資源描述:
《ipsec遠(yuǎn)程訪問vpn的安全策略研究網(wǎng)絡(luò)畢業(yè)》由會(huì)員上傳分享��,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1�、IPSec遠(yuǎn)程訪問VPN的安全策略研究網(wǎng)絡(luò)畢業(yè)[摘要]VPN技術(shù)日益廣泛,IPSec已成為實(shí)現(xiàn)VPN的主要方式���。文章對(duì)IPSec相關(guān)協(xié)議進(jìn)行的基礎(chǔ)上��,針對(duì)IPSec協(xié)議族在安全策略方面的不足��,提出在遠(yuǎn)程訪問模型中使用集中試策略管理并對(duì)該管理系統(tǒng)進(jìn)行了����。[關(guān)鍵詞]PSecVPN���;安全策略數(shù)據(jù)庫����;安全關(guān)聯(lián)數(shù)據(jù)庫���;安全策略1引 言隨著Inter等公共的迅速和國際一體化的發(fā)展趨勢(shì),內(nèi)部及企業(yè)間通過網(wǎng)絡(luò)傳遞信息的需求越來越多��。如何以最低的費(fèi)用保障通信的安全與高效����,是企業(yè)極其關(guān)注的���。流行的解決方案是利用隧道技術(shù)�,在Inter等不安全的公共網(wǎng)絡(luò)上建立安全的虛擬專用網(wǎng)絡(luò)�����,即虛擬專用網(wǎng)(VP
2����、N)��。IPSec是實(shí)現(xiàn)VPN的一種協(xié)議���,正在得到越來越廣泛的應(yīng)用,將成為虛擬專用網(wǎng)的主要標(biāo)準(zhǔn)��。盡管IPSec已經(jīng)是一種包容極廣���、功能極強(qiáng)的IP安全協(xié)議���,但卻仍然不能算是適用于所有配置的一套極為完整的方案���,其中仍然存在一些需要解決的問題��。本文對(duì)IPSec相關(guān)協(xié)議進(jìn)行分析的基礎(chǔ)上�,針對(duì)IPSec協(xié)議族在安全策略方面的不足���,提出在遠(yuǎn)程訪問模型中使用集中試策略管理,并對(duì)該管理系統(tǒng)進(jìn)行了研究�����。2IPSecVPNIPSec協(xié)議為IPv4和IPv6提供可互操作的���、高質(zhì)量的、基于加密體制的安全方案����。包括訪問控制、無連接的完整性�����、數(shù)據(jù)源認(rèn)證�����、防止重播攻擊、信息加密和流量保密等安全服務(wù)�����。所有這
3�、些服務(wù)都建立在IP層,并保護(hù)上層的協(xié)議�。這些服務(wù)通過使用兩個(gè)安全協(xié)議:認(rèn)證頭AH[RFC2402]和封裝安全載荷ESP[RFC2406]���,以及通過使用加密密鑰管理過程和協(xié)議來實(shí)現(xiàn)。這些加密密鑰管理過程和協(xié)議包括Inter安全聯(lián)盟(SA)和密鑰管理協(xié)議(ISAKMP)[RFC2408]以及Inter密鑰交換協(xié)議(IKE)[RFC2409]���。2.1認(rèn)證頭(AH)協(xié)議�����。協(xié)議的目的是用來增加IP數(shù)據(jù)包的安全性���。AH協(xié)議提供無連接的完整性、數(shù)據(jù)源認(rèn)證和抗重播保護(hù)服務(wù)��。(作文網(wǎng)z98]和SKEME[Kra96]���。IKE為IPSec雙方提供用于生成加密密鑰和認(rèn)證密鑰的密鑰信息。同樣���,IK
4、E使用ISAKMP為其他IPSec(AH和ESP)協(xié)議協(xié)商SA��。2.5安全聯(lián)盟(SA)�。SA的概念是IPSec密鑰管理的基礎(chǔ)�����。AH和ESP都使用SA����,而且IKE協(xié)議的主要功能就是建立和維護(hù)SA。SA是兩個(gè)通信實(shí)體經(jīng)過協(xié)商建立起來的一種簡單的“連接”�����,規(guī)定用來保護(hù)數(shù)據(jù)的IPSec協(xié)議類型���、加密算法���、認(rèn)證方式�����、加密和認(rèn)證密鑰����、密鑰的生存時(shí)間以及抗重播攻擊的序列號(hào)等�,為所承載的流量提供安全服務(wù)�。IPSec的實(shí)現(xiàn)必須維護(hù)以下兩個(gè)與SA相關(guān)的數(shù)據(jù)庫:安全策略數(shù)據(jù)庫(SPD),指定給IP數(shù)據(jù)流提供的安全服務(wù)�����,主要根據(jù)源地址���、目的地址���、入數(shù)據(jù)還是出數(shù)據(jù)等確定�。SPD有一個(gè)排序的策略列表,
5�、針對(duì)入數(shù)據(jù)和出數(shù)據(jù)有不同的數(shù)據(jù)項(xiàng)���。這些數(shù)據(jù)項(xiàng)可以指定某些數(shù)據(jù)流必須繞過IPSec處理��,一些必須被丟棄或經(jīng)過IPSec處理等策略;安全聯(lián)盟數(shù)據(jù)庫(SAD),包含每一個(gè)SA的參數(shù)信息�����,如AH或ESP算法和密鑰���、序列號(hào)����、協(xié)議模式以及SA的生命周期�����。對(duì)于出數(shù)據(jù)的處理����,有一個(gè)SPD數(shù)據(jù)項(xiàng)包含指向某個(gè)SAD數(shù)據(jù)項(xiàng)的指針��。也就是說����,SPD決定了一個(gè)特定的數(shù)據(jù)包使用什么樣的SA���。對(duì)于入數(shù)據(jù)的處理,由SAD來決定如何對(duì)特定的數(shù)據(jù)包作處理���。您可以訪問中國評(píng)價(jià)網(wǎng)(.NsEac.)查看更多相關(guān)的文章。3IPSec策略管理分析與設(shè)想3.1IPSecVPN中的策略管理在一個(gè)IPSec中�,IPSec功能
6��、的正確性完全依據(jù)安全策略的正確制定與配置。傳統(tǒng)的方法是通過手工配置IPSec策略����,這種方式在大型的分布式網(wǎng)絡(luò)中存在效率低、易出錯(cuò)等問題���。而一個(gè)易出錯(cuò)的策略將可能導(dǎo)致通訊的阻塞和嚴(yán)重的安全隱患。而且����,既使每個(gè)安全域策略的制訂是正確的����,也可能會(huì)在不同的安全域中,由于策略之間的交互���,出現(xiàn)在局部范圍內(nèi)安全策略的多樣性,從而造成端到端間通訊的嚴(yán)重問題���。根據(jù)以上協(xié)議建立起來的基于IPSec的VPN�,當(dāng)主機(jī)使用動(dòng)態(tài)地址接入�,發(fā)起VPN連接時(shí)。主機(jī)將使用協(xié)商好的SA處理的數(shù)據(jù)包發(fā)送到網(wǎng)關(guān)��。網(wǎng)關(guān)接收到數(shù)據(jù)包后���,使用相應(yīng)的SA處理數(shù)據(jù)包,而后進(jìn)行載荷校驗(yàn)�����。這時(shí)�����,在載荷校驗(yàn)過程中��,會(huì)因?yàn)闆]有將新
7、協(xié)商而建立起來的SA的數(shù)據(jù)項(xiàng)與SPD連接在一起�����,而造成不能通過載荷校驗(yàn)���。而且��,當(dāng)網(wǎng)關(guān)需要給主機(jī)發(fā)送數(shù)據(jù)時(shí)�����,并不能在SPD中通過使用目的地址檢索到相應(yīng)的安全策略��。因?yàn)?��,主機(jī)是動(dòng)態(tài)地址�,每次發(fā)送時(shí)使用的地址都有可能變化。如果發(fā)生這樣的狀況�,那么由傳輸層交給IPSec模塊的數(shù)據(jù)包將會(huì)被丟棄�����。也就是說����,網(wǎng)關(guān)將不能通過VPN隧道向主機(jī)發(fā)送數(shù)據(jù)�����。這個(gè)顯然是由于SPD數(shù)據(jù)的更新問題所引起的。因此�����,必須構(gòu)建一個(gè)安全策略系統(tǒng)來系統(tǒng)地管理和驗(yàn)證各種IPSec策略��。3.2遠(yuǎn)程訪問模型中策略系統(tǒng)的構(gòu)想構(gòu)建一個(gè)策略系統(tǒng)����,需要解決策略的定義���、
