IPSec

英語：Internet Protocol Security，縮寫為IPsec），是一個協議包，通過對IP協議的分組進行加密和認證來保護IP協議的網絡傳輸協議族

 

IPsec主要由以下 協議組成：

一、認證頭（AH），為 IP數據報提供無連接 數據完整性、 消息認證以及防 重放攻擊保護；

二、封裝安全載荷（ESP），提供機密性、數據源認證、無連接完整性、防重放和有限的傳輸流（traffic-flow）機密性；

三、安全關聯（SA），提供算法和數據包，提供AH、ESP操作所需的參數。

四、密鑰協議（IKE），提供對稱密碼的鑰匙的生存和交換。

IPsec被設計用來提供（1）入口對入口 通信安全，在此機制下，分組通信的安全性由單個節點提供給多台機器（甚至可以是整個 局域網）；（2）端到端分組通信安全，由作為端點的計算機完成安全操作。上述的任意一種模式都可以用來構建 虛擬專用網（VPN），而這也是IPsec最主要的用途之一。應該注意的是，上述兩種操作模式在安全的實現方面有着很大差別。

因特網范圍內 端到端通信安全的發展比預料的要緩慢，其中部分原因，是因為其不夠普遍或者說不被普遍信任。 公鑰基礎設施能夠得以形成（ DNSSEC最初就是為此產生的），一部分是因為許多用戶不能充分地認清他們的需求及可用的選項，導致其作為內含物強加到賣主的產品中（這也必將得到廣泛采用）；另一部分可能歸因於網絡響應的退化（或說預期退化），就像兜售信息的充斥而帶來的帶寬損失一樣。

與其它安全協議的對比

編輯  語音

IPsec協議工作在 OSI模型的第三層，使其在單獨使用時適於保護基於 TCP或 UDP的協議（如安全套接子層（ SSL）就不能保護UDP層的通信流）。這就意味着，與傳輸層或更高層的協議相比，IPsec協議必須處理可靠性和分片的問題，這同時也增加了它的復雜性和處理開銷。相對而言， SSL/ TLS依靠更高層的 TCP（OSI的第四層）來管理可靠性和分片。