原来互联网安全机制只建立于应用程序级,如E-mail加密、SNMPv2网络管理安全、接入安全(HTTP、SSL)等,无法从IP层来保证Internet的安全。IP级的安全保证分组的鉴权和私密特性,其具体实现主要由IP的AH和ESP标记来实现。IPv6实现了IP级的安全。
(1)提供了安全协议套,发送者和接收者的双向约定,只由目标地址和安全参数索引(SPI)确定;
(2)提供了包头认证,有数据完整性和分组的鉴权;
(3)安全包头封装,根据用户的不同需求,支持IP分组的私密和数据完整性。 它既可用于传送层(如TCP、UDP、ICMP)的加密,同时又可用于整个分组的加密;
(4)提供ESPDES-CBC方式,ESP处理一般必须执行DES-CBC加密算法,数据分为以64位为单位的块进行处理,解密逻辑的输入是现行数据和先前加密数据块的与或;
(5)提供鉴权加私密方式,可根据不同业务模式,两种IP安全机制可以按一定顺序结合,从而达到分组传送加密的目的,可按鉴权之前加密和加密之前鉴权组织。