一种支持QoS的IPSec安全设备体系结构

讨论了网络服务质量技术的发展，分析了服务质量对IPSec安全设备的需求，设计了一种在IPSec安全设备中实施服务质量的体系结构，提出了对数据流采用两级分类和两级调度的机制，从而保障关键业务不在IPSec安全设备处被阻塞。该实施服务质量的体系结构将服务质量模块与IPSec模块有机地结合在一起，提供集成化的检测、控制和管理功能。
关 键 词 服务质量; 体系结构; 分类; 调度

随着Internet的发展和应用，要求虚拟专用网(Virtual Private Network，VPN)技术不仅能提供信息传输的安全性，还应提供服务质量(Quality of Service，QoS)保障[1，2]，即实现QoS-capble的VPN。由于IP安全协议(Internet protocol Security, IPSec)安全设备是位于路由器和内部局域网之间的网络节点，是VPN隧道的入口点和出口点，因此也要求其提供QoS保障，这也是下一代VPN需要首先考虑的问题。
目前QoS研究的成果如综合服务模型、区分服务模型和多协议标签交换等是专为网络交换/路由设备而提出的，目的是提供有QoS保障的数据传输[3～6]。而IPSec安全设备是一种用于加/解密的专用设备，与交换机/路由器在功能上有着重大区别，属于非包交换网络设备，同样需要提供QoS机制，这也是QoS的一个重要研究方向。
本文提出了在IPSec安全设备上实施QoS的体系结构，针对IPSec安全设备的结构和功能特点，设计了具有分类器1和分类器2的两极分类技术，以及具有加密调度器和转发调度器的两极调度的关键技术。该体系结构可以为IPSec安全设备提供完整的QoS控制，针对有不同QoS需求的业务流进行有区别的处理，保障关键业务不受阻塞地通过IPSec安全设备。
1 一种典型的VPN应用系统
图1所示的应用于视频会议的VPN系统以IPSec和密码技术为核心，针对中国网络的实际情况，采用由国家主管部门批准的密码方案提出的适合中国国情的VPN网络安全方案。利用该VPN系统中的关键设备，即IPSec安全设备在网络拓扑中位于路由器和内部局域网之间的必经地位，对所有进出网络的信息进行基于策略的访问控制和完成对通信数据的加密/解密，能有效防止非法用户的攻击，确保网络的安全。

2 IPSec安全设备QoS方案
2.1 IPSec安全设备QoS体系结构
QoS-IPSec安全设备要同时具备加密/解密和QoS的功能。由于其位于交换机和路由器之间，因此QoS-IPSec安全设备中的QoS功能是使QoS-IPSec安全设备不成为网络瓶颈，目的是让各种业务流尽快通过，不在IPSec安全设备处造成拥塞。QoS-IPSec安全设备对重要业务流提供QoS型服务，对一般业务流提供尽力而为(best-effort)型服务，而将更精细的QoS处理交由紧随QoS-IPSec安全设备后的路由器处理，以避免因实施QoS而使QoS-IPSec安全设备的系统过于复杂。
在有QoS功能的情况下，IPSec安全设备对数据包的处理流程为：需要加/解密的数据包经分类后先送到IPSec模块进行处理，然后返回并进入排队队列，等待队列调度模块的调度；对不需加密的数据，则直接进入排队队列，如图2所示。IPSec安全设备QoS体系结构为层次型，分为QoS管理模块、QoS模块与IPSec模块、物理网络层三层，如图3所示。

IPSec安全设备QoS体系结构各层的功能如下：
1) QoS管理模块负责监测、记录和审查IPSec安全设备中缓存等各种资源的使用情况以及当前业务流的状态等情况；管理IPSec安全设备上的资源；与VPN系统的管理中心交换信息，以确定对新的业务是否接纳；调整业务流的分类、排队和调度策略。
2) IPSec模块是IPSec安全设备已有的加密模块。QoS模块负责QoS功能，包括分类、排队、调度等。

QoS-IPSec安全设备对数据包采用两极分类，数据包的调度机制采用加密调度器和转发调度器两个调度器来实现。
3) 物理网络层负责IP包的实际转发。
2.2 IPSec安全设备QoS操作
IPSec安全设备中主要的QoS操作包括分类、排队、调度，这些功能应与原有的加密模块紧密结合，操作流程如图4所示，图中各部件功能如下。
1) 分类器。 QoS-IPSec安全设备采用两极分类：第一级将数据包分为加密-QoS、加密-非QoS、非加密-尽力而为三类；第二级仍按通常的类别进行分类，如实时、非实时、丢失敏感、抖动敏感等类型，即按照业务流的特性来提供服务类型。
为此，系统设有分类器1和分类器2两个分类器。分类器1完成第一级分类，确定IP数据包是否需要加密、业务类型和优先级等QoS需求；分类器2完成第二级分类，分类器2只对加密-QoS类进行进一步的分类，仍采用通常的分类类别。
对其他类型的数据，都按尽力而为方式处理。但将尽力而为分类为两个优先级，即加密-非QoS和非加密-尽力而为，加密-非QoS的优先级高于非加密-尽力而为。
2) IPSec模块。采用IP层加密模式、支持隧道加密和净荷加密两种工作模式。
3) 调度器。系统设置了加密调度器和转发调度器两个调度器。加密调度器调度加密-QoS类的多个加密等待队列给IPSec模块，经IPSec模块处理后仍按原先的分类送入输出队列中。加密调度器通过依靠系统分配给加密-QoS类的有保障的网络带宽进行调度，从而保障各加密-QoS类数据流的QoS要求。转发调度器调度经过加密处理后的和不需加密处理的所有的队列，采用加权公平排队(Weighted Fair Queuing, WFQ)算法以保证调度的公平性，使尽力而为队列也能得到公平的调度。

2.3 IPSec安全设备QoS管理
IPSec安全设备QoS管理系统是在操作系统中增加的子系统，它是每一个支持QoS的网络节点都应具备的子系统。管理结构属于跨多层的结构，有位于应用层的用户界面，也有位于其他层的管理操作模块。管理结构如图5所示，图中各部件的功能如下。 资源库接纳控制模块业务库策略库监测模块控制模块QoS操作管理代理
图5 IPSec安全设备QoS管理结构
1) 管理代理。IPSec安全设备管理代理负责与VPN系统的管理中心进行信息交互；提供管理界面以对各项参数进行配置；与接纳控制模块、监测模块、控制模块进行交互；针对突发流和平稳流采取不同的管理措施；对突发流可以通过发送反馈消息使发送方调整滑动窗口的大小来控制网络流量。
2) 接纳控制模块。接纳控制模块根据新业务的QoS需求和IPSec安全设备当前资源的使用状况，审查新的业务请求是否符合策略库中预先确定的策略，并与管理中心交换信息

后，确定对新的业务是否接纳。3) 监测模块。实时监测、记录、审查和统计IPSec安全设备中缓存等各种资源的动态信息；对不同的业务流，测试其网络流量、峰值速率、延迟等流的特性，将这些信息存入业务库和资源库并反馈给队列调度器等部件。
4) 控制模块。控制模块负责调整IPSec安全设备中的分类、排队和调度等策略；进行队列的初始化和重置(清空)。
5) 策略库。存储各种分类、排队、丢弃和调度策略的信息，供分类器、队列管理和队列调度器使用，使它们可以进行自动的动态调整，具有较好的适应性和可扩展性，以适应QoS技术的发展。策略库中还包括安全策略数据，用以决定对各种类型数据流提供的安全服务类型，如丢弃、忽略、是否需要加/解密等。
6) 资源库。在管理中心和IPSec安全设备上设立有各自的资源库，存储IPSec安全设备中的各种资源(如缓存等)的容量、使用情况等静态和动态信息。在管理中心上存储VPN成员的网址等信息，并镜像IPSec安全设备上的动态信息；IPSec安全设备只存储自身的有关信息，只在有信息更新时，才向管理中心上的镜像信息库发送更新信息。
7) 业务库。记录当前经过IPSec安全设备的网络连接和数据流的有关信息，以及每个排队队列的容量和排队长度，并记录一段时期内各种业务类型的数据流量所占比例的统计信息。