IPSEC体系结构..docxVIP

IPSec体系结构IP安全(IP Security)体系结构，简称IPSec，是IETF IPSec工作组于1998年制定的一组基于密码学的安全的开放网络安全协议。IPSec工作在IP层，为IP层及其上层协议提供保护。IPSec提供访问控制、无连接的完整性、数据来源验证、防重放保护、保密性、自动密钥管理等安全服务。IPSec独立于算法，并允许用户(或系统管理员)控制所提供的安全服务粒度。比如可以在两台安全网关之间创建一条承载所有流量的加密隧道，也可以在穿越这些安全网关的每对主机之间的每条TCP连接间建立独立的加密隧道。IPSec在传输层之下，对应用程序和终端用户来说是透明的。当在路由器或防火墙上安装IPSec时，无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec，应用程序之类的上层软件也不会受到影响。IPSec的组成IPSec是因特网工程任务组（IETF）定义的一种协议套件，由一系列协议组成，验证头（AH）、封装安全载荷（ESP）、Internet安全关联和密钥管理协议ISAKMP的Internet IP安全解释域（DOI）、ISAKMP、Internet密钥交换（IKE）、IP安全文档指南、OAKLEY密钥确定协议等，它们分别发布在RFC2401～RFC2412的相关文档中。图2.3显示了IPSec的体系结构、组件及各组件间的相互关系。图 2.3 IPSec的