云南龙网

  1. 首页 > 云知道 > >

ESP IP 封装安全有效载荷( 二 )

云知道


结合提供给用户 。只有选择数据源验证时才可以选择抗重播服务 , 由接收方单独决定抗重播服务
的选择 。(尽管默认要求发送方增加抗重播服务使用的序列号 , 但只有当接收方检查序列号 , 服
务才是有效的 。)信息流机密性要求选择隧道模式 , 假如在安全网关上实现信息流机密性是最有
效的 , 这里信息聚集能够掩饰真正的源-目的模式 。注重尽管机密性和验证是可选的 , 但它们中
必须至少选择一个 。
假定读者熟悉安全架构文档中描述的术语和概念 。非凡是 , 读者应该熟悉ESP和AH提供的
安全服务的定义 , SA定义 , ESP可以和验证(AH)头结合使用的方式 , 以及ESP和AH使用
的不同密钥治理选项 。(至于最后一项 , ESP和AH要求的当前密钥治理选项是通过IKE进行的
手工建立密钥和自动建立密钥[HC98] 。)
要害字MUST,MUSTNOT,REQUIRED,SHALL,SHALLNOT,SHOULD,SHOULDNOT,
RECOMMENDED,MAY,和OPTIONAL,当它们出现在本文档时 , 由RFC2119中的描述解释它
们的含义[Bra97] 。
2.封装安全有效载荷分组格式
ESP头紧紧跟在协议头(IPv4 , IPv6 , 或者扩展)之后 , 协议头的协议字段(IPv4)将是50 ,
或者协议的下一个头(IPv6 , 扩展)字段[STD-2]值是50 。
0123
01234567890123456789012345678901
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ----
安全参数索引(SPI)^Auth.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Cov-
序列号erage
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ----
有效载荷数据*(可变的)^
~~
Conf.
- - - - - - - - - - - - - - - - - - - - - - - - Cov-
填充(0-255bytes)erage*
- - - - - - - -- - - - - - - - - - - - - - - -
填充长度下一个头vv
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ------
验证数据(可变的)
~~
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
*假如加密同步数据 , 例如初始化向量(IV , 参看2.3节) , 包含在有效载荷字段中 , 通常它本
身并不加密 , 虽然经常把它作为密文的一部分 。
下面小节定义了头格式中的字段 。“可选项”意味着假如没有选择它 , 该字段被忽略 。即它既
不被包含在传送的分组中 , 也不会在完整性校验值(ICV , 参看2.7)计算中出现 。建立SA时决定
是否选择某个选项 , 因此ESP分组的格式对于给定的SA是确定的 , 整个SA存活期间也是确定
的 。相对而言 , “强制性”字段总是出现在ESP分组格式中 , 对所有SA均如此 。
2.1安全参数索引SPI
SPI是一个任意的32位值 , 它与目的IP地址和安全协议(ESP)结合 , 唯一地标识这个数据
报的SA 。从1至255的这组SPI值是由InternetAssignedNumbersAuthority(IANA)保留给将来
使用的;除了分配的SPI值的使用由RFC指定 , 否则 , 一般IANA不会分配保留的SPI值 。通
常在建立SA时目的系统选择SPI(具体内容请参看安全架构文档) 。SPI字段是强制性的 。
SPI的值为0是保留给本地、特定实现使用的 , 不答应在线路上发送 。例如 , 密钥治理实现
可以使用SPI的0值表示当IPsec实现要求它的密钥治理实体建立新SA , 但SA仍然没有建立时 ,
“没有SA存在” 。
2.2序列号SequenceNumber
这个无符号的、32位字段包含一个单调递增的计数器值(序列号) 。它是强制性的 , 即使接
收方没有选择激活一个特定SA的抗重播服务 , 它也总是存在 。序列号字段由接收方处理 , 即发
送方必须总是传输这个字段 , 但接收方不需要对其操作(参看下面“入站分组处理”中序列号确

推荐阅读


上一篇:美发店名字 美发店名字大气

下一篇:遇见APP预防骚扰设置