Intranet组安全模型初探.pdfVIP

第13％§46期 女g广播自*大学学m 20094第4期 Intranet组安全模型初探 刘美i 克拉玛依广播电视太学． 新疆克拉玛依834000 摘要：本文计时妄#需末提女T一种在1…H上可行∞vPN简化蛆安±椹型，该集中分层模型特别解＆ 7组管理、策略昔理、IKE通信效率和策略冲突月题。 关键词：虚拟专月月，组安全；蛆策略营g；策略冲竞 10 04叭4 3969／jm65一1189(94)2009 一、引言 在满足安全需求的前提下，应被尽可能减少组 在h洲企业西区同内，因工作和安全需要， 成员，降低吏施l巧*对主机和网络性能带来的影 有些部门之间存在长期或暂时的音作关系，它们之 响。通常，组能够简化成以下两种情配： 间的数据通信要求保密，我们把存在这种关系的网 i组由一个应用目日务器和一个或多十用户主机 络用户看成逻辑组。 构成。这种类型常用于给有授权的个别工作人员提 用IPswvPN实现逻辑组出主机的安全通信．待 供某个部门的保密信息。 解决的问遥主要右： 2组由不同部门的多个月H务器构成．用于部门 其一、组管理。怎样有效进行组管理，提高是 间的共享信息的安全恃输。 活性和扩展性，在组成员发生变化时，尽量减少对 (二)策略服务g的功能压部署 组内其他主帆配置的修改。 根据lEJF定义的策略框架，同时为了减轻用户 其二、策略管理，策略冲室的榆测盟解决。用 配置策略的负担，模型采用集中分詹的方式管理组 户手动本地配置v州策略有两十主要弊端一是其 和策略。分别在ht…嘶主干网培中心、次级中 它节点配置信息变化，必须手动修改本地vPⅣ策 心、各盘事业单位园Ⅸ中心建立安垒策略服务器 略；二是易与其岜安垒策略发生冲突。 (Ps)，如图l所示： 其三、通信效率低。N个蹦络设备间进行IPsEc vPN通信，必须建立Nx(N—11，2个忡N连接。在进 行vPN连接前，要经过IKE协商建立安全连接。由于 IKE密钥协商标准过于复杂，组内任意两个主机至少 通过六次协商才能得到1PsEcs^。虽然AT＆T提出了 Fkt 更简单有救的JFK(hn Kev，n舭议．井有可能替 代lKE，但目前还尚未应用。 因此，本文接In岫n胡安全的实际需求，针对 要解击的问题提出了一种可行的vPN组安全模型。 二、组模型 各镀阿络管理员负责管理本缀厦其下级刚络主 (一)组的简化 机构成的组，井在相应的毗维护组和组成员的安 收稿日Ⅻ2004ll{3 作者简：Ⅻ*i．女(*族1，新ai枉日依广播t观女学讲*，i喜取事计算机目镕女±n‰*目完。 万方数据 第13卷总46期 新疆广播电视大学学报 2009年第4期 V01．13SumNo．46 JOURNAL0FXlNJIANGRTVU No．4．2009 全需求(高层策略)。 表明a的属性。 如图1所示，次级网络中心的用户l访问园区网 定义3：组安全需求R(高层) 的服务器4，两者构成组2，它们的组策略存放在次 根据定义2，组安全需求条件部分通常可以包含 级网