路由器R1必須維護(hù)這條安LM4873MTE-1全關(guān)聯(lián)SA的狀態(tài)信息,包括:

   (1)一個(gè)32位的連接標(biāo)識(shí)符,稱為安全參數(shù)索引sPI(sCcuri~Paralneter Indcx)。

   (2)SA的源點(diǎn)(即路由器R1的IP地址)和終點(diǎn)(即路由器R。的IP地址)。

   (3)所使用的加密類型(例如,DES)。

   (4）加密的密鑰。

   (5)完整性檢查的類型(例如,使用報(bào)文摘要WlD5的報(bào)文鑒別碼NlAC)。

   鑒別使用的密鑰。

   當(dāng)路由器R1要通過(guò)sA發(fā)送IPscc數(shù)據(jù)報(bào)時(shí),就必須讀取SA的這些狀態(tài)信息,以便知道如何把IP數(shù)據(jù)報(bào)進(jìn)行加密和鑒別。同理,路由器△也要維護(hù)關(guān)于一條SA的狀態(tài)信息,以便當(dāng)IPscG數(shù)據(jù)報(bào)通過(guò)SA到達(dá)路由器△時(shí)進(jìn)行解密和鑒別。

   下面結(jié)合各字段的作用,討論一下IPsec數(shù)據(jù)報(bào)是怎樣構(gòu)成的。

   IPsec數(shù)據(jù)報(bào)有以下兩種不同的工作方式。

第一種工作方式是運(yùn)輸方式(transpo⒒modc)。運(yùn)輸方式是在整個(gè)運(yùn)輸層報(bào)文段的后面和前面分別添加一些控制字段,構(gòu)成IPscc數(shù)據(jù)報(bào)。這種方式把整個(gè)運(yùn)輸層報(bào)文段都保護(hù)起來(lái),因此很適合于主機(jī)到主機(jī)之間的安全傳送,但這需要使用IPsec的主機(jī)都運(yùn)行IPsec協(xié)

議。

   第二種工作方式是隧道方式(tumcl mOdc)。隧道方式是在一個(gè)IP數(shù)據(jù)報(bào)的后面和前面分別添加一些控制字段,構(gòu)成IPscc數(shù)據(jù)報(bào)。顯然,這需要在IPseG數(shù)據(jù)報(bào)所經(jīng)過(guò)的所有路由器都運(yùn)行IPscc協(xié)議。IPSec的隧道方式常用來(lái)實(shí)現(xiàn)虛擬專用網(wǎng)VN。