名词解释:IPSec
IP Security,一个框架、一套协议和标准,支撑IP层的安全。IPSec工作在IP协议与传输层协议之间。IPSec可提供对发送者的认证、可提供payload的完整性和保密性。
名词解释:SA,Security Associations
安全参数+目标地址。SA是单向的,一个连接需要两个SA分别用于出站和入站通信。
安全参数:认证算法和模式,加密算法和模式,密钥,密钥生命周期,SA生命周期,源地址,敏感水平
名词解释:SPD,Security Policy Data
用户定义的策略:每个报文的安全服务及其水平
名词解释:AH,Authencication Header
提供完整性(包括IP头)、认证、防止重放服务的协议。
简答:AH模式的出站(发送)处理
查找SA,生成序列号,计算ICV(完整性+认证),填充,分段
简答:AH模式的入站(接收)处理
装配(连接各分段、去除填充),查找SA,校验序列号,校验ICV
名词解释:ESP,Encapsulting Security Payload
提供完整性(不含IP头)、认证、加密、防止重放服务的协议。
简答:ESP模式的出站(发送)处理
查找SA,生成序列号,加密,计算ICV(完整性+认证),填充,分段
简答:ESP模式的入站(接收)处理
装配(连接各分段、去除填充),查找SA,校验序列号,校验ICV,解密
名词解释:隧道模式 Tunnel Mode
IPSec协议添加新的IP头,原IP头和数据作为payload
名词解释:传输模式 Transport Mode
IPSec协议不添加新IP头,而是修改原IP头的协议字段;AH在传输模式下,不能穿越NAT