总是需要一些温暖。哪怕是一点点自以为是的纪念。 注册 | 登陆

安全管理:策略化的安全集中管理模型(图)


      摘  要   为了解决传统安全策略配置管理模型在灵活性和可扩展性上的不足,本文提出了策略化的安全策略管理模型。论述了此模型的基本原理,并对关键技术实现进行讨论,最后将策略化的安全策略模型和传统的安全策略管理模型进行了对比。

关键词   SCM 安全策略 网络安全 安全自治域



 

一、安全集中管理模型

       随着Internet的不断普及和网络安全问题的不断涌现,网络安全设备被越来越多的使用,安全设备的数目的不断增加,从几十个到几百个甚至上千个,安全策略的配置管理问题变得越来越突出了。传统的手工配置安全策略方式既低效又易错,而且一旦策略配置错误势必会影响网络的正常使用,甚至会导致安全问题。因此如何以一种可扩展的安全可靠方式表示、发现、交换、管理安全策略已经成为一个新的课题。安全集中管理系统使人们可以对安全设备进行集中的配置,针对全局制定安全策略,并通过安全策略的分发完成安全设备的自动配置。安全集中管理(SCM:Security Central Management)模型则试图提出一个有效的策略制定分发、管理模式。

1、安全集中管理基本模型

       安全集中管理基本模型由以下几部分组成:安全设备、安全策略服务器、管理器。基于基本模型的SCM系统中管理员使用管理器通过在安全策略服务器上配置安全策略完成了安全策略的配置。安全设备启动时从服务器获取和自己相关的安全策略。







图1 安全集中管理基本模型





       基本模型较好地实现了安全集中管理的概念,但只适用于安全设备较少的安全集中管理。当安全设备增大到一定量时安全策略服务器成为整个系统的瓶颈。此外基本模型不支持多安全自治域的概念。

2、安全集中管理分级模型

       在基本模型之上还有分级模型。分级模型在基本模型的基础上增加了安全集中管理自治域的概念,并且描述了自治域的一种分级模型。如图示各个自治域是一个经过扩充的安全机中管理基本模型。通过在各个自治域内的服务器上配置本域的上级域和下级域等域间信息使整个系统呈现出分级的域间策略。







图2 安全集中管理分级模型





       分级模型实现了自治域概念、同时多个自治域的出现使得各个自治域的服务器压力进行了有效分流。分级模型的缺点在于:首先分级模型决定了需要在各个自治域安全服务器间交流域间策略。任何一个中间自治域出现了故障都可能影响整个域间策略的实施,这降低了整个系统的可用性(Availability)。分级模型的各个自治域间安全策略是由各个自治域共同工作体现的。因此修改某个自治域可能会涉及多个自治域。例如更改了一个自治域的服务器IP,则需要通知其上下级服务器,上下级服务器管理员需要做相应的配置,基于此系统模型的系统较难根据需要灵活地改变。此外系统域间策略的配置无法在一处集中完成,而需要各个自治域协同完成,这显然违背了集中管理的概念。



二、策略化的安全集中管理模型

1、系统综述

       针对以上两个模型提出策略化的安全集中管理模型。模型结构如下图所示:整个系统由多个安全自治域和一个域间策略服务器组成。







图3 策略化集中管理系统层次图





如图3整个系统分为三个层次:



       域间策略制定层主要负责根据管理员的配置生成安全策略和域间拓扑策略、为下层分发生成、分发域间安全策略。

       域内策略制定层是整个系统的中间层,起到承上启下的作用。主要负责接收并应用由上层发送的域间联系策略、接收并转发上层发送的域间安全策略,此外为根据管理员的配置生成并分发域内安全策略

       安全策略应用层的主要功能是接收并应用域内或域间安全策略。



       如同大多数分层结构所呈现的特点,策略化的安全集中管理系统的分层具有如下特点:

       上层为下层提供服务;

       下层应用上层提供的服务;

       各个层只和自己相邻的层有交互。如图:域间策略层不会直接面对安全策略应用层。

2、系统内各主要角色及职责定义

域间策略服务器

       域间策略服务器属于整个系统的最上层。域间策略服务器维护整个系统的域间安全策略、域间拓扑策略、域间管理员权限策略。域间策略服务器是整个系统得以策略化的核心所在。通过在域间策略服务器上配置不同的域间策略,会使得整个系统呈现不同的策略。例如:如果将拓扑策略配置为分级架构则整个系统就实现了如本文前面提到的分级模型。而整个系统安全模型的改变可以对各个自治域透明,即不需要通知各自治域。



域内策略服务器

       域内策略服务器位于中间层,域内策略服务器是一个自治域的安全策略的中心,其维护着本自治域内设备的安全策略。此外域内策略服务器还负责从域间策略服务器获得域间策略并应用。



域内安全设备

       域内安全设备的主要职责是从域内安全策略服务器获取和自己相关的安全策略。如果域内安全设备和其他域内安全设备有联系,则其将获得和自己相关的域间安全策略。



管理器

       管理器是策略的配置工具,通过管理器管理员可以在任何地方,经过服务器认证身后在自己的权限内配置相关策略。



三、关键技术实现

1、域间策略服务器的策略维护

       在策略化的安全集中管理模型中,安全策略分为两类:域间安全策略和域内安全策略。域间安全策略在域间策略服务器上配置,并由域间策略服务器分发。域内安全策略在域内策略服务器上配置,并由域内安全服务器分发。



       域间策略集中管理模型中域间策略服务器维护哪些策略直接决定了整个系统的可配置性。根据整个安全集中管理的需要,需要策略化的策略为:自治域拓扑策略、管理员权限策略、域间安全策略模板等。以下分别阐述:



拓扑策略

       拓扑策略的存在可以使得整个系统可以对各个自治域间的关系进行灵活配置。例如可以方便的将整个系统配置为分级树状模型,或对等模型等等。



管理员权限策略

       管理员权限策略的存在使得可以对系统内域间管理员的的权限进行灵活配置,可以灵活的实现为一个管理员添加权限-增加可管理的自治域、减少权限-减少其可管理的自治域、修改权限-修改某管理员对某一自治域的权限类型。更进一步可以根据需要制定管理员在整个系统模型中的级别。



域间安全策略模板

       域间策略模板定义了一个自治域集合,在此集合中的自治域间安全策略的制定要遵循此策略模板,安全策略模板一方面简化了配置具体策略的工作量,另一方面为具体安全策略的配置定设定了限制。通过安全策略模板可以使得整个系统在受控的范围内给予各个自治域最大的自主性。





       以下以域间服务器拓扑策略的动态改变为例描述改模型如何实现各安全域的自组织。



       设有三个安全域:S1、S2、S3,初始拓扑策略:S1的直属子节点集合{S2, S3}, S2和S3的直属子节点集合{NULL}。现要改变拓扑策略为:S2的直属子节点集合{S1, S3},S1和S3的直属子节点集合{NULL}。



步骤:



(1)管理员登陆域间策略服务器配置域间拓扑策略

(2)域间策略服务器通知各相关域内服务器拓扑策略发生改变。

(3)各域内策略服务器接收新的拓扑策略并应用。



       以上几步对各个域内管理员透明,无需重启域内服务器更无需重新配置域内服务器。相比安全集中管理的分级模型,策略化模型更为灵活,实现了自组织的特性。

2、域间策略一致性保持

       策略化模型将策略分为两类:域间策略和域内策略。域间策略存在于域间策略服务器中,域内策略存在于域内策略服务器中。各自治域的域内策略无需和其他域内的策略保持同步。域间策略存在于单台全局的域间策略服务器上,因此不存在域间策略不一致的情况。在策略化集中管理模型中,域间策略由管理员在域间策略服务器上制定。各自治域内服务器启动后向域间策略服务器获取和本域相关的域间策略。当域间策略发生改变时域间策略服务器主动通知改变相关的自治域内的服务器。无需通知各自治域,所有域间策略的改变无需各个自治域参与。策略化集中管理模型通过将策略的合理分类大大的简化了域间策略一致性的保持。

3、域间策略服务器单点失效及瓶颈问题

       域间策略的集中配置带来的缺点是整个系统的域间策略依赖域一台域间策略服务器。因此域间策略服务器的单点失效问题需要考虑。采用双机热备分的机制可以解决此问题,双机热备份系统可以在一台服务器的策略改变后通过专用数据通道将数据备份到备份服务器上,当主服务器无法提供服务时备份服务器接管系统。因为域间策略服务器仅面对各个自治域内服务器,而安全自治域的个数不会太多因此虽然从理论上分析存在域间策略服务器的性能瓶颈问题但实际上不易出现,此外如果真正遇到性能瓶颈也可以通过对域间策略服务器进行负载均衡来减轻服务器压力。

4、系统安全

       由于整个系统的目标是分发安全策略,因此系统本身的安全型至关重要。在策略化集中控制模型中安全需要解决的安全问题分为两类:系统各角色间的身份认证和系统各角色间通讯安全。



       系统各角色间身份认证采用基于PKI的证书认证方式。这种方式使得各个通讯实体无需预共享密钥,只需要知道对方的公开密钥。此外考虑到RSA算法速度较慢。可以在通讯开始阶段采用RSA算法认证身份,并协商出通讯用密钥,在之后通讯时使用加密算法(例如:DES)加密。



       具体身份认证过程如下(以域间策略服务器和SCM服务器为例):

       SCM服务器使用域间策略服务器的公钥加密一个随机数x,域间策略服务器收到随机数后解密该消息并把x发回SCM服务器来证明自己就是真正的域间策略服务器。同样的方法。域间策略服务器可以验证SCM服务器的合法性。



       由于RSA算法较慢,因此在本系统模型中它并不负责最终通讯的安全,通过身份鉴别后,通讯双发使用身份鉴别阶段协商的密钥作为之后加密通讯算法的种子。在通讯阶段使用DES加密。



四、分级模型和策略化模型的比较

       分级集中管理模型(以下简称分级模型)和策略化集中管理模型(策略化模型)都涵盖了安全集中管理基本模型。以下比较两者的异同点。

       1、域间策略的实现方式比较

       分级模型以各个SCM自治域间的实际拓扑对应了分级的策略。整个系统各自治域的物理拓扑对应了逻辑上的域间策略。策略化模型可以通过在域间策略服务器上的配置灵活实现的各种复杂的域间关系。



       分级模型的各个自治域内的服务器需要知道和自己相关的其他自治域的服务器。策略化模型将域间策略在一台服务器上配置。由各个自治域内服务器从域间策略服务器获取。大大减轻了系统实施的难度,各个域内服务器只需要知道域间策略服务器的地址信息即可,不需要知道其他域服务器的信息。

       2、域间策略的变化对系统的影响比较

       分级模型中各个自治域间为紧耦合,任何一个自治域内服务器的变化均需要通知和其相关的所有域。尤其当拓扑策略发生改变时势必要停止系统,重新配置各相关自治域内服务器。



       策略集中管理模型则要灵活的多。任何一个自治域内服务器的变化只对本域造成影响。因为各个自治域仅需要知道域间策略服务器的信息。任何其他域的变化均会反馈给域间策略服务器。域间策略服务器会将相应的变化通知相关的自治域。

       3、策略一致性的维持

       分级模型的整体域间策略由各个自治域的相互协作体现出来的。一旦某一节点的状态更新不及时,或策略配置错误将会影响全局域间策略,因此分级模型的域间策略是很难维护的。



       策略化集中管理模型的所有域间策略维护在一台域间策略服务器上,所有域间策略的配置可以在域间策略服务器上完成,因此策略化集中管理模型的策略一致型较易实现。



       安全集中管理系统同其他系统一样需要考虑整个系统的可扩展性(Scalability)、高可靠性(Availability)、灵活性(Flexibility)。本文分析了既有的集中管理模型,提出了策略化的集中管理模型,在一定程度上解决了系统的可扩展性、可靠性和灵活性问题。(作者单位 华中科技大学计算机科学与技术学院)





参  考  文  献:

[1] M. Baltatu, A. Lioy, D. M azzocchi Security policy system: status and perspective[c]. Proceedings of the IEEE International Conference on Networks, 2000 (ICON’00) 278~286

[2] Man Li, “Policy-Based IPSec Management”,  IEEE Network November 2003 pp. 36-43

[3] John Zao, Luis Sanchez etc, “Domain Based Internet Security Policy Management”, Proc. DARPA Info Conf. Expo, Vol 1, 1999, pp.41-53

« 上一篇 | 下一篇 »

Trackbacks

点击获得Trackback地址,Encode: UTF-8 点击获得Trackback地址,Encode: GB2312 or GBK 点击获得Trackback地址,Encode: BIG5

发表评论

评论内容 (必填):