2.6 IPSec协议

IPSec细则首先于1995年在互联网标准草案中颁布，IPSec可以保证局域网、专用网或公用的广域网及Internet上信息传输的安全。IPSec的用途：

1.保证Internet上各分支办公点的安全连接；
2.保证Internet上远程访问的安全；
3.通过外部网络或内部网络建立与合作伙伴的联系；
4.提高了电子商务的安全性；

IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。

IPSec保护机制

IPSec提供三种不同形式来保护通过共有或私有IP网络传输来的私有数据：

1.认证，可以确定所接收的数据与所发送的数据在完整性方面保持一致，同时可以确定申请发送者在实际上是真实的，而不是伪装的；
2.数据完整，保证数据从原发送地到目的地传送过程中没有发生不可检测的数据丢失与改变。
3.机密性，使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。

IPSec由三个基本要素来提供以上3种保护形式：认证协议头（AH）、安全加载封装（ESP）和互联网密钥管理协议（IKMP）。AH和ESP可以分开或组合使用，提供不同的保护等级。

当前的IPSec支持DES加密，也可以使用其它加密算法。目前56位密钥DES已经被证实可破解，应当使用168位密钥3DES（3次DES加密）或其他高强度加密算法。认证技术使用HMAC（MAC=Message Authentication Code）。

认证协议头（AH）是在所有数据包头中加入一个密码。正如整个名称所示，AH通过一个只有密钥持有人才有的数字签名来对用户进行认证，这个签名是数据包通过特别的算法得出的结果。AH还能维持数据的完整性，只要数据有更改，数据包头的数字签名都能把它检测出来。但是，AH不能加密数据包所加载的内容，不能保证机密性。MD5和SHA-1都是AH的标准，前者支持128位密钥，后者支持160位密钥。

安全加载封装（ESP）通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性。ESP也支持认证和数据完整性校验。ESP的数据加密标准是DES，DES最高支持56位密钥。由于ESP实际上加密所有数据，因而它比AH更耗费时间，导致性能下降。