IPSec遠程訪問的安全策略研究論文

IPSec遠程訪問的安全策略研究論文

　　遠程訪問(Remote access)是集成的“路由和遠程訪問”服務的一部分，用來為遠程辦公人員、外出人員，以及監(jiān)視和管理多個部門辦公室服務器的系統管理員提供遠程網絡。以下是學習啦小編今天為大家精心準備的：IPSec遠程訪問的安全策略研究修改論文。內容僅供參考，歡迎閱讀!

　　IPSec遠程訪問的安全策略研究全文如下：

　　[摘 要] 技術應用日益廣泛，IPSec已成為實現的主要方式。文章對IPSec相關協議進行分析的基礎上，針對IPSec協議族在安全策略方面的不足，提出在遠程訪問模型中使用集中試策略管理并對該管理系統進行了研究。

　　[關鍵詞] PSec ;安全策略數據庫;安全關聯數據庫;安全策略

　　1引　言

　　隨著Internet等公共網絡的迅速發(fā)展和國際經濟一體化的發(fā)展趨勢，企業(yè)內部及企業(yè)間通過網絡傳遞信息的需求越來越多。如何以最低的費用保障通信的安全與高效，是企業(yè)極其關注的問題。流行的解決方案是利用隧道技術，在Internet等不安全的公共網絡上建立安全的虛擬專用網絡，即虛擬專用網()。

　　IPSec是實現的一種協議，正在得到越來越廣泛的應用，將成為虛擬專用網的主要標準。盡管IPSec已經是一種包容極廣、功能極強的IP安全協議，但卻仍然不能算是適用于所有配置的一套極為完整的方案，其中仍然存在一些需要解決的問題。本文對IPSec相關協議進行分析的基礎上，針對IPSec協議族在安全策略方面的不足，提出在遠程訪問模型中使用集中試策略管理，并對該管理系統進行了研究。

　　2 IPSec

　　IPSec協議為IPv4和IPv6提供可互操作的、高質量的、基于加密體制的安全方案。包括訪問控制、無連接的完整性、數據源認證、防止重播攻擊、信息加密和流量保密等安全服務。所有這些服務都建立在IP層，并保護上層的協議。這些服務通過使用兩個安全協議：認證頭AH[RFC2402]和封裝安全載荷ESP[RFC2406]，以及通過使用加密密鑰管理過程和協議來實現。這些加密密鑰管理過程和協議包括Internet安全聯盟(SA)和密鑰管理協議(ISAKMP)[RFC2408]以及Internet密鑰交換協議(IKE)[RFC2409]。

　　2.1 認證頭(AH)協議。協議的目的是用來增加IP數據包的安全性。AH協議提供無連接的完整性、數據源認證和抗重播保護服務。

　　2.2 封裝安全載荷(ESP)協議。協議的目的和認證頭(AH)一樣，是用于提高IP的安全性。ESP提供數據保密、數據源認證、無連接完整性、抗重播服務和有限的數據流保護。

　　AH和ESP協議都支持兩種工作模式：傳輸模式和隧道模式。傳輸模式為上層協議提供安全保護，保護的是IP包的有效載荷或者說保護的是上層協議(如TCP、UDP和ICMP)。隧道模式是為整個IP包提供保護。

　　2.3 Internet安全聯盟密鑰管理協議(ISAKMP)。協議定義了協商、建立、修改和刪除SA的過程和包格式。ISAKMP提供了一個通用的SA屬性格式框架和一些可由不同密鑰交換協議使用的協商、修改、刪除SA的方法。ISAKMP被設計為密鑰交換無關的協議;并沒有讓它受限于任何具體的密鑰交換協議、密碼算法、密鑰生成技術或認證機制。

　　2.4 IKE。IKE是一個以受保護的方式為SA協商并提供經認證的密鑰信息的協議。IKE是一個混合協議，它使用到了三個不同協議的相關部分：Internet安全聯盟和密鑰管理協議(ISAKMP)[MSST98]、Oakley密鑰確定協議[Orm98]和SKEME[Kra96]。IKE為IPSec雙方提供用于生成加密密鑰和認證密鑰的密鑰信息。同樣，IKE使用ISAKMP為其他IPSec(AH和ESP)協議協商SA。

　　2.5 安全聯盟(SA)。SA的概念是IPSec密鑰管理的基礎。AH和ESP都使用SA，而且IKE協議的主要功能就是建立和維護SA。SA是兩個通信實體經過協商建立起來的一種簡單的“連接”，規(guī)定用來保護數據的IPSec協議類型、加密算法、認證方式、加密和認證密鑰、密鑰的生存時間以及抗重播攻擊的序列號等，為所承載的流量提供安全服務。

　　IPSec的實現必須維護以下兩個與SA相關的數據庫：安全策略數據庫(SPD)，指定給IP數據流提供的安全服務，主要根據源地址、目的地址、入數據還是出數據等確定。SPD有一個排序的策略列表，針對入數據和出數據有不同的數據項。這些數據項可以指定某些數據流必須繞過IPSec處理，一些必須被丟棄或經過IPSec處理等策略;安全聯盟數據庫(SAD),包含每一個SA的參數信息，如AH或ESP算法和密鑰、序列號、協議模式以及SA的生命周期。對于出數據的處理，有一個SPD數據項包含指向某個SAD數據項的指針。也就是說，SPD決定了一個特定的數據包使用什么樣的SA。對于入數據的處理，由SAD來決定如何對特定的數據包作處理。

　　3 IPSec策略管理分析與設想

　　3.1 IPSec 中的策略管理

　　在一個IPSec中，IPSec功能的正確性完全依據安全策略的正確制定與配置。傳統的方法是通過手工配置IPSec策略，這種方式在大型的分布式網絡中存在效率低、易出錯等問題。而一個易出錯的策略將可能導致通訊的阻塞和嚴重的安全隱患。而且，既使每個安全域策略的制訂是正確的，也可能會在不同的安全域中，由于策略之間的交互，出現在局部范圍內安全策略的多樣性，從而造成端到端間通訊的嚴重問題。

　　根據以上協議建立起來的基于IPSec的，當主機使用動態(tài)地址接入，發(fā)起連接時。主機將使用協商好的SA處理的數據包發(fā)送到網關。網關接收到數據包后，使用相應的SA處理數據包，而后進行載荷校驗。這時，在載荷校驗過程中，會因為沒有將新協商而建立起來的SA的數據項與SPD連接在一起，而造成不能通過載荷校驗。而且，當網關需要給主機發(fā)送數據時，并不能在SPD中通過使用目的地址檢索到相應的安全策略。因為，主機是動態(tài)地址，每次發(fā)送時使用的地址都有可能變化。如果發(fā)生這樣的狀況，那么由傳輸層交給IPSec模塊的數據包將會被丟棄。也就是說，網關將不能通過隧道向主機發(fā)送數據。這個問題顯然是由于SPD數據的更新問題所引起的。因此，必須構建一個安全策略系統來系統地管理和驗證各種IPSec策略。

　　3.2 遠程訪問模型中策略系統的構想

　　構建一個策略系統，需要解決策略的定義、存取、管理、交換、驗證、發(fā)現機制等問題以及系統自身的安全性問題。其中策略的表示和策略在動態(tài)交換中的安全性問題是系統的核心問題。目前RFC尚未制定關于策略系統的標準，因此還沒有成熟的實現方案。

　　現在較為流行的方案是：策略系統由四個部分組成——安全策略倉庫、策略服務器、安全網關、策略客戶端。其中安全策略倉庫(Repository)用于存儲策略信息，能對系統中的策略進行匯總。它可以是目錄服務器或數據庫服務器，除了儲存管理員已經編輯好的策略信息，還可以存儲其它的網絡信息和系統參數。策略決策點(Policy Decision Point，PDP)通常也被稱為策略服務器，是整個系統的決策中心。它負責存取策略倉庫中的策略，并根據策略信息做出決策，然后將相應的策略分配至策略執(zhí)行點。策略決策點還能檢測策略的變化和沖突，從而采取應對措施。策略執(zhí)行點(Policy Enforcement Point，PEP)是接受策略管理的網絡實體，通常也被稱作策略客戶端。它可以是路由器、交換機、防火墻等網絡設備，負責執(zhí)行由策略決策點分配來的策略。同時它還向策略決策點發(fā)送信息，使策略決策點知道網絡的變化以及策略的執(zhí)行情況。服務器利用LDAP(輕量級目錄訪問協議)與數據庫交互，安全網關通過COPS(普通開放式策略服務協議)與服務器交互，策略服務器之間以及服務器與客戶端之間通過SPP(安全策略協議)進行通訊。

　　而在遠程訪問的模式下，只有公司總部一端設置了安全網關和策略服務器。所以可以把前面提到的方案進行改進，應用到遠程訪問模型中。

　　因此，可以將安全策略倉庫放置在策略服務器上，而策略服務器與安全網關相連。安全策略倉庫中存儲了一些永久信息，策略服務器可以依據這些信息做出相關的策略決定。安全策略倉庫最好采用LDAP這一類的標準目錄機制來進行策略存。策略服務器負責使用策略決議方法來完成策略制訂。

　　把安全網關和遠程訪問主機作為策略客戶端。當策略客戶端啟動的時候，需要自動訪問策略服務器，讀取關于自己的安全策略。此外，當策略服務器改變了某些安全策略時，就需要通知相關的策略客戶端訪問策略服務器來更新策略。策略客戶端必須實行本地保存策略，這是因為它必須知道哪些數據包實施了安全保護，哪些沒有。如果策略沒有進行本地保存，內核的各個數據包就會找不到這個策略，內核就必須調用策略客戶端(這個客戶機必須依次與存儲中心聯系)和密鑰管理協議。另外，還要更新內核策略。這樣，就會導致最初幾個數據包出現令人難以接受的延遲。

　　策略分配機制必須是安全的。策略下載的服務器應該是通過驗證的。除此以外，對該服務器的訪問也應該是有限制的。如果這一條遭到破壞，網絡的安全就會大受威脅。我們仍然使用COPS在客戶端與策略服務器之間交換策略信息。

　　4結 語

　　由于IPSec 出色的安全特性，使它越來越受到有著相對較高安全要求的企業(yè)或部門的青睞。本文提出的策略管理系統能夠很好的完成IPSec遠程訪問系統的策略管理。隨著IPSec 的廣泛使用，更加復雜的系統會相繼出現。因此，其安全策略管理的問題將逐步凸現，這方面的研究也將受到重視。