我知道 SSL/TLS 通过提供客户端发送给 CA 以检查有效性的证书来验证服务器(和/或客户端)的身份。这发生在 SSL/TLS 连接建立之前,因此客户端知道它是否真的在与它打算联系的实体进行通信。
据我了解,IPSec 使用身份验证标头来确保消息来自与启动 IPSec“连接”的同一来源。(我知道它实际上不是一个连接,但我不知道怎么称呼它)。这告诉客户端它正在与同一个源进行通信,但它实际上并没有识别源,是吗?
IPSec 是否有办法在建立 IPSec“连接”之前验证服务器的身份?
IPSec 是否验证身份?
信息安全
ipsec
2021-08-20 04:57:56
1个回答
IPsec 使用 IKE(Internet 密钥交换)建立安全关联,其中包括识别对方。
IKE 通常使用 x.509 证书(与您已经用于其他一切的相同类型的证书)来完成。这些证书允许每一方依靠颁发 CA 的权限来识别另一方(他们都必须信任该 CA)。
IKE 也可以通过其他方式完成,例如预共享密钥。这允许没有内在的方式来验证另一方的身份。
其它你可能感兴趣的问题