freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

第7章-vpn技術(shù)與安全協(xié)議(1)(編輯修改稿)

2025-03-13 12:09 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 (外出包 )q抗重放窗口:收到的 AH/ESP數(shù)據(jù)報(bào)是否重放qAH/ESP信息:認(rèn)證 /加密算法、密鑰、有效期qSA有效期:該時(shí)間間隔之后, SA結(jié)束 /被替代q模式 (Mode):傳輸模式 /隧道模式q路徑最大傳輸單元 (MPTU):最大數(shù)據(jù)報(bào)長(zhǎng)度 (不分段 )31安全策略數(shù)據(jù)庫(kù) SPD SPD ( Security Policy Database)定義了對(duì)所有出 /入業(yè)務(wù)應(yīng)采取的安全策略,為 IP數(shù)據(jù)項(xiàng)提供什么服務(wù)以及以什么方式提供。對(duì)所有出 /入包括非 Ipsec業(yè)務(wù)的處理必須咨詢 SPD,處理有三種可能:1)丟棄 :不允許在此主機(jī)上存在,或不允許通過(guò)此網(wǎng)關(guān)。2)繞過(guò) IPSec :允許通過(guò)而無(wú)需 IPSec保護(hù)3)采用 IPSec :對(duì)這種業(yè)務(wù)流, SPD要指明提供的安全服務(wù),采用的協(xié)議及使用的算法等。32IPSec模式qIPSec提供兩種操作模式( 保護(hù)內(nèi)容不同 )216。傳輸模式216。隧道模式333435認(rèn)證報(bào)頭 AH 認(rèn)證頭( AuthenticationHeader, AH)是 IPSec協(xié)議之一,用于為 IP提供數(shù)據(jù)完整性、數(shù)據(jù)身份認(rèn)證和一些可選的、有限的抗重放服務(wù)。 它定義在 RFC2402中。 AH不提供保密性服務(wù),不需要加密算法(加密器),而需要一個(gè)認(rèn)證器(身份認(rèn)證器)。 AH定義保護(hù)方法、頭的位置、身份認(rèn)證的覆蓋范圍以及輸出和輸入處理規(guī)則,但沒有對(duì)所用的身份認(rèn)證算法進(jìn)行定義。36IPSec認(rèn)證頭37認(rèn)證頭格式q下一個(gè)頭 表示 AH頭之后是什么。216。傳送模式下,將是處于保護(hù)中的上層協(xié)議的值,如 UDP或 TCP協(xié)議的值。216。在隧道模式下,值為 4,表示 IPinIP( IPv4)封裝或 IPv6封裝的 41這個(gè)值。q負(fù)載長(zhǎng)度 字段采用 32位的字減 2表示頭本身的長(zhǎng)度。qSPI和外部 IP頭的目的地址一起,用于識(shí)別對(duì)這個(gè)包進(jìn)行身份認(rèn)證的 SA。38認(rèn)證頭格式q序列號(hào) 是一個(gè)單向遞增的計(jì)算器。q認(rèn)證數(shù)據(jù)字段 長(zhǎng)度不固定,其中包括完整性校檢的結(jié)果。 AH沒有定義身份認(rèn)證器,但有兩個(gè)強(qiáng)制實(shí)施身份認(rèn)證器: HMACSHA96和HMACMD596。輸出結(jié)果長(zhǎng)度為 96比特。39AH模式 —— 傳輸模式q用于保護(hù)的是端到端的通信。 AH頭插在數(shù)據(jù)包中實(shí)現(xiàn)數(shù)據(jù)包的安全保護(hù)。40AH模式 —— 傳輸模式q用于保護(hù)的是端到端的通信。 AH頭插在數(shù)據(jù)包中實(shí)現(xiàn)數(shù)據(jù)包的安全保護(hù)。 IPv6下, AH被看作是有效負(fù)載,即不會(huì)處理中間路由,注意 AH的位置41隧道模式q保護(hù)整個(gè)數(shù)據(jù)包,在 AH 頭之前另加一個(gè) IP頭。42隧道模式q保護(hù)整個(gè)數(shù)據(jù)包,在 AH 頭之前另加一個(gè) IP頭。43AH處理 外出數(shù)據(jù)包與一個(gè) SPD條目(表示采用AH保護(hù))匹配時(shí),要求 SAD查看是否存在一個(gè)合適的 SA。216。如果沒有,可用 IKE動(dòng)態(tài)地建立一個(gè);216。如果有,就根據(jù)相應(yīng)的 SA對(duì)數(shù)據(jù)包進(jìn)行安全處理;216。如果它是一束 SA,應(yīng)用順序就由它所涉及的協(xié)議而定。44輸出處理q創(chuàng)建一個(gè)外出 SA時(shí)可通過(guò)手工或 IKE將序列號(hào)計(jì)算器初始化成 0。在利用這個(gè) SA構(gòu)建一個(gè) AH頭之前,計(jì)算器就開始遞增。這樣保證了每個(gè) AH頭中的 序列號(hào) 都是一個(gè)獨(dú)一無(wú)二的、非零的和單向遞增的數(shù)。qAH頭的 其余字段 都將填滿恰當(dāng)?shù)闹怠?SPI字段分配的值是取自 SA的 SPI;下一個(gè)頭字段分配的是跟在AH頭之后的協(xié)議數(shù)據(jù)類型值;載荷長(zhǎng)度分配的是“32位字減 2”; “身份認(rèn)證數(shù)據(jù) ”字段設(shè)成 0。45輸出處理qAH認(rèn)證范圍擴(kuò)展到外部 IP頭的原有的或預(yù)計(jì)有的字段。因此,要將完整性檢查值 (ICV)之前的 不定字段設(shè)成 0。216。IPv4它的不定字段包括 Type of service(服務(wù)類型)、 Flags(標(biāo)志)、 Fragment offset(分段偏移 )、 Time to live(存活時(shí)間 )和 Header checksum(頭校驗(yàn)和 )。216。對(duì) IPv4選項(xiàng)或 IPv6擴(kuò)展頭來(lái)說(shuō),如果它們是固定的或預(yù)定的,都會(huì)包含在 ICV計(jì)算之中。否則,必需在計(jì)算 ICV之前,把它們調(diào)成零。46輸出處理q根據(jù)身份驗(yàn)證器的要求,可能需要 適當(dāng)填充 。對(duì)有些MAC來(lái)說(shuō),比如 DESCBC MAC,要求在其上面應(yīng)用MAC的數(shù)據(jù)必須是算法的塊尺寸的倍數(shù)。對(duì)于 IPv4,AH頭必須是 32個(gè)字節(jié)的倍數(shù), IPv6則是 64個(gè)字節(jié)的倍數(shù)。若 MAC的輸出不符合要求,就必須添加 AH頭。216。這個(gè)填充項(xiàng)是隱式添加的。它必須一概為零,其大小不包括在載荷長(zhǎng)度中,并且不隨數(shù)據(jù)包一起傳送。q如果強(qiáng)制實(shí)施身份認(rèn)證程序正確對(duì)齊了,在用 HMACMD596或 HMACSHA96時(shí),就不再需要填充項(xiàng)。47輸出處理q根據(jù) SA指定的身份驗(yàn)證算法、密鑰和整個(gè)IP包(包括 AH頭) ,計(jì)算出相應(yīng)的 ICV。接下來(lái), ICV值被復(fù)制到 AH的 “身份認(rèn)證數(shù)據(jù) ”字段中 , IP頭中的不定字段就可根據(jù) IP處理的不同得以填充。qAH處理結(jié)束 , AH保護(hù)的 IP包可以輸出了。根據(jù)包的大小,在放到網(wǎng)上之前,可將它分片,或在兩個(gè) IPSec同級(jí)之間的傳送過(guò)程中,由路由器進(jìn)行分段。48輸入處理q如果一個(gè)受安全保護(hù)的包在被收到之前被分了片,就要在 AH輸入處理前對(duì)這些 分片進(jìn)行重組 。q接收 IPSec包首先要 找出用來(lái)保護(hù)這個(gè)包的 SA。用IP頭的目的地址、特定協(xié)議(這里是 AH)和取自AH
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1