欢迎来到天天文库
浏览记录
ID:24285461
大小:54.50 KB
页数:7页
时间:2018-11-08
《ipsec远程访问vpn的安全策略研究网络毕业》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、IPSec远程访问VPN的安全策略研究网络毕业[摘要]VPN技术日益广泛,IPSec已成为实现VPN的主要方式。文章对IPSec相关协议进行的基础上,针对IPSec协议族在安全策略方面的不足,提出在远程访问模型中使用集中试策略管理并对该管理系统进行了。[关键词]PSecVPN;安全策略数据库;安全关联数据库;安全策略1引 言随着Inter等公共的迅速和国际一体化的发展趋势,内部及企业间通过网络传递信息的需求越来越多。如何以最低的费用保障通信的安全与高效,是企业极其关注的。流行的解决方案是利用隧道技术,在Inter等不安全的公共网络上建立安全的虚拟专用网络,即虚拟专用网(VP
2、N)。IPSec是实现VPN的一种协议,正在得到越来越广泛的应用,将成为虚拟专用网的主要标准。尽管IPSec已经是一种包容极广、功能极强的IP安全协议,但却仍然不能算是适用于所有配置的一套极为完整的方案,其中仍然存在一些需要解决的问题。本文对IPSec相关协议进行分析的基础上,针对IPSec协议族在安全策略方面的不足,提出在远程访问模型中使用集中试策略管理,并对该管理系统进行了研究。2IPSecVPNIPSec协议为IPv4和IPv6提供可互操作的、高质量的、基于加密体制的安全方案。包括访问控制、无连接的完整性、数据源认证、防止重播攻击、信息加密和流量保密等安全服务。所有这
3、些服务都建立在IP层,并保护上层的协议。这些服务通过使用两个安全协议:认证头AH[RFC2402]和封装安全载荷ESP[RFC2406],以及通过使用加密密钥管理过程和协议来实现。这些加密密钥管理过程和协议包括Inter安全联盟(SA)和密钥管理协议(ISAKMP)[RFC2408]以及Inter密钥交换协议(IKE)[RFC2409]。2.1认证头(AH)协议。协议的目的是用来增加IP数据包的安全性。AH协议提供无连接的完整性、数据源认证和抗重播保护服务。(作文网z98]和SKEME[Kra96]。IKE为IPSec双方提供用于生成加密密钥和认证密钥的密钥信息。同样,IK
4、E使用ISAKMP为其他IPSec(AH和ESP)协议协商SA。2.5安全联盟(SA)。SA的概念是IPSec密钥管理的基础。AH和ESP都使用SA,而且IKE协议的主要功能就是建立和维护SA。SA是两个通信实体经过协商建立起来的一种简单的“连接”,规定用来保护数据的IPSec协议类型、加密算法、认证方式、加密和认证密钥、密钥的生存时间以及抗重播攻击的序列号等,为所承载的流量提供安全服务。IPSec的实现必须维护以下两个与SA相关的数据库:安全策略数据库(SPD),指定给IP数据流提供的安全服务,主要根据源地址、目的地址、入数据还是出数据等确定。SPD有一个排序的策略列表,
5、针对入数据和出数据有不同的数据项。这些数据项可以指定某些数据流必须绕过IPSec处理,一些必须被丢弃或经过IPSec处理等策略;安全联盟数据库(SAD),包含每一个SA的参数信息,如AH或ESP算法和密钥、序列号、协议模式以及SA的生命周期。对于出数据的处理,有一个SPD数据项包含指向某个SAD数据项的指针。也就是说,SPD决定了一个特定的数据包使用什么样的SA。对于入数据的处理,由SAD来决定如何对特定的数据包作处理。您可以访问中国评价网(.NsEac.)查看更多相关的文章。3IPSec策略管理分析与设想3.1IPSecVPN中的策略管理在一个IPSec中,IPSec功能
6、的正确性完全依据安全策略的正确制定与配置。传统的方法是通过手工配置IPSec策略,这种方式在大型的分布式网络中存在效率低、易出错等问题。而一个易出错的策略将可能导致通讯的阻塞和严重的安全隐患。而且,既使每个安全域策略的制订是正确的,也可能会在不同的安全域中,由于策略之间的交互,出现在局部范围内安全策略的多样性,从而造成端到端间通讯的严重问题。根据以上协议建立起来的基于IPSec的VPN,当主机使用动态地址接入,发起VPN连接时。主机将使用协商好的SA处理的数据包发送到网关。网关接收到数据包后,使用相应的SA处理数据包,而后进行载荷校验。这时,在载荷校验过程中,会因为没有将新
7、协商而建立起来的SA的数据项与SPD连接在一起,而造成不能通过载荷校验。而且,当网关需要给主机发送数据时,并不能在SPD中通过使用目的地址检索到相应的安全策略。因为,主机是动态地址,每次发送时使用的地址都有可能变化。如果发生这样的状况,那么由传输层交给IPSec模块的数据包将会被丢弃。也就是说,网关将不能通过VPN隧道向主机发送数据。这个显然是由于SPD数据的更新问题所引起的。因此,必须构建一个安全策略系统来系统地管理和验证各种IPSec策略。3.2远程访问模型中策略系统的构想构建一个策略系统,需要解决策略的定义、
此文档下载收益归作者所有