IPSec: 安全机制（加密和验证）

IPSec: 安全机制（加密和验证）
IPSec提供了两种安全机制：加密和验证。加密机制保证数据的机密性，防止数据在传输过程中被窃听；验证机制能保证数据真实可靠，防止数据在传输过程中被仿冒和篡改。

加密
IPSec采用对称加密算法对数据进行加密和解密。如图所示，数据发送方和接收方使用相同的密钥进行加密、解密。

用于加密和解密的对称密钥可以手工配置，也可以通过IKE协议自动协商生成。
常用的对称加密算法包括：数据加密标准DES（Data Encryption Standard）、3DES（Triple Data Encryption Standard）、先进加密标准AES（Advanced Encryption Standard）国密算法（SM4）。其中，DES和3DES算法安全性低，存在安全风险，不推荐使用。

验证
IPSec的加密功能，无法验证解密后的信息是否是原始发送的信息或完整。IPSec采用HMAC（Keyed-Hash Message Authentication Code）功能，比较完整性校验值ICV进行数据包完整性和真实性验证。
通常情况下，加密和验证通常配合使用。如图2所示，在IPSec发送方，加密后的报文通过验证算法和对称密钥生成完整性校验值ICV，IP报文和完整性校验值ICV同时发给对端；在IPSec接收方，使用相同的验证算法和对称密钥对加密报文进行处理，同样得到完整性校验值ICV，然后比较完整性校验值ICV进行数据完整性和真实性验证，验证不通过的报文直接丢弃，验证通过的报文再进行解密。

同加密一样，用于验证的对称密钥也可以手工配置，或者通过IKE协议自动协商生成。
常用的验证算法包括：消息摘要MD5（Message Digest 5）、安全散列算法SHA1（Secure Hash Algorithm 1）、SHA2、国密算法SM3（Senior Middle 3）。其中，MD5、SHA1算法安全性低，存在安全风险，不推荐使用。

VPN配置案例汇总、VPN汇总（列表、list、全）vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html