虛擬專用網(wǎng)中安全策略管理系統(tǒng)的研究與設(shè)計(jì).pdf

1、IPSec/VPN安全策略管理原型系統(tǒng)(SPMS)較好地解決了IETF建議的安全策略系統(tǒng)(SPS)中存在的缺少策略一致性檢查和策略自動調(diào)整機(jī)制等問題.它采用并擴(kuò)展了DEN技術(shù)中的策略類信息模型來進(jìn)行系統(tǒng)設(shè)計(jì),而且采用了COPS和LDAP作為安全策略分發(fā)的網(wǎng)絡(luò)信息交換協(xié)議.在該系統(tǒng)中,用戶利用可視化工具可以對安全策略進(jìn)行初始化和修改,然后通過策略管理服務(wù)器處理后分發(fā)到各個(gè)安全域.策略管理服務(wù)器作為該系統(tǒng)的重要組成部分,提供對用戶配置的策略

2、進(jìn)行解相關(guān)、檢驗(yàn)的功能.在安全策略管理的形式化描述中,提出了把安全策略分為需求級安全策略和實(shí)施級安全策略,這種區(qū)分允許需求轉(zhuǎn)化為策略的過程自動化,區(qū)分了安全需求和特定的IPSec安全策略,并且還對策略正確性以及策略沖突進(jìn)行了研究和討論.在策略模塊的設(shè)計(jì)中,提出了兩層結(jié)構(gòu)的設(shè)計(jì)思想:下層處理和本地IPSec內(nèi)核之間的通信以及管理策略數(shù)據(jù)庫;上層通過COPS/SPP協(xié)議交換來實(shí)現(xiàn)安全策略通信協(xié)議.策略模塊兩層結(jié)構(gòu)允許策略模塊操作的高度并行性