IPSec是IETF制定的一系列协议,来确保在Internet上传送数据的安全保密性能。特定的通信方之间在IP层通过加密与数据源验证来保证,数据包在Internet上传输时具有私有性、完整性和真实性的特性。
IPSec由AH(Authentication Header)和ESP(Encapsulating Security Payload)的安全协议保护IP数据报或上层协议。而且不会影响用户、主机或其他Internet组件。用户还能选择不一样的加密算法而不影响实现其他部分。
AH是报文验证头协议,主要有数据源验证数、据完整性校验和防报文重放功能。ESP是封装安全载荷协议,它除给出AH协议的全部功能外,还可有IP报文的加密功能。AH与ESP可单独用,也可同时用。
IPSec的安全服务要用到共享密钥因特网密钥交换协议(Internet Key,IKE)。为IPSec提供自动协商交换密钥建立和维护安全联盟的服务能够简化IPSec的使用和管理。
IPSec提供以下安全服务:
1.私有性:IPSec在传输数据包前把它加密,来确保数据的私有性;
2.完整性:IPSec在目标地要检验数据包,来确保它在传输过程中未被修改;
3.真实性:IPSec端要检验一切被它保护的数据包;
4.防重放:IPSec避免了抓取数据包,并再次投放到网上,即目标地会否决旧的或反复的数据包,它由报文的序列号实现。
