协商方式-深入浅出西门子s7-200plc《第二版》电子版

（3）验证算法与加密算法

a. 验证算法

AH和ESP都能够对IP报文的完整性进行验证，以判别报文在传输过程中是否被篡改。验证算法的实现主要是通过杂凑函数，杂凑函数是一种能够接受任意长度的消息输入，并产生固定长度输出的算法，该输出称为消息摘要。IPsec对等体计算摘要，如果两个摘要是相同的，则表示报文是完整未经篡改的。一般来说，IPsec使用两种验证算法：

• MD5：MD5通过输入任意长度的消息，产生128bit的消息摘要。
• SHA-1：SHA-1通过输入长度小于2的64次方比特的消息，产生160bit的消息摘要。SHA-1的摘要长于MD5，因而是更安全的。

b. 加密算法

ESP能够对IP报文内容进行加密保护，防止报文内容在传输过程中被窥探。加密算法实现主要通过对称密钥系统，它使用相同的密钥对数据进行加密和解密。Comware中IPsec实现三种加密算法：

• DES：使用56bit的密钥对一个64bit的明文块进行加密。
• 3DES：使用三个56bit的DES密钥（共168bit密钥）对明文进行加密。
• AES（Advanced Encryption Standard）：Comware实现了128bit、192bit和256bit密钥长度的AES算法。

（4）协商方式

有两种协商方式建立安全联盟，一种是手工方式（manual），一种是IKE自动协商（isakmp）方式。前者配置比较复杂，创建安全联盟所需的全部信息都必须手工配置，而且IPsec的一些高级特性（例如定时更新密钥）不被支持，但优点是可以不6-18。