IPSec有哪两种主要功能
IPSec有三种功能,前两种为主要功能:
数据的保密性保护:IPSec的ESP协议通过对分组进行加密,使得网络黑客难以破译。根据不同类型的应用需求,ESP可以提供不同强度的加密算法。
完整性保护与身份认证:IPSec为每个IP分组生成一个校验和。通过检查校验和,可以发现数据是否在传输过程中被篡改。同时,IPSec的身份认证机制可检查是否存在IP地址欺骗,有效地防御借用合法地址与用户身份的网络黑客行为。
防止拒绝服务和中间人:IPSec使用IP分组过滤方法,根据IP地址范围、协议、特定协议的端口号来决定哪些数据流可以通过,从而防止了拒绝服务。作为第三方,中间人类似于身份欺骗,IPSec通过双向认证、共享密钥,可以有效地防止中间人。
ipsec具有以下安全特性:
不可否认性:”不可否认性”可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。”不可否认性”是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。但”不可否认性”不是基于认证的共享密钥技术的特征,因为在基于认证的共享密钥技术中,发送方和接收方掌握相同的密钥。
反重播性:”反重播”确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权(即使这种冒取行为发生在数月之后)。
数据完整性:防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。
数据可靠性:在传输前,对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读。该特性在IPSec中为可选项,与IPSec策略的具体设置相关。