其他分享
首页 > 其他分享> > 网络层安全协议IPSec

网络层安全协议IPSec

作者:互联网

一、IPSec协议概述 

1、IPsec并不是一个单个的协议,而是能够在IP层提供互联网通信安全的协议族。

2、IPsec是个框架,它允许通信双方选择合适的算法和参数(例如。密。钥长度)。为保证互操作性,IPsec 还包含了所有IPsec的实现都必须有的一套加密算法。

3、IP 几乎不具备任何安全性,不能保证:

■ 数据机密性

■数据完整性

■数据来源认证

由于其在设计和实现上存在安全漏洞,使各种攻击有机可乘。例如:攻击者很容易构造一个包含虚假地址的IP数据报。而IPsec 提供了标准、健壮且包含广泛的机制保证IP层安全。

二、IPSec由三部分组成

1、IP安全数据报格式的两个协议:鉴别首部AH协议,封装安全有效载荷ESP协议

2、有关加密算法的三个协议(在此不讨论)

3、互联网密钥交换 IKE协议

三、IP安全数据报的两种工作方式

1、隧道方式(tunnel mode)

在原始的IP数据报的前后分别添加若干控制信息,再加上新的IP首部,构成一个IP安全数据报。如下图所示:

工作要求: 

■需要在IPsec数据报所经过的所有路由器上都运行IPsec协议。

■隧道方式常用来实现虚拟专用网VPN。

2、运输方式

在整个运输层报文段的前后分别添加若干控制信息,再加上IP首部,构成IP安全数据报。如下图所示:

工作要求:

●适合于主机到主机之间的安全传送。

●需要使用IPsec的主机都运行IPsec协议。

3、总结

■无论使用哪种方式,最后得出的IP安全数据报的IP首部都是不加密的。

■所谓“安全数据报”是指数据报的数据部分是经过加密的,并能够被鉴别的。

■通常把数据报的数据部分称为数据报的有效载荷(payload)。

标签:协议,首部,IP,网络层,安全,IPSec,数据,IPsec
来源: https://blog.csdn.net/kxbdys/article/details/123116847