路由器R1必须维护这条安LM4873MTE-1全关联SA的状态信息,包括:

   (1)一个32位的连接标识符,称为安全参数索引sPI(sCcuri~Paralneter Indcx)。

   (2)SA的源点(即路由器R1的IP地址)和终点(即路由器R。的IP地址)。

   (3)所使用的加密类型(例如,DES)。

   (4）加密的密钥。

   (5)完整性检查的类型(例如,使用报文摘要WlD5的报文鉴别码NlAC)。

   鉴别使用的密钥。

   当路由器R1要通过sA发送IPscc数据报时,就必须读取SA的这些状态信息,以便知道如何把IP数据报进行加密和鉴别。同理,路由器△也要维护关于一条SA的状态信息,以便当IPscG数据报通过SA到达路由器△时进行解密和鉴别。

   下面结合各字段的作用,讨论一下IPsec数据报是怎样构成的。

   IPsec数据报有以下两种不同的工作方式。

第一种工作方式是运输方式(transpo⒒modc)。运输方式是在整个运输层报文段的后面和前面分别添加一些控制字段,构成IPscc数据报。这种方式把整个运输层报文段都保护起来,因此很适合于主机到主机之间的安全传送,但这需要使用IPsec的主机都运行IPsec协

议。

   第二种工作方式是隧道方式(tumcl mOdc)。隧道方式是在一个IP数据报的后面和前面分别添加一些控制字段,构成IPscc数据报。显然,这需要在IPseG数据报所经过的所有路由器都运行IPscc协议。IPSec的隧道方式常用来实现虚拟专用网VN。