IPSec基本概念

1.数据流(DataFlow)

为一组具有某些共同特点的数据的集合，由源地址/掩码、目的地址/掩码、IP报文中封装上层协议的协议号、源端口号、目的端口号等来规定。通常，一个数据流采取一个访问控制列表(accesslist)来定义，经访问控制列表匹配的所有报文在逻辑上作为一个数据流。一个数据流可以是两台主机之间单一的TCP连接，也能够是两个子网之间所有的数据流量。IPSec能够对不同的数据流施加不同的安全保护，例如对不同的数据流使用不同的安全协议、算法或密钥。

2.安全同盟(SecurityAssociation简称SA)

IPSec对数据流提供的安全服务通过安全同盟SA来实现，它包括协议、算法、密钥等内容，具体肯定了如何对IP报文进行处理。一个SA就是两个IPSec系统之间的一个单向逻辑连接，输入数据流和输出数据流由输入安全同盟与输出安全同盟分别处理。安全同盟由一个三元组(安全参数索引(SPI)、IP目的地址、安全协议号(AH或ESP))来唯一标识。安全同盟可通过手工配置和自动协商两种方式建立。手工建立安全同盟的方式是指用户通过在两端手工设置一些参数，在两端参数匹配和协商通过后建立安全同盟。自动协商方式由IKE生成和保护，通讯双方基于各自的安全策略库经过匹配和协商，终究建立安全同盟而不需要用户的干预。

3.安全参数索引SPI(SecurityParameterIndex)

是一个32比特的数值，在每个IPSec报文中都携带该值。SPI、IP目的地址、安全协议号三者结合起来共同构成三元组，来唯一标识一个特定的安全同盟。在手工配置安全同盟时，需要手工指定SPI的取值。为保证安全同盟的唯一性，一定要使用不同的SPI来配置安全同盟;使用IKE协商产生安全同盟时，SPI将随机生成。

4.安全同盟生存时间(LifeTime)

安全同盟更新时间有“以时间进行限制”(即每隔定长的时间进行更新)和“以流量进行限制”(即每传输一定字节数量的信息就进行更新)两种方式。

5.安全策略(CryptoMap)

由用户手工配置，规定对甚么样的数据流采取甚么样的安全措施。对数据流的定义是通过在一个访问控制列表中配置多条规则来实现，在安全策略中援用这个访问控制列表来肯定需要进行保护的数据流。一条安全策略由“名字”和“顺序号”共同唯一肯定。

6.转换方式(TransformMode)

包括安全协议、安全协议使用的算法、安全协议对报文的封装情势，规定了把普通的IP报文转换成IPSec报文的方式。在安全策略中，通过援用一个转换方式来规定该安全策略采取的协议、算法等。

TikTok千粉号购买平台：https://tiktokusername.com/