定義

互聯(lián)網(wǎng)安全協(xié)議（英語：Internet Protocol Security，縮寫為IPsec），是一個協(xié)議包，通過對IP協(xié)議的分組進(jìn)行加密和認(rèn)證來保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議族（一些相互關(guān)聯(lián)的協(xié)議的集合）。

組成

實現(xiàn)可用的安全服務(wù)的一對協(xié)議 提供訪問控制、無連接消息完整性、認(rèn)證和反重發(fā)保護(hù)的認(rèn)證首部（Authentication Header,AH）以及同樣支持這些服務(wù)再加上機(jī)密性的封裝安全有效載荷（Encapsulating Security Payload,ESP）。

AH（Authentication Header） 定義： 是用以保證數(shù)據(jù)包的完整性和真實性，防止黑客截斷數(shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造數(shù)據(jù)包的協(xié)議。 作用：

數(shù)據(jù)源鑒別認(rèn)證：通過在計算驗證碼時加入一個共享密鑰來實現(xiàn) 無連接數(shù)據(jù)完整性：通過哈希函數(shù)產(chǎn)生的驗證來保證 抗重放服務(wù)：AH 報頭中的序列號可以防止重放攻擊 在AH的傳輸模式下，AH散列算法計算的是整個數(shù)據(jù)包（包括IP報頭）在傳輸過程中不變的所有域。 考慮到計算效率，AH沒有采用數(shù)字簽名而是采用了安全哈希算法來對數(shù)據(jù)包進(jìn)行保護(hù)。 AH沒有對用戶數(shù)據(jù)進(jìn)行加密。當(dāng)需要身份驗證而不需要機(jī)密性的時候，使用AH協(xié)議是最好的選擇。

頭結(jié)構(gòu)：

AH在不同模式下的封裝：

• 在傳輸模式下：

在隧道模式下：

【文章福利】小編推薦自己的Linux內(nèi)核技術(shù)交流群:【891587639】整理了一些個人覺得比較好的學(xué)習(xí)書籍、視頻資料共享在群文件里面，有需要的可以自行添加哦?。。。ê曨l教程、電子書、實戰(zhàn)項目及代碼)? ? ?

ESP(Encapsulating Security Payload)

定義： 用于在已建立的SA上安全地傳輸數(shù)據(jù)地協(xié)議。作為可選的功能，ESP也提供和AH鑒別頭部同樣的數(shù)據(jù)完整性和兼?zhèn)浞?wù)。由于ESP要對數(shù)據(jù)進(jìn)行加密處理 ，因而它比AH需要更多的處理時間

頭結(jié)構(gòu)：

ESP在不同模式下的封裝：

• 傳輸模式：

隧道模式：

對密鑰管理的支持

IPSEC協(xié)議族

設(shè)計意圖

入口對入口通信安全，在此機(jī)制下，分組通信的安全性由單個節(jié)點提供給多臺機(jī)器（甚至可以是整個局域網(wǎng)）； 端到端分組通信安全，由作為端點的計算機(jī)完成安全操作。上述的任意一種模式都可以用來構(gòu)建虛擬專用網(wǎng)（VPN），而這也是IPsec最主要的用途之一。應(yīng)該注意的是，上述兩種操作模式在安全的實現(xiàn)方面有著很大差別。 因特網(wǎng)范圍內(nèi)端到端通信安全的發(fā)展比預(yù)料的要緩慢，其中部分原因，是因為其不夠普遍或者說不被普遍信任。公鑰基礎(chǔ)設(shè)施能夠得以形成（DNSSEC最初就是為此產(chǎn)生的），一部分是因為許多用戶不能充分地認(rèn)清他們的需求及可用的選項，導(dǎo)致其作為內(nèi)含物強(qiáng)加到賣主的產(chǎn)品中（這也必將得到廣泛采用）；另一部分可能歸因于網(wǎng)絡(luò)響應(yīng)的退化（或說預(yù)期退化），就像兜售信息的充斥而帶來的帶寬損失一樣。

工作模式

傳輸模式(Transport Mode)

在傳輸模式下，IPSec協(xié)議處理模塊會在IP報頭和高層協(xié)議報頭之間插入一個IPSec報頭。 IP報頭與原始IP分組中的IP報頭是一致的，只是IP報文中的協(xié)議字段會被改成IPSec協(xié)議的協(xié)議號（50或者51) ，并重新計算IP報頭校驗和。傳輸模式保護(hù)數(shù)據(jù)包的有效載荷、高層協(xié)議，IPSec源端點不會修改IP報頭中目的IP地址，原來的IP地址也會保持明文。 傳輸模式只為高層協(xié)議提供安全服務(wù)。

應(yīng)用場景：經(jīng)常用于主機(jī)和主機(jī)之間端到端通信的數(shù)據(jù)保護(hù)。 封裝方式：不改變原有的IP包頭，在原數(shù)據(jù)包頭后面插入IPSec包頭，將原來的數(shù)據(jù)封裝成被保護(hù)的數(shù)據(jù)。

隧道模式(Tunnel Mode)

傳輸模式不同，在隧道模式下，原始IP分組被封裝成一個新的IP報文，在內(nèi)部報頭以及外部報頭之間插入一個IPSec報頭，原IP地址被當(dāng)作有效載荷的一部分受到IPSec的保護(hù)。 通過對數(shù)據(jù)加密，還可以隱藏原數(shù)據(jù)包中的IP地址，這樣更有利于保護(hù)端到端通信中數(shù)據(jù)的安全性。 封裝方式：增加新的IP（外網(wǎng)IP）頭，其后是ipsec包頭，之后再將原來的整個數(shù)據(jù)包封裝。

主要應(yīng)用場景： 經(jīng)常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進(jìn)行通信，建立安全VPN通道。