IPsec
工作在 传输层之下,IP协议之上。提供了传输网络成的安全。
IPsec 主要有两个协议:AH(Authentication Header,认证头部)协议和 ESP(Encapsulation security payload,封装安全载荷)协议。
IPsec 通信之前需要握手,建立安全关联(SA,Security association)。每个SA都是单向的,每个AS的标识为:协议(AH或ESP)、源IP地址、32bit的连接ID。
AH 协议
AH协议提供了可认证性和完整性,但是不提供私密性。
在IP头部信息之后插入了一个AH头部信息。AH头部信息包括认证数据,原始数据的摘要签名。
ESP 协议
ESP协议提供了私密性、可认证性和完整性。
ESP协议在IP后插入了ESP头部,ESP头部与AH头部类似。在数据段之后添加了ESP尾部信息,并使用了接收端的公钥加密了数据段和ESP尾部。在最后还有ESP认证信息。