IPSec与SSL

Internet协议安全（IPSec）和安全套接字层（SSL）用于确保计算机之间的安全数据传输。安全套接字层（SSL）协议主要用于验证web服务器和web浏览器之间的web事务。开发SSL的主要目的是为金融交易、网上银行、股票交易等交易提供安全保障。另一方面，因特网协议安全（IPSec）正致力于OSI模型的第三层，它是一个多服务、多算法和多粒度的框架。引入IPSec的主要原因之一是很难将所有应用程序更改为具有端到端（在应用程序层）安全性、加密和完整性检查。

SSL

简单地说，SSL就是维护web中的安全连接。以前，web只使用静态页面，安全性并不是什么大问题。然而，随着时间的推移，公司需要进行涉及非常重要数据的交易。因此，一家名为Netscape Communicati*** Corp的公司引入了SSL，以增强安全连接。SSL被引入到应用层和传输层之间的新层中。该层的主要功能是压缩和加密数据。此外，它还具有自动确定数据是否在传输过程中被更改的机制。最常见的是，SSL用于web浏览器，但也可以用于其他应用程序。当HTML与SSL一起使用时，称为HTTPS。SSL使用两个子协议：

• 建立安全连接的一个
• 另一个用它

简言之，在建立A和B之间的联系时会发生以下情况：

• 发送一个请求，指定要使用的SSL版本和算法，以及一个将在稍后使用的随机数。
• B发送它的公钥和生成的随机数，并请求a的公钥。
• 发送用随机数加密的公钥（预主密钥）。用于加密的会话密钥由预主密钥和上面生成的随机数生成。
• A和B都可以计算会话密钥。B根据A的要求更改密码
• 双方均承认制定了分议定书

其次，将第二个子协议应用于实际传输中。这是通过中断和压缩浏览器消息并使用哈希算法向每个片段添加MAC（消息认证码）来完成的。

IPSec

IPSec通过扩展IP包报头在网络层运行。IPSec是一个用于多种服务（保密性、数据完整性等）、算法和粒度的框架。IPSec使用多个算法来确保在一个算法不再安全的情况下，还有其他选项作为备份。多粒度用于保护单个TCP连接。IPSec中的端到端连接称为安全关联（SA），它涉及安全标识符。SA可在两种主要模式下工作：

• 运输方式
• 隧道模式

在传输模式下，在IP报头之后附加一个报头。这个新的头包括SA标识符、序列号、完整性检查和其他安全信息。在隧道模式下，IP包、报头和所有的都被封装成一个新的IP包和一个新的IP报头。隧道模式可用于干扰入侵者的流量分析。与传输模式相比，隧道模式增加了一个额外的IP报头；因此，增加了数据包的大小。IPSec头在两个

• 身份验证标头
• 提供完整性检查和反重播威胁
• 封装安全有效负荷
• 提供保密