专利名称:一种安全网关中进行安全策略统一处理的方法及装置的制作方法
技术领域:
本发明是一种安全网关中进行安全策略统一处理的方法及装置,属于网络信息安全技术领域。
背景技术:
IPSec协议为IP的安全设计了框架与标准。在工业界,这项技术主要用于安全网关/VPN集成安全网关设备上。安全网关/VPN集成安全网关设备主要完成对网络数据包的状态检测与IPSec保护。
状态检测是根据安全策略对数据包进行匹配、并根据TCP/UDP/ICMP等协议的端口、类型建立状态表。使安全策略能够对网络访问的整个过程进行正确控制。
IPSec VPN是在公共网络的基础上,建立虚拟的私有网络技术。对满足IPSec策略的网络数据包进行VPN隧道保护。
目前Firewall/VPN集成安全网关设备,实现状态检测与VPN的方法是分别进行安全策略与IPSec策略检查。对数据包首先进行安全策略匹配与状态检测,如果数据包不符合安全策略,丢弃这个数据包。如果数据包符合安全策略,然后对数据包查询IPSec策略检查。如果IPSec策略匹配到之后,根据策略中的隧道查找安全联盟(SecurityAssociation)。(参照图1介绍)可以看出,需要在两个模块中都进行安全策略检查。如果两个不一致就会造成安全漏洞或执行错误。安全联盟是包含加解密算法、密钥、密钥生存期、封装模式、安全处理方法的一系列数据的组合。
这种方法存在以下缺陷1.策略匹配非常耗费计算资源,进行两次策略匹配导致效率低下。
2.需要加入两条安全规则,如果漏掉一条,安全性就有缺陷。
发明内容
本发明正是针对现有技术中存在的缺陷而提出了一种安全网关中进行安全策略统一处理的方法及装置,本发明技术方案的目的有两个,一个是提供一种安全网关中进行安全策略统一处理的方法,该方法实现了在安全网关中进行安全网关安全策略与IPSec安全策略统一的检查。使用户能够进行更方便、安全的策略配置,同时获得更高的性能。另一个目的是提供一种适用于上述安全网关中进行安全策略统一处理的方法的装置,该装置可以在流程中同时完成上述访问控制策略处理和IPSec策略处理两项操作,并可以对数据包进行多个动作选择类型处理的操作。
本发明的目的是通过以下措施来实现的该种安全网关中进行安全策略统一处理的方法,通过扩展安全网关的安全策略表,在允许、通过的基础上增加了进入隧道的动作、隧道的索引。因为安全网关的策略检查是基于TCP/UDP等协议状态的,所以同时扩展了安全网关的状态表,增加了进入隧道的动作、隧道的索引ID。安全网关对网络访问流的首数据包包进行安全策略匹配。如果匹配的安全策略有隧道选项,则新建状态表中增加隧道的选项。
安全网关状态表对数据包的处理就增加了VPN处理部分。如果数据包是解密后的数据,根据解密用的安全联盟找到隧道ID,查看是否与状态表中的隧道ID一致。如果数据包未经过加密,根据状态表中的隧道ID得到安全联盟。进行加密封装处理。
本发明扩展了IKE隧道配置与安全联盟,在IKE隧道配置中与安全联盟中增加了隧道ID选项。当此隧道经过成功密钥协商之后,要使用PF KEY内核接口添加安全联盟。在PF_KEY消息中同时传递IKE隧道中的隧道ID。内核收到PF_KEY消息后,分配安全联盟存储空间,并根据隧道ID将安全联盟加入到索引中去。这样当网络访问数据通过安全策略、状态表后就可以得到安全联盟了。
IKE协商过程包括IPSec策略的协商。在IKE协商中使用安全网关安全策略进行协商。
该方法的步骤为(1)在IPSEC虚拟专用网络(VPN)隧道的配置中增加隧道的索引(ID),除了像一般隧道配置中的算法、密钥生存期、DH密钥交换群之外还增加了此隧道的索引(ID),在系统中可以根据此索引查找到这条隧道的配置;(2)在安全网关的安全策略表的安全动作上增加进入隧道的选择类型,对安全策略表的扩展选项中增加隧道的索引,在安全网关的安全策略处理中增加与隧道处理模块的接口,同时在安全策略的动作类型中增加对进入隧道类型的定义。安全策略的数据结构中增加隧道索引(TunnelID)数据成员;(3)网络访问流的首数据包到达时,安全网关进行安全策略匹配,匹配成功后建立此网络访问流的状态表,状态表包含网络访问流的标识如源IP地址、目的IP地址、源端口、目的端口和对此网络访问流的处理如允许、丢弃等动作、以及其他选项。像扩展安全规则一样在状态表的动作类型中增加了对进入隧道动作类型的定义,在状态表中增加了隧道索引选项。如果安全策略的动作选择类型是进入隧道,那么在新建的状态表的动作类型也是进入隧道,并在状态表中隧道索引选项中记录安全规则中的隧道索引;(4)安全网关依据状态表对访问流的数据包进行处理,处理方式根据动作类型不同而不同,动作选择类型指对数据包的处理,是安全网关中的重要内容。在安全网关中增加了对进入隧道动作类型的处理模块,此模块使用状态表中的动作类型、网络数据流方向与隧道索引对数据包进行处理,处理方式为以下两种[4-1]如果状态表的动作选择类型不是进入隧道的,则根据状态表的动作选择类型进行转发或丢弃;[4-2]如果状态表的动作选择类型是进入某一条隧道的,并访问流的数据包由本地发向对方安全网关,根据状态表中的隧道的索引选项,查找安全联盟,此时处理方式也分为以下两种[4-2-1]如果查找成功,对访问流的数据包数据进行加密,然后发送给远程安全网关;[4-2-2]如果查找不成功,向密钥交换进程发送安全联盟请求消息,该消息中应包含状态表中的隧道索引;(5)密钥交换进程收到上述安全联盟请求消息后,根据安全联盟请求消息中的隧道索引开始发起IKE协商,其中,安全策略协商所采用的安全策略是安全网关安全策略表扩展选项中与该隧道索引绑定在一起的安全网关的安全策略,协商通过后,向网络系统加载安全策略所指向的安全联盟,网络系统分配安全联盟存储空间,并根据隧道索引将安全联盟加入安全联盟数据库;(6)对方安全网关收到加密包时,安全网关根据加密包的安全参数索引,查找安全联盟进行解密,如果数据包是网络访问流的首数据包,安全网关进行安全策略匹配,匹配成功后建立此网络访问流的状态表,如果状态表的动作选择类型是进入隧道,进行下一步处理,否则丢弃,该处理是根据解密此数据包用的安全联盟得到隧道索引,检查这个隧道索引与状态表中的隧道索引是否一致,如果一致系统对它进行路由转发,否则丢弃。
一种适用于上述在安全网关中进行安全策略统一处理的方法的装置,它包括数据包接收模块、网络路由模块、安全联盟管理模块、数据加解密模块和数据包转发模块,其特征在于该装置还包括一个统一安全策略处理模块,该模块在流程中同时完成上述访问控制策略处理和IPSec策略处理两项操作,在系统中只存在一种策略,这种策略同时支持访问控制和IPSec策略,该模块的数据流前端连接于数据包接收模块,数据流后端同时连接于网络路由模块、丢包模块和安全联盟管理模块,统一安全策略处理模块内还包括多个动作选择类型处理模块,不同的动作选择类型处理模块对数据包进行相应的安全操作,将数据包交给网络路由模块或交付丢包模块,进入隧道动作的处理是将数据包直接交付安全联盟处理模块。
图1是现有技术中安全网关设备的处理流程2是本发明技术方案的应用的整体拓朴3是本发明技术方案中数据包处理的计算机软件的流程4是本发明技术方案中密钥交换进程的计算机软件的流程5是安全策略与状态检测过程的计算机软件流程6是安全策略使用安全联盟请求中的策略过程的计算机软件流程7是本发明技术方案装置的结构示意图具体实施方式
以下将结合附图和实施例对本发明技术方案作进一步地详述参见附图2所示,建立一个从北京到上海的虚拟专用网络,该网络是由北京局域网络1、北京安全网关设备2、上海安全网关设备3、上海局域网络4、北京交换机5和上海交换机6组成并联接。以北京安全网关设备2作为发送端,以上海安全网关设备3作为接收端。北京局域网络1的IP地址是192.168.1.0/24,北京安全网关设备2的IP地址是211.218.85.1,上海安全网关设备3的IP地址是219.202.2.1,上海局域网络4的IP地址是192.168.2.0/24。
北京安全网关设备和上海安全网关设备都是由包含多个网卡的计算机设备、其中运行了支持网络转发与安全网关安全策略处理、IPSEC加解密处理的操作系统。并在操作系统中安装实现本发明技术方案所需要的计算机程序文件,该计算机程序的流程如附图3~7所示。
上述系统在工作中,采用本发明技术方案所述的在安全网关中进行安全策略统一处理的方法,其步骤如下(1)增加VPN隧道,源地址是211.218.85.1,目的地址是219.202.2.1,算法采用3DES和SHA1,密钥生存期是1800秒,在IPSEC虚拟专用网络(VPN)隧道的配置中增加隧道的索引(ID),此隧道的配置中的隧道的索引(ID)是1001;(2)在安全网关的安全策略表的安全动作上增加进入隧道的选择类型,对安全策略表的扩展选项中增加隧道的索引,增加安全策略,源地址是192.168.1.0/24,目的地址是192.168.2.0/24,动作为进入隧道,安全策略中隧道索引选项是1001;(3)网络访问流从192.168.1.60的源端口1025访问192.168.2.1的HTTP服务的首数据包到达时,安全网关进行安全策略匹配,匹配成功后建立此网络访问流的状态表,如果安全策略的动作选择类型是进入隧道,在状态表中增加隧道索引的选项;类似其他安全网关系统建立状态表,关键字是COA8013C0401-COA802010050,在状态中增加隧道索引选项,设置此状态表的隧道索引选项为1001。
(4)安全网关依据状态表对访问流的数据包进行处理,处理方式分为以下两种[4-1]如果状态表的动作选择类型不是进入隧道的,则根据状态表的动作选择类型进行转发或丢弃;[4-2]如果状态表的动作选择类型是进入某一条隧道的,并访问流的数据包由本地发向对方安全网关,根据状态表中的隧道的索引选项,查找安全联盟,此时处理方式也分为以下两种 如果查找成功,对访问流的数据包数据进行加密,然后发送给远程安全网关;[4-2-2]如果查找不成功,向密钥交换进程发送安全联盟请求消息,该消息中应包含状态表中的隧道索引;如果安全联盟查找未成功,向密钥交换进程发送安全联盟请求,请求消息中的隧道索引设置为1001;(5)密钥交换进程收到上述安全联盟请求消息后,根据安全联盟请求消息中的隧道索引1001,查找到这条隧道的配置,开始发起IKE协商,其中,安全策略协商所采用的安全策略是安全网关安全策略表扩展选项中与该隧道索引绑定在一起的安全网关的安全策略,在本例子中就是源地址是192.168.1.0/24,目的地址是192.168.2.0/24的那条策略。协商通过后,向网络系统加载安全策略所指向的安全联盟,网络系统分配安全联盟存储空间,并根据隧道索引将安全联盟加入安全联盟数据库;(6)对方安全网关收到加密包时,安全网关根据加密包的安全参数索引,查找安全联盟进行解密,如果数据包是网络访问流的首数据包,安全网关进行安全策略匹配,匹配成功后建立此网络访问流的状态表,如果状态表的动作选择类型是进入隧道,进行下一步处理,否则丢弃,该处理是根据解密此数据包用的安全联盟得到隧道索引,检查这个隧道索引与状态表中的隧道索引是否一致,如果一致系统对它进行路由转发,否则丢弃。
参见附图7所示,适用于上述在安全网关中进行安全策略统一处理的方法的装置,它包括数据包接收模块7、网络路由模块8、安全联盟管理模块9、数据加解密模块10和数据包转发模块11,其特征在于该装置还包括一个统一安全策略处理模块12,该模块在流程中同时完成上述访问控制策略处理和IPSec策略处理两项操作,该模块的数据流前端连接于数据包接收模块7,数据流后端同时连接于网络路由模块8、丢包模块13和安全联盟管理模块9,统一安全策略处理模块12内还包括多个动作选择类型处理模块14,不同的动作选择类型处理模块14对数据包进行相应的安全操作,将数据包交给网络路由模块8或交付丢包模块13,进入隧道动作的处理是将数据包直接交付安全联盟处理模块9。
驱动模块15的网络接口卡收到数据包后产生CPU中断,驱动模块15从网络接口卡的电子信号中接收数据。包转发模块调用驱动模块15将要发送的数据发到驱动的队列中,驱动模块15的网络接口卡在空闲时将数据包转换为电子信号发送到网络中去。驱动模块15的型号选用Inteleepro100。
本发明解决了安全网关设备进行多次策略匹配的问题,将安全网关的网络处理性能提高了10%。使用安全策略统一处理,同时可以将安全控制集中在一个点上检查,减少了由于安全策略分散不统一造成的安全漏洞。
权利要求
1.一种安全网关中进行安全策略统一处理的方法,其特征在于该方法的步骤为(1)在IPSEC虚拟专用网络(VPN)隧道的配置中增加隧道的索引(ID);(2)在安全网关的安全策略表的安全动作上增加进入隧道的选择类型,对安全策略表的扩展选项中增加隧道的索引;(3)网络访问流的首数据包到达时,安全网关进行安全策略匹配,匹配成功后建立此网络访问流的状态表,如果安全策略的动作选择类型是进入隧道,在状态表中增加隧道索引的选项;(4)安全网关依据状态表对访问流的数据包进行处理,处理方式分为以下两种[4-1]如果状态表的动作选择类型不是进入隧道的,则根据状态表的动作选择类型进行转发或丢弃;[4-2]如果状态表的动作选择类型是进入某一条隧道的,并访问流的数据包由本地发向对方安全网关,根据状态表中的隧道的索引选项,查找安全联盟,此时处理方式也分为以下两种[4-2-1]如果查找成功,对访问流的数据包数据进行加密,然后发送给远程安全网关;[4-2-2]如果查找不成功,向密钥交换进程发送安全联盟请求消息,该消息中应包含状态表中的隧道索引;(5)密钥交换进程收到上述安全联盟请求消息后,根据安全联盟请求消息中的隧道索引查找到隧道的配置,开始发起IKE协商,其中,安全策略协商所采用的安全策略是安全网关安全策略表扩展选项中与该隧道索引绑定在一起的安全网关的安全策略,协商通过后,向网络系统加载安全策略所指向的安全联盟,网络系统分配安全联盟存储空间,并根据隧道索引将安全联盟加入安全联盟数据库;(6)对方安全网关收到加密包时,安全网关根据加密包的安全参数索引,查找安全联盟进行解密,如果数据包是网络访问流的首数据包,安全网关进行安全策略匹配,匹配成功后建立此网络访问流的状态表,如果状态表的动作选择类型是进入隧道,进行下一步处理,否则丢弃,该处理是根据解密此数据包用的安全联盟得到隧道索引,检查这个隧道索引与状态表中的隧道索引是否一致,如果一致系统对它进行路由转发,否则丢弃。
2.根据权利要求1所述的安全网关中进行安全策略统一处理的方法,其特征在于在IPSEC虚拟专用网络(VPN)隧道的配置中增加的隧道索引是一个在系统中不重复的正整数。
3.一种适用于上述在安全网关中进行安全策略统一处理的方法的装置,它包括数据包接收模块(7)、网络路由模块(8)、安全联盟管理模块(9)、数据加解密模块(10)和数据包转发模块(11),其特征在于该装置还包括一个统一安全策略处理模块(12),该模块在流程中同时完成上述访问控制策略处理和IPSec策略处理两项操作,该模块的数据流前端连接于数据包接收模块(7),数据流后端同时连接于网络路由模块(8)、丢包模块(13)和安全联盟管理模块(9),统一安全策略处理模块(12)内还包括多个动作选择类型处理模块(7),不同的动作选择类型处理模块(7)对数据包进行相应的安全操作,将数据包交给网络路由模块(2)或交付丢包模块(8),进入隧道动作的处理是将数据包直接交付安全联盟处理模块(3)。
全文摘要
本发明是一种安全网关中进行安全策略统一处理的方法及装置,通过扩展安全网关的安全策略表,在允许、通过的基础上增加了进入隧道的动作、隧道的索引。因为安全网关的策略检查是基于TCP/UDP等协议状态的,所以同时扩展了安全网关的状态表,增加了进入隧道的动作、隧道的索引ID。安全网关对网络访问流的首数据包包进行安全策略匹配。如果匹配的安全策略有隧道选项,则新建状态表中增加隧道的选项。本发明解决了安全网关设备进行多次策略匹配的问题,将安全网关的网络处理性能提高了10%。使用安全策略统一处理,同时可以将安全控制集中在一个点上检查,减少了由于安全策略分散不统一造成的安全漏洞。
文档编号H04L12/56GK101051891SQ200710103160
公开日2007年10月10日 申请日期2007年5月22日 优先权日2007年5月22日
发明者刘建锋, 谌颐, 王刚, 白宇, 倪县乐, 宋斌 申请人:网御神州科技(北京)有限公司