主动网络与虚拟专用网.DOC

主动网络技术与虚拟专用网 随着网络技术和网络应用的飞速发，传统的网络体系结构越来越显示出局限性，主要体现在传统的网络体系结构缺乏灵活性，难以满足用户快速创建和部署新的网络协议和服务的需求。网络视频会议、远程教育等新型网络多媒体应用在网络中的部署，越来越要求网络能够提供灵活的、可扩展的网络服务。 一般来说，主动网络从以下两方面体现它的“主动性”。首先，网络中的结点能够在用户数据上执行计算操作；其次，网络中的结点能够由具体用户根据具体要求来实现主动程序的定制。例如，对于一段视频多播会话，可以根据不同结点的带宽资源由主动结点决定相应的视频压缩算法，当接收端的接收带宽有限时，位于接收端上级的主动路由器就根据相应的信息选择使用高压缩比的压缩算法。主动网络可分为交换模型和主动包模型两种。 在交换模型中包含程序代码的分组与其他数据分组混合在一起。交换模型是一种分别处理程序分组和数据分组的方式，它采用可编程的交换机保持现有的数据分组格式不变，并提供分布式机制来支持程序下载。节点上运行的程序的选择和安装都由网络管理员控制。分组的转发与传统的网络一样，当一个分组到达时，首先检查它的头，并用一个程序对它的内容进行处理。这个程序处理到达的分组，可能改变其内容。这种模式可以实现一定程度的用户定制计算，因为分组头的信息包含了用哪个程序进行处理信息，所以可以安排不同的程序对不同的用户分组进行处理。 在主动包模型中，所有的分组都被看作是包含程序的分组。主动包中包含一段用某种语言描述在网络节点上执行的程序代码。用户的数据可以嵌入到主动包中。主动包中每个分组都是一段程序，数据嵌入到程序中，节点收到一个主动包时，其操作系统首先检测其内容，建立一个临时执行环境（EE），然后对主动包中的代码安装到这个执行环境中并启动运行。主动包中包含的程序是不受信任的，节点建立起一个执行环境，密切控制该环境并预防恶意程序进入。在节点中可以对主动包进行分类以限制他们对协议的软状态的访问，也可以为不同的主动包建立不同的相互隔离的执行环境，使每个主动包在与其他主动包相互隔离的环境下执行。在这种情况下，主动包不能进行数据计算等实质性计算工作，主动包实际上处在一个“沙箱”中，这种执行环境是一种沙箱模型的执行环境。需要访问节点资源的主动代码首先要将相应的应用服务程序装入它的执行环境，然后利用这种服务进行访问。其主要作用是：使主动包只能装入它的设计用途所规定的服务程序中，而不能装入其他无关的服务程序。节点可以加强某些安全机制，如对装入服务程序进行认证和授权。 在接收到主动包时，节点首先可以判断它是否来自可信任的机构，采用数字签名的方法可以进行可信认证，以确定谁对该主动代码负责。这是一种基于身份认证的执行环境模型。为了对数字包进行数字签名的认证，需要建立一个认证中心（Center of Authentication CA），对主动包进行建立、发布和管理。CA是一个运行在众所周知的节点上的程序。在认证之后，还需要对主动包进行授权，以确保其具有所需要的权限。执行环境EE通过访问控制表对主动代码的访问权限进行控制。访问控制表列出允许使用的系统资源。开始的时候，所有的资源都是禁止使用的，每当主动代码要求执行环境提供服务时，执行环境对该服务进行授权检查。在通过授权检查后修改访问控制表，允许主动代码访问这一类系统资源。 麻省理工学院在多播树中的主动路由器中实现了主动可靠多播（ARM）协议。路由器尽力而为地缓冲经过它的多播数据，通过在重传中进行本地多播，对NACK报文进行抑制。麻省理工学院还提出了一个用以提高在线拍卖服务性能的主动协议，这一主动解决方案通过在主动结点中嵌入代码，来实现过滤低价竞标价的功能。 TASC和马萨诸塞州联合研制开发出了PANAMA（Protocol for Active Networking with Adap- tive Multicast Application）项目，该项目已被证明其所提供的主动服务具有较高的网络性能。这些主动服务包括差错恢复和分组汇聚，从而能够降低修复延迟，节省网络带宽。 类似地，乔治亚大学利用CANEs实现了AER（Active Error Recovery）。AER利用一个安装在网络中的修复服务器，来缓存包以响应重传请求，在接收端抑制冗余的NACK报文，检测分组丢失等。 BBN技术组正在研究通过辅以智能包（Smart Packet）的主动技术来提高大型复杂网络的性能。利用主动网络的技术优势，管理决策点能够被移动到更靠近被管理结点，反馈信息也能够按照需要被控制和管理。 在哥伦比亚大学，NetScript已经被建议使用在网络管理应用方面的研究开发中，比如远程网络监控，它使一个机构能够从远程终端监控网络及协议的性能与状态。NetScript还能够用来构造SNMP代理，