有效IPSec安全策略管理方案.docVIP

有效IPSec安全策略管理方案 　　摘要：针对IPSec协议在安全策略管理存在的问题，引入信任管理的思想，介绍了一种基于信任管理的IPSec安全策略管理方案。该方案对分布式网络中的策略可以进行统一的描述，并通过一致性证明能够实现策略的委托授权管理，这样大大提高了IPSec安全策略管理效率和IPSec的灵活性。 　　关键词：安全策略；授权；信任管理；一致性检测 　　中图分类号：TP309．６文献标志码：A 　　文章编号：1001-3695(2007)12-0151-04 　　 　　0引言 　　 　　IPSec(IP security)[1]协议栈是IETF提供的保护网络层安全的协议标准。与其他层次上的安全保护相比，网络层的安全保护具有许多优点：可以不修改其他层的应用程序对其应用进行安全保护；其他层的应用也可以自动透明地利用网络层的安全服务。尤为重要的是，IPSec具有其他高层和低层不能具有的灵活性，如提供主机之间端到端的传输安全、提供路由到路由的多链路传输安全、提供边界到边界的可信网络与不可信网络之间的传输安全、提供特定节点的其他安全配置。因而，IPSec已经逐渐应用到桌面计算机、服务器、路由器和防火墙等操作系统中。虽然IPSec具有很强的灵活性，但其自身没有明确的对进入和离开主机数据包处理的安全策略管理。在许多IPSec实施中，仅提供了基于数据包过滤和ACL策略的不健全策略管理机制，使许多安全服务不得不在应用层或传输层重复实施。同时，IPSec对基于数据包过滤处理是根据数据包的地址、端口、服务以及其他数据包参数信息SPI(security policy index)以位模式对SAD(security association database)进行查询，对网络的速率有更高的要求，这对于低速网络环境(如防火墙)的应用十分不利。此外，当前IPSec的实现中，通常是由管理员提供安全策略的配置，因而密钥的拥有者(如证书的持有者)就可以创建任意类型的SA(security assocation，安全关联)，而其他用户则没有一点权利可言。从而只有拥有SA的用户或可信网络的用户才能得到IPSec的安全服务。在分布网络环境中委托授权是十分常见的事实，但现有的IPSec实施中不能解决安全策略的授权处理问题，以至于IPSec的灵活性在分布网络环境中受到很大的限制。本文分析了IPSec数据包处理的安全策略管理控制机制，借助信任管理的思想并引入KeyNote信任管理系统对IPSec安全关联的建立和安全策略的管理进行统一的一致性检测，使在分布网络环境中IPSec安全策略的管理更加有效，能够实现安全策略的授权使用，具有授权的用户就可以创建自己的SA实现安全传输。 　　 　　1IPSec数据包处理 　　 　　IPSec协议栈建立在网络层，对IP数据包进行高强度的安全保护处理，能提供数据源验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。IPSec协议栈主要包括IKE(Internet key exchange)协议[2]、ESP(encapsulation security payload)协议[3]和AH(authentication head)协议[4]。IKE协议主要实现Internet密钥交换和安全策略系统建立，利用IKE能动态地建立SA ,并保障建立过程的安全。ESP协议主要实现通信传输的IP数据包的保密性、完整性和认证安全保障。AH协议主要实现通信传输的IP数据包认证和完整性安全保障。在IPSec实施安全服务过程中有两个重要的概念，即安全策略和安全关联。安全策略是指控制网络层的传输流、主机以及应用的传输流的安全方法，无论数据包到达还是离开网络安全终端(主机、网关、路由、防火墙)均要执行安全策略控制数据包的处理。安全关联是指与保护的数据包相关的加密和认证的密钥、加密和认证的方法等信息。IPSec的安全服务是基于数据包封装实现的，即根据数据包对应的SA应用密码体制将其进行封装，从而实现数据包在网络中间节点的安全传输。离开网络的数据包在发送之前必须进行加密、认证、封装处理；进入网络的数据包必须进行解封、验证、解密处理，在整个过程中终端节点使用的密钥都是通过IKE来协商和管理的。IPSec数据包处理过程[5]如图1所示。 　　1）输入数据包的处理#1：数据包从网络到达安全终端时，安全终端首先调用IP输入路由处理器判断数据包是否是保护的数据包。如果数据包不是保护的数据包，则调用#2.1进行传统数据包处理以转发或丢弃；否则，调用#2.2进入IPSec处理器并进行#3查询SAD数据库，检查该数据包是否有相关的SA(有无正确的密钥材料)。如果有就解封数据包，解封后数据包如果有效则调用#4传输到高层处理(解封后的数