IPSec远程访问VPN的安全策略研究_第1页
IPSec远程访问VPN的安全策略研究_第2页
IPSec远程访问VPN的安全策略研究_第3页
IPSec远程访问VPN的安全策略研究_第4页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、IPSec远程访问VPN的平安策略研究摘要VPN技术应用日益广泛,IPSe已成为实现VPN的主要方式。文章对IPSe相关协议进展分析的根底上,针对IPSe协议族在平安策略方面的缺乏,提出在远程访问模型中使用集中试策略管理并对该管理系统进展了研究。关键词PSeVPN;平安策略数据库;平安关联数据库;平安策略1引言随着Internet等公共网络的迅速开展和国际经济一体化的开展趋势,企业内部及企业间通过网络传递信息的需求越来越多。如何以最低的费用保障通信的平安与高效,是企业极其关注的问题。流行的解决方案是利用隧道技术,在Internet等不平安的公共网络上建立平安的虚拟专用网络,即虚拟专用网VPN。

2、IPSe是实现VPN的一种协议,正在得到越来越广泛的应用,将成为虚拟专用网的主要标准。尽管IPSe已经是一种包容极广、功能极强的IP平安协议,但却仍然不能算是适用于所有配置的一套极为完好的方案,其中仍然存在一些需要解决的问题。本文对IPSe相关协议进展分析的根底上,针对IPSe协议族在平安策略方面的缺乏,提出在远程访问模型中使用集中试策略管理,并对该管理系统进展了研究。2IPSeVPNIPSe协议为IPv4和IPv6提供可互操作的、高质量的、基于加密体制的平安方案。包括访问控制、无连接的完好性、数据源认证、防止重播攻击、信息加密和流量保密等平安效劳。所有这些效劳都建立在IP层,并保护上层的协议

3、。这些效劳通过使用两个平安协议:认证头AHRF2402和封装平安载荷ESPRF2406,以及通过使用加密密钥管理过程和协议来实现。这些加密密钥管理过程和协议包括Internet平安联盟SA和密钥管理协议ISAKPRF2408以及Internet密钥交换协议IKERF2409。2.1认证头AH协议。协议的目的是用来增加IP数据包的平安性。AH协议提供无连接的完好性、数据源认证和抗重播保护效劳。2.2封装平安载荷ESP协议。协议的目的和认证头AH一样,是用于进步IP的平安性。ESP提供数据保密、数据源认证、无连接完好性、抗重播效劳和有限的数据流保护。AH和ESP协议都支持两种工作形式:传输形式和隧

4、道形式。传输形式为上层协议提供平安保护,保护的是IP包的有效载荷或者说保护的是上层协议如TP、UDP和IP。隧道形式是为整个IP包提供保护。2.3Internet平安联盟密钥管理协议ISAKP。协议定义了协商、建立、修改和删除SA的过程和包格式。ISAKP提供了一个通用的SA属性格式框架和一些可由不同密钥交换协议使用的协商、修改、删除SA的方法。ISAKP被设计为密钥交换无关的协议;并没有让它受限于任何详细的密钥交换协议、密码算法、密钥生成技术或认证机制。2.4IKE。IKE是一个以受保护的方式为SA协商并提供经认证的密钥信息的协议。IKE是一个混合协议,它使用到了三个不同协议的相关部分:In

5、ternet平安联盟和密钥管理协议ISAKPSST98、akley密钥确定协议r98和SKEEKra96。IKE为IPSe双方提供用于生成加密密钥和认证密钥的密钥信息。同样,IKE使用ISAKP为其他IPSeAH和ESP协议协商SA。2.5平安联盟(SA)。SA的概念是IPSe密钥管理的基矗AH和ESP都使用SA,而且IKE协议的主要功能就是建立和维护SA。SA是两个通信实体经过协商建立起来的一种简单的“连接,规定用来保护数据的IPSe协议类型、加密算法、认证方式、加密和认证密钥、密钥的生存时间以及抗重播攻击的序列号等,为所承载的流量提供平安效劳。IPSe的实现必须维护以下两个与SA相关的数据

6、库:平安策略数据库SPD,指定给IP数据流提供的平安效劳,主要根据源地址、目的地址、入数据还是出数据等确定。SPD有一个排序的策略列表,针对入数据和出数据有不同的数据项。这些数据项可以指定某些数据流必须绕过IPSe处理,一些必须被丢弃或经过IPSe处理等策略;平安联盟数据库SAD,包含每一个SA的参数信息,如AH或ESP算法和密钥、序列号、协议形式以及SA的生命周期。对于出数据的处理,有一个SPD数据项包含指向某个SAD数据项的指针。也就是说,SPD决定了一个特定的数据包使用什么样的SA。对于入数据的处理,由SAD来决定如何对特定的数据包作处理。3IPSe策略管理分析与设想3.1IPSeVPN

7、中的策略管理在一个IPSe中,IPSe功能的正确性完全根据平安策略的正确制定与配置。传统的方法是通过手工配置IPSe策略,这种方式在大型的分布式网络中存在效率低、易出错等问题。而一个易出错的策略将可能导致通讯的阻塞和严重的平安隐患。而且,既使每个平安域策略的制订是正确的,也可能会在不同的平安域中,由于策略之间的交互,出如今部分范围内平安策略的多样性,从而造成端到端间通讯的严重问题。根据以上协议建立起来的基于IPSe的VPN,当主机使用动态地址接入,发起VPN连接时。主机将使用协商好的SA处理的数据包发送到网关。网关接收到数据包后,使用相应的SA处理数据包,而后进展载荷校验。这时,在载荷校验过程

8、中,会因为没有将新协商而建立起来的SA的数据项与SPD连接在一起,而造成不能通过载荷校验。而且,当网关需要给主机发送数据时,并不能在SPD中通过使用目的地址检索到相应的平安策略。因为,主机是动态地址,每次发送时使用的地址都有可能变化。假如发生这样的状况,那么由传输层交给IPSe模块的数据包将会被丢弃。也就是说,网关将不能通过VPN隧道向主机发送数据。这个问题显然是由于SPD数据的更新问题所引起的。因此,必须构建一个平安策略系统来系统地管理和验证各种IPSe策略。3.2远程访问模型中策略系统的设想构建一个策略系统,需要解决策略的定义、存娶管理、交换、验证、发现机制等问题以及系统自身的平安性问题。

9、其中策略的表示和策略在动态交换中的平安性问题是系统的核心问题。目前RF尚未制定关于策略系统的标准,因此还没有成熟的实现方案。如今较为流行的方案是:策略系统由四个部分组成平安策略仓库、策略效劳器、平安网关、策略客户端。其中平安策略仓库Repsitry用于存储策略信息,能对系统中的策略进展汇总。它可以是目录效劳器或数据库效劳器,除了储存管理员已经编辑好的策略信息,还可以存储其它的网络信息和系统参数。策略决策点PliyDeisinPint,PDP通常也被称为策略效劳器,是整个系统的决策中心。它负责存取策略仓库中的策略,并根据策略信息做出决策,然后将相应的策略分配至策略执行点。策略决策点还能检测策略的

10、变化和冲突,从而采取应对措施。策略执行点PliyEnfreentPint,PEP是承受策略管理的网络实体,通常也被称作策略客户端。它可以是路由器、交换机、防火墙等网络设备,负责执行由策略决策点分配来的策略。同时它还向策略决策点发送信息,使策略决策点知道网络的变化以及策略的执行情况。效劳器利用LDAP轻量级目录访问协议与数据库交互,平安网关通过PS普通开放式策略效劳协议与效劳器交互,策略效劳器之间以及效劳器与客户端之间通过SPP平安策略协议进展通讯。而在远程访问的形式下,只有公司总部一端设置了平安网关和策略效劳器。所以可以把前面提到的方案进展改良,应用到远程访问模型中。因此,可以将平安策略仓库放

11、置在策略效劳器上,而策略效劳器与平安网关相连。平安策略仓库中存储了一些永久信息,策略效劳器可以根据这些信息做出相关的策略决定。平安策略仓库最好采用LDAP这一类的标准目录机制来进展策略存。策略效劳器负责使用策略决议方法来完成策略制订。把平安网关和远程访问主机作为策略客户端。当策略客户端启动的时候,需要自动访问策略效劳器,读取关于自己的平安策略。此外,当策略效劳器改变了某些平安策略时,就需要通知相关的策略客户端访问策略效劳器来更新策略。策略客户端必须实行本地保存策略,这是因为它必须知道哪些数据包施行了平安保护,哪些没有。假如策略没有进展本地保存,内核的各个数据包就会找不到这个策略,内核就必须调用策略客户端这个客户机必须依次与存储中心联络和密钥管理协议。另外,还要更新内核策略。这样,就会导致最初几个数据包出现令人难以承受的延迟。策略分配机制必须是平安的。策略下载的效劳器应该是通过验证的。除此以外,对该效劳器的访问也应该是有限制的。假如这一条遭到破坏,网络的平安就

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论