ipsec是通过对ip协议的分组进行加密

“协议安全性(IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在协议(IP)网络上进行保密而安全的通讯。Microsoft®Windows®、WindowsXP和WindowsServer家族实施IPSec是基于“工程任务组(IETF)”IPSec工作组开发的标准。

IPSec是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与的***。在通信中，只有发送方和接收方才是唯一必须了解IPSec保护的计算机。在WindowsXP和WindowsServer家族中，IPSec提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、以及漫游客户端之间的通信。

IPsec（ProtocolSecurity），是通过对IP协议（互联网协议）的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合）。

IPsec由两大部分组成：

（1）建立安全分组流的密钥交换协议；

（2）保护分组流的协议。前者为互联网金钥交换（IKE）协议。后者包括加密分组流的封装安全载荷协议（ESP协议）或认证头协议（AH协议）协议，用于保证数据的机密性、来源可靠性（认证）、无连接的完整性并提供抗重播服务。

这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。

在IPSec中，一组具有相同源地址/掩码、目的地址/掩码和上层协议的数据集称为数据流。通常，一个数据流采用一个访问控制列表（acl）来定义，所有为ACL允许通过的报文在逻辑上作为一个数据流。为更容易理解，数据流可以比作是主机之间一个的TCP连接。IPSec能够对不同的数据流施加不同的安全保护，例如对不同的数据流使用不同的安全协议、算法或密钥。

由用户手工配置，规定对什么样的数据流采用什么样的安全措施。对数据流的定义是通过在一个访问控制列表中配置多条规则来实现，在安全策略中引用这个访问控制列表来确定需要进行保护的数据流。一条安全策略由“名字”和“顺序号”共同唯一确定。

所有具有相同名字的安全策略的集合。在一个接口上，可应用或者取消一个安全策略组，使安全策略组中的多条安全策略同时应用在这个接口上，从而实现对不同的数据流进行不同的安全保护。在同一个安全策略组中，顺序号越小的安全策略，优先级越高。

IPSec对数据流提供的安全服务通过安全联盟SA来实现，它包括协议、算法、密钥等内容，具体确定了如何对IP报文进行处理。一个SA就是两个IPSec系统之间的一个单向逻辑连接，输入数据流和输出数据流由输入安全联盟与输出安全联盟分别处理。安全联盟由一个三元组（安全参数索引（SPI）、IP目的地址、安全协议号（AH或ESP））来唯一标识。安全联盟可通过手工配置和自动协商两种方式建立。手工建立安全联盟的方式是指用户通过在两端手工设置一些参数，然后在接口上应用安全策略建立安全联盟。自动协商方式由IKE生成和维护，通信双方基于各自的安全策略库经过匹配和协商，最终建立安全联盟而不需要用户的干预。

安全联盟更新时间有“计时间”（即每隔定长的时间进行更新）和“计流量”（即每传输一定字节数量的信息就进行更新）两种方式。

是一个32比特的数值，在每一个IPSec报文中都携带该值。SPI、IP目的地址、安全协议号三者结合起来共同构成三元组，来唯一标识一个特定的安全联盟。在手工配置安全联盟时，需要手工指定SPI的取值。为保证安全联盟的唯一性，每个安全联盟需要指定不同的SPI值；使用IKE协商产生安全联盟时，SPI将随机生成。

包括安全协议、安全协议使用的算法、安全协议对报文的封装形式，规定了把普通的IP报文转换成IPSec报文的方式。在安全策略中，通过引用一个安全提议来规定该安全策略采用的协议、算法等。

"不可否认性"可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技术中，发送方和接收方掌握相同的密钥。

"反重播"确保每个IP包的唯一性，保证信息万一被截取复制后，不能再被重新利用、重新传输回目的地址。该特性可以防止***者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。

防止传输过程中数据被篡改，确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和，接收方在打开包前先计算检查和，若包遭篡改导致检查和不相符，数据包即被丢弃。

在传输前，对数据进行加密，可以保证在传输过程中，即使数据包遭截取，信息也无法被读。该特性在IPSec中为可选项，与IPSec策略的具体设置相关。

使用公钥加密法，每个用户拥有一个密钥对，其中私钥仅为其个人所知，公钥则可分发给任意需要与之进行加密通信的人。例如：A想要发送加密信息给

B，则A需要用B的公钥加密信息，之后只有B才能用他的私钥对该加密信息进行解密。虽然密钥对中两把钥匙彼此相关，但要想从其中一把来推导出另一把，以目前计算机的运算能力来看，这种做法几乎完全不现实。因此，在这种加密法中，公钥可以广为分发，而私钥则需要仔细地妥善保管。

HMAC结合hash算法和共享密钥提供完整性。Hash散列通常也被当成是数字签名，但这种说法不够准确，两者的区别在于：Hash散列使用共享密钥，而数字签名基于公钥技术。hash算法也称为消息摘要或单向转换。称它为单向转换是因为：

2）使用Hash函数很容易从消息计算出消息摘要，但其逆向反演过程以目前计算机的运算能力几乎不可实现。

qq_:3多次执行同一条语句，数据少的情况下会出现有时候查不到数据，有时候可以，这个怎么解决呀

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。

2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。