IPSec基本原理

IPSec基本原理

IPSec通过在IPSec对等体间建立双向安全联盟形成一个安全互通的IPSec隧道，并通过定义IPSec保护的数据流将要保护的数据引入该IPSec隧道，然后对流经IPSec隧道的数据通过安全协议进行加密和验证，进而实现在Internet上安全传输指定的数据。

IPSec安全联盟可以手工建立，也可以通过IKEv1或IKEv2协议自动协商建立。手工方式与IKE自动协商方式建立安全联盟的主要区别在于，前者建立安全联盟的所有参数都要用户手工配置和维护，在IPSec对等体两端参数匹配和协商通过后建立安全联盟；后者只需要配置IKE协商的信息，由IKE自动协商来建立和维护安全联盟。后者的配置维护更简单，且密钥更安全，因此通常推荐采用IKE自动协商方式建立安全联盟。本文仅介绍IKE自动协商建立安全联盟的过程。