网络层安全协议IPSec
作者:互联网
一、IPSec协议概述
1、IPsec并不是一个单个的协议,而是能够在IP层提供互联网通信安全的协议族。
2、IPsec是个框架,它允许通信双方选择合适的算法和参数(例如。密。钥长度)。为保证互操作性,IPsec 还包含了所有IPsec的实现都必须有的一套加密算法。
3、IP 几乎不具备任何安全性,不能保证:
■ 数据机密性
■数据完整性
■数据来源认证
由于其在设计和实现上存在安全漏洞,使各种攻击有机可乘。例如:攻击者很容易构造一个包含虚假地址的IP数据报。而IPsec 提供了标准、健壮且包含广泛的机制保证IP层安全。
二、IPSec由三部分组成
1、IP安全数据报格式的两个协议:鉴别首部AH协议,封装安全有效载荷ESP协议
2、有关加密算法的三个协议(在此不讨论)
3、互联网密钥交换 IKE协议
三、IP安全数据报的两种工作方式
1、隧道方式(tunnel mode)
在原始的IP数据报的前后分别添加若干控制信息,再加上新的IP首部,构成一个IP安全数据报。如下图所示:
工作要求:
■需要在IPsec数据报所经过的所有路由器上都运行IPsec协议。
■隧道方式常用来实现虚拟专用网VPN。
2、运输方式
在整个运输层报文段的前后分别添加若干控制信息,再加上IP首部,构成IP安全数据报。如下图所示:
工作要求:
●适合于主机到主机之间的安全传送。
●需要使用IPsec的主机都运行IPsec协议。
3、总结
■无论使用哪种方式,最后得出的IP安全数据报的IP首部都是不加密的。
■所谓“安全数据报”是指数据报的数据部分是经过加密的,并能够被鉴别的。
■通常把数据报的数据部分称为数据报的有效载荷(payload)。
标签:协议,首部,IP,网络层,安全,IPSec,数据,IPsec 来源: https://blog.csdn.net/kxbdys/article/details/123116847