IPSEC SA 和 CHILD SA 之间的区别

信息安全 ipsec
2021-08-22 00:45:48

让我们考虑两个网络实体。

            Linux1 (eth0)=============IPSEC=============Linux2(eth0)
            192.168.1.1                                 192.168.1.2

IPSEC 隧道是 V4 上的 V4。当我通过 IKE Strongswan 设置此隧道时,当我这样做时"ipsec statusall",它显示内部 IP 之间的连接。

在这个设置中

  1. 我认为只有1个隧道。我对什么是IPSEC SA和感到困惑CHILD SA我认为从 Linux1 到 Linux2 的数据包将被ESP封装(如果选择的话)并且数据包应该通过 IPSEC 隧道。
  2. 假设有和有rekeying什么区别ikelifetimeipseclifetime
1个回答

在开始之前,我需要解释一下 IKE 和 IPSec 是如何协同工作的。它不像 TLS(其中有一组逻辑密钥可以保护一切);相反(使用 RFC 的语言),您在这条隧道中有 3 个安全关联:

  • 您有一个 IKE SA,用于保护 Linux1 和 Linux2 之间的协商流量(例如协商流量 SA)。
  • 您有一个 IPSec SA,用于保护从 Linux1 到 Linux2 的数据流量
  • 您有一个 IPSec SA,用于保护从 Linux2 到 Linux1 的数据流量

现在,对于您的问题:

什么是儿童 SA?

子 SA 是通过 IKE SA 协商的任何 SA。IKE SA 可用于协商 SA 以保护流量 (IPSec SA),也可用于创建另一个 IKE SA。在您看到的上下文中,它很可能是 IPSec SA 的同义词。

ikelifetime 和 ipseclifetime 有什么区别

没有 SA 是永恒的;他们都有最好的约会;当到期时,它们就会消失(希望替换 SA 也可以协商,除非您实际上已经完成了隧道)。ikelifetime 将是 IKE SA 的生命周期;ipseclifetime 将是 IPSec SA 的生命周期。

其它你可能感兴趣的问题
上一篇具有无钥匙接近式进入的汽车是否受到范围扩展器的保护? 下一篇如何找到溢出错误的堆栈指针?