网络操作系统PPT教学课件_第五章_Windows网络.pptVIP

ESP加密和鉴别的范围 * 协议驱动程序  －TCP/IP扩展 IPSec体系结构 * 协议驱动程序  －TCP/IP扩展 安全关联 安全关联是一种为其承载的通信量提供安全服务的单向的连接关系。 若需要建立双向连接，则需要两个安全关联（每个方向一个）。 SA通过使用AH或ESP协议（但不能同时使用）提供安全服务。 * 协议驱动程序  －TCP/IP扩展 安全关联可表示为一个三元组：SA = SPI，IPDA，SPR SPI：安全参数索引。 SPI是一个32比特的值，用于区别目的地址与安全协议相同的不同安全关联。 SPI出现在AH和ESP的首部，接收方根据首部中的SPI确定对应的SA。 IPDA：IP目的地址。 SPR：安全协议标识符，可以是AH或ESP。 SA具有两种使用模式：传输模式和隧道模式。 * 协议驱动程序  －TCP/IP扩展 与安全关联SA相关的名义上的数据库：安全策略数据库SPD（Security Policy Database）和安全关联数据库SAD（Security Association Database）。 安全策略数据库SPD SPD是SA处理的基本元素，它定义了对主机与安全网关进出的IP通信量的处理策略，规定了对IP数据报以何种方式提供何种服务。 安全关联数据库SAD SAD包含与SA相关的各种安全参数。 SAD的每一表项