ipsec协议的应用
IPsec协议解析网络层安全协议的特点与应用
IPsec协议解析网络层安全协议的特点与应用网络安全是当今互联网世界中不可或缺的一部分,网络层安全协议是一种用于保护网络数据传输的重要手段。
在网络通信中,IPsec (Internet Protocol Security)协议作为一种较为常见的网络层安全协议,在保护网络数据的传输安全和隐私方面起到了重要作用。
本文将对IPsec协议的特点和应用进行解析。
一、IPsec协议的特点IPsec协议作为一种网络层安全协议,具有以下几个主要特点:1. 完整性保护:IPsec协议通过使用消息认证码(MAC)或哈希算法对IP数据包进行完整性验证,确保数据在传输过程中没有被篡改。
2. 加密通信:IPsec协议采用对称加密算法或非对称加密算法,对IP数据包进行加密,保证数据在传输过程中不被窃取。
3. 身份认证:IPsec协议能够验证通信双方的身份,确保数据只被合法的通信对象接收。
4. 安全性灵活可配置:IPsec协议支持多种加密算法和安全参数的选择,可以根据具体需求进行配置,灵活性较高。
5. 透明性:IPsec协议在网络通信中对上层应用和传输层协议是透明的,对现有的应用程序和协议没有影响。
二、IPsec协议的应用IPsec协议广泛应用于保护网络通信的安全,特别适用于以下几个方面:1. 虚拟专用网络(VPN):利用IPsec协议可以在公共网络上建立一个安全的私有网络,实现分布式办公、远程访问等需求。
2. 远程访问:IPsec协议可以为远程用户提供加密的隧道,确保用户在远程访问内部资源时的数据传输安全。
3. 网络对等连接:当两个网络之间需要进行安全通信时,IPsec协议可以用于建立安全的虚拟专用网络连接,保证数据传输的安全性。
4. 网络入侵检测与防范:IPsec协议不仅可以加密与认证数据包,还能够检测和防范网络入侵,提高网络的安全性。
5. VoIP安全:利用IPsec协议可以对VoIP通信进行加密和身份验证,确保语音通话的机密性和完整性。
1.ipsec安全协议的体系组成及各部分功能
1.ipsec安全协议的体系组成及各部分功能IPSec(Internet Protocol Security)是一种网络安全协议,用于提供网络通信的安全性和隐私保护。
它通过在IP 层对数据进行加密和验证,确保在网络上传输的数据的机密性、完整性和真实性。
IPSec 安全协议的体系组成包括以下几个部分:1. IPSec 协议框架:定义了IPSec 的总体结构和基本概念,包括安全关联(SA)、加密和验证算法等。
2. IKE(Internet Key Exchange)协议:用于协商和建立安全关联(SA)。
IKE 协议负责在通信双方之间协商加密和验证算法、交换密钥等信息,以建立安全的通信通道。
3. AH(Authentication Header)协议:提供数据的完整性和源身份验证。
AH 协议通过在数据包头部添加一个验证头,对数据进行哈希计算和数字签名,确保数据在传输过程中未被篡改。
4. ESP(Encapsulating Security Payload)协议:提供数据的加密和可选的完整性验证。
ESP 协议将需要保护的数据进行加密,并可以选择性地添加一个完整性校验值,以确保数据的机密性和完整性。
5. 加密算法:IPSec 支持多种加密算法,如DES、3DES、AES 等,用于对数据进行加密。
6. 验证算法:IPSec 支持多种验证算法,如MD5、SHA-1、SHA-256 等,用于计算数据的哈希值或数字签名。
7. 安全策略:安全策略定义了IPSec 应该如何处理数据包,包括选择加密和验证算法、确定保护的数据流等。
IPSec 的各部分功能协同工作,为网络通信提供了安全的保护机制。
通过使用IPSec,网络管理员可以在网络中实施加密、身份验证和访问控制策略,保护敏感数据的传输和防止网络攻击。
网络协议知识:IPSec协议的安全性和应用场景
网络协议知识:IPSec协议的安全性和应用场景在当今网络的快速发展过程中,网络安全日益成为一个备受关注的话题。
虽然现代的计算机网络技术已经发展到了令人难以置信的高度,但是网络攻击的手段也同样得到了极大地提升。
因此,为了保证网络的安全性,人们不断地探索和研究各种网络协议,其中IPSec协议就是一种非常重要的协议。
本文将从IPSec协议的安全性和应用场景两个方面来阐述这个协议的重要性。
一、IPSec协议的安全性IPSec协议是一种用于保护IP数据包的安全协议,广泛应用于多种网络环境中。
在实际应用中,IPSec协议可以提供以下三种安全服务:认证、机密性和访问控制。
1.认证认证是指在数据传输过程中,确认数据发送者的身份以及验证数据的完整性。
IPSec协议采用的是一种称为HMAC(Hash-basedMessage Authentication Code)的算法,该算法可以保证数据的完整性,防止数据被篡改或伪造,确保数据的真实性和可靠性。
2.机密性机密性是指在数据传输过程中,保护数据不被未经授权的用户所窃取和观察。
IPSec协议采用的是一种称为AES(Advanced Encryption Standard)的加密算法,该算法可以保证数据的机密性,确保数据在传输过程中不被窃取和观察。
3.访问控制访问控制是指在数据传输过程中,控制用户对数据的访问权限。
IPSec协议可以根据用户的身份验证来控制用户对数据的访问权限,确保数据只被授权的用户所访问。
综合来看,IPSec协议具有良好的安全性能,可以在数据传输的过程中,有效地保护数据的完整性、机密性和访问控制。
这使得IPSec 协议成为了网络安全领域中不可或缺的一种技术手段。
二、IPSec协议的应用场景1.远程访问VPN远程访问VPN是指用户远程连接公司的内部网络进行工作,这种连接方式需要一种安全的网络通信协议来保护数据的安全。
在这个场景下,IPSec协议可以被用来实现VPN隧道,保护数据的完整性和机密性,从而有效地降低了数据泄露和网络攻击的风险。
IPsec网络安全协议
IPsec网络安全协议IPsec(Internet Protocol Security)是一种网络安全协议,用于保护网络通信的机密性、完整性和身份认证。
它提供了一套框架和协议,使得在公共网络上进行安全通信成为可能。
本文将介绍IPsec协议的基本原理、安全性能以及常见的应用场景。
一、IPsec协议的基本原理IPsec协议基于网络层,提供了对IP数据包进行安全处理的能力。
其核心原理是通过加密、身份认证和完整性校验来保护通信数据的机密性和完整性。
1. 加密:IPsec协议使用对称加密和非对称加密相结合的方式来保护数据的机密性。
对称加密使用相同的密钥对数据进行加密和解密,加密速度快但密钥传输存在安全隐患;非对称加密使用一对相关的密钥,公钥用于加密数据,私钥用于解密数据。
IPsec协议通常使用对称加密加密对称密钥,然后使用非对称加密进行密钥交换。
2. 身份认证:IPsec协议通过数字证书、预共享密钥或者其他安全手段来验证通信双方的身份。
这样可以防止中间人攻击和身份欺骗。
3. 完整性校验:IPsec协议使用散列函数对数据进行完整性校验,确保数据在传输过程中未被篡改。
散列函数将输入数据转换成固定长度的摘要,并通过摘要的比对来判断数据是否完整。
二、IPsec协议的安全性能IPsec协议在提供网络安全性方面具有以下优势:1. 机密性:IPsec使用强大的加密算法对数据进行加密,保护数据的隐私和机密性。
即使在公共网络上进行通信,也很难通过窃听获取到有效信息。
2. 完整性:IPsec使用完整性校验机制,保证数据在传输过程中未被篡改。
即使数据被篡改,接收方可以通过完整性校验来检测到并拒绝接受数据。
3. 身份认证:IPsec提供了身份认证的能力,防止中间人攻击和身份冒充。
通信双方可以相互验证对方的身份,确保通信的可信性。
4. 抗重放攻击:IPsec协议使用序列号和时间戳等机制来防止重放攻击。
每个数据包都带有唯一的序列号,接收方可以通过检查序列号来防止重复的数据包被接受。
IPsec与IPinIP协议配合使用
IPsec与IPinIP协议配合使用IPsec(Internet Protocol Security)与IPinIP(IP encapsulation within IP)协议是网络中常用的安全技术和隧道协议。
它们可以配合使用来提供数据传输的机密性、完整性和身份验证等保护。
本文将介绍IPsec与IPinIP协议的基本概念和原理,并探讨它们在网络安全中的应用。
1. IPsec协议IPsec协议是一种安全协议套件,主要用于在IP层提供网络通信的安全性。
它通过加密、认证和完整性校验等机制来保护IP数据包的传输安全。
IPsec协议可以分为两个主要部分:认证头部(Authentication Header,简称AH)和封装安全负载的封装安全负载(Encapsulating Security Payload,简称ESP)。
1.1 AH协议AH协议提供了对IP数据包完整性和身份验证的支持。
它在IP数据包的头部添加了一个用于认证的头部扩展字段,其中包含了生成认证码所需的信息。
当接收方收到IP数据包时,可以使用同样的算法和密钥来验证认证码的正确性,进而判断数据包是否被篡改。
1.2 ESP协议ESP协议提供了对IP数据包的加密、认证和防重放攻击等安全功能。
它通过在IP数据包的头部添加额外的字段来封装安全负载。
除了包含认证码信息,ESP协议还可以对负载进行加密,确保传输的机密性。
2. IPinIP协议IPinIP协议是一种隧道协议,它可以在IP数据包的数据部分插入另一个完整的IP数据包,从而实现数据的封装和再封装。
在传输过程中,IPinIP协议将原始的IP数据包进行封装,并在其头部添加了额外的信息,然后将整个封装后的数据包传输到目的地。
2.1 IPinIP协议的工作原理IPinIP协议的工作原理比较简单。
发送方在原始的IP数据包前面添加一个新的IP头部,并更新IP头部的相关信息,如源地址和目的地址。
这样,整个数据包就成为了一个新的IP数据包。
IPsec安全协议介绍
IPsec安全协议介绍IPsec(Internet Protocol Security)是一种网络层安全协议,用于保护IP网络中的通信安全。
它提供了数据的加密、认证和完整性保护等安全服务,确保数据在网络中传输时的隐私和安全性。
本文将介绍IPsec协议的基本原理、加密方式以及其在网络通信中的应用。
一、IPsec协议的基本原理IPsec协议的基本原理是通过对IP数据报的加密和认证来确保数据在网络中的安全传输。
当两台主机进行通信时,IPsec会在IP数据报的传输过程中插入一层安全性处理,使数据能够在传输过程中进行加密和认证。
IPsec协议主要分为两个部分:安全关联(Security Association,SA)和安全策略(Security Policy,SP)。
安全关联是指两个主机之间进行安全通信所需要的安全参数,包括加密算法、认证算法和密钥等。
安全策略则是指两个主机之间进行通信时所需遵循的安全规则,包括通信的源IP地址、目标IP地址和协议类型等。
二、IPsec协议的加密方式IPsec协议支持多种加密方式,包括对称加密和非对称加密。
1. 对称加密对称加密是指发送和接收数据的双方使用相同的密钥进行加密和解密。
常见的对称加密算法有DES(Data Encryption Standard)、3DES(Triple DES)、AES(Advanced Encryption Standard)等。
对称加密算法的优点是计算速度快,适合大数据量的加密和解密操作。
2. 非对称加密非对称加密是指发送和接收数据的双方使用不同的密钥进行加密和解密。
常见的非对称加密算法有RSA(Rivest–Shamir–Adleman)、DSA(Digital Signature Algorithm)等。
非对称加密算法的优点是密钥传输安全性高,但计算速度比对称加密算法慢。
IPsec协议通常使用对称加密算法加密数据,同时使用非对称加密算法进行密钥的协商和认证。
IPsec协议解析
IPsec协议解析IPsec(Internet Protocol Security)是一种网络协议,用于保护IP通信过程中的数据传输安全。
它提供了一套安全性能,包括认证、机密性和完整性,以确保数据在传输过程中不被修改、窃听或伪造。
本文将对IPsec协议进行深入解析,以便更好地了解它的工作原理和应用场景。
一、引言IPsec协议是为了解决网络通信中的安全问题而诞生的。
在互联网时代,数据传输的安全性至关重要,特别是在敏感数据(如银行交易、公司机密等)的传输过程中。
IPsec协议通过加密和认证技术,可以有效地保护通信中的数据安全性。
二、IPsec协议的工作原理1. 安全关联(Security Association,简称SA)安全关联是IPsec协议中的一个重要概念,它定义了两个通信节点之间的安全参数,如安全策略、加密算法、认证算法等。
通信双方需要事先协商并建立安全关联,以便在通信过程中使用相同的安全参数。
2. 认证(Authentication)IPsec协议使用数字签名技术对通信的数据进行认证,确保通信的双方是合法的,并且数据在传输过程中没有被篡改。
数字签名技术使用了非对称加密算法,通信的发送方使用私钥对数据进行签名,接收方使用公钥验证签名的合法性。
3. 加密(Encryption)加密是IPsec协议中的核心功能之一。
它通过使用对称加密算法对通信的数据进行加密,以确保数据在传输过程中不能被窃听或伪造。
加密算法需要事先协商并在安全关联中定义,通信双方使用相同的加密算法和密钥来进行加密和解密操作。
4. 安全策略(Security Policy)安全策略定义了哪些数据需要加密、哪些数据需要认证等安全操作。
安全策略可以根据具体的应用场景和需求来制定,并在安全关联中进行配置和管理。
三、IPsec协议的应用场景1. 远程访问VPN在远程访问VPN(Virtual Private Network)中,IPsec协议可以用于建立安全的通信隧道,将远程用户的数据安全地传输到企业内部网络。
IPsecESP协议
IPsecESP协议IPsec(Internet Protocol Security)是一种用于保护互联网传输的安全协议,它通过对传输的数据进行加密和身份验证,确保数据在传输过程中的安全性和完整性。
在IPsec协议中,ESP(Encapsulated Security Payload)是一个重要的子协议,用于数据加密和认证。
本文将详细介绍IPsecESP协议的原理和应用。
一、IPsecESP协议的原理IPsecESP协议主要通过两个关键机制来保证数据的安全传输:加密(Encryption)和认证(Authentication)。
1. 加密机制:加密是IPsecESP协议的核心功能,它用于保护数据的机密性。
IPsecESP协议使用对称密钥加密算法,如AES(Advanced Encryption Standard)或3DES(Triple Data Encryption Standard),对传输的数据进行加密。
加密后的数据只有在传输目的地处将被解密,从而保护数据在传输过程中不被窃听或篡改。
2. 认证机制:认证是IPsecESP协议的另一个重要功能,它用于确保数据的真实性和完整性。
IPsecESP协议使用HMAC(Hash-based Message Authentication Code)算法,如SHA-256,对数据进行认证。
发送方在发送数据之前对数据进行哈希运算,然后将哈希值附加到数据之后一同传输。
接收方在接收到数据后,进行相同的哈希运算,并与接收到的哈希值进行比较,从而验证数据的完整性和真实性。
二、IPsecESP协议的应用IPsecESP协议广泛应用于保护互联网络传输中的敏感数据,主要有以下几个方面的应用。
1. 远程访问VPN(Virtual Private Network):远程访问VPN是通过公共网络建立起私密通信通道,以实现用户与内部网络的安全远程访问。
IPsecESP协议可用于保护远程访问VPN 中的数据传输,确保用户在互联网上的数据传输安全可靠。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
竭诚为您提供优质文档/双击可除ipsec协议的应用篇一:ipsec协议ipsec协议ipsec协议1ipsec协议概述2ipsecVpn工作原理4.2.1隧道建立方式2.2数据保护方式2.3ipsec协议体系结构3ipsec的优点1ipsec协议概述ipsec是一系列基于ip网络(包括intranet、extranet 和internet)的,由ietF正式定制的开放性ip安全标准,是虚拟专网的基础,已经相当成熟可靠。
ipsec可以保证局域网、专用或公用的广域网及internet上信息传输的安全。
①保证internet上各分支办公点的安全连接:公司可以借助internet或公用的广域网搭建安全的虚拟专用网络。
这使得公司可以不必耗巨资去建立自己的专用网络,而只需依托internet即可以获得同样的效果。
②保证internet上远程访问的安全:在计算机上装有ipsec的终端用户可以通过拨入所在地的isp的方式获得对公司网络的安全访问权。
这一做法降低了流动办公雇员及远距离工作者的长途电话费用。
③通过外部网或内部网建立与合作伙伴的联系:ipsec 通过认证和钥匙交换机制确保企业与其它组织的信息往来的安全性与机密性。
④提高了电子商务的安全性:尽管在电子商务的许多应用中已嵌入了一些安全协议,ipsec的使用仍可以使其安全级别在原有的基础上更进一步,因为所有由网络管理员指定的通信都是经过加密和认证的。
ipsec的主要特征在于它可以对所有ip级的通信进行加密和认证,正是这一点才使ipsec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及web访问在内多种应用程序的安全。
ipsec在传输层之下,对于应用程序来说是透明的。
当在路由器或防火墙上安装ipsec时,无需更改用户或服务器系统中的软件设置。
即使在终端系统中执行ipsec,应用程序一类的上层软件也不会被影响。
ipsec对终端用户来说是透明的,因此不(ipsec协议的应用)必对用户进行安全机制的培训。
如果需要的话,ipsec 可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。
ipsec正向internet靠拢。
已经有一些机构部分或全部执行了ipsec。
iab的前任总裁christianhuitema认为,关于如何保证internet安全的讨论是他所见过的最激烈的讨论之一。
讨论的话题之一就是安全是否在恰当的协议层上被使用。
想要提供ip级的安全,ipsec必须成为配置在所有相关平台(包括windowsnt,unix和macintosh系统)的网络代码中的一部分。
实际上,现在发行的许多internet应用软件中已包含了安全特征。
例如,netscapenavigator和microsoftinternetexplorer支持保护互联网通信的安全套层协议(ssl),还有一部分产品支持保护internet上信用卡交易的安全电子交易协议(set)。
然而,Vpn需要的是网络级的功能,这也正是ipsec所提供的。
2ipsecVpn工作原理当ipsec用于路由器时,就可以建立虚拟专用网。
在路由器的连内部网的一端,是一个受保护的网络,另一端则是不安全的公共网络。
两个这样的路由器建立起一个安全通道,通信就可以通过这个通道从一个本地的保护子网发送到一个远程的保护子网,这就形成了一个Vpn。
4.2.1隧道建立方式ipsecVpn隧道的建立过程可以分为二个阶段:第一阶段有二种模式:主模式或主动模式和第二阶段:快速模式。
第一阶段有三个任务必须完成:①协商一系列算法和参数(这些算法和参数用于保护隧道建立过程中的数据)。
②必须计算出二边使用的加密key值,例如,二边使用3des算法密,3des算法则需要一个密码,这个密码两端端必须一样,但又不能在链路上传递。
③对等体的验证,如何才能知道对端就是我要与之通信的对端.这里验证有三种方法:预共享,数字签名,加密临时值。
这一系列过程都是ike这个协议来实现。
第一阶段三个任务,分别用6个消息来完成,每二个为一组。
第一个消息由隧道的发起者发起,携带了如这样一些参数,如加密机制-des,散列机制-md5-hmac,diffie-hellman组-2,认证机制-预共享。
第二个消息由响应者回应,内容基本一样,主要与发起者比较,是否与发起者匹配,不匹配就进行下一组的比较.如果最终都找不到匹配,隧道就停止建立。
第三个消息由发起者发出,但是在发出这个消息之前,有个过程必须先完成,就是diffie-hellman算法过程。
该过程的目的是什么呢刚刚第一二条消息中所协商的算法它们必须需要一个key,这个key在二个对等体上必须一样,但同时这个key不能在链路中传递,因为传递key是一个不安全的手段.所以,该过程的目的是分别在二个对等间独立地生成一个dh公共值,该公共值有什么用呢?因为二个对等体上都生成该dh公共值后,它们会在接下来的第三第四消息中传送给对方,打个比方,就是a收到了b的dh公共值,b收到了a的dh公共值.当a,b都收到了对方的该公共值后,问题就好解决了.因为有一个公式在数学中被论证成立,那么现在借助该公式,就可以在二个对等上生成一个只有他们二个对等体知道的相同的key,该公式为发起者密秘=(xb)amodp=(xa)bmodp=响应者密秘注意,这个密秘不是最终算法中使用的key,但二个对等体通过该key材料来生成另个三个密钥,分别是: skeyid_d--此密钥被用于计算后续ipsec密钥资源。
skeyid_a--此密钥被用于提供后续ike消息的数据完整性以及认证。
skeyid_e--此密钥被用于对后续ike消息进行加密。
所以由发起者发起的第三条消息主要是向对等体发送自己的dh公共值。
第四条消息由响应者向发起者发送,主要是向发送者发送自己的dh公共值.由于第一二条消息的算法,第三四条消息生成的key,所以在后续的第五六条消息就能被加密传送.第五条消息由发起者向响应者发送,主要是为了验证对端自己就是自己想要与之通信的对端.这可以通过预共享,数字签名,加密临时值来实现.。
第六条消息由响应者向发起者发送,主要目的和第五条一样。
第二阶段只有一任务必须完成:在二个对等体间协商产生ipsec联盟的属性,安全联盟可以加密二个对等体间的数据,这才是真正的需要加密的用户数据,至此,隧道才真正建立起来。
在第一阶段的六条消息过后,就进入了第二阶段:快速模式,快速模式使用二条消息来实现:发起者会在第一条消息中发送ipsecsa的转换属性,如:封装--esp,完整性检验--sha-hmac,dh组--2,模式--隧道,响应者向发起者发送第二条消息,同意第一条消息中的属性,同时也能起到确认收到对端消息的作用。
这一步一旦完成,隧道就建立起来了,用户的数据就能被放入隧道中传送。
ipsec隧道建立过程类似于tcp三次握手,如下图所示:图1“三次”握手隧道的建立过程1)客户端向服务器端发送一个syn置位的tcp报文;2)服务器端接收到客户端发送过来的syn报文后,向客户端发送一个syn和ack都置位的tcp报文,其中包括确认号为x+1和服务器的初始序列号y;3)客户端收到服务器返回的syn+ack报文后,向服务器返回一个确认号为y+1序列号为x+1的ack报文。
2.2数据保护方式ipsec提供三种不同的形式来保护通过公有或私有ip网络来传送的私有数据:①认证:可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
②数据完整:保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
③机密性:使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容。
在ipsec由三个基本要素来提供以上三种保护形式:认证协议头(ah)、安全加载封装(esp)和互联网密钥管理协议(ikmp)。
认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。
对于Vpn来说,认证和加密都是必需的,因为只有双重安全措施才能确保未经授权的用户不能进入Vpn,同时,internet上的窃听者无法读取Vpn上传输的信息。
大部分的应用实例中都采用了esp而不是ah。
密钥交换功能允许手工或自动交换密钥。
当前的ipsec支持数据加密标准(des),但也可以使用其它多种加密算法。
因为人们对des的安全性有所怀疑,所以用户会选择使用triple-des(即三次des加密)。
至于认证技术,将会推出一个叫作hmac(mac即信息认证代码messageauthenticationcode)的新概念。
2.3ipsec协议体系结构ipsec将几种安全技术结合形成一个完整的安全体系,它包括安全协议部分和密匙协商部分。
这些协议之间的相互关系如图2所示:图2ipsec协议体系①安全关联和安全策略:安全关联(securityassociation,sa)是构成ipsec的基础,是两个通信实体经协商建立起来的一种协定,它们决定了用来保护数据包安全的安全协议(ah协或者esp协议)、转码方式、密匙及密匙的有效存在时间等等。
②ipsec协议的运行模式:ipsec协议的运行模式有两种,ipsec隧道模式及ipsec传输模式。
隧道模式的特点是数据包最终的目的地不是安全的终点。
通常情况下,只有ipsec双方有一方是安全网关或路由器,就必须使用隧道模式。
传输模式下,ipsec主要对上层协议即ip包的载荷进行封装保护,通常情况下,传输模式只用于两台主机之间的安全通信。
③认证协议头(ah)是在所有数据包头加入一个密码。
正如整个名称所示,ah通过一个只有密钥持有人才知道的"数字签名"来对用户进行认证。
这个签名是数据包通过特别的算法得出的独特结果;ah还能维持数据的完整性,因为在传输过程中无论多小的变化被加载,数据包头的数字签名都能把它检测出来。
不过由于ah不能加密数据包所加载的内容,因而它不保证任何的机密性。
两个最普遍的ah标准是md5和sha-1,md5使用最高到128位的密匙,而sha-1通过最高到160位密匙提供更强的保护。
④安全加载封装(esp)通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性,这样可以避免其他用户通过监听来打开信息交换的内容,因为只有受信任的用户拥有密匙打开内容。
esp也能提供认证和维持数据的完整性。
最主要的esp标准是数据加密标准(des),des 最高支持56位的密匙,而triple-des使用三套密匙加密,那就相当于使用最高到168位的密匙。
由于esp实际上加密所有的数据,因而它比ah需要更多的处理时间,从而导致。