1 IPSec 体系结构 IP安全(IP Security)体系结构,简称IPSec,是IETF IPSec工作组于1998年制定的一组基于密码学的安全的开放网络安全协议
IPSec工作在IP层,为IP层及其上层协议提供保护
IPSec提供访问控制、无连接的完整性、数据来源验证、防重放保护、保密性、自动密钥管理等安全服务
IPSec独立于算法,并允许用户(或系统管理员)控制所提供的安全服务粒度
比如可以在两台安全网关之间创建一条承载所有流量的加密隧道,也可以在穿越这些安全网关的每对主机之间的每条TCP连接间建立独立的加密隧道
IPSec在传输层之下,对应用程序和终端用户来说是透明的
当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置
即使在终端系统中执行IPSec,应用程序之类的上层软件也不会受到影响
1 IPSec的组成 IPSec是因特网工程任务组(IETF)定义的一种协议套件,由一系列协议组成,验证头(AH)、封装安全载荷(ESP)、Internet安全关联和密钥管理协议ISAKMP的Internet IP安全解释域(DOI)、ISAKMP、Internet密钥交换(IKE)、IP安全文档指南、OAKLEY密钥确定协议等,它们分别发布在RFC2401~RFC2412的相关文档中
3显示了IPSec的体系结构、组件及各组件间的相互关系
IPSec 体 系封装安全载荷验证头(AH)加密算法加密算法解释域(DOI)密钥管理策略 图 2
3 IPSec的体系结构 AH(认证头)和ESP(封装安全载荷):是IPSec体系中的主体,其中定义了协议的载荷头格式以及它们所能提供的服务,另外还定义了数据报的处理规则,正是这两个安全协议为数据报提供了网络层的安全服务
两个协议在处理数据报文时都需要根据确定的数据变换算法来对数据进行转换,以
