IPSec VPN中關(guān)鍵技術(shù)的研究.pdf

1、隨著互聯(lián)網(wǎng)在當(dāng)今社會中的應(yīng)用日趨廣泛，信息的安全與保密顯得越來越重要，網(wǎng)絡(luò)安全產(chǎn)品也被人們重視起來。虛擬專用網(wǎng)VPN系統(tǒng)主要是用來在不安全的網(wǎng)絡(luò)環(huán)境中開辟安全的隧道以用于數(shù)據(jù)傳輸，在網(wǎng)絡(luò)產(chǎn)品的應(yīng)用中占有重要的份額。自從IETF正式制定IPSec作為開放性網(wǎng)絡(luò)層安全協(xié)議以后，IPSec被引入到VPN的創(chuàng)建方案中來，從此，IPSec VPN技術(shù)開始成為安全研究中的一個關(guān)鍵問題。 傳統(tǒng)的IPSec VPN系統(tǒng)簡單而有效，能夠滿足最基本

2、的網(wǎng)絡(luò)安全需求，但也存在一些局限性。針對IPSec VPN實際應(yīng)用中出現(xiàn)的問題，通過在實際工作中對IPSec VPN的理解和研究，本文重點從以下三個方面展開論述： 1)對組播應(yīng)用的支持。IPSec協(xié)議實質(zhì)上只適用于單播安全，不適用于接收方不唯一的組播環(huán)境。鑒于IPSec協(xié)議的優(yōu)良特性，希望它能應(yīng)用于組播環(huán)境，我們利用通用路由封裝(GRE)隧道與IPSec加密相結(jié)合的方法解決這一問題，提出在星形結(jié)構(gòu)應(yīng)用中可能會遇到的問題及如何解決

3、。 2)策略數(shù)據(jù)庫(SPD)組織結(jié)構(gòu)的改進(jìn)。安全策略是IPSec體系結(jié)構(gòu)的重要組成部分，它的核心問題是策略的表示和實施。其中，“表示”就是策略的定義、存儲和獲取，“實施”也就是策略在實際通信中的應(yīng)用。對進(jìn)入和外出的IP包進(jìn)行處理的安全策略存放在安全策略數(shù)據(jù)庫(SPD)中。因為對于要處理的每個數(shù)據(jù)報都要對其進(jìn)行查詢處理，所以，SPD的組織結(jié)構(gòu)方式直接對整個IPSecVPN系統(tǒng)的效率影響很大。在實際的應(yīng)用中，對SPD的查詢速度要求往

4、往很高，特別是在一個復(fù)雜的網(wǎng)絡(luò)環(huán)境中，因為SPD的源地址、目的地址字段既可能是一個主機地址，也可能是一個子網(wǎng)地址，對其查詢的復(fù)雜度相當(dāng)?shù)母摺Ｎ覀儽局岣卟樵冃蕿槟康?，分別采用多分支Trie樹和Radix樹兩種樹型結(jié)構(gòu)來實現(xiàn)策略數(shù)據(jù)庫的組織結(jié)構(gòu)，并進(jìn)行各自優(yōu)缺點的比較。 3)策略相關(guān)性的處理。大量的內(nèi)部節(jié)點各自使用的不同安全策略可能交織在一起，需要正確處理策略之間的相關(guān)性。分析了策略相關(guān)性，分析其解決方法，深入理解其如何使策略系

5、統(tǒng)能在復(fù)雜的網(wǎng)絡(luò)環(huán)境中處理大量相互影響的安全策略。 另外，文章接下來為IPSec VPN網(wǎng)絡(luò)提出了一個“策略集中存放、管理員分級管理”的安全策略服務(wù)器模型。由于VPN系統(tǒng)配置相對于普通用戶來說比較專業(yè)，在實際應(yīng)用中經(jīng)常會遇到因策略不一致而導(dǎo)致VPN無法連接的問題。IPSecVPN系統(tǒng)的安全策略服務(wù)器主要是將VPN網(wǎng)絡(luò)中的策略管理集中到一起，由網(wǎng)絡(luò)管理員統(tǒng)一配置和管理，以避免可能存在的策略不一致問題。 本文的意義在于使得人