Internet团体在很多应用领域中开发了特定应用的安全机制，包括电子邮件（S/MIME）、客户端/服务器应用（Kerberos）、Web访问（SSL/TLS）等。但是，用户有时会遇到一些跨越协议层的安全问题。例如，一个企业可以通过，禁止链接到不受信任的站点、加密离开企业网络数据包，以及验证进入企业网络的数据包，来运行安全的专用TCP/IP网络。通过在IP层上实施安全，一个组织不仅可以保证具有安全机制的应用的安全，也能保证许多没有安全机制的应用的安全。

为了解决这些问题，Internet体系结构委员会（Internet Architecture Board，IAB）将身份验证和加密作为必要的安全功能包含在下一代IP中，这些功能已经随IPv6发布了。另外，这些安全功能被设计为在IPv4中也可以使用。

IP层安全包括3个功能：身份验证、机密性和密钥管理。身份验证机制确保接收到的数据包，的确是包头中的源地址标识的一方发送的。此外，该机制也保证数据包在传输过程中未被更改。机密性功能使通信节点能够加密消息，以防止第三方窃听。密钥管理功能负责密钥的安全交换。当前版本的IPSec称为IPsecv3，包含身份验证和机密性。密钥管理由Internet密钥交换标准IKEv2提供。

接下来首先简要介绍一下IP安全（IPSec）和IPSec体系结构，然后学习一些技术细节。

1. IPSec的应用

IPSec提供了保护LAN、私有和公共WAN及Internet上的通信的能力。以下是使用IPSec的一些例子：

（1）分支机构通过Internet安全接入：公司可以在Internet上或公共WAN上构建一个安全的虚拟专用网（VPN）。这使得公司能够更加依赖Internet，减少对专用网络的需求，从而能够节省成本和网络管理开销。

（2）通过Internet进行安全远程访问：如果系统配置了IPSec协议，用户可以向Internet服务提供商（ISP）提出请求，来获得对公司网络的安全访问。这降低了出差员工和远程办公人员的通行费。

（3）与合作伙伴建立企业网络之间和企业内部网络的连接：IPSec可用于保护与其他组织的通信，确保身份验证和机密性，并提供密钥交换功能。

（4）增强电子商务安全性：尽管某些Web和电子商务应用程序具有内置的安全协议，但使用IPSec可增强其安全性。(www.daowen.com)

使得IPSec能够支持这些不同应用的主要特征是，它可以在IP层对所有的流量进行加密和验证。因此，IPSec能够保护所有分布式应用，包括远程登录、客户端/服务器、电子邮件、文件传输、Web访问等。

2. IPSec的优点

（1）当IPSec在防火墙或路由器中实施时，它会对通过网络边界的所有通信流量提供强大的保护。公司或工作组内的通信流量不会产生与安全相关的处理开销。

（2）如果来自外部的所有流量必须使用IP，并且防火墙是从Internet进入组织的唯一入口，则防火墙中的IPSec可以防止被绕过。

（3）IPSec在传输层（TCP、UDP）之下，因此对所有应用都是透明的。在防火墙或路由器中实施IPSec时，无须更改用户或服务器系统上的软件。即使IPSec在终端系统中实施，上层软件（包括应用程序）也不会受到影响。

（4）IPSec对终端用户可以是透明的。因此，无须培训用户如何使用IPSec。

（5）如果需要，IPSec可以为个人用户提供安全性。这对于场外工作人员很有用，对于在组织内部为敏感的应用程序设置一个安全的虚拟子网也非常有用。

（6）在需要互联的路由体系中，IPSec可以保证：路由广播（新的路由器公告它的存在）来自授权的路由器；邻居广播（路由器试图建立或维护与其他路由域中的路由器的邻居关系）来自授权的路由器；重定向消息来自于初始数据包所发送到的路由器；路由更新无法伪造。