(想想如果是军事机密等重要信息的话,这是致命的)。IPsec的目的就是为了实现数据传输的完整性(源地址验证和保证数据没有被修改)和机密性(没有被人看过)以及提供一定程度的对replay攻击的保护。IPsec可用它为IP及其上层协议(TCP和UDP等)提供安全保护。
RFC2401规定了IPsec的基本结构,它利用认证头标(AH)和封装化安全净荷(ESP)来实现数据的认证和加密。前者用来实现数据的完整性,后者用来实现数据的机密性。同时对数据的传输规定了两种模式:传送模式和通道模式。在传送模式中,IP头与上层协议头之间嵌入一个新的IPsec头(AH或ESP);在通道模式中,要保护的整个IP包都封装到另一个IP数据包里,同时在外部与内部IP头之间嵌入一个新的IPsec头。两种IPsec头都可以同时以传送模式和通道模式工作。
IPsec中有两个重要的数据库,分别是安全联盟数据库SAD和安全策略数据库SPD。SAD中的每一个元组是一个安全联盟SA,它是构成IPsec的基础,是两个通信实体经协商建立起来的一种协定,它决定了用来保护数据包安全的IPsec协议、转码方式、密钥以及密钥的有效存在时间等。SPD中的每一个元组是一条策略,策略是指应用于数据包的安全服务以及如何对数据包进行处理,是人机之间的安全接口,包括策略定义、表示、管理以及策略与IPsec系页码:[1] [2] [3] [4] [5] [6] [7] 第2页、共7页 |
