所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
TCP应用程序应用Keychain的原理

TCP应用程序应用Keychain的原理

TCP应用程序使用Keychain认证发送报文

在donica草案中,TCP使用增强的认证选项进行认证交互,增强认证选项的报文格式如图14-4所示:

图14-4  TCP增强认证选项格式

目前该草案还没有标准化,IANA没有统一定义类型(Kind)值和认证算法对应的ID(Alg-id)。各设备商使用不同的取值。为了使不同厂商的设备能够互通,Keychain使TCP类型值和认证算法的ID可以配置和维护。

图14-5所示,TCP应用程序应用Keychain发送报文的流程如下:
  1. 应用程序询问活跃的发送key ID、TCP Kind、TCP algorithm-id。

  2. 如果存在活跃的发送key,则Keychain模块提供应用程序请求的信息。

  3. 应用程序用TCP Kind、TCP algorithm-id、key ID填充TCP增强认证选项。

  4. 应用程序给Keychain模块提供需要用来计算MAC(Message Authentication Code)的数据。

  5. Keychain模块根据活跃发送key所配置算法和密钥,计算MAC,并返回MAC值。

  6. 应用程序将获取的MAC填充到增强认证选项,将报文发送出去。

图14-5  TCP应用程序使用Keychain发送报文

TCP应用程序使用Keychain认证接收报文

图14-6所示TCP应用程序接收到报文后的处理流程如下:
  1. 接收端收到携带认证信息的TCP报文。

  2. 接收端向Keychain模块提供数据报文、key ID、TCP algorithm-id、TCP Kind以及需要验证的MAC。

  3. Keychain模块检查,接收报文中的TCP类型和算法ID和本端的是否一致。如果不一致,则返回认证失败消息。

  4. Keychain模块根据接收到的key ID,检查本端对应ID的接收key是否活跃。如果不活跃,则返回认证失败消息。

  5. 如果对应的接收key活跃,Keychain模块根据该接收key配置的认证算法和密钥,重新计算MAC,并且比较新生成的MAC和接收到的MAC是否一致。

  6. 返回成功消息或者失败消息。

  7. 应用程序根据Keychain的认证结果确认接收或丢弃报文。

图14-6  TCP应用程序使用Keychain接收报文
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32490

下载量:938

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页