什么是IPsec协议？

现在因特网的网络层安全协议IPsec已在很多的RFC文档中给出了详细的描述。IPsec就是“IP安全(Security)协议”的缩写。在这些文档中，最重要的就是描述IP安全体系结构的PFC4301和提供IPsec协议族概述的RFC2400。在IPsec协议族中有两个最主要的协议；鉴别首部AH(Authentication Header)协议和填封装安全有效载荷ESP(Encapsulation Security Payload)协议。AH协议提供源点鉴别和数据完整性，但不能保密，而ESP协议比AH协议复杂得多，它提供源点鉴别、数据完整性和保密。IPsec支持IPv4和IPv6。在IPv6中，AH和ESP都是扩展首部的一部分。AH协议的功能都已包含在ESP协议中，因此使用ESP协议就可以不用使用AH协议，但AH协议早已使用在一些商品中，因此现在AH协议还没有被废弃。下面我们不再讨论AH协议，而只介绍ESP协议的要点。

使用IPsec协议的IP数据报称为IPsec数据报，它可以在两个主机之间、两个路由器之间或在一个主机和一个路由器之间发送。在发送IPsec数据报之前。在源实体和目的实体之间必须创建一条网络层的逻辑连接，即安全关联SA(Security Association)。这样，IPsec就把传统的因特网无连接的网络层变为具有逻辑连接的一个层。安全关联是从源点到纹点的单向连接，它能够提供安全服务，如要进行双向的安全通信，则需要建立两个方向的安全关联。假定某公司有一个公司总部和在外地的一个分公司，总部需要和这个分公司以及分公司中的n个员工进行安全的双向通信。那么，在这种情况下，一共需要创建(2+2n)条安全关联SA。在这些安全关联SA上传送的就是安全的IPsec数据报。如图是一条从路由器R1到R2的安全关联SA的示意图。IPsec数据报就是在安全关联SA连接上传送的。

路由器R1必须维护这条安全关联SA的状态信息，包括：

1.一个32位的连接标识符，称为安全参数索引SPI(Security Parameter Index)。

2.SA的源点（即路由器R1的IP的地址）和终点（即路由器R2的IP地址）。

3.所使用的加密类型（例如，DES）。

4.加密的密钥。

5.完整性检查的类型（例如，使用报文摘要MD5的报文鉴别码MAC）。

6.鉴别使用的密钥。

当路由器R1要通过SA发送IPsec数据报时，就必须读取SA的这些状态信息，以便知道如何把IP数据报进行加密和鉴别。同理，路由器R2也要维护关于一条SA的状态信息，以便当IPsec数据报通过SA到达路由器R2时进行解密和鉴别。