IPSec包含了哪3个最重要的协议?简述这3个协议的主要功能?

IPSec众多的RFC通过关系图组织在一起，它包含了三个最重要的协议：AH、ESP、IKE。

(1)AH为IP数据包提供如下3种服务：无连接的数据完整性验证、数据源身份认证和防重放攻击。数据完整性验证通过哈希函数(如MD5)产生的校验来保证;数据源身份认证通过在计算验证码时加入一个共享密钥来实现;AH报头中的序列号可以防止重放攻击。

(2)ESP除了为IP数据包提供AH已有的3种服务外，还提供数据包加密和数据流加密。数据包加密是指对一个IP包进行加密(整个IP包或其载荷部分)，一般用于客户端计算机;

数据流加密一般用于支持IPSec的路由器，源端路由器并不关心IP包的内容，对整个IP包进行加密后传输，目的端路由器将该包解密后将原始数据包继续转发。

AH和ESP可以单独使用，也可以嵌套使用。可以在两台主机、两台安全网关(防火墙和路由器)，或者主机与安全网关之间使用。

(3)IKE负责密钥管理，定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE将密钥协商的结果保留在安全联盟(SA)中，供AH和ESP以后通信时使用。解释域(DOI)为使用IKE进行协商SA的协议统一分配标识符。