《IPsec安全策略系统.docx》由会员分享,可在线阅读,更多相关《IPsec安全策略系统.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、IPsec安全策略系统摘要基于策略的网络互联是当前安全研究的热门问题之一。该文首先介绍了IPsec协议中策略的含义及使用,继而讨论了IETF提出的安全策略系统的一般构造及各关键部件的功能划分。最后讨论了当前研究存在的问题及今后的研究方向。关键词Ipsec;安全策略数据库;安全关联数据库;安全策略系统1IPsec协议IPSec(InternetProtocolSecurity)是IETF提出的一套开放的标准协议,它是IPV6的安全标准,可以应用于目前的IPV4。IPSec协议是属于网络层的协议,IP层是实现端到端通信的最底层,但是IP协议在最初设计时并未考虑安全问题,它无法保证高层协议载荷的安全
2、,因此无法保证通信的安全。而IPSec协议通过对IP层数据的封装和保护,能够为高层协议载荷提供透明的安全通信保证。IPsec包括安全协议部分和密钥协商部分,安全协议部分定义了对通信的各种保护方式;密钥协商部分则定义了怎样为安全协议协商保护参数,以及怎样对通信实体的身份进行鉴别。IETF的IPsec工作组已经制定了众多RFC,对IPsec的方方面面都进行了定义,但其核心由其中的三个最基本的协议组成。即:认证协议头(AuthenticationHeader,AH)、安全载荷封装(EncapsulatingSecurityPayload,ESP)和互联网密钥交换协议(InternetKeyExcha
3、ngeProtocol,IKMP)。AH协议提供数据源认证,无连接的完好性,以及一个可选的抗重放服务。AH认证整个IP头,不过由于AH不能加密数据包所加载的内容,因此它不保证任何的机密性。ESP协议通过对数据包的全部数据和加载内容进行全加密,来提供数据保密性、有限的数据流保密性,数据源认证,无连接的完好性,以及抗重放服务。和AH不同的是,ESP认证功能不对IP数据报中的源和目的以及其它域认证,这为ESP带来了一定的灵敏性。IPSec使用IKE协议实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护形式(传输或隧道形式)、密钥的生存期等,这些安全参
4、数的总体称之为安全关联(SecurityAssociation,SA)。IPsec协议族使用IKE密钥交换协议来进行密钥及其它安全参数的协商1。2IPsec策略管理2.1IPsec策略使用IPsec的基本功能是访问控制以及有选择地施行安全,即只要选中的IP报文才被允许通过或被指定的安全功能所保护。IPSec的实现需维护两个与SA有关的数据库,安全策略数据库(SecurityPolicyDatabase,SPD)和安全关联数据库(SecurityAssociationDatabase,SAD)。SPD是为IPSec实现提供安全策略配置,包括源、目的IP地址、掩码、端口、传输层协议、动作(丢弃、绕
5、过、应用)、进出标志、标识符、SA和策略指针。SAD是SA的集合,其内容(RFC要求的必须项)包括目的IP地址、安全协议、SPI、序列号计数器、序列号溢出标志、抗重播窗口、SA的生命期、进出标志、SA状态、IPSec协议形式(传输或隧道)、加密算法和验证算法相关项目1。IPsec对进出数据报文的处理经过如图1、2所示2。2.2安全策略系统概述IPSec安全服务的施行是基于安全策略的,安全策略提供了施行IPSec的一套规则。IETF的IPSec工作组于1999年1月针对安全策略配置管理存在的一系列问题,提出了安全策略系统模型(SecurityPolicySystem,SPS)。SPS是一个分布式
6、系统,提供了一种发现、访问和处理安全策略信息的机制,使得主机和安全网关能够在横跨多个安全网关的途径上建立一个安全的端到端的通信(如图3所示)。SPS由策略服务器(PolicyServer)、主文件、策略客户端(PolicyClient)、安全网关(SecurityGate)和策略数据库(PolicyDatabase)组成,该系统模型应用安全策略规范语言(SecurityPolicySpecificationLanguage,SPSL)来描绘安全策略,应用安全策略协议(SecurityPolicyProtocol,SPP)来分发策略3。在SPS里,安全域定义为分享同一个公用安全策略集的通信实体和
7、资源组的集合。安全域将网络进行了划分,每个安全域都包含有本人的SPS数据库、策略服务器和策略客户端。而SPS就是在这些安全域上分布式实现的一个数据库管理系统。每个安全域含一个主文件(MasterFile),文件中定义了安全域的描绘信息,包含该安全域的网络资源(主机、子网和网络)及访问它们的策略,安全策略和完好的域定义就保存在主文件中。本地策略信息与非本地策略一起构成了SPS数据库。IETF已经提供了一种把安全策略映射到轻型目录访问协议(LightWeightDirectoryAccessProtocol,LDAP)目录数据库存储形式的方案。策略服务器是一个策略决定点(PolicyDecisio
8、nPoint,PDP)。它为安全域内所有用户提供用户状态维护、策略分发等服务,同时为安全域管理员提供了一个集中管理和配置安全域数据信息的界面。当管理员修改了域策略后,服务器会通知该域已经登录的客户端用户更新本地组策略,然后客户端根据新的组策略重新协商IPSecSA。策略服务器同时接收来自策略客户和其它策略服务器的请求消息并加以处理,然后基于请求和服务控制规则将适宜的策略信息提供应请求者。图3安全策略系统策略客户端是一个安全策略执行点(PolicyEnforcementPoint,PEP)。PEP是VPN设备的安全,用于根据PDP分配的安全策略设定设备上的详细安全参数。策略客户端向SPS策略服务
9、器提出策略请求,策略服务器在验证了请求后,对这些请求产生相应的响应,假如是受权的用户,就将相应的策略信息反应给策略客户端,假如没有相应的策略信息,则由策略服务器负责协商解决。策略客户端将策略应答转换成应用所需的适当格式。策略服务器和客户使用SPP来交换策略信息。它采用客户/服务器构造,将策略信息从SPS数据库传输到安全网关和策略客户端。SPP所传送的策略信息包括描绘通信的选择符字段以及0个或多个SA记录。这些SA记录共同描绘了整个通信中所需的SA。SPP同时还是一个网关发现协议,能够自动发现通信途径上存在的安全网关及其安全策略。通信端点能够通过SPP来认证安全网关的标识,以及安全网关能否被受权
10、代表它所声称的源或目的端点。安全网关则可利用SPP与未知网关进行安全策略的交换。3结束语从概念上讲,SPS基本上知足IPSec策略框架提出的需求,但是在应用的经过中存在很多问题,比方没有分析潜在的策略冲突和交互及进行策略的正确性、一致性检查。但SPS提供了很好的策略管理思想,能够加以借鉴构建新型的安全策略系统。然而,期望的安全需求和实现这些需求的特定IPsec策略之间存在着模糊的关系。在大型分布式系统的安全管理中,需要将需求和策略明晰地分离开,来让客户在较高层次下规定安全需求并自动产生知足这些需求的低级策略是一种可取的方法。对于怎样划分策略层次构造、实现策略的集中管理等还要做深化的研究。参考文献1KentS,AtkinsonR.SecurityArchitecturefortheInternetProtocol.:/rfc/rfc2401.txt,1998.5-162张世永网络安全原理及应用.科学出版社,2003.248-2493BALTATUM,LIOYA,MAZZOCCHID.SecurityPolicySystemStatusandPerspectiveA.ProceedingsoftheIEEEInternationalConferenceonNetworksC,2000.278-284