1. 如何理解Ipsec 安全联盟SA的本地化和单向性?在同一个节点设备上AH和ESP能共享同一个SA吗?为什么?(15)安全关联是两个应用IPsec实体(主机、路由器)间的一个单工连接,决定保护什么、如何保护以及谁来保护通信数据。它规定了用来保护数据报安全的安全协议、密码算法、密钥以及密钥的生存期。SA是单向的,要么对数据报进行“进入”保护,要么对数据报进行“外出”保护。 思考题. 为什么IPSec要对进入和外出两个方向的SA进行单独的控制?进入和外出的数据的安全需求不同,一般对进入的数据安全要求更高,因此它们的安全处理未必相同,需要用不同SA处理一个SA对IP数据报只能提供AH或ESP保护。补充:若应用IPsec,策略要包含使用的安全协议(AH、ESP)、模式、算法等参数以安全关联的形式存储在SAD(security Association database)中。安全关联的字段包括:目的IP地址(SA的目的地址,可为终端防火墙、路由器、系统等网络设备)、IPsec协议(标识用的AH还是ESP)、序号计数器(用于产生AH或ESP头的序号)、序号计数
