IPSEC 新一代因特网安全标准 第九卷(共十一卷).pdfVIP

下载 第9章 IPSec 的实施 9.1 导引 本章将讨论I P S e c 的实施问题。其中包括：I P S e c不同组件之间的交互、这些组件各自提供 的接口以及外出包和进入包的处理过程。 由于实施是专门针对某一个特定平台的，本章中讨论的问题大都与平台无关，所以，可 把它们用作在某一指定平台上实施 I P S e c 的指南。当讨论某一特定O S上的实施方案有助于进一 步说明时，一个选择方案就是 B S D （Berkeley Software Distribution ）O S变体。 我们将讨论下面几个组件： I P S e c 基本协议、 S A D B 、S P D 、手工键控、 I S A K M P / I K E 、 S A管理和策略管理。作为一名 I P S e c实施者，还必须掌握本章中重点讨论的实施和优化问题。 9.2 实施结构 大多数I P S e c实施方案都定义了下面几个组件： ■ I P S e c基本协议：这个组件实施了 E S P和A H 。它用于处理头，与S P D和S A D B进行交互， 以便决定为数据包提供哪些安全保障，并解决分段和 P M T U之类的网络层问题。 ■ S P D ：S P D是一个重要组件，因为它对数据包采用的安全保障起决定作用。外出包和进 入包的处理都要查阅这个 S P D 。对外出包处理来说，由 I P S e c基本协议来查阅 S P D ，判 断这个包是否需要安全保护。对进入包来说，由 I P S e c基本协议组件来查阅 S P D ，判断 为这个包提供的安全保护是否和策略配置的安全保护相符。 ■ S A D B ：S A D B为进入和外出包处理维持一个活动的 S A列表。外出 S A用来保障外出包 的安全，进入S A用来处理带有 I P S e c头的进入包。 S A D B是各个 S A聚集在一起形成的， 要么手工，要么通过I K E之类的一个自动密钥管理系统来进行。 ■ I K E ：一般说来，I n t e r n e t密钥交换（I K E ）是一个用户级的处理，除了在嵌入式操作系统 以外。典型情况下，如正在运行嵌入式操作系统的路由器这一类的节点，用户空间和内核 空间没有什么区别。对两个安全通信的节点，但准备建立S A，当策略强制一个S A或一束 S A存在时，I K E 由策略引擎来实行。节点需要安全通信时，还可由I K E的同级来实行它。 ■ 策略和S A管理：这些是对策略和S A进行管理的应用。 图9 - 1表明：各种I P S e c组件及各组件之间的交互。 策 略 和 策略数 SA管理 据库 SPD和 策略引擎 SADB表 图9-1 IPSec实施结构 90计计第三部分分配 置 问题 下载 本小节的其他部分，讨论的是接口和各个组件的设计要求。 9.2.1 IPSec基本协议 I P S e c基本协议和传送层、网络层的交互很接近。事实上， I P S e c基本协议是网络层的一部 分。I P S e c基本协议模块应该设计成高效地实现下列几个能力： ■ 能够在一个外出包（既在通道模式，又在传送模式）增添多个 I P S e c头。 ■ 能够处理通道模式I P S e c包，并向I P转发传送解封的数据包。 ■ 能够处理传送模式 I P S e c包，再根据 I P S e c包负载的传送载荷，把它们传送到恰当的传 送层中，比如T C P 、U D P或I C M P 。 I P S e c协议模块提供了两个接口功能—输入和输出。输入接口功能是根据进入包来称呼 的，输出接口功能则根据外出包