第3章 IPSec基本理論

3.1 基本原理介紹

IPSec 是一項(xiàng)標(biāo)準(zhǔn)的安全技術(shù)，它通過(guò)在數(shù)據(jù)包中插入一個(gè)預(yù)定義頭部的方式，來(lái)保障OSI上層協(xié)議數(shù)據(jù)的安全。IPSec主要用于保護(hù)網(wǎng)絡(luò)層（IP）數(shù)據(jù)，因此它提供了網(wǎng)絡(luò)層的安全性。

圖3-1所示為IPSec封裝的示意圖。

圖3-1 IPSec封裝示意圖

圖3-1上半部分所示是一個(gè)普通的IP數(shù)據(jù)包，下半部分所示是被IPSec加密后的數(shù)據(jù)包格式。不難看出IPSec技術(shù)在原始IP頭部和IP負(fù)載之間插入了一個(gè)IPSec頭部，這樣可以對(duì)原始的IP負(fù)載實(shí)現(xiàn)加密，同時(shí)還可以實(shí)現(xiàn)對(duì)IPSec頭部和原始IP負(fù)載的驗(yàn)證，以確保數(shù)據(jù)的完整性。

與我們?cè)谇耙徽轮薪榻B的GRE技術(shù)相比，IPSec技術(shù)可以提供更多的安全特性，它對(duì)VPN流量提供了如下3個(gè)方面的保護(hù)。

私密性（Confidentiality）：數(shù)據(jù)私密性也就是對(duì)數(shù)據(jù)進(jìn)行加密。這樣一來(lái)，即使第三方能夠捕獲加密后的數(shù)據(jù)，也不能將其恢復(fù)成明文。

完整性（Integrity）：完整性確保數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被第三方篡改。

源認(rèn)證（Authenticity）：源認(rèn)證也就是對(duì)發(fā)送數(shù)據(jù)包的源進(jìn)行認(rèn)證，確保是合法的源發(fā)送了此數(shù)據(jù)包。