IPSec遠程訪問VPN的安全策略研究

1、IPSec遠程訪問VPN的平安策略研究摘要VPN技術(shù)應(yīng)用日益廣泛，IPSe已成為實現(xiàn)VPN的主要方式。文章對IPSe相關(guān)協(xié)議進展分析的根底上，針對IPSe協(xié)議族在平安策略方面的缺乏，提出在遠程訪問模型中使用集中試策略管理并對該管理系統(tǒng)進展了研究。關(guān)鍵詞PSeVPN；平安策略數(shù)據(jù)庫；平安關(guān)聯(lián)數(shù)據(jù)庫；平安策略1引言隨著Internet等公共網(wǎng)絡(luò)的迅速開展和國際經(jīng)濟一體化的開展趨勢，企業(yè)內(nèi)部及企業(yè)間通過網(wǎng)絡(luò)傳遞信息的需求越來越多。如何以最低的費用保障通信的平安與高效，是企業(yè)極其關(guān)注的問題。流行的解決方案是利用隧道技術(shù)，在Internet等不平安的公共網(wǎng)絡(luò)上建立平安的虛擬專用網(wǎng)絡(luò)，即虛擬專用網(wǎng)VPN。

2、IPSe是實現(xiàn)VPN的一種協(xié)議，正在得到越來越廣泛的應(yīng)用，將成為虛擬專用網(wǎng)的主要標準。盡管IPSe已經(jīng)是一種包容極廣、功能極強的IP平安協(xié)議，但卻仍然不能算是適用于所有配置的一套極為完好的方案，其中仍然存在一些需要解決的問題。本文對IPSe相關(guān)協(xié)議進展分析的根底上，針對IPSe協(xié)議族在平安策略方面的缺乏，提出在遠程訪問模型中使用集中試策略管理，并對該管理系統(tǒng)進展了研究。2IPSeVPNIPSe協(xié)議為IPv4和IPv6提供可互操作的、高質(zhì)量的、基于加密體制的平安方案。包括訪問控制、無連接的完好性、數(shù)據(jù)源認證、防止重播攻擊、信息加密和流量保密等平安效勞。所有這些效勞都建立在IP層，并保護上層的協(xié)議

3、。這些效勞通過使用兩個平安協(xié)議：認證頭AHRF2402和封裝平安載荷ESPRF2406，以及通過使用加密密鑰管理過程和協(xié)議來實現(xiàn)。這些加密密鑰管理過程和協(xié)議包括Internet平安聯(lián)盟SA和密鑰管理協(xié)議ISAKPRF2408以及Internet密鑰交換協(xié)議IKERF2409。2.1認證頭AH協(xié)議。協(xié)議的目的是用來增加IP數(shù)據(jù)包的平安性。AH協(xié)議提供無連接的完好性、數(shù)據(jù)源認證和抗重播保護效勞。2.2封裝平安載荷ESP協(xié)議。協(xié)議的目的和認證頭AH一樣，是用于進步IP的平安性。ESP提供數(shù)據(jù)保密、數(shù)據(jù)源認證、無連接完好性、抗重播效勞和有限的數(shù)據(jù)流保護。AH和ESP協(xié)議都支持兩種工作形式：傳輸形式和隧

4、道形式。傳輸形式為上層協(xié)議提供平安保護，保護的是IP包的有效載荷或者說保護的是上層協(xié)議如TP、UDP和IP。隧道形式是為整個IP包提供保護。2.3Internet平安聯(lián)盟密鑰管理協(xié)議ISAKP。協(xié)議定義了協(xié)商、建立、修改和刪除SA的過程和包格式。ISAKP提供了一個通用的SA屬性格式框架和一些可由不同密鑰交換協(xié)議使用的協(xié)商、修改、刪除SA的方法。ISAKP被設(shè)計為密鑰交換無關(guān)的協(xié)議；并沒有讓它受限于任何詳細的密鑰交換協(xié)議、密碼算法、密鑰生成技術(shù)或認證機制。2.4IKE。IKE是一個以受保護的方式為SA協(xié)商并提供經(jīng)認證的密鑰信息的協(xié)議。IKE是一個混合協(xié)議，它使用到了三個不同協(xié)議的相關(guān)部分：In

5、ternet平安聯(lián)盟和密鑰管理協(xié)議ISAKPSST98、akley密鑰確定協(xié)議r98和SKEEKra96。IKE為IPSe雙方提供用于生成加密密鑰和認證密鑰的密鑰信息。同樣，IKE使用ISAKP為其他IPSeAH和ESP協(xié)議協(xié)商SA。2.5平安聯(lián)盟(SA)。SA的概念是IPSe密鑰管理的基矗AH和ESP都使用SA，而且IKE協(xié)議的主要功能就是建立和維護SA。SA是兩個通信實體經(jīng)過協(xié)商建立起來的一種簡單的“連接，規(guī)定用來保護數(shù)據(jù)的IPSe協(xié)議類型、加密算法、認證方式、加密和認證密鑰、密鑰的生存時間以及抗重播攻擊的序列號等，為所承載的流量提供平安效勞。IPSe的實現(xiàn)必須維護以下兩個與SA相關(guān)的數(shù)據(jù)

6、庫：平安策略數(shù)據(jù)庫SPD，指定給IP數(shù)據(jù)流提供的平安效勞，主要根據(jù)源地址、目的地址、入數(shù)據(jù)還是出數(shù)據(jù)等確定。SPD有一個排序的策略列表，針對入數(shù)據(jù)和出數(shù)據(jù)有不同的數(shù)據(jù)項。這些數(shù)據(jù)項可以指定某些數(shù)據(jù)流必須繞過IPSe處理，一些必須被丟棄或經(jīng)過IPSe處理等策略；平安聯(lián)盟數(shù)據(jù)庫SAD,包含每一個SA的參數(shù)信息，如AH或ESP算法和密鑰、序列號、協(xié)議形式以及SA的生命周期。對于出數(shù)據(jù)的處理，有一個SPD數(shù)據(jù)項包含指向某個SAD數(shù)據(jù)項的指針。也就是說，SPD決定了一個特定的數(shù)據(jù)包使用什么樣的SA。對于入數(shù)據(jù)的處理，由SAD來決定如何對特定的數(shù)據(jù)包作處理。3IPSe策略管理分析與設(shè)想3.1IPSeVPN

7、中的策略管理在一個IPSe中，IPSe功能的正確性完全根據(jù)平安策略的正確制定與配置。傳統(tǒng)的方法是通過手工配置IPSe策略，這種方式在大型的分布式網(wǎng)絡(luò)中存在效率低、易出錯等問題。而一個易出錯的策略將可能導(dǎo)致通訊的阻塞和嚴重的平安隱患。而且，既使每個平安域策略的制訂是正確的，也可能會在不同的平安域中，由于策略之間的交互，出如今部分范圍內(nèi)平安策略的多樣性，從而造成端到端間通訊的嚴重問題。根據(jù)以上協(xié)議建立起來的基于IPSe的VPN，當主機使用動態(tài)地址接入，發(fā)起VPN連接時。主機將使用協(xié)商好的SA處理的數(shù)據(jù)包發(fā)送到網(wǎng)關(guān)。網(wǎng)關(guān)接收到數(shù)據(jù)包后，使用相應(yīng)的SA處理數(shù)據(jù)包，而后進展載荷校驗。這時，在載荷校驗過程

8、中，會因為沒有將新協(xié)商而建立起來的SA的數(shù)據(jù)項與SPD連接在一起，而造成不能通過載荷校驗。而且，當網(wǎng)關(guān)需要給主機發(fā)送數(shù)據(jù)時，并不能在SPD中通過使用目的地址檢索到相應(yīng)的平安策略。因為，主機是動態(tài)地址，每次發(fā)送時使用的地址都有可能變化。假如發(fā)生這樣的狀況，那么由傳輸層交給IPSe模塊的數(shù)據(jù)包將會被丟棄。也就是說，網(wǎng)關(guān)將不能通過VPN隧道向主機發(fā)送數(shù)據(jù)。這個問題顯然是由于SPD數(shù)據(jù)的更新問題所引起的。因此，必須構(gòu)建一個平安策略系統(tǒng)來系統(tǒng)地管理和驗證各種IPSe策略。3.2遠程訪問模型中策略系統(tǒng)的設(shè)想構(gòu)建一個策略系統(tǒng)，需要解決策略的定義、存娶管理、交換、驗證、發(fā)現(xiàn)機制等問題以及系統(tǒng)自身的平安性問題。

9、其中策略的表示和策略在動態(tài)交換中的平安性問題是系統(tǒng)的核心問題。目前RF尚未制定關(guān)于策略系統(tǒng)的標準，因此還沒有成熟的實現(xiàn)方案。如今較為流行的方案是：策略系統(tǒng)由四個部分組成平安策略倉庫、策略效勞器、平安網(wǎng)關(guān)、策略客戶端。其中平安策略倉庫Repsitry用于存儲策略信息，能對系統(tǒng)中的策略進展匯總。它可以是目錄效勞器或數(shù)據(jù)庫效勞器，除了儲存管理員已經(jīng)編輯好的策略信息，還可以存儲其它的網(wǎng)絡(luò)信息和系統(tǒng)參數(shù)。策略決策點PliyDeisinPint，PDP通常也被稱為策略效勞器，是整個系統(tǒng)的決策中心。它負責存取策略倉庫中的策略，并根據(jù)策略信息做出決策，然后將相應(yīng)的策略分配至策略執(zhí)行點。策略決策點還能檢測策略的

10、變化和沖突，從而采取應(yīng)對措施。策略執(zhí)行點PliyEnfreentPint，PEP是承受策略管理的網(wǎng)絡(luò)實體，通常也被稱作策略客戶端。它可以是路由器、交換機、防火墻等網(wǎng)絡(luò)設(shè)備，負責執(zhí)行由策略決策點分配來的策略。同時它還向策略決策點發(fā)送信息，使策略決策點知道網(wǎng)絡(luò)的變化以及策略的執(zhí)行情況。效勞器利用LDAP輕量級目錄訪問協(xié)議與數(shù)據(jù)庫交互，平安網(wǎng)關(guān)通過PS普通開放式策略效勞協(xié)議與效勞器交互，策略效勞器之間以及效勞器與客戶端之間通過SPP平安策略協(xié)議進展通訊。而在遠程訪問的形式下，只有公司總部一端設(shè)置了平安網(wǎng)關(guān)和策略效勞器。所以可以把前面提到的方案進展改良，應(yīng)用到遠程訪問模型中。因此，可以將平安策略倉庫放

11、置在策略效勞器上，而策略效勞器與平安網(wǎng)關(guān)相連。平安策略倉庫中存儲了一些永久信息，策略效勞器可以根據(jù)這些信息做出相關(guān)的策略決定。平安策略倉庫最好采用LDAP這一類的標準目錄機制來進展策略存。策略效勞器負責使用策略決議方法來完成策略制訂。把平安網(wǎng)關(guān)和遠程訪問主機作為策略客戶端。當策略客戶端啟動的時候，需要自動訪問策略效勞器，讀取關(guān)于自己的平安策略。此外，當策略效勞器改變了某些平安策略時，就需要通知相關(guān)的策略客戶端訪問策略效勞器來更新策略。策略客戶端必須實行本地保存策略，這是因為它必須知道哪些數(shù)據(jù)包施行了平安保護，哪些沒有。假如策略沒有進展本地保存，內(nèi)核的各個數(shù)據(jù)包就會找不到這個策略，內(nèi)核就必須調(diào)用策略客戶端這個客戶機必須依次與存儲中心聯(lián)絡(luò)和密鑰管理協(xié)議。另外，還要更新內(nèi)核策略。這樣，就會導(dǎo)致最初幾個數(shù)據(jù)包出現(xiàn)令人難以承受的延遲。策略分配機制必須是平安的。策略下載的效勞器應(yīng)該是通過驗證的。除此以外，對該效勞器的訪問也應(yīng)該是有限制的。假如這一條遭到破壞，網(wǎng)絡(luò)的平安就