跳过导航链接 | |
退出打印视图 | |
在 Oracle Solaris 11.1 中保护网络安全 Oracle Solaris 11.1 Information Library (简体中文) |
验证头 (Authentication Header, AH)
封装安全有效负荷 (Encapsulating Security Payload, ESP)
AH 使用验证算法来保护数据。ESP 使用加密算法来保护数据。ESP 应只与验证机制一起使用。如果不将遍历 NAT,可以将 ESP 与 AH 结合使用。或者,可以将验证算法和加密机制与 ESP 一起使用。组合的模式算法(例如 AES-GCM)在单一算法中提供加密和验证。
authentication header(验证头)为数据报提供了数据验证、高完整性以及重放保护。AH 保护 IP 数据报的更为重要的部分。如下图所示,AH 插在 IP 数据包头和传输头之间。
传输头可以是 TCP、UDP、SCTP 或 ICMP。如果使用的是 tunnel(隧道),则传输头可以是另一个 IP 数据包头。
encapsulating security payload, ESP(封装安全有效负荷)模块为 ESP 所封装的内容提供了保密性。ESP 也提供 AH 提供的服务。但是,ESP 仅为 ESP 所封装的数据报部分提供保护。ESP 提供可选的验证服务以确保受保护的包的完整性。因为 ESP 使用启用了加密的技术,因此提供 ESP 的系统可能会受进出口控制法制约。
由于 ESP 封装其数据,因此 ESP 仅保护数据报中跟在其后的数据,如下图所示。
在 TCP 包中,ESP 仅封装 TCP 数据包头及其数据。如果包是 IP-in-IP 数据报,则 ESP 会保护内部的 IP 数据报。由于每个套接字的策略允许自封装,因此,ESP 可以在需要时封装 IP 选项。
如果设置了自封装,会生成 IP 数据包头的副本来构建 IP-in-IP 数据报。例如,如果未在 TCP 套接字上设置自封装,会以下列格式发送数据报:
[ IP(a -> b) options + TCP + data ]
如果在 TCP 套接字上设置了自封装,则会以下列格式发送数据报:
[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]
有关进一步介绍,请参见IPsec 中的传输模式和隧道模式。
表 6-2 由 IPsec 中的 AH 和 ESP 提供的保护
|
IPsec 安全协议使用两种类型的算法,即验证和加密。AH 模块使用验证算法。ESP 模块可以使用加密算法以及验证算法。您可以使用 ipsecalgs 命令获取系统上的算法及其属性的列表。有关更多信息,请参见 ipsecalgs(1M) 手册页。您也可以使用 getipsecalgbyname(3NSL) 手册页中介绍的功能来检索算法属性。
IPsec 使用加密框架访问算法。加密框架为算法提供了一个中心系统信息库,同时还提供了其他服务。使用此框架,IPsec 可以利用高性能的加密硬件加速器。
有关更多信息,请参见以下内容:
验证算法将生成完整性校验和值或基于数据和密钥的摘要。AH 模块使用验证算法。ESP 模块也可以使用验证算法。