83Pec的安全草略 网络安金 NETWORK SECURITY 1.安全关联SA 传输模式SA:传输模式SA只能用于两个主机之间的|P通信 隧道模式SA:隧道模式SA既可以用于两个主机之间的|P通 信也可用于两个安全网关之间或一个主机与一个安全网关之 间的|P通信。 SA是安全策略通常用一个三元组唯一的表示:<SP|, IP目的地址,安全协议标识符 1)SP:安全参数索引( ecurity Parameters Index),说明 用SA的P头类型,它可以包含认证算法、加密算法、用于认证
8.1.3 IPSec的安全策略 1.安全关联SA 传输模式SA: 传输模式SA只能用于两个主机之间的IP通信 隧道模式SA: 隧道模式SA既可以用于两个主机之间的IP通 信也可用于两个安全网关之间或一个主机与一个安全网关之 间的IP通信。 SA是安全策略通常用一个三元组唯一的表示:< SPI, IP目的地址,安全协议标识符> 1)SPI:安全参数索引(Security Parameters Index),说明 用SA的IP头类型,它可以包含认证算法、加密算法、用于认证
813 IPSec的安全草略(象) 网络安金 NETWORK SECURITY 加密的密钥以及密钥的生存期; 2)IP目的地址:指定输出处理的目的P地址,或输入处理 的源P地址; 3)安全协议标识符:指明使用的协议是AH还是ESP或者两者 同时使用。 2.安全关联数据库SAD SAD存放着和安全实体相关的所有SA,每个SA由三元组 索引。一个SAD条目包含下列域: 序列号计数器:32位整数,用于生成AH或ESP头中的序列号 序列号溢出标志:标识是否对序列号计数器的溢出进行审 核
8.1.3 IPSec的安全策略(续) 加密的密钥以及密钥的生存期; 2)IP目的地址:指定输出处理的目的IP地址,或输入处理 的源IP地址; 3)安全协议标识符:指明使用的协议是AH还是ESP或者两者 同时使用。 2. 安全关联数据库SAD SAD存放着和安全实体相关的所有SA,每个SA由三元组 索引。一个SAD条目包含下列域: • 序列号计数器:32位整数,用于生成AH或ESP头中的序列号; • 序列号溢出标志:标识是否对序列号计数器的溢出进行审 核;
813 IPSec的安全草略(象) 网络安金 NETWORK SECURIY 抗重发窗口:使用一个32位计数器和位图确定一个 输入的AH或ESP数据包是否是重发包; IPSec协议操作模式:传输或隧道; AH的认证算法和所需密钥; EsP的认证算法和所需密钥; ESP加密算法,密钥,初始向量(V)和ⅣV模式; 路径最大传输单元; 进出标志; SA生存期状态
8.1.3 IPSec的安全策略(续) • 抗重发窗口:使用一个32位计数器和位图确定一个 输入的AH或ESP数据包是否是重发包; • IPSec协议操作模式:传输或隧道; • AH的认证算法和所需密钥; • ESP的认证算法和所需密钥; • ESP加密算法,密钥,初始向量(IV)和IV模式; • 路径最大传输单元; • 进出标志; • SA 生存期状态
813 IPSec的安全草略(象) 网络安金 NETWORK SECURITY 3安全策略数据库SPD sPD决定了对数据包提供的安全服务,所有PSec实施方 案的策略都保存在该数据库中。 P包的处理过程中,系统要查阅sPD,每一个数据包,都 有三种可能的选择:丢弃、绕过|PSec或应用|PSec: 1)丢弃:根本不允许数据包离开主机穿过安全网关; 2)绕过:允许数据包通过,在传输中不使用 IPSec进行 保护; 3)应用:在传输中需要 IPSec保护数据包,对于这样的传 输SPD必须规定提供的安全服务、所使用的协议和算法等等
8.1.3 IPSec的安全策略(续) 3. 安全策略数据库SPD SPD决定了对数据包提供的安全服务,所有IPSec 实施方 案的策略都保存在该数据库中。 IP包的处理过程中,系统要查阅SPD,每一个数据包,都 有三种可能的选择:丢弃、绕过IPSec或应用IPSec: 1)丢弃:根本不允许数据包离开主机穿过安全网关; 2)绕过:允许数据包通过,在传输中不使用IPSec进行 保护; 3)应用:在传输中需要IPSec保护数据包,对于这样的传 输SPD必须规定提供的安全服务、所使用的协议和算法等等
813 IPSec的安全略() 网络安金 TcP层产生的或者需要转发的数据包 NETWORK SECURITY 查询SPD 丢弃。处理策略 绕过IPSe 应用 IPSec,查询SAD SA不存在或 启动E协商 SA: 安全关联? SA有效 协商成功? 进行 IPSec处理添加 IPSec 否 丢弃数据包,记录 出错信息 添加P头,送到 发送队列 返回 图84|PSec对数据包的处理
8.1.3 IPSec的安全策略(续) 协商成功? 启动IKE协商 否 TCP层产生的或者需要转发的数据包 安全关联? 处理策略? 查询SPD 丢弃 绕过IPSec 应用IPSec,查询SAD SA不存在或 SA无效 进行IPSec处理添加 IPSec头 SA有效 添加IP头,送到IP 层发送队列 返回 丢弃数据包,记录 出错信息 图8.4 IPSec对数据包的处理 是