临汾除了兵站路哪里还有
知識百科
您的位置:網站首頁 > 知識百科 > IPsec-安全聯盟(Security Association,SA)的定義和范圍

IPsec-安全聯盟(Security Association,SA)的定義和范圍

時間:2021-06-24 13:01 發布:http://www.socaboliciousvip.com 點擊量:2426

安全聯盟 (SA) 是一個單一的“連接”,為其承載的流量提供安全服務。安全服務通過使用 AH 或 ESP 提供給 SA,但兩者不能同時使用。如果對流量的流應用 AH 和 ESP 保護,則應創建兩個(或更多)SA 以提供對流量流的保護。為了保護兩個主機之間或兩個安全網關之間的典型雙向通信,需要兩個安全聯盟(每個方向一個)。

安全聯盟由安全參數索引(Security Parameter Index ,SPI)、IP 目的地址和安全協議(AH 或 ESP)標識符組成的三元組唯一標識。原則上,目的地址可以是單播地址、IP廣播地址或組播組地址。然而,IPsec SA 管理機制目前僅針對單播 SA 定義。因此,在接下來的討論中,將在點對點通信的場景中描述 SA,即使該概念也適用于點對多點情況。

如上所述,定義了兩種類型的 SA:傳輸模式和隧道模式。傳輸模式 SA 是兩個主機之間的安全聯盟。在 IPv4 中,傳輸模式安全協議頭緊跟在 IP 頭和任何選項之后,在任何更高層協議(例如 TCP 或 UDP)之前。在 IPv6 中,安全協議頭出現在基本 IP 頭和擴展之后,但可能出現在目的地選項之前或之后,以及更高層協議之前。在 ESP 的情況下,傳輸模式 SA 僅為這些更高層協議提供安全服務,而不是為 IP 標頭或 ESP 標頭之前的任何擴展標頭提供安全服務。在 AH 的情況下,保護還擴展到 IP 標頭的選定部分、擴展標頭的選定部分和選定的選項(包含在 IPv4 標頭、IPv6 Hop-by-Hop 擴展標頭或 IPv6 Destination 擴展標頭中)。有關 AH 提供的覆蓋范圍的更多詳細信息,請參閱 AH 規范 [KA98a]。

隧道模式SA本質上是應用于IP隧道的SA。每當安全聯盟的任一端是安全網關時,SA 必須是隧道模式。因此,兩個安全網關之間的 SA 始終是隧道模式 SA,主機和安全網關之間的 SA 也是如此。請注意,對于流量以安全網關為目的地的情況,例如 SNMP 命令,安全網關充當主機并且允許傳輸模式。但在這種情況下,安全網關不充當網關,即不傳輸流量。兩臺主機可以在它們之間建立隧道模式 SA。由于需要避免與 IPsec 數據包的分段和重組有關的潛在問題,以及在多個路徑(例如,通過不同的安全網關的情況下,需要將涉及安全網關的任何(傳輸流量)SA 要求為隧道 SA ) 存在于安全網關后面的同一目的地。

對于隧道模式 SA,有一個“外部”IP 標頭指定 IPsec 處理目的地,加上一個“內部”IP 標頭,指定數據包的(表面)最終目的地。安全協議頭出現在外部 IP 頭之后,內部 IP 頭之前。如果在隧道模式下使用 AH,則外部 IP 報頭的部分將受到保護(如上所述),以及所有隧道傳輸的 IP 數據包(即,所有內部 IP 報頭都受到保護,以及更高層協議)。如果采用 ESP,則僅對隧道數據包提供保護,而不對外部報頭提供保護。

總之,

a) 主機必須同時支持傳輸和隧道模式。

b) 要求安全網關僅支持隧道模式。如果它支持傳輸模式,則應僅在安全網關充當主機(例如,用于網絡管理)時使用。

以上就是IPsec-安全聯盟(Security Association,SA)的定義和范圍的介紹

如果您在海外有分支機構,或在海外有服務器需要傳輸大量的數據,要實現高清視頻會議或電話會議,可以考慮使用MPLS VPN解決方案。    國際線路咨詢熱線:185-1068-0975。