河北百度愛采購安全參數(shù)索引SPI:是一個(gè)32位整數(shù),用于和目的地址、 IPSec協(xié)為該IP包唯一地確定一個(gè)安全關(guān)聯(lián)(SA列號( sequence number):是一個(gè)32位整數(shù),作為一個(gè)單調(diào)遞增的計(jì)數(shù)器,為每個(gè)ESP包賦予一個(gè)序號,以用于抵抗重放攻擊3)載荷數(shù)據(jù)( payload data):實(shí)際的載荷數(shù)據(jù),為變長字段。
原始的IP頭之前,
不管SA是否需要加密,該字段總是必需的。如果進(jìn)行了加密,該部分是加密后的密文,如果有加密,該部分是明文。載荷數(shù)據(jù)字段的長度必須是8的整數(shù)倍。4)填充( padding):填充字段包含了填充位,字段長度是0~2555)填充長度( pad length):填充長度字段是一個(gè)8位字段,以字節(jié)為單位指示了填充字段的長度,河北百度愛采購范圍為next header):8位字段,指明了封裝在載荷中的數(shù)據(jù)類型例如6表示TCP數(shù)據(jù)7)認(rèn)證數(shù)據(jù)( authentication data):變長字段,只有選擇了認(rèn)證服務(wù)時(shí)才會有該字段,其中包含了認(rèn)證的結(jié)果。字段長度取決于使用的認(rèn)證算法,如使HMAC-MD5,認(rèn)證數(shù)據(jù)字段是128位。和AH一樣,ESP也有兩種工作模式:傳輸模式和隧道模式。工作模式?jīng)Q定了ESP的位置以及保護(hù)的對象輸模式保護(hù)的是IP包的載荷,例如TCP、UDP和ICMP等,也可以是其他IPSec協(xié)議的頭部。ESP放入I頭部(含選項(xiàng)字段)之后任何被IP協(xié)議所封裝的協(xié)議之前。傳輸模式下的ESP不提供數(shù)據(jù)流機(jī)密性服務(wù),因?yàn)镮P包里的源IP地址和目的IP地址都沒有被加密。隧道模式對整個(gè)IP包進(jìn)行加密。ESP插入到原IP頭(含選項(xiàng)字段)之前,在ESP之前再加入新的IP頭。在隧道模式下,有兩個(gè)IP頭。里面的Ip頭是原始的IP頭,含有真實(shí)的源IP地址、最終的目的IP地址;外面的IP頭可以包含與里面IP頭同的IP地址。例如,可以是NAT網(wǎng)關(guān)的IP地址,這樣兩個(gè)子網(wǎng)中的主機(jī)可以利用ESP進(jìn)行安全通信需要指出的是,ESP隧道模式的認(rèn)證和加密能夠提供比ESP傳輸模式更加強(qiáng)大的安全功能,隧道模式能對整個(gè)原始IP包進(jìn)行認(rèn)證和加密,而ESP在傳輸模式下能提供加密服務(wù),IP包里的源、目的IP地址并沒有被加密隧道模額外的IP頭。
原始的IP頭之前,
如果帶寬有限,則可以選擇使用傳輸模式圖2-15傳輸模式和隧道模式下的ESP格式5安全關(guān)聯(lián)全關(guān)聯(lián)( Security Association,sA)是ISec協(xié)議的基礎(chǔ)。AH和ESP兩個(gè)協(xié)議都使用SA來保護(hù)通信。SA是兩個(gè) IPSec實(shí)體(主機(jī)、安全網(wǎng)可經(jīng)過IKE協(xié)商建立起來的一種協(xié)定,內(nèi)容包括 IPSec協(xié)議的類型(AH還是ESP)、工作模式傳輸模式還是隧道模式〕、認(rèn)證算法、加密算法、加密密鑰、密鑰生存期、抗重放窗口、計(jì)數(shù)器等,決定了一次通信過程中需要保護(hù)什么,如何保護(hù)以及誰來全協(xié)議使用一個(gè)三元組唯一地標(biāo)識SA,該三元組包含安全參數(shù)索引SPI、IP目的地址和安全協(xié)議號(AH或ESP)。值得注意的是,SA為通信流提供單向的安全服務(wù),在兩個(gè)基于 IPSec的安全終端(包括網(wǎng)關(guān)或主機(jī)節(jié)點(diǎn))間需要維護(hù)兩個(gè)用于輸入流,一個(gè)用于輸出SA可以手工配置建立,也可以自動協(xié)商生成。手工建立SA是指用戶在通信兩手工設(shè)置數(shù)匹配后建立安全關(guān)聯(lián)。
原始的IP頭之前,
河北百度愛采購自動協(xié)商方式由IKE生成和維護(hù),通信雙方基于各自的安全策略庫經(jīng)過匹配和協(xié)商后建立SA,不需要用戶干6 Internet密鑰交換Internet密鑰交換協(xié)議是IPse協(xié)議族的組成部分之一,用來實(shí)現(xiàn)安全協(xié)議的全參數(shù)協(xié)商,以確保VPN與遠(yuǎn)端網(wǎng)絡(luò)或者宿主主機(jī)進(jìn)行交流時(shí)的安全。IKE協(xié)商。
作者:chuangxinkeji
上一頁:
河北百度愛采購的安全參數(shù)
下一頁:
河北百度愛采購的團(tuán)隊(duì)成員有多少