IPSec认证身份吗？

Question

我知道SSL/TLS通过提供客户端发送给CA以检查有效性的证书来验证服务器(和/或客户端)的身份。这种情况发生在SSL/TLS连接建立之前，因此客户端知道它是否实际与它要联系的实体进行通信。

据我所知，IPSec使用身份验证头来确保消息来自启动IPSec‘连接’的同一个源。(我知道这实际上不是一种联系，但我不知道怎么称呼它)。这告诉客户端它正在与同一个源通信，但它实际上没有标识源，对吗？

IPSec有办法在建立IPSec‘连接’之前对服务器的身份进行身份验证吗？

Answer 1

IPsec使用IKE ()建立安全关联，其中包括标识对方。

IKE通常使用x.509证书完成(与其他所有证书使用的证书类型相同)。这些证书允许每一方依靠颁发CA的权限来识别另一方(他们必须同时信任该CA)。

IKE也可以通过其他方式实现，比如预共享密钥。这就不允许用固有的方式来验证另一方的身份。