IPSec的两个重要组成部件AH和ESP:
AH(Authentication Header,验证头) :AH提供的功能包括了数据完整性、数据源验证以反重播(要注意的是:AH没有提供数据机密性服务)。
ESP(Encapsulating Security Payload ,封装安全载荷):除了具有AH的所有功能外,还可以保证数据的机密性。
下面是和IPSec有关的几个重要概念:
两种传送模式(Transport Mode):
传送模式(transport mode)与通道模式(tunnel mode)。两者的主要区别:传送模式用来保护上层协议;而通道模式用来保护整个IP数据包。
加密算法:
DES Algorithm和Triple DES Algorithm (3DES)。DES是56位的加密算法,3DES为加密强度三倍于DES,即168位的加密算法。
密钥交换算法:
DH(Diffie-Hellman key agreement)和RSA(Rivest, Shamir, and Adelman Signatures )。允许通话双方通过一个不安全的通信信道建立起一个可以被加密算法(如DES、MD5)所使用的共享安全密钥(shared secret key)。Cisco路由器和PIX防火墙中支持768位(Group 1)和1024位(Group 2)的DH组。
验证算法:
MD5(Message Digest 5)和SHA-1(Secure Hash Algorithm-1)。又称为HASH算法,基本原理是对一个任意长度的输入值进行处理,产生一个固定长度的输页码:[1] [2] [3] [4] [5] [6] [7] [8] 第2页、共8页 |
