資源描述:
《ipsec遠程訪問vpn的安全策略研究 》由會員上傳分享����,免費在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫���。
1����、IPSec遠程訪問VPN的安全策略研究〔摘要〕VPN技術(shù)應(yīng)用日益廣泛,IPSec已成為實現(xiàn)VPN的主要方式�。文章對IPSec相關(guān)協(xié)議進行分析的基礎(chǔ)上���,針對IPSec協(xié)議族在安全策略方面的不足�,提出在遠程訪問模型中使用集中試策略管理并對該管理系統(tǒng)進行了研究���。〔關(guān)鍵詞〕PSecVPN��;安全策略數(shù)據(jù)庫�;安全關(guān)聯(lián)數(shù)據(jù)庫;安全策略1引 言隨著Inter等公共網(wǎng)絡(luò)的迅速發(fā)展和國際經(jīng)濟一體化的發(fā)展趨勢,企業(yè)內(nèi)部及企業(yè)間通過網(wǎng)絡(luò)傳遞信息的需求越來越多����。如何以最低的費用保障通信的安全與高效,是企業(yè)極其關(guān)注的問題���。流行的解決方案是利用隧道技術(shù)��,在Inter等不安全的公共
2、網(wǎng)絡(luò)上建立安全的虛擬專用網(wǎng)絡(luò)�����,即虛擬專用網(wǎng)(VPN)。IPSec是實現(xiàn)VPN的一種協(xié)議����,正在得到越來越廣泛的應(yīng)用�,將成為虛擬專用網(wǎng)的主要標(biāo)準(zhǔn)���。盡管IPSec已經(jīng)是一種包容極廣�、功能極強的IP安全協(xié)議���,但卻仍然不能算是適用于所有配置的一套極為完整的方案,其中仍然存在一些需要解決的問題�。本文對IPSec相關(guān)協(xié)議進行分析的基礎(chǔ)上�����,針對IPSec協(xié)議族在安全策略方面的不足���,提出在遠程訪問模型中使用集中試策略管理,并對該管理系統(tǒng)進行了研究���。2IPSecVPNIPSec協(xié)議為IPv4和IPv6提供可互操作的�、高質(zhì)量的�����、基于加密體制的安全方案。包括訪問控制、無連接
3��、的完整性����、數(shù)據(jù)源認證�、防止重播攻擊�����、信息加密和流量保密等安全服務(wù)��。所有這些服務(wù)都建立在IP層,并保護上層的協(xié)議�����。這些服務(wù)通過使用兩個安全協(xié)議:認證頭AH[RFC2402]和封裝安全載荷ESP[RFC2406]�,以及通過使用加密密鑰管理過程和協(xié)議來實現(xiàn)。這些加密密鑰管理過程和協(xié)議包括Inter安全聯(lián)盟(SA)和密鑰管理協(xié)議(ISAKMP)[RFC2408]以及Inter密鑰交換協(xié)議(IKE)[RFC2409]。2.1認證頭(AH)協(xié)議���。協(xié)議的目的是用來增加IP數(shù)據(jù)包的安全性。AH協(xié)議提供無連接的完整性��、數(shù)據(jù)源認證和抗重播保護服務(wù)�����。2.2封裝安全載荷(E
4��、SP)協(xié)議�。協(xié)議的目的和認證頭(AH)一樣�,是用于提高IP的安全性��。ESP提供數(shù)據(jù)保密�����、數(shù)據(jù)源認證、無連接完整性����、抗重播服務(wù)和有限的數(shù)據(jù)流保護。AH和ESP協(xié)議都支持兩種工作模式:傳輸模式和隧道模式�。傳輸模式為上層協(xié)議提供安全保護����,保護的是IP包的有效載荷或者說保護的是上層協(xié)議(如TCP���、UDP和ICMP)���。隧道模式是為整個IP包提供保護��。2.3Inter安全聯(lián)盟密鑰管理協(xié)議(ISAKMP)�����。協(xié)議定義了協(xié)商����、建立�、修改和刪除SA的過程和包格式。ISAKMP提供了一個通用的SA屬性格式框架和一些可由不同密鑰交換協(xié)議使用的協(xié)商��、修改��、刪除SA的方法。IS
5����、AKMP被設(shè)計為密鑰交換無關(guān)的協(xié)議;并沒有讓它受限于任何具體的密鑰交換協(xié)議、密碼算法�、密鑰生成技術(shù)或認證機制�����。2.4IKE�。IKE是一個以受保護的方式為SA協(xié)商并提供經(jīng)認證的密鑰信息的協(xié)議��。IKE是一個混合協(xié)議����,它使用到了三個不同協(xié)議的相關(guān)部分:Inter安全聯(lián)盟和密鑰管理協(xié)議(ISAKMP)[MSST98]�����、Oakley密鑰確定協(xié)議[Orm98]和SKEME[Kra96]。IKE為IPSec雙方提供用于生成加密密鑰和認證密鑰的密鑰信息�����。同樣,IKE使用ISAKMP為其他IPSec(AH和ESP)協(xié)議協(xié)商SA�����。2.5安全聯(lián)盟(SA)�。SA的概念是IP
6、Sec密鑰管理的基礎(chǔ)���。AH和ESP都使用SA�,而且IKE協(xié)議的主要功能就是建立和維護SA。SA是兩個通信實體經(jīng)過協(xié)商建立起來的一種簡單的“連接”�����,規(guī)定用來保護數(shù)據(jù)的IPSec協(xié)議類型����、加密算法�����、認證方式、加密和認證密鑰���、密鑰的生存時間以及抗重播攻擊的序列號等�����,為所承載的流量提供安全服務(wù)。IPSec的實現(xiàn)必須維護以下兩個與SA相關(guān)的數(shù)據(jù)庫:安全策略數(shù)據(jù)庫(SPD)�,指定給IP數(shù)據(jù)流提供的安全服務(wù),主要根據(jù)源地址�、目的地址��、入數(shù)據(jù)還是出數(shù)據(jù)等確定��。SPD有一個排序的策略列表,針對入數(shù)據(jù)和出數(shù)據(jù)有不同的數(shù)據(jù)項���。這些數(shù)據(jù)項可以指定某些數(shù)據(jù)流必須繞過IPSec
7、處理,一些必須被丟棄或經(jīng)過IPSec處理等策略��;安全聯(lián)盟數(shù)據(jù)庫(SAD),包含每一個SA的參數(shù)信息,如AH或ESP算法和密鑰、序列號���、協(xié)議模式以及SA的生命周期�。對于出數(shù)據(jù)的處理�,有一個SPD數(shù)據(jù)項包含指向某個SAD數(shù)據(jù)項的指針�。也就是說�,SPD決定了一個特定的數(shù)據(jù)包使用什么樣的SA��。對于入數(shù)據(jù)的處理�,由SAD來決定如何對特定的數(shù)據(jù)包作處理。3IPSec策略管理分析與設(shè)想3.1IPSecVPN中的策略管理在一個IPSec中�,IPSec功能的正確性完全依據(jù)安全策略的正確制定與配置��。傳統(tǒng)的方法是通過手工配置IPSec策略�,這種方式在大型的分布式網(wǎng)絡(luò)中存在
8���、效率低���、易出錯等問題����。而一個易出錯的策略將可能導(dǎo)致通訊的阻塞和嚴(yán)重的安全隱患����。而且,既使每個安全域策略的制訂
