日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

ESP IP 封裝安全有效載荷( 二 )

云知道


結(jié)合提供給用戶 。只有選擇數(shù)據(jù)源驗(yàn)證時(shí)才可以選擇抗重播服務(wù) , 由接收方單獨(dú)決定抗重播服務(wù)
的選擇 。(盡管默認(rèn)要求發(fā)送方增加抗重播服務(wù)使用的序列號(hào) , 但只有當(dāng)接收方檢查序列號(hào) , 服
務(wù)才是有效的 。)信息流機(jī)密性要求選擇隧道模式 , 假如在安全網(wǎng)關(guān)上實(shí)現(xiàn)信息流機(jī)密性是最有
效的 , 這里信息聚集能夠掩飾真正的源-目的模式 。注重盡管機(jī)密性和驗(yàn)證是可選的 , 但它們中
必須至少選擇一個(gè) 。
假定讀者熟悉安全架構(gòu)文檔中描述的術(shù)語和概念 。非凡是 , 讀者應(yīng)該熟悉ESP和AH提供的
安全服務(wù)的定義 , SA定義 , ESP可以和驗(yàn)證(AH)頭結(jié)合使用的方式 , 以及ESP和AH使用
的不同密鑰治理選項(xiàng) 。(至于最后一項(xiàng) , ESP和AH要求的當(dāng)前密鑰治理選項(xiàng)是通過IKE進(jìn)行的
手工建立密鑰和自動(dòng)建立密鑰[HC98] 。)
要害字MUST,MUSTNOT,REQUIRED,SHALL,SHALLNOT,SHOULD,SHOULDNOT,
RECOMMENDED,MAY,和OPTIONAL,當(dāng)它們出現(xiàn)在本文檔時(shí) , 由RFC2119中的描述解釋它
們的含義[Bra97] 。
2.封裝安全有效載荷分組格式
ESP頭緊緊跟在協(xié)議頭(IPv4 , IPv6 , 或者擴(kuò)展)之后 , 協(xié)議頭的協(xié)議字段(IPv4)將是50 ,
或者協(xié)議的下一個(gè)頭(IPv6 , 擴(kuò)展)字段[STD-2]值是50 。
0123
01234567890123456789012345678901
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ----
安全參數(shù)索引(SPI)^Auth.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Cov-
序列號(hào)erage
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ----
有效載荷數(shù)據(jù)*(可變的)^
~~
Conf.
- - - - - - - - - - - - - - - - - - - - - - - - Cov-
填充(0-255bytes)erage*
- - - - - - - -- - - - - - - - - - - - - - - -
填充長(zhǎng)度下一個(gè)頭vv
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ------
驗(yàn)證數(shù)據(jù)(可變的)
~~
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
*假如加密同步數(shù)據(jù) , 例如初始化向量(IV , 參看2.3節(jié)) , 包含在有效載荷字段中 , 通常它本
身并不加密 , 雖然經(jīng)常把它作為密文的一部分 。
下面小節(jié)定義了頭格式中的字段 ?!翱蛇x項(xiàng)”意味著假如沒有選擇它 , 該字段被忽略 。即它既
不被包含在傳送的分組中 , 也不會(huì)在完整性校驗(yàn)值(ICV , 參看2.7)計(jì)算中出現(xiàn) 。建立SA時(shí)決定
是否選擇某個(gè)選項(xiàng) , 因此ESP分組的格式對(duì)于給定的SA是確定的 , 整個(gè)SA存活期間也是確定
的 。相對(duì)而言 , “強(qiáng)制性”字段總是出現(xiàn)在ESP分組格式中 , 對(duì)所有SA均如此 。
2.1安全參數(shù)索引SPI
SPI是一個(gè)任意的32位值 , 它與目的IP地址和安全協(xié)議(ESP)結(jié)合 , 唯一地標(biāo)識(shí)這個(gè)數(shù)據(jù)
報(bào)的SA 。從1至255的這組SPI值是由InternetAssignedNumbersAuthority(IANA)保留給將來
使用的;除了分配的SPI值的使用由RFC指定 , 否則 , 一般IANA不會(huì)分配保留的SPI值 。通
常在建立SA時(shí)目的系統(tǒng)選擇SPI(具體內(nèi)容請(qǐng)參看安全架構(gòu)文檔) 。SPI字段是強(qiáng)制性的 。
SPI的值為0是保留給本地、特定實(shí)現(xiàn)使用的 , 不答應(yīng)在線路上發(fā)送 。例如 , 密鑰治理實(shí)現(xiàn)
可以使用SPI的0值表示當(dāng)IPsec實(shí)現(xiàn)要求它的密鑰治理實(shí)體建立新SA , 但SA仍然沒有建立時(shí) ,
“沒有SA存在” 。
2.2序列號(hào)SequenceNumber
這個(gè)無符號(hào)的、32位字段包含一個(gè)單調(diào)遞增的計(jì)數(shù)器值(序列號(hào)) 。它是強(qiáng)制性的 , 即使接
收方?jīng)]有選擇激活一個(gè)特定SA的抗重播服務(wù) , 它也總是存在 。序列號(hào)字段由接收方處理 , 即發(fā)
送方必須總是傳輸這個(gè)字段 , 但接收方不需要對(duì)其操作(參看下面“入站分組處理”中序列號(hào)確

推薦閱讀