ESP A B IP头ESP|TCP头数据 ESP| AH TCP头 数据 IP AH ESPTCP头 数据 图84 IPSec的传输模式的数据格式 人民邮电出版补
图8.4 IPSec的传输模式的数据格式
隧道模式通常在SA的一端或是两端都是安全网关时使用 表81 传输模式和隧道模式的功能比较 传输模式SA 隧道模式SA 验证有效载荷和P报头及Pv6验证各个内部的包(内部报头加上P有效载荷), 扩展报头的选择部分 加上外部I报头和外部IPv6扩展报头的选择部分 ESP 加密有效载荷和跟在ESP报头加密内部P包 后面的任何Pv6扩展 具有身份紛加密有效载荷和跟在ESP报头 证的ESP 后面的任何PV6扩展;验证P有加密内部P包和验证内部P包 效载荷,但没有P报头 人民邮电出版
隧道模式通常在SA的一端或是两端都是安全网关时使用. 表8.1 传输模式和隧道模式的功能比较 传输模式SA 隧道模式SA AH 验证IP有效载荷和IP报头及IPv6 扩展报头的选择部分 验证各个内部的IP包(内部报头加上IP有效载荷), 加上外部IP报头和外部IPv6扩展报头的选择部分 ESP 加密IP有效载荷和跟在ESP报头 后面的任何IPv6扩展 加密内部IP包 具有身份验 证的ESP 加密IP有效载荷和跟在ESP报头 后面的任何IPv6扩展;验证IP有 效载荷,但没有IP报头 加密内部IP包和验证内部IP包
5. IPSec的实现机制 IPSec既可在主机系统上实现,亦可在某种安全 网关上实现(如路由器或防火墙)。在主机上和在 安全网关上的实现机制是不相同的 (1)主机实现 主机实现可分为如下两类。 ①与操作系统集成 ②堆栈中的块 人民邮电出版社
5.IPSec的实现机制 IPSec既可在主机系统上实现,亦可在某种安全 网关上实现(如路由器或防火墙)。在主机上和在 安全网关上的实现机制是不相同的. (1)主机实现 主机实现可分为如下两类。 ① 与操作系统集成 ② 堆栈中的块
(2)在操作系统中实现 ① Windows nt/2000系统 开发人员只能在NDIS接口上做文章。 ② Linux系统:由于 Linux的所有内核源码都可以 免费得到,所以协议模块开发人员是完全可以在它 上面实现 IPSec的。 人民邮电出版社
(2)在操作系统中实现 ① Windows NT/2000系统 开发人员只能在NDIS接口上做文章。 ② Linux系统:由于Linux的所有内核源码都可以 免费得到,所以协议模块开发人员是完全可以在它 上面实现IPSec的
6. IPSec的处理过程 (1)IP数据报的出口处理过程 ①传输层的IP包流进IP层,IP层在SPD中查找与数 据包相匹配的选择域,判断应该为该包提供哪些安全 服务 ②在选择域中查找对应的SA(或SA套)。 ③使用SA(或SA组合)中的规定的安全技术(认 证、加密等)来处理IP数据包。 ④对需要分片的IP包进行分片处理。 人民邮电出版社
6.IPSec的处理过程 (1)IP数据报的出口处理过程 ① 传输层的IP包流进IP层,IP层在SPD中查找与数 据包相匹配的选择域,判断应该为该包提供哪些安全 服务。 ② 在选择域中查找对应的SA(或SA套)。 ③ 使用SA(或SA组合)中的规定的安全技术(认 证、加密等)来处理IP数据包。 ④ 对需要分片的IP包进行分片处理