支立勛

淮安信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)與通信工程學(xué)院

基于網(wǎng)絡(luò)操作系統(tǒng)微內(nèi)核思想對(duì)網(wǎng)絡(luò)協(xié)議模型的改進(jìn)

支立勛

淮安信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)與通信工程學(xué)院

網(wǎng)絡(luò)操作系統(tǒng)的安全性在網(wǎng)絡(luò)安全中扮演著非常重要的角色，在很多網(wǎng)絡(luò)攻擊方法和技術(shù)中基本上都是從網(wǎng)絡(luò)操作系統(tǒng)的漏洞入手的。互聯(lián)網(wǎng)上用得最多的網(wǎng)絡(luò)操作系統(tǒng)就是Unix操作系統(tǒng)，其本身由于產(chǎn)生的歷史原因存在著先天的安全不足和漏洞，因此在隨后的幾十年直到現(xiàn)在仍有大量專家學(xué)者采用修修補(bǔ)補(bǔ)的方法來(lái)解Unix操作系統(tǒng)的安全問(wèn)題。但是由于Unix本身系統(tǒng)結(jié)構(gòu)的原因，這種修補(bǔ)方案效果很不理想。因此，本文提出了一種基于基于微內(nèi)核的思想來(lái)從操作系統(tǒng)的內(nèi)部結(jié)構(gòu)來(lái)增加操作系統(tǒng)的安全性能，從而在根本上解決了Unix網(wǎng)絡(luò)操作系統(tǒng)的安全問(wèn)題。

微內(nèi)核結(jié)構(gòu);消息調(diào)度模塊;應(yīng)用程序管理模塊

1.網(wǎng)絡(luò)安全中可能存在的問(wèn)題

計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅大體可分為兩種：一是對(duì)網(wǎng)絡(luò)中信息的威脅；二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。影響計(jì)算機(jī)網(wǎng)絡(luò)的因素很多，有些因素可能是有意的，也可能是無(wú)意的；可能是人為的，也可能是非人為的；可能是外來(lái)黑客對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使有，歸結(jié)起來(lái)，針對(duì)網(wǎng)絡(luò)安全的威脅主要有以下三方面，第一，人為的無(wú)意失誤：如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。第二，人為的惡意攻擊：這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。第三，網(wǎng)絡(luò)軟件的漏洞和“后門”：網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)過(guò)的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是因?yàn)榘踩胧┎煌晟扑兄碌目喙?。另外，軟件的“后門”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦“后門”洞開(kāi)，其造成的后果將不堪設(shè)想。

總之，網(wǎng)絡(luò)安全問(wèn)題包括很多方面，任何一個(gè)方面一個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題，都會(huì)導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)不安全的事情。但現(xiàn)階段不安全因素主要集中在網(wǎng)絡(luò)傳播介質(zhì)及網(wǎng)絡(luò)協(xié)議的缺陷、密碼系統(tǒng)的缺陷、主機(jī)操作系統(tǒng)的缺陷。在現(xiàn)實(shí)中，密碼系統(tǒng)已經(jīng)非常完善，各種密碼系統(tǒng)的健壯性也得到了證實(shí)。但是在網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)操作系統(tǒng)上，仍然有很多可被攻擊的入口及漏洞?，F(xiàn)實(shí)中的網(wǎng)絡(luò)安全問(wèn)題主要也確實(shí)集中在操作系統(tǒng)的漏洞上。由于Unix及類Unix網(wǎng)絡(luò)操作系統(tǒng)是現(xiàn)在Internet中非常普遍的網(wǎng)絡(luò)操作系統(tǒng)，其網(wǎng)絡(luò)服務(wù)和它的源代碼是公開(kāi)的，所以在很多場(chǎng)合下使用者可以定制自己的Unix操作系統(tǒng)，使它更適合網(wǎng)絡(luò)相關(guān)的服務(wù)要求從而來(lái)提高網(wǎng)絡(luò)系統(tǒng)的安全性。也正是由于網(wǎng)絡(luò)協(xié)議是和操作系統(tǒng)獨(dú)立的，所以對(duì)網(wǎng)絡(luò)協(xié)議的改進(jìn)是不影響網(wǎng)絡(luò)操作系統(tǒng)的，也為我們借鑒網(wǎng)絡(luò)操作系統(tǒng)的微內(nèi)核思想來(lái)解決網(wǎng)絡(luò)安全問(wèn)題奠定了實(shí)踐基礎(chǔ)。

2.操作系統(tǒng)可能存在的安全問(wèn)題

在操作系統(tǒng)上，安全問(wèn)題主要集中在多用戶的訪問(wèn)權(quán)限上。系統(tǒng)特權(quán)用戶的權(quán)限非常大，他能夠做系統(tǒng)所能做的任何事情。在Unix系統(tǒng)中，很多系統(tǒng)服務(wù)級(jí)的后臺(tái)網(wǎng)絡(luò)服務(wù)程序都擁有系統(tǒng)用戶權(quán)限，然而，這些后臺(tái)程序的也是安全問(wèn)題的最大隱患。Unix中很多系統(tǒng)級(jí)的服務(wù)都放在內(nèi)核中。如果這些服務(wù)程序如果有編程問(wèn)題，問(wèn)題也同時(shí)帶到了內(nèi)核級(jí)的權(quán)限中，這樣，攻擊者就有可能在內(nèi)核級(jí)別進(jìn)行惡意的操作了。另外，進(jìn)行嚴(yán)格的應(yīng)用程序堆棧檢查及堆管理，對(duì)安全問(wèn)題上也十分重要?？傊?，如果操作系統(tǒng)能進(jìn)行更嚴(yán)格的應(yīng)用程序管理，就有可能使系統(tǒng)更安全。盡管不可能存在一個(gè)絕對(duì)安全的系統(tǒng)，但一個(gè)好的結(jié)構(gòu)可以使一個(gè)系統(tǒng)很難被攻擊。在通常被攻擊的情況下，攻擊者總會(huì)想各種辦法盡量去獲得系統(tǒng)用戶權(quán)限。既然不可能有編寫(xiě)完全無(wú)錯(cuò)程序的辦法，那么能夠盡量少用系統(tǒng)權(quán)限程序去完成操作系統(tǒng)功能，是解決現(xiàn)實(shí)中有錯(cuò)誤程序的一條可行之路從而盡可能地減少攻擊者得到系統(tǒng)權(quán)限的概率。基于操作系統(tǒng)微內(nèi)核的思想就可以有效的解決這樣的問(wèn)題。微內(nèi)核是一種能夠提供必要服務(wù)的操作系統(tǒng)內(nèi)核，其中這些必要的服務(wù)包括任務(wù)，線程，交互進(jìn)程通信以及內(nèi)存管理等等。所有服務(wù)（包括設(shè)備驅(qū)動(dòng)）在用戶模式下運(yùn)行，而處理這些服務(wù)同處理其他的任何一個(gè)程序一樣。因?yàn)槊總€(gè)服務(wù)只是在自己的地址空間運(yùn)行。所以這些服務(wù)之間彼此之間都受到了保護(hù)在微內(nèi)核結(jié)構(gòu)下，系統(tǒng)的核心只有一個(gè)消息調(diào)度核心，所有的其他模塊通過(guò)消息與其他模塊互相聯(lián)系，而通信通過(guò)消息調(diào)度核心來(lái)傳輸。這樣，真正具有系統(tǒng)用戶權(quán)限的程序只有這個(gè)消息調(diào)度核心了，所有的其他系統(tǒng)服務(wù)，如文件系統(tǒng)、內(nèi)存管理、進(jìn)程調(diào)度都運(yùn)行在它之上。

3.現(xiàn)有網(wǎng)絡(luò)協(xié)議模型的問(wèn)題分析

TCP及TP4等通用協(xié)議為連接管理、差錯(cuò)控制和流量控制提供了復(fù)雜的控制機(jī)制，它們的優(yōu)點(diǎn)是為大量應(yīng)用提供標(biāo)準(zhǔn)的點(diǎn)到點(diǎn)傳輸服務(wù)，而付出的代價(jià)是協(xié)議性能。要增強(qiáng)性能主要解決三個(gè)問(wèn)題：選擇合理的確認(rèn)（Acknowledgement）機(jī)制，選擇合理的超時(shí)值，研究高效的擁擠控制算法。傳統(tǒng)的滑動(dòng)窗口機(jī)制是由位于傳輸層的接收端發(fā)送ACK報(bào)文，通知發(fā)送方下一個(gè)期望的數(shù)據(jù)報(bào)文。因此，ACK的存在制約了數(shù)據(jù)的傳輸速度，同時(shí)增加了傳輸?shù)念~外開(kāi)銷。后來(lái)TCP的研究者提出對(duì)數(shù)據(jù)報(bào)文的確認(rèn)采用集中方式，即一次ACK同時(shí)確認(rèn)多個(gè)報(bào)文，以推遲和減少ACK的發(fā)送。另一種改進(jìn)方法是采用選擇重發(fā)機(jī)制，即發(fā)送方只需重新發(fā)送接收方確認(rèn)已經(jīng)丟失的報(bào)文。最新的機(jī)制稱為NACK，它已被XTP等協(xié)議吸收。NACK包含接收方明確的要求重發(fā)的語(yǔ)義，因而如果沒(méi)有嚴(yán)重的丟包現(xiàn)象，那么控制報(bào)文的數(shù)量大量減少，同時(shí)將差錯(cuò)檢測(cè)的問(wèn)題轉(zhuǎn)移到接收方，為實(shí)現(xiàn)多點(diǎn)投遞提供了更多便利。在傳輸層協(xié)議中有許多計(jì)時(shí)器用于連接管理和差錯(cuò)檢測(cè)，特別是在超時(shí)機(jī)制中如果超時(shí)值選取不當(dāng)，那么取值過(guò)大，不能迅速發(fā)現(xiàn)丟包；取值過(guò)小可能帶來(lái)許多“偽”差錯(cuò)警報(bào)，進(jìn)而引起無(wú)意義的重發(fā)。一般情況下最佳值由發(fā)送方和接收方之間的網(wǎng)絡(luò)迂回時(shí)間（）計(jì)算而得。由于網(wǎng)絡(luò)負(fù)載、路由以及報(bào)文大小的影響，RTT不是固定的，因此要求傳輸層協(xié)議在實(shí)現(xiàn)計(jì)時(shí)器時(shí)將重發(fā)超時(shí)值設(shè)為RTT的一個(gè)函數(shù)，使它能根據(jù)網(wǎng)絡(luò)變化，適時(shí)地改變值的大小。研究者提出了多種解決方案，通過(guò)報(bào)文的發(fā)送時(shí)間和ACK返回時(shí)間的差值推算RTT的值。ACK和重發(fā)機(jī)制本身的復(fù)雜性，使根本問(wèn)題仍不能解決，原因在于計(jì)時(shí)器永遠(yuǎn)只能在本地估算外部事件，而不能獲得網(wǎng)絡(luò)全局特性。有人甚至建議在傳輸層傳輸控制中取消計(jì)時(shí)器。擁擠控制是為了有效共享網(wǎng)絡(luò)資源，避免出現(xiàn)信道擁擠。窗口機(jī)制習(xí)慣于使用大的窗口值，以填滿傳輸管道。然而一旦多個(gè)大窗口的連接共享一條低帶寬鏈路，那么必然引起報(bào)文排隊(duì)延遲的增長(zhǎng)，導(dǎo)致無(wú)用的重發(fā)，進(jìn)而在正反饋?zhàn)饔孟聨?lái)?yè)頂D。在TCP協(xié)議中采用“慢啟動(dòng)”算法，使得窗口大小根據(jù)ACK的接收情況（它能反映鏈路的工作狀態(tài)）進(jìn)行動(dòng)態(tài)調(diào)整，在總體上提高了協(xié)議的性能。由此我們可以看到，為了獲取較高的性能以適應(yīng)網(wǎng)絡(luò)底層技術(shù)的進(jìn)步以及高層應(yīng)用的需求，傳統(tǒng)協(xié)議機(jī)制需要很多改進(jìn)。而由于協(xié)議機(jī)制自身的約束，某些措施在實(shí)現(xiàn)上存在困難或者在理論上很難成立。

4.網(wǎng)絡(luò)協(xié)議模型的改進(jìn)

人們也開(kāi)始從體系結(jié)構(gòu)的角度重新審視OSI參考模型，主要焦點(diǎn)集中在分層對(duì)于性能的影響。協(xié)議處理包括兩個(gè)部分：控制功能和數(shù)據(jù)處理?？刂乒δ苤饕婕皥?bào)頭和連接狀態(tài)處理；數(shù)據(jù)處理包括表示層編碼、校驗(yàn)和計(jì)算、加密以及壓縮等。現(xiàn)代網(wǎng)絡(luò)的瓶頸是高層協(xié)議的數(shù)據(jù)處理，傳統(tǒng)性能優(yōu)化的層次化約束了數(shù)據(jù)處理功能的整體效率。因此，在網(wǎng)絡(luò)協(xié)議模型中把前人提出的一下體系結(jié)構(gòu)以及工程原則加入到了網(wǎng)絡(luò)模型中從而來(lái)改進(jìn)網(wǎng)絡(luò)協(xié)議模型的安全性。

第一，ALF（Application Level Framing）的思想是將傳輸層數(shù)據(jù)單元(即協(xié)議處理數(shù)據(jù)單元)同應(yīng)用層數(shù)據(jù)單元之間的距離縮小，應(yīng)用發(fā)送對(duì)應(yīng)用有意義的獨(dú)立的“幀”（ADU），而表示層和傳輸層在處理時(shí)保留該幀的邊界,并且不用關(guān)心幀的順序。幀的一致性由通信雙方應(yīng)用維護(hù)，達(dá)到簡(jiǎn)化數(shù)據(jù)處理的目的。

第二，ILP（Integrated Layer Processing）的思路是將數(shù)據(jù)處理功能集中在一兩個(gè)處理循環(huán)中，而不是像今天大多數(shù)協(xié)議那樣串行運(yùn)行，以減少耗時(shí)的內(nèi)存讀/寫(xiě)操作次數(shù)。這種思想其實(shí)已經(jīng)應(yīng)用在一些傳統(tǒng)協(xié)議的實(shí)現(xiàn)中，有的被集成到操作系統(tǒng)核心的協(xié)議模塊里，試驗(yàn)證明能夠獲得性能改善。

第三，主動(dòng)網(wǎng)絡(luò)（Active network）的概念出現(xiàn)于移動(dòng)編碼技術(shù)，使網(wǎng)絡(luò)服務(wù)動(dòng)態(tài)更新成為可能以后，網(wǎng)絡(luò)層的互操作性不再依賴于傳統(tǒng)IP服務(wù)的標(biāo)準(zhǔn)報(bào)文格式和固定編碼，而是約定的程序編碼和計(jì)算環(huán)境，因而增加了網(wǎng)絡(luò)服務(wù)的靈活性，同時(shí)用戶和應(yīng)用能夠控制服務(wù)的生成和使用。不過(guò)，這種方法為了實(shí)現(xiàn)靈活性，可能帶來(lái)路由器性能的下降。

5.結(jié)語(yǔ)

微內(nèi)核思想的引入可以保證網(wǎng)絡(luò)協(xié)議模型的模塊最少和代碼最安全，從而使得網(wǎng)絡(luò)協(xié)議系統(tǒng)的安全性也隨之增強(qiáng)。而且，由于各個(gè)模塊都比較簡(jiǎn)單，所以在編碼上也不容易出錯(cuò)，代碼維護(hù)也比傳統(tǒng)的網(wǎng)絡(luò)協(xié)議模型容易此外，在代碼精簡(jiǎn)方面與容易編程方面采用微內(nèi)核的優(yōu)勢(shì)更加明顯。

[1]馮元等.計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ).北京:科學(xué)出版社,2003.10

[2]趙小敏，陳慶章.打擊計(jì)算機(jī)犯罪新課題——計(jì)算機(jī)取證技術(shù). 網(wǎng)絡(luò)信息安全,2002.9

[3]曹天杰等編著.計(jì)算機(jī)系統(tǒng)安全.北京:高等教育出版社，2003.9

10.3969/j.issn.1001-8972.2012.10.067