(1) IPsec
IPsec(IP security,IP网络层安全标准)支持IPv4和IPv6,可以“无缝”地为IP层引入安全特性,并为数据源提供身份验证、完整性检查及机密性保证机制。
IPsec为一组协议,包括安全协议及相关安全参数的密钥管理协议部分。它为数据源提供身份验证、完整性检查及机密性保证机制。
IPsec在两个端点之间建立SA (security association,安全联盟)进行数据的安全传输。SA定义了数据保护中使用的协议和算法,以及SA有效时间等属性。
IPsec在转发加密数据时产生新的AH、ESP或(AH与ESP)附加报头,且被加密,附加报头和加密用户数据被封装在一个新的IP数据分组中;传输方式中,只是传输层(如TCP、UDP、ICMP)数据被用来计算附加报头,附加报头和被加密的传输层数据被放置在原来IP报头的后面。
IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的数据保护。在两个端点之间可以建立多个SA,并结合访问控制列表,使IPsec可以对不同的数据流实施不同的保护策略。由于SA是单向的,通常两个端点之间存在4个SA,其中每个端点有两个SA: -个用于数据分组发送,另一个用于接收。