（计算机软件与理论专业论文）虚拟专用网中安全策略管理系统的研究与设计.pdf

华中科技大学硕士学位论文 摘要 li p s e c 是一套提供i p 网络安全的标准协议簇，可以用来产生一系列的保护机制，例如 保护瘟拟专用网的配置，保护端到端通信，保护远程访问等等。基于i p s e c 的v p n 的实 现和使用相对容易和廉价，逐渐成为组建v p n 的主要方式。i p s e c 是一个典型的策略驱 动的网络服务，只有当安全策略被正确的定义和配置时才能保k 正i p s e c 的功能被正确的 执行。， i p s e c v p n 安全策略管理原型系统( s p m s ) 较好地解决t i e t f 建议的安全策略系统 ( s p s ) 中存在的缺少策略一致性检查和策略自动调整机制等问题。它采用并扩展t d e n 技术中的策略类信息模型来进行系统设计，而且采用了c o p s 和l d a p 作为安全策略分发 的网络信息交换协议。在该系统中，用户利用可视化工具可以对安全策略进行初始化和 修改，然后通过策略管理服务器处理后分发到各个安全域。 策略管理服务器作为该系统的重要组成部分，提供对用户配置的策略进行解相关、 检验的功能。在安全策略管理的形式化描述中，提出了把安全策略分为需求级安全策略 和实施级安全策略，这种区分允许需求转化为策略的过程自动化，区分了安全需求和特 定的i p s e c 安全策略，并且还对策略正确性以及策略冲突进行了研究和讨论。 在策略模块的设计中，提出了两层结构的设计思想：下层处理和本地i p s e e 内核之 间的通信以及管理策略数据库；上层通过c o p s s p p 协议交换来实现安全策略通信协 议。策略模块两层结构允许策略模块操作的高度并行性，因而提高了运行效率。任务的 分离也使得系统更容易管理和控制。 。x, 【关键词】虚拟专扁摘；i p 安全体紊结构：安全策鹾粢统；安全秉露定义语言：安全篓 型必 华中科技大学硕士学位论文 a b s t r a c t i p s e c ，t h es t a n d a r ds u i t eo f p r o t o c o l s t op r o v i d es e c u r i t yi ni pn e t w o r k s ，i su s e dt oc r e a t e aw i d e r a n g eo f p r o t e c t i o ns c h e m e s ，l i k es e c u r e v i r t u a lp r i v a t en e t w o r k c o n f i g u r a t i o n s ，s e c u r e e n d - t o - e n dc o m m u n i c a t i o n s ，s e c u r er e m o t ea c c e s sa n ds oo n t h ei m p l e m e n t a t i o na n du s a g e o fi p s e cb a s e dv p ni sc o m p a r a t i v e l ye a s ya n dc h e a p ，a n db e c o m e st h em a i nm a n r l e ro f b u i l d i n gv p n i p s e ci sat y p i c a lp o l i c y e n a b l e dn e t w o r k i n gs e r v i c ei nt h a ti t sf u n c t i o n sw i l l b ee x e c u t e d c o r r e c t l yo n l yi f s e c u r i t yp o l i c i e sa r ec o r r e c t l ys p e c i f i e da n dc o n f i g u r e d t h ei p s e c v p n s e c u r i t yp o l i c ym a n a g e m e n tp r o t o t y p es y s t e m ( s p m s ) p r e f e r a b l y r e s o l v e st h ep r o b l e m so fs e c u r i t y p o l i c ys y s t e m ( s p s ) p r o p o s e db yi e t fw h i c hl a c k s c o n s i s t e n c yc h e c ka n dp o l i c ya u t o - a d j u s tm e c h a n i s m i tu s e sa n de x p a n d sp o l i c yi n f o r m a t i o n m o d e lo fd e n t e c h n o l o g yt od e s i g ns y s t e m ，a n da l s oa d o p t sc o p s a n dl d a pa sp o l i c y d i s t r i b u t e dp r o t o c o l s i ns p m s ，u s e r sc a nu s ev i s u a lt o o l st oi n i t i a l i z ea n dm o d i 分p o l i c i e s ， t h e ns p m d i s p o s e st h e m ，f i n a l l yd i s t r i b u t e st h e s ep o l i c i e st oe a c h s e c u r ed o m a i n a sa ni m p o r t a n tp a r to ft h es y s t e m ，t h ep o l i c ym a n a g e m e n ts e r v e r ( p m s ) h a st h e f u n c t i o n so f d e c o r r e l a t i n g a n d v e r i f y i n gu s e r - c o n f i g u r a t i o np o l i c i e s i n f o r m a l i z a t i o n d e s c r i p t i o no fs e c u r i t yp o l i c ym a n a g e m e n t , ap o l i c yw i t ht w ol a y e r si sf i r s t l yp r o p o s e dt o d e s c r i b er e q u i r e m e n ta n di m p l e m e n t a t i o nr e s p e c t i v e l y t h i ss e p a r a t i o no fp o l i c i e sa l l o w s r e q u i r e m e n tc o m p o n e n t t ob er e u s e dw h i l e p o l i c i e st ob ed y n a m i c a l l y m o d i f i e da n d i m p r o v e d w i t h o u ta l t e f i n gt h er e q u i r e m e n tc o m p o n e n t i ta l s op e r m i t sa u t o m a t i o no ft h et r a n s f o r m p r o c e s sf r o mr e q u i r e m e n t st op o l i c i e s i na d m i s s i o n ，p o l i c y c o r r e c t n e s sa n dc o n f l i c ta r e r e s e a r c h e da n dd i s c u s s e d t h ep o l i c ym o d u l ei sd i v i d e di nt w ol a y e r s ：t h el o w e rl a y e rh a n d l e st h ec o m m u n i c a t i o n w i t ht h el o c a li p s e ck e r n e la n dm a n a g e st h e p o l i c yd a t a b a s e s w h i l et h e u p p e rl a y e r i m p l e m e n t s t h es p p p r o t o c o lb ye x c h a n g i n gc o p s s p pp r o t o c o l ( i ti m p l e m e n t st h es e c u r i t y p o l i c y c o m m u n i c a t i o n p r o t o c 0 1 ) t h i s a r c h i t e c t u r e p e r m i t sh i g b e rp a r a l l e l i s m o fp o l i c y m o d u l eo p e r a t i o n s ，w h i c hg r e a t l yi m p r o v e ss p m s sp e r f o r m a n c e s e p a r a t i o no ft a s k sa l s o m a k e si te a s yt oc o n t r o la n d m a n a g e t h ew h o l e s y s t e m i i 华中科技大学硕士学位论文 i k e yw o r d s 】v i r t u a lp r i v a t en e t w o r k ；i ps e c u r i t ys y s t e m ；s e c u r i t yp o l i c ys y s t e m ；s e c u r i t y p o l i c ys p e c i f i c a t i o nl a n g u a g e ；s e c u r i t yp o l i c yp r o t o c o l ； l l i 华中科技大学硕士学位论文 1 1 虚拟专用网简介 1 绪论 中国的电子政务工程因为种种原因而多数建立在因特网( i n t e m e t ) 之上，但因特网 是全开放的，如果政府部门的信息要通过因特网进行传输，在安全、服务质量( q o s ) 和管理等方面存在很多问题。虚拟专用网( v p n ) 就是利用开放的公众网络建立私有数 据传输通道，将远程的分支办公室、工作伙伴、移动办公人员等连接起来，并且提供安 全的端到端的数据通信的一种广域网( w a n ) 技术。 按隧道协议工作在i s o 网络模型的第二还是第三层可以把v p n 划分为两种：第 二层隧道协议( 如l 2 t p ) 和第三层隧道协议( 如i p s e c ) 。其中i p s e c 主要用于实现专 线v p n 业务，l 2 t p 主要用于实现拨号v p n 业务，但也可用于实现专线v p n 业务。各 种隧道协议实质上的区别在于以什么格式封装数据包，封装后在哪一层的隧道中进行传 输。基于i p s e e 的v p n 是目前应用最广、前景最好的v p n 组建方式圆。图1 1 说明了 主机x 和主机y 在基于i p s e c 隧道模式的v p n 上的通信原理。 图1 1 基于i p s e c 隧道模式的v p n 工作原理 华中科技大学硕士学位论文 1 2i p 安全体系结构概述 i e t f 的i p s e c 工作组制定了一组基于密码学安全的、开放的网络安全协议，总称碑 安全体系结构，简称i p s e c ! ”。i p s e c 的设计独立于当前的密码算法，i p v 4 可以支持i p s e c ， i p v 6 则必须支持i p s e c t 2 。i p s e c - 1 - 作在m 层，为p 层及其上层协议提供保护。根据用 户、应用或站点( 组织) 的安全和系统需要，i p s e c 协议可以在任何环境中，以任何方 式使用。 i p s e c 独立于密码学算法，这种模块化的设计保证了选择不同的一套算法不会影响 到其他部分的实现1 4 】。不同的用户群可以根据需要选择不同的算法集，但为了促进全球 因特网的互操作性，规定了一套默认的标准算法。使用这些算法以及i p s e c 的流量保护 和密钥管理协议，是为了让系统和应用开发人员部署高质曩的、m 层的密码学安全技术 【5 1 。 1 2 1 体系结构 图1 2 i p s e c 体系结构 2 华中科技大学硕士学位论文 i p s e c 在i p 层提供安全服务，包括访问控制、无连接完整性、数据源验证、抗重播、 机密性( 加密) 和有限的通信流机密性【6 l 。在i p 层上提供安全服务，为上层协议无缝地 提供安全保障，各种应用程序可以享用i p 层提供的安全服务和密钥管理，而不必设计 自己的安全机制，因此减少了密钥协商的开销，也降低了产生安全漏洞的可能性，因此 具有较好的安全一致性和共享性及应用范围。i p s e c 保护的是i p 数据包本身，可连续或 递归应用，实现端到端安全和虚拟专用网络( v p n ) 等。 图1 2 h 显示了i p s e e 的体系结构、组件及各组件间的相互关系。i p s e c 组件包括安 全协议认证头( a h ) 和封装安全载荷( e s p ) 、安全关联( s a ) 、密钥管理( i k e ) 及加 密和验证算法等1 3 j 。 1 2 2 安全协议简介 i p s e c 的安全协议包括认证头( a h ) 和封装安全载荷( e s p ) ，两种安全协议均能以 传输模式或隧道模式工作。传输模式用来保护上层协议，而隧道模式用来保护整个i p 数据包。在传输模式中，i p 头与上层协议之间需插入一个特殊的i p s e c 头：而在隧道模 式中，要保护的整个妒包都需封装到另一个i p 数据报里，同时在外部与内部i p 头之间 插入一个i p s e e 头，如图1 3 口1 所示。 原始i p 包 传输模式 受保护的包 隧道模式 受保护的包 图1 3 i p s e c 的模式 传输模式一般用来保护主机到主机之间的通信，而隧道模式用来保护网关到网关和 网关到主机之间的通信，如图1 4 所示。 华中科技大学硕士学位论文 1 2 2 1 封装安全载荷 图l a i p s e c 的使用方式 封装安全载荷( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ，简称e s p ) ：属于i p s e c 的一种安全 协议，它可确保m 数据报的机密性、数据的完整性以及对数据源的验证，同时它也能 抵抗重放攻击。其做法是在i p 头( 以及任何选项) 之后，并在要保护的数据之前，插 入一个新头部，亦即e s p 头，并在后面追加一个e s p 尾，格式如下图1 5 9 1 所示。 1 2 2 2 认证头 图i 5 一个受e s p 保护的i p 包 认证头( a u t h e n t i c a t i o nh e a d e r ，简称a h ) ：与e s p 类似，a h 也提供了数据完整性、 数据源验证以及抗重放攻击的能力，但它不保证数据的机密性。a h 只有头，而没有尾， 格式如下图1 6 t 1 0 1 所示。 叵巫丑巫 图1 6 一个受a h 保护的i p 包 1 2 2 3 协议所提供的安全保护 i p s e c 的安全协议可以提供的安全保护有：访问控制、无连接的完整性、数据来源 4 华中科技大学硕士学位论文 验证、防重放保护、保密性( 加密) 、有限的数据流量保密等安全服务f 1 i l 。e s p 和a h 提供的安全服务如下表1 1 所示： 表1 1i p s e c 安全协议提供的安全服务 一磊裂 a he s p ( 仅加密) e s p ( 加密和认证) 服务类型、 访问控制 无连接的完整性 吖 数据来源验证 v、， 防重放保护 吖 保密性( 加密) 、，吖 有限的数据流量保密 吖 、， 1 2 3 安全策略 安全策略( s e c u r i t yp o l i c y ) 指示对i p 数据包提供何种保护，并以何种方式实施保 护。对于进入或外出的每一份数据包，都可能有三种处理：丢弃、绕过或应用i p s e c 。 安全策略应对数据包的处理策略进行明确规定。 安全关联( s a ) 是安全策略的具体化和实例化。为了确保互操作性，i p s e c 规定了 与s a 相关的两个名义性数据库一安全策略库( s p d b ) 和安全关联库( s a d b ) 。s p d b 用于确立p 通信流与特定s a 间的关系，如果数据流绕过i p s e c ，就没有s a 。最简单的 s p d b 由一些记录组成，记录中规定p 流子集以及指向s a 的指针。对于较复杂的s p d b ， 一个s a 可能与多条s p d b 记录关联，或者条s p d b 记录与多个s a 关联。s p d b 记 录可通过源和目的p 地址、用户i d 、数据敏感等级、传输层协议、i p s e c 协议、源和目 的端口等选择符来匹配【1 4 】。 r f c 2 4 0 1 7 l 对s p d b 和s a d b 的管理只提出至少应具有的功能，而对其记录字段、 组织形式及接口规范未具体规定。2 0 0 0 年6 月，m t f 公布了i p s e c 安全策略( i p s p ) 【1 5 】 和i p s e c 策略体系结构( s p s ) 【1 6 】草案。 1 2 4 因特网密钥交换 因特网密钥交换( 简称i k e ) 的用途就是在i p s e c 通信双方之间建立起共享的安全 参数及验证过的密钥( 亦即建立“安全关联关系) 。i k e 协议是o a k l a y 和s k e m e 协议 华中科技大学硕士学位论文 的一种混合，并在由i s a k m p 规定的框架内运作【”】。i s a k m p 是“i n t c m e t 安全联盟和密 钥管理协议”的简称，它定义了包格式、重发计数器以及消息构建要求，事实上，它定 义了整套加密通信语言【l2 1 。i k e 采用了“安全关联s a ”的概念，i k es a 定义了双方的通 信形式。例如用哪种算法来加密i k e 通信以及怎样对远程通信方的身份进行验证等等。 随后，便可用江s a 在通信双方之间提供任何数量的i p s e cs a 。 1 2 5i p 安全体系的实现机制 i p s e c 既可以在主机系统上实现，也可以在某种安全网关上实现 3 1 ( 如路由器或防 火墙) 。由于i p s e c 的实现是与系统密切相关的，所以在主机上和在安全网关上的实现 机制是不相同的。 一、主机实现 主机实现又可分为两类： 1 ) 与操作系统集成：由于i p s e c 是一个网络层协议，所以可作为网络层的一部分来 实现，如图1 7 左图所示。它需要i p 层的服务来构建m 头，实现机制与其它网络层协 议( 如i c m p ) 相似，需要访问p 堆栈。 堆栈中的块( b u m pi n t h es t a c k ，简称b i t s ) ：倘若根本无法访问一台主机的p 堆栈，便需将i p s e c 作为“堆栈内的块”来实现。通常以一个额外的“填充物”的形式出现， 插入到网络层和数据链路层之间，负责从球堆栈提取数据报，处理后再将其插入，如 图1 7 右图所示。 威j | j 层 传输层 网络层十i p s e c 数据链路层 虑j f j 层 传输层 网络层 i p s e c 数据链路层 吩操作系统集成做为堆栈小的块 图1 7i p s e c 在主机中的实施 二、安全网关实现 路由器( 网关) 中实施也有2 种方式( 如图1 8 所示) 。 6 华中科技大学硕士学位论文 圈1 8i p s e c 在安全网关的实现 一是原始实旖，将i p s e c 集成在路由器的软件中，其方法与主机中的操作系统集成 相同。二是将i p s e c 在一个硬件设备中实现，并将该设备直接接入路由器的物理接口， 称该方式为线缆中的块( b u m pi n t h ew i r e ，b i t w ) 。路由器中实施的优点是通过公用网 络( 如因特网) 对两个子网间的通信提供安全保护，并可进行身份验证，使得授权用户 才可以进入专用网络。 1 3i p 安全体系相关文档 i p s e c 相关文档以及相互间的关系结构如1 2 1 中的图1 1 所示。下面对i p s e c 各部 分的文档做个总结。 一、体系结构相关文档 主要涉及定义i p s e c 技术的一般概念，安全需求，定义和机制，相关文档如下： 夺r f c 2 4 0 1 1 8 2 5 一s e c u r i t y a r c h i t e c t u r e f o r t h e i n t e r a c t p r o t o c o l 夺r f c2 4 11 一i p s e c u r i t yd o c u m e n tr o a d m a p 二、a h 协议相关文档 定义用a l l 对包进行认证的相关包的格式和一般问题的文档，相关文档如下： 夺r f c2 4 0 2 18 2 6 l8 2 8 一i pa u t h e n t i c a t i o nh e a d e r m e c h a n i s m 三、e s p 协议相关文档 定义用e s p 对包进行加密和可选认证的相关包的格式和一般问题的文档，相关文档 如下： 奄r f c2 4 0 6 18 2 7 | 18 2 9 一i p e n c a p s u l a t i n gs e c u r i t yp a y l o a dfm e c h a n i s m 7 华中科技大学硕士学位论文 四、认证算法相关文档 厶r f c210 4 一h m a c ：k e y e d h a s h i n gf o rm e s s a g ea u t h e n t i c a t i o n 夺r f c2 4 0 2 一i pa u t h e n t i c a t i o nh e a d e r 夺r f c2 4 0 3 一t h eu s eo f h m a c - m d 5 9 6w i t l l i ne s pa n d a h 夺r f c2 4 0 4 一t h eu s eo f h m a c - s h a 1 9 6 、v m i ne s pa n da h 夺r f c1 8 2 8 一i pa u t h e n t i c a t i o nu s i n gk e y e dm d 5 五、加密算法相关文档 夺r f c2 4 0 5 一t h ee s pd e s - c b cc i p h e r a l g o r i t h mw i t l le x p l i c i ti v 夺r f c2 4 1 0 一t h en u l le n e r y p t i o na l g o d t h ma n di t su s ew i t hi p s e c 杏r f c2 4 5 1 一t h ee s pc b c - m o d ec i p h e r a l g o r i t h m s 冷r f c1 8 2 9 一n ee s pd e s c b ct r a n s f 0 1 1 1 1 夺r f c1 8 5 1 一t h ee s p t r i p l ed e st r a n s f o r m 夺d r a f t n 璩a e sc i p h e r a l g o r i t h m sa n dt h e i ru s ew i t hi p s e c 六、密钥管理相关文档 定义密钥管理方案，相关文档如下： 夺r f c2 4 0 8 一i n t e r a c ts e c u r i t ya s s o c i a t i o na n dk e ym a n a g e m e n tp r o t o c o l ( i s a k m p ) 夺r f c2 4 0 9 一n l ei n t e r n e tk e ye x c h a n g ef m e ) 夺r f c2 4 1 2 一t h eo a k l e yk e yd e t e r m i n a t i o np r o t o c o l 七、解释域( d o i ) 相关文档 包括其他文档相互联系所需的值，例如：为达到被认可的加密和认证算法的标识符 以及作为可选参数的密钥生命期等。 冷r f c2 4 0 7 一n 圮i n t e r n e ti ps e c u r i t yd o m a i no f i n t e r p r e t a t i o nf o ri s a k m p 八、策略相关文档 夺d r a f t s e c u r i t yp o l i c yp r o t o c o l 冷d r a f t s e c u r i t yp o l i c ys y s t e m 九、i p s e c 的相关i n t e m e t 草案 密钥管理的相关i n t e r a c t 草案： 令i n t e r a c ts e c u r i t ya s s o c i a t i o na n dk e y m a n a g e m e n tp r o t o c o l ( i s a k m p ) k e e p a l i v e m e s s a g ee x c h a n g e ：d r a f t v l a d o i p s e c - k e e p a l i v e - 0 1 t x t 8 华中科技大学硕士学位论文 厶i p s e c r e - k e y i n gi s s u e s ：d r a f t - j e n k i n s i p s e c r e k e y i n g - 0 4 t x t 夺u s i n g i s a k m ph e a r t b e a t sf o rd e a dp e e rd e t e c t i o n ： d r a f t - i e t f - i p s e c h e a r t b e a t s - 0 0 t x t 安全策略的相关i n t e m e t 草案： 夺p o l i c y f r a m e w o r kf o ri ps e c u r i t y ：d r a f t - i e t f - i p s e c - p o l i c y - f r a m e w o r k - 0 0 t x t 夺i p s e c p o l i c ys c h e m a ：d r a r - i e t f - i p s e c - p o l i c y s c h e m a - 0 0 t x t 夺s e c u r i t yp o l i c yp r o t o c o l ：d r a f t - i e f f - i p s e c - s p p - 0 0 t x t 夺s e c u r i t yp o l i c ys p e c i f i c a t i o nl a n g u a g e ：d r a f t - i e t f - i p s e c s p s l - 0 1 t x t 夺i p s e c p o l i c yd i s c o v e r y a r c h i t e c t u r e ：d r a f t - k e r o m y t i s - i p s p - a r c h - 0 0 t x t 夺s e c u r i t yp o l i c ys y s t e m ：d r a f t - i e f f - i p s e c s p s 0 0 t x t i p s e c 远程访问相关i n t e r a c t 草案： 夺r e q u i r e m e n t s f o ri p s e cr e m o t ea c c e s ss c e n a r i o s ：d r a f t - i e t f - i p s r a - r e q m t s - 0 1 t x t 夺p i c ap r e - c r e d e n d a lp r o v i s i o n i n gp r o t o c o h d r a f t i e f f - i r s r a - p i c - 0 0 t x t 1 4 本课题的目的与国内外研究现状 本课题的目的主要是研究基于i p s e c 的分布式v p n 中系统安全策略的正确性、策 略冲突的检测和消除等安全策略的管理问题。国外对i p s e c 的安全策略的研究起步比较 早，2 0 0 0 年6 月，i e t f 公布了i p s e c 安全策略( i p s p ) 和i p s e c 策略体系结构草案。国 内近几年由于组建v p n 的需要才开始研究i p s e c ，但是对i p s e c 安全策略的研究主要都 集中在策略规则的实行上，混淆了安全需求和特定的i p s e c 安全策略。国内外对分布式 系统中i p s e c 安全策略管理的研究都不多。 安全策略作为i p s e c 协议的重要组成部分，为两个实体定义安全关联，保护相互间 的通信。一般的i p s e c 实现中的安全策略系统能够为主机和网络提供访问控制、授权、 密码体制、机密性、数据完整性等安全服务，但多数只考虑了在安全域内部实现，这些 系统并不适用于大型的分布式网络环境。在大型分布式网络中存在着大量的安全域，每 个安全域都有自己的安全实施方案。这样在不同的网络实体、网络实体内不同部分的不 同种类的通信都产生大量的安全策略，这些安全策略在个自的安全域内部可能是正确 的，但是不同安全域之间会因为策略冲突而出现问题。因此管理这些安全策略的安全策 略管理系统应该为大型网络的策略管理提供一个分布式管理的机制。该机制必须提供对 9 华中科技大学硕士学位论文 安全域之间的通信策略进行制定和管理的功能。 在综合地研究、分析了目前的各种安全策略管理的理论基础上，本文提出了把安全 策略可以分为需求级安全策略和实施级安全策略，给出了策略的形式化描述以及需求策 略到实施策略的对应方法。 本文还在i e t f 建议的s p s 结构的基础上，提出了利用策略管理服务器对分布式的策 略服务器进行集中管理的方法，对s p s 进行了改进，设计了一个安全策略管理系统，并 在w i n d o w s 操作系统上实现了策略管理服务器原型系统。 1 5 本论文的组织结构 本课题主要探讨了基于i p s e c 的v p n 中的安全策略的正确性、策略冲突的检测和 消除等安全策略的管理问题。首先介绍了v p n 、i p s e e 以及i p s e c 中的安全策略，并探 讨了安全策略的两级结构，提出了对i e t f 建议的s p s 的改进方法。本文主要按以下几 个部分进行论述。 第一章介绍了v p n 以及i p s e c ，阐述了本课题的研究目的和意义。 第二章介绍了i p s e e 中的安全策略，讨论了安全策略的要素、安全策略的表示与管 理，并讨论了安全策略的实例s a 。此章还对策略管理系统的需求进行了讨论。 在第三章中，我们给出了一个安全策略的两级结构模型，分析了需求级安全策略和 实施级安全策略，并对两级安全策略给出了定义和形式化描述。此章还对安全策略的正 确性和策略冲突的检测以及消除进行了研究和讨论。 第四章介绍了i e t f 建议的s p s 体系结构以及s p p 和s p s l ，并对s p s 结构的缺点 进行了讨论。在该章中，我们提出了对s p s 的改进方法和在此基础之上设计和实现了一 个安全策略管理原型系统，并且详细阐述了系统的总体设计以及设计思想，还给出了系 统的主要类层次图和各个模块的设计和实现，重点说明了安全策略管理服务器模块。 最后对本文的工作进行了总结，并就所设计的系统的改进方向进行了探讨。 o 华中科技大学硕士学位论文 2 1 安全策略的要素 2i p 安全体系中的安全策略 i f s e c 本身没有为策略定义标准，目前只规定了两个策略组件：s a d ( 安全关联数 据库) 和s p d ( 安全策略数据库) 。在i p s e c 系统中，安全策略通过s p d 得到表现。 对于外出包，必须先检索s p d ，决定提供给它的安全服务。对于进入包，也要查阅 s p d ，判断为其提供的安全保护是否和策略规定的安全保护相符。s p d 是有序的，每次 查找的顺序应相同。s p d 还控制密钥管理( 如i s a k m p ) 的数据包，即对i s a k m p 数 据包的处理要明确说明，否则该包将被丢弃。 策略描述主要包括两方面的内容：一是对通信特性的描述，二是对保护方法的描述。 i p s c c 使用选择符( s e l e c t o r ) 描述通信特性；面对保护方法的描述是通过对数据报的处 理来描述的：对于进入或外出的每一份数据报，都可能有三种处理一丢弃、绕过或应用 i p s e c 。若是应用 p s e c ，策略记录要包含使用的i p s e c 协议、模式、算法和嵌套要求等。 2 2 安全策略的表示与管理 一、安全策略的表示 策略并非一种标准，i p s e c 协议标准对策略的各种能力下了定义。然而，垃t f 并未 硬性规定任何一种特定的策略表示方法，亦未强迫执行任何特定的实施方式。对于策略 定义和表示之类的问题，可留给具体的实施方案来解决。然而，策略面临的最主要的挑 战就是在一个较高的级别进行定义和表示，然后对其进行映射，使i k e 和i p s e c 协议能 够有效、明确地访问它1 2 0 j 。 i p s e c 的策略表示实际上是一个数据库问题。r e t f 已经在策略表示这方面做了大量 工作，特别讨论了一个方案。这个方案重点强调策略定义要求。该方案是为l d a p 定义 的。l d a p 方案提供了定义一个方案( 该方案要么由服务器，要么由客户机来保存数据) 的能力。如果策略保存在存储中心，客户机就可通过一个定义明确的协议来访问这一数 华中科技大学硕士学位论文 据。 二、安全策略的分布与管理1 6 j 与策略有关的另一个问题是它的分布和管理。这个问题包括在网络中不同节点之间 如何定义和传达策略以及不同节点之间的策略如何才能同步等几个方面。网络安全是非 常复杂的，要保护的网络的规模越大，描述如何保障安全的策略就越复杂。如果一个网 络管理员必须逐一访问每一个网络实体，并且依照系统安全策略对网络实体进行手工配 置，几乎是不可能的，因此，有必要集中地管理安全策略。i p s e c 系统所使用的策略库 一般保存在一个策略服务器中，该服务器为域中的所有节点( 主机和路由器) 维护策略 库，各节点可将策略库拷贝到本地，也可使用某些已经存在的协议( 例如；轻型目录访 问协议l d a p ) 动态获取策略。 为了确定提供给数据包的安全服务，i f s e c 内核需频繁地查询策略。因此，应在系 统初始化时将安全策略库置于内核中，以保证查询速度，并定期进行更新和刷新，保证 策略库的有效性和安全性。 2 3 安全策略的实例 安全联盟( s e c u r i t y a s s o c i a t i o n ，简称s a ) 是安全策略的具体化和实例化。为了正 确封装及提取i p s e c 数据报，有必要采取套专门的方案，将安全服务密钥与要保护 的通信数据联系到起；同时要将远程通信实体与要交换密钥的i p s e c 数据传输联系到 一起。换言之，要解决如何保护通信数据、保护什么样的通信数据以及由谁来实行保护 的问题，这样的构建方案称为“安全联盟”。 2 3 1 安全关联的定义 安全关联( s a ) 是两个应用i f s e c 实体( 主机、路由器) 间的一个单向逻辑连接， 决定保护什么、如何保护以及谁来保护通信数据1 1 3 】。s a 由安全参数索引( s p i ) 、目的 i p 地址和安全协议标识符唯一确定，用于实现安全策略。s a 可用i k e 自动协商或手工 设置，其有效性根据序号和生存期等来判断，所规定的安全服务通过使用a h 和e s p 得 以体现。由于s a 的单向性，两个 p s e c 实体闷的s a 成对出现，分别用于各自的进入 和外出处理，如图2 1 所示。 1 2 华中科技大学硕士学位论文 2 3 2 安全策路库和安全关联库 图2 1 两个i p s e c 实体间的s a 为了确保互操作性，i p s e c 规定了与s a 相关的两个名义性数据库安全策略库 ( s p d ) 和安全关联库( s a d ) 。 s p d 、s a d 和选择符( s e l e c t o r ) 等构成了处理i p 通信流的s a 通用模型【1 3 】。对于所 有的i p s e c 实施点( 包括主机、安全网关等) ，s p d 指定了对实施点上所有进入或外出 i p 通信流的处理策略，s a d 包含每一个活动的s a 的参数。选择符是m 及上层协议 中的一些字段的值的集合。通过使用选择符，s p d 中的策略可以和s a d 中的s a 或s a 束建立对应关系。 选择符中很多域的值具有方向性，因此每一个m s 实施点中的s p d 和s a d 需要 分为进入和外出两个子库。主机和安全网关一般只有一个网络接口( 安全网关内部接口 连接内部网，而内部主机一般不要i p s e c 处理) ，因此只需两个s p d 和两个s a d 。如主 机或安全网关有多个网络接口，则应有多对s p d 和s a d 。 2 4 策略管理系统的需求 策略管理系统定义了下面几个接口【2 l ： 夺目录服务和本地数据库之间的接口，策略保存在此。 夺用户接口应用程序和本地策略数据库( 允许读、写和修改对数据库的访问) 之 间的接口。 夺i k e 和策略数据库之问的接口。 内核和策略数据库之间的接口。 策略管理定义的接口应该提供这能力一即能够搜索基于一个或多个选择符的数 据崖：丝翅：县直达盈能左的接旦廛达自整歪曼这仝筮堕：拨盥基仝挂定殴垒丝：垡2 盈： 华中科技大学硕士学位论文 或某个特定的网络。它还应该可能对进入和流出策略进行查寻。策略管理应该始终可决 定其匹配物，并始终与最长的前缀相符。 2 4 1 内核支持 为了决定提供给数据包的安全服务，i p s e c 内核对策略进行查访。如果策略数据库 是在用户空间中得以维护的，内核就需要通过场景转换，进入用户空间查找这个策略。 该操作非常浩大而繁杂，内核维护其安全策略数据库的副本几乎是硬性规定的1 6 。 更新内核的s p d 是策略管理应用的责任。作为执行者，你可定义自己的策略管理 应用和内核之间的接口。在定义策略管理应用和内核之间的接口方面，i e t f 定义的接 1 ：3 叫作p fk e y ，继p fr o u t e 套接字接口之后，进入内核路由表中，形成模式【2 ”。 策略管理系统应该同时为内核的s p d 修改删除增添条目。它还应该提供批量 更新，而不是一次只更新一个策略记录。它还应该能增添和删除手工s a 。 2 4 2 因特网密钥交换支持 i k e 1 7 】是由内核、或策略管理应用、或另一个建立密钥的i k e 同级实体来实行的。 内核为了进行安全通信，当需要一个s a 、或一个s a 期满或需要建立一个新的s a 时， 就会实行l l c e 。如果策略管理应用在内核需要它减少新连接的延时之前，建立了密钥， 它就会实行i k e 。内核或策略管理应用可以通过下列一种方式实行i k e i s ： 1 ) 只传送选择符，在这种情况下，i k e 必须查阅用户级策略数据库来决定策略。 2 ) 传送整个策略。 如果选择第一种方式，对用户级策略数据库的访问必须在i k e 和策略管理应用之间 同步。 i k e 对一个密钥协商请求作出反应时，需要一个到用户级s p d 的接口，以便进行连 接参数选择。策略数据库查寻是建立在选择符基础上的。 对江支持的策略管理来说，另一个重要方面是鉴定。m t f 正致力于制定鉴定的 保存和恢复这方面的标准。我们认为，这些技术尚未成熟，能看见大型公共密钥结构的 实际配置尚需时日 j 9 1 。这期间，鉴定保存于本地，从目录中获得。策略管理系统应该提 供在其数据库中保存删除鉴定的能力，同时，还要提供一个接口，为i k e 获取数据库 1 4 中的鉴定。 2 5 小结 华中科技大学硕士学位论文 本章介绍了i p s e c 中的安全策略讨论了安全策略的要素、安全策略的表示与管理 并讨论了安全策略的实例s a ，最后对策略管理系统的需求进行了讨论。 华中科技大学硕士学位论文 3 安全策略的两级结构 i p s e c ( i n t e m e ts e c u r i t yp r