IP安全加密 IPSec安全技术全面接触

　　IP安全加密--IPSec使用了网络通信加密技术。虽然不能加密数据包的头部和尾部信息（如源/目的IP地址、端口号、CRC校验值等），但可对数据包数据进行加密。由于加密过程发生在IP 层，因此可在不改变POP/WWW等协议的情况下进行网络协议的安全加密。同时它也可以用于实现局域网间（通过互联网）的安全连接。

　　IP协议的安全体系结构

　　IPv4 的包本身没有提供任何安全保护，黑客可以通过信息包探测、IP电子欺骗、连接截获、replay攻击(是一种不断发相同序列号的包使系统崩溃的攻击方法) 等方法来攻击。因此，我们收到的数据包存在着以下危险：并非来自合法的发送者; 数据在传输过程中被人修改; 数据内容已被人窃取(例如军事机密等重要信息的对话)。IPsec的目的就是为了实现数据传输的完整性(源地址验证和保证数据没有被修改)和机密性(没有被人看过)以及提供一定程度的对replay攻击的保护。IPsec可用它为IP及其上层协议(TCP和UDP等)提供安全保护。

　　IPsec的基本结构，它是利用认证头标(AH)和封装化安全净荷(ESP)来实现数据的认证和加密。前者用来实现数据的完整性，后者用来实现数据的机密性。同时对数据的传输规定了两种模式：传送模式和通道模式。在传送模式中，IP头与上层协议头之间嵌入一个新的IPsec头(AH或ESP); 在通道模式中，要保护的整个IP包都封装到另一个IP数据包里，同时在外部与内部IP头之间嵌入一个新的IPsec头。两种IPsec头都可以同时以传送模式和通道模式工作。

　　原始的数据包

　　传送模式受保护的数据包

　　通道模式受保护的数据包

　　IPsec数据包的保护机制

　　IPsec是由四大组件组成，它们是因特网密钥交换进程、IPsec进程本身、安全联盟数据库和安全策略数据库。