在线观看av毛片亚洲_伊人久久大香线蕉成人综合网_一级片黄色视频播放_日韩免费86av网址_亚洲av理论在线电影网_一区二区国产免费高清在线观看视频_亚洲国产精品久久99人人更爽_精品少妇人妻久久免费

首頁 > 文章中心 > 正文

IPsec安全策略系統(tǒng)

前言:本站為你精心整理了IPsec安全策略系統(tǒng)范文,希望能為你的創(chuàng)作提供參考價(jià)值,我們的客服老師可以幫助你提供個(gè)性化的參考范文,歡迎咨詢。

IPsec安全策略系統(tǒng)

摘要基于策略的網(wǎng)絡(luò)互聯(lián)是當(dāng)前安全研究的熱點(diǎn)問題之一。該文首先介紹了ipsec協(xié)議中策略的含義及使用,繼而討論了IETF提出的安全策略系統(tǒng)的一般結(jié)構(gòu)及各關(guān)鍵部件的功能劃分。最后討論了當(dāng)前研究存在的問題及今后的研究方向。

關(guān)鍵詞Ipsec;安全策略數(shù)據(jù)庫;安全關(guān)聯(lián)數(shù)據(jù)庫;安全策略系統(tǒng)

1IPsec協(xié)議

IPSec(InternetProtocolSecurity)是IETF提出的一套開放的標(biāo)準(zhǔn)協(xié)議,它是IPV6的安全標(biāo)準(zhǔn),也可應(yīng)用于目前的IPV4。IPSec協(xié)議是屬于網(wǎng)絡(luò)層的協(xié)議,IP層是實(shí)現(xiàn)端到端通信的最底層,但是IP協(xié)議在最初設(shè)計(jì)時(shí)并未考慮安全問題,它無法保證高層協(xié)議載荷的安全,因而無法保證通信的安全。而IPSec協(xié)議通過對(duì)IP層數(shù)據(jù)的封裝和保護(hù),能夠?yàn)楦邔訁f(xié)議載荷提供透明的安全通信保證。IPsec包括安全協(xié)議部分和密鑰協(xié)商部分,安全協(xié)議部分定義了對(duì)通信的各種保護(hù)方式;密鑰協(xié)商部分則定義了如何為安全協(xié)議協(xié)商保護(hù)參數(shù),以及如何對(duì)通信實(shí)體的身份進(jìn)行鑒別。IETF的IPsec工作組已經(jīng)制定了諸多RFC,對(duì)IPsec的方方面面都進(jìn)行了定義,但其核心由其中的三個(gè)最基本的協(xié)議組成。即:認(rèn)證協(xié)議頭(AuthenticationHeader,AH)、安全載荷封裝(EncapsulatingSecurityPayload,ESP)和互聯(lián)網(wǎng)密鑰交換協(xié)議(InternetKeyExchangeProtocol,IKMP)。

AH協(xié)議提供數(shù)據(jù)源認(rèn)證,無連接的完整性,以及一個(gè)可選的抗重放服務(wù)。AH認(rèn)證整個(gè)IP頭,不過由于AH不能加密數(shù)據(jù)包所加載的內(nèi)容,因而它不保證任何的機(jī)密性。

ESP協(xié)議通過對(duì)數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密,來提供數(shù)據(jù)保密性、有限的數(shù)據(jù)流保密性,數(shù)據(jù)源認(rèn)證,無連接的完整性,以及抗重放服務(wù)。和AH不同的是,ESP認(rèn)證功能不對(duì)IP數(shù)據(jù)報(bào)中的源和目的以及其它域認(rèn)證,這為ESP帶來了一定的靈活性。

IPSec使用IKE協(xié)議實(shí)現(xiàn)安全協(xié)議的自動(dòng)安全參數(shù)協(xié)商,可協(xié)商的安全參數(shù)包括數(shù)據(jù)加密及鑒別算法、加密及鑒別的密鑰、通信的保護(hù)模式(傳輸或隧道模式)、密鑰的生存期等,這些安全參數(shù)的總體稱之為安全關(guān)聯(lián)(SecurityAssociation,SA)。IPsec協(xié)議族使用IKE密鑰交換協(xié)議來進(jìn)行密鑰及其它安全參數(shù)的協(xié)商[1]。

2IPsec策略管理

2.1IPsec策略使用

IPsec的基本功能是訪問控制以及有選擇地實(shí)施安全,即只有選中的IP報(bào)文才被允許通過或被指定的安全功能所保護(hù)。IPSec的實(shí)現(xiàn)需維護(hù)兩個(gè)與SA有關(guān)的數(shù)據(jù)庫,安全策略數(shù)據(jù)庫(SecurityPolicyDatabase,SPD)和安全關(guān)聯(lián)數(shù)據(jù)庫(SecurityAssociationDatabase,SAD)。SPD是為IPSec實(shí)現(xiàn)提供安全策略配置,包括源、目的IP地址、掩碼、端口、傳輸層協(xié)議、動(dòng)作(丟棄、繞過、應(yīng)用)、進(jìn)出標(biāo)志、標(biāo)識(shí)符、SA和策略指針。SAD是SA的集合,其內(nèi)容(RFC要求的必須項(xiàng))包括目的IP地址、安全協(xié)議、SPI、序列號(hào)計(jì)數(shù)器、序列號(hào)溢出標(biāo)志、抗重播窗口、SA的生命期、進(jìn)出標(biāo)志、SA狀態(tài)、IPSec協(xié)議模式(傳輸或隧道)、加密算法和驗(yàn)證算法相關(guān)項(xiàng)目[1]。IPsec對(duì)進(jìn)出數(shù)據(jù)報(bào)文的處理過程如圖1、2所示[2]。2.2安全策略系統(tǒng)概述

IPSec安全服務(wù)的實(shí)施是基于安全策略的,安全策略提供了實(shí)施IPSec的一套規(guī)則。IETF的IPSec工作組于1999年1月針對(duì)安全策略配置管理存在的一系列問題,提出了安全策略系統(tǒng)模型(SecurityPolicySystem,SPS)。SPS是一個(gè)分布式系統(tǒng),

提供了一種發(fā)現(xiàn)、訪問和處理安全策略信息的機(jī)制,使得主機(jī)和安全網(wǎng)關(guān)能夠在橫跨多個(gè)安全網(wǎng)關(guān)的路徑上建立一個(gè)安全的端到端的通信(如圖3所示)。SPS由策略服務(wù)器(PolicyServer)、主文件、策略客戶端(PolicyClient)、安全網(wǎng)關(guān)(SecurityGate)和策略數(shù)據(jù)庫(PolicyDatabase)組成,該系統(tǒng)模型應(yīng)用安全策略規(guī)范語言(SecurityPolicySpecificationLanguage,SPSL)來描述安全策略,應(yīng)用安全策略協(xié)議(SecurityPolicyProtocol,SPP)來分發(fā)策略[3]。

在SPS里,安全域定義為共享同一個(gè)公用安全策略集的通信實(shí)體和資源組的集合。安全域?qū)⒕W(wǎng)絡(luò)進(jìn)行了劃分,每個(gè)安全域都包含有自己的SPS數(shù)據(jù)庫、策略服務(wù)器和策略客戶端。而SPS就是在這些安全域上分布式實(shí)現(xiàn)的一個(gè)數(shù)據(jù)庫管理系統(tǒng)。每個(gè)安全域含一個(gè)主文件(MasterFile),文件中定義了安全域的描述信息,包含該安全域的網(wǎng)絡(luò)資源(主機(jī)、子網(wǎng)和網(wǎng)絡(luò))及訪問它們的策略,安全策略和完整的域定義就保存在主文件中。

本地策略信息與非本地策略一起構(gòu)成了SPS數(shù)據(jù)庫。IETF已經(jīng)提供了一種把安全策略映射到輕型目錄訪問協(xié)議(LightWeightDirectoryAccessProtocol,LDAP)目錄數(shù)據(jù)庫存儲(chǔ)形式的方案。

策略服務(wù)器是一個(gè)策略決定點(diǎn)(PolicyDecisionPoint,PDP)。它為安全域內(nèi)所有用戶提供用戶狀態(tài)維護(hù)、策略分發(fā)等服務(wù),同時(shí)為安全域管理員提供了一個(gè)集中管理和配置安全域數(shù)據(jù)信息的界面。當(dāng)管理員修改了域策略后,服務(wù)器會(huì)通知該域已經(jīng)登錄的客戶端用戶更新本地組策略,然后客戶端根據(jù)新的組策略重新協(xié)商IPSecSA。策略服務(wù)器同時(shí)接收來自策略客戶和其它策略服務(wù)器的請求消息并加以處理,然后基于請求和服務(wù)控制規(guī)則將合適的策略信息提供給請求者。

圖3安全策略系統(tǒng)

策略客戶端是一個(gè)安全策略執(zhí)行點(diǎn)(PolicyEnforcementPoint,PEP)。PEP是VPN設(shè)備的安全,用于根據(jù)PDP分配的安全策略設(shè)定設(shè)備上的具體安全參數(shù)。策略客戶端向SPS策略服務(wù)器提出策略請求,策略服務(wù)器在驗(yàn)證了請求后,對(duì)這些請求產(chǎn)生相應(yīng)的響應(yīng),如果是授權(quán)的用戶,就將相應(yīng)的策略信息反饋給策略客戶端,如果沒有相應(yīng)的策略信息,則由策略服務(wù)器負(fù)責(zé)協(xié)商解決。策略客戶端將策略應(yīng)答轉(zhuǎn)換成應(yīng)用所需的適當(dāng)格式。

策略服務(wù)器和客戶使用SPP來交換策略信息。它采用客戶/服務(wù)器結(jié)構(gòu),將策略信息從SPS數(shù)據(jù)庫傳輸?shù)桨踩W(wǎng)關(guān)和策略客戶端。SPP所傳送的策略信息包括描述通信的選擇符字段以及0個(gè)或多個(gè)SA記錄。這些SA記錄共同描述了整個(gè)通信中所需的SA。SPP同時(shí)還是一個(gè)網(wǎng)關(guān)發(fā)現(xiàn)協(xié)議,能夠自動(dòng)發(fā)現(xiàn)通信路徑上存在的安全網(wǎng)關(guān)及其安全策略。通信端點(diǎn)可以通過SPP來認(rèn)證安全網(wǎng)關(guān)的標(biāo)識(shí),以及安全網(wǎng)關(guān)是否被授權(quán)代表它所聲稱的源或目的端點(diǎn)。安全網(wǎng)關(guān)則可利用SPP與未知網(wǎng)關(guān)進(jìn)行安全策略的交換。

3結(jié)束語

從概念上說,SPS基本上滿足IPSec策略框架提出的需求,但是在應(yīng)用的過程中存在很多問題,比如沒有分析潛在的策略沖突和交互及進(jìn)行策略的正確性、一致性檢查。但SPS提供了很好的策略管理思想,可以加以借鑒構(gòu)建新型的安全策略系統(tǒng)。然而,期望的安全需求和實(shí)現(xiàn)這些需求的特定IPsec策略之間存在著模糊的關(guān)系。在大型分布式系統(tǒng)的安全管理中,需要將需求和策略清晰地分離開,來讓客戶在較高層次下規(guī)定安全需求并自動(dòng)產(chǎn)生滿足這些需求的低級(jí)策略是一種可取的方法。對(duì)于如何劃分策略層次結(jié)構(gòu)、實(shí)現(xiàn)策略的集中管理等還要做深入的研究。

參考文獻(xiàn)

[1]KentS,AtkinsonR.SecurityArchitecturefortheInternetProtocol.http:///rfc/rfc2401.txt,1998.5-16

[2]張世永.網(wǎng)絡(luò)安全原理及應(yīng)用.科學(xué)出版社,2003.248-249

[3]BALTATUM,LIOYA,MAZZOCCHID.SecurityPolicySystemStatusandPerspective[A].ProceedingsoftheIEEEInternationalConferenceonNetworks[C],2000.278-284

灵台县| 上饶市| 五原县| 龙州县| 临城县| 梁平县| 麻城市| 乌苏市| 威信县| 社会| 德安县| 香港| 定西市| 北安市| 光泽县| 榕江县| 嘉兴市| 东方市| 长子县| 体育| 禄丰县| 三河市| 蒙山县| 石河子市| 得荣县| 阿拉善右旗| 东阿县| 慈利县| 淳化县| 舞阳县| 漯河市| 萝北县| 张家界市| 武宣县| 离岛区| 灯塔市| 丰都县| 龙泉市| 库车县| 长丰县| 韶山市|