上QQ阅读APP看书,第一时间看更新
第3章 IPSec基本理论
3.1 基本原理介绍
IPSec 是一项标准的安全技术,它通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全。IPSec主要用于保护网络层(IP)数据,因此它提供了网络层的安全性。
图3-1所示为IPSec封装的示意图。
图3-1 IPSec封装示意图
图3-1上半部分所示是一个普通的IP数据包,下半部分所示是被IPSec加密后的数据包格式。不难看出IPSec技术在原始IP头部和IP负载之间插入了一个IPSec头部,这样可以对原始的IP负载实现加密,同时还可以实现对IPSec头部和原始IP负载的验证,以确保数据的完整性。
与我们在前一章中介绍的GRE技术相比,IPSec技术可以提供更多的安全特性,它对VPN流量提供了如下3个方面的保护。
私密性(Confidentiality):数据私密性也就是对数据进行加密。这样一来,即使第三方能够捕获加密后的数据,也不能将其恢复成明文。
完整性(Integrity):完整性确保数据在传输过程中没有被第三方篡改。
源认证(Authenticity):源认证也就是对发送数据包的源进行认证,确保是合法的源发送了此数据包。