IPSec（Internet Protocol Security）：是一组基于网络层的，应用密码学的安全通信协议族。
IPSec不是具体指哪个协议，而是一个开放的协议族。IPSec VPN体系结构主要由AH、ESP和IKE协议套件组成。
IPSec通过ESP来保障IP数据传输过程的机密性，使用AH/ESP提供数据完整性、数据源验证和抗报文重放功能。
ESP和AH定义了协议和载荷头的格式及所提供的服务，但却没

IPSec（Internet Protocol Security）：是一组基于网络层的，应用密码学的安全通信协议族。
IPSec不是具体指哪个协议，而是一个开放的协议族。IPSec VPN体系结构主要由AH、ESP和IKE协议套件组成。
IPSec通过ESP来保障IP数据传输过程的机密性，使用AH/ESP提供数据完整性、数据源验证和抗报文重放功能。
ESP和AH定义了协议和载荷头的格式及所提供的服务，但却没有定义实现以上能力所需具体转码方式，转码方式包括对数据转换方式，如算法、密钥长度等。
为简化IPSec的使用和管理，IPSec还可以通过IKE进行自动协商交换密钥、建立和维护安全联盟的服务。具体如下：
1.AH协议：AH是报文头验证协议，主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而，AH并不加密所保护的数据报。
2.ESP协议：ESP是封装安全载荷协议。它除提供AH协议的所有功能外（但其数据完整性校验不包括IP头），还可提供对IP报文的加密功能。
3.IKE协议：IKE协议用于自动协商AH和ESP所使用的密码算法。
IKE定义了安全参数如何协商,以及共享密钥如何建立,但它没有定义的是协商内容。这方面的定义是由"解释域(doi)"文档来进行。

IPSec协议族：
 
 
 
 
 
IPSec协议的设计目标：是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。
IPSec VPN：是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式，来保障OSI上层协议数据的安全，主要用于保护TCP、UDP、ICMP和隧道的IP数据包。
IPsec主要由以下协议组成:

1. 认证头(AH ) ，为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护；
2. 封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow) 机密性；
3. 安全关联(SA)，提供算法和数据包，提供AH、ESP操作所需的参数。

 
 
IPsec被设计用来提供入口对入口通信安全，在此机制下,分组通信的安全性由单个节点提供给多台机器(甚至可以是整个局域网)；端到端分组通信安全，由作为端点的计算机完成安全操作。上述的任意一种模式都可以用来构建虚拟专用网(VPN)，而这也是IPsec最主要的用途之一。应该注意的是，上述两种操作模式在安全的实现方面有着很大差别。
因特网范围内端到端通信安全的发展比预料的要缓慢，其中部分原因是因为其不够普遍或者说不被普遍信任。公钥基础设施能够得以形成(DNSSEC最初就是为此产生的),一部分是因为许多用户不能充分地认清他们的需求及可用的选顼，导致其作为内含物强加到卖主的产品中（这也必将得到广泛采用）；另一部分可能归因于网络响应的退化（或说预期退化）,就像兜售信息的充斥而带来的带宽损失一样。