【摘 要】VPN技術(shù)應(yīng)用日益廣泛，IPSec已成為實現(xiàn)VPN的主要方式。文章對IPSec相關(guān)協(xié)議進行分析的基礎(chǔ)上，針對IPSec協(xié)議族在安全策略方面的不足，提出在遠程訪問模型中使用集中試策略管理并對該管理系統(tǒng)進行了研究。

【關(guān)鍵詞】IPSec VPN；安全策略數(shù)據(jù)庫；安全關(guān)聯(lián)數(shù)據(jù)庫；安全策略

中圖分類號：TB18 文獻標識碼：A 文章編號：1009-8283(2009)03-0103-01

1 引 言

隨著Internet等公共網(wǎng)絡(luò)的迅速發(fā)展和國際經(jīng)濟一體化的發(fā)展趨勢，企業(yè)內(nèi)部及企業(yè)間通過網(wǎng)絡(luò)傳遞信息的需求越來越多。如何以最低的費用保障通信的安全與高效，是企業(yè)極其關(guān)注的問題。流行的解決方案是利用隧道技術(shù)，在Internet等不安全的公共網(wǎng)絡(luò)上建立安全的虛擬專用網(wǎng)絡(luò)，即虛擬專用網(wǎng)(VPN)。

IPSec是實現(xiàn)VPN的一種協(xié)議，正在得到越來越廣泛的應(yīng)用，將成為虛擬專用網(wǎng)的主要標準。盡管IPSec已經(jīng)是一種包容極廣、功能極強的IP安全協(xié)議，但卻仍然不能算是適用于所有配置的一套極為完整的方案，其中仍然存在一些需要解決的問題。本文對IPSec相關(guān)協(xié)議進行分析的基礎(chǔ)上，針對IPSec協(xié)議族在安全策略方面的不足，提出在遠程訪問模型中使用集中試策略管理，并對該管理系統(tǒng)進行了研究。

2 IPSec VPN

IPSec協(xié)議為IPv4和IPv6提供可互操作的、高質(zhì)量的、基于加密體制的安全方案。包括訪問控制、無連接的完整性、數(shù)據(jù)源認證、防止重播攻擊、信息加密和流量保密等安全服務(wù)。所有這些服務(wù)都建立在IP層，并保護上層的協(xié)議。這些服務(wù)通過使用兩個安全協(xié)議：認證頭AH[RFC2402]和封裝安全載荷ESP[RFC2406]，以及通過使用加密密鑰管理過程和協(xié)議來實現(xiàn)。這些加密密鑰管理過程和協(xié)議包括Internet安全聯(lián)盟(SA)和密鑰管理協(xié)議(ISAKMP)[RFC2408]以及Internet密鑰交換協(xié)議(IKE)[RFC2409]。

2.1 認證頭(AH)協(xié)議

協(xié)議的目的是用來增加IP數(shù)據(jù)包的安全性。AH協(xié)議提供無連接的完整性、數(shù)據(jù)源認證和抗重播保護服務(wù)。

2.2 封裝安全載荷(ESP)協(xié)議

協(xié)議的目的和認證頭(AH)一樣，是用于提高IP的安全性。ESP提供數(shù)據(jù)保密、數(shù)據(jù)源認證、無連接完整性、抗重播服務(wù)和有限的數(shù)據(jù)流保護。AH和ESP協(xié)議都支持兩種工作模式：傳輸模式和隧道模式。傳輸模式為上層協(xié)議提供安全保護，保護的是IP包的有效載荷或者說保護的是上層協(xié)議(如TCP、UDP和ICMP)。隧道模式是為整個IP包提供保護。

2.3 Internet安全聯(lián)盟密鑰管理協(xié)議(ISAKMP)

協(xié)議定義了協(xié)商、建立、修改和刪除SA的過程和包格式。ISAKMP提供了一個通用的SA屬性格式框架和一些可由不同密鑰交換協(xié)議使用的協(xié)商、修改、刪除SA的方法。ISAKMP被設(shè)計為密鑰交換無關(guān)的協(xié)議；并沒有讓它受限于任何具體的密鑰交換協(xié)議、密碼算法、密鑰生成技術(shù)或認證機制。

2.4 IKE

IKE是一個以受保護的方式為SA協(xié)商并提供經(jīng)認證的密鑰信息的協(xié)議。IKE是一個混合協(xié)議，它使用到了三個不同協(xié)議的相關(guān)部分：Internet安全聯(lián)盟和密鑰管理協(xié)議(ISAKMP)[MSST98]、Oakley密鑰確定協(xié)議[Orm98]和SKEME[Kra96]。IKE為IPSec雙方提供用于生成加密密鑰和認證密鑰的密鑰信息。同樣，IKE使用ISAKMP為其他IPSec(AH和ESP)協(xié)議協(xié)商SA。

2.5 安全聯(lián)盟(SA)

SA的概念是IPSec密鑰管理的基礎(chǔ)。AH和ESP都使用SA，而且IKE協(xié)議的主要功能就是建立和維護SA。SA是兩個通信實體經(jīng)過協(xié)商建立起來的一種簡單的“連接”，規(guī)定用來保護數(shù)據(jù)的IPSec協(xié)議類型、加密算法、認證方式、加密和認證密鑰、密鑰的生存時間以及抗重播攻擊的序列號等，為所承載的流量提供安全服務(wù)。

3 IPSec策略管理分析與設(shè)想

3.1 IPSec VPN中的策略管理

在一個IPSec中，IPSec功能的正確性完全依據(jù)安全策略的正確制定與配置。傳統(tǒng)的方法是通過手工配置IPSec策略，這種方式在大型的分布式網(wǎng)絡(luò)中存在效率低、易出錯等問題。而一個易出錯的策略將可能導(dǎo)致通訊的阻塞和嚴重的安全隱患。而且，既使每個安全域策略的制訂是正確的，也可能會在不同的安全域中，由于策略之間的交互，出現(xiàn)在局部范圍內(nèi)安全策略的多樣性，從而造成端到端間通訊的嚴重問題。

根據(jù)以上協(xié)議建立起來的基于IPSec的VPN，當主機使用動態(tài)地址接入，發(fā)起VPN連接時。主機將使用協(xié)商好的SA處理的數(shù)據(jù)包發(fā)送到網(wǎng)關(guān)。網(wǎng)關(guān)接收到數(shù)據(jù)包后，使用相應(yīng)的SA處理數(shù)據(jù)包，而后進行載荷校驗。這時，在載荷校驗過程中，會因為沒有將新協(xié)商而建立起來的SA的數(shù)據(jù)項與SPD連接在一起，而造成不能通過載荷校驗。

3.2 遠程訪問模型中策略系統(tǒng)的構(gòu)想

構(gòu)建一個策略系統(tǒng)，需要解決策略的定義、存取、管理、交換、驗證、發(fā)現(xiàn)機制等問題以及系統(tǒng)自身的安全性問題。其中策略的表示和策略在動態(tài)交換中的安全性問題是系統(tǒng)的核心問題。目前RFC尚未制定關(guān)于策略系統(tǒng)的標準，因此還沒有成熟的實現(xiàn)方案。

現(xiàn)在較為流行的方案是：策略系統(tǒng)由四個部分組成——安全策略倉庫、策略服務(wù)器、安全網(wǎng)關(guān)、策略客戶端。其中安全策略倉庫(Repository)用于存儲策略信息，能對系統(tǒng)中的策略進行匯總。它可以是目錄服務(wù)器或數(shù)據(jù)庫服務(wù)器，除了儲存管理員已經(jīng)編輯好的策略信息，還可以存儲其它的網(wǎng)絡(luò)信息和系統(tǒng)參數(shù)。策略決策點(Policy Decision Point，PDP)通常也被稱為策略服務(wù)器，是整個系統(tǒng)的決策中心。它負責(zé)存取策略倉庫中的策略，并根據(jù)策略信息做出決策，然后將相應(yīng)的策略分配至策略執(zhí)行點。

而在遠程訪問的模式下，只有公司總部一端設(shè)置了安全網(wǎng)關(guān)和策略服務(wù)器。所以可以把前面提到的方案進行改進，應(yīng)用到遠程訪問模型中。

因此，可以將安全策略倉庫放置在策略服務(wù)器上，而策略服務(wù)器與安全網(wǎng)關(guān)相連。安全策略倉庫中存儲了一些永久信息，策略服務(wù)器可以依據(jù)這些信息做出相關(guān)的策略決定。安全策略倉庫最好采用LDAP這一類的標準目錄機制來進行策略存。策略服務(wù)器負責(zé)使用策略決議方法來完成策略制訂。

把安全網(wǎng)關(guān)和遠程訪問主機作為策略客戶端。當策略客戶端啟動的時候，需要自動訪問策略服務(wù)器，讀取關(guān)于自己的安全策略。此外，當策略服務(wù)器改變了某些安全策略時，就需要通知相關(guān)的策略客戶端訪問策略服務(wù)器來更新策略。策略客戶端必須實行本地保存策略，這是因為它必須知道哪些數(shù)據(jù)包實施了安全保護，哪些沒有。

策略分配機制必須是安全的。策略下載的服務(wù)器應(yīng)該是通過驗證的。除此以外，對該服務(wù)器的訪問也應(yīng)該是有限制的。如果這一條遭到破壞，網(wǎng)絡(luò)的安全就會大受威脅。我們?nèi)匀皇褂肅OPS在客戶端與策略服務(wù)器之間交換策略信息。

4 結(jié) 語

由于IPSec VPN出色的安全特性，使它越來越受到有著相對較高安全要求的企業(yè)或部門的青睞。本文提出的策略管理系統(tǒng)能夠很好的完成IPSec遠程訪問VPN系統(tǒng)的策略管理。隨著IPSec VPN的廣泛使用，更加復(fù)雜的VPN系統(tǒng)會相繼出現(xiàn)。因此，其安全策略管理的問題將逐步凸現(xiàn)，這方面的研究也將受到重視。

參考文獻：

[1] 黃菊生，《中國繪畫概論》。湖南美術(shù)出版社，1998年。

[2] 許祖良 洪橋編譯，《中國古典畫論選譯》。遼寧美術(shù)出版社，1985年。