基于网络操作系统微内核思想对网络协议模型的改进

2012-01-27支立勋

中国科技信息 2012年10期

关键词：网络协议传输层报文

支立勋

淮安信息职业技术学院计算机与通信工程学院

基于网络操作系统微内核思想对网络协议模型的改进

支立勋

淮安信息职业技术学院计算机与通信工程学院

网络操作系统的安全性在网络安全中扮演着非常重要的角色，在很多网络攻击方法和技术中基本上都是从网络操作系统的漏洞入手的。互联网上用得最多的网络操作系统就是Unix操作系统，其本身由于产生的历史原因存在着先天的安全不足和漏洞，因此在随后的几十年直到现在仍有大量专家学者采用修修补补的方法来解Unix操作系统的安全问题。但是由于Unix本身系统结构的原因，这种修补方案效果很不理想。因此，本文提出了一种基于基于微内核的思想来从操作系统的内部结构来增加操作系统的安全性能，从而在根本上解决了Unix网络操作系统的安全问题。

微内核结构;消息调度模块;应用程序管理模块

1.网络安全中可能存在的问题

计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有以下三方面，第一，人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。第二，人为的恶意攻击：这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。第三，网络软件的漏洞和“后门”：网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。

总之，网络安全问题包括很多方面，任何一个方面一个环节出现问题，都会导致计算机网络出现不安全的事情。但现阶段不安全因素主要集中在网络传播介质及网络协议的缺陷、密码系统的缺陷、主机操作系统的缺陷。在现实中，密码系统已经非常完善，各种密码系统的健壮性也得到了证实。但是在网络协议和网络操作系统上，仍然有很多可被攻击的入口及漏洞。现实中的网络安全问题主要也确实集中在操作系统的漏洞上。由于Unix及类Unix网络操作系统是现在Internet中非常普遍的网络操作系统，其网络服务和它的源代码是公开的，所以在很多场合下使用者可以定制自己的Unix操作系统，使它更适合网络相关的服务要求从而来提高网络系统的安全性。也正是由于网络协议是和操作系统独立的，所以对网络协议的改进是不影响网络操作系统的，也为我们借鉴网络操作系统的微内核思想来解决网络安全问题奠定了实践基础。

2.操作系统可能存在的安全问题

在操作系统上，安全问题主要集中在多用户的访问权限上。系统特权用户的权限非常大，他能够做系统所能做的任何事情。在Unix系统中，很多系统服务级的后台网络服务程序都拥有系统用户权限，然而，这些后台程序的也是安全问题的最大隐患。Unix中很多系统级的服务都放在内核中。如果这些服务程序如果有编程问题，问题也同时带到了内核级的权限中，这样，攻击者就有可能在内核级别进行恶意的操作了。另外，进行严格的应用程序堆栈检查及堆管理，对安全问题上也十分重要。总之，如果操作系统能进行更严格的应用程序管理，就有可能使系统更安全。尽管不可能存在一个绝对安全的系统，但一个好的结构可以使一个系统很难被攻击。在通常被攻击的情况下，攻击者总会想各种办法尽量去获得系统用户权限。既然不可能有编写完全无错程序的办法，那么能够尽量少用系统权限程序去完成操作系统功能，是解决现实中有错误程序的一条可行之路从而尽可能地减少攻击者得到系统权限的概率。基于操作系统微内核的思想就可以有效的解决这样的问题。微内核是一种能够提供必要服务的操作系统内核，其中这些必要的服务包括任务，线程，交互进程通信以及内存管理等等。所有服务（包括设备驱动）在用户模式下运行，而处理这些服务同处理其他的任何一个程序一样。因为每个服务只是在自己的地址空间运行。所以这些服务之间彼此之间都受到了保护在微内核结构下，系统的核心只有一个消息调度核心，所有的其他模块通过消息与其他模块互相联系，而通信通过消息调度核心来传输。这样，真正具有系统用户权限的程序只有这个消息调度核心了，所有的其他系统服务，如文件系统、内存管理、进程调度都运行在它之上。

3.现有网络协议模型的问题分析

TCP及TP4等通用协议为连接管理、差错控制和流量控制提供了复杂的控制机制，它们的优点是为大量应用提供标准的点到点传输服务，而付出的代价是协议性能。要增强性能主要解决三个问题：选择合理的确认（Acknowledgement）机制，选择合理的超时值，研究高效的拥挤控制算法。传统的滑动窗口机制是由位于传输层的接收端发送ACK报文，通知发送方下一个期望的数据报文。因此，ACK的存在制约了数据的传输速度，同时增加了传输的额外开销。后来TCP的研究者提出对数据报文的确认采用集中方式，即一次ACK同时确认多个报文，以推迟和减少ACK的发送。另一种改进方法是采用选择重发机制，即发送方只需重新发送接收方确认已经丢失的报文。最新的机制称为NACK，它已被XTP等协议吸收。NACK包含接收方明确的要求重发的语义，因而如果没有严重的丢包现象，那么控制报文的数量大量减少，同时将差错检测的问题转移到接收方，为实现多点投递提供了更多便利。在传输层协议中有许多计时器用于连接管理和差错检测，特别是在超时机制中如果超时值选取不当，那么取值过大，不能迅速发现丢包；取值过小可能带来许多“伪”差错警报，进而引起无意义的重发。一般情况下最佳值由发送方和接收方之间的网络迂回时间（）计算而得。由于网络负载、路由以及报文大小的影响，RTT不是固定的，因此要求传输层协议在实现计时器时将重发超时值设为RTT的一个函数，使它能根据网络变化，适时地改变值的大小。研究者提出了多种解决方案，通过报文的发送时间和ACK返回时间的差值推算RTT的值。ACK和重发机制本身的复杂性，使根本问题仍不能解决，原因在于计时器永远只能在本地估算外部事件，而不能获得网络全局特性。有人甚至建议在传输层传输控制中取消计时器。拥挤控制是为了有效共享网络资源，避免出现信道拥挤。窗口机制习惯于使用大的窗口值，以填满传输管道。然而一旦多个大窗口的连接共享一条低带宽链路，那么必然引起报文排队延迟的增长，导致无用的重发，进而在正反馈作用下带来拥挤。在TCP协议中采用“慢启动”算法，使得窗口大小根据ACK的接收情况（它能反映链路的工作状态）进行动态调整，在总体上提高了协议的性能。由此我们可以看到，为了获取较高的性能以适应网络底层技术的进步以及高层应用的需求，传统协议机制需要很多改进。而由于协议机制自身的约束，某些措施在实现上存在困难或者在理论上很难成立。

4.网络协议模型的改进

人们也开始从体系结构的角度重新审视OSI参考模型，主要焦点集中在分层对于性能的影响。协议处理包括两个部分：控制功能和数据处理。控制功能主要涉及报头和连接状态处理；数据处理包括表示层编码、校验和计算、加密以及压缩等。现代网络的瓶颈是高层协议的数据处理，传统性能优化的层次化约束了数据处理功能的整体效率。因此，在网络协议模型中把前人提出的一下体系结构以及工程原则加入到了网络模型中从而来改进网络协议模型的安全性。

第一，ALF（Application Level Framing）的思想是将传输层数据单元(即协议处理数据单元)同应用层数据单元之间的距离缩小，应用发送对应用有意义的独立的“帧”（ADU），而表示层和传输层在处理时保留该帧的边界,并且不用关心帧的顺序。帧的一致性由通信双方应用维护，达到简化数据处理的目的。

第二，ILP（Integrated Layer Processing）的思路是将数据处理功能集中在一两个处理循环中，而不是像今天大多数协议那样串行运行，以减少耗时的内存读/写操作次数。这种思想其实已经应用在一些传统协议的实现中，有的被集成到操作系统核心的协议模块里，试验证明能够获得性能改善。

第三，主动网络（Active network）的概念出现于移动编码技术，使网络服务动态更新成为可能以后，网络层的互操作性不再依赖于传统IP服务的标准报文格式和固定编码，而是约定的程序编码和计算环境，因而增加了网络服务的灵活性，同时用户和应用能够控制服务的生成和使用。不过，这种方法为了实现灵活性，可能带来路由器性能的下降。