IPSec: 安全联盟SA (IPSec SA的个数)(建立IPSec SA有两种方式:手工方式和IKE方式)

IPSec: 安全联盟SA (IPSec SA的个数)(建立IPSec SA有两种方式:手工方式和IKE方式)
安全联盟SA(Security Association)是通信对等体间对某些要素的协定,它描述了对等体间如何利用安全服务(例如加密)进行安全的通信。这些要素包括对等体间使用何种安全协议、需要保护的数据流特征、对等体间传输的数据的封装模式、协议采用的加密和验证算法,以及用于数据安全转换、传输的密钥和SA的生存周期等。

IPSec安全传输数据的前提是在IPSec对等体(即运行IPSec协议的两个端点)之间成功建立安全联盟。IPSec安全联盟简称IPSec SA,由一个三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的一个32位比特的数值,它被封装在AH和ESP头中。

IPSec SA是单向的逻辑连接,通常成对建立(Inbound和Outbound)。因此两个IPSec对等体之间的双向通信,最少需要建立一对IPSec SA形成一个安全互通的IPSec隧道,分别对两个方向的数据流进行安全保护,如图所示。

IPSec: 安全联盟SA(图1)

另外,IPSec SA的个数还与安全协议相关。如果只使用AH或ESP来保护两个对等体之间的流量,则对等体之间就有两个SA,每个方向上一个。如果对等体同时使用了AH和ESP,那么对等体之间就需要四个SA,每个方向上两个,分别对应AH和ESP。
建立IPSec SA有两种方式:手工方式和IKE方式。二者的主要差异如表所示。

对比项

手工方式建立IPSec SA

IKE方式自动建立IPSec SA

加密/验证密钥配置和刷新方式

手工配置、刷新,而且易出错

密钥管理成本很高

密钥通过DH算法生成、动态刷新

密钥管理成本低

SPI取值

手工配置

随机生成

生存周期

无生存周期限制,SA永久存在

由双方的生存周期参数控制,SA动态刷新

安全性

适用场景

小型网络

小型、中大型网络


VPN配置案例汇总、VPN汇总(列表、list、全)vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » IPSec: 安全联盟SA (IPSec SA的个数)(建立IPSec SA有两种方式:手工方式和IKE方式)

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!