在IPSec中,为什么区分安全关联和安全策略是有意义的?
我总是喜欢tcpipguide的定义
安全策略:
安全策略是一个编入IPSec实现的规则,告诉它如何处理设备接收的不同数据报。 例如,安全策略用于决定是否需要IPSec处理特定的数据包; 那些不能完全绕过AH和ESP的。 如果需要安全性,安全策略就应该如何提供安全策略提供一般性指导,如果有必要,还可以链接到更具体的细节。
设备的安全策略存储在设备的安全策略数据库(SPD)中。
安全协会:
安全关联(SA)是一组安全信息,描述了一个设备与另一个设备之间的特定types的安全连接。 如果您愿意的话,您可以将其视为一个“合同”,指定用于两者之间安全通信的特定安全机制。
设备的安全关联包含在其安全关联数据库(SAD)中。
前者说,如果你看到一个看起来像是有X特性的包,后者说这个主机用这种方式来说IPSec。
如果你认为它分别是无状态和有状态的,可能会有所帮助。
一个安全联盟也可以(应该)有一个生命周期,例如数据包数量,分钟数等。在安全联盟到期之前,使用IKE协商的新密钥创build一个新的安全联盟。
使用相同密钥encryption的更多密码文本增加了仅密文攻击的机会
另外,如果密钥被破坏,只有一部分stream量被泄露。