一种IPSec安全网关的策略冲突动态检测方法技术

本发明专利技术公开了一种IPSec安全网关的策略冲突动态检测方法，所述方法包括如下步骤：步骤一、将IPSec网关的策略进行规则化描述；步骤二、判断新添加的规则是否可能存在规则冲突；步骤三、查询新添加的规则存在批准冗余和冲突冗余的可能性；步骤四、查询新添加的规则存在规则相关冲突的可能性；步骤五、查询新添加的保护策略规则存在隧道重叠冲突的可能性；步骤六、查询新添加的保护策略规则存在非标准封装冲突的可能性；步骤七、检测四种冲突类型后，将存在的冲突解决，生成去除冲突后的新规则列表。本发明专利技术对IPCDR算法进行了改进，改进的算法对混合策略列表处理效果显著，且时间复杂度和内存使用大小与IPCDR算法基本持平。

A Dynamic Policy Conflict Detection Method for IPSec Security Gateway

【技术实现步骤摘要】
一种IPSec安全网关的策略冲突动态检测方法
本专利技术涉及一种网络汇聚优化方法，具体涉及一种IPSec安全网关的策略冲突动态检测方法。
技术介绍
由于IPSec体系的灵活性和应用程序透明性，它是被广泛用作通过Internet在企业网络之间建立虚拟专用网(VPN)或安全通道的极具成本效益的方法。用户或网络管理员需要在每个设备管理接口编写安全策略，安全策略可以用于对每个特定流量的IPSec保护操作说明。IPSec策略包括指定要保护流量的源目IP规则列表、保护类型(身份验证或机密性)以及所需的保护参数(加密算法)。IPSec策略按照规则顺序进行匹配，直到找到一个可以触发的匹配规则。IPSec策略中的规则复杂且多样，各个规则之间互相影响，很可能造成冲突，影响正常的网络通信。由于IPSec策略类似于防火墙规则，所以最开始研究IPSec策略冲突检测技术是从防火墙规则冲突检测入手的。对于包括源IP、目的IP、源端口、目的端口和操作动作在内的一般防火墙规则，需要将这些抽象的安全策略描述为计算机可以处理的形式语言，所以较早的研究主要基于防火墙规则通过布尔公式表示成形式语言，后续工作在这个基础上进行。IPSec策略冲突检测技术相对于防火墙冲突检测技术发展较晚，但是自从IPSec在九十年代后期IETF草案发布以来，该技术的研究就一直没有停止过。类似于防火墙策略检测技术的机制，IPSec策略冲突检测技术也在两个方面进行研究，一方面是数据包过滤器的建模，另一方面是冲突策略发现与分析。作者Fu等人开始了最早的尝试，作者追踪应用于每个IPSec设备流量策略来模拟IPSec处理，并重点关注冲突的IPSec策略对网络流量造成的影响。但是该方法只是发现了错误的重叠可能造成安全隐患，并没有给出具体的查找方法。作者Shaer等人对于IPSec策略冲突的研究起到了关键的一步，Shaer提出一种分析标准IPSec策略并检测冲突的方法。
技术实现思路
本专利技术的目的是提供一种更全面的IPSec安全网关的策略冲突动态检测方法。本专利技术的目的是通过以下技术方案实现的：一种IPSec安全网关的策略冲突动态检测方法，包括如下步骤：步骤一、将IPSec网关的策略进行规则化描述，具体步骤如下：(1)保持IPSec策略的策略列表L、规则R以及R包含的条件部分和操作动作的运算过程不变；(2)将操作动作集中的protect改为AH-protect和ESP-protect，改正后的操作动作集如下式所示：Ai∈{bypass,discard,AH-protect，ESP-protect|parameters}；(3)将规则类型的分类集合SCprotect改为SCAH-protect和SCESP-portect两种，并增加对应的保护策略目的网关集合SWAH-protect和SWESP-portect，改正及新增的分类集合如下式所示：SCAH-protect＝f3(C1,C2,C3,...,Cn)；SCESP-portect＝f4(C1,C2,C3,...,Cn)；SWAH-protect＝f5(G1,G2,G3,...,Gn)；SWEPS-protect＝f6(G1,G2,G3,...,Gn)；式中，f3～f6分别代布尔函数，用布尔函数表示相应的规则的集合；(4)引入一个新变量Sall，对所有集合进行聚合，如下式：Sall＝SCbypass∨SCdiacard∨SCAH-protect∨SCESP-portect∨SWAH-protect∨SWESP-portect；步骤二、判断新添加的规则是否可能存在规则冲突：此算法会对旧策略生成对应的Sall，当新加入策略规则时，动态得更新各个策略集合，生成新的Sa′ll，对两个Sall和Sa′ll进行比较，如果符合某个冲突类型的布尔函数特点，则认定存在策略冲突，采取相应的解决措施。步骤三、查询新添加的规则存在批准冗余和冲突冗余的可能性：在此冲突类型下，新规则加入后生成的Sa′ll和所有旧策略生成的Sall是相同的，新规则的条件部分Cnew是之前所有旧策略的子集，公式如下：在符合规则冗余的情况下，如果还符合以下公式，则为批准冗余，不符合的则为冲突冗余：步骤四、查询新添加的规则存在规则相关冲突的可能性：在相关冲突下，旧规则条件部分Cold中可能存在新规则条件Cnew的子集或者新旧规则存在部分重叠，判定方法如下：(Cold∧Cnew)＝＝true；步骤五、查询新添加的保护策略规则存在隧道重叠冲突的可能性：在此冲突类型下，首先确认新规则没有以上规则冗余、规则相关两种冲突类型，并且新添加的规则为保护策略规则，然后新规则保护策略集合和旧规则保护策略集合存在部分重叠，判定方法如下：((SC′AH-protect∨SC′ESP-protect)∨(SCAH-protect∨SCESP-protect))＝＝ture；步骤六、查询新添加的保护策略规则存在非标准封装冲突的可能性：在此冲突类型下，首先确认新规则没有规则冗余、规则相关和隧道重叠三种冲突类型，并且新添加的规则为保护策略ESP类型规则，新规则和旧规则的AH类型规则集合进行比对，如果存在重叠部分，必然有安全协议非标准封装顺序冲突问题，判定方法如下：(Cnew∈SC′EPS-protect)and(Cnew∧SCAH-protect)＝＝ture；步骤七、检测规则冗余、规则相关、隧道重叠、安全协议非标准封装顺序四种冲突类型后，将存在的冲突解决，生成去除冲突后的新规则列表。相比于现有技术，本专利技术具有如下优点：本专利技术的方法对IPCDR算法进行了改进，增加了对保护策略冲突的检测与恢复。通过实验结果分析，证明改进了IPCDR算法处理冲突类型更全面，且时间与空间复杂度都在动态检测可以接受的范围内。进一步针对不同策略列表进行处理分析，得出改进的IPCDR算法对混合策略列表处理效果显著，且时间复杂度和内存使用大小与IPCDR算法基本持平。附图说明图1是实例网关网络拓扑图。图2是实例网关隧道重叠冲突示意图。图3是隧道重叠冲突检测与解决算法图。图4是安全协议非标准封装顺序冲突检测与解决算法图。图5是基于IPCDR扩展的IPSec策略冲突动态检测算法图。图6为混合组网模式示意图。图7为包过滤网络模式示意图。具体实施方式下面结合附图对本专利技术的技术方案作进一步的说明，但并不局限于此，凡是对本专利技术技术方案进行修改或者等同替换，而不脱离本专利技术技术方案的精神和范围，均应涵盖在本专利技术的保护范围中。本专利技术提供了一种IPSec安全网关的策略冲突动态检测方法，如图5所示，所述方法包括如下步骤：步骤一、将IPSec网关的策略进行规则化描述；步骤二、判断新添加的规则是否可能存在规则冲突；步骤三、查询新添加的规则存在批准冗余和冲突冗余的可能性；步骤四、查询新添加的规则存在规则相关冲突的可能性；步骤五、查询新添加的保护策略规则存在隧道重叠冲突的可能性；步骤六、查询新添加的保护策略规则存在非标准封装冲突的可能性；步骤七、检测四种冲突类型：规则冗余、规则相关、隧道重叠、安全协议非标准封装顺序后，将存在的冲突解决，生成去除冲突后的新规则列表。IPSec策略是由IPSec规则组成的有序列表，可以表示为公式(1)，其中：L代表IPSec策略列表；本文档来自技高网...

【技术保护点】
1.一种IPSec安全网关的策略冲突动态检测方法，其特征在于所述方法包括如下步骤：步骤一、将IPSec网关的策略进行规则化描述；步骤二、判断新添加的规则是否可能存在规则冲突；步骤三、查询新添加的规则存在批准冗余和冲突冗余的可能性；步骤四、查询新添加的规则存在规则相关冲突的可能性；步骤五、查询新添加的保护策略规则存在隧道重叠冲突的可能性；步骤六、查询新添加的保护策略规则存在非标准封装冲突的可能性：步骤七、检测规则冗余、规则相关、隧道重叠、安全协议非标准封装顺序四种冲突类型后，将存在的冲突解决，生成去除冲突后的新规则列表。

【技术特征摘要】
1.一种IPSec安全网关的策略冲突动态检测方法，其特征在于所述方法包括如下步骤：步骤一、将IPSec网关的策略进行规则化描述；步骤二、判断新添加的规则是否可能存在规则冲突；步骤三、查询新添加的规则存在批准冗余和冲突冗余的可能性；步骤四、查询新添加的规则存在规则相关冲突的可能性；步骤五、查询新添加的保护策略规则存在隧道重叠冲突的可能性；步骤六、查询新添加的保护策略规则存在非标准封装冲突的可能性：步骤七、检测规则冗余、规则相关、隧道重叠、安全协议非标准封装顺序四种冲突类型后，将存在的冲突解决，生成去除冲突后的新规则列表。2.根据权利要求1所述的IPSec安全网关的策略冲突动态检测方法，其特征在于所述步骤一的具体步骤如下：(1)保持IPSec策略的策略列表L、规则R以及R包含的条件部分和操作动作的运算过程不变；(2)将操作动作集中的protect改为AH-protect和ESP-protect，改正后的操作动作集如下式所示：Ai∈{bypass,discard,AH-protect，ESP-protect|parameters}；(3)将规则类型的分类集合SCprotect改为SCAH-protect和SCESP-portect两种，并增加对应的保护策略目的网关集合SWAH-protect和SWESP-portect，改正及新增的分类集合如下式所示：SCAH-protect＝f3(C1,C2,C3,...,Cn)；SCESP-portect＝f4(C1,C2,C3,...,Cn)；SWAH-protect＝f5(G1,G2,G3,...,Gn)；SWEPS-protect＝f6(G1,G2,G3,...,Gn)；(4)引入一个新变量Sall，对所有集合进行聚合，如下式：Sall＝SCbypass∨SCdiacard∨SCAH-protect∨SCESP-portect∨SWAH-protect∨SWESP-portect。式中，Sall为所有集合进行聚合，SCbypass、SCdiscard和SCprotect分别代表触发bypass、discard和protect动作的所有条件的合集，SCAH-protect代表触发AH类型的保护策略的条件的合集，SCESP-portect代表触发ESP类型的保护策略的条件的集合。3.根据权利要求1所述的IPSec安全网关的策略冲突动态检测方法，其特征在于所述...

【专利技术属性】
技术研发人员：杨武，
申请(专利权)人：哈尔滨英赛克信息技术有限公司，
类型：发明
国别省市：黑龙江,23