IPsec实现机制

IPsec通过提供以下服务来保护通过公共IP网络传送的私有数据：

●访问控制访问控制是指避免未经授权对资源进行访问。IPsec中，需要进行访问控制的资源通常指主机中的数据和计算能力、安全网关内的本地网及其带宽。IPsec使用身份认证机制进行访问控制。

●数据源认证数据源认证对数据来源所声明的身份进行验证，通常与无连接数据完全性相结合。IPsec使用消息鉴别机制实现数据源认证服务。

●机密性和有限传输流量的机密性相应的接收者能获得发送的真正内容，而无意获得数据的接收者没法获知数据的真正内容。有限传输流量的机密性服务是指避免对通讯的外部属性(源地址、目的地址、消息长度和通讯频率等)的泄漏，从而使攻击者没法对网络流量进行分析，推导其中的传输频率、通讯者身份、数据包大小、数据流标识符等信息。

●无连接完全性和抗重播无连接完全性服务对单份数据包是否是被修改进行检查，而对数据包的到达顺序不作要求。IPsec使用数据源认证机制实现无连接完全性服务。IPsec的抗重播服务，亦称为部份序号完全性服务，是指避免攻击者截取和复制IP包，然后发送到目的地。IPsec根据IPsec头中的序号字段，使用滑动窗口原理，实现抗重播服务。