基於策略的網路互聯是當前安全研究的熱點問題之一。該文首先介紹了IPsec協議中策略的含義及使用,繼而討論了IETF提出的安全策略系統的一般結構及各關鍵部件的功能劃分。最後討論了當前研究存在的問題及今後的研究方向。
1 IPsec協議
IPSec(Internet Protocol Security)是IETF提出的一套開放的標準協議,它是IPV6的安全標準,也可應用於目前的IPV4。IPSec協議是屬於網路層的協議,IP層是實現端到端通訊的最底層,但是IP協議在最初設計時並未考慮安全問題,它無法保證高層協議載荷的安全,因而無法保證通訊的安全。而IPSec協議通過對IP層資料的封裝和保護,能夠為高層協議載荷提供透明的安全通訊保證。IPsec包括安全協議部分和金鑰協商部分,安全協議部分定義了對通訊的各種保護方式;金鑰協商部分則定義瞭如何為安全協議協商保護引數,以及如何對通訊實體的身份進行鑑別。IETF的IPsec工作組已經制定了諸多RFC,對IPsec的方方面面都進行了定義,但其核心由其中的三個最基本的協議組成。即:認證協議頭(Authentication Header,AH)、安全載荷封裝(Encapsulating Security Payload,ESP)和網際網路金鑰交換協議(Internet Key Exchange Protocol,IKMP)。
AH協議提供資料來源認證,無連線的完整性,以及一個可選的抗重放服務。AH認證整個IP頭,不過由於AH不能加密資料包所載入的內容,因而它不保證任何的`機密性。
ESP協議通過對資料包的全部資料和載入內容進行全加密,來提供資料保密性、有限的資料流保密性,資料來源認證,無連線的完整性,以及抗重放服務。和AH不同的是,ESP認證功能不對IP資料報中的源和目的以及其它域認證,這為ESP帶來了一定的靈活性。
IPSec使用IKE協議實現安全協議的自動安全引數協商,可協商的安全引數包括資料加密及鑑別演算法、加密及鑑別的金鑰、通訊的保護模式(傳輸或隧道模式)、金鑰的生存期等,這些安全引數的總體稱之為安全關聯(Security Association,SA)。IPsec協議族使用IKE金鑰交換協議來進行金鑰及其它安全引數的協商[1]。
2 IPsec策略管理2.1 IPsec策略使用
IPsec的基本功能是訪問控制以及有選擇地實施安全,即只有選中的IP報文才被允許通過或被指定的安全功能所保護。IPSec的實現需維護兩個與SA有關的資料庫,安全策略資料庫(Security Policy Database,SPD)和安全關聯資料庫(Security Association Database,SAD)。SPD是為IPSec實現提供安全策略配置,包括源、目的IP地址、掩碼、埠、傳輸層協議、動作(丟棄、繞過、應用)、進出標誌、識別符號、SA和策略指標。SAD是SA的集合,其內容(RFC要求的必須項)包括目的IP地址、安全協議、SPI、序列號計數器、序列號溢位標誌、抗重播視窗、SA的生命期、進出標誌、SA狀態、IPSec協議模式(傳輸或隧道)、加密演算法和驗證演算法相關專案[1]。IPsec對進出資料報文的處理過程如圖1、2所示[2]。
2.2 安全策略系統概述
IPSec安全服務的實施是基於安全策略的,安全策略提供了實施IPSec的一套規則。IETF的IPSec工作組於1999年1月針對安全策略配置管理存在的一系列問題,提出了安全策略系統模型(Security Policy System,SPS)。SPS是一個分散式系統,
提供了一種發現、訪問和處理安全策略資訊的機制,使得主機和安全閘道器能夠在橫跨多個安全閘道器的路徑上建立一個安全的端到端的通訊(如圖3所示)。SPS由策略伺服器(Policy Server)、主檔案、策略客戶端(Policy Client)、安全閘道器(Security Gate)和策略資料庫(Policy Database)組成,該系統模型應用安全策略規範語言(Security Policy Specification Language,SPSL)來描述安全策略,應用安全策略協議(Security Policy Protocol,SPP)來分發策略[3]。
在SPS裡,安全域定義為共享同一個公用安全策略集的通訊實體和資源組的集合。安全域將網路進行了劃分,每個安全域都包含有自己的 SPS 資料庫、策略伺服器和策略客戶端。而 SPS 就是在這些安全域上分散式實現的一個數據庫管理系統。每個安全域含一個主檔案(Master File),檔案中定義了安全域的描述資訊,包含該安全域的網路資源(主機、子網和網路)及訪問它們的策略,安全策略和完整的域定義就儲存在主檔案中。
本地策略資訊與非本地策略一起構成了SPS資料庫。IETF已經提供了一種把安全策略對映到輕型目錄訪問協議(Light Weight Directory Access Protocol,LDAP)目錄資料庫儲存形式的方案。
策略伺服器是一個策略決定點(Policy Decision Point,PDP)。它為安全域內所有使用者提供使用者狀態維護、策略分發等服務,同時為安全域管理員提供了一個集中管理和配置安全域資料資訊的介面。當管理員修改了域策略後,伺服器會通知該域已經登入的客戶端使用者更新本地組策略,然後客戶端根據新的組策略重新協商IPSec SA。策略伺服器同時接收來自策略客戶和其它策略伺服器的請求訊息並加以處理,然後基於請求和服務控制規則將合適的策略資訊提供給請求者。
策略客戶端是一個安全策略執行點(Policy Enforcement Point,PEP)。PEP是VPN裝置的安全代理,用於根據PDP分配的安全策略設定裝置上的具體安全引數。策略客戶端向 SPS 策略伺服器提出策略請求,策略伺服器在驗證了請求後,對這些請求產生相應的響應,如果是授權的使用者,就將相應的策略資訊反饋給策略客戶端,如果沒有相應的策略資訊,則由策略伺服器負責協商解決。策略客戶端將策略應答轉換成應用所需的適當格式。
策略伺服器和客戶使用SPP來交換策略資訊。它採用客戶/伺服器結構,將策略資訊從SPS資料庫傳輸到安全閘道器和策略客戶端。SPP所傳送的策略資訊包括描述通訊的選擇符欄位以及0個或多個SA記錄。這些SA記錄共同描述了整個通訊中所需的SA。SPP同時還是一個閘道器發現協議,能夠自動發現通訊路徑上存在的安全閘道器及其安全策略。通訊端點可以通過SPP來認證安全閘道器的標識,以及安全閘道器是否被授權代表它所聲稱的源或目的端點。安全閘道器則可利用SPP與未知閘道器進行安全策略的交換。
3 結束語
從概念上說,SPS基本上滿足IPSec策略框架提出的需求,但是在應用的過程中存在很多問題,比如沒有分析潛在的策略衝突和互動及進行策略的正確性、一致性檢查。但SPS提供了很好的策略管理思想,可以加以借鑑構建新型的安全策略系統。然而,期望的安全需求和實現這些需求的特定IPsec策略之間存在著模糊的關係。在大型分散式系統的安全管理中,需要將需求和策略清晰地分離開,來讓客戶在較高層次下規定安全需求並自動產生滿足這些需求的低階策略是一種可取的方法。對於如何劃分策略層次結構、實現策略的集中管理等還要做深入的研究。
參考文獻
[1] Kent S,Atkinson R. Security Architecture for the Internet Protocol. http:/ /www. ietf. org/ rfc / rfc2401. txt,1998 .5-16
[2] 張世永.網路安全原理及應用. 科學出版社,2003.248-249
[3] BALTATU M,L IOY A,MAZZOCCH ID. Security Policy System Status and Perspective[A ]. Proceedings of the IEEE International Conference on Networks[C ],2000. 278 - 284