IPsec（Internet Protocol Security）是一种用于保障在IP网络中数据传输安全性的协议。它通过不同机制实现数据的机密性、完整性和身份验证。在完整性方面，IPsec采用了多种加密和哈希算法来确保数据在传输过程中的不被篡改。该协议的完整性校验主要是通过使用消息认证码（MAC）和散列函数来实现的，确保接收方能够检查接收数据的完整性和真实性。
消息认证码（MAC）是一个关键的工具，用于支持完整性校验。通过将输入的消息与一个秘密密钥结合，MAC函数生成一个短小的固定长度输出，该输出被附加到原始消息中。当数据通过网络进行传输时，接收方使用相同的密钥和MAC算法来验证接收的数据，确保其没有在传输过程中被篡改。MAC的安全性依赖于密钥的保护和算法的强大，确保未授权的用户无法伪造有效的MAC值。
在IPsec中，有两种工作模式用于实现数据的完整性，分别是传输模式和隧道模式。在传输模式中，报文的完整性校验是基于数据报文的负载部分进行的，整个IP头信息保持不变。这种模式通常用于点对点的通信，适用于两台主机之间的加密要求。而在隧道模式中，原始IP包被整体封装在新的IP包中，新的包会替换原来的源和目的地址，这样也对IP头进行完整性校验。隧道模式通常用于VPN（虚拟专用网）等较为复杂的网络通信场景。
完整性校验的另一种关键技术是散列函数（hash function），这是一种将任意长度的数据映射成固定长度字符串的算法。通过在数据上应用散列函数，生成一个hash值，接收方可以独立计算并比较该hash值。若发送方和接收方计算得到的hash值一致，则可以认定该消息在传输过程中未被修改。IPsec通常使用SHA（安全散列算法）系列的散列函数，如SHA-1或SHA-256，确保数据的完整性。
在IPsec的实现过程中，完整性校验并不仅仅依赖于MAC和散列函数的应用。它还涉及到密钥管理过程，这一过程确保了在数据通信中使用的完整性保护密钥的安全性。IPsec通常与密钥交换协议（如IKE—Internet Key Exchange）结合使用，动态管理通信双方的密钥，有效防止被动攻击和重放攻击等安全威胁。
当IPsec实现完整性校验时，它以IPsec安全关联（SA）的形式进行配置。安全关联在两台设备之间建立，明确了加密和完整性校验所采用的算法和密钥信息。在此基础上，IPsec可以在数据传输时检查每个封装数据包的完整性，确保信息在传输时内容未受到任何篡改。这样的机制为网络安全提供了多层保障。
根据RFC 2406和RFC 4302等标准，IPsec的完整性保护还提供了可选的附加功能，例如抗重放攻击，保证数据的真实性。通过为每个消息分配序列号，接收方可以验证消息的时序和重复性，从而增加了完整性校验的防御 capability，有效解决了数据可能伪造或重放的问题。
总结来说，IPsec通过综合利用MAC、散列函数、密钥管理，以及正确定义安全关联来实现对完整性的强有力保护。这些机制协同工作，确保了在IP网络传输过程中的数据安全，为用户提供了必要的保障。未来，随着网络环境和技术的不断变化，IPsec的完整性校验机制也将不断演进，以应对新的安全挑战与威胁，始终保持其在网络安全中的重要地位。