一種支持QoS的IPSec安全設備體系結構

討論了網絡服務質量技術的發展，分析了服務質量對IPSec安全設備的需求，設計了一種在IPSec安全設備中實施服務質量的體系結構，提出了對數據流采用兩級分類和兩級調度的機制，從而保障關鍵業務不在IPSec安全設備處被阻塞。該實施服務質量的體系結構將服務質量模塊與IPSec模塊有機地結合在一起，提供集成化的檢測、控制和管理功能。
關 鍵 詞 服務質量; 體系結構; 分類; 調度

隨著Internet的發展和應用，要求虛擬專用網(Virtual Private Network，VPN)技術不僅能提供信息傳輸的安全性，還應提供服務質量(Quality of Service，QoS)保障[1，2]，即實現QoS-capble的VPN。由于IP安全協議(Internet protocol Security, IPSec)安全設備是位于路由器和內部局域網之間的網絡節點，是VPN隧道的入口點和出口點，因此也要求其提供QoS保障，這也是下一代VPN需要首先考慮的問題。
目前QoS研究的成果如綜合服務模型、區分服務模型和多協議標簽交換等是專為網絡交換/路由設備而提出的，目的是提供有QoS保障的數據傳輸[3～6]。而IPSec安全設備是一種用于加/解密的專用設備，與交換機/路由器在功能上有著重大區別，屬于非包交換網絡設備，同樣需要提供QoS機制，這也是QoS的一個重要研究方向。
本文提出了在IPSec安全設備上實施QoS的體系結構，針對IPSec安全設備的結構和功能特點，設計了具有分類器1和分類器2的兩極分類技術，以及具有加密調度器和轉發調度器的兩極調度的關鍵技術。該體系結構可以為IPSec安全設備提供完整的QoS控制，針對有不同QoS需求的業務流進行有區別的處理，保障關鍵業務不受阻塞地通過IPSec安全設備。
1 一種典型的VPN應用系統
圖1所示的應用于視頻會議的VPN系統以IPSec和密碼技術為核心，針對中國網絡的實際情況，采用由國家主管部門批準的密碼方案提出的適合中國國情的VPN網絡安全方案。利用該VPN系統中的關鍵設備，即IPSec安全設備在網絡拓撲中位于路由器和內部局域網之間的必經地位，對所有進出網絡的信息進行基于策略的訪問控制和完成對通信數據的加密/解密，能有效防止非法用戶的攻擊，確保網絡的安全。

2 IPSec安全設備QoS方案
2.1 IPSec安全設備QoS體系結構
QoS-IPSec安全設備要同時具備加密/解密和QoS的功能。由于其位于交換機和路由器之間，因此QoS-IPSec安全設備中的QoS功能是使QoS-IPSec安全設備不成為網絡瓶頸，目的是讓各種業務流盡快通過，不在IPSec安全設備處造成擁塞。QoS-IPSec安全設備對重要業務流提供QoS型服務，對一般業務流提供盡力而為(best-effort)型服務，而將更精細的QoS處理交由緊隨QoS-IPSec安全設備后的路由器處理，以避免因實施QoS而使QoS-IPSec安全設備的系統過于復雜。
在有QoS功能的情況下，IPSec安全設備對數據包的處理流程為：需要加/解密的數據包經分類后先送到IPSec模塊進行處理，然后返回并進入排隊隊列，等待隊列調度模塊的調度；對不需加密的數據，則直接進入排隊隊列，如圖2所示。IPSec安全設備QoS體系結構為層次型，分為QoS管理模塊、QoS模塊與IPSec模塊、物理網絡層三層，如圖3所示。

IPSec安全設備QoS體系結構各層的功能如下：
1) QoS管理模塊負責監測、記錄和審查IPSec安全設備中緩存等各種資源的使用情況以及當前業務流的狀態等情況；管理IPSec安全設備上的資源；與VPN系統的管理中心交換信息，以確定對新的業務是否接納；調整業務流的分類、排隊和調度策略。
2) IPSec模塊是IPSec安全設備已有的加密模塊。QoS模塊負責QoS功能，包括分類、排隊、調度等。

QoS-IPSec安全設備對數據包采用兩極分類，數據包的調度機制采用加密調度器和轉發調度器兩個調度器來實現。
3) 物理網絡層負責IP包的實際轉發。
2.2 IPSec安全設備QoS操作
IPSec安全設備中主要的QoS操作包括分類、排隊、調度，這些功能應與原有的加密模塊緊密結合，操作流程如圖4所示，圖中各部件功能如下。
1) 分類器。 QoS-IPSec安全設備采用兩極分類：第一級將數據包分為加密-QoS、加密-非QoS、非加密-盡力而為三類；第二級仍按通常的類別進行分類，如實時、非實時、丟失敏感、抖動敏感等類型，即按照業務流的特性來提供服務類型。
為此，系統設有分類器1和分類器2兩個分類器。分類器1完成第一級分類，確定IP數據包是否需要加密、業務類型和優先級等QoS需求；分類器2完成第二級分類，分類器2只對加密-QoS類進行進一步的分類，仍采用通常的分類類別。
對其他類型的數據，都按盡力而為方式處理。但將盡力而為分類為兩個優先級，即加密-非QoS和非加密-盡力而為，加密-非QoS的優先級高于非加密-盡力而為。
2) IPSec模塊。采用IP層加密模式、支持隧道加密和凈荷加密兩種工作模式。
3) 調度器。系統設置了加密調度器和轉發調度器兩個調度器。加密調度器調度加密-QoS類的多個加密等待隊列給IPSec模塊，經IPSec模塊處理后仍按原先的分類送入輸出隊列中。加密調度器通過依靠系統分配給加密-QoS類的有保障的網絡帶寬進行調度，從而保障各加密-QoS類數據流的QoS要求。轉發調度器調度經過加密處理后的和不需加密處理的所有的隊列，采用加權公平排隊(Weighted Fair Queuing, WFQ)算法以保證調度的公平性，使盡力而為隊列也能得到公平的調度。

2.3 IPSec安全設備QoS管理
IPSec安全設備QoS管理系統是在操作系統中增加的子系統，它是每一個支持QoS的網絡節點都應具備的子系統。管理結構屬于跨多層的結構，有位于應用層的用戶界面，也有位于其他層的管理操作模塊。管理結構如圖5所示，圖中各部件的功能如下。 資源庫接納控制模塊業務庫策略庫監測模塊控制模塊QoS操作管理代理
圖5 IPSec安全設備QoS管理結構
1) 管理代理。IPSec安全設備管理代理負責與VPN系統的管理中心進行信息交互；提供管理界面以對各項參數進行配置；與接納控制模塊、監測模塊、控制模塊進行交互；針對突發流和平穩流采取不同的管理措施；對突發流可以通過發送反饋消息使發送方調整滑動窗口的大小來控制網絡流量。
2) 接納控制模塊。接納控制模塊根據新業務的QoS需求和IPSec安全設備當前資源的使用狀況，審查新的業務請求是否符合策略庫中預先確定的策略，并與管理中心交換信息

后，確定對新的業務是否接納。3) 監測模塊。實時監測、記錄、審查和統計IPSec安全設備中緩存等各種資源的動態信息；對不同的業務流，測試其網絡流量、峰值速率、延遲等流的特性，將這些信息存入業務庫和資源庫并反饋給隊列調度器等部件。
4) 控制模塊?？刂颇K負責調整IPSec安全設備中的分類、排隊和調度等策略；進行隊列的初始化和重置(清空)。
5) 策略庫。存儲各種分類、排隊、丟棄和調度策略的信息，供分類器、隊列管理和隊列調度器使用，使它們可以進行自動的動態調整，具有較好的適應性和可擴展性，以適應QoS技術的發展。策略庫中還包括安全策略數據，用以決定對各種類型數據流提供的安全服務類型，如丟棄、忽略、是否需要加/解密等。
6) 資源庫。在管理中心和IPSec安全設備上設立有各自的資源庫，存儲IPSec安全設備中的各種資源(如緩存等)的容量、使用情況等靜態和動態信息。在管理中心上存儲VPN成員的網址等信息，并鏡像IPSec安全設備上的動態信息；IPSec安全設備只存儲自身的有關信息，只在有信息更新時，才向管理中心上的鏡像信息庫發送更新信息。
7) 業務庫。記錄當前經過IPSec安全設備的網絡連接和數據流的有關信息，以及每個排隊隊列的容量和排隊長度，并記錄一段時期內各種業務類型的數據流量所占比例的統計信息。