Skip to main content

4.2. SA 功能 (SA Functionality)

SA 提供的安全服务集取决于所选择的安全协议、SA 模式、SA 的端点以及协议内可选服务的选择。

例如,AH 和 ESP 都提供完整性和认证服务,但每个协议的覆盖范围不同,传输模式与隧道模式的覆盖范围也不同。如果必须在发送方和接收方之间的途中保护 IPv4 选项或 IPv6 扩展头部的完整性,AH 可以提供此服务,除了可能以发送方无法预测的方式更改的 IP 或扩展头部。但是,在某些上下文中,通过将 ESP 应用于承载数据包的隧道可以实现相同的安全性。

提供的访问控制粒度由定义每个 SA 的选择器的选择决定。此外,IPsec 对等体使用的认证方式,例如,在创建 IKE(相对于子)SA 期间,也会影响提供的访问控制的粒度。

流量流机密性

如果选择了机密性,则两个安全网关之间的 ESP(隧道模式)SA 可以提供部分流量流机密性。使用隧道模式允许加密内部 IP 头部,隐藏(最终)流量源和目的地的身份。此外,还可以调用 ESP 载荷填充来隐藏数据包的大小,进一步隐藏流量的外部特征。当移动用户在拨号上下文中被分配动态 IP 地址,并建立到公司防火墙(充当安全网关)的(隧道模式)ESP SA 时,可以提供类似的流量流机密性服务。请注意,细粒度 SA 通常比承载来自许多订户的流量的粗粒度 SA 更容易受到流量分析的影响。

注意: 符合标准的实现不得 (MUST NOT) 允许实例化同时使用 NULL 加密和无完整性算法的 ESP SA。尝试协商此类 SA 对于发起方和响应方都是可审计事件。此事件的审计日志条目应该 (SHOULD) 包括当前日期/时间、本地 IKE IP 地址和远程 IKE IP 地址。发起方应该 (SHOULD) 记录相关的 SPD 条目。

Last updated on