学习《计算机网络安全》
IPsec协议族
IPsec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构。IPsec主要由以下协议组成。
(1)网络认证协议AH(Authentication Header),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护。
(2)封装安全载荷ESP(Encapsulating Security Payload),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性。
(3)因特网密钥交换协议IKE,用来交换密钥。
(4)安全关联SA(Security Association),提供算法和数据包,提供AH、ESP操作所需的参数。
IPsec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃听。IPsec提供的服务如表所示。
IPsec提供的服务
AH | ESP(只加密) | ESP(加密并鉴别) | |
---|---|---|---|
访问控制服务 | Y | Y | Y |
无连接完整性 | Y | — | Y |
数据源鉴别 | Y | — | Y |
拒绝重放的分组 | Y | Y | Y |
保密性 | — | Y | Y |
流量保密性 | — | Y | Y |