网络层安全协议IPSec_单选题 ipsec协议是能够在ip层提供互联网通信安全的协议族,其中提供ip安全数

一、IPSec协议概述 

1、IPsec并不是一个单个的协议，而是能够在IP层提供互联网通信安全的协议族。

2、IPsec是个框架，它允许通信双方选择合适的算法和参数(例如。密。钥长度)。为保证互操作性，IPsec 还包含了所有IPsec的实现都必须有的一套加密算法。

3、IP 几乎不具备任何安全性，不能保证:

■ 数据机密性

■数据完整性

■数据来源认证

由于其在设计和实现上存在安全漏洞，使各种攻击有机可乘。例如:攻击者很容易构造一个包含虚假地址的IP数据报。而IPsec 提供了标准、健壮且包含广泛的机制保证IP层安全。

二、IPSec由三部分组成

1、IP安全数据报格式的两个协议：鉴别首部AH协议，封装安全有效载荷ESP协议

2、有关加密算法的三个协议(在此不讨论)

3、互联网密钥交换 IKE协议

三、IP安全数据报的两种工作方式

1、隧道方式(tunnel mode)

在原始的IP数据报的前后分别添加若干控制信息，再加上新的IP首部，构成一个IP安全数据报。如下图所示：

工作要求： 

■需要在IPsec数据报所经过的所有路由器上都运行IPsec协议。

■隧道方式常用来实现虚拟专用网VPN。

2、运输方式

在整个运输层报文段的前后分别添加若干控制信息，再加上IP首部，构成IP安全数据报。如下图所示：

工作要求：

●适合于主机到主机之间的安全传送。

●需要使用IPsec的主机都运行IPsec协议。

3、总结

■无论使用哪种方式，最后得出的IP安全数据报的IP首部都是不加密的。

■所谓“安全数据报”是指数据报的数据部分是经过加密的，并能够被鉴别的。

■通常把数据报的数据部分称为数据报的有效载荷(payload)。