IPsec fait partie de la famille de protocoles TCIP-IP. Son architecture est standardisée par IETF (Internet Engineering Task Force), une organisation qui vise à développer continuellement Internet. IPsec a été développé pour la dernière version du protocole Internet nommé IPv6 ainsi que pour IPv4. On distingue trois catégories de fonctions :
- Protocoles de transfert : Authentication Header (AH), Encapsulating Security Payload (ESP)
- Procédé de gestion de clé : Internet Security Association and Key Management Protocol (ISAKMP), Internet Key Exchange (IKE)
- Bases de données : Security Association Database (SAD), Security Policy Database (SPD)
A l’aide des protocoles de transfert AH et ESP, le protocole IPsec garantit à la fois l’authenticité et la sécurité des données envoyées, c’est-à-dire assurer que leur contenu corresponde réellement à celui de l’expéditeur et qu’il arrive tel quel au destinataire. C’est pourquoi AH propose un système d’authentification en temps réel de la source de données, via l’en-tête du paquet de données. D’autre part, le protocole garantit que les données restent intactes durant leur transfert. De plus, l’en-tête comprend un numéro de séquence, afin que ces paquets ne puissent être envoyés qu’une seule fois.
Le protocole ESP permet en plus de cela de crypter les données qui ont été envoyées. L’authentification ESP se démarque du protocole AH car son système n’est pas complet et ne prend pas en compte l’en-tête IP. A l’aide d’une encapsulation supplémentaire, les éléments ESP peuvent tout de même être livrés correctement comme avec les accès DSL privés sur les réseaux NAT.
La gestion du chiffrage ESP est gérée en grande partie par le protocole IKE. Il s’agit d’arrangements en matière de sécurité (security associations) entre l’émetteur et le destinataire. Pour cela, l’échange de clés Diffie-Hellman est utilisé en fonction des définitions du framework ISAKMP. Les informations nécessaires à l’envoi du paquet sur la base d’IPsec sont sauvegardées dans deux bases de données SPD et SAD. Les entrées dans la Security Policy Database déterminent par exemple quels protocoles de transmission (AH, ESP ou les deux) seront utilisés. Le SAD administre les entrées spécifiques de la security association qui sont placés par le protocole IKE. Ainsi, l’expéditeur gère le système de chiffrage et le destinataire reçoit la clé de chiffrage.