AH和ESP協議在作業系統核心模組,用於對IP包的過濾。IKE是執行在外部的守護程式。PF_KEY實現了外部執行程式與核心間的通訊。
對於AH和ESP,都有兩種操作模式: 隧道模式和傳輸模式。 兩種模式的區別是: 隧道模式將整個IP分組封裝到AH/ESP中,而傳輸模式將上層協議(如TCP)部分封裝到AH/ESP中。
IKE協議用於協商AH和ESP協議所使用的密碼演算法,並將演算法所需的金鑰放在合適的位置。IKE動態建立SA,代表IPSec對SA進行協商,並對SADB進行填充,使用UDP協議和500埠。
IKE的基礎是金鑰管理協議(Internet Security Association and Key Management Protocol ISAKMP)、Oakley和SKEME三種協議。
SA的建立方式有兩種:一種是手工建立,這將大大降低IPSec的可擴充套件性;另一種是採用標準的金鑰交換協議,如IKE,動態驗證通訊雙方的身份、協商安全服務及金鑰生成,最終建立SA。
IPSec被設計成與演算法無關,演算法的選擇在安全策略資料庫(SPD)中指定。IPSec規定了一組標準的預設演算法。按規定在AH協議中必須技術HMAX與MD5或SHA-1結合的演算法。在ESP協議中必須支援DES_CBC演算法,及HMAC和SHA1結合的演算法。
AH和ESP協議在作業系統核心模組,用於對IP包的過濾。IKE是執行在外部的守護程式。PF_KEY實現了外部執行程式與核心間的通訊。
對於AH和ESP,都有兩種操作模式: 隧道模式和傳輸模式。 兩種模式的區別是: 隧道模式將整個IP分組封裝到AH/ESP中,而傳輸模式將上層協議(如TCP)部分封裝到AH/ESP中。
IKE協議用於協商AH和ESP協議所使用的密碼演算法,並將演算法所需的金鑰放在合適的位置。IKE動態建立SA,代表IPSec對SA進行協商,並對SADB進行填充,使用UDP協議和500埠。
IKE的基礎是金鑰管理協議(Internet Security Association and Key Management Protocol ISAKMP)、Oakley和SKEME三種協議。
SA的建立方式有兩種:一種是手工建立,這將大大降低IPSec的可擴充套件性;另一種是採用標準的金鑰交換協議,如IKE,動態驗證通訊雙方的身份、協商安全服務及金鑰生成,最終建立SA。
IPSec被設計成與演算法無關,演算法的選擇在安全策略資料庫(SPD)中指定。IPSec規定了一組標準的預設演算法。按規定在AH協議中必須技術HMAX與MD5或SHA-1結合的演算法。在ESP協議中必須支援DES_CBC演算法,及HMAC和SHA1結合的演算法。