前言：本站為你精心整理了遠(yuǎn)程平安策略管理范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

［摘要］VPN技術(shù)應(yīng)用日益廣泛，IPSec已成為實(shí)現(xiàn)VPN的主要方式。文章對(duì)IPSec相關(guān)協(xié)議進(jìn)行分析的基礎(chǔ)上，針對(duì)IPSec協(xié)議族在平安策略方面的不足，提出在遠(yuǎn)程訪問模型中使用集中試策略管理并對(duì)該管理系統(tǒng)進(jìn)行了探究。

［］PSecVPN；平安策略數(shù)據(jù)庫；平安關(guān)聯(lián)數(shù)據(jù)庫；平安策略

1引言

隨著Internet等公共網(wǎng)絡(luò)的迅速發(fā)展和國際經(jīng)濟(jì)一體化的發(fā)展趨向，企業(yè)內(nèi)部及企業(yè)間通過網(wǎng)絡(luò)傳遞信息的需求越來越多。如何以最低的費(fèi)用保障通信的平安和高效，是企業(yè)極其關(guān)注的新問題。流行的解決方案是利用隧道技術(shù)，在Internet等不平安的公共網(wǎng)絡(luò)上建立平安的虛擬專用網(wǎng)絡(luò)，即虛擬專用網(wǎng)（VPN）。

IPSec是實(shí)現(xiàn)VPN的一種協(xié)議，正在得到越來越廣泛的應(yīng)用，將成為虛擬專用網(wǎng)的主要標(biāo)準(zhǔn)。盡管IPSec已經(jīng)是一種包容極廣、功能極強(qiáng)的IP平安協(xié)議，但卻仍然不能算是適用于所有配置的一套極為完整的方案，其中仍然存在一些需要解決的新問題。本文對(duì)IPSec相關(guān)協(xié)議進(jìn)行分析的基礎(chǔ)上，針對(duì)IPSec協(xié)議族在平安策略方面的不足，提出在遠(yuǎn)程訪問模型中使用集中試策略管理，并對(duì)該管理系統(tǒng)進(jìn)行了探究。

2IPSecVPN

IPSec協(xié)議為IPv4和IPv6提供可互操作的、高質(zhì)量的、基于加密體制的平安方案。包括訪問控制、無連接的完整性、數(shù)據(jù)源認(rèn)證、防止重播攻擊、信息加密和流量保密等平安服務(wù)。所有這些服務(wù)都建立在IP層，并保護(hù)上層的協(xié)議。這些服務(wù)通過使用兩個(gè)平安協(xié)議摘要：認(rèn)證頭AH[RFC2402和封裝平安載荷ESP[RFC2406，以及通過使用加密密鑰管理過程和協(xié)議來實(shí)現(xiàn)。這些加密密鑰管理過程和協(xié)議包括Internet平安聯(lián)盟（SA）和密鑰管理協(xié)議（ISAKMP）[RFC2408以及Internet密鑰交換協(xié)議（IKE）[RFC2409。

2.1認(rèn)證頭（AH）協(xié)議。協(xié)議的目的是用來增加IP數(shù)據(jù)包的平安性。AH協(xié)議提供無連接的完整性、數(shù)據(jù)源認(rèn)證和抗重播保護(hù)服務(wù)。

2.2封裝平安載荷（ESP）協(xié)議。協(xié)議的目的和認(rèn)證頭（AH）一樣，是用于提高IP的平安性。ESP提供數(shù)據(jù)保密、數(shù)據(jù)源認(rèn)證、無連接完整性、抗重播服務(wù)和有限的數(shù)據(jù)流保護(hù)。

AH和ESP協(xié)議都支持兩種工作模式摘要：傳輸模式和隧道模式。傳輸模式為上層協(xié)議提供平安保護(hù)，保護(hù)的是IP包的有效載荷或者說保護(hù)的是上層協(xié)議（如TCP、UDP和ICMP）。隧道模式是為整個(gè)IP包提供保護(hù)。

2.3Internet平安聯(lián)盟密鑰管理協(xié)議（ISAKMP）。協(xié)議定義了協(xié)商、建立、修改和刪除SA的過程和包格式。ISAKMP提供了一個(gè)通用的SA屬性格式框架和一些可由不同密鑰交換協(xié)議使用的協(xié)商、修改、刪除SA的方法。ISAKMP被設(shè)計(jì)為密鑰交換無關(guān)的協(xié)議；并沒有讓它受限于任何具體的密鑰交換協(xié)議、密碼算法、密鑰生成技術(shù)或認(rèn)證機(jī)制。

2.4IKE。IKE是一個(gè)以受保護(hù)的方式為SA協(xié)商并提供經(jīng)認(rèn)證的密鑰信息的協(xié)議。IKE是一個(gè)混合協(xié)議，它使用到了三個(gè)不同協(xié)議的相關(guān)部分摘要：Internet平安聯(lián)盟和密鑰管理協(xié)議（ISAKMP）[MSST98、Oakley密鑰確定協(xié)議[Orm98和SKEME[Kra96。IKE為IPSec雙方提供用于生成加密密鑰和認(rèn)證密鑰的密鑰信息。同樣，IKE使用ISAKMP為其他IPSec（AH和ESP）協(xié)議協(xié)商SA。

2.5平安聯(lián)盟(SA)。SA的概念是IPSec密鑰管理的基礎(chǔ)。AH和ESP都使用SA，而且IKE協(xié)議的主要功能就是建立和維護(hù)SA。SA是兩個(gè)通信實(shí)體經(jīng)過協(xié)商建立起來的一種簡(jiǎn)單的“連接”，規(guī)定用來保護(hù)數(shù)據(jù)的IPSec協(xié)議類型、加密算法、認(rèn)證方式、加密和認(rèn)證密鑰、密鑰的生存時(shí)間以及抗重播攻擊的序列號(hào)等，為所承載的流量提供平安服務(wù)。

IPSec的實(shí)現(xiàn)必須維護(hù)以下兩個(gè)和SA相關(guān)的數(shù)據(jù)庫摘要：平安策略數(shù)據(jù)庫（SPD），指定給IP數(shù)據(jù)流提供的平安服務(wù)，主要根據(jù)源地址、目的地址、入數(shù)據(jù)還是出數(shù)據(jù)等確定。SPD有一個(gè)排序的策略列表，針對(duì)入數(shù)據(jù)和出數(shù)據(jù)有不同的數(shù)據(jù)項(xiàng)。這些數(shù)據(jù)項(xiàng)可以指定某些數(shù)據(jù)流必須繞過IPSec處理，一些必須被丟棄或經(jīng)過IPSec處理等策略；平安聯(lián)盟數(shù)據(jù)庫（SAD）,包含每一個(gè)SA的參數(shù)信息，如AH或ESP算法和密鑰、序列號(hào)、協(xié)議模式以及SA的生命周期。對(duì)于出數(shù)據(jù)的處理，有一個(gè)SPD數(shù)據(jù)項(xiàng)包含指向某個(gè)SAD數(shù)據(jù)項(xiàng)的指針。也就是說，SPD決定了一個(gè)特定的數(shù)據(jù)包使用什么樣的SA。對(duì)于入數(shù)據(jù)的處理，由SAD來決定如何對(duì)特定的數(shù)據(jù)包作處理。

3IPSec策略管理分析和設(shè)想

3.1IPSecVPN中的策略管理

在一個(gè)IPSec中，IPSec功能的正確性完全依據(jù)平安策略的正確制定和配置。傳統(tǒng)的方法是通過手工配置IPSec策略，這種方式在大型的分布式網(wǎng)絡(luò)中存在效率低、易出錯(cuò)等新問題。而一個(gè)易出錯(cuò)的策略將可能導(dǎo)致通訊的阻塞和嚴(yán)重的平安隱患。而且，既使每個(gè)平安域策略的制訂是正確的，也可能會(huì)在不同的平安域中，由于策略之間的交互，出現(xiàn)在局部范圍內(nèi)平安策略的多樣性，從而造成端到端間通訊的嚴(yán)重新問題。

根據(jù)以上協(xié)議建立起來的基于IPSec的VPN，當(dāng)主機(jī)使用動(dòng)態(tài)地址接入，發(fā)起VPN連接時(shí)。主機(jī)將使用協(xié)商好的SA處理的數(shù)據(jù)包發(fā)送到網(wǎng)關(guān)。網(wǎng)關(guān)接收到數(shù)據(jù)包后，使用相應(yīng)的SA處理數(shù)據(jù)包，而后進(jìn)行載荷校驗(yàn)。這時(shí)，在載荷校驗(yàn)過程中，會(huì)因?yàn)闆]有將新協(xié)商而建立起來的SA的數(shù)據(jù)項(xiàng)和SPD連接在一起，而造成不能通過載荷校驗(yàn)。而且，當(dāng)網(wǎng)關(guān)需要給主機(jī)發(fā)送數(shù)據(jù)時(shí)，并不能在SPD中通過使用目的地址檢索到相應(yīng)的平安策略。因?yàn)椋鳈C(jī)是動(dòng)態(tài)地址，每次發(fā)送時(shí)使用的地址都有可能變化。假如發(fā)生這樣的狀況，那么由傳輸層交給IPSec模塊的數(shù)據(jù)包將會(huì)被丟棄。也就是說，網(wǎng)關(guān)將不能通過VPN隧道向主機(jī)發(fā)送數(shù)據(jù)。這個(gè)新問題顯然是由于SPD數(shù)據(jù)的更新新問題所引起的。因此，必須構(gòu)建一個(gè)平安策略系統(tǒng)來系統(tǒng)地管理和驗(yàn)證各種IPSec策略。

3.2遠(yuǎn)程訪問模型中策略系統(tǒng)的構(gòu)想

構(gòu)建一個(gè)策略系統(tǒng)，需要解決策略的定義、存取、管理、交換、驗(yàn)證、發(fā)現(xiàn)機(jī)制等新問題以及系統(tǒng)自身的平安性新問題。其中策略的表示和策略在動(dòng)態(tài)交換中的平安性新問題是系統(tǒng)的核心新問題。目前RFC尚未制定有關(guān)策略系統(tǒng)的標(biāo)準(zhǔn)，因此還沒有成熟的實(shí)現(xiàn)方案。

現(xiàn)在較為流行的方案是摘要：策略系統(tǒng)由四個(gè)部分組成——平安策略倉庫、策略服務(wù)器、平安網(wǎng)關(guān)、策略客戶端。其中平安策略倉庫（Repository）用于存儲(chǔ)策略信息，能對(duì)系統(tǒng)中的策略進(jìn)行匯總。它可以是目錄服務(wù)器或數(shù)據(jù)庫服務(wù)器，除了儲(chǔ)存管理員已經(jīng)編輯好的策略信息，還可以存儲(chǔ)其它的網(wǎng)絡(luò)信息和系統(tǒng)參數(shù)。策略決策點(diǎn)（PolicyDecisionPoint，PDP）通常也被稱為策略服務(wù)器，是整個(gè)系統(tǒng)的決策中心。它負(fù)責(zé)存取策略倉庫中的策略，并根據(jù)策略信息做出決策，然后將相應(yīng)的策略分配至策略執(zhí)行點(diǎn)。策略決策點(diǎn)還能檢測(cè)策略的變化和沖突，從而采取應(yīng)對(duì)辦法。策略執(zhí)行點(diǎn)（PolicyEnforcementPoint，PEP）是接受策略管理的網(wǎng)絡(luò)實(shí)體，通常也被稱作策略客戶端。它可以是路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備，負(fù)責(zé)執(zhí)行由策略決策點(diǎn)分配來的策略。同時(shí)它還向策略決策點(diǎn)發(fā)送信息，使策略決策點(diǎn)知道網(wǎng)絡(luò)的變化以及策略的執(zhí)行情況。服務(wù)器利用LDAP（輕量級(jí)目錄訪問協(xié)議）和數(shù)據(jù)庫交互，平安網(wǎng)關(guān)通過COPS（普通開放式策略服務(wù)協(xié)議）和服務(wù)器交互，策略服務(wù)器之間以及服務(wù)器和客戶端之間通過SPP（平安策略協(xié)議）進(jìn)行通訊。

而在遠(yuǎn)程訪問的模式下，只有公司總部一端設(shè)置了平安網(wǎng)關(guān)和策略服務(wù)器。所以可以把前面提到的方案進(jìn)行改進(jìn)，應(yīng)用到遠(yuǎn)程訪問模型中。

因此，可以將平安策略倉庫放置在策略服務(wù)器上，而策略服務(wù)器和平安網(wǎng)關(guān)相連。平安策略倉庫中存儲(chǔ)了一些永久信息，策略服務(wù)器可以依據(jù)這些信息做出相關(guān)的策略決定。平安策略倉庫最好采用LDAP這一類的標(biāo)準(zhǔn)目錄機(jī)制來進(jìn)行策略存。策略服務(wù)器負(fù)責(zé)使用策略決議方法來完成策略制訂。

把平安網(wǎng)關(guān)和遠(yuǎn)程訪問主機(jī)作為策略客戶端。當(dāng)策略客戶端啟動(dòng)的時(shí)候，需要自動(dòng)訪問策略服務(wù)器，讀取有關(guān)自己的平安策略。此外，當(dāng)策略服務(wù)器改變了某些平安策略時(shí)，就需要通知相關(guān)的策略客戶端訪問策略服務(wù)器來更新策略。策略客戶端必須實(shí)行本地保存策略，這是因?yàn)樗仨氈滥男?shù)據(jù)包實(shí)施了平安保護(hù)，哪些沒有。假如策略沒有進(jìn)行本地保存，內(nèi)核的各個(gè)數(shù)據(jù)包就會(huì)找不到這個(gè)策略，內(nèi)核就必須調(diào)用策略客戶端（這個(gè)客戶機(jī)必須依次和存儲(chǔ)中心聯(lián)系）和密鑰管理協(xié)議。另外，還要更新內(nèi)核策略。這樣，就會(huì)導(dǎo)致最初幾個(gè)數(shù)據(jù)包出現(xiàn)令人難以接受的延遲。

策略分配機(jī)制必須是平安的。策略下載的服務(wù)器應(yīng)該是通過驗(yàn)證的。除此以外，對(duì)該服務(wù)器的訪問也應(yīng)該是有限制的。假如這一條遭到破壞，網(wǎng)絡(luò)的平安就會(huì)大受威脅。我們?nèi)匀皇褂肅OPS在客戶端和策略服務(wù)器之間交換策略信息。

4結(jié)語

由于IPSecVPN出色的平安特性，使它越來越受到有著相對(duì)較高平安要求的企業(yè)或部門的青睞。本文提出的策略管理系統(tǒng)能夠很好的完成IPSec遠(yuǎn)程訪問VPN系統(tǒng)的策略管理。隨著IPSecVPN的廣泛使用，更加復(fù)雜的VPN系統(tǒng)會(huì)相繼出現(xiàn)。因此，其平安策略管理的新問題將逐步凸現(xiàn)，這方面的探究也將受到重視。