ipsec（安全IP）4

[82648] 主题： ipsec（安全IP）4


作者： qmzh.	标题： ipsec（安全IP）4[转载]
昵称： qmzh.	来自： 202.112..
经验值： 0	发贴时间： 2003年08月07日 00:09:07
等级：新手上路	长度： 2128字

	发信人：qmzh@smth.org (一个人的战争)，信区：cn.bbs.comp.security 标题：ipsec（安全IP）4 发信站：BBS 水木清华站转信站：LeafOK!news.zixia.net!maily.cic.tsinghua.edu.cn!SMTH 安全联和安全联盟数据库为正确封装及提取IPSEC 数据包，有必要采取一套专门的方案，将安全服务／密钥与要保护的通信数据联系到一起；同时要将远程通信实体与要交换密钥的IPSEC 数据传输联系到一起。换言之，要解决如何保护通信数据、保护什么样的通信数据以及由谁来实行保护的问题。这样的构建方案称为“安全联(Security Association ，SA ）”。IPSEC 的SA 是单向进行的。也就是说，它仅朝一个方向定义安全服务，要么对通信实体收到的包进行“进入” 保护，要么对实体外发的包进行“外出”保护。具体采用什么方式，要由三方面的因素决定：第一个是“安全参数索引（SPI ）”，该索引存在于Ipsec 协议头内；第二个是Ipsec 协议值；第三个是要向其应用SA 的目标地址—它同时决定了方向。通常，SA 是以成对的形式存在的，每个朝一个方向。既可人工创建它，亦可采用动态创建方式。SA 驻留在“安全联盟数据库（S ADB ）”内。若用人工方式加以创建，SA 便没有“存活时间”的说法。除非再用人工方式将其删除，否则便会一直存在下去！若用动态方式创建，则SA 有一个存活时间与其关联在一起。这个存活时间通常是由密钥管理协议在Ipsec 通信双方之间加以协商而确立下来的。存活时间（TT L ）非常重要，因为受一个密钥保护的通信量（或者类似地，一个密钥保持活动以及使用的时间）必须加以谨慎地管理。若超时使用一个密钥，会为攻击者侵入系统提供更多的机会。 Ipsec 的基本架构定义了用户能以多大的精度来设定自己的安全策略。这样一来，某些通信便可大而化之，为其设置某一级的基本安全措施；而对其他通信则可谨慎对待，为其应用完全不同的安全级别。举个例子来说，我们可在一个网络安全网关上制订Ipsec 策略，对在其本地保护的子网与远程网关的子网间通信的所有数据，全部采用DES 加密，并用HMAC - MD5 进行验证；另外，从远程子网发给一个邮件服务器的所有Telnet 数据均用3DES 进行加密，同时用HMAC-SHA 进行验证；最后对于需要加密的、发给另一个服务器的所有Web 通信数据，则用IDEA 满足其加密要求，同时用HMAC-S -- ※ 来源:．武汉白云黄鹤站WWW bbs.whnet.edu.cn. [FROM: 202.110.136.194] -- [m[1;35m※ 来源:·BBS 水木清华站 smth.org·[FROM: 61.174.143.225][m .
	========== * * * * * ==========


		Top