IPsec 在 IP 層提供安全服務(wù),它使系統(tǒng)能按需選擇安全協(xié)議,決定服務(wù)所使用的算法及放置需求服務(wù)所需密鑰到相應(yīng)位置。 IPsec 用來保護一條或多條主機與主機間、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)間、安全網(wǎng)關(guān)與主機間的路徑。
IPsec 能提供的安全服務(wù)集包括訪問控制、無連接的完整性、數(shù)據(jù)源認(rèn)證、拒絕重發(fā)包(部分序列完整性形式)、保密性和有限傳輸流保密性。因為這些服務(wù)均在 IP 層提供,所以任何高層協(xié)議均能使用它們,例如TCP 、 UDP 、ICMP 、 BGP 等等。
這些目標(biāo)是通過使用兩大傳輸安全協(xié)議,頭部認(rèn)證(AH) 和封裝安全負(fù)載 (ESP),以及密鑰管理程序和協(xié)議的使用來完成的。所需的 IPsec 協(xié)議集內(nèi)容及其使用的方式是由用戶、應(yīng)用程序、和/或站點、組織對安全和系統(tǒng)的需求來決定。
當(dāng)正確的實現(xiàn)、使用這些機制時,它們不應(yīng)該對不使用這些安全機制保護傳輸?shù)挠脩、主機和其他英特網(wǎng)部分產(chǎn)生負(fù)面的影響。這些機制也被設(shè)計成算法獨立的。這種模塊性允許選擇不同的算法集而不影響其他部分的實現(xiàn)。例如:如果需要,不同的用戶通訊可以采用不同的算法集。
定義一個標(biāo)準(zhǔn)的默認(rèn)算法集可以使得全球因英特網(wǎng)更容易協(xié)同工作。這些算法輔以 IPsec 傳輸保護和密鑰管理協(xié)議的使用為系統(tǒng)和應(yīng)用開發(fā)者部署高質(zhì)量的因特網(wǎng)層的加密的安全技術(shù)提供了途徑。
來源:安全中國網(wǎng)