現(xiàn)在因特網(wǎng)的網(wǎng)絡(luò)層安全協(xié)議IPscc已在很多的RFC文檔中給出了詳細(xì)的描述。IPscc就是“IP安全6ccur燈)協(xié)議”的縮寫。在這些文檔中,LM4863MTE最重要的就是描述IP安全體系結(jié)構(gòu)的m℃43o1和提供IPsec協(xié)議族概述的RFC2411。在IPsec協(xié)議族中有兩個(gè)最主要的協(xié)

議:鑒別首部AH lAuthClltic肫ion Hcadcr)協(xié)議和封裝安全有效載荷EsP lFncapsulationecLlrity Pγload)協(xié)議。AH協(xié)議提供源點(diǎn)鑒別和數(shù)據(jù)完整性,但不能保密。而ESP協(xié)議比AH協(xié)議復(fù)雜得多,它提供源點(diǎn)鑒別、數(shù)據(jù)完整性和保密。IPscc支持IPv4和IPv6。在IPⅤ6

中,AH和ESP都是擴(kuò)展首部的一部分。AH協(xié)議的功能都已包含在EsP協(xié)議中,因此使用EsP協(xié)議就可以不使用AH協(xié)議。但AH協(xié)議早已使用在一些商品中,因此現(xiàn)在AH協(xié)議還沒(méi)有被廢棄。下面我們不再討論AH協(xié)議,而只介紹EsP協(xié)議的要點(diǎn)。

   使用IP∞c協(xié)議的IP數(shù)據(jù)報(bào)稱為IPscc數(shù)據(jù)報(bào),它可以在兩個(gè)主機(jī)之間、兩個(gè)路由器之間或在一個(gè)主機(jī)和一個(gè)路由器之間發(fā)送。在發(fā)送IPscc數(shù)據(jù)報(bào)之前,在源實(shí)體和目的實(shí)體之間必須創(chuàng)建一條網(wǎng)絡(luò)層的邏輯連接,即安全關(guān)聯(lián)sA(SecLlrity Association)。這樣,IPsec就

把傳統(tǒng)的因特網(wǎng)無(wú)連接的網(wǎng)絡(luò)層變?yōu)榫哂羞壿嬤B接的一個(gè)層。安全關(guān)聯(lián)是從源點(diǎn)到終點(diǎn)的單向連接,它能夠提供安全服務(wù)。如要進(jìn)行雙向的安全通信,則需要建立兩個(gè)方向的安全關(guān)聯(lián)。假定某公司有一個(gè)公司總部和在外地的一個(gè)分公司�？偛啃枰瓦@個(gè)分公司以及分公司中的刀個(gè)員工進(jìn)行安全的雙向通信。那么,在這種情況下,一共需要?jiǎng)?chuàng)建⑿+2⑷條安全關(guān)聯(lián)sA。在這些安全關(guān)聯(lián)sA上傳送的就是安全的IPsec數(shù)據(jù)報(bào)。圖⒎12是一條從路由器R1到△的安全關(guān)聯(lián)sA的示意圖。IPscc數(shù)據(jù)報(bào)就是在安全關(guān)聯(lián)sA連接上傳送的。