所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
非TCP应用程序应用Keychain的原理

非TCP应用程序应用Keychain的原理

Keychain为应用层协议提供了认证服务。当创建之后,Keychain需要被应用程序使用才能生效。按照不同应用程序应用Keychain进行认证的不同处理流程,可分为非TCP应用程序使用Keychain认证和TCP应用程序使用Keychain认证。

非TCP应用程序使用Keychain认证发送报文

图14-2所示,非TCP应用程序使用Keychain发送报文的流程如下:
  1. 应用程序询问Keychain的活跃发送key ID和Keychain提供的算法类型。

  2. 如果存在活跃的发送key,Keychain模块提供活跃的发送key ID和算法类型;如果没有,应用程序正常发送报文。

  3. 应用程序收到活跃发送key ID和算法类型后,将Keychain算法类型转换为相应协议的标准算法ID,并将此算法ID和key ID封装进报文。

  4. 应用程序提供需要用来计算MAC(Message Authentication Code)的数据。

  5. Keychain模块使用活跃的发送key定义的认证算法和密钥,计算出MAC,并返回MAC。

  6. 应用程序产生携带认证信息的报文,并发送出去。

图14-2  非TCP应用程序使用Keychain发送报文

非TCP应用程序使用Keychain认证接收报文

图14-3所示,非TCP应用程序接收到报文后的处理流程如下:
  1. 接收端接收到携带认证信息的报文。

  2. 接收端应用程序将接收的算法ID转换为Keychain算法类型。

  3. 接收端应用程序提供数据报文、key ID、算法类型、需要验证的MAC值。

  4. Keychain模块根据接收到报文的key的ID,检查本端对应ID的接收key是否活跃。如果不活跃,则返回认证失败消息。

  5. 如果对应的接收key活跃,Keychain模块使用此key配置的认证算法和密钥,重新计算MAC,并且比较新生成的MAC和接收到的MAC是否一致。

  6. 返回成功消息或者失败消息。

  7. 应用程序根据Keychain的认证结果决定接收或丢弃报文。

图14-3  非TCP应用程序使用Keychain认证接收报文
说明:
IS-IS使用Keychain认证,发送报文时不携带key ID。当接收端收到含认证信息的IS-IS报文时,设备会查看所有活跃的接收key,找一个算法相同的进行校验。
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32295

下载量:937

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页