IPSec （IP Security ）协议族是 IETF 制定的一系列协议，它为 IP 数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在 IP 层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

ipsec通过AH和ESP两种协议实现上述目标，当然为了简化IPSec 的使用和
管理，IPSec 还可以通过 IKE （Internet Key Exchange ，因特网密钥交换协议）进行自动协商交换密钥、建立和维护安全联盟的服务。

IPSEC 操作模式有两种：一是传输模式，一种是隧道模式。采用的验证。二者区别在于数据报中是否会生成新的ip报头。

IPSEC的验证算法：

MD5：MD5通过输入任意长度的消息，产生128bit 的消息摘要。 
  SHA-1 ：SHA-1 通过输入长度小于2 的64次方比特的消息，产生 160bit 的消息摘要。
 SHA-1 的摘要长于MD5，因而是更安全的。

加密算法：

DES：使用56bit的密钥对一个64bit的明文块进行加密。 
   3DES ：使用三个56bit的DES密钥（共 168bit 密钥）对明文进行加密。
无疑，3DES 具有更高的安全性，但其加密数据的速度要比DES慢得多。

(1) AH 协议
AH是报文头验证协议，主要提供的功能有数据源验证、数据完整性校验和防报文重
放功能；然而，AH并不加密所保护的数据报。
(2) ESP 协议ESP是封装安全载荷协议。它除提供 AH协议的所有功能外（但其数据完整性校验不包括IP 头），还可提供对 IP 报文的加密功能。  （AH和ESP 可以单独使用，也可以同时使用）

IKE简介

IPSec 的安全联盟可以通过手工配置的方式建立，但是当网络中节点增多时，手工
配置将非常困难，而且难以保证安全性。这时就要使用IKE（Internet Key Exchange ，
因特网密钥交换）自动地进行安全联盟建立与密钥交换的过程。 
   IKE 协议是建立在由 Internet 安全联盟和密钥管理协议 ISAKMP （Internet Security
Association and Key Management Protocol）定义的框架上。它能够为IPSec 提供
了自动协商交换密钥、建立安全联盟的服务，以简化IPSec 的使用和管理。
   IKE 具有一套自保护机制，可以在不安全的网络上安全地分发密钥、验证身份、建
立IPSec 安全联盟。

IKE的安全机制：

1、DH（Diffie-Hellman）交换及密钥分发。

2、完善的前向安全性（Perfect Forward Secrecy ，PFS ）。

3、身份验证。

4、身份保护。

IKE的交换阶段：

一：IKE SA的建立。

二：ipsec SA 的建立。

安全联盟的简介：

安全联盟是IPSec 的基础，也是IPSec 的本质。SA是通信对等体间对某些要素的
约定，例如，使用哪种协议（AH、ESP还是两者结合使用）、协议的操作模式（传
输模式和隧道模式）、加密算法（DES和3DES ）、特定流中保护数据的共享密钥
以及密钥的生存周期等。
安全联盟是单向的，在两个对等体之间的双向通信，最少需要两个安全联盟来分别
对两个方向的数据流进行安全保护。同时，如果希望同时使用 AH和ESP 来保护对
等体间的数据流，则分别需要两个SA，一个用于 AH，另一个用于ESP。
安全联盟由一个三元组来唯一标识，这个三元组包括SPI（Security Parameter
ndex ，安全参数索引）、目的 IP 地址、安全协议号（AH或ESP）。SPI 是为唯一
标识SA而生成的一个 32比特的数值，它在AH和ESP 头中传输。

安全联盟具有生存周期。生存周期的计算包括两种方式： 
      以时间为限制，每隔指定长度的时间就进行更新； 
      以流量为限制，每传输指定的数据量（字节）就进行更新。

安全联盟的协商方式：
      安全联盟的协商方式有两种，一种是手工方式（manual），一种是IKE 自动协商（isakmp ）方式。手工协商方式配置比较复杂，创建安全联盟所需的全部信息都必
须手工配置，并且不支持IPSec 的一些高级特性（例如定时更新密钥）；优点是可
以不依赖IKE 而单独实现 IPSec 功能。IKE 自动协商方式相对比较简单，只需要配
置好IKE 协商安全策略的信息，由 IKE 自动协商来创建和维护安全联盟。
当与 进行通信的对等体设备数量较少时，或是在小型静态环境中，手工
配置安全联盟是可行的。对于中、大型的动态网络环境中，推荐使用IKE 协商建立
安全联盟。

有兴趣的朋友可以自己再对某些不清楚的地方查找资料。