IPSec的特征与功能

为了解决IPv6协议的安全性问题，IETF于1995年成立了IP协议与密钥管理组织，研究在IP协议上保证数据传输安全性的标准。这个组织经过几年的研究，提出了一系列协议，并构成了一个安全体系，总称为IP Security Protocol（简称IPSec）。
1. IP Sec具有以下特征
• IP Sec是IETF在开发IPv6时为保证IP分组安全而设计的，是IPv6协议的一个部分。IPSec可以向IPv4与IPv6提供互操作、高质量与基于密码的安全性。
• IP Sec提供的安全服务包括访问控制、完整性、数据来源认证等。这些服务在互联网的网络层提供，并向网络层及更高层提供保护。
• IPSec协议实际上是一个协议族，而不是单一的一种协议。它的安全结构由三个主要的协议以及加密与认证算法组成，包括认证头（Authentication Header，AH）协议和封装安全载荷（Encapsulating Security Payload，ESP）协议，以及Internet安全关联密钥管理协议（Internet Security Association and KeyManagement Protocol，ISAKMP）、Internet密钥交换（Internet KeyExchange，IKE）协议。
2. IPSec的主要功能
IPSec在网络层对IP分组进行高强度的加密与验证服务，使得安全服务独立于应用程序，各种应用程序都可以共享网络层提供的安全服务与密钥管理。
• 数据的保密性保护
IPSec的ESP协议通过对分组进行加密，使得网络黑客难以破译。根据不同类型的应用需求，ESP可以提供不同强度的加密算法。
• 完整性保护与身份认证
IPSec为每个IP分组生成一个校验和。通过检查校验和，可以发现数据是否在传输过程中被篡改。同时，IPSec的身份认证机制可检查是否存在IP地址欺骗，有效地防御借用合法地址与用户身份的网络黑客行为。
• 防止拒绝服务和中间人
IPSec使用IP分组过滤方法，根据IP地址范围、协议、特定协议的端口号来决定哪些数据流可以通过，从而防止了拒绝服务。作为第三方，中间人类似于身份欺骗，IPSec通过双向认证、共享密钥，可以有效地防止中间人。
基于IPSec协议的VPN技术已广泛应用于互联网中。