嵌入式防火墙环境中基于IPsec的策略传输机制的研究

摘要

文章着重研究了嵌入式防火墙环境下，策略服务器与各分布式防火墙客户端网卡之间策略传输的安全问题。网络中各防火墙客户端因其用户级别的不同，其上所执行的安全策略也不同，所以不同用户的安全访问策略规则需要集中制定，即通过策略服务器集中制定分发。而访问策略的分发过程是否安全则直接影响该嵌入式防火墙体系的访问控制策略实施的准确性，包括如何保证策略交互通信中申请者及发送者身份的真实性以及操作的不可否认性，如何实现策略传输的机密性，完整性。 本文在分析了Ipsec安全协议相关理论的基础上，提出了嵌入式防火墙环境下基于Ipsec的策略传输机制。策略服务器负责集中制定用户的安全策略，利用Ipsec的验证和加密功能实现策略传输双方的验证及策略的安全分发。 该机制中针对嵌入式环境采用建立传输模式的Ipsec连接，采用改进的SHA-1签名算法对数据包进行签名验证，采用强度较高的3DES加密算法实现数据包的加密，设计了实际运行时从静态脚本中动态获得有效算法密钥的方法，进一步提高了数据包传输过程的安全性。在简要介绍了整个机制的实现过程后，对实现过程中部分重要代码进行了详细分析和说明，并给出了相关实验数据。