IPSec遠程訪問VPN的安全策略研究

IPSec遠程訪問VPN的安全策略研究［摘要］VPN技術(shù)應用日益廣泛，IPSec已成為實現(xiàn)VPN的主要方式。文章對IPSec相關(guān)協(xié)議進行分析的基礎(chǔ)上，針對IPSec協(xié)議族在平安策略方面的不足，提出在遠程訪問模型中使用集中試策略管理并對該管理系統(tǒng)進行了討論。

［關(guān)鍵詞］PSecVPN；平安策略數(shù)據(jù)庫；平安關(guān)聯(lián)數(shù)據(jù)庫；平安策略

1引言

隨著Internet等公共網(wǎng)絡(luò)的快速進展和國際經(jīng)濟一體化的進展趨勢，企業(yè)內(nèi)部及企業(yè)間通過網(wǎng)絡(luò)傳遞信息的需求越來越多。如何以最低的費用保障通信的平安與高效，是企業(yè)極其關(guān)注的問題。流行的解決方案是利用隧道技術(shù)，在Internet等擔心全的公共網(wǎng)絡(luò)上建立平安的虛擬專用網(wǎng)絡(luò)，即虛擬專用網(wǎng)（VPN）。

IPSec是實現(xiàn)VPN的一種協(xié)議，正在得到越來越廣泛的應用，將成為虛擬專用網(wǎng)的主要標準。盡管IPSec已經(jīng)是一種包涵極廣、功能極強的IP平安協(xié)議，但卻仍舊不能算是適用于全部配置的一套極為完整的方案，其中仍舊存在一些需要解決的問題。本文對IPSec相關(guān)協(xié)議進行分析的基礎(chǔ)上，針對IPSec協(xié)議族在平安策略方面的不足，提出在遠程訪問模型中使用集中試策略管理，并對該管理系統(tǒng)進行了討論。

2IPSecVPN

IPSec協(xié)議為IPv4和IPv6供應可互操作的、高質(zhì)量的、基于加密體制的平安方案。包括訪問掌握、無連接的完整性、數(shù)據(jù)源認證、防止重播攻擊、信息加密和流量保密等平安服務(wù)。全部這些服務(wù)都建立在IP層，并愛護上層的協(xié)議。這些服務(wù)通過使用兩個平安協(xié)議：認證頭AH[RFC2402]和封裝平安載荷ESP[RFC2406]，以及通過使用加密密鑰管理過程和協(xié)議來實現(xiàn)。這些加密密鑰管理過程和協(xié)議包括Internet平安聯(lián)盟（SA）和密鑰管理協(xié)議（ISAKMP）[RFC2408]以及Internet密鑰交換協(xié)議（IKE）[RFC2409]。

2.1認證頭（AH）協(xié)議。協(xié)議的目的是用來增加IP數(shù)據(jù)包的平安性。AH協(xié)議供應無連接的完整性、數(shù)據(jù)源認證和抗重播愛護服務(wù)。

2.2封裝平安載荷（ESP）協(xié)議。協(xié)議的目的和認證頭（AH）一樣，是用于提高IP的平安性。ESP供應數(shù)據(jù)保密、數(shù)據(jù)源認證、無連接完整性、抗重播服務(wù)和有限的數(shù)據(jù)流愛護。

AH和ESP協(xié)議都支持兩種工作模式：傳輸模式和隧道模式。傳輸模式為上層協(xié)議供應平安愛護，愛護的是IP包的有效載荷或者說愛護的是上層協(xié)議（如TCP、UDP和ICMP）。隧道模式是為整個IP包供應愛護。

2.3Internet平安聯(lián)盟密鑰管理協(xié)議（ISAKMP）。協(xié)議定義了協(xié)商、建立、修改和刪除SA的過程和包格式。ISAKMP供應了一個通用的SA屬性格式框架和一些可由不同密鑰交換協(xié)議使用的協(xié)商、修改、刪除SA的方法。ISAKMP被設(shè)計為密鑰交換無關(guān)的協(xié)議；并沒有讓它受限于任何詳細的密鑰交換協(xié)議、密碼算法、密鑰生成技術(shù)或認證機制。

2.4IKE。IKE是一個以受愛護的方式為SA協(xié)商并供應經(jīng)認證的密鑰信息的協(xié)議。IKE是一個混合協(xié)議，它使用到了三個不同協(xié)議的相關(guān)部分：Internet平安聯(lián)盟和密鑰管理協(xié)議（ISAKMP）[MSST98]、Oakley密鑰確定協(xié)議[Orm98]和SKEME[Kra96]。IKE為IPSec雙方供應用于生成加密密鑰和認證密鑰的密鑰信息。同樣，IKE使用ISAKMP為其他IPSec（AH和ESP）協(xié)議協(xié)商SA。

2.5平安聯(lián)盟(SA)。SA的概念是IPSec密鑰管理的基礎(chǔ)。AH和ESP都使用SA，而且IKE協(xié)議的主要功能就是建立和維護SA。SA是兩個通信實體經(jīng)過協(xié)商建立起來的一種簡潔的“連接”，規(guī)定用來愛護數(shù)據(jù)的IPSec協(xié)議類型、加密算法、認證方式、加密和認證密鑰、密鑰的生存時間以及抗重播攻擊的序列號等，為所承載的流量供應平安服務(wù)。

IPSec的實現(xiàn)必需維護以下兩個與SA相關(guān)的數(shù)據(jù)庫：平安策略數(shù)據(jù)庫（SPD），指定給IP數(shù)據(jù)流供應的平安服務(wù)，主要依據(jù)源地址、目的地址、入數(shù)據(jù)還是出數(shù)據(jù)等確定。SPD有一個排序的策略列表，針對入數(shù)據(jù)和出數(shù)據(jù)有不同的數(shù)據(jù)項。這些數(shù)據(jù)項可以指定某些數(shù)據(jù)流必需繞過IPSec處理，一些必需被丟棄或經(jīng)過IPSec處理等策略；平安聯(lián)盟數(shù)據(jù)庫（SAD）,包含每一個SA的參數(shù)信息，如AH或ESP算法和密鑰、序列號、協(xié)議模式以及SA的生命周期。對于出數(shù)據(jù)的處理，有一個SPD數(shù)據(jù)項包含指向某個SAD數(shù)據(jù)項的指針。也就是說，SPD打算了一個特定的數(shù)據(jù)包使用什么樣的SA。對于入數(shù)據(jù)的處理，由SAD來打算如何對特定的數(shù)據(jù)包作處理。

3IPSec策略管理分析與設(shè)想

3.1IPSecVPN中的策略管理

在一個IPSec中，IPSec功能的正確性完全依據(jù)平安策略的正確制定與配置。傳統(tǒng)的方法是通過手工配置IPSec策略，這種方式在大型的分布式網(wǎng)絡(luò)中存在效率低、易出錯等問題。