（计算机系统结构专业论文）基于策略的vpn安全管理研究.pdf

华中科技大学硕士学位论文 摘要 l 传统的网络管理以单个网络设备为管理对象，随着网络规模的扩大，这种方式 逐步暴薅出不足，而以整个网络为管理对象的基于策略的网络管理方式成为新的选 择。同时随着网络安全的重要性越来越受到重视，虚拟专用网( v p n ) 技术得到广泛 应用，隧道策略配置等问题使如何高效地管理v p n 网络成为新的研究课题。结合上 i 述两种技术提出了一个基于策略的v p n 安全管理模型。 该模型由策略代理、策略服务器以及策略数据库构成。其中，策略代理与v p n 网络设备关联，执行策略服务器规定的策略进行隧道通信：策略数据库存储着相应 管理域内的策略：策略服务器定义并维护系统的策略并负责策略代理的策略查询。 由于v p n 网络实际应用的特点，v p n 网络往往存在着等级层次关系。本模型 也进行了层次化设计，每层相对自治，并且受到上层的管理，分层提高了系统的灵 活性和扩展性。同时对整个系统可能存在的安全威胁进行了分析并提出相应的安全 机制，保证了系统的安全性。 同时对整个系统建立树型模型，并用信息论的知识对模型进行了数学分析，对 系统的可行性给出了结论并提出了构建v p n 网络的原则。 通过理论分析、模型设计和原型的实现，证实了基于策略的v p n 安全管理这种 新型管理结构不仅在理论上可行，在实践上也是完全可行的，有着广泛的应用前景。 7 、“7 关键词：网络管理，策略，虚拟专用网，网络层安全 ， y 华中科技大学硕士学位论文 a b s t r a c t 、v i t l lt h e i n c r e a s i n g l ys c a l i n go fn e t w o r k t h et r a d i t i o n a ln e t w o r km a n g a g e m e n t m e c h a n i s mj u s t a i m i n g a tt h es i n g l en e t w o r kd e v i c ei so u to fd a t ea n de x p o s e si t s s h o r t a g e t h ep o l i c y b a s e dm e c h a n i s mt a r g e t s a tt h ew h o l en e t w o r k ，w h i c hc e r t a i n l y b e c o m et h es u b s t i t u ef o rt h et r a d i t i o n a lo n e m e a n w h i l e ，m o r ei m p o r t a n c ei sa t t a c h e dt o t h en e t w o r ks e c u r i t y , m o r ew i d e l yv p n t e c h n o l o g yi s u s e d p r o b l e m ss u c ha st u n n e l p o l i c yc o n f i g u r a t i o n m a k ei tan e wi s s u et h a th o wt o m a n a g et h e v p nn e t w o r k e f f e c t i v e l y i n t e g r a t e d w i t ht h et w o t e c h n o l o g i e s ，a s e c u r e p o l i c y b a s e d v p n m a n g a g e m e n t m o d e li sp r o p o s e d t h i sm o d e li s c o m p o s e do ft h r e ec o m p o n e n t s ：p o l i c ya g e n t ，p o l i c ys e r v e ra n d p o l i c yd a t a b a s e p o l i c ya g e n ti sa t t a c h e dw i t hv p n d e v i c ea n dr u n sv p nt u n n e lw i t ht h e p r e d e f i n e dr u l eb yp o l i c ys e r v e r ；p o l i c yd a t a b a s es t o r e sa l lt h ep o l i c yo fi t ss e c u r i t y d o m a i nw h i l ep o l i c ys e r v e rd e f i n e sa n dm a i n t a i n st h ew h o l e p o l i c yo f v p nn e t w o r ki n a d d t i o n t o a n s w e r i n g f o r p o l i c yr e q u e s t o f p o l i c y a g e n t f o rt h ep r a c t i c a lc h a r a c t e r i s t i co fv p n n e t w o r k ，c o m m o n l yi t h a st h eh i e r a r c h i c l a y e r si nn a t u r e ，s ot h i sm o d e li sa l s oh i e r a r c h i c a l e v e r yl a y e ri sr e l a t i v ea u t o n o m o u s ， b u tm e a n w h i l ei sm a n a g e d b yh i g h e ro n e s h i e r a r c h i c a lm o d e le n h a n c e st h ea g i l i t ya n d s c a l a b i l i t yo f t h es y s t e m a l s ot h ep o t e n t i a ls e c u r i t yt h r e a t e n sa r ea n a l y s e da n de f f e c t i v e m e c h a n i s mt og u a r a n t e et h es e c u r i t yo f t h es y s t e mi sp u tf o r t h at r e em o d e li sp r e s e n t e dt oa n a l y z et h es y s t e mw i 也t h ei n f o r m a t i o nt h e o r y , w h i c h c o n c l u d e st h ef e a s i b i l i t yo ft h e s y s t e ma n dt h ep r i n c i p l e s o fc o n s t r u c t i n gt h ev p n n e t w o r ku s i n gt h i sm o d e l 1 3 3 r o u g h t h et h e o r i c a l a n a l y s i s ，t h es y s t e m a t i cm o d e l i n g a n d a r c h e t y p a l i m p l e m e n t a t i o n ，t h es e c u r ep o l i c y b a s e dv p nm a n a g e m e n tm o d e li sp r o v e dt h e o r i c a l l y a n d p r a c t i c a l l yf e a s i b l e ；t h e r e f o r e ，i tm a ye n j o y t h ew i d e u s a g ea m o n g t h e u 华中科技大学硕士学位论文 n e x t - g e n e r a t i o n n e t w o r k m a n a g e m e n t m e c h a n i s m s k e y w o r d s ：n e t w o r k m a n a g e m e n t ，p o l i c y , v i r t u a l p r i v a t en e t w o r k ，i p s e c l u 华中科技大学硕士学位论文 1 1 网络管理的发展 1 绪论 近年来，随着网络技术的迅猛发展，计算机网络得到日益广泛的应用。当前计 算机网络的发展特点是规模不断扩大，复杂性不断增加，异构程度越来越高。一个 网络往往由若干个大大小小的子网组成，集成了多种网络系统平台，并且可能包括 了不同厂家、公司的网络设备和通信设备等。同时，网络中还有许多网络软件提供 各种不同的服务。随着用户对网络性能要求的提高，网络管理成为一个迫切需要解 决的问题。如果没有一个高效的集中管理系统对网络系统资源进行统一管理，那么 就很难保证向用户提供满意的服务。 网络管理是网络发展中一个很重要的技术【l l ，对网络发展有着很大的影响并己 成为现代信息网络中最重要的问题之一。它的重要性已经在各个方面得到了体现， 并为越来越多的人所认识。 为此，人们对此进行了积极的研究。i e t f 在1 9 9 0 年在r f c 中正式公布了 s n m p ( 简单网络管理协议) 1 2 , 3 1 。随后，又推出了s n m p v 21 4 1 和s n m p v 3 ，对网络资 源进行管理。目前大多数的网络管理系统和平台也都是基于s n m p 的。但是，随着 网络规模的不断膨胀和复杂度的日益增加，以面向单个网络设备为中心的管理方式 越来越不适应现代网络的发展。人们要求网络管理的重心从对单个网络设备的管理 提升到对整个网络及其服务的管理，而基于策略的网络管理正是满足这一要求的解 决方案。它不再主动遍历网络设备列表，然后对它们逐一配置和控制，而是使用规 则来定义，管理和控制网络资源的分配，从而影响运行在该网络上的服务和设备的 预期行为。因此，基于策略的网络管理得到的迅速的发展，成为近几年迅猛发展的 网管技术之一。i e t f 对此进行了积极的研究，并且公布了不少相关的草案限6 i 。 目前基于策略的网络管理可以分为两种，基于策略的集中式网络管理和分布式 华中科技大学硕士学位论文 网络管理”】。集中式管理模型的优点在于结构简单。由于管理站单一，从而使得从 一点就能够对所有的网络资源进行策略管理，方便了网络管理员进行操作。相对于 集中式网络管理模型，分布式网络管理模型有其不能比拟的优势，这主要体现在支 持网络的层次管理，使得网络管理系统具有良好的层次性和易扩展性，但是缺点也 比较突出，相对集中式管理，如何同步策略管理整个网络资源是个富有挑战性的问 题。如果取两者优点进行结合，显然可以使系统性能得到更大的提升。 1 2 基于策略的网络管理系统结构 基于策略的网络管理概念模型见图1 i 所示。 网络 图i i 基于策略的网络管理模型 i 策略数据库( p o l i c yd a t a b a s e ，p d ) 策略数据库是存放整个管理配置网络规则的数据库。当策略规则规模在比 华中科技大学硕士学位论文 较大并且经常修改的情况下，它可以采用标准型关系数据库系统来实现，但是 大多数情况下，策略规则规模并不是很大，并且在系统管理员初次设定之后， 改动的幅度和频度相对一般的数据库应用来说都比较小，因此可以采用l d a p 服务器来存放这些策略，况且l d a p 有着它的最大优势，即其实现跨平台， 用户可以不关系策略存放在什么平台上，采用标准的l d a p 协议与l d a p 服 务器就可以得到相应的策略。p d 中的策略由管理员进行编辑修改删除等动作， 同时在与策略服务器进行协商交互之后也可能更新某些策略，采取相应的动 作。 2 策略服务器( p o l i c ys e r v e r ，p s ) 策略服务器是整个系统的核心，它负责完成策略的产生、修改、删除、管 理和策略的分发。存储策略数据库中的策略并不能被策略服务器直接使用，因 为管理员在配置策略的时候并不能确认策略之间不存在重复冲突甚至差错。同 时策略服务器之间以及策略服务器和策略代理之间进行通讯，可能会协商修改 某些策略。 3 策略代理( p 0 1 i c yc l i e n t ，p c ) 策略代理运行于网络设备中，可以是网络设备的一个组件，也可以单独运 行为多个网络设备提供策略。它与策略服务器通信，获得相应的策略，并负责 把这些得到的策略解释成为网络设备可以理解执行的格式，因为从策略服务器 得到的策略一般来说都是些描述性的策略。虽然在整个网络中存在着各种各样 的设备，但是通过策略代理可以消除这种影响。因此通过策略代理执行策略来 实施于各种网络设备，便可以达到策略管理网络的目的。 1 3 基于策略的网络安全管理 随着网络的发展和普及，网络安全越来越受到人们的重视，一些新兴的网络服 务( 例如电子商务) 更要求网络安全性的保证。随着全球经济一体化的影响，很多公 司分布在世界各地，在它们企业的各个局域网络之间进行数据通信的安全性要求也 越来越高。在基于t c p i p 的公共i n t e r a c t 网上进行数据传输的时候，由于t c p i p 华中科技大学硕士学位论文 协议本身没有考虑安全问题，存在着安全脆弱性【”。主要表现在： 1 缺乏有效的认证机制：由于t c p i p 依靠i p 地址对主机进行确认，因此网络 上的任何一台主机都可以通过假冒一个i p ，产生看起来好像是来自另外一个源点的 消息，从而使协议没有验证通信双方真实性的能力，典型的类似攻击有源地址欺骗， 源路由选择欺骗： 2 缺乏保密机制：t c p i p 没有保证对传输的数据进行加密，所有的数据都是 以明文方式传送，因此也就不能保护网上数据的隐私性； 3 不能提供对数据流的完整性保护：t c p i p 没有提供对用户数据的完整性校 验，数据在传输中一旦被篡改，接受方将很难察觉。 为了解决t c p i p 存在的这些问题，人们提出了采用认证、授权、加密验证和 数字签名等安全机制来保障信息在传输过程中的安全方法。在这种情况下，虚拟专 用n ( v i r t u a l p r i v a t en e t w o r k ，v p n ) 技术被提出并且得到了日益广泛的应用。v p n 网 络大大节省了企业的网络建设( 例如专线) 和通信费用，并且提高了网络的可靠性和 安全性【9 i 。而与此同时，需要对广泛应用的v p n 网络进行高效管理也成为人们面临 的重要问题。大量的v p n 设备之间的隧道策略配置使管理人员疲惫而不能保证没有 策略冲突甚至策略出错。采用基于策略的集中管理，对整个v p n 网络进行统一的策 略配置，策略管理成为解决这一问题的方案。在i e t f 中的草案中也提出了相应的 策略管理模型【l 叭。 1 4 策略管理在国内外的研究状况 由于策略管理的优势，吸引了很多科研机构组织和企业厂家的兴趣。i e t f 相继 发表了很多策略管理的草案，并且很多厂家也推出了自己的产品。 在国外，b a y n e t w o r k s 公司推出了o p t i v i t y 网络管理系统，实行基于策略的网 络技术战略。网管入员可以根据当前网络的情况，动态的给用户，团体以及应用分 配资源，并且可以系统地制订规则，通过b a y n e t w o r k s 公司的全线产品为其提供安 全服务和q o s 服务。h p 公司与i e t f 的p o l i c y 和q o s 工作组推出了基于策略的网络 管理软件p o l i c ye x p e r t l o 它支持c o p s ，r s v p 等协议，通过策略控制带宽保证用 华中科技欠学硕士学位论文 户的服务之类，提供修改、编辑、存储以及实臆策略的图形接口，实现对异构网终 的管理。 国内，天融信公司也积极推出了v p n 安全集中管理系统s c m ，可以对整个v p n 网络进行集中策略管理。由s c m 执行统一的安全策赂，并在监控蹩个网络的运行 状态，使得v p n 系统能够自动统一管理，并自动傈持策略的一致性，大大简化了管 理，提褰了效率。 5 华中科技大学硕士学位论文 2 基于策略的网络管理分析 2 1 网络管理的功能分析 国际标准化组织( i s o ) 在i s o i e c7 4 9 8 4 文档中定义了网络管理的五大功能 e l l , 1 2 ，并被广泛接受。 2 1 1 故障管理的分析 故障管理主要包括如下几个方面： 1 故障监测：主动探测或被动接收网络上的各种事件信息，并识别出其中与网 络和系统故障相关的内容，对其中的关键部分保持跟踪，生成网络故障事件记录： 2 故障报警：接收故障监测模块传来的报警信息，根据报警策略驱动不同的报 警程序，以报警窗口振铃( 通知一线网络管理人员) 或电子邮件( 通知决策管理人员) 发出网络严重故障警报； 3 故障信息管理：依靠对事件记录的分析，定义网络故障并生成故障卡片，记 录排除故障的步骤和与故障相关的值班员日志，构造排错行动记录，将事件故障 日志构成逻辑上相互关联的整体，以反映故障产生、变化、消除的整个过程的各个 方面： 4 排错支持工具：向管理人员提供一系列的实时检测工具，对被管设备的状况 进行测试并记录下测试结果以供技术人员分析和排错；根据已有的徘错经验和管理 员对故障状态的描述给出对徘错行动的提示； 5 。检索分析故障信息：浏阅并且以关键字检索查询故障管理系统中所有的数 据库记录，定期收集故障记录数据，在此基础上给出被管网络系统和被管线路设备 的可靠性参数。 6 华中科技大学硕士学位论文 2 1 2 计费管理的分析 计费管理主要包括如下几个方面： 1 计费数据采集：计费数据采集是整个计费系统的基础，但计费数据采集往往 受到采集设备硬件与软件的制约，而且也与进行计费的网络资源有关； 2 数据管理与数据维护：计费管理人工交互性很强，虽然有很多数据维护系统 自动完成，但仍然需要人为管理，包括交纳费用的输入、联网单位信息维护以及账 单样式决定等； 3 计费政策制定：由于计费政策经常灵活变化，因此实现用户自由制定输入计 费政策尤其重要。这样需要一个制定计费政策的友好人机界面和完善的实现计费政 策的数据模型： 4 政策比较与决策支持：计费管理应该提供多套计费政策的数据比较，为政策 制订提供决策依据： 5 ，数据分析与费用计算：利用采集的网络资源使用数据，联网用户的详细信息 以及计费政策计算网络用户资源的使用情况，并计算出应交纳的费用； 6 数据查询：提供给每个网络用户关于自身使用网络资源情况的详细信息，网 络用户根据这些信息可以计算、核对自己的收费情况。 2 1 3 配置管理的分析 配置管理主要包括如下几个方面： 1 配置信息的自动获取：在一个大型网络中，需要管理的设备是比较多的， 如果每个设备的配置信息都完全依靠管理人员的手工输入，工作量是相当大的，而 且还存在出错的可能性。对于不熟悉网络结构的人员来说，这项工作甚至无法完成 因此一个先进的网络管理系统应该具有配置信息自动获取功能。即使在管理人员不 是很熟悉网络结构和配置状况的情况下，也能通过有关的技术手段来完成对网络的 配置和管理。在网络设备的配置信息中，根据获取手段大致可以分为三类：一类是 网络管理协议标准的m i b 中定义的配置信息( 包括s n m p 和c m i p 协议) ：二类是不 华中科技大学硕士学位论文 在网络管理协议标准中有定义，但是对设备运行比较重要的配置信息：三类就是用 于管理的一些辅助信息； 2 自动配置、自动备份及相关技术：配置信息自动获取功能相当于从网络设备 中“读”信息，相应的，在网络管理应用中还有大量“写”信息的需求。同样根据 设置手段对网络配置信息进行分类：一类是可以通过网络管理协议标准中定义的方 法( 如s n m p 中的s e t 服务) 进行设置的配置信息；二类是可以通过自动登录到设备进 行配置的信息；三类就是需要修改的管理性配置信息： 3 配置一致性检查：在一个大型网络中，由于网络设备众多，而且由于管理的 原因，这些设备很可能不是由同一个管理人员进行配置的。实际上即使是同一个 管理员对设备进行的配置，也会由于各种原因导致配置一致性问题。因此，对整个 网络的配置情况进行一致性检查是必需的。在网络的配置中，对网络正常运行影响 最大的主要是路由器端口配置和路由信息配置，因此，要进行、致性检查的也主要 是这两类信息； 4 用户操作记录功能：配置系统的安全性是整个网络管理系统安全的核心，因 此，必须对用户进行的每一配置操作进行记录。在配置管理中，需要对用户操作进 行记录，并保存下来。管理人员可以随时查看特定用户在特定时间内进行的特定配 置操作： 2 1 4 性能管理的分析 性能管理主要包括如下几个方面： 1 性能监控：由用户定义被管对象及其属性。被管对象类型包括线路和路由器： 被管对象属性包括流量、延迟、丢包率、c p u 利用率、温度、内存余量。对于每个 被管对象，定时采集性能数据，自动生成性能报告； 2 阅值控制：可对每一个被管对象的每一条属性设置阈值，对于特定被管对象 的特定属性，可以针对不同的时间段和性能指标进行阈值设置。可通过设置阈值检 查开关控制阂值检查和告警，提供相应的阈值管理和溢出告警机制： 3 性能分桥：对历史数据进行分析、统计和整理，计算性能指标，对性能状况 华中科技大学硕士学位论文 作出判断，为网络规划提供参考： 4 可视化的性能报告：对数据进行扫描和处理，生成性能趋势曲线，以直观的 图形反映性能分析的结果； 5 实时性能监控：提供了一系列实时数据采集、分析和可视化工具，用以对流 量、负载、丢包、温度、内存、延迟等网络设备和线路的性能指标进行实时检测， 可任意设置数据采集间隔； 6 网络对象性能查询：可通过列表或按关键字检索被管网络对象及其属性的性 能记录。 2 1 5 安全管理的分析 安全管理一直是网络系统的薄弱环节之- - 1 3 , 1 4 j ，而用户对网络安全的要求往往 又相当高，因此网络安全管理就显得非常重要。网络中主要存在以下几大安全问题： 1 网络数据私有性( 保护网络数据不被侵入者非法获取) ； 2 授权( 防止侵入者在网络上发送错误信息) ； 3 访问控制( 控制对网络资源的访问1 。 相应地，网络安全管理包括对授权机制、访问机制、加密和加密关键字的管理， 另外还要维护和检查安全日志，包括： 1 创建、删除、控制安全服务和机制； 2 与安全相关信息的分布、与安全相关事件的报告。 2 2 网络管理的安全威胁 网络管理面临的安全威胁包括七个方面 t 5 , 1 6 1 ： 1 信息更改： 一个实体可以更改由另一授权实体产生的正在传输的消息，以 至于导致越权的管理操作，包括对象值的设定。这种威胁的本质就是未授权的实体 可以修改任何管理参数，包括与配置、操作和计费方面的参数； 2 伪装： 一些未授权的实体可以通过假装具有已授权实体的身份，去执行只 1 。“。1 。_ - _ _ _ 。_ _ _ _ _ _ - _ _ _ _ _ _ _ _ - _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ - _ 。_ 。_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ - 一一 华中科技大学硕士学位论文 有授权实体才可以执行的管理操作，从而获得额外的特权： 3 ，消息序列的更改：大多数网络管理协议被设计成在无连接的协议上运行。 对于协议的安全性的一种威胁就是消除可能被重排、迟延或者重放( 复制) ，从而导 致越权的管理操作。例如，一个重新启动设备的消息可能被复制，并在将来某一时 刻重放，导致非授权的操作： 4 泄漏：实体可以观测管理者与受管代理之间的信息交换，从而获得管理对 象的值，并获知所报告的事件； 5 服务拒绝：阻止管理者与代理的信息交换；阻止或禁止通信设备的正常使 用和管理。这种攻击或者是阻止所有发往特定目的站点的消息，或者是对这个网络 进行破坏使网络不能运行，或者是通过大量消息使网络过载从而降低其性能： 6 流量分析：分析管理者和代理之间信息交换的一般模式； 7 统计数据的信息推理：统计管理者和代理之间信息的数据，并进行推理，从 而分析可能交互的操作。 2 3 安全机制分析 针对网络管理面临的安全问题，人们提出了各种机制来解决这些问题。主要有加 密机制、数字签名机制、认证机制、访问控制机制等，下面进行详细说明。 2 3 1 加密机制 数据的机密性是由加密算法提供的。算法是将一条正常的消息( 明文) 转换成为 乱码( 密文) ，再将乱码转换回正常的消息，实现加密( 编码) 和解密( 译码) 的过程【1 7 】。 加密算法通常是公开的，现在只有少数的几种加密算法，但是用来生成密文的密钥 是保密的，所以也就保证了数据的安全性，密钥的安全系数决定了整个加密的安全 系数。 目前加密机制所使用的加密算法有两大类： 1 对称加密算法 对于这种算法，加密密钥同解密密钥是完全相同的，知道其中的一个密钥，也 o 华中科技大学硕士学位论文 就相当于知道了另外一个。这种加密类型快速牢固，但是能力却是很有限，入侵者 用一台运算能力足够强大的计算机依靠“野蛮力量”就能破译。这种算法的另一不 足之处是密钥本身必须单独进行交换，如果密钥没有以安全方式传送，它就很可能 被动获得并用以数据解密，从而危害数据的安全性，因此保护管理好密钥并定期更 换密钥是必须的。 2 不对称加密算法 对于这种算法，也称之为“公共密钥算法”。它使用两个不同的密钥，一个用来 加密，称为加密密钥，另一个用来解密，称为解密密钥。用户把加密密钥公开，因 此加密密钥也成为公开密钥，简称公钥。解密密钥保密，因此也成为私有密钥，简 称私钥。这两个密钥是数学相关的，用加密密钥加密后的数据只能用这个解密密钥 才能解密。因而要求私钥不能透露给不信任的其他任何人。 公钥加密与对称密钥加密相比，其优势在于不需要一把共享的通用密钥，用于 解密的私钥不发往任何地方，这样，即使公钥被截获，因为没有与其匹配的私钥， 所以截获的公钥对入侵者是没有任何用处的。 公钥加密的另一个用处是身份验证。如果某一方用私钥加密了一条信息，拥有 公钥拷贝的任何人都能对其解密，接收者由此可以知道这条信息确实来自于拥有私 钥的人一方。 2 3 2 数字签名 数字签名的签名过程。就是发送者根据待发送的信息产生摘要，并对摘要用自身 的私钥加密，形成唯一的签名。信息和用自身私钥加密的数字摘要组合成数字签名。 用户采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了 别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点： 1 保证信息是由签名者自己签名发送的，签名者不能否认或难以否认： 2 接收方可以验证信息自签发后到收到为止未曾作过任何修改，签发的文件是 真实文件。 l i 华中科技大学硕士学位论文 2 3 3 认证机制 身份认证是实现网络安全的重要机制之一。在安全的网络通信中， 涉及的通信各方必须通过某种形式的身份验证机制来证明他们的身份， 验证用户的身份与所宣称的是否一致，然后才能实现对于不同用户的访 问控制和记录。 目前最通常的认证手段有三种认证机制：分布是基于d c e k c r b c r o s 的认证、基 于挑战，应答的认证以及基于公共密钥的认证。 基于d c e k e r b e r o s 的身份认证是通过用户在安全服务器上登录，获得身份 的证明。当然在登录前该用户必须已经注册，同时在客户端必须运行d c e 的客户端 软件。 d c e k e r b e r o s 是一种被证明为非常安全的双向身份认证技术。d c e k e r b e r o s 的身份认证强调了客户机对服务器的认证：而其它产品，只解决了服务器对客户机 的认证。 基于d c e k e r b e r o s 和公共密钥的用户身份认证是非常安全的用户认证形式，但 是，它们实现起来比较复杂，要求通信的次数多，而且计算量较大，而挑战应答式 身份认证相对来说就简易的多，同时也这种机制也是高效安全的。 基于公共密钥的认证，具体而言，使用符合x 5 0 9 的身份认证【1 9 】。使用这种方 法必须有一个第三方的证明授权( c a ) 中心为客户签发身份证明。客户和服务器各 自从c a 获取证明，并且信任该证明授权中心。在会话和通讯时首先交换身份证明， 其中包含了将各自的公钥交给对方，然后才使用对方的公钥验证对方的数字签名、 交换通讯的加密密钥等。 2 3 4 访问控制机制 访问控制就是要对访问的申请、批准、执行、撤销全过程进行控制，访问控制 决定个用户或程序是否有权对某一特定资源或协同内容执行一个特定的操作( 如 共享、修改、签字等) 以确保只有合法用户的合法访问才能批准，且被批准的访问只 能执行授权的操作。 访问控制的目标是防止对网络资源作非授权的访问和防止非授权对计算机网络 1 2 华中科技大学硕士学位论文 的各种操作的使用。 访问控制分为四类： 1 基于访问控制表的访问控制机制； 2 基于能力的访问控制机制； 3 基于标签的访问控制机制： 4 基于上下文的访问控制机制。 访问控制策略是至关重要的，它决定了访问控制判决控制。在基于策略网络管 理中，通常是授予管理员不同的权限范围，对管理策略进行基于访问控制表的范围 控帝0 秽l 带0 。 2 4 管理策略的分析 2 4 1 域 随着网络规模的不断扩大，网络应用的增多，需要将整个网络划分成为多个管 理域，每个域实现各自的管理策略，但是域之间存在着对等的或者层次的关系。域 可以理解为被管对象构成的集合1 2 0 】。 域一般是按照地域、组织、管理政策或者其他形式来划分的。各个域实现各自 的管理方案，而且域内的管理也大大简化。由于各个管理域又有各自的管理者和管 理策略，彼此间需要分工和协作，因而需要引进更为复杂的管理关系，将管理目标 划分成为具体的管理动作。由于网络规模的扩大，有时个域又被分成若干个子域， 此时系统将域视为一种特殊的管理对象进行管理，就形成了嵌套管理域。随着 e x t r a n e t 的发展，合作交流的加深，有些被管对象被多个域所包含，形成了重叠域。 利用重叠域技术，可以在一个管理域内分建多个管理者，各自负责不同的管理 职能，如一个管理域负责基本的配置管理、性能管理和故障管理；一个负责安全管 理；还有一个负责计费管理等等。 真正的管理不仅能管理和控制物理设备的物理 状态，而且还能对它运行什么，实现什么功能等逻辑状态进行控制和管理。把物理 域和逻辑域的概念结合在一起，用物理域方案来实现网络中物理设备的管理，而逻 辑域方案实现网络中访问与应用的管理，而形成了一种新型的管理模式一一多类域 华中科技大学硕士学位论文 管理方案。 物理域主要拥有对基础的物理设施进行管理，如通信信道是否畅通、物理设备 能否运行以及工作状态如何等等。这种管理能实现传统的配置管理、性能管理和故 障管理的功能。 而逻辑域主要用于管理逻辑设施的服务运行，机器运行了什么软件，提供了什 么服务。服务状态如何等等。这种管理显然和现代网络管理中有着特殊的意义，因 为它侧重于网络中的服务与应用管理，而且管理起来也更为有效自然。 2 4 2 策略 一般而言，策略的定义主要有以下几种形式【2 i 】： 1 策略用于描述一组法则、规则、惯例、标准和方式等； 2 策略用于描述只有提供适当的许可证，访问才被允许，此策略用于定义系统 主体访问客体需要的许可证级别： 3 策略用于描述在一个访问控制模型中访问控制框架的访问规则。 对于网络管理而言，策略就是一组管理规则的集合。系统的策略可以抽象成为 高层策略和底层策略，高层策略是用网络管理员或者用户的术语表示的希望系统达 到的业务目标；底层策略则是用网络参数和服务状态表示的条件以及规则，它所包 含的信息不需要再进行转换，就能被将要执行该策略的设备所理解。高层策略可以 对应于一系列的底层策略瞄】。基于策略的网络管理系统所要制订的策略可能包括多 个方面： l ，q o s 管理策略：包括服务定义及级别划分、带宽预留、带宽优先级以及q o s 参数指配等； 2 安全管理策略：如访问控制策略、行为授权策略以及加密策略等： 3 配置管理策略：定义网络设备的自动调整和动态配置策略； 4 性能管理策略：规定了如何进行日志记录、服务级别反馈、流量分析以及报 警等策略。 尽管这些策略的用途不同，但是它们的描述形式可以是一致的，都可以表现 为”i f t h e n ”的形式或其扩展，即策略都可以描述成由一些条件 1 4 华中科技大学硕士学位论文 和动作组成，一定条件的满足激发一组动作的执行。一个策略的描述可以包含如下 属性或元素： 1 识别该策略的策略标识符： 2 策略的作用目标： 3 策略的模式，定义该策略是强制性( m u s t ) 策略，还是要求性( d e m a n d ) 策略。 强制性策略强制作用目标必须执行或必须不执行某些获得，要求性策略授权或者禁 止作用目标可以进行某些活动； 4 激发策略发生作用的条件； 5 执行策略的动作； 6 可选的限制策略执行的约束，例如时间约束等； 7 可选的策略优先级； 8 可选的策略说明信息。 2 4 3 基于域的策略 随着网络规模的不断扩大，网络应用的增多，需要将整个网络划分成为多个管 理域，每一个域实现各自的管理策略，因而形成了基于域的策略。于是策略的作用 目标单位不再是一个个单独的网络设备对象，而是一个域，当然可以允许一个域内 只有一个网络设备对象构成。采用域描述策略，当网络拓扑发生改变的时候，可以 通过动态的改变域而不改变策略本身，提高了管理任务。这样带来的优势是大大提 高了策略复用，方便了管理员进行网络管理。 2 5 v p n 网络 随着计算机网络技术的发展，计算机网络已经深入影响到社会生活的各个方面。 目前，因特网的发展引起了产业结构的变化，同时产业结构的变化也对网络的发展 提出了新的要求，随着企业规模的扩大，远程用户、远程办公人员、分支结构以及 合作伙伴也在增多。由于因特网安全性的脆弱，必须采用某种方式来保证在它们之 间的数据传输是安全的，传统的方式是租用专用线路，但是这给企业带来了极大的 华中科技大学硕士学位论文 经济负担，因此人们需要一种经济、高效快捷的私有网络互连技术，在这种情况下 v p n 技术被提出并得到广泛应用。烦琐的策略配置等问题使v p n 网络的管理成为 v p n 应用的瓶颈，如何构建一个高效的v p n 网络成为人们日益关注的问题。传统 的方式是通过手工配置v p n 隧道策略，这种方式在大型的分布式网络中存在效率 低、易出错等问题，而一个易出错的策略将可能导致通信的阻塞和严重的安全隐患。 而且，既使每个安全域策略的制订是正确的，也可能会在不同的安全域中，由于策 略之间的交互，出现在局部范围内安全策略的多样性，从而造成v p n 网络通信的严 重安全隐患。因此，必须有一种新的方式来对v p n 网络进行管理。 2 6 总结 在本章中，我们介绍了网络管理的主要功能，提出了网络管理面临的安全风险， 并相应地提出了针对这些安全风险进行改进的机制。而网络规模的扩大，传统的面 向网络设备资源的管理逐渐暴露出其缺点，而采用基于策略的管理方案则可以弥补 这一缺点。分析了v p n 网络目前的现状，为后面的章节奠定了理论基础。 一一 1 6 华中科技大学硕士学位论文 3 1 协议分析 3 基于i p s e c 的v p n 策略管理模型设计 在本节中，我们首先介绍基于i p s e c 基础上的v p n 安全策略管理模型所用的协 议，即i p s e c 协议，l d a p 协议以及s p p 协议。 3 1 1i p s e c 协议 在实现隧道技术的协议中，还有其他的链路层协议例如p p t p ，l 2 f ，l 2 t p 、会话 层的s o c k s v 5 协议等。链路层技术侧重于移动用户与企业内部局域网之间的互联， 但安全机制较弱，工作方式也不够灵活；s o c k s v 5 协议本身并不进行数据的封装， 但它提供了应用连接穿越防火墙的机制，并可以采用与具体认证方式相关的技术实 现对数据的封装，但其工作层次较高，致使系统的效率较低：而i p s e c 经过上面的 分析可以看出它既可以用于拨入方式的v p n ，也可以用于局域网方式的v p n ，并且 是一种高质量的基于加密的，适用于i p v 4 和i p v 6 的规范，能够对数据的存取控制， 机密性，完整性和可用性提供保证，并能够防止重放攻击，因此在实现v p n 的协议 上我们采取了i p s e c 技术。 p s e c 协议1 2 硼是由i e t f 的i p s e c 工作组提出的将安全机制引入t c p p 网络的 一系列标准，包括安全协议( 认证头a h 和封装安全载荷e s p ) 、安全联盟、密钥管 理和安全算法等。它可以为i p v 4 和i p v 6 无缝的引入安全特性。 1 i p s e c 工作模式 i p s e c 协议既可以用来保护一个完整的i p 载荷，也可以用来保护某个i p 载荷的 上层协议。这两方面的保护分别是i p s e c 两种不同的“模式”来提供的【2 4 1 。 ( 1 ) 传输模式：只对i p 包中的净荷( 数据) 部分进行加密，在数据字段前插入i p s e c 头标，保持i p 头标不变。 华中科技大学硕士学位论文 ( 2 ) 隧道模式：对整个i p 包进行加密，这样i p 包源地址和目的地址被隐藏起来 之后引入i p s e c 头标和新的i p 头标，使得i p 包能够安全地在公用网络上传输。 2 i p s e c 基本要素 ( 1 ) 安全联盟s a 为正确封装及提取i p s e c 数据包，需要一套专门的方案，将安全服务，密钥与要 保护的通信数据联系到一起；同时要将远程通讯实体与要交换密钥的i p s e c 数据传 输联系到一起。这样的构建方案称为s a 。它是构成i p s e e 的基础。i p s e c 的s a 是 单向定义安全服务的，要么对通信实体收到的包进行”进入”保护，要么对实体外发 的包进行”外出”保护。具体采用什么方式，要由以下因素决定：( 1 ) 安全参数索引 ( s p i ) ，该索引存在于i p s e c 协议头内：( 2 ) i p s e c 协议值，其中a h 为5 l ，e s p 协议为 5 0 ；( 3 ) 通向其应用的s a 的目的地址，它同时决定了方向。通常，s a 是以成对的 形式存在的，每个朝一个方向。s a 驻留在“安全联盟数据库( s a d b ) “中。 ( 2 ) 安全策略数据库s p d i p s e c 的基本架构定义了用户能以多大的精度来设定自己的安全策略。安全策 略决定了为一个包提供的安全服务。i p s e c 策略由s p d 加以维护。在s p d 这个数据 库中，每个条目都定义了要保护什么、怎样保护以及和谁共享这种保护。对于进入 或者离开i p 堆栈的每个包。都必须检索s p d 数据库，调查可能的安全应用。对于 一个s p d 条目来说，它可能定义了下述几种行为： 丢弃：即不让这个包进入或者外出； 绕过：即不对一个外出的包应用安全服务，也不对一个进入的包进行保密 处理： 应用：即对外出的包应用安全服务，同时要求进入的包已应用了安全服务。 对于这些定义了“应用”行为的s p d 条目均会指向一个或者一套s a ，表 示要将其应用于数据包。 3 i p s e c 工作原理 i p s e c 核心在收到进入或者外出的数据包后，i p s e c 查找s p d 数据库决定对这个 包进入或者外出的p 数据包的处理：丢弃，转发还是i p s e c 处理。所谓i p s e c 处理 华中科技大学硕士学位论文 就是对i p 数据包进行加密认证以保证通过公共网络传输的数据包的机密性真实性 和完整性。 进入数据包处理过程包括查找s p d 数据库，检查s a ，抗重发检查，按照s a 中 指定的验证算法验证数据包，解密以及重新构造i p 包，再递交给i p 层处理。 外出数据包处理过程包括查找s p d 数据库。构造i p s e c 协议头，构造i p 头， 数据包加密，验证以及重新计算校验和，然后将数据包传递给数据链路层处理。 4 i p s e c 协议 ( 1 ) 认证头( a h ) p s e c 认证包头( a h ) 1 2 5 2 6 1 是一个用于提供i p 数据报完整性和认证的机制。a h 本身并不支持任何形式的加密，它不能保护通过i n t e r n e t 发送的数据的机密性。 a h 协议通过在整个i p 数据报中实施一个m a c 算来提供完整性和认证服务。 消息摘要算法的输出结果放到a h 包头的认证数据区。 ( 2 ) 封装安全载荷( e s p ) 封装安全载荷( e s p ) 1 2 5 , 2 7 包头提供i p 数据报的完整性和可信性服务。在i p v 4 和 i p v 6 两种实现中，e s p 都采取包头放在i p 数据中所有其它的i p 包头后面的方式。 e s p 是一种很灵活的协议，这允许它使用不同的加密算法( 也称为变换) 。i p s e c 要求在所有的e s p 实现中使用一个通用的缺省算法即d e s c b c 算法。然而，建立一 个i p s e c 会话的两个或更多的系统可以协调使用其它的算法。目前，e s p 支持的可 选算法包括t r i p l e - d e s 、r c 5 、i d e a 、c a s t