IPsec协议特性

IPSec的英文是互联网 Protocol Security，是通过对的协议包IP协议分组加密认证保护IP协议的网络传输协议家族(一些相关协议的集合)。

IPsec主要由以下协议组成：

一、认证头(AH)，为IP数据报告提供无连接数据完整性、消息认证和防重放攻击保护。

二、包装安全载荷(ESP)，提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性。

三、安全关联(SA)，提供算法和数据包AH、ESP操作所需的参数。

IPSec特性：

机密性、完整性、真实性、防重放。

IPSec安全防护场景(端到端应用场景):

安全网关(如防火墙)、主机与安全网关、主机与主机之间(典型场景)。

IPSec 方案系统结构

AH(Authentication Header)：

报文头验证协议的主要功能包括数据源验证、数据完整性验证和防止报文重放；但是，AH不加密受保护的数据报告。

ESP(Encapsulating Security Payload)：

ESP是包装安全载荷协议。除提供外AH除协议的所有功能外(但不包括数据完整性验证IP头)，也可以提供对IP报文加密功能。

IPSec通过AH(Authentication Header)和ESP(Encapsulating Security Payload)这两个安全协议实现了数据报纸在网络上传输时的私有性、完整性、真实性和防重放。