4.2 常用网络安全协议的作用










                      4.2.3  IPSec协议




                         网际协议安全性（Internet Protocol Security，缩写为IPSec）是由国际互联网工程任务
                    组于1998年制定的一组安全协议簇。在网络活动中，IP通信可能会遭受窃听、篡改、IP欺
                    骗、重放等攻击。IPSec可以为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听

                    和篡改，保护数据的完整性和机密性，防止重放攻击，有效抵御网络攻击，同时保持易用性。
                         1．IPSec安全机制
                         IPSec提供了两种安全机制：认证机制和加密机制。认证机制使得通信的数据接收方
                                             广东教育出版社
                    能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据
                    进行编码来保证数据的机密性，以防数据在传输过程中被窃听。
                         2．IPSec体系结构
                         IPSec的两个主要功能是认证和加密，并可通过认证头（Authentication Header，缩写为

                    AH）和封装安全载荷（Encapsulating Security Payload，缩写为ESP）两个协议实现。IPSec
                    还需要有密钥的管理和交换功能，以便为认证和加密提供所需要的密钥，并对密钥的使用
                    实施管理，通过互联网密钥交换（Internet Key Exchange，缩写为IKE）协议就可以完成。

                    为了在网络层提供灵活的安全服务，IPSec将几种安全技术结合形成一个完整的体系结
                    构，如图4-13所示。



















                                                      图4-13  IPSec体系结构



                         IPSec协议通过对以上组件的定义和整合，给出了一个网络层的安全框架。由此可
                    见，IPSec并不是一个单独的协议，而是一组复杂的安全协议簇，它实现了在互联网上按
                    预定的规则设定安全机制，然后对信息进行加密、认证和传输。安全机制的设置由IKE、
                    SA和DOI进行，信息的加密、认证和传输由体系结构文档、ESP、AH、加密算法和认证算

                    法实现。通过把IPSec当成安全补丁应用于现有的TCP/IP网络环境下，可以实现网络的安全
                    访问。







                                                                                                                    85 85







          9        9     JOEE