Security 在IKE V2中创建多个子SA需要什么?
在安全协会, 我知道在进行身份验证交换后,将创建一个子SA。但是创建多个子SA的必要性是什么?IKE_SA和child_SA之间的区别是什么?1/多个子SASecurity 在IKE V2中创建多个子SA需要什么?,security,ipsec,Security,Ipsec,在安全协会, 我知道在进行身份验证交换后,将创建一个子SA。但是创建多个子SA的必要性是什么?IKE_SA和child_SA之间的区别是什么?1/多个子SA 尽管拥有一个孩子SA似乎足够了,但在某些情况下,您确实需要多个孩子SA: 重新设置密钥——重新设置密钥的过程定义为建立新SA,然后关闭旧SA。旧SA和新SA都有效的时间段 不同流量的不同SA——在某些设置下,您可能需要为不同的服务提供不同级别的保护(例如,对于一些不重要的流量,AH,对于机密流量,ESP具有强参数) 2/IKE_SA
- 尽管拥有一个孩子SA似乎足够了,但在某些情况下,您确实需要多个孩子SA:
- 重新设置密钥——重新设置密钥的过程定义为建立新SA,然后关闭旧SA。旧SA和新SA都有效的时间段
- 不同流量的不同SA——在某些设置下,您可能需要为不同的服务提供不同级别的保护(例如,对于一些不重要的流量,AH,对于机密流量,ESP具有强参数)
- IKE_SA是保护IKE流量的SA
- CHILD_SA是保护非IKE流量的SA