协商方式-深入浅出西门子s7-200plc《第二版》电子版
(3)验证算法与加密算法
a. 验证算法
AH和ESP都能够对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。验证算法的实现主要是通过杂凑函数,杂凑函数是一种能够接受任意长度的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。IPsec对等体计算摘要,如果两个摘要是相同的,则表示报文是完整未经篡改的。一般来说,IPsec使用两种验证算法:
- MD5:MD5通过输入任意长度的消息,产生128bit的消息摘要。
- SHA-1:SHA-1通过输入长度小于2的64次方比特的消息,产生160bit的消息摘要。SHA-1的摘要长于MD5,因而是更安全的。
b. 加密算法
ESP能够对IP报文内容进行加密保护,防止报文内容在传输过程中被窥探。加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。Comware中IPsec实现三种加密算法:
- DES:使用56bit的密钥对一个64bit的明文块进行加密。
- 3DES:使用三个56bit的DES密钥(共168bit密钥)对明文进行加密。
- AES(Advanced Encryption Standard):Comware实现了128bit、192bit和256bit密钥长度的AES算法。
(4)协商方式
有两种协商方式建立安全联盟,一种是手工方式(manual),一种是IKE自动协商(isakmp)方式。前者配置比较复杂,创建安全联盟所需的全部信息都必须手工配置,而且IPsec的一些高级特性(例如定时更新密钥)不被支持,但优点是可以不6-18。
用户评论