IPSec中文配置说明.docx

IPSec 中文配置说明（经典收藏） 2008-03-05 13:37 Advanced Encryption Standard (AES):高级加密标准,使用 128,192,256 位长的KEY 来加密 128,192,256 位长的数据块,可以作出 9 种组合 Authentication Header (AH): 验证头部,一种安全协议,只是用来验证头部和防重发.不对实际用户数据部分加密.可配合 ESP 使用. Authentication:IPsec 框架中的一个功能,用来验证数据完整性,并确保数据在传输过程中没有被篡改,同时也可用来验证数据来源的合法性(验证数据来源). Certification Authority (CA): 权威认证.第三方受信机构.提供 CA 证书或发布不信任认证. Certificate:一个包含标志身份和公钥的加密签名对象Certificate Revocation List (CRL): 不信任列表,由 CA 颁布的. Crypto map: 加密映射,CISCO IOS 的一个配置功能语句,提供 3 个主要功能:一, 选择需要加密的数据流(通过调用 ACL),二,定义策略(通过调用转换集),三,设置对等体 Data integrity: 数据完整性机制,通过密钥或公钥确保数据传输过程中没有被篡改. Data confidentiality: 数据机密性,通过加密或者只让伙伴知道 KEY 值的方法来保证数据不被其他人读取. Data origin authentication: 数据源验证,一种安全服务,确保数据是来自正确的发送方,服务要求数据完整性+KEY 分发机制(一个密钥只能是发送和接受方知道) Data Encryption Standard (DES): 数据加密标注,使用密钥加密分组,CISCO-IPSEC 使用 56 位长密钥加密分组 Diffie-Hellman:一种确保共享 KEY 安全穿越不安全网络的方法,它是 OAKLEY 的一个组成部分. Encapsulating Security Payload (ESP): 封装安全有效负载,一种提供数据加密的协议,同时支持验证和防重发功能,它完整封装用户数据,可独自使用或与 AH 配合使用. Hash: 哈西,散列算法,将变长分组转化成定长摘要.CISCO 在 IPSEC 中使用 SHA (Secure Hash Algorithm )和 MD5(Message Digest 5)两种方法. HMAC:使用 SHA,MD5 进行消息验证的一种机制. Internet Key Exchange (IKE): internet key 交换.,一种在 Internet Security Association and Key Management Protocol (ISAKMP) 框架中使用 Oakley 和SKEME 协议组的混合协议.IKE 通常用来确定一个共享的安全策略和对需要 KEY 的KEY 服务的验证,在IPSEC 流量能通过之前,先要对router/firewall/host 这些对等体进行身份验证.可以在双边手工输入预共享(pre-share)key 或者通过CA 获得 KEY,通过双边协商双边获得统一 IKE 的 SA,建立 初步的安全通道,为接下来的 IPSEC 作准备. Internet Security Association and Key Management Protocol (ISAKMP):一种协议框架,定义一种 KEY 交换和安全策略协商的 Message Digest 5 (MD5):MD5 消息摘要,和 SHA 一样从 MD4 发展而来的,产生一个 128 位长的摘要,SHA 比 MD5 更安全,但更耗资源. Oakley: 一种KEY 交换协议,它的一个基本机制就是Diffie-Hellman KEY 交换算法 Perfect Forward Secrecy (PFS): PFS ensures that a given IPSec SAkey was not derived from any other secret (like some other keys). In other words, if someone breaks a key, PFS ensures that the attacker is not able to derive any other key. If PFS is not enabled, someone can potentially break the IKE SA secret key, copy all the IPSec protecte