正确答案
IPSec众多的RFC通过关系图组织在一起,它包含了三个最重要的协议:AH、ESP、IKE。
(1)AH为IP数据包提供如下3种服务:无连接的数据完整性验证、数据源身份认证和防重放攻击。数据完整性验证通过哈希函数(如MD5)产生的校验来保证;数据源身份认证通过在计算验证码时加入一个共享密钥来实现;AH报头中的序列号可以防止重放攻击。
(2)ESP除了为IP数据包提供AH已有的3种服务外,还提供数据包加密和数据流加密,数据流加密一般用于支持IPSec的路由器,源端路由器并不关心IP包的内容,对整个IP包进行加密后传输,目的端路由器将该包解密后将原始数据包继续转发。AH和ESP可以单独使用,也可以嵌套使用。可以在两台主机、两台安全网关(防火墙和路由器),或者主机与安全网关之间使用。
(3)IKE负责密钥管理,定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE将密钥协商的结果保留在安全联盟(SA)中,供AH和ESP以后通信时使用。解释域(DOI)为使用IKE进行协商SA的协议统一分配标识符。