二、IP安全（IP  security）

　　IP v6提供一个安全机制和一系列安全服务支持，如数据认证、完整性验证、IP控制层加密。IP SEC的一个最基本的优点是它可以在共享网络访问设备，甚至是所有的主机和服务器上完全实现，这很大程度避免了升级任何网络相关资源的需要。在客户端，IPSEC架构允许使用在远程访问边界路由器或基于纯软件方式使用普通MODEM的PC机和工作站。通过两种模式在应用上提供更多的弹性：传送模式和隧道模式。

　　传送模式：在远程计算机间直接执行IP安全服务。传送模式通常当ESP在一台主机（客户机或服务器）上实现时使用，传送模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。

　　隧道模式：通过中间系统执行IP数据包压缩。隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包包括全部TCP/IP或UDP/IP头和数据，它用自己的地址作为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。

        1、两种模式示意图表

        

 表1  IP 数据包

  

      表2   IPSEC数据包(传送模式)

表3    IPSEC(隧道模式)

                                                                                                                                         图1   传送模式与隧道模式对比

        2、IPSec安全

        IPSEC在IP数据包中的原始报头和传送报头中添加一个报头，通过ESP数据加密，一种新的数据包标记被加入。

        表4     加密前IP数据包格式

   、

     表5  加密后IP数据包格式