|
来源:网络 | 2007-1-18 | (有6650人读过)
AH和ESP协议在操作系统内核模块,用于对IP包的过滤。IKE是运行在外部的守护程序。PF_KEY实现了外部运行程序与内核间的通信。
对于AH和ESP,都有两种操作模式: 隧道模式和传输模式。 两种模式的区别是: 隧道模式将整个IP分组封装到AH/ESP中,而传输模式将上层协议(如TCP)部分封装到AH/ESP中。
IKE协议用于协商AH和ESP协议所使用的密码算法,并将算法所需的密钥放在合适的位置。IKE动态建立SA,代表IPSec对SA进行协商,并对SADB进行填充,使用UDP协议和500端口。
IKE的基础是密钥管理协议(Internet Security Association and Key Management Protocol ISAKMP)、Oakley和SKEME三种协议。
SA的创建方式有两种:一种是手工创建,这将大大降低IPSec的可扩展性;另一种是采用标准的密钥交换协议,如IKE,动态验证通信双方的身份、协商安全服务及密钥生成,最终创建SA。
IPSec被设计成与算法无关,算法的选择在安全策略数据库(SPD)中指定。IPSec规定了一组标准的默认算法。按规定在AH协议中必须技术HMAX与MD5或SHA-1结合的算法。在ESP协议中必须支持DES_CBC算法,及HMAC和SHA1结合的算法。
|
