IPSec的安全特点
IPSec(IPSecurity)是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。IPSec在IP层对IP报文提供安全服务。IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完全性、私有性和真实性,和如何加密数据包。使用IPsec,数据就能够安全地在公网上传输。IPsec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的保护。
IPSec包括报文验证头协议AH(协议号51)和报文安全封装协议ESP(协议号50)两个协议。AH可提供数据源验证和数据完全性校验功能;ESP除可提供数据验证和完全性校验功能外,还提供对IP报文的加密功能。
IPSec有隧道(tunnel)和传送(transport)两种工作方式。在隧道方式中,用户的全部IP数据包被用来计算AH或ESP头,且被加密。AH或ESP头和加密用户数据被封装在一个新的IP数据包中;在传送方式中,只是传输层数据被用来计算AH或ESP头,AH或ESP头和被加密的传输层数据被放置在原IP包头后面。
IPSec的安全特点
1.数据机密性(Confidentiality)
IPSec发送方在通过网络传输包前对包进行加密。
2.数据完全性(DataIntegrity)
IPSec接收方对发送方发送来的包进行认证,以确保数据在传输进程中没有被篡改。
3.数据来源认证(DateAuthentication)
IPSec接收方对IPSec包的源地址进行认证。这项服务基于数据完全性服务。
4.反重放(AntiReplay)
IPSec接收方可检测并谢绝接收过时或重复的报文。
