SIT_INTEGRITY類型指定安全關(guān)聯(lián)在要求標(biāo)記完整性的環(huán)境中正被商議 。假如SIT_INTEGRITY在狀況位圖中出現(xiàn) ， 狀況域?qū)⒈蛔兞块L度數(shù)據(jù)跟隨,他們包括完整級別和分隔空間位掩碼 。假如SIT_SECRECY也用于關(guān)聯(lián),完整信息立即遵從變長秘密級別和類別 。關(guān)于安全關(guān)聯(lián)有效負(fù)載格式的完全的描述,見節(jié)4.6.1 。
假如一個開始者不支持SIT_INTEGRITY ， SIT_INTEGRITY狀況位圖不能被設(shè)置并且無完整性級別或范疇位圖將被包括 。
假如一個應(yīng)答者不支持SIT_INTEGRITY ， 環(huán)境不支持的標(biāo)志信息有效負(fù)載應(yīng)該被返回并且安全關(guān)聯(lián)安裝必須被放棄 。
4.3IPSEC安全策略要求
IPSECDOI不在任何實現(xiàn)上強加特定的安全策略要求 。主機系統(tǒng)策略問題將在這個文件的范圍以外 。
然而,當(dāng)設(shè)計一個IPSECDOI主機實現(xiàn)時 ， 在下面的章節(jié)涉及的一些問題必須被考慮 。這節(jié)自然應(yīng)該被認(rèn)為僅僅參考 。
4.3.1密鑰治理問題
選擇來實現(xiàn)ISAKMP的許多系統(tǒng)將努力為一個聯(lián)合的IKE密鑰治理新進(jìn)程提供執(zhí)行的保護(hù)域 ， 這被期望 。在保護(hù)模式多用戶操作系統(tǒng)上 ， 這個密鑰治理進(jìn)程將多半作為分開的特權(quán)進(jìn)程存在 。
在這個環(huán)境中 ， 介紹密鑰材料到TCP/IP核的形式化的API可以是合乎需要的 。IP安全體系結(jié)構(gòu)不放任何結(jié)構(gòu)要求,或在一個主機TCP/IP核和它的密鑰治理供給商之間流動 。
4.3.2靜態(tài)的密鑰問題
實現(xiàn)靜態(tài)密鑰的主機系統(tǒng),或由IPSEC直接使用 ， 或為認(rèn)證目的(見[IKE]節(jié)5.4) ， 當(dāng)它不在保護(hù)的內(nèi)存域或由TCP/IP核使用時,應(yīng)該采取步驟保護(hù)靜態(tài)的密鑰材料 。
例如,在一臺膝上計算機上 ， 一個人可能選擇在一家配置存儲器存儲靜態(tài)的密鑰,自己,在一個私人的口令下面加密了 。
依靠操作系統(tǒng)和安裝的實用程序軟件,一旦靜態(tài)的密鑰裝載進(jìn)TCP/IP核 ， 他們被保護(hù)是不可能的 ， 然而他們不能在沒有滿足一些附加形式的認(rèn)證下而在起始的系統(tǒng)開始輕易重獲
4.3.3主機策略問題
假設(shè)IPSEC的轉(zhuǎn)變在一夜間發(fā)生 ， 是不現(xiàn)實的 。主機系統(tǒng)必須預(yù)備實現(xiàn)靈活的策略表,策略表描述哪個系統(tǒng)他們需要安全地通話和他們要求通話安全的系統(tǒng) 。一些觀點認(rèn)為代理防火墻地址可以被要求 。
一條最小的途徑可能是IP地址 ， 網(wǎng)絡(luò)掩碼 ， 和安全要求標(biāo)志或標(biāo)志的一張靜態(tài)表 。
一個更靈活的實現(xiàn)可能由一列通配符DNS的命名(例如"*.foo.bar"),一個在里/外位掩碼 ， 和一個可選的防火墻地址組成 。通配符DNS名字將被用來匹配到來或出去的IP地址,里/外位掩碼將被用來決定安全是否將被使用,和哪個方向 ， 并且可選的防火墻地址將被用來顯示通道模式是否需要通過中間防火墻與目標(biāo)系統(tǒng)談話 。
4.3.4證書治理
實現(xiàn)一個基于證書的認(rèn)證計劃的主機系統(tǒng)將需要一個機制來獲得和治理證書數(shù)據(jù)庫 。
安全的DNS是是一個證書分發(fā)機制,然而安全的DNS地區(qū)的普遍應(yīng)用,在短術(shù)語中 ， 有許多值得懷疑的原因 。更可能的是 ， 主機將
需要進(jìn)口他們通過的安全,out-of-band機制獲得證書的權(quán)能,和出口自己的證書給另外的系統(tǒng)使用 。
然而,手工證書治理不能被執(zhí)行以便防止介紹動態(tài)的證書發(fā)現(xiàn)機制或協(xié)議的權(quán)能成為可行的 。
4.4IPSEC分配數(shù)
下列節(jié)為IPSECDOI列出分配的數(shù)字：狀況標(biāo)識符,協(xié)議標(biāo)識符,轉(zhuǎn)變標(biāo)識符 ， AH ， ESP ， 并且IPCOMP轉(zhuǎn)變標(biāo)識符,安全協(xié)會屬性類型值,標(biāo)記的域標(biāo)識符 ， ID有效負(fù)載類型值 ， 和通知消息類型值 。
4.4.1IPSEC安全協(xié)議標(biāo)識符
ISAKMP建議句法被特定的設(shè)計來答應(yīng)多重的階段II安全協(xié)議的同時協(xié)商在一個單個的協(xié)商內(nèi)適用 。作為結(jié)果 ， 下面被列出了的協(xié)議組形成了能同時被協(xié)商的協(xié)議集合 。它是決定什么協(xié)議能被協(xié)商在一起的一個主機策略決定 。

推薦閱讀

• 

  港行6233使用兩天實測
• 

  盤點古風(fēng)唯美簡單句子
• 

  非洲真的有企鵝嗎 非洲有企鵝
• 

  看透了一切的扎心說說有哪些？
• 

  全麥粉和高筋粉的區(qū)別 全麥粉和高筋粉有什么不同
• 

  firework把圖案扣下來詳細(xì)操作方法
• 

  夢幻西游三維版煉妖有什么用 夢幻西游三維版煉妖有什么用處
• 

  曾記得我們還年少我愛唱歌你愛笑是什么歌 支付寶樂隊萬塘路18號歌曲歌詞
• 

  阜新最低價的車多少錢 遼寧阜新房價為什么便宜
• 

  牛肉每100克有多少熱量
• 

  羊肉怎么挑選，吃涮羊肉時怎樣挑選好的羊肉？
• 

  怎么關(guān)閉距離傳感器？
• 

  初中數(shù)學(xué)教學(xué)課堂練習(xí)中如何體現(xiàn)以生為本,一明一暗一反思；初中數(shù)學(xué)一鍵通達(dá)
• 

  杭州|專業(yè)律師解答房產(chǎn)買賣過程中的七大經(jīng)典問題
• 

  小編教你樂教樂學(xué)APP分發(fā)教師帳號的簡單操作。
• 

  變形補碼怎么計算

• 因特網(wǎng)子網(wǎng)
• SRP鑒別和秘鑰交換系統(tǒng)
• 以太網(wǎng)交換技術(shù)向城域網(wǎng)滲透
• 匿名私密照片交換APP YY換圖怎么注冊
• 中間系統(tǒng) IS-IS主機名動態(tài)交換機制
• 劍盾 怎么交換
• 從VoIP到軟交換的蛻變
• office2016永久激活密鑰教程
• 無線ATM交換機的實現(xiàn)
• 安全報文交換協(xié)議