| IPSec远程访问VPN的安全策略研究 |
| 当前位置: 论文资料 >> 计算机论文 >> 计算机网络 >> IPSec远程访问VPN的安全策略研究 | ||
| IPSec远程访问VPN的安全策略研究 | ||||
|
根据以上协议建立起来的基于IPSec的VPN,当主机使用动态地址接入,发起VPN连接时。主机将使用协商好的SA处理的数据包发送到网关。网关接收到数据包后,使用相应的SA处理数据包,而后进行载荷校验。这时,在载荷校验过程中,会因为没有将新协商而建立起来的SA的数据项与SPD连接在一起,而造成不能通过载荷校验。而且,当网关需要给主机发送数据时,并不能在SPD中通过使用目的地址检索到相应的安全策略。因为,主机是动态地址,每次发送时使用的地址都有可能变化。如果发生这样的状况,那么由传输层交给IPSec模块的数据包将会被丢弃。也就是说,网关将不能通过VPN隧道向主机发送数据。这个问题显然是由于SPD数据的更新问题所引起的。因此,必须构建一个安全策略系统来系统地管理和验证各种IPSec策略。 3.2 远程访问模型中策略系统的构想 构建一个策略系统,需要解决策略的定义、存取、管理、交换、验证、发现机制等问题以及系统自身的安全性问题。其中策略的表示和策略在动态交换中的安全性问题是系统的核心问题。目前RFC尚未制定关于策略系统的标准,因此还没有成熟的实现方案。 现在较为流行的方案是:策略系统由四个部分组成——安全策略仓库、策略服务器、安全网关、策略客户端。其中安全策略仓库(Repository)用于存储策略信息,能对系统中的策略进行汇总。它可以是目录服务器或数据库服务器,除了储存管理员已经编辑好的策略信息,还可以存储其它的网络信息和系统参数。策略决策点(Policy Decision Point,PDP)通常也被称为策略服务器,是整个系统的决策中心。它负责存取策略仓库中的策略,并根据策略信息做出决策,然后将相应的策略分配至策略执行点。策略决策点还能检测策略的变化和冲突,从而采取应对措施。策略执行点(Policy Enforcement Point,PEP)是接受策略管理的网络实体,通常也被称作策略客户端。它可以是路由器、交换机、防火墙等网络设备,负责执行由策略决策点分配来的策略。同时它还向策略决策点发送信息,使策略决策点知道网络的变化以及策略的执行情况。服务器利用LDAP(轻量级目录访问协议)与数据库交互,安全网关通过COPS(普通开放式策略服务协议)与服务器交互,策略服务器之间以及服务器与客户端之间通过SPP(安全策略协议)进行通讯。 而在远程访问的模式下,只有公司总部一端设置了安全网关和策略服务器。所以可以把前面提到的方案进行改进,应用到远程访问模型中。 因此,可以将安全策略仓库放置在策略服务器上,而策略服务器与安全网关相连。安全策略仓库中存储了一些永久信息,策略服务器可以依据这些信息做出相关的策略决定。安全策略仓库最好采用LDAP这一类的标准目录机制来进行策略存。策略服务器负责使用策略决议方法来完成策略制订。 把安全网关和远程访问主机作为策略客户端。当策略客户端启动的时候,需要自动访问策略服务器,读取关于自己的安全策略。此外,当策略服务器改变了某些安全策略时,就需要通知相关的策略客户端访问策略服务器来更新策略。策略客户端必须实行本地保存策略,这是因为它必须知道哪些数据包实施了安全保护,哪些没有。如果策略没有进行本地保存,内核的各个数据包就会找不到这个策略,内核就必须调用策略客户端(这个客户机必须依次与存储中心联系)和密钥管理协议。另外,还要更新内核策略。这样,就会导致最初几个数据包出现令人难以接受的延迟。 策略分配机制必须是安全的。策略下载的服务器应该是通过验证的。除此以外,对该服务器的访问也应该是有限制的。如果这一条遭到破坏,网络的安全就会大受威胁。我们仍然使用COPS在客户端与策略服务器之间交换策略信息。 4结 语 由于IPSec VPN出色的安全特性,使它越来越受到有着相对较高安全要求的企业或部门的青睐。本文提出的策略管理系统能够很好的完成IPSec远程访问VPN系统的策略管理。随着IPSec VPN的广泛使用,更加复杂的VPN系统会相继出现。因此,其安全策略管理的问题将逐步凸现,这方面的研究也将受到重视。 |
||||
|
|
||||
| 相关文章列表: | |||