主动网络安全保护结构探析(2)

　　（四）用户面临的安全威胁
　　用户或源节点希望保护自己主动分组中的传输数据和代码，确保主动分组中数据和代码的完整性和机密性。因为其它非法或恶意的用户主动代码可能通过在主动节点上运行来查看其主动分组的数据、代码和运行状态等，所以主动应用用户会感觉威胁来自其它用户的主动代码或主动分组：主动应用用户还把执行环境和节点看作威胁源，因为防止未授权的主动节点查看和修改其主动分组的数据、代码和运行的状态。　三、主动网络的保护策略
　　（一）主动节点的保护
　　（1）主动分组的认证：任何主动分组都具有一份证书，该证书由一个可信任的证书中心发布。证书用来保证对该证书签名的持有者为主动分组负责；（2）监视和控制：可以通过设定访问监视器，它可以根据策略数据库中的安全决策来决定访问是否被授权，通过安全策略来允许主动分组访问和使用主动节点资源和服务；（3）限制技术：时间限制、范围限制以及复制限制，这些限制在阻止主动分组过度占用节点资源方面是必要的。
　　（二）主动分组的保护
　　（1）在主动网络中，主动分组可能会导致一些在现有的传统网络中不易经常出现的一些问题，如毁坏节点资源、拒绝服务、窃取信息等。为了保护主动分组的安全，可以采用加密、容错、数字签名技术等安全技术；（2）加密指主动分组不含有明文代码和数据，防止在传输过程中代码和数据被破坏；（3）容错技术就是备份、持续和重定向。备份意味着在每个节点都进行复制。持续是指分组临时被存储以防节点失效，这样即使节点崩溃，分组仍然存在存储器中。由于备份和持续会消耗大量的内存和带宽，对大部分分组来说是不可接受的，所以只有非常重要的分组才这样做；（4）数字签名技术对于主动分组进行完备性检测常采用公钥签名或X.509证书形式。接收方收到主动分组后，利用CA公钥验证CA数字签名以保证证书的完整性，然后从证书中获得主动分组发送者的公钥，验证主体的身份。
　　四、主动网络安全传输方案的设计
　　（一）合法节点之间的安全传输
　　在主动网络中，传输过程中，路径上的主动节点要执行主动分组中含有的代码，对主动分组进行计算处理，主动分组在完成传输之前，究竟会有多少个节点参与到通信中来，以及这些节点究竟是哪些节点，它们分布在什么位置，这些信息是无法事先确定的。这就导致发送节点、中间节点以及终端节点都无法确定自己会与多少个节点通信，也无法知道这些节点的所属者以及它们的地理位置。这就给主动节点之间的认证带来了困难，所以引入认证中心（CA）是完成主动节点通信过程中进行身份鉴别的必然选择。让所有可信节点都向CA注册，获得认证，并获取一张由CA签发的用以证明其合法身份的数字证书，从而使可信节点之间能够通过数字证书来完成彼此的身份鉴别。
　　（二）有不可信节点参与的安全通信
　　笔者认为可行的方案就是：由认证中心CA给每一个合法节点签发一个不含该节点公钥的数字证书，另外由认证中心保管各个合法节点的公钥。当主动节点A要和节点B通信时，只要用自己的私钥将数据包m进行加密，然后附上自己的证书，一起封装起来传送给B；节点B接收到传来的加密数据包，若B是未经认证的节点，只需按照该数据包的目的地址直接将其转发给下一节点；若B是经过认证的合法节点，则B首先根据数据包中的数字证书鉴别发送节点A的身份信息，然后向认证中心请求主动节点A的公钥，CA对B的身份进行鉴别，通过验证后将A的公钥安全的传给B，B用该公钥对A传来的加密包进行解密，完成对主动分组的处理。
　　通信过程如下：（1）A对要发送的分组m应用一个散列函数H得到报文摘要；（2）用A的私钥K-A对得到的报文摘要签名，从而得到数字签名；（3）把原分组m（未加密）和数字签名级联到一起生成一个新的数据包M；（4）随机选择一个对称密钥Ks，用这个密钥对M进行加密Ks（M）；（5）用主动节点A的公钥K-a对这个对称密钥进行加密K-A（Ks）；（6）级联该加密的报文Ks（M）和加密的对称密钥K A（Ks），附带CA签发给主动节点A的数字证书，形成一个新的包，传送给主动节点B；（7）节点B收到分组后，首先取出主动节点A的证书，确认其身份；然后B向CA发出请求，要求获得A的公钥；CA再收到B的请求时，要验证B是否是合法节点，验证成功后将A的公钥安全的发送给B；B用A的公钥K认将报文解密，得到对称密钥Ks，对加密报文Ks（M）进行解密，得到原始数据包，计算该数据包的散列值；并与解密得到的散列值进行比较，若一致，说明通信过程安全完整；（8）若B是非法节点，则CA不会将A的公钥发送给B，B只需将加密的分组根据路由表向下一节点转发即可，或者B是普通节点，也只需对加密的主动分组做传统的转发。