包在经过各种不同的隧道和网关的过程当中,还要添加其他标题。每经过一个网关,数据报都要进行状态包检测新的标题。包含在这一标题里的是安全参数索引(SPI)。SPI可以确定用上一个系统查看该包时所使用的算法和密钥。净负荷在此系统中也受到保护,因为数据中的任何变化或错误都会被检测到,从而导致接收方放弃该包。标题在每一个隧道的开始处应用,并在每个隧道的末端进行确认和删除。这种方法可以防止形成没必要的包占用总开销。
IPSec的一个重要部分就是安全关联(SA)。SA使用SPI编号,AH和ESP携带该编号来显示包使用的是哪一个SA。IP目的地地址也包含在内,用来显示端点:这可能是防火墙、路由器或终端用户。安全关联数据库(SAD)可用来存储所有用过的SA。SAD将使用安全政策来显示路由器应该对包做些什么。三个范例包括:同时放弃包、只放弃SA、替换不同的SA。使用中的所有安全政策都存储在安全政策数据库之内。
IPSec存在的问题
在某些情况下,直接的端对端通信(即传送模式)是不可能的。以下就是一个简单的例子,在这个例子里,页码:[1] [2] [3] [4] [5] [6] 第3页、共6页 |
