(1) IPsec

IPsec（IP security，IP網(wǎng)絡(luò)層安全標(biāo)準(zhǔn)）支持IPv4和IPv6，可以“無縫”地為IP層引入安全特性，并為數(shù)據(jù)源提供身份驗(yàn)證、完整性檢查及機(jī)密性保證機(jī)制。

IPsec為一組協(xié)議，包括安全協(xié)議及相關(guān)安全參數(shù)的密鑰管理協(xié)議部分。它為數(shù)據(jù)源提供身份驗(yàn)證、完整性檢查及機(jī)密性保證機(jī)制。

IPsec在兩個(gè)端點(diǎn)之間建立SA (security association，安全聯(lián)盟)進(jìn)行數(shù)據(jù)的安全傳輸。SA定義了數(shù)據(jù)保護(hù)中使用的協(xié)議和算法，以及SA有效時(shí)間等屬性。

IPsec在轉(zhuǎn)發(fā)加密數(shù)據(jù)時(shí)產(chǎn)生新的AH、ESP或（AH與ESP）附加報(bào)頭，且被加密，附加報(bào)頭和加密用戶數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)分組中；傳輸方式中，只是傳輸層（如TCP、UDP、ICMP）數(shù)據(jù)被用來計(jì)算附加報(bào)頭，附加報(bào)頭和被加密的傳輸層數(shù)據(jù)被放置在原來IP報(bào)頭的后面。

IPSec提供了兩個(gè)主機(jī)之間、兩個(gè)安全網(wǎng)關(guān)之間或主機(jī)和安全網(wǎng)關(guān)之間的數(shù)據(jù)保護(hù)。在兩個(gè)端點(diǎn)之間可以建立多個(gè)SA，并結(jié)合訪問控制列表，使IPsec可以對(duì)不同的數(shù)據(jù)流實(shí)施不同的保護(hù)策略。由于SA是單向的，通常兩個(gè)端點(diǎn)之間存在4個(gè)SA，其中每個(gè)端點(diǎn)有兩個(gè)SA: -個(gè)用于數(shù)據(jù)分組發(fā)送，另一個(gè)用于接收。