IPSec協議是IETF在1998年公佈的IP安全標準,它是在IP層上高強度的安全處理了數據包,有訪問控制��、無連接的完整性���、數據源認證����、抗重播保護����、保密性和有限傳輸流保密性在內的服務,這些服務保護IP及其上層協議。IPSec給出了標準����、健壯��、包容廣泛��、易擴展����、完整的基礎網絡安全方案,如今被廣泛用在做到端到端的安全���、虛擬專用網和安全隧道,是一種能給一切形式的Internet通信給出安全保障的協議。
IPSec協議是一個協議簇,它包含ESP協議����、AH協議和IKE協議等。
1.ESP(封裝安全載荷)
ESP機制把完整IP分組或上層協議部分封裝進ESP載荷中,然後對該載荷做對應的安全處理,如加密���、鑑別等,來保護通信的機密性和安全性。
2.AH(驗證報頭)
AH機制主要為通信給出完整驗證性服務,還能為加密和抗重放攻擊給出服務。
3.加密算法
描述加密算法如何用在ESP中,默認算法是DES-CBC。
4.驗證算法
描述身份驗證算法怎樣用在AH協議與ESP協議中的選項,默認算法有HMAC-MD5和HMAC-SHA1。
5.密鑰管理
密鑰管理的一組方案IKE是默認的密鑰交換協議。
6.解釋域
有關的標準符與運作參數,實際是放IPSec安全參數的數據庫,該參數可與IPSec服務對應的系統參考並調用。
7.策略
它決定兩個實體間是否能通信和怎樣通信,策略的核心由SA���、SAD���、SPD構成。安全策略數據庫對IPsec策略加以維護。在SPD中,每個條目都定義了需保護的通信類別���、方法及誰共享。進入或離開IP堆棧的數據包都得檢索SPD,調查可能的安全應用。每個SPD條目都要定義對數據包的處理動作,這個動作是丟棄��、透傳或應用IPSec處理中的一種。其中,若SPD項定義的動作為應用IPSec處理,會指向一個或一套安全聯盟即對數據包安全保護。SA代表策略實施的細節,有源地址����、目的地址��、應用協議����、SPI��、所用算法��、密鑰��、長度;SAD是進與出包處理維護活動的SA列表。
