通信工程師考試ESP協(xié)議實(shí)現(xiàn)數(shù)據(jù)加密

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報(bào)名時(shí)間

ESP協(xié)議既要實(shí)現(xiàn)數(shù)據(jù)加密，又要實(shí)現(xiàn)數(shù)據(jù)驗(yàn)證，因此必須給它同時(shí)定義加密算法和驗(yàn)證算法。ESP采用的驗(yàn)證算法與AH的相同，即HMAC-MD5和HMAC-SHA1:它所采用的加密算法一開始定義為DES(Data Encryption Standard.數(shù)據(jù)加密算法)，通常是將56位的密鑰應(yīng)用于64位的數(shù)據(jù)塊，對(duì)密鑰的每7位加上一位奇偶校驗(yàn)位擴(kuò)展為64位。對(duì)第1個(gè)數(shù)據(jù)塊的加密葙要用到一個(gè)初始化向里IV,IV必須具有健壯的偽隨機(jī)特性，以確保完全一致的明文不會(huì)產(chǎn)生完全一致的密文。但是DES由于其密鑰（56比特）長(zhǎng)度太短，無(wú)法抵擋對(duì)密鑰的brute-force搜索攻擊，已經(jīng)不再安全。冃前對(duì)DES算法的改進(jìn)有兩種方案，一種是采用3DES,即連續(xù)使用3次DES進(jìn)行加密，每次都用不同的密鑰，于是密鑰長(zhǎng)度可認(rèn)為是168位，這樣就克服了DES密鑰長(zhǎng)度太短的缺點(diǎn)，但3DES進(jìn)行加密處理的時(shí)間是DES的3倍：另一種方案是使用AES(AdvancedEncryptionStandard,高級(jí)加密標(biāo)準(zhǔn)），AES是一種塊加密算法（每塊128比特）它的密鑰長(zhǎng)度可為128比特、192比特或256比特，而且它的處理速度比3DES要快得多。
在通常情況下，接收方收到一個(gè)ESP包后，首先檢查序列號(hào)，驗(yàn)證是否是重播的數(shù)據(jù)包，若合法再對(duì)這個(gè)包進(jìn)行身份驗(yàn)證，若驗(yàn)證通過(guò)，則進(jìn)行解密工作，從SA中可以得到密鑰和密碼算法^判斷解密是否成功的一個(gè)最簡(jiǎn)單的測(cè)試是檢驗(yàn)其填充。由于填充內(nèi)容具有決定意義--要么是一個(gè)從1開始的單項(xiàng)遞增的數(shù)，要么通過(guò)加密箅法來(lái)決定一一對(duì)填充內(nèi)容進(jìn)行驗(yàn)證將決定這個(gè)包是否已成功解密。
IKE是非常通用的協(xié)議，可以為SNMPv3、RIPv2、0SPFv2等任何要求保密的協(xié)議來(lái)協(xié)商安全參數(shù)《IPSec采用IKE自動(dòng)地為參與通信的實(shí)體協(xié)商SA,并對(duì)安全關(guān)聯(lián)庫(kù)（SAD)進(jìn)行維護(hù)，保障通信安全。
IKE屬于一種混合型協(xié)議，它建立在Internet安全聯(lián)盟和密鑰管理協(xié)議（ISAKMP)定義的框架上，并借鑒了Oakley和SKEME的思想，它定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法，以及生成共亨會(huì)話密鑰的方法。為了防止密鑰泄露，1KE并不在不安全的網(wǎng)絡(luò)上傳輸密鑰，而是通過(guò)一系列強(qiáng)安全性的非對(duì)稱算法交換非密鑰數(shù)據(jù)，實(shí)現(xiàn)雙方的密鑰交換。按照當(dāng)前的解密技術(shù)和計(jì)箅機(jī)應(yīng)用的發(fā)展水平，該箅法可以看作是不可破解的?？梢哉f(shuō)IKE解決了在不安全的網(wǎng)絡(luò)環(huán)境（如Internet)中安全地建立或更新共享密鑰的問(wèn)題一。
IKE主要通過(guò)階段交換來(lái)實(shí)現(xiàn)協(xié)商，它定義了兩個(gè)獨(dú)立的協(xié)商過(guò)程：階段一交換和階段二交換。階段一交換中又有兩種可選擇的模式：主模式（MainMode)和野蠻模式(AggressiveMode).這兩種模式的共同R的都進(jìn)在通信雙方彼此間建立一個(gè)己通過(guò)身份驗(yàn)證和安全保護(hù)的通道（IKESA)。IKE的階段二交換又稱為快速模式（QuickMode)交換，通過(guò)快速模式交換，IKE利用己經(jīng)通過(guò)驗(yàn)證和安全保護(hù)的通道為IPSec協(xié)商提供安全服務(wù)(IPSecSA)。正常情況下，通過(guò)一次主模式或野蠻模式后，可以完成多次快速模式。
IKE具有高度的伸縮性并且支持多種認(rèn)證方式，它的身份認(rèn)證采用共享密鑰和數(shù)字簽名，密鑰交換采用DiffieHeilman協(xié)議，故利用IKE可實(shí)現(xiàn)協(xié)商過(guò)程中的完整性保護(hù)和身份驗(yàn)證，阻止中間人的攻擊，由于任何交換的第一步都是cookie的交換，這就可以提供一定程度的抗拒絕服務(wù)攻擊；由于快速模式交換專門提供了一個(gè)PFS選項(xiàng)，利用IKE還可以實(shí)現(xiàn)完夾向前保密，但這需要額外執(zhí)行一次Diffie-Hellman交換。

返回目錄： 通信工程師考試移動(dòng)互聯(lián)網(wǎng)安全技術(shù)匯總

編輯特別推薦 ：

中級(jí)通信專業(yè)實(shí)務(wù) 互聯(lián)網(wǎng)技術(shù)教程匯總

中級(jí)通信專業(yè)實(shí)務(wù)傳輸與接入教程匯總

通信專業(yè)實(shí)務(wù)考試設(shè)備與環(huán)境教程匯總

通信專業(yè)實(shí)務(wù)考試交換技術(shù)教程匯總