互联网安全协议（英语：Internet Protocol Security，缩写为IPsec），是一个协议簇，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合）。

IPsec主要由以下协议组成：

一、认证头（AH），为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护；

二、封装安全载荷（ESP），提供机密性、数据源认证、无连接完整性、防重放和有限的传输流（traffic-flow）机密性；

三、安全关联（SA），提供算法和数据包，提供AH、ESP操作所需的参数。

四、密钥协议（IKE），提供对称密码的钥匙的生存和交换。

IPSec的安全特性主要有：

一、不可否认性

"不可否认性"可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技术中，发送方和接收方掌握相同的密钥。

二、反重播性

"反重播"确保每个IP包的唯一性，保证信息万一被截取复制后，不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。

三、数据完整性

防止传输过程中数据被篡改，确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和，接收方在打开包前先计算检查和，若包遭篡改导致检查和不相符，数据包即被丢弃。

四、数据可靠性

在传输前，对数据进行加密，可以保证在传输过程中，即使数据包遭截取，信息也无法被读。该特性在IPSec中为可选项，与IPSec策略的具体设置相关。

IPSec安全体系内容有：

验证头部AH：
为IP包提供数据完整性校验和身份认证功能；
验证算法由SA指定；
认证的范围：整个包。
封装安全载荷ESP：
提供机密性，数据源验证，抗重播以及数据完整性等安全服务；

田鑫，专业的企业组网服务商，致力于为企业提供企业组网（SD-WAN、MPLS、云互联），业务云化、数据中心、网络安全、行业IT解决方案等相关服务。