IPsec实现机制

IPsec通过提供以下服务来保护公众IP网络传输的私有数据：

● 访问控制 访问控制是指防止未经授权访问资源。IPsec需要访问控制的资源通常是指主机中的数据和计算能力、安全网关中的本地网及其带宽。IPsec访问控制采用身份认证机制。

● 数据源认证 数据源认证验证了数据源声明的身份，通常与无连接数据的完整性相结合。IPsec利用信息识别机制实现数据源认证服务。

● 机密性和有限传输流量的机密性 相应的接收者可以获得发送的真实内容，而无意获取数据的接收者无法获得数据的真实内容。传输流量有限的秘密服务是指防止通信外部属性（源地址、目的地址、消息长度、通信频率等）的泄露，使攻击者无法分析网络流量，推导传输频率、通信者身份、数据包大小、数据流标识符等信息。

● 无连接完整性和抗重播 无连接完整性服务检查单个数据包是否修改，不要求数据包的到达顺序。IPsec利用数据源认证机制实现无连接完整性服务。IPsec抗重播服务，又称部分序号完整性服务，是指防止攻击者拦截和复制IP包，然后送到目的地。IPsec根据IPsec头部序号字段，采用滑动窗原理，实现抗重播服务。