|
IPSec 是一种高健壮性、高扩展性的安全机制,对数据的保护覆盖面广,包括机密性、完整性、身份验证、抗重播、反通信分析保护等。对希望获取 IP 安全保护的协议没有过多的要求。因此,IPSec 适用面非常广泛,基本上对任何一种通信都适用。  (1) IPSec 可保护端到端安全 当 IPSec 存在于主机端时,IP 的数据包可以从数据发出源一直到数据接收点,获得全程的安全保护。亦可以同时应用传送模式和隧道模式,不同之处在于隧道模式需要提供额外的 IP 头,增加开销。 (2) 虚拟专用网络 当在一种网络中介设备上利用 IPSec,例如路由器、防火墙、安全网关等,则会形成一个虚拟专用网络。从传统的专线网络转移到对公共网络的利用,极大降低了运营成本,同时虚拟网络也实现了对数据的保护。 通过在路由器或者安全网关上配置 IPSec,将两个应用 IPSec 的实体之间连接成一个安全隧道。虚拟网络的所有数据都经过两端路由器的加密和认证,所有的数据包都经过路由器或者安全网关上的 SA。在这种情况下,窃听者唯一可以得到的信息就是正在使用的 SPI。但是由于 IKE 的加密,无法从 SPI 中得到通信内容,保证了数据的安全。在虚拟网络通信中,通信的源端或目的端都是受保护的网络,所以必须应用隧道模式。 (3)移动终端用户 在端到端用户中,由主机通过加密或解密保护数据的安全。在虚拟网络中,通过路由器或者安全网关对数据进行保护。而移动终端用户正是两者结合,在移动用户端采用主机实施,而在对端采用路由器或者安全网关实施。移动用户终端一般不固定停留,但同时要求能够以安全的形式访问虚拟网络。在移动终端方案中,有移动终端自带的 IPSec 对数据进行保护。受保护的范围从两个路由器之间扩大到了一个路由器和一个对端主机之间。 |
|
|
