1.安全关联( Security Associations) IPSec的实现还需要维护两个数据库 安全关联数据库SAD 安全策略数据库SPD 通信双方如果要用 IPSec建立一条安全的传输通路 ,需要事先协商好将要采用的安全策略,包括使 用的算法、密钥及密钥的生存期等。SA就是能在 其协商的基础上为数据传输提供某种 IPSec安全保 障的一个简单连接。(可以是AH或ESP) SA的组合方式有:传输模式和隧道模式
1.安全关联(Security Associations) IPSec的实现还需要维护两个数据库: • 安全关联数据库SAD • 安全策略数据库SPD 通信双方如果要用IPSec建立一条安全的传输通路 ,需要事先协商好将要采用的安全策略,包括使 用的算法、密钥及密钥的生存期等。SA就是能在 其协商的基础上为数据传输提供某种IPSec安全保 障的一个简单连接。(可以是AH或ESP) SA的组合方式有:传输模式和隧道模式
2.AH和ESP的两种使用模式 传输模式 传输模式主要用于对上层协议的保护,如 TCP、UDP和ICMP数据段的保护。 以传输模式运行的ESP协议对P报头之后的数 据(负载)进行加密和认证,但不对P报头进 行加密和认证。 以传输模式运行的AH协议对负载及报头中选 择的一部分进行认证。 认证的 加密的 原报头ESP报头TCP数据ESP报尾ESP认证数据
2. AH和ESP的两种使用模式 1) 传输模式 ◼ 传输模式主要用于对上层协议的保护,如 TCP、UDP和ICMP数据段的保护。 ◼ 以传输模式运行的ESP协议对IP报头之后的数 据(负载)进行加密和认证,但不对IP报头进 行加密和认证。 ◼ 以传输模式运行的AH协议对负载及报头中选 择的一部分进行认证。 原IP报头 ESP报头 TCP 数据 ESP报尾 ESP认证数据 加密的 认证的
2.AH和ESP的两种使用模式 2)隧道模式 ·隧道模式用于对整个IP数据报的保护,即给原数 据报加一个新的报头(网关地址)。原数据报就 成为新数据报的负载。 原数据报在整个传送过程中就象在隧道中一样 传送路径上的路由器都有无法看到原数据报的报 头。 由于封装了原数据报,新数据报的源地址和目标 地址都与原数据报不同,从而增加了安全性。 认证的 加密的 新P报头ESP报头原IP报头数据EP报尾ESP认证数据
2. AH和ESP的两种使用模式 2) 隧道模式 • 隧道模式用于对整个IP数据报的保护,即给原数 据报加一个新的报头(网关地址)。原数据报就 成为新数据报的负载。 • 原数据报在整个传送过程中就象在隧道中一样, 传送路径上的路由器都有无法看到原数据报的报 头。 • 由于封装了原数据报,新数据报的源地址和目标 地址都与原数据报不同,从而增加了安全性。 新IP报头 ESP报头 原IP报头 数据 ESP报尾 ESP认证数据 加密的 认证的
6.1.3 IPSec服务与应用 1.SA的组合方式 个SA能够实现AH协议或ESP协议,但却 不能同时实现这两种协议。 当要求在主机间和网关间都实现Sec业务 时,就要求建立多个SA,即采用SA组合方 式
6 .1.3 IPSec服务与应用 1. SA的组合方式 ◼ 一个SA能够实现AH协议或ESP协议,但却 不能同时实现这两种协议。 ◼ 当要求在主机间和网关间都实现IPSec业务 时,就要求建立多个SA,即采用SA组合方 式
SA的组合方式 隧道SA 个或两个SA ast-Eneta t 安全网关命 安全网关命 □ Router Router LAN Internet LAN 令实现 IPSec
Internet Internet Internet LAN Router Router 实现IPSec 安全网关 安全网关 隧道SA 一个或两个SA SA的组合方式 LAN