आईपीसेक

कम्प्यूटिंग में, इंटरनेट प्रोटोकॉल सुरक्षितिटी (आईपीसेक) एक सुरक्षित संजाल प्रोटोकॉल सुइट है जो इंटरनेट प्रोटोकॉल संजाल पर दो संगणको के बीच सुरक्षित एन्क्रिप्टेड संचार प्रदान करने के लिए डेटा का प्रमाणीकरण और कूटलेखन वेष्टक (सूचना प्रौद्योगिकी) है। इसका उपयोग आभासी निजी संजाल (वीपीएन) में किया जाता है।

आईपीसेक में सत्र (कंप्यूटर विज्ञान) के आरंभ में एजेंटों के बीच आपसी प्रमाणीकरण स्थापित करने और सत्र के दौरान उपयोग करने के लिए कुंजी (क्रिप्टोग्राफी) की बातचीत के लिए प्रोटोकॉल सम्मिलित हैं। आईपीसेक सुरक्षा मार्ग (संजाल-से-संजाल) की एक जोड़ी के बीच, या एक सुरक्षा मार्ग और एक मेजबान (संजाल -से-मेजबान) के बीच मेजबानों (मेजबान-से-मेजबान) की एक जोड़ी के बीच डेटा प्रवाह की रक्षा कर सकता है। आईपीसेक इंटरनेट प्रोटोकॉल (आईपी) संजाल पर संचार की सुरक्षा के लिए विन्यास (गुप्‍तलेखीय) सुरक्षा सेवाओं का उपयोग करता है। यह संजाल    -स्तरीय सहकर्मी प्रमाणीकरण, डेटा उत्पत्ति प्रमाणीकरण, डेटा अखंडता, डेटा गोपनीयता (कूटलेखन), और पुनरावृत्ति संरक्षण (पुनरावृत्ति आक्षेप से सुरक्षा) का समर्थन करता है।

आरंभिक आईपीवी 4 सुइट को कुछ सुरक्षा प्रावधानों के साथ विकसित किया गया था। आईपीवी 4 संवृद्धि के एक भाग के रूप में, आईपीसेक एक परत 3 ओएसआई प्रतिरूप या इंटरनेट परत    सिरे से अंत तक सुरक्षा योजना है। इसके विपरीत, व्यापक उपयोग में आने वाली कुछ अन्य इंटरनेट सुरक्षा प्रणालियाँ संजाल परत के ऊपर संचालित होती हैं, जैसे परिवहन परत सुरक्षा (टीएलएस) जो परिवहन परत के ऊपर संचालित होती है और सुरक्षित आवरण (एसएसएच) जो अनुप्रयोग परत पर संचालित होती है, आईपीसेक स्वचालित रूप से अनुप्रयोगों को सुरक्षित कर सकता है। इंटरनेट परत पर।

इतिहास
1970 के दशक की प्रारम्भ में, उन्नत अनुसंधान परियोजना संस्था ने प्रायोगिक ARPANET कूटलेखन उपकरणों की एक श्रृंखला को प्रायोजित किया, पहले निवासी ARPANET वेष्टक कूटलेखन के लिए और बाद में TCP/आईपी वेष्टक कूटलेखन के लिए; इनमें से कुछ प्रमाणित और क्षेत्रबद्ध थे। 1986 से 1991 तक, NSA ने अपने सुरक्षित डेटा संजाल व्यवस्था (SDNS) क्रमानुदेश के तहत इंटरनेट के लिए सुरक्षा प्रोटोकॉल के विकास को प्रायोजित किया। इसने मोटोरोला सहित विभिन्न विक्रेताओं को एक साथ लाया, जिन्होंने 1988 में एक संजाल कूटलेखन उपकरण का उत्पादन किया था। यह कार्य राष्ट्रीय मानक और प्रौद्योगिकी संस्थान द्वारा लगभग 1988 से खुले तौर पर प्रकाशित किया गया था और इनमें से परत 3 (SP3) पर सुरक्षा प्रोटोकॉल अंततः आईएसओ में बदल जाएगा। मानक संजाल परत सुरक्षा प्रोटोकॉल (एनएलएसपी)।

1992 से 1995 तक, विभिन्न समूहों ने आईपी-परत कूटलेखन में अनुसंधान किया।
 * 1. 1992 में, यूएस नौसेना अनुसंधान प्रयोगशाला (NRL) ने आईपी कूटलेखन पर शोध करने और उसे लागू करने के लिए सामान्य इंटरनेट प्रोटोकॉल प्लस (एसआईपीपी) परियोजना आरंभ किया।
 * 2. 1993 में, कोलंबिया विश्वविद्यालय और एटी एंड टी बेल लैब्स में, जॉन आयोनिडिस और अन्य ने SunOS SunOS पर प्रक्रिया विषय सूचीप्रायोगिक प्रक्रिया विषय सूचीआईपी कूटलेखन प्रोटोकॉल (स्वाइप) पर शोध किया।
 * 3. 1993 में, व्हाइटहाउस इंटरनेट सेवा परियोजना द्वारा प्रायोजित, विश्वसनीय सूचना प्रणाली (टीआईएस) में वेई जू ने प्रक्रिया विषय सूचीआईपी सुरक्षा प्रोटोकॉल पर और शोध किया और ट्रिपल डेस के लिए यंत्रविषयसूची समर्थन विकसित किया, जिसे बर्कले प्रक्रिया विषय सूचीवितरण 4.1 कर्नेल में कूटबद्ध किया गया था और x86 और SUNOS संरचना दोनों का समर्थन किया था। दिसंबर 1994 तक, TIS ने दरपा-प्रायोजित विवृत-स्रोत गौंटलेट फ़ायरवॉल उत्पाद को T1 गति से अधिक एकीकृत 3DES यंत्रविषयसूची कूटलेखन के साथ जारी किया। यह पहली बार राज्यों के पूर्वी और पश्चिमी तट के बीच आईपीसेक VPN संपर्क का उपयोग कर रहा था, जिसे पहले वाणिज्यिक आईपीसेक VPN उत्पाद के रूप में जाना जाता है।
 * 4. एनआरएल के डीएआरपीए-वित्तपोषित अनुसंधान प्रयास के तहत, एनआरएल ने आईपीएसईसी के लिए आईईटीएफ मानक-ट्रैक विशेष विवरण (आरएफसी 1825 से आरएफसी 1827 तक) को विकसित किया, जिसे बीएसडी 4.4 कर्नेल में कूटबद्ध किया गया था और x86 और स्पार्क सीपीयू संरचना दोनों का समर्थन किया था। 1996 के USENIX सम्मेलन की कार्यवाही में उनके पेपर में NRL के आईपीसेक कार्यान्वयन का वर्णन किया गया था। NRL का विवृत-स्रोत आईपीसेक    कार्यान्वयन MIT द्वारा ऑनलाइन उपलब्ध कराया गया था और अधिकांश प्रारंभिक व्यावसायिक कार्यान्वयनों का आधार बन गया।

इंटरनेट इंजीनियरिंग कार्य बल (आईईटीएफ) ने 1992 में आईपी सुरक्षा कार्य समूह का गठन किया आईपी के लिए खुले तौर पर निर्दिष्ट सुरक्षा विस्तारण को मानकीकृत करने के लिए, जिसे आईपीसेक कहा जाता है। 1995 में, कार्यकारी समूह ने पांच कंपनियों (टीआईएस, सिस्को, एफटीपी, चेकप्वाइंट, आदि) के सदस्यों के साथ कुछ कार्यशालाओं का आयोजन किया। आईपीसेक कार्यशालाओं के दौरान, NRL के मानकों और Cisco और TIS के प्रक्रिया विषय सूचीको सार्वजनिक संदर्भ के रूप में मानकीकृत किया जाता है, RFC-1825 के माध्यम से RFC-1827 के रूप में प्रकाशित किया जाता है।

सुरक्षा संरचना
आईपीसेक, आईपीवी 4 सूट के एक भाग के रूप में एक खुला मानक है। आईपीसेक विभिन्न कार्यों को करने के लिए निम्नलिखित प्रोटोकॉल (कंप्यूटिंग) का उपयोग करता है:
 * प्रमाणीकरण हेडर्स (एएच) आईपी डेटाग्राम के लिए संयोजन रहित डेटा अखंडता और डेटा मूल प्रमाणीकरण प्रदान करता है और पुनर्प्रदर्शन आक्षेप से सुरक्षा प्रदान करता है।
 * प्रावरण सुरक्षा प्रदायभार (ईएसपी) गोपनीयता, संपर्क रहित डेटा अखंडता, डेटा मूल प्रमाणीकरण, एक प्रति -पुनर्प्रदर्शन सेवा (आंशिक अनुक्रम अखंडता का एक रूप), और सीमित परियात-प्रवाह गोपनीयता प्रदान करता है।
 * इंटरनेट सुरक्षा संघ और कुंजी प्रबंधन प्रोटोकॉल (आईएसएकेएमपी) प्रमाणीकरण और कुंजी विनिमय के लिए एक ढांचा प्रदान करता है, वास्तविक प्रमाणित कुंजीयन विषय सूचीके साथ या तो पूर्व-साझा कुंजियों के साथ हस्तचालित विन्यास द्वारा प्रदान किया जाता है, इंटरनेट कुंजी विनिमय (आईकेई और आईकेईवी2), कुंजियों का कर्बरीकृत इंटरनेट परक्रामण(किंक) ), या DNS अभिलेख प्रकारों की आईपीसेक KEY सूची।  उद्देश्य एएच और/या ईएसपी संचालन के लिए आवश्यक एल्गोरिदम और प्राचल के समूह  के साथ सुरक्षा संघों (एसए) को उत्पन्न करना है।

प्रमाणीकरण हेडर्स
सुरक्षा प्रमाणीकरण शीर्षलेख (एएच) को 1990 के दशक की शुरुआत में अमेरिकी नौसेना अनुसंधान प्रयोगशाला में विकसित किया गया था और साधारण संजाल प्रबंधन प्रोटोकॉल (एसएनएमपी) संस्करण 2 के प्रमाणीकरण के लिए पूर्व आईईटीएफ मानकों के काम से लिया गया है। प्रमाणीकरण हेडर (एएच) है आईपीसेक प्रोटोकॉल सूट का एक सदस्य। एएच एल्गोरिदम में हैश फंकशन और एक गुप्त साझा कुंजी का उपयोग करके एएच संपर्क रहित डेटा अखंडता सुनिश्चित करता है। एएच भी आईपी वेष्टक (सूचना प्रौद्योगिकी) को प्रमाणित करके डेटा उत्पत्ति की गारंटित देता है। वैकल्पिक रूप से एक अनुक्रम संख्या आईपीसेक वेष्टक की अंतर्वस्तु को पुनर्प्रदर्शन आक्षेप से बचा सकती है, विसर्पण विंडो तकनीक का उपयोग करना और पुराने वेष्टकों को हटाना।

निम्नलिखित एएच वेष्टक आरेख दिखाता है कि एएच वेष्टक कैसे बनाया और व्याख्या किया जाता है:
 * आईपीवी 4 में, एएच निवेशन-सम्मिलन अटैक को रोकता है। आईपीवी6 में, एएच हेडर निवेशन अटैक और विकल्प निवेशन अटैक दोनों से बचाता है।
 * आईपीवी 4 में, एएच, आईपी पेलोड और आईपी ​​​​डेटाग्राम के सभी हेडर फ़ील्ड्स की सुरक्षा करता है अतिरिक्त परिवर्तनशील फ़ील्ड्स (अर्थात जिन्हें पारगमन में बदला जा सकता है), और आईपी विकल्पों जैसे आईपी सुरक्षा विकल्प ([rfc:1108 आरएफसी 1108]) को भी। परिवर्तनीय (और इसलिए अपुष्ट) आईपीवी 4 हेडर फ़ील्ड डीएससीपी/टीओएस, ईसीएन, फ्लैग, फ्रैगमेंट ऑफसेट, टीटीएल और शीर्षलेख चेकसम। *
 * आईपीवी6 में, एच अधिकांश आईपीवी6 आधार हेडर, एएच स्वयं, एएच के बाद गैर-परिवर्तनीय विस्तार हेडर और आईपी पेलोड की सुरक्षा करता है। आईपीवी6 हेडर के लिए सुरक्षा में परिवर्तनशील क्षेत्र सम्मिलित नहीं हैं: डीएससीपी, ईसीएन, प्रवाह लेबल और हॉप सीमा।                                                                                                                                                                                                    एएच आईपी प्रोटोकॉल नंबर 51 का उपयोग करके सीधे आईपी के शीर्ष पर काम करता है।
 * अगला शीर्षलेख (8 बिट): अगला हेडर का प्रकार, यह दर्शाता है कि किस ऊपरी-परत प्रोटोकॉल को सुरक्षित किया गया था। मूल्य आईपी प्रोटोकॉल नंबरों की सूची से लिया गया है।
 * पेलोड लेन (8 बिट्स) : इस प्रमाणीकरण शीर्षलेख की लंबाई 4-ऑक्टेट इकाइयों में, माइनस 2 है। उदाहरण के लिए, 4 का एएच मूल्य 3×(32-बिट निश्चित-लम्बाई एएच फ़ील्ड्स) + 3×(32-बिट) के बराबर होता है। आईसीवी फ़ील्ड) - 2 और इस प्रकार 4 के एएच मान का अर्थ 24 ऑक्टेट है। यद्यपि आकार को 4-ऑक्टेट इकाइयों में मापित किया जाता है, अगर आईपीवी6 वेष्टक में ले जाया जाता है तो इस हेडर की लंबाई 8 ऑक्टेट की एक विविध होनी चाहिए। यह प्रतिबंध आईपीवी 4 वेष्टक में रखे गए प्रमाणीकरण शीर्षलेख पर लागू नहीं होता है।
 * आरक्षित (16 बिट्स): भविष्य में उपयोग के लिए आरक्षित (तब तक सभी शून्य)।
 * सुरक्षा प्राचल्स अनुक्रमणिका (32 बिट्स): प्राप्त करने वाले पक्ष के सुरक्षा संघ की पहचान करने के लिए स्वेच्छमूल्य जिसका उपयोग (गंतव्य आईपी पते के साथ) किया जाता है।
 * अनुक्रम संख्या (32 बिट्स): रिप्ले आक्षेप को रोकने के लिए एकदिष्ट पूर्णतः से बढ़ती क्रम संख्या (भेजे गए प्रत्येक वेष्टक के लिए 1 की वृद्धि)। जब पुनर्प्रदर्शन संसूचन को सक्षम किया जाता है, तो अनुक्रम संख्या का पुन: उपयोग नहीं किया जाता है, क्योंकि अनुक्रम संख्या को उसके अधिकतम मूल्य से आगे बढ़ाने के प्रयास से पहले एक नए सुरक्षा संघ पर फिर से विचार किया जाना चाहिए।

संपूर्णता जांच मूल्य (32 बिट्स के विविध)

 * चर लंबाई जाँच मूल्य। इसमें फ़ील्ड को आईपीवी6 के लिए 8-ऑक्टेट सीमा, या आईपीवी 4 के लिए 4-ऑक्टेट सीमा में संरेखित करने के लिए प्रसेचन हो सकती है।

सुरक्षा पेलोड को प्रावरण करना
आईपी ​​प्रावरणिंग सुरक्षा पेलोड (ईएसपी) 1992 में एक दरपा-प्रायोजित अनुसंधान परियोजना के हिस्से के रूप में नौसेना अनुसंधान प्रयोगशाला में विकसित किया गया था, और आईईटीएफ एसआईपीपी द्वारा खुले तौर पर प्रकाशित किया गया था एसआईपीपी के लिए सुरक्षा विस्तार के रूप में दिसंबर 1993 में कार्य समूह का प्रारूप तैयार किया गया। यह ईएसपी मूल रूप से आईएसओ संजाल -परत सुरक्षा प्रोटोकॉल (एनएलएसपी) से प्राप्त होने के बजाय अमेरिकी रक्षा विभाग एसपी3डी प्रोटोकॉल से प्राप्त हुआ था। एसपी3डी प्रोटोकॉल विनिर्देश एनआईएसटी द्वारा 1980 के दशक के अंत में प्रकाशित किया गया था, लेकिन अमेरिकी रक्षा विभाग के सुरक्षित डेटा संजाल सिस्टम परियोजना द्वारा बनाया गया था। प्रावरणिंग सुरक्षिति पेलोड (ईएसपी) आईपीसेक प्रोटोकॉल सूट का एक हिस्सा है। यह आईपी वेष्टक के लिए विन्यास सुरक्षा के माध्यम से स्रोत प्रमाणीकरण, डेटा अखंडता के माध्यम से हैश कार्यों और गोपनीयता के माध्यम से मूल प्रामाणिकता प्रदान करता है। ईएसपी केवल-कूटलेखन और केवल-प्रमाणीकरण विन्यास का भी समर्थन करता है, लेकिन प्रमाणीकरण के बिना कूटलेखन का उपयोग करने को दृढ़ता से हतोत्साहित किया जाता है क्योंकि यह असुरक्षित है।

प्रमाणीकरण शीर्षलेख (एएच) के विपरीत, परिवहन संचार में ईएसपी संपूर्ण आईपी ​​​​वेष्टक (बहुविकल्पी) के लिए अखंडता और प्रमाणीकरण प्रदान नहीं करता है। तथापि, टनलिंग संचार में, जहाँ संपूर्ण मूल आईपी वेष्टक एक नए वेष्टक हेडर के साथ संपुटिक किया जाता है, ईएसपी सुरक्षा पूरे आंतरिक आईपी वेष्टक (आंतरिक हेडर सहित) को प्रदान की जाती है, जबकि बाहरी हेडर (किसी भी बाहरी आईपीवी 4 विकल्प या आईपीवी6 सहित) विस्तार हेडर) असुरक्षित रहता है।

ईएसपी, आईपी प्रोटोकॉल नंबर 50 का उपयोग करके सीधे आईपी के शीर्ष पर कार्य करता है।

निम्नलिखित ईएसपी वेष्टक आरेख दिखाता है कि ईएसपी वेष्टक का निर्माण और व्याख्या कैसे की जाती है:
 * सुरक्षा प्राचल्स अनुक्रमणिका (32 बिट्स): प्राप्त करने वाले पक्ष के सुरक्षा संघ की पहचान करने के लिए स्वेच्छ मूल्य (गंतव्य आईपी पते के साथ) का उपयोग किया जाता है।
 * अनुक्रम संख्या (32 बिट्स): पुनरावृत्ति आक्षेप से बचाने के लिए एक मोनोटोनिक रूप से बढ़ती क्रम संख्या (भेजे गए प्रत्येक वेष्टक के लिए 1 की वृद्धि)। हर सुरक्षा संघ के लिए अलग प्रतिकूल रखा गया है।
 * पेलोड डेटा (परिवर्तनीय): मूल आईपी वेष्टक की संरक्षित विषय सूची, विषय सूची की सुरक्षा के लिए उपयोग किए जाने वाले किसी भी डेटा सहित (उदाहरण के लिए गुप्‍तलेखीय एल्गोरिदम के लिए प्रारंभिक वेक्टर)। जिस प्रकार की विषय सूची को सुरक्षित किया गया था, उसे अगले हेडर फ़ील्ड द्वारा इंगित किया गया है।
 * प्रसेचन (0-255 ऑक्टेट): कूटलेखन के लिए प्रसेचन, पेलोड डेटा को उस आकार तक विस्तारित करने के लिए जो कूटलेखन के सिफर ब्लॉक आकार (क्रिप्टोग्राफी) में उपयुक्त बैठता है, और अगले फ़ील्ड को संरेखित करने के लिए।
 * पैड की लंबाई (8 बिट): प्रसेचन का आकार (अष्टक में)।
 * अगला शीर्षलेख (8 बिट): अगले शीर्षलेख का प्रकार। मान आईपी प्रोटोकॉल नंबरों की सूची से लिया गया है।
 * संपूर्णता मूल्य जांचें (32 बिट्स के विविध): चर लंबाई चेक मूल्य जांच। इसमें फ़ील्ड को आईपीवी6 के लिए 8-ऑक्टेट सीमा, या आईपीवी 4 के लिए 4-ऑक्टेट सीमा में संरेखित करने के लिए प्रसेचन हो सकती है।

सुरक्षा संघ
आईपीसेक    प्रोटोकॉल एक सुरक्षा संघ का उपयोग करते हैं, जहाँ संचार करने वाले पक्ष एल्गोरिदम और कुंजियों जैसी साझा सुरक्षा विशेषताएँ स्थापित करते हैं। इस प्रकार, आईपीसेक     विकल्पों की एक श्रृंखला प्रदान करता है जब यह निर्धारित किया जाता है कि एएच या ईएसपी का उपयोग किया जाता है या नहीं। डेटा का आदान-प्रदान करने से पहले, दो होस्ट इस बात पर सहमत होते हैं कि आईपी वेष्टक को एन्क्रिप्ट करने के लिए सममित-कुंजी एल्गोरिथ्म का उपयोग किया जाता है, उदाहरण के लिए उन्नत कूटलेखन मानक या ChaCha20, और किस हैश फ़ंक्शन का उपयोग डेटा की अखंडता को सुनिश्चित करने के लिए किया जाता है, जैसे BLAKE2 या SHA- 2. ये प्राचल विशेष सत्र के लिए सहमत हैं, जिसके लिए आजीवन सहमत होना चाहिए और एक सत्र कुंजी। डेटा ट्रांसफर होने से पहले प्रमाणीकरण के लिए एल्गोरिथ्म भी सहमत है और आईपीसेक    कई तरीकों का समर्थन करता है। पूर्व-साझा कुंजी के माध्यम से प्रमाणीकरण संभव है, जहां एक सममित कुंजी पहले से ही दोनों मेजबानों के कब्जे में है, और मेजबान साझा कुंजी के एक दूसरे को हैश भेजते हैं ताकि यह साबित हो सके कि वे एक ही कुंजी के कब्जे में हैं। आईपीसेक     सार्वजनिक कुंजी कूटलेखन का भी समर्थन करता है, जहाँ प्रत्येक होस्ट के पास एक सार्वजनिक और एक निजी कुंजी होती है, वे अपनी सार्वजनिक कुंजियों का आदान-प्रदान करते हैं और प्रत्येक होस्ट दूसरे होस्ट की सार्वजनिक कुंजी के साथ एन्क्रिप्टेड एक गुप्‍तलेखीय अस्थायी भेजता है। वैकल्पिक रूप से यदि दोनों होस्ट के पास प्रमाणपत्र प्राधिकारी से सार्वजनिक कुंजी प्रमाणपत्र है, तो इसका उपयोग आईपीसेक     प्रमाणीकरण के लिए किया जा सकता है। आईपीसेक    के सुरक्षा संघ इंटरनेट सुरक्षा संघ और कुंजी प्रबंधन प्रोटोकॉल (ISAKMP) का उपयोग करके स्थापित किए गए हैं। ISAKMP को पूर्व-साझा रहस्यों, इंटरनेट कुंजी विनिमय  (IKE और IKEv2), Kerberized Internet Negotiation of Keys (KINK) और DNS अभिलेख प्रकारों की आईपीसेक    KEY सूची के उपयोग के साथ हस्तचालित विन्यास द्वारा कार्यान्वित किया जाता है।  RFC 5386 बेटर-दैन-नथिंग सुरक्षितिटी (BTNS) को विस्तारित IKE प्रोटोकॉल का उपयोग करके आईपीसेक     के एक अप्रमाणित संचार के रूप में परिभाषित करता है। सी. मीडोज, सी. क्रेमर्स, और अन्य ने IKEv1 और IKEv2 में मौजूद विभिन्न विसंगतियों की पहचान करने के लिए औपचारिक तरीकों का उपयोग किया है। एक आउटगोइंग वेष्टक के लिए कौन सी सुरक्षा प्रदान की जानी है, यह तय करने के लिए, आईपीसेक    सुरक्षा प्राचल सूचकांक (SPI) का उपयोग करता है, जो सुरक्षा एसोसिएशन डेटाबेस (SADB) के लिए एक इंडेक्स है, साथ ही एक वेष्टक हेडर में गंतव्य का पता होता है, जो एक साथ विशिष्ट पहचान करता है। उस वेष्टक के लिए एक सुरक्षा संघ। आने वाले वेष्टक के लिए एक समान प्रक्रिया की जाती है, जहां आईपीसेक     सुरक्षा संघ डेटाबेस से डिक्रिप्शन और सत्यापन कुंजी एकत्र करता है।

आईपी ​​​​मल्टीकास्ट के लिए समूह के लिए एक सुरक्षा संघ प्रदान किया जाता है, और समूह के सभी अधिकृत रिसीवरों में डुप्लिकेट किया जाता है। विभिन्न एसपीआई का उपयोग करते हुए एक समूह के लिए एक से अधिक सुरक्षा संघ हो सकते हैं, जिससे एक समूह के भीतर कई स्तरों और सुरक्षा के सेट की अनुमति मिलती है। वास्तव में, प्रत्येक प्रेषक के पास कई सुरक्षा संघ हो सकते हैं, प्रमाणीकरण की अनुमति देते हैं, क्योंकि एक रिसीवर केवल यह जान सकता है कि कुंजी जानने वाले ने डेटा भेजा है। ध्यान दें कि प्रासंगिक मानक यह वर्णन नहीं करता है कि कैसे संघ को चुना जाता है और पूरे समूह में डुप्लिकेट किया जाता है; यह माना जाता है कि एक जिम्मेदार पार्टी ने चुनाव किया होगा।

ऑपरेशन के संचार
आईपीसेक    प्रोटोकॉल एएच और ईएसपी को होस्ट-टू-होस्ट ट्रांसपोर्ट संचार के साथ-साथ संजाल     टनलिंग संचार में भी लागू किया जा सकता है।

परिवहन संचार
परिवहन संचार में, केवल आईपी वेष्टक का पेलोड आमतौर पर कूट रूप दिया गया या प्रमाणित होता है। रूटिंग बरकरार है, क्योंकि आईपी हेडर न तो संशोधित है और न ही एन्क्रिप्ट किया गया है; तथापि, जब प्रमाणीकरण शीर्षलेख का उपयोग किया जाता है, तो आईपी पते को नेवोर्क पता अनुवादन द्वारा संशोधित नहीं किया जा सकता है, क्योंकि यह हमेशा हैश मान को अमान्य करता है। ट्रांसपोर्ट परत    और एप्लिकेशन परत     हमेशा एक हैश द्वारा सुरक्षित होते हैं, इसलिए उन्हें किसी भी तरह से संशोधित नहीं किया जा सकता है, उदाहरण के लिए बंदरगाह पता अनुवाद द्वारा टीसीपी और यूडीपी पोर्ट नंबर।

एनएटी ट्रैवर्सल के लिए आईपीसेक    संदेशों को प्रावरण करने का एक साधन NAT-T तंत्र का वर्णन करने वाले टिप्पणियों के लिए अनुरोध दस्तावेज़ द्वारा परिभाषित किया गया है।

सुरंग संचार
टनल संचार में, पूरे आईपी वेष्टक को एन्क्रिप्ट और प्रमाणित किया जाता है। इसके बाद इसे एक नए आईपी हेडर के साथ एक नए आईपी वेष्टक में प्रावरण किया जाता है। टनल संचार का उपयोग संजाल   -टू-संजाल     संचार (जैसे राउटर से लिंक साइटों के बीच), होस्ट-टू-संजाल     संचार (जैसे दूरस्थ उपयोगकर्ता पहुंच) और होस्ट-टू-होस्ट संचार (जैसे निजी चैट) के लिए वर्चुअल प्राइवेट संजाल     बनाने के लिए किया जाता है। टनल संचार NAT ट्रैवर्सल को सपोर्ट करता है।

सममित कूटलेखन एल्गोरिदम
आईपीसेक    के साथ उपयोग के लिए परिभाषित गुप्‍तलेखीय एल्गोरिदम में सम्मिलित हैं:
 * HMAC-SHA1/SHA2 अखंडता संरक्षण और प्रामाणिकता के लिए।
 * गोपनीयता के लिए ट्रिपलडेस-सिफर ब्लॉक चेनिंग
 * गोपनीयता के लिए एईएस-सिफर ब्लॉक चेनिंग और एईएस सीटीआर।
 * उन्नत कूटलेखन स्टैंडर्ड-गैलोइस/प्रत्युत्तर संचार और ChaCha20-Poly1305 एक साथ कुशलतापूर्वक गोपनीयता और प्रमाणीकरण प्रदान करते हैं।

विवरण के लिए आरएफसी 8221 का संदर्भ लें।

कुंजी विनिमय एल्गोरिदम

 * डिफी-हेलमैन की विनिमय |डिफी-हेलमैन (आरएफसी 3526)
 * अण्डाकार-वक्र डिफी-हेलमैन (RFC 4753)

प्रमाणीकरण एल्गोरिदम

 * आरएसए (क्रिप्टोसिस्टम)
 * ईसीडीएसए (आरएफसी 4754)
 * पूर्व-साझा कुंजी (RFC 6617)

कार्यान्वयन
आईपीसेक    को ऑपरेटिंग सिस्टम के आईपी स्टैक में लागू किया जा सकता है। कार्यान्वयन का यह तरीका मेजबानों और सुरक्षा द्वारों के लिए किया जाता है। एचपी या आईबीएम जैसी कंपनियों से विभिन्न आईपीसेक सक्षम आईपी ढेर उपलब्ध हैं। एक विकल्प तथाकथित ढेर में टक्कर (बीआईटीएस) कार्यान्वयन है, जहां ऑपरेटिंग सिस्टम स्रोत संहिता को संशोधित करने की आवश्यकता नहीं होती है। यहाँ आईपीसेक     आईपी स्टैक और संजाल     उपकरण ड्राइवर के बीच स्थापित है। इस प्रकार आईपीसेक     के साथ ऑपरेटिंग सिस्टम को रेट्रोफिट किया जा सकता है। कार्यान्वयन की इस पद्धति का उपयोग होस्ट और मार्ग     दोनों के लिए भी किया जाता है। तथापि, आईपीसेक     को रेट्रोफिट करते समय आईपी वेष्टकों का संपुटीकरण  स्वचालित पथ एमटीयू खोज के लिए समस्याएँ पैदा कर सकता है, जहाँ दो आईपी होस्ट के बीच संजाल     पथ पर अधिकतम संचरण इकाई (MTU) आकार स्थापित होता है। यदि किसी होस्ट या मार्ग     के पास एक अलग krआईपीtoprocessor है, जो सेना में आम है और वाणिज्यिक प्रणालियों में भी पाया जा सकता है, तो आईपीसेक     का एक तथाकथित टक्कर में तार (BITW) कार्यान्वयन संभव है। जब आईपीसेक    को कर्नेल (ऑपरेटिंग सिस्टम) में लागू किया जाता है, तो कुंजी प्रबंधन और ISAKMP/इंटरनेट कुंजी विनिमय बातचीत उपयोगकर्ता स्थान से की जाती है। एनआरएल-विकसित और खुले तौर पर निर्दिष्ट PF_KEY कुंजी प्रबंधन एपीआई, संस्करण 2 का उपयोग अक्सर कर्नेल-स्पेस आईपीसेक     कार्यान्वयन के भीतर संग्रहीत आईपीसेक     सुरक्षा संघों को अद्यतन करने के लिए एप्लिकेशन-स्पेस कुंजी प्रबंधन एप्लिकेशन को सक्षम करने के लिए किया जाता है। मौजूदा आईपीसेक     कार्यान्वयन में आमतौर पर ईएसपी, एएच, और IKE संस्करण 2 सम्मिलित होते हैं। यूनिक्स जैसे ऑपरेटिंग सिस्टम पर मौजूदा आईपीसेक     कार्यान्वयन, उदाहरण के लिए, Oracle Solaris या Linux, में आमतौर पर PF_KEY संस्करण 2 सम्मिलित होता है।

अंतः स्थापित प्रणाली आईपीसेक    का उपयोग एक छोटे से ओवरहेड के साथ विवश संसाधन प्रणालियों पर चल रहे अनुप्रयोगों के बीच सुरक्षित संचार सुनिश्चित करने के लिए किया जा सकता है।

मानक स्थिति
आईपीसेक    को आईपीवी6 के संयोजन में विकसित किया गया था और मूल रूप से RFC 6434 द्वारा इसे केवल एक सिफारिश करने से पहले आईपीवी6 के सभी मानकों-अनुपालन कार्यान्वयन द्वारा समर्थित होने की आवश्यकता थी। आईपीवी 4     कार्यान्वयन के लिए आईपीसेक     भी वैकल्पिक है। आईपीसेक     का उपयोग आमतौर पर आईपीवी 4     परियात को सुरक्षित करने के लिए किया जाता है। आईपीसेक    प्रोटोकॉल मूल रूप से RFC 1825 में RFC 1829 के माध्यम से परिभाषित किए गए थे, जो 1995 में प्रकाशित हुए थे। 1998 में, इन दस्तावेजों को RFC 2401 और RFC 2412 द्वारा कुछ असंगत इंजीनियरिंग विवरणों के साथ अधिक्रमित किया गया था, यद्यपि वे वैचारिक रूप से समान थे। इसके अलावा, सुरक्षा संघों को बनाने और प्रबंधित करने के लिए एक पारस्परिक प्रमाणीकरण और कुंजी विनिमय प्रोटोकॉल इंटरनेट की विनिमय  (IKE) को परिभाषित किया गया था। दिसंबर 2005 में, RFC 4301 और RFC 4309 में नए मानकों को परिभाषित किया गया था, जो इंटरनेट की विनिमय  मानक IKEv2 के दूसरे संस्करण के साथ पूर्व संस्करणों का एक सुपरसेट है। इन तीसरी पीढ़ी के दस्तावेज़ों ने आईपीसेक     के संक्षिप्त नाम को ऊपरीकेस "आईपी" और लोअरकेस "सेकंड" में मानकीकृत किया। "ईएसपी" आम तौर पर आरएफसी 4303 को संदर्भित करता है, जो विनिर्देश का नवीनतम संस्करण है।

2008 के मध्य से, एक आईपीसेक    अनुरक्षण और विस्तार (आईपीसेक    me) कार्यकारी समूह आईईटीएफ में सक्रिय है।

कथित एनएसए हस्तक्षेप
2013 में, 2013 के बड़े पैमाने पर निगरानी के खुलासे के हिस्से के रूप में, यह पता चला था कि अमेरिकी राष्ट्रीय सुरक्षा एजेंसी सक्रिय रूप से व्यावसायिक कूटलेखन सिस्टम, आईटी सिस्टम, संजाल    और एंडपॉइंट संचार उपकरणों में कमजोरियों को सम्मिलित करने के लिए काम कर रही थी, जो कि बुलरुन (संहिता नाम) नाम) कार्यक्रम। ऐसे आरोप हैं कि आईपीसेक     एक लक्षित कूटलेखन प्रणाली थी। यह स्नोडेन लीक से पहले प्रकाशित हुआ था।

लॉगजैम (कंप्यूटर सुरक्षा) के लेखकों द्वारा प्रस्तुत एक वैकल्पिक स्पष्टीकरण से पता चलता है कि एनएसए ने आईपीसीईसी वीपीएन से समझौता किया है, जो कि मुख्य विनिमय में उपयोग किए जाने वाले Diffie-Hellman एल्गोरिथम को कमजोर कर रहा है। उनके पेपर में, रेफ नाम = कमजोर > उनका आरोप है कि NSA ने विशेष रूप से RFC 2409 में परिभाषित दूसरे ओकले समूह के लिए विशिष्ट प्राइम्स और जेनरेटर के लिए गुणक उपसमूहों की पूर्व-गणना करने के लिए एक कंप्यूटिंग क्लस्टर बनाया। मई 2015 तक, 90% एड्रेसेबल आईपीसेक     VPN ने दूसरे ओकले का समर्थन किया। आईकेई के हिस्से के रूप में समूह। यदि कोई संगठन इस समूह की पूर्व-गणना करता है, तो वे बिना किसी प्रक्रिया विषय सूचीको सम्मिलित किए बिना विनिमय  की जा रही कुंजियों को प्राप्त कर सकते हैं और परियात को डिक्रिप्ट कर सकते हैं।

एक दूसरा वैकल्पिक स्पष्टीकरण जो सामने रखा गया था वह यह था कि समीकरण समूह ने कई निर्माताओं के वीपीएन उपकरणों के खिलाफ जीरो-डे (कंप्यूटिंग) | जीरो-डे एक्सप्लॉइट्स का उपयोग किया था, जिसे कास्परस्की लैब द्वारा इक्वेशन ग्रुप से बंधे होने के रूप में मान्य किया गया था। रेफरी> और उन निर्माताओं द्वारा वास्तविक शोषण के रूप में मान्य किया गया, जिनमें से कुछ उनके प्रदर्शन के समय शून्य-दिन के शोषण थे। रेफरी> सिस्को PIX#सुरक्षा भेद्यता फायरवॉल में भेद्यताएं थीं जिनका उपयोग NSA द्वारा वायरटैपिंग के लिए किया गया था.

इसके अलावा, आक्रामक संचार सेटिंग का उपयोग करने वाले आईपीसेक    VPN स्पष्ट रूप से PSK का हैश भेजते हैं। यह ऑफ़लाइन शब्दकोश आक्षेप का उपयोग करके एनएसए द्वारा स्पष्ट रूप से लक्षित किया जा सकता है और लक्षित किया जा सकता है।

मानक ट्रैक

 * : ईएसपी डेस-सीबीसी रूपांतरण
 * : ईएसपी और एएच के भीतर एचएमएसी-एमडी5-96 का उपयोग
 * : ईएसपी और एएच के भीतर एचएमएसी-एसएचए-1-96 का उपयोग
 * : स्पष्ट IV के साथ ईएसपी डीईएस-सीबीसी सिफर एल्गोरिथम
 * : पूर्ण कूटलेखन एल्गोरिथम और आईपीसेक के साथ इसका उपयोग
 * : ईएसपी सीबीसी-संचार सिफर एल्गोरिदम
 * : ईएसपी और एएच के भीतर एचएमएसी-आरआईपीईएमडी-160-96 का उपयोग
 * : अधिक प्रमापीय चरघातांकी (एमओडीपी) डिफी-हेलमैन कुंजी विनिमय (आईकेई) के लिए
 * : एईएस-सीबीसी सिफर एल्गोरिदम और आईपीसेक के साथ इसका उपयोग
 * : आईपीसेक प्रावरणिंग सुरक्षा पेलोड (ईएसपी) के साथ उन्नत कूटलेखन मानक (एईएस) प्रत्युत्तर संचार का उपयोग करना
 * : आईकेई में एनएटी-पथक्रमण की बातचीत
 * : आईपीसेक ईएसपी वेष्टक का यूडीपी संपुटीकरण
 * : आईपीसेक प्रावरणिंग सुरक्षा पेलोड (ईएसपी) में गैलोज़/प्रत्युत्तर संचार (जीसीएम) का उपयोग
 * : इंटरनेट प्रोटोकॉल के लिए सुरक्षा संरचना
 * : आईपी प्रमाणीकरण शीर्षलेख
 * : आईपी प्रावरणिंग सुरक्षा पेलोड
 * : इंटरनेट सुरक्षा संगठन और कुंजी प्रबंधन प्रोटोकॉल (आईएसएकेएमपी) के लिए आईपीसेक व्याख्या का क्षेत्र (डीओआई) के लिए विस्तारित अनुक्रम संख्या (ईएसएन) परिशिष्ट
 * : इंटरनेट कुंजी विनिमय संस्करण 2 (IKEv2) में उपयोग के लिए गुप्‍तलेखीय एल्गोरिदम
 * : आईपीसेक के लिए गुप्‍तलेखीय सूट
 * : आईपीसेक प्रावरणिंग सुरक्षा पेलोड (ईएसपी) के साथ उन्नत कूटलेखन मानक (एईएस ) सीसीएम संचार का उपयोग करना
 * : आईपीसेक ईएसपी और एएच में गलोइस संदेश प्रमाणीकरण संहिता (जीएमएसी) का उपयोग
 * : IKEv2 गतिशीलता और बहुविधाकरण प्रोटोकॉल (मोबाइक)
 * : IKEv2 के लिए ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल (ओसीएसपी) विस्तार
 * : आईपीसेक के साथ एचएमएसी-एसएचए-256, एचएमएसी-एसएचए-384 और एचएमएसी-एसएचए-512 का उपयोग करना
 * : IKEv1/आईएसएकेएमपी, IKEv2, और पीकेआईएक्स की इंटरनेट आईपी सुरक्षा पीकेआई वर्णन
 * : इंटरनेट X.509 पब्लिक की इन्फ्रास्ट्रक्चर सर्टिफिकेट और सर्टिफिकेट रिवोकेशन लिस्ट (CRL) प्रोफाइल
 * : इंटरनेट कुंजी विनिमय संस्करण 2 (IKEv2) प्रोटोकॉल के एन्क्रिप्टेड पेलोड के साथ प्रमाणित कूटलेखन एल्गोरिदम का उपयोग करना
 * : बेटर-देन-नथिंग सुरक्षितिटी: आईपीसेक का एक अप्रामाणित संचार
 * : आईपीसेक    के साथ उपयोग के लिए कमीलया (सिफर) के संचालन के तरीके
 * : इंटरनेट कुंजी विनिमय प्रोटोकॉल संस्करण 2 (IKEv2) के लिए पुनर्निर्देशन तंत्र
 * : इंटरनेट की विनिमय प्रोटोकॉल संस्करण 2 (IKEv2) सत्र की बहाली
 * : IKEv2 विस्तार आईपीसेक    पर मजबूत शीर्षलेख संपीड़न का समर्थन करने के लिए
 * : आईपीसेक    विस्तार आईपीसेक     पर मजबूत शीर्षलेख संपीड़न का समर्थन करने के लिए
 * : इंटरनेट की विनिमय प्रोटोकॉल संस्करण 2 (IKEv2)
 * : सुरक्षा पेलोड (ईएसपी) और प्रमाणीकरण शीर्षलेख (एएच) को प्रावरण करने के लिए गुप्‍तलेखीय एल्गोरिथम कार्यान्वयन आवश्यकताएँ और उपयोग मार्गदर्शन
 * : इंटरनेट कुंजी विनिमय प्रोटोकॉल संस्करण 2 (IKEv2) संदेश विखंडन
 * : इंटरनेट कुंजी विनिमय संस्करण 2 (IKEv2) में हस्ताक्षर प्रमाणीकरण
 * : ChaCha20, Poly1305, और इंटरनेट की विनिमय प्रोटोकॉल (IKE) और आईपीसेक     में उनका उपयोग

प्रायोगिक RFCs

 * : इंटरनेट की विनिमय (IKEv2) प्रोटोकॉल में बार-बार प्रमाणीकरण

सूचनात्मक आरएफसी

 * : PF_KEY इंटरफ़ेस
 * : ओकली कुंजी निर्धारण प्रोटोकॉल
 * : डेड इंटरनेट की विनिमय (IKE) पीयर का पता लगाने की एक ट्रैफिक-आधारित विधि
 * : आईपीसेक   -संजाल     एड्रेस ट्रांसलेशन (NAT) संगतता आवश्यकताएँ
 * : IKEv2 मोबिलिटी और मल्टीहोमिंग (MOBIKE) प्रोटोकॉल का डिज़ाइन
 * : आईपीसेक    प्रमाणपत्र प्रबंधन प्रोफ़ाइल के लिए आवश्यकताएँ
 * : कुछ नहीं से बेहतर सुरक्षा के लिए समस्या और प्रयोज्यता कथन (BTNS)
 * : आईपीसेक    सुरक्षा संघों पर मजबूत शीर्षलेख संपीड़न का एकीकरण
 * : इंटरनेट कुंजी विनिमय संस्करण 02 (IKEv2) प्रोटोकॉल के साथ उन्नत कूटलेखन मानक प्रत्युत्तर संचार (एईएस -CTR) का उपयोग करना
 * : आईपीसेक    क्लस्टर समस्या कथन
 * : आईपीसेक    और IKE दस्तावेज़ रोडमैप
 * : आईपीसेक    के लिए सुइट B गुप्‍तलेखीय सूट
 * : सुइट बी प्रोफाइल फॉर इंटरनेट प्रोटोकॉल सुरक्षितिटी (आईपीसीईसी)
 * : इंटरनेट की विनिमय संस्करण 2 (IKEv2) के लिए सुरक्षित पासवर्ड फ्रेमवर्क

सर्वश्रेष्ठ वर्तमान अभ्यास RFCs

 * : आईपीसेक    संस्करण 2 के उपयोग को निर्दिष्ट करने के लिए दिशानिर्देश

अप्रचलित/ऐतिहासिक आरएफसी

 * : इंटरनेट प्रोटोकॉल के लिए सुरक्षा संरचना (RFC 2401 द्वारा अप्रचलित)
 * : आईपी प्रमाणीकरण शीर्षलेख (आरएफसी 2402 द्वारा अप्रचलित)
 * : आईपी प्रावरणिंग सुरक्षितिटी पेलोड (ईएसपी) (RFC 2406 द्वारा अप्रचलित)
 * : कुंजीयुक्त MD5 (ऐतिहासिक) का उपयोग करके आईपी प्रमाणीकरण
 * : इंटरनेट प्रोटोकॉल के लिए सुरक्षा संरचना (आईपीसेक    ओवरव्यू) (RFC 4301 द्वारा अप्रचलित)
 * : आईपी प्रावरणिंग सुरक्षितिटी पेलोड (ईएसपी) (RFC 4303 और RFC 4305 द्वारा अप्रचलित)
 * : ISAKMP के लिए व्याख्या का इंटरनेट आईपी सुरक्षा डोमेन (RFC 4306 द्वारा अप्रचलित)
 * : इंटरनेट की विनिमय (RFC 4306 द्वारा अप्रचलित)
 * : सुरक्षा पेलोड (ईएसपी) और प्रमाणीकरण शीर्षलेख (एएच) को प्रावरण करने के लिए गुप्‍तलेखीय एल्गोरिथम कार्यान्वयन आवश्यकताएँ (RFC 4835 द्वारा अप्रचलित)
 * : इंटरनेट की विनिमय (IKEv2) प्रोटोकॉल (RFC 5996 द्वारा अप्रचलित)
 * : IKEv2 स्पष्टीकरण और कार्यान्वयन दिशानिर्देश (RFC 7296 द्वारा अप्रचलित)
 * : सुरक्षा पेलोड (ईएसपी) और प्रमाणीकरण शीर्षलेख (एएच) को प्रावरण करने के लिए गुप्‍तलेखीय एल्गोरिथम कार्यान्वयन आवश्यकताएँ (RFC 7321 द्वारा अप्रचलित)
 * : इंटरनेट की विनिमय प्रोटोकॉल वर्जन 2 (IKEv2) (RFC 7296 द्वारा अप्रचलित)

यह भी देखें

 * डायनामिक मल्टीपॉइंट वर्चुअल प्राइवेट संजाल
 * सूचना सुरक्षा
 * एनएटी ट्रैवर्सल
 * अवसरवादी कूटलेखन
 * टीसीपीक्रिप्ट

बाहरी संबंध

 * All आईईटीएफ active security WGs
 * आईईटीएफ आईपीसेक   me WG ("आईपी Security Maintenance and Extensions" Working Group)
 * आईईटीएफ btns WG ("Better-Than-Nothing Security" Working Group) (chartered to work on unauthenticated आईपीसेक  , आईपीसेक     APIs, connection latching)]
 * Securing Data in Transit with आईपीसेक    WindowsSecurity.com article by Deb Shinder
 * आईपीसेक    on Microsoft TechNet
 * Microsoft आईपीसेक    Diagnostic Tool on Microsoft Download Center
 * An Illustrated Guide to आईपीसेक    by Steve Friedl
 * Security Architecture for आईपी (आईपीसेक   ) Data Communication Lectures by Manfred Lindner Part आईपीसेक
 * Creating VPNs with आईपीसेक    and SSL/TLS Linux Journal article by Rami Rosen
 * Creating VPNs with आईपीसेक    and SSL/TLS Linux Journal article by Rami Rosen