分享到:
计算机应用 最近更新
讨论未来电商发展趋势论文提纲
浅谈自媒体对现代生活的影响
论文范文:网络发展对青少年心理发展的影响
论我国电子商务应用中的支付问题
电子商务模式研究
中小型企业客户关系管理系统的开发与应用
中石油浙江销售分公司信息管理系统设计
图书馆管理系统分析与设计
物流师职业资格认证报名管理系统
销售管理系统的开发与设计
酒店客房管理系统
财务管理系统的实现
餐饮管理系统设计与实现
社区卫生服务管理系统
汽车营销企业的客户关系管理系统
明道管理咨询有限公司客户关系管理系统设计与开发
企业订单管理系统开发
基于WEB的CRM信息系统的开发与研究
高校科研工作量统计系统的开发与设计
基于Struts的连锁店管理系统
IPsec安全策略系统研究
 摘  要  基于策略的网络互联是当前安全研究的热点问题之一。该文首先介绍了IPsec协议中策略的含义及使用,继而讨论了IETF提出的安全策略系统的一般结构及各关键部件的功能划分。最后讨论了当前研究存在的问题及今后的研究方向。
    关键词  Ipsec;安全策略数据库;安全关联数据库;安全策略系统
 
1  IPsec协议
    IPSec(Internet Protocol Security)是IETF提出的一套开放的标准协议,它是IPV6的安全标准,也可应用于目前的IPV4。IPSec协议是属于网络层的协议,IP层是实现端到端通信的最底层,但是IP协议在最初设计时并未考虑安全问题,它无法保证高层协议载荷的安全,因而无法保证通信的安全。而IPSec协议通过对IP层数据的封装和保护,能够为高层协议载荷提供透明的安全通信保证。IPsec包括安全协议部分和密钥协商部分,安全协议部分定义了对通信的各种保护方式;密钥协商部分则定义了如何为安全协议协商保护参数,以及如何对通信实体的身份进行鉴别。IETF的IPsec工作组已经制定了诸多RFC,对IPsec的方方面面都进行了定义,但其核心由其中的三个最基本的协议组成。即:认证协议头(Authentication Header,AH)、安全载荷封装(Encapsulating Security Payload,ESP)和互联网密钥交换协议(Internet Key Exchange Protocol,IKMP)。
    AH协议提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。AH认证整个IP头,不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。
    ESP协议通过对数据包的全部数据和加载内容进行全加密,来提供数据保密性、有限的数据流保密性,数据源认证,无连接的完整性,以及抗重放服务。和AH不同的是,ESP认证功能不对IP数据报中的源和目的以及其它域认证,这为ESP带来了一定的灵活性。
    IPSec使用IKE协议实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等,这些安全参数的总体称之为安全关联(Security Association,SA)。IPsec协议族使用IKE密钥交换协议来进行密钥及其它安全参数的协商[1]
2  IPsec策略管理 2.1  IPsec策略使用
    IPsec的基本功能是访问控制以及有选择地实施安全,即只有选中的IP报文才被允许通过或被指定的安全功能所保护。IPSec的实现需维护两个与SA有关的数据库,安全策略数据库(Security Policy Database,SPD)和安全关联数据库(Security Association Database,SAD)。SPD是为IPSec实现提供安全策略配置,包括源、目的IP地址、掩码、端口、传输层协议、动作(丢弃、绕过、应用)、进出标志、标识符、SA和策略指针。SAD是SA的集合,其内容(RFC要求的必须项)包括目的IP地址、安全协议、SPI、序列号计数器、序列号溢出标志、抗重播窗口、SA的生命期、进出标志、SA状态、IPSec协议模式(传输或隧道)、加密算法和验证算法相关项目[1]。IPsec对进出数据报文的处理过程如图1、2所示[2]

随机推荐
浅谈虚拟现实技术在规划领域中的应用
网络攻击过程的形式化描述方法研究
基于VC的连续挤压机主轴转速的动态曲线的实现
Delphi中画布应用两则
CAD绘制圆形洞室展示图的初步实现
iSCSI协议在OPNET中的实现
构建校园网页面电子邮件系统
高职院校《离散数学》课程教学现状分析与研究
一种基于PDRR模型的静态数据完整性保护方案
基于J2EE和Struts技术的电力营销管理信息系统设计与实现

设为首页 | 关于我们 | 广告联系 | 友情链接 | 版权申明

Copyright 2009-2014 All Right Reserved [粤ICP备05100058号-11]