IPsec:因特网协议安全
在网络层提供IP安全性的协议
IP安全(IPSec)体系结构由一系列协议组成,制订这些协议主要是为了确保通过IP网络进行的数据通信的整体性、保密性和验证。一方面,IPSec标准的灵活性已经引起了商业界的兴趣; 另一方面,也正是这一灵活性使我们能够认识到这些协议因其复杂性的缘故而带来的问题。
IPSec 在IP层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求所需密钥到相应位置。IPsec用来保护一条或多条主机与主机间,安全网关间,安全网关与主机间的路径。
IPSec可在以下三个不同的安全领域使用:虚拟专用网络(VPN),应用级安全以及路由安全。目前,IPSec 主要用于VPN。
IPsec策略在ISO参考模型第三层即网络层上实施安全保护,其范围几乎涵盖了TCP/IP协议簇中所以IP协议和上层协议,如TCP,UDP,ICMP,RAW(第255号协议)、甚至包括在网络层发送数据的客户自定义协议。在第三层上提供数据安全保护的主要优点在于:所有使用IP协议进行数据传输的应用系统和服务都可以使用IPSec,而不必对这些应用系统和服务本身做任何修改。
这些目标是通过使用两大传输安全协议,头部认证(AH) 和封装安全负载 (ESP),以及密钥管理程序和协议的使用来完成的。所需的 IPsec 协议集内容及其使用的方式是由用户、应用程序、和/或站点、组织对安全和系统的需求来决定。
IPsec不是特殊的加密算法或认证算法,也没有在它的数据结构中指定一种特殊的加密算法或认证算法。它只是一个开放的结构,定义在IP数据包格式中,为各种的数据加密或认之的实现提供了数据结构,为这些算法的实现提供了统一的体系结构。因此,不同的加密算法都可以利用IPSec定义的体现机构在网络数据传输过程中实施。
