網(wǎng)絡(luò)安全教程第12章-密鑰交換協(xié)議(II)：課件

第12章密鑰交換協(xié)議（II）：2-方協(xié)議12.1協(xié)議安全性的概念12.2Diffie-Hellman協(xié)議12.3SIGMA協(xié)議12.4SSL/TLS協(xié)議12.5VPN與IPSec協(xié)議第12章密鑰交換協(xié)議（II）：2-方協(xié)議12.1協(xié)12.1協(xié)議安全性的概念

帶身份認(rèn)證的密鑰交換協(xié)議需要要同時(shí)完成兩類目標(biāo)：第一，在線認(rèn)證協(xié)議當(dāng)前參與方的身份，其中某些協(xié)議只追求一方認(rèn)證另一方的身份，稱為“單向認(rèn)證”，另一些協(xié)議追求雙方互相認(rèn)證，稱為“雙向認(rèn)證”；第二，在協(xié)議雙方之間生成一個(gè)密鑰Ks，Ks用于接下來對一切需要保密的數(shù)據(jù)進(jìn)行對稱加密。精確地說，這類協(xié)議的安全目標(biāo)包括以下必須被同時(shí)滿足的三點(diǎn)。12.1協(xié)議安全性的概念帶身份認(rèn)證的密鑰交換協(xié)議

如果協(xié)議任何一方A(B)按照協(xié)議的邏輯判定對方的身份是B(A)，則當(dāng)前實(shí)際參與協(xié)議的對方確實(shí)是B(A)，這就是抗身份欺詐性質(zhì)。如果協(xié)議任何一方A(B)按照協(xié)議的邏輯判定當(dāng)前與之會話的對方是B(A)，則對方也必定判定當(dāng)前與之會話的對方是A(B)，這就是協(xié)議的一致性。除合法參與方之外，協(xié)議所生成的會話密鑰Ks對任何第三方（包括被動或主動攻擊者）都無法（用P.P.T.算法）有效推斷出來，這就是密鑰保密性。如果協(xié)議任何一方A(B)按照協(xié)議的邏輯判定對方的身12.2Diffie-Hellman協(xié)議

設(shè)G是循環(huán)群，如Fp*（p是大素?cái)?shù)），g是其公開的生成子，G上的離散對數(shù)問題是指：任給U=gx求指x；G上的計(jì)算性Diffie-Hellman問題是指：任給U=gx和V=gy兩個(gè)元素，求gxy；G上的判定性Diffie-Hellman問題是指：任給U=gx、V=gy和W三個(gè)元素，判定W？=gxy。

Diffie-Hellman協(xié)議的安全性要求G上的判定性Diffie-Hellman問題難解，即不存在P.P.T.算法A能從任意的輸入U(xiǎn)(=gx)、V(=gy)和W以顯著偏離1/2的概率判定W？=gxy。12.2Diffie-Hellman協(xié)議設(shè)G是循

設(shè)SIG=(KGs,Sign,Vf)是抗偽造的數(shù)字簽名方案，Π=(KGe,E,D)是保密的對稱加密方案。

Diffie-Hellman協(xié)議的過程如圖12-1所示，其中(vkA,skA)和(vkB,skB)分別是A和B的簽字公鑰和私鑰，并且假定A和B事先已從可信任的途徑（如公鑰基礎(chǔ)設(shè)施中的數(shù)字證書）獲得了對方簽字公鑰（vkB和vkA），f是任何一種散列函數(shù)。設(shè)SIG=(KGs,Sign,Vf)是抗偽造的數(shù)字圖12-1Diffie-Hellman協(xié)議圖12-1Diffie-Hellman協(xié)議12.3SIGMA協(xié)議12.3.1主體協(xié)議12.3.2匿名的變體12.3.3完整的協(xié)議實(shí)例：SIGMA-R12.3SIGMA協(xié)議12.3.1主體協(xié)議12.3.1主體協(xié)議SIGMA協(xié)議也是一類基于判定性Diffie-Hellman問題難解性的密鑰交換協(xié)議。記號prf表示擬隨機(jī)函數(shù)（在目前階段讀者將其想象為散列函數(shù)即可），SIG=(KGs,Sign,Vf)是抗偽造的數(shù)字簽名方案，MAC=(KGm,MAC,MVf)是抗偽造的消息認(rèn)證碼方案，循環(huán)群G以g為公開的生成子，G上的判定性Diffie-Hellman問題難解。

SIGMA協(xié)議過程如圖12-2所示，其中CA(A||vkA)和CA(B||vkB)表示A和B的公鑰證書。12.3.1主體協(xié)議SIGMA協(xié)議也是一類基于判圖12-2SIGMA協(xié)議圖12-2SIGMA協(xié)議12.3.2匿名的變體SIGMA協(xié)議有能力針對一類特殊應(yīng)用模式，即協(xié)議參與方之一事先未必總能明確當(dāng)前需要與之對話的對方。這時(shí)一個(gè)常見的需求是協(xié)議的某一方不先行暴露自己，僅在確認(rèn)對方具有可信任的身份之后再向?qū)Ψ匠鍪咀约旱纳矸荨?2.3.2匿名的變體SIGMA協(xié)議有能力針對一

圖12-2中所示的SIGMA協(xié)議已經(jīng)具有這一特點(diǎn)：B先向A出示自己的身份（第二條消息），而A僅在認(rèn)證了B的身份之后才向B表明自己的身份（第三條消息）。在實(shí)際應(yīng)用中，這給了協(xié)議發(fā)起方A一個(gè)機(jī)會，一旦對方不屬于自己所信任的實(shí)體，A將立刻終止協(xié)議而不向B暴露自己的身份。這就是第一類匿名性質(zhì)，即協(xié)議的參與方之一總是在另一方的身份被完全認(rèn)證之后才出示自己的身份。這一性質(zhì)也稱為后驗(yàn)身份認(rèn)證性質(zhì)。圖12-2中的SIGMA協(xié)議就使A具有對B的后驗(yàn)身份認(rèn)證性質(zhì)。圖12-2中所示的SIGMA協(xié)議已經(jīng)具有這一特點(diǎn)：B先圖12-3第一類匿名的SIGMA協(xié)議:B后驗(yàn)身份認(rèn)證圖12-3第一類匿名的SIGMA協(xié)議:B后驗(yàn)身份認(rèn)證

還有第二類匿名性質(zhì)，即協(xié)議雙方對任何非參與方完全匿名。這一要求在當(dāng)代無線網(wǎng)絡(luò)環(huán)境中是非?，F(xiàn)實(shí)的：通信雙方不僅需要保密其傳輸?shù)臄?shù)據(jù)，而且經(jīng)常期望不向任何第三方暴露自己的身份，以免暴露自己的行蹤。

SIGMA協(xié)議略加修改就可以滿足這一要求，辦法是對含身份標(biāo)識的消息進(jìn)行對稱加密，而加密密鑰來自當(dāng)前協(xié)議會話生成的隨機(jī)數(shù)。還有第二類匿名性質(zhì)，即協(xié)議雙方對任何非參與方完全匿名。

這樣，僅協(xié)議的合法參與方才能解密從而“看到”身份標(biāo)識，這就是如圖12-4所示的SIGMA協(xié)議，其中符號{M}K表示以K為密鑰對括號中的消息M做對稱加密，其他符號與圖12-2中的完全相同。這樣，僅協(xié)議的合法參與方才能解密從而“看到”身份標(biāo)識，12.3.3完整的協(xié)議實(shí)例：SIGMA-R

這一協(xié)議不僅具有12.1節(jié)描述的所有安全性質(zhì)，而且還具有B對A的后驗(yàn)身份認(rèn)證性質(zhì)（第一類匿名），并且A、B對任何第三方完全匿名（第二類匿名）。圖12-5SIGMA-R協(xié)議12.3.3完整的協(xié)議實(shí)例：SIGMA-R這一協(xié)議圖12-4第二類匿名的SIGMA協(xié)議:A、B對第三方匿名圖12-4第二類匿名的SIGMA協(xié)議:A、B對第三方匿12.4SSL/TLS協(xié)議

圖中的符號E和D分別表示某個(gè)選定的對稱加密方案的加密算法與解密算法，prf表示某個(gè)擬隨機(jī)函數(shù)，HMAC表示某種消息認(rèn)證碼生成算法，Sign是選定的數(shù)字簽名方案的簽字算法。12.4SSL/TLS協(xié)議圖中的符號E和D分別表圖12-6SSL/TLS協(xié)議圖12-6SSL/TLS協(xié)議12.5VPN與IPSec協(xié)議12.5.1VPN12.5.2

IPSec協(xié)議族12.5VPN與IPSec協(xié)議12.5.1VPN12.5.1VPN

所謂VPN是指虛擬私有網(wǎng)（VirtualPrivateNetwork）或虛擬專用網(wǎng)，它在不可信任的公共網(wǎng)絡(luò)設(shè)施（如因特網(wǎng)）上通過安全協(xié)議等技術(shù)途徑實(shí)現(xiàn)完全可信任的邏輯通信環(huán)境，其效果就好像在完全私有的網(wǎng)絡(luò)環(huán)境上一樣。從使用者的觀點(diǎn)看，VPN分為內(nèi)聯(lián)網(wǎng)VPN、外聯(lián)網(wǎng)VPN和遠(yuǎn)程接入VPN。12.5.1VPN所謂VPN是指虛擬私有網(wǎng)（Vi圖12-7從用戶角度看到的VPN圖12-7從用戶角度看到的VPN圖12-8遠(yuǎn)程接入（撥號）VPN圖12-8遠(yuǎn)程接入（撥號）VPN圖12-9內(nèi)聯(lián)網(wǎng)VPN圖12-9內(nèi)聯(lián)網(wǎng)VPN

圖12-10外聯(lián)網(wǎng)VPN圖12-10外聯(lián)網(wǎng)VPNVPN也可以按照部署模式分類，部署模式從本質(zhì)上講是指VPN邏輯連接的起點(diǎn)和終點(diǎn)。這時(shí)VPN可以分為端到端（end-to-end）模式和供應(yīng)商—企業(yè)（Provider-Enterprise）模式。VPN也可以按照部署模式分類，部署模式從本質(zhì)上講是12.5.2IPSec協(xié)議族VPN可以視為公共因特網(wǎng)上的一群可信任的安全區(qū)域，每個(gè)區(qū)域?qū)嵤┮唤M特定的對IP分組的數(shù)據(jù)保密、認(rèn)證及訪問控制策略。

IPSec協(xié)議族就是幫助因特網(wǎng)實(shí)現(xiàn)這一安全目標(biāo)的具體技術(shù)。12.5.2IPSec協(xié)議族VPN可以視為公共因特圖12-11IPSec協(xié)議族的體系結(jié)構(gòu)圖12-11IPSec協(xié)議族的體系結(jié)構(gòu)IPSec可以在主機(jī)/主機(jī)之間、安全網(wǎng)關(guān)/路由器之間、主機(jī)/安全網(wǎng)關(guān)之間或主機(jī)/路由器之間實(shí)施。實(shí)施的模式有兩種：傳輸模式和隧道模式。傳輸模式用于保護(hù)IP分組所承載的上層協(xié)議數(shù)據(jù)，這種模式在原始分組的IP首部與上層協(xié)議的消息單元（如TCP段、UDP消息）之間插入一個(gè)IPSec首，但整個(gè)IP分組仍以傳統(tǒng)方式在因特網(wǎng)上被路由/轉(zhuǎn)發(fā)。隧道模式用來保護(hù)整個(gè)IP分組的內(nèi)容，包括原始IP分組的首部和數(shù)據(jù)載荷部分。IPSec可以在主機(jī)/主機(jī)之間、安全網(wǎng)關(guān)/路由器之間圖12-12不同傳輸模式下的IP分組（以承載TCP段的IP分組為例）圖12-12不同傳輸模式下的IP分組（以承載TCP段的I

在接下來進(jìn)一步描述IPSec之前，需要解釋IPsec的兩個(gè)重要概念，這就是安全關(guān)聯(lián)（SecurityAssociation，SA，中文名稱也譯為安全聯(lián)盟）和安全策略（SecurityPolicy，SP）。

SA是兩個(gè)通信實(shí)體經(jīng)協(xié)商建立起來的一種協(xié)定，協(xié)定內(nèi)容主要針對IP分組的安全保護(hù)機(jī)制，如數(shù)據(jù)的加密/解密算法、會話密鑰、隨機(jī)數(shù)、身份認(rèn)證算法和對應(yīng)的參數(shù)等。在接下來進(jìn)一步描述IPSec之前，需要解釋IPsecSP是IPSec的另一個(gè)重要組成部分，它定義兩個(gè)運(yùn)行IPSec的機(jī)器之間的安全通信特征，并決定在該通信中為所有IP分組提供的安全服務(wù)?，F(xiàn)在可以解釋IPSec的兩個(gè)重要的子協(xié)議：用于實(shí)現(xiàn)IP分組的數(shù)據(jù)完整性保護(hù)的AH協(xié)議和用以IP分組數(shù)據(jù)保密的ESP協(xié)議。這兩個(gè)協(xié)議都有其特定的首部，統(tǒng)稱為IPSec首，在具體情形則稱為AH首或ESP首。

AH（AuthenticationHeader）協(xié)議把含密鑰的HMAC散列值附加到IP分組上，以此實(shí)現(xiàn)數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和抗重放攻擊。SP是IPSec的另一個(gè)重要組成部分，它定義兩個(gè)運(yùn)行圖12-13AH協(xié)議圖12-13AH協(xié)議ESP（EncapsulatingSecurityPayload）協(xié)議也表現(xiàn)為插入IP分組的一個(gè)IPSec協(xié)議首。圖12-14ESP協(xié)議ESP（EncapsulatingSecurity

對IPSec，履行通信雙方身份認(rèn)證和動態(tài)生成共享密鑰的協(xié)議是IKE協(xié)議。圖12-15IPSec運(yùn)行模型對IPSec，履行通信雙方身份認(rèn)證和動態(tài)生成共享密鑰

圖12-16所示是在IKE協(xié)商完成之后，也就是輸入/輸出方向的SA被明確建立后，IP分組的發(fā)送和接收的處理流程，從圖中可以清楚地看出安全機(jī)制是怎樣被包括進(jìn)去的。圖12-16IPSec對IP分組的輸入/輸出流程圖12-16所示是在IKE協(xié)商完成之后，也就是輸入/第12章密鑰交換協(xié)議（II）：2-方協(xié)議12.1協(xié)議安全性的概念12.2Diffie-Hellman協(xié)議12.3SIGMA協(xié)議12.4SSL/TLS協(xié)議12.5VPN與IPSec協(xié)議第12章密鑰交換協(xié)議（II）：2-方協(xié)議12.1協(xié)12.1協(xié)議安全性的概念

帶身份認(rèn)證的密鑰交換協(xié)議需要要同時(shí)完成兩類目標(biāo)：第一，在線認(rèn)證協(xié)議當(dāng)前參與方的身份，其中某些協(xié)議只追求一方認(rèn)證另一方的身份，稱為“單向認(rèn)證”，另一些協(xié)議追求雙方互相認(rèn)證，稱為“雙向認(rèn)證”；第二，在協(xié)議雙方之間生成一個(gè)密鑰Ks，Ks用于接下來對一切需要保密的數(shù)據(jù)進(jìn)行對稱加密。精確地說，這類協(xié)議的安全目標(biāo)包括以下必須被同時(shí)滿足的三點(diǎn)。12.1協(xié)議安全性的概念帶身份認(rèn)證的密鑰交換協(xié)議

如果協(xié)議任何一方A(B)按照協(xié)議的邏輯判定對方的身份是B(A)，則當(dāng)前實(shí)際參與協(xié)議的對方確實(shí)是B(A)，這就是抗身份欺詐性質(zhì)。如果協(xié)議任何一方A(B)按照協(xié)議的邏輯判定當(dāng)前與之會話的對方是B(A)，則對方也必定判定當(dāng)前與之會話的對方是A(B)，這就是協(xié)議的一致性。除合法參與方之外，協(xié)議所生成的會話密鑰Ks對任何第三方（包括被動或主動攻擊者）都無法（用P.P.T.算法）有效推斷出來，這就是密鑰保密性。如果協(xié)議任何一方A(B)按照協(xié)議的邏輯判定對方的身12.2Diffie-Hellman協(xié)議

設(shè)G是循環(huán)群，如Fp*（p是大素?cái)?shù)），g是其公開的生成子，G上的離散對數(shù)問題是指：任給U=gx求指x；G上的計(jì)算性Diffie-Hellman問題是指：任給U=gx和V=gy兩個(gè)元素，求gxy；G上的判定性Diffie-Hellman問題是指：任給U=gx、V=gy和W三個(gè)元素，判定W？=gxy。

Diffie-Hellman協(xié)議的安全性要求G上的判定性Diffie-Hellman問題難解，即不存在P.P.T.算法A能從任意的輸入U(xiǎn)(=gx)、V(=gy)和W以顯著偏離1/2的概率判定W？=gxy。12.2Diffie-Hellman協(xié)議設(shè)G是循

設(shè)SIG=(KGs,Sign,Vf)是抗偽造的數(shù)字簽名方案，Π=(KGe,E,D)是保密的對稱加密方案。

Diffie-Hellman協(xié)議的過程如圖12-1所示，其中(vkA,skA)和(vkB,skB)分別是A和B的簽字公鑰和私鑰，并且假定A和B事先已從可信任的途徑（如公鑰基礎(chǔ)設(shè)施中的數(shù)字證書）獲得了對方簽字公鑰（vkB和vkA），f是任何一種散列函數(shù)。設(shè)SIG=(KGs,Sign,Vf)是抗偽造的數(shù)字圖12-1Diffie-Hellman協(xié)議圖12-1Diffie-Hellman協(xié)議12.3SIGMA協(xié)議12.3.1主體協(xié)議12.3.2匿名的變體12.3.3完整的協(xié)議實(shí)例：SIGMA-R12.3SIGMA協(xié)議12.3.1主體協(xié)議12.3.1主體協(xié)議SIGMA協(xié)議也是一類基于判定性Diffie-Hellman問題難解性的密鑰交換協(xié)議。記號prf表示擬隨機(jī)函數(shù)（在目前階段讀者將其想象為散列函數(shù)即可），SIG=(KGs,Sign,Vf)是抗偽造的數(shù)字簽名方案，MAC=(KGm,MAC,MVf)是抗偽造的消息認(rèn)證碼方案，循環(huán)群G以g為公開的生成子，G上的判定性Diffie-Hellman問題難解。

SIGMA協(xié)議過程如圖12-2所示，其中CA(A||vkA)和CA(B||vkB)表示A和B的公鑰證書。12.3.1主體協(xié)議SIGMA協(xié)議也是一類基于判圖12-2SIGMA協(xié)議圖12-2SIGMA協(xié)議12.3.2匿名的變體SIGMA協(xié)議有能力針對一類特殊應(yīng)用模式，即協(xié)議參與方之一事先未必總能明確當(dāng)前需要與之對話的對方。這時(shí)一個(gè)常見的需求是協(xié)議的某一方不先行暴露自己，僅在確認(rèn)對方具有可信任的身份之后再向?qū)Ψ匠鍪咀约旱纳矸荨?2.3.2匿名的變體SIGMA協(xié)議有能力針對一

圖12-2中所示的SIGMA協(xié)議已經(jīng)具有這一特點(diǎn)：B先向A出示自己的身份（第二條消息），而A僅在認(rèn)證了B的身份之后才向B表明自己的身份（第三條消息）。在實(shí)際應(yīng)用中，這給了協(xié)議發(fā)起方A一個(gè)機(jī)會，一旦對方不屬于自己所信任的實(shí)體，A將立刻終止協(xié)議而不向B暴露自己的身份。這就是第一類匿名性質(zhì)，即協(xié)議的參與方之一總是在另一方的身份被完全認(rèn)證之后才出示自己的身份。這一性質(zhì)也稱為后驗(yàn)身份認(rèn)證性質(zhì)。圖12-2中的SIGMA協(xié)議就使A具有對B的后驗(yàn)身份認(rèn)證性質(zhì)。圖12-2中所示的SIGMA協(xié)議已經(jīng)具有這一特點(diǎn)：B先圖12-3第一類匿名的SIGMA協(xié)議:B后驗(yàn)身份認(rèn)證圖12-3第一類匿名的SIGMA協(xié)議:B后驗(yàn)身份認(rèn)證

還有第二類匿名性質(zhì)，即協(xié)議雙方對任何非參與方完全匿名。這一要求在當(dāng)代無線網(wǎng)絡(luò)環(huán)境中是非常現(xiàn)實(shí)的：通信雙方不僅需要保密其傳輸?shù)臄?shù)據(jù)，而且經(jīng)常期望不向任何第三方暴露自己的身份，以免暴露自己的行蹤。

SIGMA協(xié)議略加修改就可以滿足這一要求，辦法是對含身份標(biāo)識的消息進(jìn)行對稱加密，而加密密鑰來自當(dāng)前協(xié)議會話生成的隨機(jī)數(shù)。還有第二類匿名性質(zhì)，即協(xié)議雙方對任何非參與方完全匿名。

這樣，僅協(xié)議的合法參與方才能解密從而“看到”身份標(biāo)識，這就是如圖12-4所示的SIGMA協(xié)議，其中符號{M}K表示以K為密鑰對括號中的消息M做對稱加密，其他符號與圖12-2中的完全相同。這樣，僅協(xié)議的合法參與方才能解密從而“看到”身份標(biāo)識，12.3.3完整的協(xié)議實(shí)例：SIGMA-R

這一協(xié)議不僅具有12.1節(jié)描述的所有安全性質(zhì)，而且還具有B對A的后驗(yàn)身份認(rèn)證性質(zhì)（第一類匿名），并且A、B對任何第三方完全匿名（第二類匿名）。圖12-5SIGMA-R協(xié)議12.3.3完整的協(xié)議實(shí)例：SIGMA-R這一協(xié)議圖12-4第二類匿名的SIGMA協(xié)議:A、B對第三方匿名圖12-4第二類匿名的SIGMA協(xié)議:A、B對第三方匿12.4SSL/TLS協(xié)議

圖中的符號E和D分別表示某個(gè)選定的對稱加密方案的加密算法與解密算法，prf表示某個(gè)擬隨機(jī)函數(shù)，HMAC表示某種消息認(rèn)證碼生成算法，Sign是選定的數(shù)字簽名方案的簽字算法。12.4SSL/TLS協(xié)議圖中的符號E和D分別表圖12-6SSL/TLS協(xié)議圖12-6SSL/TLS協(xié)議12.5VPN與IPSec協(xié)議12.5.1VPN12.5.2

IPSec協(xié)議族12.5VPN與IPSec協(xié)議12.5.1VPN12.5.1VPN

所謂VPN是指虛擬私有網(wǎng)（VirtualPrivateNetwork）或虛擬專用網(wǎng)，它在不可信任的公共網(wǎng)絡(luò)設(shè)施（如因特網(wǎng)）上通過安全協(xié)議等技術(shù)途徑實(shí)現(xiàn)完全可信任的邏輯通信環(huán)境，其效果就好像在完全私有的網(wǎng)絡(luò)環(huán)境上一樣。從使用者的觀點(diǎn)看，VPN分為內(nèi)聯(lián)網(wǎng)VPN、外聯(lián)網(wǎng)VPN和遠(yuǎn)程接入VPN。12.5.1VPN所謂VPN是指虛擬私有網(wǎng)（Vi圖12-7從用戶角度看到的VPN圖12-7從用戶角度看到的VPN圖12-8遠(yuǎn)程接入（撥號）VPN圖12-8遠(yuǎn)程接入（撥號）VPN圖12-9內(nèi)聯(lián)網(wǎng)VPN圖12-9內(nèi)聯(lián)網(wǎng)VPN

圖12-10外聯(lián)網(wǎng)VPN圖12-10外聯(lián)網(wǎng)VPNVPN也可以按照部署模式分類，部署模式從本質(zhì)上講是指VPN邏輯連接的起點(diǎn)和終點(diǎn)。這時(shí)VPN可以分為端到端（end-to-end）模式和供應(yīng)商—企業(yè)（Provider-Enterprise）模式。VPN也可以按照部署模式分類，部署模式從本質(zhì)上講是12.5.2IPSec協(xié)議族VPN可以視為公共因特網(wǎng)上的一群可信任的安全區(qū)域，每個(gè)區(qū)域?qū)嵤┮唤M特定的對IP分組的數(shù)據(jù)保密、認(rèn)證及訪問控制策略。

IPSec協(xié)議族就是幫助因特網(wǎng)實(shí)現(xiàn)這一安全目標(biāo)的具體技術(shù)。12.5.2IPSec協(xié)議族VPN可以視為公共因特圖12-11IPSec協(xié)議族的體系結(jié)構(gòu)圖12-11IPSec協(xié)議族的體系結(jié)構(gòu)IPSec可以在主機(jī)/主機(jī)之間、安全網(wǎng)關(guān)/路由器之間、主機(jī)/安全網(wǎng)關(guān)之間或主機(jī)/路由器之間實(shí)施。實(shí)施的模式有兩種：傳輸模式和隧道模式。傳輸模式用于保護(hù)IP分組所承載的上層協(xié)議數(shù)據(jù)，這種模式在原始分組的IP首部與上層協(xié)議的消息單元（如TCP段、UDP消息）之間插入一個(gè)IPSec首，但整個(gè)IP分組仍以傳統(tǒng)方式在因特網(wǎng)上被路由/轉(zhuǎn)發(fā)。隧道模式用來保護(hù)整個(gè)IP分組的內(nèi)容，包括原始IP分組的首部和數(shù)據(jù)載荷部分。IPSec可以在主機(jī)/主機(jī)之間、安全網(wǎng)關(guān)/