劉瑤瑤　邢偉

摘要：隨著IPSec/VPN策略的廣泛應(yīng)用，如何正確地制定和配置在執(zhí)行安全需求的時(shí)候是非常關(guān)鍵的?，F(xiàn)在很多情況下，IPSec/VPN策略是由系統(tǒng)管理員來定義，很多時(shí)候的策略是不正確的。然后，網(wǎng)絡(luò)的動(dòng)力會(huì)影響策略的設(shè)置甚至導(dǎo)致意外沖突。為了處理這些問題，需要定義IPSec的安全需求，策略和相關(guān)的一些參數(shù)?；谶@些定義，提供一種區(qū)域間的架構(gòu)來生成正確和有效的安全策略。當(dāng)網(wǎng)絡(luò)堵塞時(shí)也能配置安全策略，同時(shí)，當(dāng)有新的安全策略加進(jìn)來時(shí)也能處理。最終，可通過模擬數(shù)據(jù)來評(píng)估解決方案。

關(guān)鍵詞：IPSec/VPN；安全需求；安全策略管理；安全策略保證

1 概述

互聯(lián)網(wǎng)在很多方面變得越來越動(dòng)態(tài)化，隨著無(wú)線網(wǎng)絡(luò)技術(shù)的多樣化，用戶和子網(wǎng)都可以是移動(dòng)的，移動(dòng)性意味著策略上或分發(fā)策略的內(nèi)部關(guān)系上的潛在變化。自適應(yīng)的安全是策略改變的另一個(gè)原因。不久的將來，通過修改安全策略來使安全管理系統(tǒng)應(yīng)對(duì)新的入侵檢測(cè)是很普遍的。通常一條IPSec策略規(guī)則包含兩部分：條件和操作，如果條件部分符合了，那么操作部分就會(huì)執(zhí)行。在IP包頭中的值就會(huì)被作為一個(gè)交通選擇標(biāo)記到條件部分，那么操作部分就會(huì)指定怎么樣處理網(wǎng)絡(luò)擁堵來應(yīng)對(duì)這個(gè)選擇。一條IPSec/VPN策略，它能夠執(zhí)行如下3種可能的動(dòng)作：拒絕，允許，IPSec執(zhí)行動(dòng)作。

然而，在實(shí)際情況下，IPSec/VPN策略主要配置在個(gè)人的安全網(wǎng)管或管理域中。這些區(qū)域效率不高且容易出錯(cuò)。這個(gè)過程中，小的或微妙的錯(cuò)誤都會(huì)在全局的網(wǎng)絡(luò)安全上造成大的問題。此外，策略之間的相互作用也能引起非預(yù)期的安全違規(guī)行為，就算是非常小心或很有經(jīng)驗(yàn)的管理員也很難檢查出這些違規(guī)行為。

IPSec策略沖突：隱私保護(hù)和內(nèi)容檢查。

例如，A和B之間建立了一條加密的通道來保護(hù)他們之間敏感的通信，但在安全網(wǎng)管上的其他策略是拒絕ESP加密包的，所以所有的包在傳輸過程中將會(huì)被丟棄。

IPSec策略沖突：網(wǎng)絡(luò)通信選擇障礙。

例如，策略1指定包必須通過一條AH通道從A認(rèn)證后去向B，根據(jù)策略2和策略3的要求，網(wǎng)關(guān)將實(shí)行訪問控制策略只運(yùn)行A到B的網(wǎng)絡(luò)通信，但是A和網(wǎng)管之間的認(rèn)證通道將會(huì)改變包頭把目的地址指向另一個(gè)網(wǎng)管。因此，根據(jù)策略3的要求，從A到B的所有包將會(huì)被丟棄，但這也就違背了管理員的初衷了。

上面的兩個(gè)例子說明了一系列策略之間的相互作用可能會(huì)導(dǎo)致一些沖突而違背初衷。這說明了在IPSec策略管理中兩個(gè)根本的問題：（1）怎樣系統(tǒng)地定義正確的策略集并且能安全的通過網(wǎng)絡(luò)進(jìn)行分發(fā)？（2）怎樣保證分發(fā)的安全策略的正確性？

IPsec策略必須滿足下列要求：要求在較高層次上定義策略以及高級(jí)策略必須能被清晰定義；相信策略確實(shí)做了他所聲稱的，并且實(shí)現(xiàn)也是正確的；必須能夠支持復(fù)雜的策略管理方案，同時(shí)能控制和改變?cè)S多遠(yuǎn)程設(shè)備的策略；在大型網(wǎng)絡(luò)系統(tǒng)中，必須能授權(quán)不同實(shí)體使其能確定自己的策略；所采用的機(jī)制必須不能對(duì)IPsec中任何協(xié)議做任何改動(dòng)且不能依賴SA協(xié)商協(xié)議。

2 原理

IPSec VPN的應(yīng)用場(chǎng)景分為3種：（1）Site-to-Site（站點(diǎn)到站點(diǎn)或者網(wǎng)關(guān)到網(wǎng)關(guān)）：如彎曲評(píng)論的3個(gè)機(jī)構(gòu)分布在互聯(lián)網(wǎng)的3個(gè)不同的地方，各使用一個(gè)商務(wù)領(lǐng)航網(wǎng)關(guān)相互建立VPN隧道，企業(yè)內(nèi)網(wǎng)（若干PC）之間的數(shù)據(jù)通過這些網(wǎng)關(guān)建立的IPSec隧道實(shí)現(xiàn)安全互聯(lián)。（2）End-to-End（端到端或者PC到PC）：兩個(gè)PC之間的通信由兩個(gè)Pc之間的IPSec會(huì)話保護(hù)，而不是網(wǎng)關(guān)。（3）End-to-Site（端到站點(diǎn)或者PC到網(wǎng)關(guān)）：兩個(gè)PC之間的通信由網(wǎng)關(guān)和異地PC之間的IPSee進(jìn)行保護(hù)。

VPN只是IPSec的一種應(yīng)用方式，IPSec其實(shí)是IPSeeurity的簡(jiǎn)稱，它的目的是為IP提供高安全性特性，VPN則是在實(shí)現(xiàn)這種安全特性的方式下產(chǎn)生的解決方案。IPSec是一個(gè)框架性架構(gòu)，具體由兩類協(xié)議組成：（1）AH協(xié)議（Authentication Header，使用較少）：可以同時(shí)提供數(shù)據(jù)完整性確認(rèn)、數(shù)據(jù)來源確認(rèn)、防重放等安全特性；AH常用摘要算法（單向Hash函數(shù)）MD5和SHAI實(shí)現(xiàn)該特性。（2）ESP協(xié)議（Encapsulated Security Payload，使用較廣）：可以同時(shí)提供數(shù)據(jù)完整性確認(rèn)、數(shù)據(jù)加密、防重放等安全特性；ESP通常使用DES、3DES、AES等加密算法實(shí)現(xiàn)數(shù)據(jù)加密，使用MD5或SHA1來實(shí)現(xiàn)數(shù)據(jù)完整性。

3 安全需求和策略

在以前的工作中，證明了為了保證安全策略的正確性，清晰和嚴(yán)格的區(qū)分高級(jí)策略和低級(jí)策略是很有必要的。IPSec策略管理的一個(gè)重要任務(wù)就是快速明白地表示出高級(jí)的安全需求。

3.1 安全需求分類

為了詳細(xì)的分析安全需求，首先要把安全需求分層不同的四種類型。例如定義了一條內(nèi)容訪問需求，要求從的通信將被路由器1和2拒絕，但其實(shí)是需要對(duì)這兩者之間的網(wǎng)絡(luò)流量進(jìn)行檢查。此外，隨著需求定義的建立，一條策略會(huì)為了滿足一個(gè)需求而建立?；旧?，一條策略包含一個(gè)網(wǎng)絡(luò)目的地和與之相關(guān)的特定的動(dòng)作。

3.2 安全需求和策略定義

定義1：IPSec/VPN策略在兩個(gè)不同的級(jí)別之間被指定：需求級(jí)的安全策略和實(shí)施級(jí)的安全策略。它們?cè)诙x的時(shí)候是遵循基本的格式的，但是在屬性和語(yǔ)義上是不同的，需要被嚴(yán)格的定義。

定義2：一條安全策略P是遵循如下規(guī)則的：如果滿足c那么執(zhí)行A，P=C-A。

定義3：一條安全策略的條件部分是安全策略的集合，每一條都是指定目的地的有限的值。條件滿足了或者包被一條策略選擇了，并且僅有這個(gè)包的每天選擇都包含在這個(gè)集合中才能表示出這個(gè)策略集。

4 在內(nèi)部網(wǎng)絡(luò)環(huán)境中自動(dòng)策略生成

面對(duì)一系列的安全需求，最根本的問題是找出策略方法來正確的滿足安全需求。以前的工作解決了內(nèi)部網(wǎng)絡(luò)環(huán)境中的問題，將集中在內(nèi)網(wǎng)環(huán)境中提供更廣泛的策略解決方案。本文將使用帶寬架構(gòu)來發(fā)現(xiàn)路由途徑中的安全需求并使用有序分流及最小的通道來自動(dòng)生成解決方案。

IPsec本身沒有為策略定義標(biāo)準(zhǔn)，目前只規(guī)定了兩個(gè)策略組件：SAD（安全關(guān)聯(lián)數(shù)據(jù)庫(kù)）和SPD（安全策略數(shù)據(jù)庫(kù)）。在IPsec系統(tǒng)中，安全策略通過SPD得到表現(xiàn)。

對(duì)于外出包，必須先檢索SPD，決定提供給它的安全服務(wù)。對(duì)于進(jìn)入包，也要查閱SPD，判斷為其提供的安全保護(hù)是否和策略規(guī)定的安全保護(hù)相符。SPD是有序的，每次查找的順序應(yīng)相同。SPD還控制密鑰管理（如ISAKMP）的數(shù)據(jù)包，即對(duì)ISAKMP數(shù)據(jù)包的處理要明確說明，否則該包將被丟棄。

4.1 帶架構(gòu)

在一個(gè)內(nèi)網(wǎng)中，依靠純集中的管理系統(tǒng)去收集不同網(wǎng)絡(luò)區(qū)域的安全需求從而計(jì)算出正確的策略是不可擴(kuò)展的。因此，建議使用集中和分散系統(tǒng)混合的架構(gòu)。在帶架構(gòu)中，需要每個(gè)網(wǎng)絡(luò)區(qū)域中有需求服務(wù)器。需求服務(wù)器用來和其他網(wǎng)絡(luò)區(qū)域中的需求服務(wù)器集中和協(xié)同策略。需求服務(wù)器執(zhí)行兩個(gè)階段的策略協(xié)同過程。

（1）路由路徑發(fā)現(xiàn)。為了發(fā)現(xiàn)路由路徑上的需求服務(wù)器并解決它們之間的策略協(xié)同，首先要做的是發(fā)現(xiàn)路由路徑的起點(diǎn)和終點(diǎn)。根據(jù)發(fā)現(xiàn)的起點(diǎn)路徑，在這條路徑上的其他服務(wù)器應(yīng)該能夠通過DNS來標(biāo)識(shí)出終點(diǎn)的IP地址。這個(gè)過程是為第二個(gè)過程做準(zhǔn)備的，為了相關(guān)的需求服務(wù)器交換信息來生成策略。

（2）需求發(fā)現(xiàn)和策略協(xié)同。在第一階段探討了起點(diǎn)路由路徑，在這條路徑上的每個(gè)終端路徑需要和相鄰的終點(diǎn)路徑確認(rèn)來發(fā)現(xiàn)網(wǎng)絡(luò)流量中的相關(guān)的需求。需求服務(wù)器在MIBS中存儲(chǔ)了本地需求信息和路由數(shù)據(jù)以及已有的通道信息。為了保證最新的數(shù)據(jù)，它需要定期從本地的路由器中更新這些數(shù)據(jù)。

一旦服務(wù)器收到了它所需的數(shù)據(jù)，它會(huì)基于相關(guān)的需求調(diào)用策略協(xié)同模型來計(jì)算策略。使用直接方法來自動(dòng)生成安全策略。然而，這種方法可能會(huì)生成多余的通道，將使用有序分流算法來生成最少的策略集。

4.2 有序分流算法

當(dāng)網(wǎng)絡(luò)變得更復(fù)雜時(shí)，加密和解密的耗時(shí)會(huì)嚴(yán)重影響通信質(zhì)量。因此，自動(dòng)的IPSec/VPN策略生成將需要開發(fā)更有效率的方案。在一系列安全需求下，有一種方法可以通過很少的幾個(gè)IPSec通道提供了一種更有效率的方法來執(zhí)行加密操作。因此，筆者提出了一種算法自動(dòng)生成策略來滿足需求，同時(shí)提供用最小的策略數(shù)提供最優(yōu)的解決方案。下面介紹動(dòng)態(tài)有序分流算法的細(xì)節(jié)。

動(dòng)態(tài)有序分離算法要求事先知道所有的安全需求，所有這個(gè)算法首先是通過表格值來對(duì)需求進(jìn)行分類。在一個(gè)更實(shí)際的場(chǎng)景中，新的需求可能已到達(dá)，需要更新策略。每當(dāng)新的需求到達(dá)，只需要簡(jiǎn)單的重新運(yùn)行有序分流算法，但是這將會(huì)很慢。另一方面，當(dāng)需要處理新的需求時(shí)有序分流算法能夠被修改并且只需要修改必要的變更。

5 模擬結(jié)果和分析

筆者比較了有序分流方法和束的直接方法得出，有序分流的方法能通過最小的通道數(shù)生成解決方案。進(jìn)一步又在linux平臺(tái)下實(shí)施了動(dòng)態(tài)的有序分流方法在多種場(chǎng)景下進(jìn)行了模擬首先，使用兩種方法隨機(jī)生成1到500條的安全需求，實(shí)驗(yàn)表明，兩種方法各自在使用最少的通道提出最佳解決方案時(shí)最終生成了相同數(shù)量的通道（盡管通道可能不一樣）。其次，衡量了兩種方法的效率。原始的有序分流法要求所有的需求要進(jìn)行排序并且需要按照順序來，處理無(wú)序的需求要求這種方法首先拆除所有現(xiàn)存的通道，然后再對(duì)需求進(jìn)行排序后計(jì)算出最終的通道數(shù)量。這種方法需要的時(shí)間至少是計(jì)算需求集合時(shí)間的兩倍。另一方面，改進(jìn)的有序分流方法能夠很容易的處理無(wú)需的需求，只需要拆散和釋放可能被這些需求影響的通道。因此，在帶架構(gòu)下使用改進(jìn)的有序分流方法是非常有效率的并且能夠使用最少的通道數(shù)提供正確和無(wú)沖突的通道解決方案。

6 結(jié)語(yǔ)

IPSEC安全策略被廣泛用于防火墻和安全網(wǎng)關(guān)上用來保護(hù)信息的正確性，如何正確的定義和配置安全策略在執(zhí)行一個(gè)組織的安全需求時(shí)是很關(guān)鍵的。因此，本文提供了一種正式的方案通過策略管理解決了內(nèi)部網(wǎng)絡(luò)中安全策略的正確性和有效性。內(nèi)部網(wǎng)絡(luò)的IPSec/VPN策略管理架構(gòu)是用來使用路由協(xié)議來首先發(fā)現(xiàn)路由路徑，然后沿著路由路徑收集安全需求來自動(dòng)生成策略的。一組通過安全需求自動(dòng)生成策略的算法能夠被用在帶寬控制下，包括束/直接方法，有序分流算法和改進(jìn)的有序分流算法。使用改進(jìn)的有序分流算法實(shí)驗(yàn)表明它應(yīng)用于帶下是非常困難的，因?yàn)樗跓o(wú)需的需求是幾乎不耗費(fèi)回路時(shí)間。

基于當(dāng)前的結(jié)果，這個(gè)研究能夠在好幾個(gè)領(lǐng)域中進(jìn)行。首先，將這個(gè)研究應(yīng)用于動(dòng)態(tài)的策略解決方案還需要進(jìn)一步的研究。其次，更多級(jí)別的策略可能會(huì)被定義直到完整的級(jí)別被建立起來。更多的解決方案還有待進(jìn)一步研究。