人狠话不多,这份IPSec的体系结构详解请拿走~
|
在外出处理的过程中,数据包从传输层流进IP层。IP层首先取出 IP头的有关参数, 检索SPDB数据库,判断应为这个包提供那些安全服务。输入SPDB的是传送 报头中的源地址和目的地址的“选择符”。SPDB输出的是根据“选择符”查询的 策略结果,有可能出现以下几种情况: 丢弃这个包。此时包不会得以处理,只是简单地丢掉。绕过安全服务。在这种情况下,这个IP包不作任何处理,按照一个普通的IP包发送出去。应用安全服务。在这种情况下,需要继续进行下面的处理。 如果 SPDB的策略输出中指明该数据包需要安全保护,那么接着就是查询SADB 来验证与该连接相关联的SA是否已经建立,查询的结果可能是下面的两种情况之 一:如果相应的SA已存在,对SADB的查询就会返回指向该SA的指针; 如果查询不到相应的SA,说明该数据包所属的安全通信连接尚未建立,就会调用IKE进行协商,将所需要的 SA建立起来。 如果所需要的SA已经存在,那么 SPDB结构中包含指向 SA或SA集束的一个指针(具体由策略决定)。如果SPDB的查询输出规定必须将 IPSec应用于数据包,那么在SA成功创建完成之前,数据包是不被允许传送出去的。 对于从 SADB中查询得到的 SA还必须进行处理,处理过程如下:
SA处理完成后,IPSec的下一步处理是添加适当的AH或 ESP报头,开始对数据包进行处理。其中涉及到对负载数据的加密、计算校验等在下面的内容中会给予详细的介绍。SA中包含所有必要的信息,并已排好顺序,使IPSec报头能够按正确的顺序加以构建。在完成IPSec的报头构建后,将生成的数据报传送给原始IP 层进行处理,然后进行数据报的发送。 (2) 进入处理 进入处理中,在收到IP包后,假如包内根本没有包含IPSec报头, 那么IPSec就会查阅SPDB,并根据为之提供的安全服务判断该如何对这个包进行处理。因为如果特定通信要求IPSec安全保护,任何不能与 IPSec保护的那个通信的SPDB定义相匹配的进入包就应该被丢弃。它会用“选择符” 字段来检索 SPDB数据库。策略 的输出可能是以下三种情况:丢弃、绕过或应用。如果策略的输出是丢弃,那么数据包就会被放弃; 如果是应用,但相应的SA没有建立,包同样会被丢弃;否则就将包传递给下一层作进一步的处理。 如果 IP 包中包含了 IPSec报头,就会由 IPSec层对这个包进行处理。IPSec从 数据包中提取出SPI、源地址和目的地址组织成 (编辑:西安站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |