河北百度愛(ài)采購協(xié)議在設計之初并沒(méi)有過(guò)多地考慮安全問(wèn)題，為了能夠使網(wǎng)絡(luò )方便地進(jìn)行互聯(lián)、互通，僅僅依靠IP頭部的校驗和字段來(lái)保證IP包的安全，因此IP包很容易被篡改，并重新計算校驗和。IETF于1994年開(kāi)始制定ISec協(xié)議標準，河北百度愛(ài)采購設計目標是在IPτ4和IPv6環(huán)境中為網(wǎng)絡(luò )層流量提供靈活、透明的安全服務(wù)，保護TCP/P通信免遭竊聽(tīng)和篡改，保證數據的完整性和機密性，有效抵御網(wǎng)絡(luò )攻擊，同時(shí)保持易用性。對于IPV4， IPSec.是可選的，對于IPv6， IPSec.是強制實(shí)施的IPse協(xié)議提供對IP及其上層協(xié)議的保護。在IP層上對數據包進(jìn)行高強度的安全處理，提供包括訪(fǎng)問(wèn)控制、完整性、認證和保密性在內的服務(wù)IPSec并不是一個(gè)單獨的協(xié)議，而是一套協(xié)議族。它包括安全協(xié)議和密鑰協(xié)商兩部分，
    其中，安全協(xié)議部分定義了如何通過(guò)在IP數據包中增加擴展頭和字段來(lái)保證IP包的機密性、完整性和可認證性，密鑰協(xié)商部分定義了通信實(shí)體間身份認證、創(chuàng )建安全關(guān)聯(lián)、協(xié)商加密算法，以及生成共享會(huì )話(huà)密鑰的方法IPSee安全協(xié)議給出了封裝安全載荷（ Encapsulating Security payload ESP）和鑒別頭（ Authentication header,AH）兩種通信保護機制。其中，ESP機制為通信提供機密性、完整性保護，AH機制為通信提供完整性保護。IPSec協(xié)議使用 Internet密鑰交換（ Internet Key Exchange,IKE）協(xié)議實(shí)現安全參數協(xié)商。
    IKE將這些安全參數構成的安全參數集合稱(chēng)為安全關(guān)聯(lián)（ Security Association, SA）IPSec的架構如圖2-9所示下一個(gè)頭（ next header）：最開(kāi)始的8位指出跟在A(yíng)H頭部的下一個(gè)載荷的類(lèi)型。在傳輸模式下，該字段是處于保護中的傳輸層協(xié)議的值，比如6（TCP17（UDP）或者50（ESP）。河北百度愛(ài)采購在隧道模式下，AH所保護的是整個(gè)IP包，該值是4，表示IPin-IP協(xié)議2）載荷長(cháng)度（ payload length）：接下來(lái)的8位，其值是以32位（4字節）為單位的整個(gè)AH數據（包括頭部和變長(cháng)的認證數據）的長(cháng)度再減23）保留（ reserved）：16位，作為保留用，現實(shí)中全部設置為o4）安全參數索引（ Security Parameter Index,sPI）：是一個(gè)32位整數目的IP地址、Isec協(xié)議等參數組成一個(gè)三元組，可以為該Ip包唯一地確定一個(gè)安全關(guān)聯(lián)SA.SA是通信雙方達成的一個(gè)協(xié)定，它規定了使用的 IPSec協(xié)議的類(lèi)型工作模式、密碼算法、密鑰以及用來(lái)保護它們之間通信的密鑰的生存期5）序列號（ sequence number）：是一個(gè)32位整數，作為一個(gè)單調遞增的計數器，用于抵抗重放攻擊6）認證數據（ authentication data）：可變長(cháng)部分，包含了認證數據，也就是HMAC算法的結果，稱(chēng)為完整性校驗值（ Integrity Check value,ICV）。該字段必須為32位的整數倍AH的位置取決于A(yíng)H的工作模式。傳輸模式中，AH在IP頭之后所有傳輸居協(xié)議之前。隧道模式中，AH在原始的IP頭之前，
    另外生成一個(gè)新的IP頭放在A(yíng)H前。兩種模式下AH協(xié)議格式如圖2-13所原來(lái)P頭擴展頭AH擴展頭TCP頭數據傳輸模式新P頭擴展頭AH原始P頭擴展頭TP頭數據磁道模式圖2-13傳輸模式和隧道模式下的AH格式4封裝安全載荷封裝安全載荷（ Encapsulating Security Payload,ESP）協(xié)議也是一種增強IP層安全的IPse協(xié)議，由RFC2406定義。ESP協(xié)議除了可以提供無(wú)連接的完整性服務(wù)、數據來(lái)源認證和抗重放攻擊服務(wù)之外，還提供數據包加密和數據流加密服各。FSP可以單沖伸用。巾可以和AH結合伸用。