很多年来,人们一直在争论IP层是否需要身份验证和安全性及相关的用法问题。在IPv6中通过身份验证头(AH)和封装安全性净荷(ESP)头来实现身份验证和安全性,包括安全密码传输、加密和数据包的数字签名。
1、为IP增加安全性
IPv4的目的只是作为简单的网络互通协议,因而其中没有包含安全特性。如果IPv4仅作为研究工具,或者在包括研究、军事、教育和政府网络的相对严格的辖区中作为产品型网络协议而使用,缺乏安全性并不是一个严重的缺陷。但是,随着IP网络在商用和消费网络中的重要性与日俱增,攻击所导致的潜在危害将具有空前的破坏性。
主要内容包括:
- 人们已经为IP定义的安全性目标。
- 这些目标如何满足。
- 这些目标和相关论题如何在IP中定义。
下面将介绍IP的安全性体系结构(又称为IPsec)本身的细节以及为完成上述目标而安装的一些工具。
应注意,RFC 1825以及后续文档中所定义的IPsec提供的是IP的安全性体系结构,而不是Internet的安全性体系结构。两者的区别很重要:IPsec定义了在IP层使用的安全性服务,对IPv4和IPv6都可用。如果在适当的IPv4选项格式中实现AH和ESP头,IPv4也可以使用这种安全性功能,只是在IPv6中更容易实现。
1. 安全性目标
对于安全性,可以定义如下三个公认的目标:
- 身份验证:能够可靠地确定接收到的数据与发送的数据一致,并且确保发送该数据的实体与其所宣称的身份一致。
- 完整性:能够可靠地确定数据在从源到目的地传送的过程中没有被修改。
- 机密性:确保数据只能为预期的接收者使用或读出,而不能为其他任何实体使用或读出。
完整性和身份验证经常密切