IPsec安全策略系統研究論文

導語：IPsec安全策略系統研究論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要基于策略的網絡互聯是當前安全研究的熱點問題之一。該文首先介紹了ipsec協議中策略的含義及使用，繼而討論了IETF提出的安全策略系統的一般結構及各關鍵部件的功能劃分。最后討論了當前研究存在的問題及今后的研究方向。

關鍵詞Ipsec；安全策略數據庫；安全關聯數據庫；安全策略系統

1IPsec協議

IPSec(InternetProtocolSecurity)是IETF提出的一套開放的標準協議，它是IPV6的安全標準，也可應用于目前的IPV4。IPSec協議是屬于網絡層的協議，IP層是實現端到端通信的最底層，但是IP協議在最初設計時并未考慮安全問題，它無法保證高層協議載荷的安全，因而無法保證通信的安全。而IPSec協議通過對IP層數據的封裝和保護，能夠為高層協議載荷提供透明的安全通信保證。IPsec包括安全協議部分和密鑰協商部分，安全協議部分定義了對通信的各種保護方式；密鑰協商部分則定義了如何為安全協議協商保護參數，以及如何對通信實體的身份進行鑒別。IETF的IPsec工作組已經制定了諸多RFC，對IPsec的方方面面都進行了定義，但其核心由其中的三個最基本的協議組成。即：認證協議頭(AuthenticationHeader，AH)、安全載荷封裝(EncapsulatingSecurityPayload，ESP)和互聯網密鑰交換協議(InternetKeyExchangeProtocol，IKMP)。

AH協議提供數據源認證，無連接的完整性，以及一個可選的抗重放服務。AH認證整個IP頭，不過由于AH不能加密數據包所加載的內容，因而它不保證任何的機密性。

ESP協議通過對數據包的全部數據和加載內容進行全加密，來提供數據保密性、有限的數據流保密性，數據源認證，無連接的完整性，以及抗重放服務。和AH不同的是，ESP認證功能不對IP數據報中的源和目的以及其它域認證，這為ESP帶來了一定的靈活性。

IPSec使用IKE協議實現安全協議的自動安全參數協商，可協商的安全參數包括數據加密及鑒別算法、加密及鑒別的密鑰、通信的保護模式(傳輸或隧道模式)、密鑰的生存期等，這些安全參數的總體稱之為安全關聯(SecurityAssociation，SA)。IPsec協議族使用IKE密鑰交換協議來進行密鑰及其它安全參數的協商[1]。

2IPsec策略管理

2.1IPsec策略使用

IPsec的基本功能是訪問控制以及有選擇地實施安全，即只有選中的IP報文才被允許通過或被指定的安全功能所保護。IPSec的實現需維護兩個與SA有關的數據庫，安全策略數據庫(SecurityPolicyDatabase，SPD)和安全關聯數據庫(SecurityAssociationDatabase，SAD)。SPD是為IPSec實現提供安全策略配置，包括源、目的IP地址、掩碼、端口、傳輸層協議、動作(丟棄、繞過、應用)、進出標志、標識符、SA和策略指針。SAD是SA的集合，其內容(RFC要求的必須項)包括目的IP地址、安全協議、SPI、序列號計數器、序列號溢出標志、抗重播窗口、SA的生命期、進出標志、SA狀態、IPSec協議模式(傳輸或隧道)、加密算法和驗證算法相關項目[1]。IPsec對進出數據報文的處理過程2.2安全策略系統概述

IPSec安全服務的實施是基于安全策略的，安全策略提供了實施IPSec的一套規則。IETF的IPSec工作組于1999年1月針對安全策略配置管理存在的一系列問題，提出了安全策略系統模型(SecurityPolicySystem，SPS)。SPS是一個分布式系統，

提供了一種發現、訪問和處理安全策略信息的機制，使得主機和安全網關能夠在橫跨多個安全網關的路徑上建立一個安全的端到端的通信(如圖3所示)。SPS由策略服務器(PolicyServer)、主文件、策略客戶端(PolicyClient)、安全網關(SecurityGate)和策略數據庫(PolicyDatabase)組成，該系統模型應用安全策略規范語言(SecurityPolicySpecificationLanguage，SPSL)來描述安全策略，應用安全策略協議(SecurityPolicyProtocol，SPP)來分發策略[3]。

在SPS里，安全域定義為共享同一個公用安全策略集的通信實體和資源組的集合。安全域將網絡進行了劃分，每個安全域都包含有自己的SPS數據庫、策略服務器和策略客戶端。而SPS就是在這些安全域上分布式實現的一個數據庫管理系統。每個安全域含一個主文件(MasterFile)，文件中定義了安全域的描述信息，包含該安全域的網絡資源(主機、子網和網絡)及訪問它們的策略，安全策略和完整的域定義就保存在主文件中。

本地策略信息與非本地策略一起構成了SPS數據庫。IETF已經提供了一種把安全策略映射到輕型目錄訪問協議(LightWeightDirectoryAccessProtocol，LDAP)目錄數據庫存儲形式的方案。

策略服務器是一個策略決定點(PolicyDecisionPoint，PDP)。它為安全域內所有用戶提供用戶狀態維護、策略分發等服務，同時為安全域管理員提供了一個集中管理和配置安全域數據信息的界面。當管理員修改了域策略后，服務器會通知該域已經登錄的客戶端用戶更新本地組策略，然后客戶端根據新的組策略重新協商IPSecSA。策略服務器同時接收來自策略客戶和其它策略服務器的請求消息并加以處理，然后基于請求和服務控制規則將合適的策略信息提供給請求者。

圖3安全策略系統

策略客戶端是一個安全策略執行點(PolicyEnforcementPoint，PEP)。PEP是VPN設備的安全，用于根據PDP分配的安全策略設定設備上的具體安全參數。策略客戶端向SPS策略服務器提出策略請求，策略服務器在驗證了請求后，對這些請求產生相應的響應，如果是授權的用戶，就將相應的策略信息反饋給策略客戶端，如果沒有相應的策略信息，則由策略服務器負責協商解決。策略客戶端將策略應答轉換成應用所需的適當格式。

策略服務器和客戶使用SPP來交換策略信息。它采用客戶/服務器結構，將策略信息從SPS數據庫傳輸到安全網關和策略客戶端。SPP所傳送的策略信息包括描述通信的選擇符字段以及0個或多個SA記錄。這些SA記錄共同描述了整個通信中所需的SA。SPP同時還是一個網關發現協議，能夠自動發現通信路徑上存在的安全網關及其安全策略。通信端點可以通過SPP來認證安全網關的標識，以及安全網關是否被授權代表它所聲稱的源或目的端點。安全網關則可利用SPP與未知網關進行安全策略的交換。

3結束語

從概念上說，SPS基本上滿足IPSec策略框架提出的需求，但是在應用的過程中存在很多問題，比如沒有分析潛在的策略沖突和交互及進行策略的正確性、一致性檢查。但SPS提供了很好的策略管理思想，可以加以借鑒構建新型的安全策略系統。然而，期望的安全需求和實現這些需求的特定IPsec策略之間存在著模糊的關系。在大型分布式系統的安全管理中，需要將需求和策略清晰地分離開，來讓客戶在較高層次下規定安全需求并自動產生滿足這些需求的低級策略是一種可取的方法。對于如何劃分策略層次結構、實現策略的集中管理等還要做深入的研究。

參考文獻

[1]KentS，AtkinsonR.SecurityArchitecturefortheInternetProtocol.http：///rfc/rfc2401.txt，1998.5-16

[2]張世永．網絡安全原理及應用.科學出版社，2003.248-249

[3]BALTATUM，LIOYA，MAZZOCCHID.SecurityPolicySystemStatusandPerspective[A].ProceedingsoftheIEEEInternationalConferenceonNetworks[C]，2000.278-284