一、IP安全概述

　　IPv4的安全缺陷：

　　对通信双方不能保证收到的IP数据报：

　　1、  确系来自声明的发送方（IP头内的源地址）

　　2、  确系原始数据，未被任何篡改

　　3、  未发生泄密事件，即原始数据在传输中途未被其他人偷看

　　IPSec是IPv6的一个组成部分，也是IPv4的一个可选扩展协议。IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足。

　　IPSec定义了一种标准、健壮的以及包容广泛的机制，可用它为IP及其上层协议提供安全保证。IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能，在IP层实现多种安全服务，包括访问控制、数据完整性、数据源验证、抗重播、机密性等。IPSec通过支持一系列加密算法如DES、三重DES、IDEA、AES等确保通信双方的机密性。

　　IPSec协议簇包括两个安全协议，它们分别是AH协议和ESP协议。

　　验证头（Authentication Header AH）：可以证明数据的起源地、保障数据的完整性以及防止相同数据包在因特网上重播。

　　封装安全载荷（Encapsulating Security Payload,ESP）：它具有所有AH的功能，此外，它还可以利用加密技术保障数据的机密性。

　　AH和ESP的区别：

　　ESP要求使用高强度加密算法，会受到许多限制。

　　多数情况下，使用AH的认证服务已能满足要求，相对来说，ESP开销较大。