十分鐘讓您分析ipsec包括哪些協議？具體為ipsec協議是由一系列協議構成的協議套件,主要是3部分構成,分別是驗證頭(AH,RFC 2402)協議、封裝安全載荷(ESP,RFC 2406)協議與互聯網密鑰交換協議。

1.AH協議

設計AH協議是為了提升IP數據報的安全性。AH向IP數據包給出這3種服務:數據完整性驗證由哈希函數得到的校驗保證;數據源身份認證在計算機驗證碼時添進1個共享密鑰達到;AH報頭裏的序列號可防止重放攻擊。但AH無保密性服務,其對保護的數據包不實施加密。

AH藉助消息驗證碼認證IP,MAC是一種算法,它接收隨意長度的消息與一個密鑰,生成一個確定長度的輸出,成為消息摘要或指紋,若數據報的任意部分在傳送中被改,則在接收端運行一樣的MAC算法,並與發送端發送的消息摘要值比較時,就會被檢測出來。

最常見的MAC為HMAC,HMAC可與任意疊代密碼散列函數結合起來用,卻不用修改散列函數。

AH被用在除在傳輸中易變的IP報頭域外的整個數據包。

2.ESP協議

ESP協議可被用於給出保密性、數據來源認證、無連接完整性、防重放服務,及利用防止數據流分析來给予有限的數據流加密保護。事實上,ESP給出與AH相似的服務,不過加入了2個額外的服務:數據保密與有限的數據流保密服務。保密服務藉助密碼算法對IP數據報的有關部分進行加密實現。數據流保密顺利获得隧道模式時的保密服務給出。

ESP中進行加密數據報的密碼算法均用了對稱密鑰體制。公鑰密碼算法用計算量非常大的大整數的模指數運算。對稱密碼算法主要用初級操作,無論以軟件或硬件執行均特別有效。因此對公鑰密碼系統來說,對稱密鑰系統的加、解密效率要高很多。ESP利用在IP層加密數據包來給出保密性,它支持各種對稱的加密算法,對於IPSec的默認算法是56bit的DES,此加密算實施可確保IPSec設備間的互操作性。ESP用消息認證碼給出認證服務。ESP可獨立應用,還能用嵌套的方式或結合AH用。