网络安全
在 IP 传输层(网络层 3)实现 IPSec 会启用开销很小的高级保护。配置使用 IPSec 不需要更改已有的应用程序或操作系统。可以配置 IPSec 用于已有的企业方案,例如:工作组;局域网 (LAN):客户/服务器,对等网;远程访问:漫游客户、Internet 访问、Extranet、远程办事处。
其他在网络层3以上运行的安全机制(例如安全套接层,SSL)仅保护会使用 SSL 的应用程序,例如 Web 浏览器。必须修改所有其他的应用程序以使用 SSL 保护通讯。其他在网络层 3 以下运行的安全机制(例如链接层加密)仅保护该链接,而不必保护数据路径上的所有链接。这使得链接层加密无法适用于 Internet 或路由 Intranet 方案上的端对端数据保护。
在网络层 3 上执行的 IPSec 保护 TCP/IP 协议簇中所有 IP 和更高层的协议,例如 TCP、UDP、ICMP、Raw(协议 255),甚至保护在 IP 层上发送通讯的自定义协议。保护此层信息的主要好处是所有使用 IP 传输数据的应用程序和服务均可以使用 IPSec 保护,而不必修改这些应用程序和服务。(要保护非 IP 协议,数据包必须由 IP 封装。)
IPSec 的密钥保护
IPSec 保护数据将让攻击者感到破解相当困难或根本不可能。算法和密钥的组合用于保护信息。通过使用基于加密的算法和密钥获得高安全级。算法是用来保护信息的数学过程,密钥是需要读取、修改或验证所保护数据的密码或数字。
IPSec 使用以下特性大幅度地阻止并减少网络攻击:
自动密钥管理
密钥生成
要启用安全通讯,两台计算机必须可以建立相同的共享密钥,而不能通过网络在相互之间发送密钥。IPSec 使用 Diffie-Hellman 算法启用密钥交换,并为所有其他加密密钥提供加密材料。
两台计算机启动 Diffie-Hellman 计算,然后公开或秘密(使用身份验证)交换中间结果。计算机从来不发送真正的密钥。通过使用来自交换的共享信息,每台计算机都生成相同的密钥。专家级用户可以修改默认密钥交换及数据加密密钥设置。
密钥长度
每当密钥的长度增加一位,可能的密钥数会加倍,破解密钥的难度也会成倍加大。两台计算机之间的 IPSec 安全协商生成两种类型的共享密钥:主密钥和会话密钥。主密钥很长,有 768 位或 1023 位。主密钥用作会话密钥的源。会话密钥由主密钥通过一种标准方法生成,每种加密和完整性算法都需要会话密钥。
