学习《计算机网络安全》

IPsec简介

IPsec是一个协议包，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合）。

IPv4在安全方面主要的不足之处在于：缺乏对通信双方身份真实性的鉴别能力；缺乏对传输数据的完整性和机密性保护的机制；IP层存在业务流被监听和捕获、IP地址欺骗、信息泄露和数据项篡改等攻击。IPv6在安全方面解决了IPv4的不足，它的核心是IPsec。IPsec是IPv6必选的内容，但在IPv4中的使用则是可选的。

IPSec在IP层上对数据包进行安全处理，提供数据源验证，数据完整性、数据机密性等安全服务。各种应用程序完全可以享用IP层提供的安全服务和密钥管理而不必设计和实现自己的安全机制，因此减少了密钥协商的开销，也降低了产生安全漏洞的可能性。

IPsec是IETF制定的三层隧道加密协议，它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式，提供了以下的安全服务。

（1）数据机密性（Confidentiality）：IPsec发送方在通过网络传输包前对包进行加密。

（2）数据完整性（Data Integrity）：IPsec接收方对发送方发送来的包进行认证，以确保数据在传输过程中没有被篡改。

（3）数据来源认证（Data Authentication）：IPsec在接收端可以认证发送IPsec报文的发送端是否合法。

（4）防重放（Anti-Replay）：IPsec接收方可检测并拒绝接收过时或重复的报文。

IPsec具有以下优点。

（1）支持IKE（Internet Key Exchange，因特网密钥交换），可实现密钥的自动协商功能，减少了密钥协商的开销。可以通过IKE建立和维护SA的服务，简化了IPsec的使用和管理。

（2）所有使用IP协议进行数据传输的应用系统和服务都可以使用IPsec，而不必对这些应用系统和服务本身做任何修改。

（3）对数据的加密是以数据包为单位的，而不是以整个数据流为单位，这不仅灵活，而且有助于进一步提高IP数据包的安全性，可以有效防范网络攻击。