IPSec: 安全联盟SA (IPSec SA的个数)(建立IPSec SA有两种方式:手工方式和IKE方式)
IPSec: 安全联盟SA (IPSec SA的个数)(建立IPSec SA有两种方式:手工方式和IKE方式)
安全联盟SA(Security
Association)是通信对等体间对某些要素的协定,它描述了对等体间如何利用安全服务(例如加密)进行安全的通信。这些要素包括对等体间使用何种安全协议、需要保护的数据流特征、对等体间传输的数据的封装模式、协议采用的加密和验证算法,以及用于数据安全转换、传输的密钥和SA的生存周期等。
IPSec安全传输数据的前提是在IPSec对等体(即运行IPSec协议的两个端点)之间成功建立安全联盟。IPSec安全联盟简称IPSec
SA,由一个三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter
Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的一个32位比特的数值,它被封装在AH和ESP头中。
IPSec SA是单向的逻辑连接,通常成对建立(Inbound和Outbound)。因此两个IPSec对等体之间的双向通信,最少需要建立一对IPSec SA形成一个安全互通的IPSec隧道,分别对两个方向的数据流进行安全保护,如图所示。
另外,IPSec SA的个数还与安全协议相关。如果只使用AH或ESP来保护两个对等体之间的流量,则对等体之间就有两个SA,每个方向上一个。如果对等体同时使用了AH和ESP,那么对等体之间就需要四个SA,每个方向上两个,分别对应AH和ESP。
建立IPSec SA有两种方式:手工方式和IKE方式。二者的主要差异如表所示。
对比项 | 手工方式建立IPSec SA | IKE方式自动建立IPSec SA |
---|---|---|
加密/验证密钥配置和刷新方式 | 手工配置、刷新,而且易出错 密钥管理成本很高 | 密钥通过DH算法生成、动态刷新 密钥管理成本低 |
SPI取值 | 手工配置 | 随机生成 |
生存周期 | 无生存周期限制,SA永久存在 | 由双方的生存周期参数控制,SA动态刷新 |
安全性 | 低 | 高 |
适用场景 | 小型网络 | 小型、中大型网络 |
VPN配置案例汇总、VPN汇总(列表、list、全)vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » IPSec: 安全联盟SA (IPSec SA的个数)(建立IPSec SA有两种方式:手工方式和IKE方式)
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm