这是我参与8月更文挑战的第1天，活动详情查看：8月更文挑战

8月份更文挑战主题：IPsec协议
IPsec系列文章（1）：Ipsec协议概述---

1. 概述

1.1. IPSec的产生背景

IPSec是由IETF IPSec工作组于1998年制定的一组基于密码学的安全的开放网络安全协议，总称IP安全（IP security）体系结构，简称IPSec。

1.2. 发展概述

IPSec是一个安全协议簇，而且是一个开放的、不断发展的安全协议簇，由一系列协议及文档组成。

1.3. 设计目标及功能

IPSec的设计目的是为IPv4及IPv6提供基于密码学的安全性保护。它工作在IP层，提供访问控制、无连接的完整性、数据源认证、机密性保护、有限的数据流机密性保护以及抗重放攻击等安全服务。由于工作在IP层，所以IPSec可为上层协议无缝地提供安全保障，各种应用程序可以享用IP层提供的安全服务及密钥管理，而不必设计自己的安全机制，因此减少密钥协商开销，也降低了产生安全漏洞的可能性，即透明的提供安全服务。

IPSec通过使用两种安全通信协议（AH和ESP）以及Internet密钥交换协议（IKE）等密钥管理协议完成以上目标。安全通信协议部分定义了对通信的保护方式；密钥协商部分定义了如何为安全协议协商保护参数，以及如何认证通信实体的身份。

1.1. 体系结构

IPSec体系结构现用文档为RFC2401，系统的描述了IPSec工作原理、系统组成以及各组件是如何协调工作提供上述安全服务的。

IPSec主要由鉴别头（AH）协议、封装安全载荷（ESP）以及负责密钥管理的Interne密钥交换（IKE）协议组成，各协议之间的关系如下图：

1)   IPSec体系

包含了一般的概念、安全需求、定义和定义IPSec的技术机制。

2)   AH协议和ESP协议

IPSec用于保护传输数据安全的两个主要协议。AH和ESP都能用于访问控制、数据源认证、无连接完整性保护和抗重放攻击，同时ESP还可用于机密性保护和有限流的机密性[chen_yh1] 保护。

3)   解释域

为保证IPSec通信双方能够进行交互，因此双方必须保持对通信消息相同的解释规则，即应支持有相同的解释域（interpretation of domain，DOI）。IPSec至少给出了两个解释域：IPSec DOI和ISAKMP DOI，分别对应不同的使用范围。

解释域定义了协议用来确定安全服务的信息、通信双方必须支持的安全策略、规定所提议的安全服务时采用的句法、命名相关安全服务时的方案，包括加密算法、密钥交换算法、安全策略特性和认证机构等。

4)   加密算法和认证算法

ESP涉及这两种算法，AH仅涉及认证算法。加密算法和认证算法在协商过程中，通过使用共同的DOI，具有相同的解释规则。随着密码技术的发展，不断有新的加密和认证算法可以用于IPSec。

5)   密钥管理

IPSec密钥管理主要由IKE协议完成。准确的说IKE用于动态建立安全关联SA及提供所需要的经过认证的密钥材料。IKE的基础是internet安全关联和密钥关联协议（ISAKMP）、Oakley和SKEME等三个协议，它沿用了ISAKMP的基础、Oakley的模式以及SKEME的共享密钥更新技术。

虽然ISAKMP称为internet安全关联和密钥关联协议，但它定义的是一个管理框架。ISAKMP定义了双方如何沟通，如果构建彼此间的通信，还定义了保障通信安全所需要的状态变换。ISAKMP提供了对对方身份认证的方法，密钥交换时交换信息的方法，以及对安全服务进行协商的方法。然后，它即没有定义一次特定的验证密钥交换如何完成，也没有定义建立安全关联所需的属性。