淺談IPsec策略管理的研究

　　基于策略的網(wǎng)絡(luò )互聯(lián)是當前安全研究的熱點(diǎn)問(wèn)題之一。該文首先介紹了IPsec協(xié)議中策略的含義及使用，繼而討論了IETF提出的安全策略系統的一般結構及各關(guān)鍵部件的功能劃分。最后討論了當前研究存在的問(wèn)題及今后的研究方向。

　　1 IPsec協(xié)議

　　IPSec(Internet Protocol Security)是IETF提出的一套開(kāi)放的標準協(xié)議，它是IPV6的安全標準，也可應用于目前的IPV4。IPSec協(xié)議是屬于網(wǎng)絡(luò )層的協(xié)議，IP層是實(shí)現端到端通信的最底層，但是IP協(xié)議在最初設計時(shí)并未考慮安全問(wèn)題，它無(wú)法保證高層協(xié)議載荷的安全，因而無(wú)法保證通信的安全。而IPSec協(xié)議通過(guò)對IP層數據的封裝和保護，能夠為高層協(xié)議載荷提供透明的安全通信保證。IPsec包括安全協(xié)議部分和密鑰協(xié)商部分，安全協(xié)議部分定義了對通信的各種保護方式；密鑰協(xié)商部分則定義了如何為安全協(xié)議協(xié)商保護參數，以及如何對通信實(shí)體的身份進(jìn)行鑒別。IETF的IPsec工作組已經(jīng)制定了諸多RFC，對IPsec的方方面面都進(jìn)行了定義，但其核心由其中的三個(gè)最基本的協(xié)議組成。即：認證協(xié)議頭(Authentication Header，AH)、安全載荷封裝(Encapsulating Security Payload，ESP)和互聯(lián)網(wǎng)密鑰交換協(xié)議(Internet Key Exchange Protocol，IKMP)。

　　AH協(xié)議提供數據源認證，無(wú)連接的完整性，以及一個(gè)可選的抗重放服務(wù)。AH認證整個(gè)IP頭，不過(guò)由于A(yíng)H不能加密數據包所加載的內容，因而它不保證任何的機密性。

　　ESP協(xié)議通過(guò)對數據包的全部數據和加載內容進(jìn)行全加密，來(lái)提供數據保密性、有限的數據流保密性，數據源認證，無(wú)連接的完整性，以及抗重放服務(wù)。和AH不同的是，ESP認證功能不對IP數據報中的源和目的以及其它域認證，這為ESP帶來(lái)了一定的靈活性。

　　IPSec使用IKE協(xié)議實(shí)現安全協(xié)議的自動(dòng)安全參數協(xié)商，可協(xié)商的安全參數包括數據加密及鑒別算法、加密及鑒別的密鑰、通信的保護模式(傳輸或隧道模式)、密鑰的生存期等，這些安全參數的總體稱(chēng)之為安全關(guān)聯(lián)(Security Association，SA)。IPsec協(xié)議族使用IKE密鑰交換協(xié)議來(lái)進(jìn)行密鑰及其它安全參數的協(xié)商[1]。

　　2 IPsec策略管理2.1 IPsec策略使用

　　IPsec的基本功能是訪(fǎng)問(wèn)控制以及有選擇地實(shí)施安全，即只有選中的IP報文才被允許通過(guò)或被指定的安全功能所保護。IPSec的實(shí)現需維護兩個(gè)與SA有關(guān)的數據庫，安全策略數據庫(Security Policy Database，SPD)和安全關(guān)聯(lián)數據庫(Security Association Database，SAD)。SPD是為IPSec實(shí)現提供安全策略配置，包括源、目的IP地址、掩碼、端口、傳輸層協(xié)議、動(dòng)作(丟棄、繞過(guò)、應用)、進(jìn)出標志、標識符、SA和策略指針。SAD是SA的集合，其內容(RFC要求的必須項)包括目的IP地址、安全協(xié)議、SPI、序列號計數器、序列號溢出標志、抗重播窗口、SA的生命期、進(jìn)出標志、SA狀態(tài)、IPSec協(xié)議模式(傳輸或隧道)、加密算法和驗證算法相關(guān)項目[1]。IPsec對進(jìn)出數據報文的處理過(guò)程如圖1、2所示[2]。

　　2.2 安全策略系統概述

　　IPSec安全服務(wù)的實(shí)施是基于安全策略的，安全策略提供了實(shí)施IPSec的一套規則。IETF的IPSec工作組于1999年1月針對安全策略配置管理存在的一系列問(wèn)題，提出了安全策略系統模型(Security Policy System，SPS)。SPS是一個(gè)分布式系統，

　　提供了一種發(fā)現、訪(fǎng)問(wèn)和處理安全策略信息的機制，使得主機和安全網(wǎng)關(guān)能夠在橫跨多個(gè)安全網(wǎng)關(guān)的路徑上建立一個(gè)安全的端到端的通信(如圖3所示)。SPS由策略服務(wù)器(Policy Server)、主文件、策略客戶(hù)端(Policy Client)、安全網(wǎng)關(guān)(Security Gate)和策略數據庫(Policy Database)組成，該系統模型應用安全策略規范語(yǔ)言(Security Policy Specification Language，SPSL)來(lái)描述安全策略，應用安全策略協(xié)議(Security Policy Protocol，SPP)來(lái)分發(fā)策略[3]。

　　在SPS里，安全域定義為共享同一個(gè)公用安全策略集的通信實(shí)體和資源組的集合。安全域將網(wǎng)絡(luò )進(jìn)行了劃分，每個(gè)安全域都包含有自己的 SPS 數據庫、策略服務(wù)器和策略客戶(hù)端。而 SPS 就是在這些安全域上分布式實(shí)現的一個(gè)數據庫管理系統。每個(gè)安全域含一個(gè)主文件(Master File)，文件中定義了安全域的描述信息，包含該安全域的網(wǎng)絡(luò )資源(主機、子網(wǎng)和網(wǎng)絡(luò ))及訪(fǎng)問(wèn)它們的策略，安全策略和完整的域定義就保存在主文件中。

　　本地策略信息與非本地策略一起構成了SPS數據庫。IETF已經(jīng)提供了一種把安全策略映射到輕型目錄訪(fǎng)問(wèn)協(xié)議(Light Weight Directory Access Protocol，LDAP)目錄數據庫存儲形式的方案。

　　策略服務(wù)器是一個(gè)策略決定點(diǎn)(Policy Decision Point，PDP)。它為安全域內所有用戶(hù)提供用戶(hù)狀態(tài)維護、策略分發(fā)等服務(wù)，同時(shí)為安全域管理員提供了一個(gè)集中管理和配置安全域數據信息的界面。當管理員修改了域策略后，服務(wù)器會(huì )通知該域已經(jīng)登錄的客戶(hù)端用戶(hù)更新本地組策略，然后客戶(hù)端根據新的組策略重新協(xié)商IPSec SA。策略服務(wù)器同時(shí)接收來(lái)自策略客戶(hù)和其它策略服務(wù)器的請求消息并加以處理，然后基于請求和服務(wù)控制規則將合適的策略信息提供給請求者。

　　策略客戶(hù)端是一個(gè)安全策略執行點(diǎn)(Policy Enforcement Point，PEP)。PEP是VPN設備的安全代理，用于根據PDP分配的安全策略設定設備上的具體安全參數。策略客戶(hù)端向 SPS 策略服務(wù)器提出策略請求，策略服務(wù)器在驗證了請求后，對這些請求產(chǎn)生相應的響應，如果是授權的用戶(hù)，就將相應的策略信息反饋給策略客戶(hù)端，如果沒(méi)有相應的策略信息，則由策略服務(wù)器負責協(xié)商解決。策略客戶(hù)端將策略應答轉換成應用所需的適當格式。

　　策略服務(wù)器和客戶(hù)使用SPP來(lái)交換策略信息。它采用客戶(hù)/服務(wù)器結構，將策略信息從SPS數據庫傳輸到安全網(wǎng)關(guān)和策略客戶(hù)端。SPP所傳送的策略信息包括描述通信的選擇符字段以及0個(gè)或多個(gè)SA記錄。這些SA記錄共同描述了整個(gè)通信中所需的SA。SPP同時(shí)還是一個(gè)網(wǎng)關(guān)發(fā)現協(xié)議，能夠自動(dòng)發(fā)現通信路徑上存在的安全網(wǎng)關(guān)及其安全策略。通信端點(diǎn)可以通過(guò)SPP來(lái)認證安全網(wǎng)關(guān)的標識，以及安全網(wǎng)關(guān)是否被授權代表它所聲稱(chēng)的源或目的端點(diǎn)。安全網(wǎng)關(guān)則可利用SPP與未知網(wǎng)關(guān)進(jìn)行安全策略的交換。

　　3 結束語(yǔ)

　　從概念上說(shuō)，SPS基本上滿(mǎn)足IPSec策略框架提出的需求，但是在應用的過(guò)程中存在很多問(wèn)題，比如沒(méi)有分析潛在的策略沖突和交互及進(jìn)行策略的正確性、一致性檢查。但SPS提供了很好的策略管理思想，可以加以借鑒構建新型的安全策略系統。然而，期望的安全需求和實(shí)現這些需求的特定IPsec策略之間存在著(zhù)模糊的關(guān)系。在大型分布式系統的安全管理中，需要將需求和策略清晰地分離開(kāi)，來(lái)讓客戶(hù)在較高層次下規定安全需求并自動(dòng)產(chǎn)生滿(mǎn)足這些需求的低級策略是一種可取的方法。對于如何劃分策略層次結構、實(shí)現策略的集中管理等還要做深入的研究。

　　參考文獻

　　[1] Kent S，Atkinson R. Security Architecture for the Internet Protocol. http：/ /www. ietf. org/ rfc / rfc2401. txt，1998 .5-16

　　[2] 張世永．網(wǎng)絡(luò )安全原理及應用. 科學(xué)出版社，2003.248-249

　　[3] BALTATU M，L IOY A，MAZZOCCH ID. Security Policy System Status and Perspective[A ]. Proceedings of the IEEE International Conference on Networks[C ]，2000. 278 - 284

【淺談IPsec策略管理的研究】相關(guān)文章：

淺談供應商管理庫存系統實(shí)施策略研究12-11

淺談?dòng)⒄Z(yǔ)交際策略教學(xué)實(shí)踐的研究03-01

淺談軟件開(kāi)發(fā)管理策略03-02

淺談《管理學(xué)原理》的基本問(wèn)題與教學(xué)策略研究02-28

淺談機電設備的安全管理策略12-06

淺談電力企業(yè)營(yíng)銷(xiāo)管理策略12-05

淺談高職英語(yǔ)口語(yǔ)教學(xué)策略的研究03-20

淺談?dòng)變簣@班級管理新策略09-28

淺談建筑經(jīng)濟成本管理的問(wèn)題及控制策略12-06

淺談大學(xué)英語(yǔ)口語(yǔ)交際策略教學(xué)研究03-06