主动网络（AN，Active Networks）是一种新型的网络体系，它允许用户或第三方软件开发商对网络进行客户化编程。这种新型的网络体系把更多的计算处理任务放到廉价的网络节点中，可实现网络性能优化，加速新技术、新协议标准的开发和应用，具有广阔的前景。它对Internet 遗留的问题能提供有效的解决方法，被称为21世纪的网络。在主动网中，授权用户具有了以往只有系统管理员才具有的网管权利，授权用户能够管理配置主动节点的资源。主动数据包中携带了能对网络节点资源进行访问的程序，它们在很大程度上可以对资源进行分配、修改等操作，所有这些都可能使网络受到恶意程序和有缺陷代码的攻击或影响。因此，如何构造一个安全的主动网络环境是主动网能够得以推广实用的前提保障。目前主动网的安全性问题尚未完全解决，本文在深入研究主动网的安全威胁和已有安全防护技术基础上，综合了当前各种AN安全体系结构和实现机制提出并设计实现了一个强认证与访问控制授权相结合的能够支持安全服务定制的主动网安全授权原型系统。主要工作包括以下几个方面：* 系统详尽地分析了主动网的安全威胁和当前主动网安全防护技术研究现状，综合了当前流性的ANSA和ABone安全体系结构、各种网络安全机制、现有主动网模型、主动网的各种实现方法以及主动网的可信模型等各项技术，提出了一个抽象的具有一般意义的安全防护模型，为实现主动网安全授权原型系统提供了框架和指南。* 在深入研究主动网认证方法的基础上，提出并设计了一个主动网络强认证模型。由于主动网络环境与传统网络环境的差异性，在主动网中对网络实体（entity）及网络主体(printcipal)进行认证将面临更多的挑战。本文在深入研究主动网认证需求的基础上，从逐跳（hop-by-hop）和端到端（end-to-end）两个层面来为主动网提供认证服务，以及主动网通信信息的数据完整性、机密性和不可抵赖性安全服务。提出了一个基于KTC的主动节点密钥建立协议KEP，用来使主动网络节点或主体之间建立共享密钥和交换证书，也可以用于确认相邻主动节点和启动失<WP=6>* 败时进行恢复认证。* 详细研究了各种网络访问控制技术，提出了一种基于能力（Capability）与访问控制链表ACL（Access Control List）相结合的主动网络访问控制模型。并对传统能力和访问监控器的原理和机制进行了主动性扩展，设计了一个主动能力AC（Active Capability）原型和一个主动访问控制引擎AAC(Active Access Controller)。已有的主动网访问控制模型基本上没有考虑对普通IP包的处理或者是采用单一的访问控制机制，这对于基于IP环境的主动网来说显然不是最佳的。我们的AAC充分考虑了在IP网络环境中实现主动访问控制的特点，提出了用ACL实施普通IP分组访问控制，而用AC实施主动分组访问控制相结合的方法。* 设计并实现了一个安全授权系统原型——SDATS（Secure Dynamic Active Toolkit System）。该原型系统具体实现了我们提出的认证与访问控制模型。利用Java的平台独立性以及Java2良好的安全性，使我们的原型系统具有良好的可移植性，动态代码装载协议为AC的传输提供了智能性和安全性保障。我们的原型利用JNI技术与本地系统服务紧密结合，实现了在用户空间对分组的截获功能。此外还实现了：认证代理与AC结构，动态代码装载，主动分组的格式设计，GSS API的设计，管理配置和日志与审计。* 在SDATS的基础上给出了一个安全主动过滤器SAF。SAF可以动态地安装、运行在网络中的任意主动节点上，实现满足用户特定需求的包过滤。论文同时分析比较了这种基于主动网络的安全机制的优越性与传统防火墙的局限性，展示了基于主动网络的安全服务的诱人前景。并对系统性能和安全性进行了实验和形式化评估。