浅谈主动网络主动节点的安全保护
2012-04-29 00:44张春宇
中国管理信息化 2012年4期
关键词:安全威胁
张春宇
[摘要] 主动网络是一种可编程的分组交换网络,通过主动技术和计算技术,使传统网络从被动的字节传送模式向网络计算模式转换,提高网络传输速度。在提高网络传输速度的同时,安全性也是主动网络必须要考虑的问题,本文首先介绍和分析主动网络所面临的一些安全威胁,罗列出安全威胁的主次并加以分析解决,降低主动网络安全风险。
[关键词] 主动网络; 主动节点; 安全威胁
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 04. 035
[中图分类号]F272.9;TP393.0[文献标识码]A[文章编号]1673 - 0194(2012)04- 0060- 01
0前言
随着网络的日益发展,主动网络以其具有可编程能力逐渐成为网络发展的方向。但由于主动网络有一定的保护和隐藏功能,其保护一旦泄露,就会受到很大的安全威胁。
1主动网络介绍及安全分析
1.1主动网络
主动网络是于1994年,DARPA(美国国防部先进研究项目局)在一个讨论会上首次提出的,在之后几年内,美国各知名高校开展了对主动网络的研究工作。随着Internet的固有缺点逐步暴露,主动网络技术被越来越重视,并确定成为网络系统的发展方向之一。
1.2主动网络安全威胁
主动网络受到的主要威胁有几下几点:
(1) 节点受到的威胁:主动节点为了提高自己的服务安全,保护自身安全的方法主要是进行一定的隐藏,因此,一旦未授权暴露,其安全就会受到威胁。
(2) 环境受到的威胁:执行环境感觉其受到的威胁可能来自其他的执行环境。因为在一个主动节点中可能存在着多个执行环境,如果其中一个执行环境过多地消耗主动节点资源,那么必然对其他执行环境的运行造成损害。
(3) 分组受到的威胁:主动代码可能向主动节点发出存取控制操作请求,其目的是为了处理和传送;主动代码可能向主动节点发出存取请求,其目的是为了取得服务。这些意味着主动代码应当能够识别它所想处理的主动分组。
(4) 用户受到的威胁:用户一直是主动网络的主要威胁,如管理员错误地修改运行参数、其他非法用户的修改等,都是主动网络的威胁。
从上面几种威胁,我们可以看出,主动节点安全是主动网络的自身威胁,而其他几种威胁或多或少都与外界因素有关,因此,我们重点讨论主动网络节点的安全策略。
2主动网络节点安全策略
2.1主动节点的保护方法
(1) 主动分组认证:任何主动分组都具有一份证书,该证书由一个可信任的证书中心发布。证书用来保证对该证书签名的持有者为主动分组负责。
(2) 监视和控制:可以通过设定访问监视器,它可以根据策略数据库中的安全决策来决定访问是否被授权,通过安全策略来允许主动分组访问和使用主动节点资源和服务。
(3) 限制技术:时间限制、范围限制以及复制限制,这些限制在阻止主动分组过度占用节点资源方面是必要的。
2.2主动节点的安全性分析及策略
主动节点为了保护自己资源,反对未被授权的主动代码使用,确保自己所提供的服务具有真实有效性。主动节点受到的威胁主要来自主动代码或主动包,因为当主动代码或主动包在执行环境执行时,主动代码可以消耗主动节点资源,了解节点状态,从而可能对主动节点进行恶意的配置。所以主动节点必须管理好自己的资源。具体而言,用于保护主动节点安全主要有以下几个方面:
(1) 认证:为了区分合法主动包和非法主动包对主动节点的访问,需要对主动包进行认证,认证是验证主动包身份以确保对主动节点安全访问的过程。为确保主动包中数据的完整性和发送双方的真实性,采用IKE(Internet Key Exchange)协议来实现对用户的身份认证。当一个主动包进入主动节点时,首先进行安全认证,主要包括身份认证和完整性认证,如果通不过则视为非法主动包,予以丢弃;如果通过,还要进行内部一系列认证。
(2) 完整性校验:在主动节点的安全模型中,完整性校验主要包括主动代码的完整性校验和主动包的完整性校验。通过完整性校验可以防止主动代码或主动包被非法篡改。不能通过完整性校验的主动代码或主动包,主动节点认为此主动代码或主动包已被篡改,则拒绝处理直接丢弃。
(3) 安全执行引擎:负责响应执行环境中具体的服务请求,它包含对主动包的授权引擎和对主动节点资源访问控制引擎。授权引擎:主要负责查阅信任证书库,从而实现对主动包进行身份认证和对主动代码进行安全验证。认证证书可以用来验证和识别主动代码创建者和发送者的数字签名和公钥,指示主动代码的来源。访问控制引擎:参考安全策略库和主动权能库进行主动节点资源的访问,并在访问过程中嵌入限制技术,该引擎用于控制主动包对节点资源和系统资源使用的权限,根据授权引擎和安全策略库及主动权能库得出主动包在节点上的使用权限。如果主动代码在没有获得授权以前使用和访问主动节点的资源,访问控制引擎将采取有效措施阻止代码的执行,以防止可能对主动节点系统造成危害的行为。
(4) 入侵防护系统:入侵防护系统IPS是预先对入侵活动和攻击性网络流量进行拦截,避免主动节点资源遭到非法滥用。入侵防护系统是指通过一个网络端口接收来自系统的流量,经过检查确认其中不包含异常活动或可疑内容后,通过另外一个端口将它传送到内部系统中。这样,有问题的主动包,以及所有来自同一数据流的后续主动包,都能在IPS 设备中被清除掉。
3 结束语
主动网络是具有可编程能力的新型网络体系,它是由一系列的主动节点组成,主动代码能够动态注入主动节点中,进行功能扩展,主动网络的灵活性不可避免地增加了主动节点受到攻击的可能性。恶意的攻击者可以利用主动代码对主动节点实施很大的破坏性。因此,本文提出一种较为合理的观点,结合了主动网络安全技术,能较好地保护主动节点的各个资源。
猜你喜欢
中国新通信(2017年1期)2017-03-08
电子技术与软件工程(2017年1期)2017-03-06
电脑知识与技术(2016年30期)2017-03-06
电子技术与软件工程(2016年23期)2017-03-06
网络空间安全(2016年11期)2017-02-13
电脑知识与技术(2016年27期)2016-12-15
数字技术与应用(2016年9期)2016-11-09
中国新通信(2016年16期)2016-10-18
新闻世界(2016年4期)2016-06-20
无线互联科技(2016年2期)2016-03-16
