(1)SA参数 sA一般由下面的参数定义。 ①序数计数器: ②计数器溢出位: ③防重放窗口: ④AH信息: ⑤ESP信息: ⑥SA的生存期: ⑦|PSec协议模式: ⑧路径MTU 人民邮电出版社
(1)SA参数 SA一般由下面的参数定义。 ① 序数计数器: ② 计数器溢出位: ③ 防重放窗口: ④ AH信息: ⑤ ESP信息: ⑥ SA的生存期: ⑦ IPSec协议模式: ⑧ 路径MTU:
(2)SA选择器 IP通信量与指定SA(或者,允许通信量绕过 IPSec的情况下没有SA)相关的方法是通过SPD( Security Policy Database,安全性策略数据库 )实现的。 通信双方如果要用 IPSec建立一条安全的传输 通路,需要事先协商好将要采用的安全策略,包 括使用的加密算法、密钥与密钥的生存期等。当 双方协商好使用的安全策略以后,就为双方建立 了一个SA。 人民邮电出版社
(2)SA选择器 IP通信量与指定SA(或者,允许通信量绕过 IPSec的情况下没有SA)相关的方法是通过SPD( Security Policy Database,安全性策略数据库 )实现的。 通信双方如果要用IPSec建立一条安全的传输 通路,需要事先协商好将要采用的安全策略,包 括使用的加密算法、密钥与密钥的生存期等。当 双方协商好使用的安全策略以后,就为双方建立 了一个SA
(3)安全关联的组合 ①传输邻接 ②重复隧道 人民邮电出版社
(3)安全关联的组合 ① 传输邻接 ② 重复隧道
隧道SA 个或多个SA 个或多个SA 安全 安全 网关 主机 Router 主机 主机 「主机 木地内 Internet Internet 本地内 本地内 本地内 部网 部网 部网 部网 (a)传输邻接SA (b)重复隧道的第一种方式 隧道SA 隧道SA 个或两个SA 安全 安全 安全 安全 网关 网关 网关 网关 主机 主机 主机 主机 本地内 Internet 本地内 ∫本地内 Internet 本地内 部网 部网 部网 部网 (c)重复隧道的第二种方式 (d)重复隧道的第三种方式 图83SA的组合 人民邮电出版补
图8.3 SA的组合
4. IPSec的模式 IPSec分为两种模式:传输模式和隧道模式。 (1)传输模式 通常,传输模式用于两个主机之间端对端的通信。 (2)隧道模式 人民邮电出版社
4.IPSec的模式 IPSec分为两种模式:传输模式和隧道模式。 (1)传输模式 通常,传输模式用于两个主机之间端对端的通信。 (2)隧道模式