1、安全协议
-
认证头AH协议只提供认证服务
-
封装安全荷载协议ESP提供认证和加密两种服务
-
认证服务是可选的,加密服务必须实现
2、认证头协议AH
-
传输模式的AH进行认证的范围是除了IP头部的可变部分之外的整个IP数据包
-
隧道模式的AH对整个内部IP包及其外部IP包头部的不变部分进行认证
-
下一个头标指被保护的IP荷载的值 ,比如传输层协议数据TCP值为6,UDP值为17
-
序列号字段记录序列号计数器的值,为每个AH包赋予一个序号
-
通信双方建立安全关联时,计数器初始化为0
-
安全关联是单向的
-
每发送一个包,外出的安全关联的计数器增1
-
每接收一个包,进入的安全关联的计数器增1
-
序列号用于防止存放攻击
-
-
认证数据是可变长度字段,取决于采用的认证方法,认证数据也称为完整性校验值(ICV),该字段必须为32位的整数倍。如果不够32位,则必须进行填充
-
用于生成完整性校验值ICV的算法由安全关联指定
3、封装安全荷载协议ESP
对于IPv6,与相应协议和模式下的IPv4相比,IPv6的与路由无关的扩展头也得到保护
4、ESP和AH的组合-----实际需求
可以对相同的IP业务流应用多个安全关联
-
实现SA束的基本方式
-
传输邻接:指对同一个IP数据报多次应用传输模式的AH和ESP两种协议,但只允许两种协议一个层次的组合
-
隧道迭代:指对同一个IP数据报在隧道模式下使用ESP和AH的多层嵌套
-
传输--隧道束:两种方式的结合
-
-
认证和机密性服务
-
ESP和AH的基本组合应用
-
IPSec规范列出了四种组合应用场景
-
8553
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
