| 基于P2DR模型的策略研究 摘要:目前,网络规模的不断扩大,容易引发各种病毒的爆发和网络入侵。防火墙和入侵检测系统都有着各自的不足。本文主要对P2DR模型的策略研究,基于IETF的策略框架,以COPS协议进行数据和策略传输,以XML为策略的表示。
关键字:P2DR 集成管理 COPS XML 0 引言:
随着计算机网络的迅速发展。企业和单位的网络不断扩大,单一的网络安全产品的功能往往存在局限性,不能满足其需要。由PDR(Protection,Detection,Response)引申出的新的P2DR[1]模型,即 Policy(安全策略)、Protection (防护)、Detection(检测)和Response(响应),增加了Policy功能,并突出了管理策略在信息安全工程中的主导地位。P2DR模型给网络安全管理提供了方法,所有的安全问题可以在统一的策略指导下,采取防护、检测、响应等不断循环的过程。
根据P2DR模型理论,安全策略是整个网络安全的依据。本文研究的是P2DR模型中安全策略。 1.策略思想
目前,随着网络规模扩大,网络中传感器的数量不断增多,配置的的复杂度和费用也在不断增加,策略配置这种方式正逐步发展起来。 1.1 策略框架
策略框架是IETF的策略框架工作组制定的域内策略(Intra-domain)管理的基本模型[3],它是与厂商和具体实现技术均无关的可扩展的通用模型。结构图如图1所示。、
图1 策略框架示意图
策略知识库用来存储策略信息和规则,原则上它可以采用任何一种技术,如数据库DB或目录,但推荐使用目录的方式。
策略决策点(PDP),作为策略服务器,具有三种功能:(1)响应策略事件,并锁定相应的策略规则。(2)完成状态和资源的有效性校验。(3)将存储在策略知识库中的策略规则转换成设备可执行的格式。
策略执行点(PEP),作为策略系统的客户端,负责执行具体的策略操作。
1.2 传输协议
PDP与PEP之间可以有多种通信方式,如CLI、SNMP、COPS、DIAMETER等,其中COPS被公认为是一种高效、优化的专用策略通信协议。
作为专用的策略传输协议,COPS [4]在可靠传输、安全保证、同步机制等方面具有优良的性能。COPS 的具体特点如下:(1)C/S模型:COPS 是一种简单的请求/响应协议,用于策略服务器PDP和客户端PEP之间的信息交互。(2)可靠的传输机制:COPS 采用TCP作为传输协议,以保证PEP 和PDP之间信息可靠传输。(3)良好的扩展性:COPS 支持自说明对象。(4)消息层的安全保证:COPS 支持安全密钥(key)及相关算法,在鉴权、重发保护、消息完整性方面提供消息层的安全保证。此机制可有效地用于PEP、PDP之间合法身份的校验,检验数据的完整性,防止消息重发。(5)可靠的同步机制:在动态的网络环境中,保证客户端与服务器之间的同步尤为重要。COPS 是有状态的协议,可以有效地保证客户端PEP与服务器PDP之间的状态同步。
1.3 策略的表示
XML作为一种标准的、结构化的可扩展标记语言,XML用作策略描述语言非常合适。结构避免了二义性,并用DTD(Document Type Definition)或XML Schema定义数据的组织和逻辑结构,完善的编程接口,为数据的定义、交换及程序自动处理提供了保证。XML的自描述性和可扩展性,也使它足以描述各种类型的数据。 2 策略思想
根据IETF的定义,策略是指一系列管理网络资源的规则集合。每条规则的定义采用if/then结构,当网络环境满足规则的条件时,执行规则定义的相应操作[3]。 2.1 策略定义
根据现有的策略描述形式[3]以及分布式IDS系统和防火墙的特点,对策略给出以下定义:
域(domain):具有某些相同对象的集合,域的成员有两种,单个对象(object)和域(domain)。
用户(Users):在所监控的网络中合法注册的用户,可以根据域来进行分组管理。
主机(Hosts):在所监控的网络中合法注册的主机,可以根据域来进行分组管理。
服务(Services):在所监控网络中给定的网络服务。
资源(Resources):网络中给定的资源,一个资源是用户、主机和服务的三元组。
动作(Action):网络中给定的执行动作。
策略(Ploicy):策略主体施加给策略客体对资源访问规则的集合。策略包含以下属性:
Policy=<policy_id><subject><target><action>{<trigger>}<rule_list>{<constraint>}{<exception>}
Policy_id:策略标识:区别于其他策略的唯一标识;
Subject:策略的主体,策略的执行着,这里表示的是在分布式IDS系统中的Agent和防火墙Agent;
Target:策略的客体,策略的施加对象,这里表示的是分布式IDS系统中的传感器和防火墙传感器;
Action:策略客体执行的动作;
Rule_list:访问规则集,表示主体对客体访问行为的规范。
其他还有时间表示,异常处理(exception)等等,这里不详细介绍。
以一个简单的记录数据包的规则为例:
图2 XML策略实例 该策略表示由DIDS_Agent_1施加给传感器DIDS_Sensor_1上的策略为,记录所有任意端口,其目的端口为1到1024之间的UDP数据包。 4 结束语
本文提出的是关于P2DR安全模型的策略进行了简单的描述。对于目前的IDS系统和防火墙,不同的厂商采用不同的策略描述形式。目前,网络管理越来越趋向于基于策略的集成化管理,而描述形式的多样性,严重影响P2DR系统的发展。统一的标准化的策略描述形式,能够使P2DR管理平台的设计和管理更简单。对于策略的描述,还有进一步的工作需要做,去完善。
[1] 杨维永.基于策略的网络完安全系统 计算机与现代化 2003(4)
[2] 李全存.基于策略的分布式入侵检测系统的动态配置 计算机与数字工程 2007(1)
[3]Westerinen A,Schnizlein J.IETF RFC3189,Terminology for Policy Based Management[S],2001.
[4] RFC2748,The COPS(Common Open Policy Service) Protocal[S]
| 
