)網(wǎng)安全體系的研究

1、主動(dòng)網(wǎng)安全體系的研究黎忠文' 黎忠秀2李樂民】(1 電子科技大學(xué)寬帶光纖傳輸與通信系統(tǒng)技術(shù)國家重點(diǎn)實(shí)驗(yàn)室 四川成都61(x)54)(2四川省郵電技工學(xué)校四川徳陽618000)摘 要：安全是阻礙主動(dòng)網(wǎng)發(fā)展和實(shí)用化的主要因索之一。主動(dòng)網(wǎng)的安全性包括security和safety兩個(gè)重 要且緊密相關(guān)的方而，然而日前絕人多數(shù)的研究只限于security。木文在總結(jié)主動(dòng)網(wǎng)當(dāng)前的security機(jī)制和 深入分析主動(dòng)網(wǎng)safety需求的基礎(chǔ)上，提出了建立集security和safely保障為一體的主動(dòng)網(wǎng)安全體系的設(shè)想， 并對(duì)該安全體系應(yīng)具有的特點(diǎn)和設(shè)計(jì)h標(biāo)進(jìn)行探討。然后探索把safety核這種saf

2、ety保障新概念用于“主 動(dòng)網(wǎng)”的可行性后，建立了主動(dòng)網(wǎng)安全體系sssano關(guān)鍵詞：主動(dòng)網(wǎng)；security; safety; safely核；safety策略；體系；設(shè)計(jì)目標(biāo)；安全域 中文分類號(hào)：tn913.24research on security and safety structure of active networkszhongwen li1 zhongxiu li2 leming li3(1.national key i-ab of optical fiber transmission and communication networks, uest of china, che

3、ngdu 610054)(2.co)lcgc of post and telecommunication of sichuan, dcyang 618000)abstract security and safety are important and related factors that baffle the development and practicality of active networks. however, most of researches on active networks focus on security. after drawing a conclusion

4、of current research on active networks and analyzing safety requirements of active networks, wc put forward new ideas for setting up the security and safety structure of active networks and based on the analyses of characteristics, designing aims for this structure and possibility of using safety ke

5、rnel that is a new concept of safety assurance, we set up sssan(security and safety structure of active networks)key words active networks; security; safety; safety kernel; safety policy; structure; designing aim; security and safety domain1引言“主動(dòng)網(wǎng)(active networks)"是近年來國際上網(wǎng)絡(luò)研究的前沿課題,其概念最早由dartp于1

6、994至1995年 在討論網(wǎng)絡(luò)系統(tǒng)的發(fā)展方向中提出來的山。簡而言之，主動(dòng)網(wǎng)由-紐被稱為主動(dòng)節(jié)點(diǎn)的網(wǎng)絡(luò)節(jié)點(diǎn)構(gòu)成，每個(gè)主動(dòng)節(jié) 點(diǎn)可以是路山器或交換機(jī)，其“主動(dòng)性”有兩層含義：1)交換設(shè)備對(duì)流經(jīng)的用戶數(shù)據(jù)進(jìn)行處理；2)用戶通過將程 序注入網(wǎng)絡(luò)來定制更具冇針對(duì)性的數(shù)據(jù)處理過程。與傳統(tǒng)網(wǎng)絡(luò)相比，主動(dòng)網(wǎng)的優(yōu)勢(shì)是非常明顯的。傳統(tǒng)網(wǎng)絡(luò)主要是 被動(dòng)傳送數(shù)據(jù)，網(wǎng)絡(luò)川丁-終端系統(tǒng)之間數(shù)據(jù)的轉(zhuǎn)發(fā)，在分組交換網(wǎng)和面向連接的網(wǎng)絡(luò)中，交換設(shè)備主要的計(jì)算分別 在于對(duì)分組頭進(jìn)行處理和執(zhí)行信令協(xié)議，網(wǎng)絡(luò)并不對(duì)數(shù)據(jù)內(nèi)容進(jìn)行調(diào)整和改動(dòng)。因此人們又把傳統(tǒng)網(wǎng)絡(luò)稱為“被動(dòng)” 網(wǎng)絡(luò)。顯然這種網(wǎng)絡(luò)中，諸如信息分布與融合(information

7、 distribution and fusion)等新技術(shù)的應(yīng)用往往要等待某 種協(xié)議標(biāo)準(zhǔn)的制定，而這卻是個(gè)漫長的過程，待標(biāo)準(zhǔn)出臺(tái)時(shí)，可能已落后丁-川戶的需求。如果能增強(qiáng)網(wǎng)絡(luò)內(nèi)部設(shè) 備的計(jì)算能力，而不僅僅是被動(dòng)地轉(zhuǎn)發(fā)數(shù)據(jù)，則有望以較快的速度開辟新的應(yīng)用前景，比如防火墻、web代理、多 播和移動(dòng)代理等?；诖?，主動(dòng)網(wǎng)正在成為通信領(lǐng)域的研究熱點(diǎn)?；痦?xiàng)口： “十五”預(yù)研項(xiàng)目作者簡介：黎忠文(1970)，女，重慶，博士后，研究領(lǐng)域：主動(dòng)網(wǎng)、移動(dòng)通信茍安全和烏可靠分布式系統(tǒng)，qos,并行處理：黎忠秀(1965小 女，重慶，碩上生，研究領(lǐng)域：通訊技術(shù)；李樂民(1932)男，上海，博上后導(dǎo)師，中國工程院院士

8、，研究領(lǐng)域：光纖通信。然而，主動(dòng)網(wǎng)的“主動(dòng)性”對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性提出了新的挑戰(zhàn)。顯然當(dāng)主動(dòng)節(jié)點(diǎn)執(zhí)行主動(dòng)代碼時(shí)，極有可 能造成主動(dòng)節(jié)點(diǎn)或主動(dòng)代碼或者它們兩者均被非正確地修改,以至丁使網(wǎng)絡(luò)受到破壞，從而造成重大損失。妙實(shí)上, 仔細(xì)分析主動(dòng)節(jié)點(diǎn)和主動(dòng)代碼被非正確修改的錯(cuò)誤源，不難看出它們分為無惹和有憊（即惡意）兩類，其屮無意錯(cuò) 誤源是指主動(dòng)節(jié)點(diǎn)或主動(dòng)代碼本身存在的一些缺陷，但這些缺陷不是被有意設(shè)登用來攻擊網(wǎng)絡(luò)的，比如軟件開發(fā)屮 沒有完全排除的故障；而惡意錯(cuò)誤源則指有意設(shè)置，用來攻擊網(wǎng)絡(luò)的錯(cuò)誤，比如用戶對(duì)網(wǎng)絡(luò)資源的非法使用和黑客 的入侵。這兩者分別屬于safety和security問題，它們決不能互相

9、代替。因此對(duì)主動(dòng)網(wǎng)安全機(jī)制的研究應(yīng)包括 safely 和security兩個(gè)方面，缺一不町。然而長期以來，人們對(duì)主動(dòng)網(wǎng)安全機(jī)制的研究主要集中在security方面，對(duì)safety 的研究非常少,而且在研究過程中,security和safety往往被分離開來。如：ants是著名的“主動(dòng)網(wǎng)”協(xié)議構(gòu) 造和配置工具，由m1t開發(fā)，它一方面利用md5處理主動(dòng)代碼的校驗(yàn)和，并依靠java的字節(jié)碼驗(yàn)證機(jī)制來確定 主動(dòng)代碼的可靠性；另一方面在主動(dòng)節(jié)點(diǎn)上，通過提供一個(gè)初始原語集，來提供對(duì)網(wǎng)絡(luò)資源的存取控制。 switch ware141 51是security型"主動(dòng)網(wǎng)”的典型代農(nóng)，sane是swit

10、ch ware解決主動(dòng)網(wǎng)security問題的方案，它保證 了從網(wǎng)絡(luò)口舉到整個(gè)程序設(shè)計(jì)環(huán)境的security-致性，共提供三種security服務(wù)：公川服務(wù)，如ping；審記服 務(wù)，如rlogin；驗(yàn)證服務(wù)，即在主動(dòng)代碼中把對(duì)程序security驗(yàn)證的規(guī)格說明和程序木身捆綁起來，移動(dòng)到h的 執(zhí)行環(huán)境，由目的執(zhí)行環(huán)境檢查程序的合法性。文獻(xiàn)初步提出了針對(duì)主動(dòng)節(jié)點(diǎn)的security模型。safetynet1111從編 程語言的角度研究了主動(dòng)網(wǎng)的safely性，sussex大學(xué)的研究者們?cè)趕afetynet項(xiàng)目中提出了一種編程模式，用來 減少編程中出現(xiàn)的故障，從而提高主動(dòng)網(wǎng)的safety 。該項(xiàng)h在一

11、定程度上可以提高主動(dòng)網(wǎng)的safety tt，但是山于 不可能完全剔除故障，所以主動(dòng)網(wǎng)中仍然存在safety隱患。事實(shí)上，忽視safcty的研究是一個(gè)曹遍的問題，不只反映在主動(dòng)網(wǎng)領(lǐng)域。多年來，對(duì)safety的研究遠(yuǎn)不及可靠 性和security<>這是ill于過去safety問題并不十分突出，一般通過傳統(tǒng)的safety技術(shù)（即破!件safety技術(shù)和口j靠性技 術(shù)）就能滿足系統(tǒng)的safety離要。當(dāng)前這種格局隨著計(jì)算機(jī)的廣泛應(yīng)用和系統(tǒng)結(jié)構(gòu)的口趨復(fù)雜化被打破了，系統(tǒng)當(dāng) 前面臨的safety問題讓傳統(tǒng)的safety技術(shù)漸感力不從心,近年來safety事故頻繁發(fā)生，比如90年1月美國電話系

12、 統(tǒng)屮斷爭件、92年11月倫敦救護(hù)車事件等。safely問題h前被提到了大型控制系統(tǒng)設(shè)計(jì)首要考慮的位置。址然 就目前的情況而言，在主動(dòng)網(wǎng)中safety問題還沒冇security問題突出，但是隨著主動(dòng)網(wǎng)的興起及軟件技術(shù)的口益應(yīng) 用，safety問題必將越來越重耍，因此要吸取控制領(lǐng)域的教訓(xùn)，越早研究越好。現(xiàn)在研究主動(dòng)網(wǎng)safety性的另一個(gè) 好處是口前主動(dòng)網(wǎng)的security研究正在進(jìn)行之屮，許多技術(shù)尚未成熟，可以充分利用security和safety的木質(zhì)聯(lián)系 把它們冇機(jī)地結(jié)合起來，減少系統(tǒng)中兩者的冇縫連接，進(jìn)而提高系統(tǒng)的效率。本文正是在這種背景下展開的研究： 在深入分析safety核種新的sa

13、fety保障技術(shù)（該技術(shù)在承認(rèn)系統(tǒng)中存在軟件故障的前題下保障系統(tǒng)的safety的） 和主動(dòng)網(wǎng)安全需求的基礎(chǔ)上，提出了一種基于safety核的“主動(dòng)網(wǎng)”安全體系。2 “主動(dòng)網(wǎng)”與safety核2.1 "主動(dòng)網(wǎng)"safety需求“主動(dòng)網(wǎng)”的safety需求包括用戶數(shù)據(jù)和主動(dòng)節(jié)點(diǎn)兩個(gè)方面。“主動(dòng)網(wǎng)”通過提供通用的網(wǎng)絡(luò)可編程接口，一 方面允許兒乎所有的網(wǎng)絡(luò)用戶按各口的應(yīng)用需求針對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)、甚至直接針對(duì)報(bào)文進(jìn)行編程并嵌入可執(zhí)行的代碼； 另一方面允許網(wǎng)管人員對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行配置和功能的剪裁。當(dāng)主動(dòng)節(jié)點(diǎn)執(zhí)行這些外來的代碼（即主動(dòng)代碼）時(shí)，使''主 動(dòng)網(wǎng)”面臨嚴(yán)重的safet

14、y威脅：極冇可能存在冇缺陷主動(dòng)代碼，它們的執(zhí)行無疑會(huì)破壞主動(dòng)節(jié)點(diǎn)的safety；也 可能存在有缺陷的主動(dòng)節(jié)點(diǎn),在執(zhí)行主動(dòng)代碼時(shí)非法修改了用戶的數(shù)據(jù)。因此“主動(dòng)網(wǎng)”中，被保護(hù)對(duì)象為有safety圖1 safety核原理盂求的用戶數(shù)據(jù)和主動(dòng)節(jié)點(diǎn)上的資源。2.2 safety核的原理safety核的靈感來源于信息保密系統(tǒng)中較為成熟的 security核，它最先由著名安全學(xué)家leveson岡等人丁八十年 代+期提h o真正從security核視角看待safety的是rushby191。 后來kevin""繼承和發(fā)揚(yáng)了 rushby的safety核概念,并在 mss上建立了 safe

15、ty核的雛型。safety核冇別于security核，它關(guān)心的是如何保護(hù)設(shè)備，以避免因?qū)υO(shè)備的謀操作引起重人的生命財(cái)產(chǎn)損失和環(huán) 境的破壞，其原理見圖1所示。safety核把受保護(hù)設(shè)備與系統(tǒng)的其它部分隔離開，通過實(shí)i& safety策略(safety policy) 對(duì)這些設(shè)備進(jìn)行特殊保護(hù)：凡是對(duì)受保護(hù)設(shè)備的訪問，都必須經(jīng)過safety核的審查控制，合法者予以支持，反z則 釆取相應(yīng)的出錯(cuò)處理措施。2.3 “主動(dòng)網(wǎng)”采用safety核的合理性和優(yōu)越性定義1消極型錯(cuò)誤當(dāng)系統(tǒng)做了不希望做的事情時(shí)，稱系統(tǒng)發(fā)生了消極型錯(cuò)誤。比如，口動(dòng)飛行控制軟件在飛機(jī)處于飛行狀態(tài)時(shí)，啟動(dòng)著陸裝置。定義2積極型錯(cuò)誤

16、希望系統(tǒng)做的事情，系統(tǒng)沒有完成時(shí)，稱系統(tǒng)發(fā)生了積極型錯(cuò)謀。-般來說，積極型錯(cuò)謀比消極型錯(cuò)誤易于檢查和評(píng)估，采用的方法也比較多。safety核機(jī)制與人多數(shù)傳統(tǒng)的 safety.可靠性方法不一樣，它善長處理消極型錯(cuò)誤：無論safety核外其它系統(tǒng)組件如何工作，safety核都必須要維 持safety策略的不變性。因此若把“主動(dòng)網(wǎng)”被保護(hù)對(duì)彖視為設(shè)備，則在主動(dòng)節(jié)點(diǎn)上采用safety核是合理的。主動(dòng)節(jié)點(diǎn)上釆用safety核的優(yōu)勢(shì)：統(tǒng)一性：所冇的safety策略都能由單一的代碼集合來執(zhí)行。可修改性：易丁-對(duì)safety機(jī)制作出改變和對(duì)這種改變進(jìn)行測(cè)試。緊湊與可驗(yàn)證性：safety核只完成safety功能

17、，其結(jié)構(gòu)柑對(duì)較小，冇利于正確性的驗(yàn)證。單純性：把safety 3：作交由safety核處理，減少了系統(tǒng)其它紐件的負(fù)擔(dān)。2.4 “主動(dòng)網(wǎng)”采用safety核的有效性和safely策略的設(shè)計(jì)2.4.1保證safety核有效的條件在“主動(dòng)網(wǎng)”中，要保證safety核的有效性，必須遵循f列的規(guī)則。1. safety核應(yīng)短小精練safety核盡可能小，才易丁其正確性的檢驗(yàn)。為此'主動(dòng)網(wǎng)”所有的safety策略均由safety核來實(shí)施是不現(xiàn)實(shí) 的。需要山safety核來實(shí)施的safety策略應(yīng)滿足的條件歸納為下面兩條： 這些safety策略中所包含的變量必須在safety核的控制z否則對(duì)safet

18、y核來說這些safety策略本身就是可變的，safety核根本無法去維護(hù)它們。 對(duì)于第二個(gè)條件，rushby形式化表示為：論忙 p(a)(1)其中op“是safety核提供的所冇功能組成的集合，其元素(1)中以a代衣，"代農(nóng)“所包含的具體功能)可以是 safety核的一個(gè)或多個(gè)功能組成；p(d)則農(nóng)示safety核對(duì)a包含的所有功能的輸入/輸出都有臨控權(quán)。竊實(shí)上，safety 核為“主動(dòng)網(wǎng)”提供的毎一次safety服務(wù)(實(shí)際上就是主動(dòng)節(jié)點(diǎn)其它組件對(duì)被保護(hù)對(duì)彖的一次訪問)，都可看成是一 系列冇序的safety核的功能集(即a).因此(1)式說明，無論系統(tǒng)其它紐件(特別是主動(dòng)報(bào)文)如何訪

19、問被保護(hù)對(duì)彖(即 ()，safety核都要保持safety策略的實(shí)施(即p(a)。2. 完備性完備性要求不通過safety核，任何對(duì)被保護(hù)對(duì)彖的訪問都必須被禁止。它衣明對(duì)被保護(hù)對(duì)彖的任何訪問請(qǐng)求都 必須通過safety核來傳遞，所以釆川了 safety核的主動(dòng)節(jié)點(diǎn)必須要保證safety核對(duì)被保護(hù)對(duì)象的專一控制。2.4.2 “主動(dòng)網(wǎng)”的safety策略在“主動(dòng)網(wǎng)”中，由safety核執(zhí)行的safety策略可分為四類：1. 被保護(hù)對(duì)象的控制策略當(dāng)主動(dòng)報(bào)文向主動(dòng)節(jié)點(diǎn)的資源發(fā)出動(dòng)作指令時(shí)，該策略用以判斷這個(gè)動(dòng)作指令的執(zhí)行是否使主動(dòng)節(jié)點(diǎn)的被保護(hù) 對(duì)彖保持在非危險(xiǎn)狀態(tài)，如果可行，允許執(zhí)行操作，否則出錯(cuò)處理

20、。2. 主動(dòng)報(bào)文的狀態(tài)策略與換件相似，在一個(gè)特殊的軟件行為發(fā)生前，必須要檢測(cè)這種行為發(fā)生的合理性，即嚴(yán)格控制軟件的執(zhí)行路徑， 避免錯(cuò)謀指令的產(chǎn)生。對(duì)于每一個(gè)主動(dòng)報(bào)文的行為都要為z設(shè)計(jì)可接受的命令序列及參數(shù)，以備檢測(cè)時(shí)使用。3. 設(shè)備錯(cuò)誤診斷策略這類策略主要是檢測(cè)主動(dòng)節(jié)點(diǎn)設(shè)備的動(dòng)作是否與指令動(dòng)作一致。4.錯(cuò)誤響應(yīng)策略錯(cuò)謀出現(xiàn)后，采取的補(bǔ)救措施。3安全體系sssan的設(shè)計(jì)3.1主動(dòng)網(wǎng)安全體系的設(shè)計(jì)目標(biāo)主動(dòng)網(wǎng)安全體系的設(shè)計(jì)h標(biāo)是：1. 靈活性：在實(shí)際應(yīng)用中，并不是每時(shí)每刻都需要安全服務(wù)，僅當(dāng)需要時(shí)才捉供。這樣既能使系統(tǒng)的安全得 到保障，乂可避免不必要的開銷。2. 透明性：對(duì)用戶而言，安全系統(tǒng)應(yīng)該是透

21、明的，讓用戶盡可能的感覺不到安全系統(tǒng)的存在。3. 安全服務(wù)的周密性：安全服務(wù)的周密性表現(xiàn)在功能的多樣性和嚴(yán)謹(jǐn)性。安全系統(tǒng)既要向用戶提供豐富的安 全服務(wù)，乂提供各種管理功能，以便對(duì)安全系統(tǒng)進(jìn)行安裝、監(jiān)測(cè)和重建。安全系統(tǒng)還要保證這些安全服務(wù)不發(fā)生沖 突，而盡可能的避免漏洞。4. 安全實(shí)施的獨(dú)立性：安全保障措丿施山安全系統(tǒng)全權(quán)負(fù)責(zé)實(shí)丿施。5. 適應(yīng)性：安全系統(tǒng)既能適用于從單個(gè)pc到lan,甚至于開放系統(tǒng)等多種壞境，乂能適用于多種用戶、應(yīng) 用和數(shù)據(jù)。6. 易驗(yàn)證：安全系統(tǒng)不能太復(fù)雜，必須要易于開發(fā)、測(cè)試和驗(yàn)證。3.2主動(dòng)網(wǎng)的抽象主動(dòng)網(wǎng)具有多個(gè)主動(dòng)節(jié)點(diǎn)，我們稱毎個(gè)節(jié)點(diǎn)為一個(gè)域，并用互聯(lián)表示數(shù)據(jù)通信設(shè)備和

22、網(wǎng)絡(luò)，于是主動(dòng)網(wǎng)可抽象 為圖2所示。顯然要保證主動(dòng)網(wǎng)的安全，就必須要保證域內(nèi)和域間（即互聯(lián)）的安全。域域耳圖2 4動(dòng)網(wǎng)的抽象衣示域主動(dòng)報(bào)文圖3主動(dòng)節(jié)點(diǎn)的安全概念用戶全竹理數(shù)據(jù)廉安全系統(tǒng)的管理層安全服務(wù)代理層安全服務(wù)實(shí)現(xiàn)層圖4 sssan的外部視圖3.3域間安全3.3.1域與域的關(guān)系域與域z間的關(guān)系可分為對(duì)等和主從兩種。在對(duì)等關(guān)系中，域與域z間是完全平籌的，都冇各白的安全政策， 而h安全政策可能是相同的。在主從關(guān)系中,域與域之間有著從屬性,即一個(gè)域是另一個(gè)域的子域。這時(shí)安全政策 具冇繼承性，即子域要共享母域的安全政策。此外，子域還可以冇h己的安全政策。3.3.2安全需求必須要保證域間傳遞的信息具

23、有保密性、完整性，一些osi通信協(xié)議的security如下說】：x.25： x.25提供了認(rèn)證、數(shù)據(jù)完整和訪問控制security服務(wù)，但不包括數(shù)據(jù)保密和防抵賴。 x.400： x.400提供了標(biāo)準(zhǔn)的osi security服務(wù)（認(rèn)證、訪問控制、數(shù)據(jù)保密、數(shù)據(jù)完整性利防抵賴）。 x.500： x.500提供實(shí)體認(rèn)證和基本的文章控制兩種security服務(wù)。ftam： ftam捉供了訪問控制服務(wù)、認(rèn)證服務(wù)、保密和完整服務(wù)。edi：基本的edi security服務(wù)冇認(rèn)證、保密、完整和防抵賴。3.4域內(nèi)安全同一域內(nèi)的安全系統(tǒng)必須統(tǒng)一設(shè)計(jì)，這樣才能保證該域內(nèi)的全局安全性。域內(nèi)安全包括用戶數(shù)據(jù)的安全和

24、執(zhí)行 環(huán)境的安全。域內(nèi)的安全概念可表示為圖3所示。3.5 sssan的外部視圖在結(jié)構(gòu)上將sssan設(shè)計(jì)為三層，其外部視圖見圖4所示。1. 安全系統(tǒng)的管理層安全系統(tǒng)的管理層由完成安裝、調(diào)試、監(jiān)視、維護(hù)和重建安全系統(tǒng)的模塊紐成。2. 安全服務(wù)代理層女全服務(wù)代理層由各個(gè)女全代理組成，它們之間相互配合，保障系統(tǒng)的安全。3. 安全服務(wù)實(shí)現(xiàn)層安全服務(wù)實(shí)現(xiàn)層就是安全系統(tǒng)提供的安全服務(wù)的集合，具體完成安全保障的職能。4. 安全管理數(shù)據(jù)庫安全管理數(shù)據(jù)庫是一個(gè)信息庫，存放所冇與系統(tǒng)安全相關(guān)的信息。安全管理數(shù)據(jù)庫是集 中式還是分布式管理視具體系統(tǒng)而定。3.6安全服務(wù)代理及其功能為了便于統(tǒng)一管理，在sssan中設(shè)直下

25、述幾類安全服務(wù)代理：1. 報(bào)文代理記錄報(bào)文的安全需求；根據(jù)標(biāo)準(zhǔn)的安全信息，審查報(bào)文安全需求的合理性，并做出適當(dāng)?shù)捻憫?yīng)。2. 用戶代理記錄用戶注入的“小程序”，根據(jù)嚴(yán)格的規(guī)則來判斷其合法性，并做出適當(dāng)?shù)捻憫?yīng)。向用戶提供幫助信息。3. 安全管理代理與監(jiān)視代理和恢復(fù)代理協(xié)同丁作；與安全管理數(shù)據(jù)庫代理協(xié)同t作，完成對(duì)安全管理數(shù)據(jù)庫的訪問。4. safety核代理safety核代理是安全系統(tǒng)的屮心控制和操作代理，主要負(fù)責(zé)提供safety核服務(wù)。5. 安全管理數(shù)據(jù)庫代理凡是要訪問安全管理數(shù)據(jù)庫的代理均需通過安全管理數(shù)據(jù)庫代理。6. 監(jiān)視代理監(jiān)視代理接收安全管理代理所收集的數(shù)據(jù)并通過安全管理數(shù)據(jù)庫代理把它們

26、記錄在安全管理數(shù)據(jù)庫中。7. 恢復(fù)代理恢復(fù)代理負(fù)責(zé)探測(cè)系統(tǒng)的安全性是否被破壞，并在系統(tǒng)進(jìn)入不安全狀態(tài)時(shí)將系統(tǒng)恢復(fù)到安全狀態(tài)。8. 壞境代理對(duì)用戶、報(bào)文和管理倍息進(jìn)行初步的安全審杳，合格者交給相應(yīng)的代理，不合格者禁止訪問本域。負(fù)責(zé)域間網(wǎng)絡(luò)安全，確保域間數(shù)據(jù)的保密性和完整性。9. 管理信息代理管理代理負(fù)責(zé)管理系統(tǒng)管理員在主動(dòng)節(jié)點(diǎn)上加載的管理倍息。3.7安全服務(wù)代理之間的關(guān)系各安全服務(wù)代理z間相互配合，共同保障系統(tǒng)的安全。安全服務(wù)代理z間的相互關(guān)系見圖5所示：圖5安全服務(wù)代理z間的關(guān)系主動(dòng)節(jié)點(diǎn)3.8安全服務(wù)安全服務(wù)是安全系統(tǒng)的功能，這些功能針對(duì)系統(tǒng)屮潛在的不安全因索提供有效防范措施。為支持安全服務(wù)代

27、 理，域內(nèi)安全服務(wù)分為三類：1. safety核服務(wù)：safety核服務(wù)分為四類，分別用于維護(hù)交換設(shè)備控制策略、用戶數(shù)據(jù)的狀態(tài)策略、設(shè)備錯(cuò)誤診斷策略和錯(cuò)誤 響應(yīng)策略。2. 數(shù)據(jù)庫security服務(wù)數(shù)據(jù)庫security服務(wù)引用開放系統(tǒng)環(huán)境中的數(shù)據(jù)庫security服務(wù)，即除了 osi的訪問控制、數(shù)據(jù)保密利數(shù)據(jù) 完整security服務(wù)外，還提供保持?jǐn)?shù)據(jù)流安全-致性和防止推知數(shù)據(jù)兩項(xiàng)security服務(wù)。3. 管理安全服務(wù)安全審核服務(wù)：安全審核服務(wù)實(shí)現(xiàn)探測(cè)和調(diào)查與安全性有關(guān)的事件，即記錄、分析和報(bào)告與安全性有關(guān)的 信息。安全恢復(fù)服務(wù)：在安全性破壞發(fā)生后，安全恢復(fù)服務(wù)采取一定的措施將系統(tǒng)恢復(fù)到安

28、全狀態(tài)。4結(jié)論主動(dòng)網(wǎng)的安全性研究包括safety和security兩個(gè)方面，但h前的研究主要集中在security方面。木文徃分析兩者 關(guān)系和主動(dòng)網(wǎng)safety需求的基礎(chǔ)匕 提出了為主動(dòng)網(wǎng)建立集safety保障機(jī)制和security保障機(jī)制為一體的安全體系 的設(shè)想。然厲探索了該安全體系統(tǒng)應(yīng)具有的特點(diǎn)和設(shè)計(jì)h標(biāo)。并在深入分析safety核這種新safely保障技術(shù)在主動(dòng) 網(wǎng)中實(shí)施的有效性后，提出了主動(dòng)網(wǎng)的safety策略，最后建立了以safely核技術(shù)為基礎(chǔ)的安全體系sssan。參考文獻(xiàn)111 darpa. darpa active network home page. h【p:/wvv.(j3rpamil/io/research/ane(s/indexhlml|2李一果，溫蜀山，孫海榮和孚樂民.主動(dòng)網(wǎng)絡(luò)的安全技術(shù)探討.電子科技大學(xué)學(xué)報(bào),2000, 29(4): 402 -405|31何丹，謝立.-種新型的網(wǎng)絡(luò)體系主動(dòng)網(wǎng)絡(luò).計(jì)算機(jī)研究與發(fā)展，1999, 36( 1):174 tcnncnhousc d l, ct al. a survey