目前的INTERNET通信協議TCP/IP存在諸多安全缺陷，無法滿足越來越高的INTERNET
通信安全要求，本文針對IPV4協議的通信安全問題，論述在網絡層實施IPSEC安全協議以解決目前INTERNET通信的部分安全問題，主要包括：對網絡單元的訪問控制、數據源認證、數據完整性和保密、重播數據包的監測和拒絕（抗重播），并對IPSEC的實施方案進行探討和設計。
關 鍵 詞：IPSEC ；AH ；ESP ；MAC
隨著INTERNET在全世界范圍內的迅速擴展，人們越來越依賴它進行方便、快捷的信息交流，INTERNET使用TCP/IP協議將各種信息封裝成IP包在網絡上傳遞，然而，目前流行的TCP/IP（IPV4）協議在設計之初側重于效率而忽略信息的保密、認證等安全性問題，網上傳送的信息可能被偷看（無法保密），可能被篡改（無法保證完整性），人們對接收到的信息無法驗證它是否真的來自于可信任的發送者（無身份驗證），人們也無法限制非法或未授權用戶侵入自己的主機等等。TCP/IP的安全缺陷讓網絡黑客有可乘之機發動各種攻擊（比如地址欺騙攻擊、拒絕服務攻擊等）[1]，同時也無法滿足人們對網絡傳送信息越來越高的安全要求（比如個人電子郵件、信用卡號的保密，電子商務活動中商家、客戶及銀行的各種敏感信息的安全，分散辦公的企業內部信息的保密和安全訪問控制等）。為了彌補TCP/IP的安全缺陷，人們制定了各種安全措施，有的在應用層實施（如EMAIL客戶端使用PGP來保障電子郵件安全），有的在傳輸層實施（如WWW目前使用TLS協議在TCP頂端提供身份驗證、完整性校驗和保密性安全服務。IPSEC則是在網絡層針對IP包提供數據保密性、數據完整性、數據源認證和抗重播的安全服務，由于INTERNET上所有信息都通過IP包傳送，因此IPSEC是目前唯一一種能為任何形式的INTERNET通信提供安全保障的協議，任何上層應用協議和傳輸層協議可以不用修改“無縫”地從網絡層獲得安全保障，共享IPSEC提供的安全服務，實施IPSEC可以實現端到端安全、虛擬專用網VPN，滿足人們對INTERNET傳送信息的安全要求。