在IPsec中需要2个安全关联

时间:2016-11-23 14:54:15

标签: ipsec

我尝试阅读Internet上与IPsec和相关安全关联相关的大量信息。但是,我仍然无法找到一个明确的答案,为什么需要2个安全关联,而所有信息,如源,目标IP地址,安全协议(AH或ESP)已经存在于SA记录中。

对此,一些明确的逻辑答案将非常有用。

谢谢, -Ravi

1 个答案:

答案 0 :(得分:0)

首先,我们需要3个参数来建立安全关联:SPI,IP目的地和安全协议。 在内核中实现了一个SA队列,如果我们添加多个具有相同IP目的地和安全协议的SA(例如ESP,使用不同的算法),其独特的差异形式是SPI。

有时,内核会过期其中一个SA,因此,下一个SA(相同的IPdest&& SecProtocol)将取代原始版本。

这些队列还有优先级参数,取决于当下,我们可以更改优先级,因此队列会重新排序。

优先级和到期是拥有多个SA的主要动机,隧道或运输模式也可能是另一个动机。