IPSec主要关注的是在IP层既执行加密(ESP)认证(AH),并执行安全密钥交换(IKE,其中又用了diffe-hellman 密钥交换算法),主要目的就是在包的基础上就执行安全策略进行保护及认证。
同时提供了传输模式(transport mode)以及管道模式(tunnel mode),管道模式目的是支持由防火墙之类的中间网关进行ESP封装加密,这样不仅两端能对ip包加密也可以在传输中间对ip包进行加密认证。
如图所示是ipSec需要建立的链路及模块,上面的IKE是internet key exchange(IKEv2),即密钥交换方法。下面则是ipsec本身要做的事。ipsec本身是一个框架,具体用什么加密算法由使用方按需定制(SHA256,AES等)
ipsec发明于1993年,在1995年成为开放标准。数以百计的厂商支持ipsec,目前对Ipsec 应用比较广泛的是用tunnel mode 实现的VPN,但在其它领域并没有见它的太多广泛应用。
总结一下书中提到的它的优点:
当IPSec在防火墙或路由器中实现时,它提供了强大的安全性&