首頁 >
				文章中心 >
				
				正文
			
          
		
          
		
		
          
			
          
				
				
				
          
					
          
						
          遠程平安策略管理
          
						
						
						
						
						
          
						
						
					
          					
					 
           
          前言:本站為你精心整理了遠程平安策略管理范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
           
          遠程平安策略管理
           
          [摘要]VPN技術應用日益廣泛,IPSec已成為實現VPN的主要方式。文章對IPSec相關協議進行分析的基礎上,針對IPSec協議族在平安策略方面的不足,提出在遠程訪問模型中使用集中試策略管理并對該管理系統進行了探究。
           
          []PSecVPN;平安策略數據庫;平安關聯數據庫;平安策略
           
          1引言
           
          隨著Internet等公共網絡的迅速發展和國際經濟一體化的發展趨向,企業內部及企業間通過網絡傳遞信息的需求越來越多。如何以最低的費用保障通信的平安和高效,是企業極其關注的新問題。流行的解決方案是利用隧道技術,在Internet等不平安的公共網絡上建立平安的虛擬專用網絡,即虛擬專用網(VPN)。
           
          IPSec是實現VPN的一種協議,正在得到越來越廣泛的應用,將成為虛擬專用網的主要標準。盡管IPSec已經是一種包容極廣、功能極強的IP平安協議,但卻仍然不能算是適用于所有配置的一套極為完整的方案,其中仍然存在一些需要解決的新問題。本文對IPSec相關協議進行分析的基礎上,針對IPSec協議族在平安策略方面的不足,提出在遠程訪問模型中使用集中試策略管理,并對該管理系統進行了探究。
           
          2IPSecVPN
           
          IPSec協議為IPv4和IPv6提供可互操作的、高質量的、基于加密體制的平安方案。包括訪問控制、無連接的完整性、數據源認證、防止重播攻擊、信息加密和流量保密等平安服務。所有這些服務都建立在IP層,并保護上層的協議。這些服務通過使用兩個平安協議摘要:認證頭AH[RFC2402和封裝平安載荷ESP[RFC2406,以及通過使用加密密鑰管理過程和協議來實現。這些加密密鑰管理過程和協議包括Internet平安聯盟(SA)和密鑰管理協議(ISAKMP)[RFC2408以及Internet密鑰交換協議(IKE)[RFC2409。
           
          2.1認證頭(AH)協議。協議的目的是用來增加IP數據包的平安性。AH協議提供無連接的完整性、數據源認證和抗重播保護服務。
           
          2.2封裝平安載荷(ESP)協議。協議的目的和認證頭(AH)一樣,是用于提高IP的平安性。ESP提供數據保密、數據源認證、無連接完整性、抗重播服務和有限的數據流保護。
           
          AH和ESP協議都支持兩種工作模式摘要:傳輸模式和隧道模式。傳輸模式為上層協議提供平安保護,保護的是IP包的有效載荷或者說保護的是上層協議(如TCP、UDP和ICMP)。隧道模式是為整個IP包提供保護。
           
          2.3Internet平安聯盟密鑰管理協議(ISAKMP)。協議定義了協商、建立、修改和刪除SA的過程和包格式。ISAKMP提供了一個通用的SA屬性格式框架和一些可由不同密鑰交換協議使用的協商、修改、刪除SA的方法。ISAKMP被設計為密鑰交換無關的協議;并沒有讓它受限于任何具體的密鑰交換協議、密碼算法、密鑰生成技術或認證機制。
           
          2.4IKE。IKE是一個以受保護的方式為SA協商并提供經認證的密鑰信息的協議。IKE是一個混合協議,它使用到了三個不同協議的相關部分摘要:Internet平安聯盟和密鑰管理協議(ISAKMP)[MSST98、Oakley密鑰確定協議[Orm98和SKEME[Kra96。IKE為IPSec雙方提供用于生成加密密鑰和認證密鑰的密鑰信息。同樣,IKE使用ISAKMP為其他IPSec(AH和ESP)協議協商SA。
           
          2.5平安聯盟(SA)。SA的概念是IPSec密鑰管理的基礎。AH和ESP都使用SA,而且IKE協議的主要功能就是建立和維護SA。SA是兩個通信實體經過協商建立起來的一種簡單的“連接”,規定用來保護數據的IPSec協議類型、加密算法、認證方式、加密和認證密鑰、密鑰的生存時間以及抗重播攻擊的序列號等,為所承載的流量提供平安服務。
           
          IPSec的實現必須維護以下兩個和SA相關的數據庫摘要:平安策略數據庫(SPD),指定給IP數據流提供的平安服務,主要根據源地址、目的地址、入數據還是出數據等確定。SPD有一個排序的策略列表,針對入數據和出數據有不同的數據項。這些數據項可以指定某些數據流必須繞過IPSec處理,一些必須被丟棄或經過IPSec處理等策略;平安聯盟數據庫(SAD),包含每一個SA的參數信息,如AH或ESP算法和密鑰、序列號、協議模式以及SA的生命周期。對于出數據的處理,有一個SPD數據項包含指向某個SAD數據項的指針。也就是說,SPD決定了一個特定的數據包使用什么樣的SA。對于入數據的處理,由SAD來決定如何對特定的數據包作處理。
           
          3IPSec策略管理分析和設想
           
          3.1IPSecVPN中的策略管理
           
          在一個IPSec中,IPSec功能的正確性完全依據平安策略的正確制定和配置。傳統的方法是通過手工配置IPSec策略,這種方式在大型的分布式網絡中存在效率低、易出錯等新問題。而一個易出錯的策略將可能導致通訊的阻塞和嚴重的平安隱患。而且,既使每個平安域策略的制訂是正確的,也可能會在不同的平安域中,由于策略之間的交互,出現在局部范圍內平安策略的多樣性,從而造成端到端間通訊的嚴重新問題。
           
          根據以上協議建立起來的基于IPSec的VPN,當主機使用動態地址接入,發起VPN連接時。主機將使用協商好的SA處理的數據包發送到網關。網關接收到數據包后,使用相應的SA處理數據包,而后進行載荷校驗。這時,在載荷校驗過程中,會因為沒有將新協商而建立起來的SA的數據項和SPD連接在一起,而造成不能通過載荷校驗。而且,當網關需要給主機發送數據時,并不能在SPD中通過使用目的地址檢索到相應的平安策略。因為,主機是動態地址,每次發送時使用的地址都有可能變化。假如發生這樣的狀況,那么由傳輸層交給IPSec模塊的數據包將會被丟棄。也就是說,網關將不能通過VPN隧道向主機發送數據。這個新問題顯然是由于SPD數據的更新新問題所引起的。因此,必須構建一個平安策略系統來系統地管理和驗證各種IPSec策略。
           
          3.2遠程訪問模型中策略系統的構想
           
          構建一個策略系統,需要解決策略的定義、存取、管理、交換、驗證、發現機制等新問題以及系統自身的平安性新問題。其中策略的表示和策略在動態交換中的平安性新問題是系統的核心新問題。目前RFC尚未制定有關策略系統的標準,因此還沒有成熟的實現方案。
           
          現在較為流行的方案是摘要:策略系統由四個部分組成——平安策略倉庫、策略服務器、平安網關、策略客戶端。其中平安策略倉庫(Repository)用于存儲策略信息,能對系統中的策略進行匯總。它可以是目錄服務器或數據庫服務器,除了儲存管理員已經編輯好的策略信息,還可以存儲其它的網絡信息和系統參數。策略決策點(PolicyDecisionPoint,PDP)通常也被稱為策略服務器,是整個系統的決策中心。它負責存取策略倉庫中的策略,并根據策略信息做出決策,然后將相應的策略分配至策略執行點。策略決策點還能檢測策略的變化和沖突,從而采取應對辦法。策略執行點(PolicyEnforcementPoint,PEP)是接受策略管理的網絡實體,通常也被稱作策略客戶端。它可以是路由器、交換機、防火墻等網絡設備,負責執行由策略決策點分配來的策略。同時它還向策略決策點發送信息,使策略決策點知道網絡的變化以及策略的執行情況。服務器利用LDAP(輕量級目錄訪問協議)和數據庫交互,平安網關通過COPS(普通開放式策略服務協議)和服務器交互,策略服務器之間以及服務器和客戶端之間通過SPP(平安策略協議)進行通訊。
           
          而在遠程訪問的模式下,只有公司總部一端設置了平安網關和策略服務器。所以可以把前面提到的方案進行改進,應用到遠程訪問模型中。
           
          因此,可以將平安策略倉庫放置在策略服務器上,而策略服務器和平安網關相連。平安策略倉庫中存儲了一些永久信息,策略服務器可以依據這些信息做出相關的策略決定。平安策略倉庫最好采用LDAP這一類的標準目錄機制來進行策略存。策略服務器負責使用策略決議方法來完成策略制訂。
           
          把平安網關和遠程訪問主機作為策略客戶端。當策略客戶端啟動的時候,需要自動訪問策略服務器,讀取有關自己的平安策略。此外,當策略服務器改變了某些平安策略時,就需要通知相關的策略客戶端訪問策略服務器來更新策略。策略客戶端必須實行本地保存策略,這是因為它必須知道哪些數據包實施了平安保護,哪些沒有。假如策略沒有進行本地保存,內核的各個數據包就會找不到這個策略,內核就必須調用策略客戶端(這個客戶機必須依次和存儲中心聯系)和密鑰管理協議。另外,還要更新內核策略。這樣,就會導致最初幾個數據包出現令人難以接受的延遲。
           
          策略分配機制必須是平安的。策略下載的服務器應該是通過驗證的。除此以外,對該服務器的訪問也應該是有限制的。假如這一條遭到破壞,網絡的平安就會大受威脅。我們仍然使用COPS在客戶端和策略服務器之間交換策略信息。
           
          4結語
           
          由于IPSecVPN出色的平安特性,使它越來越受到有著相對較高平安要求的企業或部門的青睞。本文提出的策略管理系統能夠很好的完成IPSec遠程訪問VPN系統的策略管理。隨著IPSecVPN的廣泛使用,更加復雜的VPN系統會相繼出現。因此,其平安策略管理的新問題將逐步凸現,這方面的探究也將受到重視。