IPSec協定

由於所有支持TCP/IP協定的主機進行通信時，都要經過IP層的處理，所以提供了IP層的安全性就相當於為整個網路提供了安全通信的基礎。鑒於IPv4的套用仍然很廣泛，所以後來在IPSec的制定中也增添了對IPv4的支持。最初的一組有關IPSec標準由IETF在1995年制定，但由於其中存在一些未解決的問題，從1997年開始IETF又開展了新一輪的IPSec的制定工作，截至1998年11月份主要協定已經基本制定完成。不過這組新的協定仍然存在一些問題，預計在不久的將來IETF又會進行下一輪IPSec的修訂工作。

IPSec提供了兩種安全機制：認證（採用ipsec的AH）和加密（採用ipsec的ESP）。

· 認證機制使IP通信的數據接收方能夠確認數據傳送方的真實身份，以及數據在傳輸過程中是否遭篡改。
· 加密機制通過對數據進行編碼來保證數據的機密性，以防數據在傳輸過程中被竊聽。

IPSec主要功能為加密和認證，為了進行加密和認證，IPSec還需要有密鑰的管理和交換的功能，以便為加密和認證提供所需要的密鑰並對密鑰的使用進行管理。以上三方面的工作分別由AH，ESP和IKE（Internet Key Exchange，Internet 密鑰交換）三個協定規定。為了介紹這三個協定，需要先引人一個非常重要的術語SA（Security Association安全關聯）。所謂安全關聯是指安全服務與它服務的載體之間的一個“連線”。AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和維護。要實現AH和ESP，都必須提供對SA的支持。通信雙方如果要用IPSec建立一條安全的傳輸通路，需要事先協商好將要採用的安全策略，包括使用的加密算法、密鑰、密鑰的生存期等。當雙方協商好使用的安全策略後，我們就說雙方建立了一個SA。SA就是能向其上的數據傳輸提供某種IPSec安全保障的一個簡單連線，可以由AH或ESP提供。當給定了一個SA，就確定了IPSec要執行的處理，如加密，認證等。SA可以進行兩種方式的組合，分別為傳輸臨近和嵌套隧道。

IPSec的工作原理類似於包過濾防火牆，可以看作是對包過濾防火牆的一種擴展。當接收到一個IP數據包時，包過濾防火牆使用其頭部在一個規則表中進行匹配。當找到一個相匹配的規則時，包過濾防火牆就按照該規則制定的方法對接收到的IP數據包進行處理。這裡的處理工作只有兩種：丟棄或轉發。IPSec通過查詢SPD（Security Policy Database安全策略資料庫）決定對接收到的IP數據包的處理。但是IPSec不同於包過濾防火牆的是，對IP數據包的處理方法除了丟棄，直接轉發（繞過IPSec）外，還有一種，即進行IPSec處理。正是這新增添的處理方法提供了比包過濾防火牆更進一步的網路安全性。進行IPSec處理意味著對IP數據包進行加密和認證。包過濾防火牆只能控制來自或去往某個站點的IP數據包的通過，可以拒絕來自某個外部站點的IP數據包訪問內部某些站點，也可以拒絕某個內部站點對某些外部網站的訪問。但是包過濾防火牆不能保證自內部網路出去的數據包不被截取，也不能保證進入內部網路的數據包未經過篡改。只有在對IP數據包實施了加密和認證後，才能保證在外部網路傳輸的數據包的機密性、真實性、完整性，通過Internet進行安全的通信才成為可能。IPSec既可以只對IP數據包進行加密，或只進行認證，也可以同時實施二者。但無論是進行加密還是進行認證，IPSec都有兩種工作模式，一種是隧道模式，另一種是傳輸模式。