IPsec 在 IP 層提供安全服務(wù)����,它使系統(tǒng)能按需選擇安全協(xié)議����,決定服務(wù)所使用的算法及放置需求服務(wù)所需密鑰到相應(yīng)位置��。 IPsec 用來(lái)保護(hù)一條或多條主機(jī)與主機(jī)間��、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)間����、安全網(wǎng)關(guān)與主機(jī)間的路徑�。
IPsec 能提供的安全服務(wù)集包括訪問(wèn)控制、無(wú)連接的完整性���、數(shù)據(jù)源認(rèn)證����、拒絕重發(fā)包(部分序列完整性形式)�����、保密性和有限傳輸流保密性��。因?yàn)檫@些服務(wù)均在 IP 層提供����,所以任何高層協(xié)議均能使用它們�����,例如TCP 、 UDP ����、ICMP 、 BGP 等等�。
這些目標(biāo)是通過(guò)使用兩大傳輸安全協(xié)議,頭部認(rèn)證(AH) 和封裝安全負(fù)載 (ESP)���,以及密鑰管理程序和協(xié)議的使用來(lái)完成的�����。所需的 IPsec 協(xié)議集內(nèi)容及其使用的方式是由用戶�、應(yīng)用程序�、和/或站點(diǎn)、組織對(duì)安全和系統(tǒng)的需求來(lái)決定�����。
當(dāng)正確的實(shí)現(xiàn)����、使用這些機(jī)制時(shí)����,它們不應(yīng)該對(duì)不使用這些安全機(jī)制保護(hù)傳輸?shù)挠脩?���、主機(jī)和其他英特網(wǎng)部分產(chǎn)生負(fù)面的影響。這些機(jī)制也被設(shè)計(jì)成算法獨(dú)立的��。這種模塊性允許選擇不同的算法集而不影響其他部分的實(shí)現(xiàn)����。例如:如果需要,不同的用戶通訊可以采用不同的算法集����。
定義一個(gè)標(biāo)準(zhǔn)的默認(rèn)算法集可以使得全球因英特網(wǎng)更容易協(xié)同工作。這些算法輔以 IPsec 傳輸保護(hù)和密鑰管理協(xié)議的使用為系統(tǒng)和應(yīng)用開(kāi)發(fā)者部署高質(zhì)量的因特網(wǎng)層的加密的安全技術(shù)提供了途徑�����。
協(xié)議結(jié)構(gòu) ― IPsec:IP 網(wǎng)絡(luò)安全結(jié)構(gòu)
IPsec 結(jié)構(gòu)包括眾多協(xié)議和算法��。這些協(xié)議之間的相互關(guān)系如下所示:
|
圖 2 - 5 IPsec:IP 層協(xié)議安全結(jié)構(gòu) |
