式操作,源主机和目的地主机必须直接执行所有密码操作。加密数据是通过使用L2TP(第二层隧道协议)而生成的单一隧道来发送的。数据(密码文件)则是由源主机生成并由目的地主机检索的。这种操作模式可以实现端对端安全。
如果以隧道模式操作,除了源主机和目的地主机之外,特殊的网关也将执行密码操作。在这种模式里,许多隧道在网关之间是以系列的形式生成的,从而可以实现网关对网关安全。不管使用何种模式,重要的是: 一是使网关能够确认包是真实的; 二是使网关能够从两端对该包进行判断,这样能够抛弃无效包。
在IPSec里需要两种类型的数据包编码(DPE),它们就是验证标题(AH)和封装安全净负荷(ESP) DPEs。这些编码可以为数据提供网络级安全。AH可以提供包的真实性和整体性。验证是通过键标散列函数,即人们所熟知的MACs(信息验证码)而实现的。这个标题也禁止非法修改,并具有提供防回复安全的选项。AH可以在多个主机、多个网关或多个主机与网关、以及所有实现AH之间实现安全。ESP标题可以提供加密、数据封装以及数据保密。数据保密是通过对称密钥加密而实现的。
页码:[1] [2] [3] [4] [5] [6] 第2页、共6页 |
