第五部分计算机网络5学习课件.pptVIP

安全关联 SA(Security Association) 在使用 AH 或 ESP 之前，先要从源主机到目的主机建立一条网络层的逻辑连接。此逻辑连接叫做安全关联 SA。 IPsec 就将传统的因特网无连接的网络层转换为具有逻辑连接的层。 2)安全关联 安全关联是一个单向连接。它由一个三元组惟一地确定，包括： (1) 安全协议（使用 AH 或 ESP）的标识符 (2) 此单向连接的源 IP 地址 (3) 一个 32 bit 的连接标识符，称为安全参数索引 SPI (Security Parameter Index) 对于一个给定的安全关联 SA，每一个 Ipsec 数据报都有一个存放 SPI 的字段。通过此 SA 的所有数据报都使用同样的 SPI 值。 3). 鉴别首部 AH 在使用鉴别首部 AH 时，将 AH 首部插在原数据报数据部分的前面，同时将 IP 首部中的协议字段置为 51。 在传输过程中，中间的路由器都不查看 AH 首部。当数据报到达目的站时，目的站主机才处理 AH 字段，以鉴别源主机和检查数据报的完整性。 IP 首部 AH 首部 TCP/UDP 报文段 协议 = 51 可鉴别的 IP 数据报 原数据报的数据部分 AH 首部 (1) 下一个首部(8 bit)。标志紧接着本首部的下一个首部的类型（如 TCP 或 UDP）。 (2) 有效载荷长度(8 bit