定義

互聯(lián)網(wǎng)安全協(xié)議（英語：Internet Protocol Security，縮寫為IPsec），是一個協(xié)議包，通過對IP協(xié)議的分組進行加密和認證來保護IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議族（一些相互關(guān)聯(lián)的協(xié)議的集合）。

組成

實現(xiàn)可用的安全服務(wù)的一對協(xié)議 提供訪問控制、無連接消息完整性、認證和反重發(fā)保護的認證首部（Authentication Header,AH）以及同樣支持這些服務(wù)再加上機密性的封裝安全有效載荷（Encapsulating Security Payload,ESP）。

AH（Authentication Header） 定義： 是用以保證數(shù)據(jù)包的完整性和真實性，防止黑客截斷數(shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造數(shù)據(jù)包的協(xié)議。 作用：

數(shù)據(jù)源鑒別認證：通過在計算驗證碼時加入一個共享密鑰來實現(xiàn) 無連接數(shù)據(jù)完整性：通過哈希函數(shù)產(chǎn)生的驗證來保證 抗重放服務(wù)：AH 報頭中的序列號可以防止重放攻擊 在AH的傳輸模式下，AH散列算法計算的是整個數(shù)據(jù)包（包括IP報頭）在傳輸過程中不變的所有域。 考慮到計算效率，AH沒有采用數(shù)字簽名而是采用了安全哈希算法來對數(shù)據(jù)包進行保護。 AH沒有對用戶數(shù)據(jù)進行加密。當需要身份驗證而不需要機密性的時候，使用AH協(xié)議是最好的選擇。

頭結(jié)構(gòu)：

AH在不同模式下的封裝：

• 在傳輸模式下：

在隧道模式下：

【文章福利】小編推薦自己的Linux內(nèi)核技術(shù)交流群:【891587639】整理了一些個人覺得比較好的學習書籍、視頻資料共享在群文件里面，有需要的可以自行添加哦！?。。ê曨l教程、電子書、實戰(zhàn)項目及代碼)? ? ?

ESP(Encapsulating Security Payload)

定義： 用于在已建立的SA上安全地傳輸數(shù)據(jù)地協(xié)議。作為可選的功能，ESP也提供和AH鑒別頭部同樣的數(shù)據(jù)完整性和兼?zhèn)浞?wù)。由于ESP要對數(shù)據(jù)進行加密處理 ，因而它比AH需要更多的處理時間

頭結(jié)構(gòu)：

ESP在不同模式下的封裝：

• 傳輸模式：

隧道模式：

對密鑰管理的支持

IPSEC協(xié)議族

設(shè)計意圖

入口對入口通信安全，在此機制下，分組通信的安全性由單個節(jié)點提供給多臺機器（甚至可以是整個局域網(wǎng)）； 端到端分組通信安全，由作為端點的計算機完成安全操作。上述的任意一種模式都可以用來構(gòu)建虛擬專用網(wǎng)（VPN），而這也是IPsec最主要的用途之一。應該注意的是，上述兩種操作模式在安全的實現(xiàn)方面有著很大差別。 因特網(wǎng)范圍內(nèi)端到端通信安全的發(fā)展比預料的要緩慢，其中部分原因，是因為其不夠普遍或者說不被普遍信任。公鑰基礎(chǔ)設(shè)施能夠得以形成（DNSSEC最初就是為此產(chǎn)生的），一部分是因為許多用戶不能充分地認清他們的需求及可用的選項，導致其作為內(nèi)含物強加到賣主的產(chǎn)品中（這也必將得到廣泛采用）；另一部分可能歸因于網(wǎng)絡(luò)響應的退化（或說預期退化），就像兜售信息的充斥而帶來的帶寬損失一樣。

工作模式

傳輸模式(Transport Mode)

在傳輸模式下，IPSec協(xié)議處理模塊會在IP報頭和高層協(xié)議報頭之間插入一個IPSec報頭。 IP報頭與原始IP分組中的IP報頭是一致的，只是IP報文中的協(xié)議字段會被改成IPSec協(xié)議的協(xié)議號（50或者51) ，并重新計算IP報頭校驗和。傳輸模式保護數(shù)據(jù)包的有效載荷、高層協(xié)議，IPSec源端點不會修改IP報頭中目的IP地址，原來的IP地址也會保持明文。 傳輸模式只為高層協(xié)議提供安全服務(wù)。

應用場景：經(jīng)常用于主機和主機之間端到端通信的數(shù)據(jù)保護。 封裝方式：不改變原有的IP包頭，在原數(shù)據(jù)包頭后面插入IPSec包頭，將原來的數(shù)據(jù)封裝成被保護的數(shù)據(jù)。

隧道模式(Tunnel Mode)

傳輸模式不同，在隧道模式下，原始IP分組被封裝成一個新的IP報文，在內(nèi)部報頭以及外部報頭之間插入一個IPSec報頭，原IP地址被當作有效載荷的一部分受到IPSec的保護。 通過對數(shù)據(jù)加密，還可以隱藏原數(shù)據(jù)包中的IP地址，這樣更有利于保護端到端通信中數(shù)據(jù)的安全性。 封裝方式：增加新的IP（外網(wǎng)IP）頭，其后是ipsec包頭，之后再將原來的整個數(shù)據(jù)包封裝。

主要應用場景： 經(jīng)常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進行通信，建立安全VPN通道。