政法论文:
经济论文:
电子论文:
文史论文:
教育论文:
理工论文:
农业论文:
医学论文:
展开
计算机应用
位置:中国悠悠期刊咨询网 > 学术论文 > 电子论文 > 计算机应用 >

探讨IPsec安全策略系统
发布时间:2015-08-07   |  所属分类:计算机应用:论文发表  |  浏览:  |  加入收藏

小编推荐本站最受追捧计算机期刊:计算机科学与探索是由中华人民共和国工业和信息化部主管、华北计算技术研究所361期刊网主办的国内外公开发行的计算机学报级高级学术期刊,中国计算机学会会刊,被列为“中国科学引文数据库来源期刊”,并被“万方数据——数字化期刊群”、“中国学术期刊网络出版总库”、“美国《剑桥科学文摘(CSA)》”、“波兰《哥白尼索引》”收录。

摘 要 基于策略的网络互联是当前安全研究的热点问题之一。该文首先介绍了IPsec协议中策略的含义及使用,继而讨论了IETF提出的安全策略系统的一般结构及各关键部件的功能划分。最后讨论了当前研究存在的问题及今后的研究方向。

关键词 Ipsec;安全策略数据库;安全关联数据库;安全策略系统

1 IPsec协议

IPSec(Internet Protocol Security)是IETF提出的一套开放的标准协议,它是IPV6的安全标准,也可应用于目前的IPV4。IPSec协议是属于网络层的协议,IP层是实现端到端通信的最底层,但是IP协议在最初设计时并未考虑安全问题,它无法保证高层协议载荷的安全,因而无法保证通信的安全。而IPSec协议通过对IP层数据的封装和保护,能够为高层协议载荷提供透明的安全通信保证。IPsec包括安全协议部分和密钥协商部分,安全协议部分定义了对通信的各种保护方式;密钥协商部分则定义了如何为安全协议协商保护参数,以及如何对通信实体的身份进行鉴别。IETF的IPsec工作组已经制定了诸多RFC,对IPsec的方方面面都进行了定义,但其核心由其中的三个最基本的协议组成。即:认证协议头(Authentication Header,AH)、安全载荷封装(Encapsulating Security Payload,ESP)和互联网密钥交换协议(Internet Key Exchange Protocol,IKMP)。

AH协议提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。AH认证整个IP头,不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。

ESP协议通过对数据包的全部数据和加载内容进行全加密,来提供数据保密性、有限的数据流保密性,数据源认证,无连接的完整性,以及抗重放服务。和AH不同的是,ESP认证功能不对IP数据报中的源和目的以及其它域认证,这为ESP带来了一定的灵活性。

IPSec使用IKE协议实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等,这些安全参数的总体称之为安全关联(Security Association,SA)。IPsec协议族使用IKE密钥交换协议来进行密钥及其它安全参数的协商[1]。

2 IPsec策略管理

2.1 IPsec策略使用

IPsec的基本功能是访问控制以及有选择地实施安全,即只有选中的IP报文才被允许通过或被指定的安全功能所保护。IPSec的实现需维护两个与SA有关的数据库,安全策略数据库(Security Policy Database,SPD)和安全关联数据库(Security Association Database,SAD)。SPD是为IPSec实现提供安全策略配置,包括源、目的IP地址、掩码、端口、传输层协议、动作(丢弃、绕过、应用)、进出标志、标识符、SA和策略指针。SAD是SA的集合,其内容(RFC要求的必须项)包括目的IP地址、安全协议、SPI、序列号计数器、序列号溢出标志、抗重播窗口、SA的生命期、进出标志、SA状态、IPSec协议模式(传输或隧道)、加密算法和验证算法相关项目[1]。IPsec对进出数据报文的处理过程如图1、2所示[2]。

2.2 安全策略系统概述

IPSec安全服务的实施是基于安全策略的,安全策略提供了实施IPSec的一套规则。IETF的IPSec工作组于1999年1月针对安全策略配置管理存在的一系列问题,提出了安全策略系统模型(Security Policy System,SPS)。SPS是一个分布式系统,

提供了一种发现、访问和处理安全策略信息的机制,使得主机和安全网关能够在横跨多个安全网关的路径上建立一个安全的端到端的通信(如图3所示)。SPS由策略服务器(Policy Server)、主文件、策略客户端(Policy Client)、安全网关(Security Gate)和策略数据库(Policy Database)组成,该系统模型应用安全策略规范语言(Security Policy Specification Language,SPSL)来描述安全策略,应用安全策略协议(Security Policy Protocol,SPP)来分发策略[3]。

在SPS里,安全域定义为共享同一个公用安全策略集的通信实体和资源组的集合。安全域将网络进行了划分,每个安全域都包含有自己的 SPS 数据库、策略服务器和策略客户端。而 SPS 就是在这些安全域上分布式实现的一个数据库管理系统。每个安全域含一个主文件(Master File),文件中定义了安全域的描述信息,包含该安全域的网络资源(主机、子网和网络)及访问它们的策略,安全策略和完整的域定义就保存在主文件中。

本地策略信息与非本地策略一起构成了SPS数据库。IETF已经提供了一种把安全策略映射到轻型目录访问协议(Light Weight Directory Access Protocol,LDAP)目录数据库存储形式的方案。

转载请注明来自:http://www.uuqikan.com/jisuanjiyingyonglw/14837.html


上一篇:解析区间信号系统测试平台专用数据库
下一篇:统计论文发表R软件在系统聚类分析中的应用

论文发表攻略PAPER
最新期刊Periodical
最新论文Paper