IPv6网络中多级多域安全策略系统研究

作     者：吴琼 

作者单位：西安电子科技大学 

学位级别：硕士

导师姓名：李小平

授予年度：2008年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：IPv6 IPSec 安全策略系统 策略一致性 CERNET2 

摘      要：为了解决IPv6网络中基于策略驱动的网络安全问题以及多层次多地区的军事和商业安全应用需求,本文利用了IPv6内嵌的安全协议IPSec中安全策略数据库（SPD）对安全策略的支持和其强制实施性,在现有的SPS的基础上提出了支撑策略实施的“分层分域、统一管理、分布式控制的多级多域安全策略系统。该系统中,中心策略统一配置、各安全域根据自身安全需求下载安全策略,本地策略协商配置。基于该架构本文主要研究了如何有效管理多级多域的分布式IPv6网络环境下安全策略管理实现中的相关问题,包括:安全策略的内容和描述方法、安全策略的配置与存储方案以及安全策略系统的实现等。从理论上证明了多级多域的安全策略系统的可实现性。虽然IPSec可以提供强大的安全支持,但是在安全策略驱动的分布式网络环境中,安全策略从配置、分发到实施的每一阶段都必须保持一致,否则有可能达不到预期的安全目标,本文通过深入研究策略冲突产生的原因并给出切实可行的解决方案。文章最后鉴于CERNET2的纯IPv6的网络环境,将多级多域安全策略系统与CERNET2网络相结合,给出了SPD中的IPSec安全策略在该系统中的部署和实施的方案设计,还根据选择符的内容进行了SP扩展,并加以实例说明。 多级多域的安全策略系统具有很好的扩展性,适合IPv6环境下基于域的安全管理。安全策略在系统中正确配置实施,可以最大限度地维护IPv6网络安全,对现行的CERNET2网络也具有十分重要的实际意义。