安全联盟-深入浅出西门子s7-200plc《第二版》电子版

(1)安全联盟IPsec在两个端点之间提供安全通信，端点被称为IPsec对等体。 IPsec能够允许系统、网络的用户或管理员控制对等体间安全服务的粒度。例如，某个组织的安全策略可能规定来自特定子网的数据流应同时使用AH和ESP进行保护，并使用3DES（Triple Data Encryption Standard，三重数据加密标准）进行加密；另一方面，策略可能规定来自另一个站点的数据流只使用ESP保护，并仅使用DES加密。通过SA（Security Association，安全联盟），IPsec能够对不同的数据流提供不同级别的安全保护。安全联盟是IPsec的基础，也是IPsec的本质。SA是通信对等体间对某些要素的约定，例如，使用哪种协议（AH、ESP还是两者结合使用）、协议的操作模式（传输模式和隧道模式）、密码算法（DES、3DES和AES）、特定流中保护数据的共享密钥以及密钥的生存周期等。安全联盟是单向的。在两个对等体之间的双向通信，少需要两个安全联盟来分别对两个方向的数据流进行安全保护。同时，如果希望同时使用AH和ESP来保护对等体间的数据流，则分别需要两个SA，一个用于AH，另一个用于ESP。安全联盟由一个三元组来唯一标识，这个三元组包括SPI（Security Parameter Index，安全参数索引）、目的IP地址、安全协议号（AH或ESP）。SPI是为唯一标识SA而生成的一个32比特的数值，它在AH和ESP头中传输。安全联盟具有生存周期。生存周期的计算包括两种方式：以时间为限制，每隔指定长度的时间就进行更新；以流量为限制，每传输指定的数据量（字节）就进行更新。 (2) IPsec协议的操作模式IPsec协议有两种操作模式：传输模式和隧道模式。SA中指定了协议的操作模式。在传输模式下，AH或ESP被插入到IP头之后但在所有传输层协议之前。在隧道模式下，AH或ESP插在原始IP头之前，另外生成一个新头放到AH或ESP之前。不同安全协议在传输模式和隧道模式下的数据封装形式（传输协议以TCP为例）如下图所示： 6-17