07-网络安全协议要素.ppt

* * 通过像IKE这样的密钥管理协议在通信对等方之间协商而生成 当一个SA协商完成后，两个对等方都在其安全关联数据库(SAD)中存储该SA参数 SA具有一定的生存期，当过期时，要么中止该SA，要么用新的SA替换 终止的SA将从SAD中删除 安全关联－SA * * SAn …… SA3 SA2 SA1 安全关联－SA * * 安全参数索引 32位整数，唯一标识SA 1－255被IANA保留将来使用 0被保留用于本地实现 SAn …… SA3 SA2 SA1 安全关联－SA * * 输出处理SA的目的IP地址 输入处理SA的源IP地址 SAn …… SA3 SA2 SA1 安全关联－SA * * AH ESP SAn …… SA3 SA2 SA1 安全关联－SA * * 安全策略－SP * * SP：指定用于到达或源自特定主机/网络的数据流的策略 SPD：包含策略条目的有序列表 通过使用一个或多个选择符来确定每个条目 安全策略－SP * * 32位IPv4或128位IPv6地址 可以是：主机地址、广播地址、 单播地址、任意播地址、多播组 地址地址范围，地址加子网掩码 通配符号等 SRn …… SR3 SR2 SR1 安全策略－SP选择符 * * Internet密钥交换 * * IKE IKE是一个混合协议，使用到三个不同协议的相关部分： ISAKMP Oakley密钥确定协议 SK