返回
ipsec安全策略系统研究

ipsec安全策略系统研究

ID:24557016

大小:49.00 KB

页数:4页

时间:2018-11-14

ipsec安全策略系统研究_第1页
ipsec安全策略系统研究_第2页
ipsec安全策略系统研究_第3页
ipsec安全策略系统研究_第4页
资源描述:

《ipsec安全策略系统研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、IPsec安全策略系统研究摘要基于策略的网络互联是当前安全研究的热点问题之一。该文首先介绍了IPsec协议中策略的含义及使用,继而讨论了IETF提出的安全策略系统的一般结构及各关键部件的功能划分。最后讨论了当前研究存在的问题及今后的研究方向。关键词Ipsec;安全策略数据库;安全关联数据库;安全策略系统1IPsec协议IPSec(InterProtocolSecurity)是IETF提出的一套开放的标准协议,它是IPV6的安全标准,也可应用于目前的IPV4。IPSec协议是属于网络层的协议,IP层是实现端到端通信的最底层,但是IP协议在最初设计

2、时并未考虑安全问题,它无法保证高层协议载荷的安全,因而无法保证通信的安全。而IPSec协议通过对IP层数据的封装和保护,能够为高层协议载荷提供透明的安全通信保证。IPsec包括安全协议部分和密钥协商部分,安全协议部分定义了对通信的各种保护方式;密钥协商部分则定义了如何为安全协议协商保护参数,以及如何对通信实体的身份进行鉴别。IETF的IPsec工作组已经制定了诸多RFC,对IPsec的方方面面都进行了定义,但其核心由其中的三个最基本的协议组成。即:认证协议头(AuthenticationHeader,AH)、安全载荷封装(Encapsulati

3、ngSecurityPayload,ESP)和互联网密钥交换协议(InterKeyExchangeProtocol,IKMP)。AH协议提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。AH认证整个IP头,不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。ESP协议通过对数据包的全部数据和加载内容进行全加密,来提供数据保密性、有限的数据流保密性,数据源认证,无连接的完整性,以及抗重放服务。和AH不同的是,ESP认证功能不对IP数据报中的源和目的以及其它域认证,这为ESP带来了一定的灵活性。IPSec使用IKE协议实现安全

4、协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等,这些安全参数的总体称之为安全关联(SecurityAssociation,SA)。IPsec协议族使用IKE密钥交换协议来进行密钥及其它安全参数的协商[1]。2IPsec策略管理2.1IPsec策略使用IPsec的基本功能是访问控制以及有选择地实施安全,即只有选中的IP报文才被允许通过或被指定的安全功能所保护。IPSec的实现需维护两个与SA有关的数据库,安全策略数据库(SecurityPolicyDatabase

5、,SPD)和安全关联数据库(SecurityAssociationDatabase,SAD)。SPD是为IPSec实现提供安全策略配置,包括源、目的IP地址、掩码、端口、传输层协议、动作(丢弃、绕过、应用)、进出标志、标识符、SA和策略指针。SAD是SA的集合,其内容(RFC要求的必须项)包括目的IP地址、安全协议、SPI、序列号计数器、序列号溢出标志、抗重播窗口、SA的生命期、进出标志、SA状态、IPSec协议模式(传输或隧道)、加密算法和验证算法相关项目[1]。IPsec对进出数据报文的处理过程如图1、2所示[2]。2.2安全策略系统概述I

6、PSec安全服务的实施是基于安全策略的,安全策略提供了实施IPSec的一套规则。IETF的IPSec工作组于1999年1月针对安全策略配置管理存在的一系列问题,提出了安全策略系统模型(SecurityPolicySystem,SPS)。SPS是一个分布式系统,提供了一种发现、访问和处理安全策略信息的机制,使得主机和安全网关能够在横跨多个安全网关的路径上建立一个安全的端到端的通信(如图3所示)。SPS由策略服务器(PolicyServer)、主文件、策略客户端(PolicyClient)、安全网关(SecurityGate)和策略数据库(Poli

7、cyDatabase)组成,该系统模型应用安全策略规范语言(SecurityPolicySpecificationLanguage,SPSL)来描述安全策略,应用安全策略协议(SecurityPolicyProtocol,SPP)来分发策略[3]。在SPS里,安全域定义为共享同一个公用安全策略集的通信实体和资源组的集合。安全域将网络进行了划分,每个安全域都包含有自己的SPS数据库、策略服务器和策略客户端。而SPS就是在这些安全域上分布式实现的一个数据库管理系统。每个安全域含一个主文件(MasterFile),文件中定义了安全域的描述信息,包含该

8、安全域的网络资源(主机、子网和网络)及访问它们的策略,安全策略和完整的域定义就保存在主文件中。本地策略信息与非本地策略一起构成了SPS数据库。IETF

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。