IPSec（Internet Protocol Security）是IETF（Internet Engineering Task Force）制定的一组开放的网络安全协议。

它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。

IPSec主要包括安全协议AH（Authentication Header）和ESP（Encapsulating Security Payload），密钥管理交换协议IKE（Internet Key Exchange）以及用于网络认证及加密的一些算法等。

IPSec主要通过【我.爱.线.报.网.】加密与验证等方式，认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性，以防数据在传输过程中被窃听。以此为IP数据包提供安全服务。

AH协议提供数据源认证、数据完整性校验和防报文重放功能，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头，此报文头插在标准IP包头后面，对数据提供完整性保护。

ESP协议则提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头，并在数据包后面追加一【我.爱.线.报.网.】个ESP尾。常见的加密算法有DES、3DES、AES等。

在实际进行网络通信时，可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务，不过，AH提供的认证服务要强于ESP。

基本概念：

1、安全联盟：IPsec在两个端点之间提供安全通信，端点被称为IPsec对等体。是IPsec的基础，也是IPsec的本质。

2、封装模式：IPsec有两种工作模式，一种是隧道模式，一种是传输模式。隧道模式应用在两个安全网关之间的通讯，传输模式应用在两台主机之间的通讯。

3、认证算法及加密算法：认证算法的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入，并产生固定长度输出【我.爱.线.报.网.】的算法，该输出称为消息摘要。加密算法实现主要通过对称密钥系统，它使用相同的密钥对数据进行加密和解密。

4、协商方式：有两种协商方式进行SA建立，一是手工方式，一是IKE自动协商模式。

IPSec的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。IPSec通过查询SPD（Security Policy Database安全策略数据库）决定对接收到的IP数据包的处理。

但是IPSec不同于包过滤防火墙的是，对IP数据包的处理方法除了丢弃，直接转发（绕过IPSec）外，还有一种，即进行IPSec处理。【我.爱.线.报.网.】进行IPSec处理意味着对IP数据包进行加密和认证。只有在对IP数据包实施了加密和认证后，才能保证在外部网络传输的数据包的机密性、真实性、完整性，通过Internet进行安全的通信才成为可能。IPSec既可以只对IP数据包进行加密，或只进行认证，也可以同时实施。

IPSec提供了以下安全服务：

①数据加密：IPsec发送方在通过网络传输包前对包进行加密。

②数据完整性：IPsec接收方对发送方发送来的包进行认证，以确保数据在传输过程中没有被篡改。

③数据来源认证：IPsec在接收端可以认证发送IPsec报文的发送端是否合法。

④防重放：IPsec接收方可检测并拒绝接收过时或重复的报文。

IPsec对IPv【我.爱.线.报.网.】6路由协议报文进行保护的处理方式和目前基于接口的IPsec处理方式不同，是基于业务的IPsec，即IPsec保护某一业务的所有报文。

该方式下，设备产生的所有需要IPsec保护的IPv6路由协议报文都要被进行加封装处理，而设备接收到的不受IPsec保护的以及解封装失败的IPv6路由协议报文都要被丢弃。

由于IPsec的密钥交换机制仅仅适用于两点之间的通信保护，在广播网络一对多的情形下，IPsec无法实现自动交换密钥，因此必须使用手工配置密钥的方式。

同样，由于广播网络一对多的特性，要求各设备对于接收、发送的报文均使用相同的SA参数（相同的SPI及密钥）。所以仅支持手工安全策略生成的SA对IPv6路由【我.爱.线.报.网.】协议报文进行保护。

每天都有新收获！ 学网络，就在IE-LAB 国内高端网络工程师培养基地