動態重生成密鑰
IPSec 策略通過壹種稱為動態重新加密的方法來控制通訊期間生成新密鑰的頻率。通訊是以塊的形式發送的,每個數據塊都使用不同的密鑰來加以保護。這樣可防止已經獲取部分通訊與相應的會話密鑰的攻擊者獲取其余部分的通訊。該請求安全協商與自動密鑰管理服務是通過使用 RFC 2409 中定義的“Internet 密鑰交換 (IKE)”來提供的。
IPSec 策略允許您控制生成新密鑰的頻率。如果未配置值,則以默認時間間隔自動重新生成密鑰。
密鑰長度
每當密鑰的長度增加壹位,可能的密鑰數會加倍,使得破解密鑰的難度也會成倍加大。IPSec 策略提供了多種允許使用短的或長的密鑰長度的算法。
密鑰材料生成:Diffie-Hellman 算法
要啟用安全通訊,兩臺計算機必須能夠獲取相同的***享密鑰(會話密鑰),而不必通過網絡發送密鑰,也不會泄密。
Diffie-Hellman 算法 (DH) 先於 Rivest-Shamir-Adleman (RSA) 加密出現,可提供較好的性能。它是用於密鑰交換的最古老且最安全的算法之壹。雙方可以公開交換密鑰信息,而 Windows XP 還通過哈希功能簽名對該信息進行進壹步保護。任何壹方都不交換實際密鑰,但是,在交換密鑰材料之後,每壹方都能夠生成相同的***享密鑰。
雙方交換的 DH 密鑰材料可以基於 768 位或 1024 位密鑰材料,即 DH 組。DH 組提供的安全性與從 DH 交換計算的密鑰提供的安全性相稱。提供很強安全性的 DH 組與較長的密鑰長度結合使用,增加了試圖確定密鑰的計算難度。
IPSec 使用 DH 算法為所有其他加密密鑰提供密鑰材料。DH 不提供驗證。在 Windows XP IPSec 實施中,進行 DH 交換之後,會對標識進行驗證,以防中間人 (man-in-the-middle) 攻擊。