探讨IPsec安全策略系统(2)

策略服务器是一个策略决定点(Policy Decision Point，PDP)。它为安全域内所有用户提供用户状态维护、策略分发等服务，同时为安全域管理员提供了一个集中管理和配置安全域数据信息的界面。当管理员修改了域策略后，服务器会通知该域已经登录的客户端用户更新本地组策略，然后客户端根据新的组策略重新协商IPSec SA。策略服务器同时接收来自策略客户和其它策略服务器的请求消息并加以处理，然后基于请求和服务控制规则将合适的策略信息提供给请求者。

图3 安全策略系统

策略客户端是一个安全策略执行点(Policy Enforcement Point，PEP)。PEP是VPN设备的安全代理，用于根据PDP分配的安全策略设定设备上的具体安全参数。策略客户端向 SPS 策略服务器提出策略请求，策略服务器在验证了请求后，对这些请求产生相应的响应，如果是授权的用户，就将相应的策略信息反馈给策略客户端，如果没有相应的策略信息，则由策略服务器负责协商解决。策略客户端将策略应答转换成应用所需的适当格式。

策略服务器和客户使用SPP来交换策略信息。它采用客户/服务器结构，将策略信息从SPS数据库传输到安全网关和策略客户端。SPP所传送的策略信息包括描述通信的选择符字段以及0个或多个SA记录。这些SA记录共同描述了整个通信中所需的SA。SPP同时还是一个网关发现协议，能够自动发现通信路径上存在的安全网关及其安全策略。通信端点可以通过SPP来认证安全网关的标识，以及安全网关是否被授权代表它所声称的源或目的端点。安全网关则可利用SPP与未知网关进行安全策略的交换。

3 结束语

从概念上说，SPS基本上满足IPSec策略框架提出的需求，但是在应用的过程中存在很多问题，比如没有分析潜在的策略冲突和交互及进行策略的正确性、一致性检查。但SPS提供了很好的策略管理思想，可以加以借鉴构建新型的安全策略系统。然而，期望的安全需求和实现这些需求的特定IPsec策略之间存在着模糊的关系。在大型分布式系统的安全管理中，需要将需求和策略清晰地分离开，来让客户在较高层次下规定安全需求并自动产生满足这些需求的低级策略是一种可取的方法。对于如何划分策略层次结构、实现策略的集中管理等还要做深入的研究。

参考文献

[1] Kent S，Atkinson R. Security Architecture for the Internet Protocol. [2] 张世永.网络安全原理及应用. 科学出版社，2003.248-249

[3] BALTATU M，L IOY A，MAZZOCCH ID. Security Policy System Status and Perspective[A ]. Proceedings of the IEEE International Conference on Networks[C ]，2000. 278 - 284

转载请注明来自：http://www.uuqikan.com/jisuanjiyingyonglw/14837.html