浅谈分析TCP/IP筛选 VS IPSec 策略3

r>　　当两个系统互相交换加密数据之前，需要相互对加密的数据包进行安全认定。这个安全认定成为安全协定(security association，简称SA)。在相互通信之前，两个系统必须认定对同一SA。
　　
　　因特网密钥交换协议(Internet Key Exchange，简称IKE)管理着用于IPSec连接的 SA协议过程。IKE是因特网工程任务组(Internet Engineering Task Force，简称IETF)制定的关于安全协议和密钥交换的标准方法。IKE的操作分两阶段:第一阶段确保通信信道的安全，第二阶段约定SA的操作。
　　
　　为了建立IPSec通信，两台主机在SA协定之前必须互相认证，有三种认证方法:
　　
　　Kerberos - Kerberos v5常用于Windows Server 2003，是其缺省认证方式。 Kerberos能在域内进行安全协议认证，使用时，它既对用户的身份也对网络服务进行验证。Kerberos的优点是可以在用户和服务器之间相互认证，也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 认证的UNix环境系统之间提供认证服务。
　　
　　公钥证书 (PKI) - PKI用来对非受信域的成员，非Windows客户，或者没有运行Kerberos v

页码：[1] [2] [3] [4] [5] [6] [7] [8] 第3页、共8页

设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明