IPSec协议工作
IPSec通过在IP层对所有业务流加密和认证,保证了所有散布利用程序(包括远程登录、客户机/服务器、电子邮件系统、文件传输、Web访问等)的安全性,因此可提供网络内(包括局域网、广域网等)或网际间的安全通讯。
因特网范围内端到端通讯安全的发展比预感的要缓慢。其中部份缘由,是由于其不够普遍还是说不被普遍信任。能够得以构成(最初就是为此产生的),一部份是由于许多用户不能充分地认清他们的需求及可用的选项,致使其作为内含物强加到卖主的产品中(这也势必得到广泛采取);另外一部份可能归因于的退化(或说预期退化),就像的充斥而带来的带宽损失一样。
IPsec协议工作在的第三层,使其在单独使用时适于保护基于TCP和UDP的协议。这就意味着,与传输层或更高层的协议相比(如就不能保护UDP层的通讯流),IPsec协议一定要处理可靠性和分片的问题,这同时也增加了它的复杂性和处理开消。相对而言,/依托更高层的TCP(OSI的第四层)来管理可靠性和分片。
认证头(AH)被用来保证被传输分组的完全性和可靠性。另外,它还保护不受重放攻击。认证头试图保护IP数据报的所有字段,那些在传输IP分组的进程中要产生变化的字段就只能被排除在外。
IPsec被设计用来提供:
(1)入口对入口,在此机制下,分组通讯的安全性由单个节点提供给多台机器(乃至可以是全部局域网);
(2)端到端分组通讯安全,由作为端点的计算机完成安全操作。上述的任意一种模式都可以用来构建(方案),而这也是IPsec最主要的用处之一。应当注意的是,上述两种操作模式在安全的实现方面有着很大差别。
