安全服务
完整性
完整性保护信息在传输过程中免遭未经授权的修改,从而保证接收到的信息与发送的信息完全相同。数学散列函数用来唯一地标记或“签发”每个包。接收端的计算机在打开包之前检查签名。如果签名改变(因而,数据包当然也改变),数据包就会被丢弃以防止可能的网络攻击。
身份验证
身份验证通过保证每个计算机的真实身份来检查消息的来源以及完整性。没有可靠的身份验证,不明来历的计算机发送的任何信息都是不可信的。在每一项策略中都会列出多种身份验证方法,以保证 Windows 2000 域成员、没有运行 Windows 2000 的计算机及远程计算机都能找到一个通用的身份验证方法。
机密性(数据加密)
机密性保证只有预期的接收者才能读出数据。当选择该特性后,将使用 IPSec 数据包的封装安全负载 (ESP) 格式。数据包在传输之前先加密,确保其在传输过程中即使被攻击者监视或截取也不会暴漏。只有具有共享密钥的计算机能够解释或修改数据。美国数据加密标准 (DES) 算法 DES 和 3DES 可提供安全协商和应用程序数据交换两方面的保密性。密码数据块链 (CBC) 用于隐藏数据包中数据块的模式,加密后不增加数据的大小。重复的加密模式可能为攻击者提供解开密钥的线索,从而使安全性受到威胁。初始化向量(一个初始的随机数)可用作加密或解密数据块的第一个随机块。不同的随机块可与密钥结合使用,以便加密每个块。这将保证相同的不安全数据集被转换为不同的加密数据集。
认可
保证邮件的发件人只能是发送该邮件的人;发送者不能抵赖曾经发送过该邮件。
反重发
又称作禁止重发,它保证每个 IP 包的唯一性。由攻击者捕获的邮件不能被重用或重发以非法建立会话或获取信息。
【责任编辑:小木工】
