什么是IPsec？IPsec的实现机制有哪些？

首先我们来了解一下什么是IPsec？

IPsec ---（英语：Internet Protocol Security，缩写为IPsec），是一个协议包，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合）。

实际上IPsec是一整套协议包而不只是一个单独的协议， 这一点对于我们认识IPSec是很重要的。IPsec协议把多种安全技术集合到一起，从而建立起一个安全、可靠的隧道。在IPsec安全体系结构中包括了3个最基本的协议：AH（Authentication Header）协议为IP包提供信息源验证和完整性保证；ESP（Encapsulating Security Payload）协议提供加密保证；密钥管理协议（ISAKMP）提供双方交流时的共享安全信息。ESP和AH协议都有相关的一系列支持文件，规定了加密和认证的算法。

 

IPsec的定义我们说完了，那么接下来我们就来了解一下IPsec的实现机制有哪些吧。

IPsec通过提供下列服务来保护通过公共IP网络传送的私有数据：

● 访问控制 访问控制是指防止未经授权对资源进行访问。IPsec中，需要进行访问控制的资源通常指主机中的数据和计算能力、安全网关内的本地网及其带宽。IPsec使用身份认证机制进行访问控制。

● 数据源认证 数据源认证对数据来源所声明的身份进行验证，通常与无连接数据完整性相结合。IPsec使用消息鉴别机制实现数据源认证服务。

● 机密性和有限传输流量的机密性 相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。有限传输流量的机密性服务是指防止对通信的外部属性（源地址、目的地址、消息长度和通信频率等）的泄露，从而使攻击者无法对网络流量进行分析，推导其中的传输频率、通信者身份、数据包大小、数据流标识符等信息。

● 无连接完整性和抗重播 无连接完整性服务对单份数据包是否被修改进行检查，而对数据包的到达顺序不作要求。IPsec使用数据源认证机制实现无连接完整性服务。IPsec的抗重播服务，亦称为部分序号完整性服务，是指防止攻击者截取和复制IP包，然后发送到目的地。IPsec根据IPsec头中的序号字段，使用滑动窗口原理，实现抗重播服务。

上面的服务都在IP层上实现。IPsec采用了以下两个协议提供传输安全: AH和ESP。IP AH提供无连接完整性、数据源认证和可选的防重播服务。ESP协议可提供机密性和受限传输流机密性；还可提供无连接完整性、数据源认证和防重播服务。这些协议可单独使用或组合使用，以提供所希望的安全服务。

IPsec允许用户（或系统管理员）控制安全服务的粒度。如: 单个加密隧道用于两个安全网关间所有的传输或在通过网关的两台主机间为每个TCP连接建立独立的加密隧道。IPsec管理在下列方面体现了很大的灵活性：使用何种安全服务和何种组合; 给定的安全保护采用何种粒度;用于加密的算法。

由于这些安全服务使用共享的安全值（加密密钥），因此IPsec必须依赖于一套独立的密钥管理机制。IPsec提供了一个基于公钥体系的实现方法IKE，并要求支持手工和自动密钥分发。在IPsec中采用了多种密码技术。同时，也可以采用其他自动密钥分发技术，如：基于KDC的系统（Kerberos）和其他公钥系统。

IPsec较好地融合了加密技术和访问控制技术，实现了在主机或安全网关环境中对IP传输的保护。这种保护或者基于安全策略数据库（SPD）中定义的需求，或者基于由应用定义的需求。通常，报文按SPD数据库中匹配的情况，根据IP和传输层的头信息选择提供IPsec安全服务、丢弃或允许旁路（bypass），这是根据筛选器标识的相应数据库策略来确定。

IPsec可以运行于网络的任意一部分，它可以在路由器和防火墙之间、路由器和路由器之间、PC机和服务器之间、PC机和拨号访问设备之间，为各种分布式应用提供安全，可保证LAN、专用和公用WAN以及Internet的通信安全。