一、题目
IPSec VPN体系结构主要由以下哪些协议组成?
A. GRE
B. ESP
C. IKE
D. AH
二、答案
BCD
三、解析
负责密钥管理的Internet密钥交换协议IKE(Internet Key Exchange Protocol);
负责将安全服务与使用该服务的通信流相联系的安全关联SA(Security Associations);
直接操作数据包的认证头协议AH(IP Authentication Header)和安全载荷协议ESP(IP Encapsulating Security Payload);
若干用于加密和认证的算法。
所以答案为:BCD
四、扩展 — AH和ESP
AH(认证头)和ESP(封装安全载荷)是两种用于IPSec(Internet Protocol Security,互联网协议安全)的协议,用于提供网络通信的安全性。它们在提供安全服务时有一些不同之处:
- 认证头(AH):
- AH 协议主要提供数据完整性、认证和防篡改功能。
- AH 在 IP 数据报的头部添加额外信息,用于验证数据报的完整性和真实性,但不对数据进行加密。
- AH 对整个 IP 数据报(包括 IP 头部和有效载荷)进行认证,这意味着即使 IP 数据报中的某些部分在传输过程中被修改,接收方也能够检测到篡改或者数据的修改。
- 由于 AH 在对数据报进行认证时涉及 IP 头部,因此当数据报穿过 NAT(网络地址转换)设备时,可能会导致问题,因为 NAT 会更改 IP 头部,这可能破坏 AH 的认证功能。
- 封装安全载荷(ESP):
- ESP 协议提供了数据的机密性、完整性和可选的认证功能。
- ESP 对 IP 数据报的有效载荷部分进行加密,可以保护数据的机密性。
- 与 AH 不同,ESP 可以选择性地提供认证功能,以验证数据的完整性和真实性。如果在 ESP 中选择了认证功能,则会对有效载荷进行认证,但不会涉及 IP 头部。
- ESP 的加密和认证功能使其成为 IPSec 中更常用的协议。
综合来说,AH 主要用于提供数据的完整性和认证,而 ESP 则提供了加密、数据完整性和可选的认证功能。