IPSec策略冲突发现形式化技术的研究

计算机工程与应用 ›› 2007, Vol. 43 ›› Issue (6): 128-131.

IPSec策略冲突发现形式化技术的研究

黄俊韩玲莉

中国计量学院计算机科学系

收稿日期:2006-03-21 修回日期:1900-01-01 出版日期:2007-02-21 发布日期:2007-02-21
通讯作者: 黄俊

Research on Formal Modeling Technology in IPSec Policies Conflict Discovery

HUANG Jun Han Ling-li

Received:2006-03-21 Revised:1900-01-01 Online:2007-02-21 Published:2007-02-21

摘要/Abstract

摘要： IPSec目前已成为Internet安全事实上的标准协议,尽管IPSec为网络安全提供了丰富的安全保护模式和操作,但其策略配置是非常复杂和易出错的一项工作.为解决这问题提出了通过有序两元判定图表（OBDD）来提供全面的IPSec安全策略冲突的识别和分类的通用架构模型，并且基于这种架构模型，开发了一组在通用IPSec策略配置过程中发现策略内部的冲突问题的技术。通过实验测试证明了该架构模型和技术在发现和解决策略冲突问题的有效性。

关键词: 网络安全, IPSec, 安全策略, 形式化模型

Abstract: IPSec has become the defacto standard protocol for secure Internet communications。Although IPSec supports a rich set of protection modes and operations, its policy configuration remains a complex and error-prone task. In this paper, we present a generic model that captures various filtering policy semantics using Boolean expressions. We use this model to derive a canonical representation for IPSec policies using Ordered Binary Decision Diagrams. Based on this representation, we develop a comprehensive framework to classify and identify conflicts that could exist in a single IPSec device (intra-policy conflicts) in enterprise networks. Our testing and evaluation study on different network environments demonstrates the effectiveness and efficiency of our approach.

Key words: Network Security, IPSec, Security Policy, Formal model

黄俊韩玲莉.

IPSec策略冲突发现形式化技术的研究

[J]. 计算机工程与应用, 2007, 43(6): 128-131.

HUANG Jun Han Ling-li.

Research on Formal Modeling Technology in IPSec Policies Conflict Discovery

[J]. Computer Engineering and Applications, 2007, 43(6): 128-131.

[1]	张昊, 张小雨, 张振友, 李伟. 基于深度学习的入侵检测模型综述[J]. 计算机工程与应用, 2022, 58(6): 17-28.
[2]	张然, 潘芷涵, 尹毅峰, 蔡增玉. 基于SAA-SSA-BPNN的网络安全态势评估模型[J]. 计算机工程与应用, 2022, 58(11): 117-124.
[3]	王振东，张林，李大海. 基于机器学习的物联网入侵检测系统综述[J]. 计算机工程与应用, 2021, 57(4): 18-27.
[4]	曹磊，李占斌，杨永胜，赵龙飞. 基于双层注意力神经网络的入侵检测方法[J]. 计算机工程与应用, 2021, 57(19): 142-149.
[5]	狄冲，李桐. 网络未知攻击检测的深度学习方法[J]. 计算机工程与应用, 2020, 56(22): 109-116.
[6]	彭春燕，杜秀娟. 水声传感器网络基于深度信息的安全路由协议[J]. 计算机工程与应用, 2020, 56(2): 76-81.
[7]	芶继军，李均华，陈晨，陈一鸣，吕奕达. 基于随机森林的网络入侵检测方法[J]. 计算机工程与应用, 2020, 56(2): 82-88.
[8]	周龙，王晨，史崯. 基于RNN的Webshell检测研究[J]. 计算机工程与应用, 2020, 56(14): 88-92.
[9]	吴德鹏，柳毅. 基于可变网络结构自组织映射的入侵检测模型[J]. 计算机工程与应用, 2020, 56(12): 81-86.
[10]	石乐义，刘佳，刘祎豪，朱红强，段鹏飞. 网络安全态势感知研究综述[J]. 计算机工程与应用, 2019, 55(24): 1-9.
[11]	何利文，侯小宇，唐澄澄，周睿，张幸宁. 面向异构BIOS环境的Rootkit通用性检测方法[J]. 计算机工程与应用, 2019, 55(23): 105-112.
[12]	张舒娟1，张娟2. 对等网络中被动型蠕虫传播动力学建模与分析[J]. 计算机工程与应用, 2019, 55(11): 60-66.
[13]	马占飞1，杨晋2，金溢2，边琦3. 基于IQPSO-IDE算法的网络入侵检测方法[J]. 计算机工程与应用, 2019, 55(10): 115-120.
[14]	彭飞1，张涛1，徐伟光1，赵敏1，秦恒加2. 基于本体的操作系统安全策略生成模型[J]. 计算机工程与应用, 2018, 54(2): 114-118.
[15]	陈亮，王建，赵勇. 基于多核处理器的IPSec VPN系统安全策略检索研究[J]. 计算机工程与应用, 2017, 53(23): 67-71.