基于網(wǎng)絡(luò)操作系統(tǒng)微內(nèi)核思想對網(wǎng)絡(luò)協(xié)議模型的改進

支立勛

淮安信息職業(yè)技術(shù)學(xué)院計算機與通信工程學(xué)院

基于網(wǎng)絡(luò)操作系統(tǒng)微內(nèi)核思想對網(wǎng)絡(luò)協(xié)議模型的改進

支立勛

淮安信息職業(yè)技術(shù)學(xué)院計算機與通信工程學(xué)院

網(wǎng)絡(luò)操作系統(tǒng)的安全性在網(wǎng)絡(luò)安全中扮演著非常重要的角色，在很多網(wǎng)絡(luò)攻擊方法和技術(shù)中基本上都是從網(wǎng)絡(luò)操作系統(tǒng)的漏洞入手的?；ヂ?lián)網(wǎng)上用得最多的網(wǎng)絡(luò)操作系統(tǒng)就是Unix操作系統(tǒng)，其本身由于產(chǎn)生的歷史原因存在著先天的安全不足和漏洞，因此在隨后的幾十年直到現(xiàn)在仍有大量專家學(xué)者采用修修補補的方法來解Unix操作系統(tǒng)的安全問題。但是由于Unix本身系統(tǒng)結(jié)構(gòu)的原因，這種修補方案效果很不理想。因此，本文提出了一種基于基于微內(nèi)核的思想來從操作系統(tǒng)的內(nèi)部結(jié)構(gòu)來增加操作系統(tǒng)的安全性能，從而在根本上解決了Unix網(wǎng)絡(luò)操作系統(tǒng)的安全問題。

微內(nèi)核結(jié)構(gòu);消息調(diào)度模塊;應(yīng)用程序管理模塊

1.網(wǎng)絡(luò)安全中可能存在的問題

計算機網(wǎng)絡(luò)所面臨的威脅大體可分為兩種：一是對網(wǎng)絡(luò)中信息的威脅；二是對網(wǎng)絡(luò)中設(shè)備的威脅。影響計算機網(wǎng)絡(luò)的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使有，歸結(jié)起來，針對網(wǎng)絡(luò)安全的威脅主要有以下三方面，第一，人為的無意失誤：如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。第二，人為的惡意攻擊：這是計算機網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄漏。第三，網(wǎng)絡(luò)軟件的漏洞和“后門”：網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。另外，軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設(shè)想。

總之，網(wǎng)絡(luò)安全問題包括很多方面，任何一個方面一個環(huán)節(jié)出現(xiàn)問題，都會導(dǎo)致計算機網(wǎng)絡(luò)出現(xiàn)不安全的事情。但現(xiàn)階段不安全因素主要集中在網(wǎng)絡(luò)傳播介質(zhì)及網(wǎng)絡(luò)協(xié)議的缺陷、密碼系統(tǒng)的缺陷、主機操作系統(tǒng)的缺陷。在現(xiàn)實中，密碼系統(tǒng)已經(jīng)非常完善，各種密碼系統(tǒng)的健壯性也得到了證實。但是在網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)操作系統(tǒng)上，仍然有很多可被攻擊的入口及漏洞?，F(xiàn)實中的網(wǎng)絡(luò)安全問題主要也確實集中在操作系統(tǒng)的漏洞上。由于Unix及類Unix網(wǎng)絡(luò)操作系統(tǒng)是現(xiàn)在Internet中非常普遍的網(wǎng)絡(luò)操作系統(tǒng)，其網(wǎng)絡(luò)服務(wù)和它的源代碼是公開的，所以在很多場合下使用者可以定制自己的Unix操作系統(tǒng)，使它更適合網(wǎng)絡(luò)相關(guān)的服務(wù)要求從而來提高網(wǎng)絡(luò)系統(tǒng)的安全性。也正是由于網(wǎng)絡(luò)協(xié)議是和操作系統(tǒng)獨立的，所以對網(wǎng)絡(luò)協(xié)議的改進是不影響網(wǎng)絡(luò)操作系統(tǒng)的，也為我們借鑒網(wǎng)絡(luò)操作系統(tǒng)的微內(nèi)核思想來解決網(wǎng)絡(luò)安全問題奠定了實踐基礎(chǔ)。

2.操作系統(tǒng)可能存在的安全問題

在操作系統(tǒng)上，安全問題主要集中在多用戶的訪問權(quán)限上。系統(tǒng)特權(quán)用戶的權(quán)限非常大，他能夠做系統(tǒng)所能做的任何事情。在Unix系統(tǒng)中，很多系統(tǒng)服務(wù)級的后臺網(wǎng)絡(luò)服務(wù)程序都擁有系統(tǒng)用戶權(quán)限，然而，這些后臺程序的也是安全問題的最大隱患。Unix中很多系統(tǒng)級的服務(wù)都放在內(nèi)核中。如果這些服務(wù)程序如果有編程問題，問題也同時帶到了內(nèi)核級的權(quán)限中，這樣，攻擊者就有可能在內(nèi)核級別進行惡意的操作了。另外，進行嚴格的應(yīng)用程序堆棧檢查及堆管理，對安全問題上也十分重要?？傊绻僮飨到y(tǒng)能進行更嚴格的應(yīng)用程序管理，就有可能使系統(tǒng)更安全。盡管不可能存在一個絕對安全的系統(tǒng)，但一個好的結(jié)構(gòu)可以使一個系統(tǒng)很難被攻擊。在通常被攻擊的情況下，攻擊者總會想各種辦法盡量去獲得系統(tǒng)用戶權(quán)限。既然不可能有編寫完全無錯程序的辦法，那么能夠盡量少用系統(tǒng)權(quán)限程序去完成操作系統(tǒng)功能，是解決現(xiàn)實中有錯誤程序的一條可行之路從而盡可能地減少攻擊者得到系統(tǒng)權(quán)限的概率?；诓僮飨到y(tǒng)微內(nèi)核的思想就可以有效的解決這樣的問題。微內(nèi)核是一種能夠提供必要服務(wù)的操作系統(tǒng)內(nèi)核，其中這些必要的服務(wù)包括任務(wù)，線程，交互進程通信以及內(nèi)存管理等等。所有服務(wù)（包括設(shè)備驅(qū)動）在用戶模式下運行，而處理這些服務(wù)同處理其他的任何一個程序一樣。因為每個服務(wù)只是在自己的地址空間運行。所以這些服務(wù)之間彼此之間都受到了保護在微內(nèi)核結(jié)構(gòu)下，系統(tǒng)的核心只有一個消息調(diào)度核心，所有的其他模塊通過消息與其他模塊互相聯(lián)系，而通信通過消息調(diào)度核心來傳輸。這樣，真正具有系統(tǒng)用戶權(quán)限的程序只有這個消息調(diào)度核心了，所有的其他系統(tǒng)服務(wù)，如文件系統(tǒng)、內(nèi)存管理、進程調(diào)度都運行在它之上。

3.現(xiàn)有網(wǎng)絡(luò)協(xié)議模型的問題分析

TCP及TP4等通用協(xié)議為連接管理、差錯控制和流量控制提供了復(fù)雜的控制機制，它們的優(yōu)點是為大量應(yīng)用提供標準的點到點傳輸服務(wù)，而付出的代價是協(xié)議性能。要增強性能主要解決三個問題：選擇合理的確認（Acknowledgement）機制，選擇合理的超時值，研究高效的擁擠控制算法。傳統(tǒng)的滑動窗口機制是由位于傳輸層的接收端發(fā)送ACK報文，通知發(fā)送方下一個期望的數(shù)據(jù)報文。因此，ACK的存在制約了數(shù)據(jù)的傳輸速度，同時增加了傳輸?shù)念~外開銷。后來TCP的研究者提出對數(shù)據(jù)報文的確認采用集中方式，即一次ACK同時確認多個報文，以推遲和減少ACK的發(fā)送。另一種改進方法是采用選擇重發(fā)機制，即發(fā)送方只需重新發(fā)送接收方確認已經(jīng)丟失的報文。最新的機制稱為NACK，它已被XTP等協(xié)議吸收。NACK包含接收方明確的要求重發(fā)的語義，因而如果沒有嚴重的丟包現(xiàn)象，那么控制報文的數(shù)量大量減少，同時將差錯檢測的問題轉(zhuǎn)移到接收方，為實現(xiàn)多點投遞提供了更多便利。在傳輸層協(xié)議中有許多計時器用于連接管理和差錯檢測，特別是在超時機制中如果超時值選取不當，那么取值過大，不能迅速發(fā)現(xiàn)丟包；取值過小可能帶來許多“偽”差錯警報，進而引起無意義的重發(fā)。一般情況下最佳值由發(fā)送方和接收方之間的網(wǎng)絡(luò)迂回時間（）計算而得。由于網(wǎng)絡(luò)負載、路由以及報文大小的影響，RTT不是固定的，因此要求傳輸層協(xié)議在實現(xiàn)計時器時將重發(fā)超時值設(shè)為RTT的一個函數(shù)，使它能根據(jù)網(wǎng)絡(luò)變化，適時地改變值的大小。研究者提出了多種解決方案，通過報文的發(fā)送時間和ACK返回時間的差值推算RTT的值。ACK和重發(fā)機制本身的復(fù)雜性，使根本問題仍不能解決，原因在于計時器永遠只能在本地估算外部事件，而不能獲得網(wǎng)絡(luò)全局特性。有人甚至建議在傳輸層傳輸控制中取消計時器。擁擠控制是為了有效共享網(wǎng)絡(luò)資源，避免出現(xiàn)信道擁擠。窗口機制習(xí)慣于使用大的窗口值，以填滿傳輸管道。然而一旦多個大窗口的連接共享一條低帶寬鏈路，那么必然引起報文排隊延遲的增長，導(dǎo)致無用的重發(fā)，進而在正反饋作用下帶來擁擠。在TCP協(xié)議中采用“慢啟動”算法，使得窗口大小根據(jù)ACK的接收情況（它能反映鏈路的工作狀態(tài)）進行動態(tài)調(diào)整，在總體上提高了協(xié)議的性能。由此我們可以看到，為了獲取較高的性能以適應(yīng)網(wǎng)絡(luò)底層技術(shù)的進步以及高層應(yīng)用的需求，傳統(tǒng)協(xié)議機制需要很多改進。而由于協(xié)議機制自身的約束，某些措施在實現(xiàn)上存在困難或者在理論上很難成立。

4.網(wǎng)絡(luò)協(xié)議模型的改進

人們也開始從體系結(jié)構(gòu)的角度重新審視OSI參考模型，主要焦點集中在分層對于性能的影響。協(xié)議處理包括兩個部分：控制功能和數(shù)據(jù)處理?？刂乒δ苤饕婕皥箢^和連接狀態(tài)處理；數(shù)據(jù)處理包括表示層編碼、校驗和計算、加密以及壓縮等。現(xiàn)代網(wǎng)絡(luò)的瓶頸是高層協(xié)議的數(shù)據(jù)處理，傳統(tǒng)性能優(yōu)化的層次化約束了數(shù)據(jù)處理功能的整體效率。因此，在網(wǎng)絡(luò)協(xié)議模型中把前人提出的一下體系結(jié)構(gòu)以及工程原則加入到了網(wǎng)絡(luò)模型中從而來改進網(wǎng)絡(luò)協(xié)議模型的安全性。

第一，ALF（Application Level Framing）的思想是將傳輸層數(shù)據(jù)單元(即協(xié)議處理數(shù)據(jù)單元)同應(yīng)用層數(shù)據(jù)單元之間的距離縮小，應(yīng)用發(fā)送對應(yīng)用有意義的獨立的“幀”（ADU），而表示層和傳輸層在處理時保留該幀的邊界,并且不用關(guān)心幀的順序。幀的一致性由通信雙方應(yīng)用維護，達到簡化數(shù)據(jù)處理的目的。

第二，ILP（Integrated Layer Processing）的思路是將數(shù)據(jù)處理功能集中在一兩個處理循環(huán)中，而不是像今天大多數(shù)協(xié)議那樣串行運行，以減少耗時的內(nèi)存讀/寫操作次數(shù)。這種思想其實已經(jīng)應(yīng)用在一些傳統(tǒng)協(xié)議的實現(xiàn)中，有的被集成到操作系統(tǒng)核心的協(xié)議模塊里，試驗證明能夠獲得性能改善。

第三，主動網(wǎng)絡(luò)（Active network）的概念出現(xiàn)于移動編碼技術(shù)，使網(wǎng)絡(luò)服務(wù)動態(tài)更新成為可能以后，網(wǎng)絡(luò)層的互操作性不再依賴于傳統(tǒng)IP服務(wù)的標準報文格式和固定編碼，而是約定的程序編碼和計算環(huán)境，因而增加了網(wǎng)絡(luò)服務(wù)的靈活性，同時用戶和應(yīng)用能夠控制服務(wù)的生成和使用。不過，這種方法為了實現(xiàn)靈活性，可能帶來路由器性能的下降。

5.結(jié)語

微內(nèi)核思想的引入可以保證網(wǎng)絡(luò)協(xié)議模型的模塊最少和代碼最安全，從而使得網(wǎng)絡(luò)協(xié)議系統(tǒng)的安全性也隨之增強。而且，由于各個模塊都比較簡單，所以在編碼上也不容易出錯，代碼維護也比傳統(tǒng)的網(wǎng)絡(luò)協(xié)議模型容易此外，在代碼精簡方面與容易編程方面采用微內(nèi)核的優(yōu)勢更加明顯。

[1]馮元等.計算機網(wǎng)絡(luò)安全基礎(chǔ).北京:科學(xué)出版社,2003.10

[2]趙小敏，陳慶章.打擊計算機犯罪新課題——計算機取證技術(shù). 網(wǎng)絡(luò)信息安全,2002.9

[3]曹天杰等編著.計算機系統(tǒng)安全.北京:高等教育出版社，2003.9

10.3969/j.issn.1001-8972.2012.10.067