IPSec是IETF制定的一系列協(xié)議，來確保在Internet上傳送數(shù)據(jù)的安全保密性能。特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗(yàn)證來保證,數(shù)據(jù)包在Internet.上傳輸時(shí)具有私有性、完整性和真實(shí)性的特性。

IPSec由AH(Authentication Header)和ESP(Encapsulating Security Payload)的安全協(xié)議保護(hù)IP數(shù)據(jù)報(bào)或上層協(xié)議。而且不會影響用戶、主機(jī)或其他Internet組件。用戶還能選擇不一樣的加密算法而不影響實(shí)現(xiàn)其他部分。

AH是報(bào)文驗(yàn)證頭協(xié)議,主要有數(shù)據(jù)源驗(yàn)證數(shù)、據(jù)完整性校驗(yàn)和防報(bào)文重放功能。ESP是封裝安全載荷協(xié)議，它除給出AH協(xié)議的全部功能外,還可有IP報(bào)文的加密功能。AH與ESP可單獨(dú)用，也可同時(shí)用。

IPSec的安全服務(wù)要用到共享密鑰因特網(wǎng)密鑰交換協(xié)議(InternetKey,IKE)。為IPSec提供自動(dòng)協(xié)商交換密鑰建立和維護(hù)安全聯(lián)盟的服務(wù)能夠簡化IPSec的使用和管理。

IPSec提供以下安全服務(wù):

1.私有性:IPSec在傳輸數(shù)據(jù)包前把它加密,來確保數(shù)據(jù)的私有性;

2.完整性:IPSec在目標(biāo)地要檢驗(yàn)數(shù)據(jù)包,來確保它在傳輸過程中未被修改;

3.真實(shí)性:IPSec端要檢驗(yàn)-一切被它保護(hù)的數(shù)據(jù)包;

4.防重放:IPSec避免了抓取數(shù)據(jù)包，并再次投放到網(wǎng)上，即目標(biāo)地會否決舊的或反復(fù)的數(shù)據(jù)包，它由報(bào)文的序列號實(shí)現(xiàn)。