在 IPSec 中,为什么区分安全关联和安全策略是有意义的?
答案1
我一直很喜欢这个定义tcpip指南
安全策略:
安全策略是编入 IPSec 实现的规则,用于告诉它如何处理设备收到的不同数据报。例如,安全策略用于决定某个数据包是否需要由 IPSec 处理;那些不会完全绕过 AH 和 ESP 的数据包。如果需要安全性,安全策略会提供应如何提供的一般指导方针,并在必要时提供更具体细节的链接。
设备的安全策略存储在设备的安全策略数据库 (SPD) 中。
安全协会:
安全关联 (SA) 是一组安全信息,用于描述一个设备与另一个设备之间的特定安全连接。您可以将其视为“合同”,其中指定了用于两个设备之间安全通信的特定安全机制。
设备的安全关联包含在其安全关联数据库 (SAD) 中。
前者表示如果你看到一个数据包看起来具有特征 X,则执行 Y。后者表示我们以这种方式与该主机进行 IPSec 通信。
如果您分别将其视为无状态和有状态,可能会有所帮助。
答案2
SA 还可以(应该)具有生命周期,例如数据包数量、分钟数等。在 SA 过期之前,将使用 IKE 协商的新密钥创建一个新的 SA。
使用相同密钥加密的密文越多,被破解的可能性就越大仅密文攻击
而且,如果密钥被破解,也只有一部分流量受到损害。