IPSec協議大家應該不會陌生。它的中文名字叫做網絡層安全協議。這個安全協議的主要工作是什么呢？其實從名字上大家就能猜出個七八分了。那么為了讓大家能更全面得了解這個協議，我們還是來具體的介紹一下吧。

網絡層安全協議IPSec(InternetProtocolSecurity)

由IETF制定,面向TCMP,它足為IPv4和IPv6協議提供基于加密安全的協議｡

(1)在TCP/IP協議棧中所處的層次如圖1｡

;

圖1 IPSec在TOP/IP協議棧中所處的層次

(2)安全服務:網絡層安全協議IPSec提供訪問控制､無連接完整性､數據源的認證､防重放攻擊､機密性(加密)､有限通信量的機密性等安全服務｡另外IPSec的DOI也支持IP壓縮｡

(3)加密機柳:IPSec通過支持DES,三重DES,IDEA,AES等確保通信雙方的機密性;身份認證用DSS或RSA算法;用消息鑒別算法HMAC計算MAC,以進行數據源驗證服務｡

(4)工作原理:IPSec有兩種工作模式(如圖2)傳輸模式和隧道模式｡傳輸模式用于兩臺主機之間,保護傳輸層協議頭,實現端對端的安全性｡隧道模式用于主機與路由器之間,保護整個IP數據包｡

;

圖2 IPSec的兩種工作模式

(5)應用領域:網絡層安全協議IPSec可為各種分布式應用,如遠程登錄､客戶,服務器､電了郵件､文件傳輸､web訪問等提供安全｡可保證LAN､專用和公用WAN以及Internet的通信安全｡目前主要應用于VPN､路由器中｡

(6)優點:IPSoc可用來在多個防火墑和服務器間提供安全性,可確保運行在TCP/IP協議上的VPNs間的互操作性｡它對于最終用戶和應用程序是透明的｡

(7)缺點:IPSec系統復雜,且不能保護流量的隱蔽性;除TCP/IP外,不支持其它協議;IPSec與防火墻､NAT等的安全結構也是一個復雜的問題｡