一种安全策略的冲突检测与消解方法

安全策略是系统安全管理的基础。分布式环境的复杂性使策略配置中不可避免地存在冲突。如何有效地分析检测策略冲突并解决冲突是应用安全策略的关键。提出了一个极具一般性的安全策略形式化描述方法,并定义了安全策略描述要素间的逻辑关系;给出了安全策略间的冲突分类描述;针对不同的冲突类型给出了相应的冲突检测算法及消解方法。     

基于模糊负反馈算法的可演化安全策略研究

在分析现有访问控制策略研究的基础上,基于模糊负反馈算法,创建一个安全策略可演化的访问控制系统。通过对角色、权限以及安全策略的模糊化处理及分析。给出安全策略的描述方法,定义安全偏序关系。并在此基础上给出安全策略调整的方法,探讨算法调整时机。对用户的访问权限进行判断。在此基础上引入控制论的负反馈原理,对安全策略进行求精、演化,并通过实验初步验证算法的效果。     

IPsec中安全策略库管理的编程实现

IPsec是虚拟专用网的一个标准，它规定了二个策略组件：安全关联数据库（SAD）和安全策略数据库（SPD）。IPsec系统中，安全策略主要通过SPD得到反应，而SAD是SPD的具体实现。本文首先给出安全策略的数据结构定义，然后给出安全策略的具体表示形式，最后编制程序，分别以命令的输入和套接口通信实现安全策略库管理。IPsec系统所使用的策略库一般保存在一个策略服务器中。该服务器上存放域中所有节点的维护策略库。各节点可将策略库拷贝到本地，也可使用轻型目录服务动态获取。IPsec中安全策略库管理的编程实现$武汉市海军工程大学…     

基于特征的网络安全策略验证

安全策略的完整性、正确性和一致性对网络信息系统的安全性能具有重要的影响.针对其验证问题,提出了基于特征的网络安全策略动态验证模型和算法.首先给出了安全策略完整性构造方法;并在此基础上,引入保护因子、敏感因子和安全因子等要素,建立了安全策略的正确性评估模型;最后,引入关联标识集,利用策略各属性特征间的作用关系,提出了安全策略的一致性检测算法.实验结果表明,该评估模型能有效地反映安全策略的安全性能,检测算法具有较高的处理效率,为网络安全策略的验证提供了一种新的解决途径.     

网络安全综合监控平台中安全策略的研究

通过分析网络安全综合监控平台中安全策略的特点和要求,给出了安全策略的一般性定义和描述,研究了策略的完整性、正确性、一致性要求,以及策略冲突的处理原则.在基于规则的专家系统推理引擎基础上,为网络安全综合监控平台建立一种基于规则引擎的安全策略处理机制,描述了规则引擎的推理和使用步骤.该机制能够分离安全策略的管理决策逻辑和技术决策逻辑,具有较强的策略冲突解决能力.应用证明了该系统具有较强的鲁棒性和适应性.     

基于语义相似度的静态安全策略一致性检测

安全策略语义是人类控制安全行为意志的表达。针对策略语义在定义和转换过程中存在的冲突等问题,提出一种基于语义相似度的静态安全策略一致性检测模型与算法。首先建立策略领域本体并提取特征因子,给出基于本体中概念特征的语义相似度计算方法;继而以防火墙安全策略为例建立实例检测模型,运用静态安全策略一致性检测算法对冲突策略进行标记处理,并保证最终的策略规则库的一致性。实验结果表明,该算法具有较好的检测效果,为解决安全策略在定义、制定和映射等阶段的冲突提供了一种可行的途径。     

基于距离度量的故障特征处理算法

为了防范网络中存在的多种多样的安全威胁,由大量异构型安全设备所组成的统一管理平台得到了广泛的应用。然而如何有效地解决由这些安全设备集成所引发的各种冲突和故障,已成为网络管理的重点和难点。本文提出以距离度量算法为基础,对网络中采集到的各种原始样本参数进行数据预处理,以便为故障检测提供更加可靠、准确地输入参量。由于安全设备的故障特征具有很强的异构特性,所以首先对特征变量进行分类描述。将变量分为连续型、有序型、标称型、二分型四类15种。之后,对不同类型特征变量,提出改进IVDM算法来标称不同样本的距离。最后,通过实验及结果分析,显示IVDM算法较其它算法有更高的准确度和可靠性。     

基于SDN/NFV的安全服务链自动编排部署框架

针对云计算等虚拟化环境的安全防护问题,提出了一种基于SDN/NFV技术思想的安全服务链自动编排部署框架.论文通过扩展ABAC策略模型以描述用户的安全需求,采用优先级解决策略冲突以编排虚拟安全设备,依据网络中虚拟安全设备实例负载与实时链路传输时延来调度网络流,最终由SDN控制器生成流表下发到网络中完成流量重定向,实现了根据安全需求自动构建安全服务链的过程.整个框架在基于开源控制器FloodLight和虚拟安全设备的实验环境中实现了自动编排部署,取得了预期效果.     

工业网络中的安全功能

和其他基于工业标准网络的安全协议一样，CIP（公共工业协议）安全加入新的服务，使数据以更高的完整性传送。和其他网络又有所不同，CIP安全给出了一种可伸缩、网络独立的方法，用于网络的设计，定义明确的应用层描述了各种安全服务。自从安全功能集成到每个设备一而不是在网络结构中——CIP安全允许标准设备和安全设备运行在同一个开放的网络上。这种能力使用户可以灵活地选择网络结构——有或者没有安全PLc——用于他们功能安全网络。这种方法也使来自多个厂商的安全设备能够通过标准的CIP网络实现无缝的通信，而不需要安装复杂的网关。     

IPSec安全策略冲突分析技术的研究

IPSec为网络安全提供了丰富的安全保护模式和操作,但其策略配置是非常复杂和易出错的一项工作.采用安全策略形式化模型和有序两元判定图表(OBDD)方法对在企业网络中不同IPSec设备间的策略间冲突进行分类和分析,开发了一组在IPSec策略配置过程中发现策略间冲突问题的技术.并通过开发的安全策略测试工具软件包的运行分析证明了该方法模型在发现和解决不同IPSec设备间的策略间冲突问题的有效性.     

基于隐式安全标记的IPsec研究

针对传统IPsec无法解决多级安全网络环境下的通信问题,提出一种基于隐式安全标记的IPsec方案。通过引入隐式安全标记,改进IKE、ESP协议处理流程,将IPsec SA与隐式安全标记有效绑定,并依据所保护数据信息的重要程度,协商标记SA时选取强度不同的算法及密钥,动态构建多密级标记保护隧道,实现不同密级数据流的逻辑隔离及安全通信。     

Implementing IPsec — making security work on VPNs,intranets and extranets: Elizabeth Kaufman and Andrew Newman

For anyone who doesn’t know, the IPsec protocols were “designed to clear the hit list of well-known security flaws in the current Internet Protocol version 4 (Ipv4) and to provide a pre-emptive strike against these same flaws in its possible replacement, the Internet protocol version 6 (Ipv6)”. So, is IPsec the answer to all our network security problems, the simple cure all, or is this too good to be true? The authors of this particular book are of the opinion that IPsec “has raised by far the most hope…as a possible cure for the widespread security problems of networks and networked applications”. But, while offering hope to those responsible for increasingly more complex networks, the authors also prudently point out that “IPsec products can wreak havoc on critical applications and other enhanced networked services.” The problem is, while IPsec can indeed provide solutions never offered before (or in a manner never offered before) interoperability problems, limitations in the base protocols and failure to address known operational conflicts could court disaster. And here is the rub: the potential havoc wreaked could leave the most ambitious of doom laden hackers crazy with envy.     

IPsec策略管理的研究

基于策略的管理是当前安全研究的热点问题之一。该文首先介绍IPsec策略的定义及冲突的原因,随后分析了对策略管理提出的要求,在此基础上提出了IPsec策略管理的一个通用框架,并对其中的关键部件给出了具体的解决方案,包括采用SPP协议进行网关和策略发现,使用Keynote信任管理系统进行策略的一致性检查。最后,讨论了当前研究存在的问题及今后的研究方向。     

Techniques for improving the security and manageability of IPsec policy

We discuss the strengths and weaknesses of existing tools with respect to the Internet Protocol security (IPsec) name mapping problem: how to ensure a correct mapping between application-layer target names and network-layer target names. We show that DNSSEC is neither necessary nor sufficient for solving the IPsec name mapping problem. We describe design and implementation results for new techniques that are applicable to legacy applications to partially or completely solve the IPsec name mapping problem. As a corollary, we obtain programming recommendations that make it easier to apply these techniques. We show how the set of current IPsec policy parameters can usefully be expanded. We give a prototype of a modified lookup API and argue that the modified API is the preferred long-term solution to the IPsec name mapping problem. We also cover the implications for IPsec key management. Finally, we summarize the environments where IPsec is being used today and discuss which IPsec name mapping techniques are most appropriate for these environments.     

面向IPsec安全策略的VPN性能评估模型

IPsec安全策略复杂的语义增加了IPsec VPN性能分析的难度,为了解决IPsec VPN性能分析过程中缺乏框架结构而无法保证评估有效性的问题,提出了基于IPsec安全策略的VPN性能评估模型。模型构建了可扩展的虚拟VPN环境,通过维护IPsec安全策略提高VPN性能的可控性,利用多线程并发控制实现数据的并行统计。最后通过实验验证了模型在VPN性能评估中的可靠性和可用性。     

宽带无线IP网络安全体系结构模型

由于BWIP网络的非对称性特点,现有ISO/IEC7498-2、IPsec、WAP、3GPP、CDSA等安全体系结构框架都不能完全满足未来BWIP网络的安全需求。提出了一种适合未来BWIP网络的安全体系结构模型,该模型对BWIP网络所涉及的网络管理、安全操作、AAA、PKI、安全策略实施等技术进行了有机集成。给出了BWIP网络安全体系结构流入和流出的详细处理流程,并指出未来BWIP安全体系结构的研究方向。     

Distributed Automatic Configuration of Complex IPsec-Infrastructures

The Internet Protocol Security Architecture IPsec is hard to deploy in large, nested, or dynamic scenarios. The major reason for this is the need for manual configuration of the cryptographic tunnels, which grows quadratically with the total amount of IPsec gateways. This way of configuration is error-prone, cost-intensive and rather static. When private addresses are used in the protected subnetworks, the problem becomes even worse as the routing cannot rely on public infrastructures. In this article, we present a fully automated approach for the distributed configuration of IPsec domains. Utilizing peer-to-peer technology, our approach scales well with respect to the number of managed IPsec gateways, reacts robust to network failures, and supports the configuration of nested networks with private address spaces. We analyze the security requirements and further desirable properties of IPsec policy negotiation, and show that the distribution of security policy configuration does not impair security of transmitted user data in the resulting virtual private network (VPN). Results of a prototype implementation and simulation study reveal that the approach offers good characteristics for example with respect to quick reconfiguration of all gateways after a central power failure (robustness), or after insertion of new gateways (scalability and agility).     

无线应用场景下基于IPsec VPN的研究与实现

随着无线局域网日益发展,无线网的安全问题倍受人们的关注。同时因特网的安全协议IPsec技术已相当成熟,将IPsec技术延伸到无线网络部分,以确保无线局域网的安全,这也是一种较好的解决方案。文中在扼要介绍虚拟专用网VPN安全机制的基础上,研究和分析了IPsec协议族的主要技术;在分析简化IPsec协议的基础上,结合具体常见的无线应用场景和IKEv2的密钥管理新技术来实现IPsec VPN;同时重点分析了无线场景下IPsec安全隧道建立的过程和协议中对数据包的处理流程;最后,指出了无线网络技术的应用前景和未来IPsec的研究方向。     

Security at the Internet layer

The Internet Engineering Task Force is standardizing security protocols (IPsec protocols) that are compatible with IPv6 and can be retrofitted into IPv4. The protocols are transparent to both applications and users and can be implemented without modifying application programs. The current protocol versions were published as Internet drafts in March 1998. The article overviews the proposed security architecture and the two main protocols-the IP Security Protocol and the Internet Key Management Protocol-describes the risks they address, and touches on some implementation requirements. IPsec's major advantage is that it can provide security services transparently to both applications and users. Also, the application programs using IPsec need not be modified in any way. This is particularly important when securing application programs that are not available in source code, which is common today. This transparency sets IPsec apart from security protocols that operate above the Internet layer. At present, IPsec is likely to be used in conjunction with and complemented by other security technologies, mechanisms, and protocols. Examples include firewalls and strong authentication mechanisms for access control, and higher layer security protocols for end-to-end communication security. In the near future, however, as virtual private networking and corporate intranets and extranets mature, IPsec is likely to be deployed on a larger scale     

IPSEC安全体系与实施

IPsec是IETF委员会提出的新型的Internet安全体系结构,IPsec为IPv4和IPv6协议提供了强大的、灵活的、基于加密的安全方案。本文分析了IPsec协议套件的体系结构、基本组件与工作原理,并给出了IPsec的实施实例。