安全资源
SA(Security Association)即安全联盟,是两个通信实体经协商建立起来的一种协定。它决定了用来保护数据包安全的IPSec协议、密钥以及密钥的有效存在时间等信息。
SP(Security Policy)即安全策略,用于确定被保护的数据范围及被保护的方式,并用于在IKE过程中动态协商SA。
封装模式
传输模式(Transport Mode)是一种端到端的会话模式,在传输模式下IPSEC对IP层的载荷,即IP层(不包括IP层)上层协议的部分进行保护。在传输模式下,IPsec会在传输层头部之前插入IPsec头部,组成IPsec数据包。
隧道模式(Tunnel Mode)是一种站点到站点的通信,通常情况下,通信的两端是两个网络的网络边界。在隧道模式下IPsec对整个IP层进行保护,在原数据包的IP头部之前插入IPsec头部,并在IPsec头部之前插入一个新生成的IP头部,组成IPsec数据包。
安全协议
ESP(Encapsulating Security Payload)即IPsec封装安全载荷,提供了数据保密性、完整性认证以及防重放的功能。使用ESP协议时,在原数据包的标准IP头部后会添加一个ESP头部,从ESP头部开始(不包含ESP头部)对报文进行加密,从ESP头部(包含ESP头部)开始对报文进行认证。加密范围截至ESP尾部,认证范围截至ESP认证部分。隧道场景下的报文esp封装格式如图1所示。
