動態再生密鑰
IPSec策略通過壹種稱為動態重新加密的方法來控制通信期間生成新密鑰的頻率。通信以塊的形式發送,每個數據塊由不同的密鑰保護。這可以防止已經獲得部分通信和相應會話密鑰的攻擊者獲得通信的其余部分。這種請求安全協商和自動密鑰管理服務是通過使用RFC 2409中定義的“互聯網密鑰交換(IKE)”來提供的。
IPSec策略允許您控制生成新密鑰的頻率。如果沒有配置任何值,密鑰將在默認時間間隔自動重新生成。
密鑰長度
密鑰長度每增加壹位,可能的密鑰數量就會增加壹倍,這就增加了破解密鑰的難度。IPSec策略提供了各種允許使用短或長密鑰長度的算法。
密鑰材料生成:Diffie-Hellman算法
要實現安全通信,兩臺計算機必須能夠獲得相同的* * *共享密鑰(會話密鑰),而不必通過網絡發送或泄露密鑰。
Diffie-Hellman算法(DH)出現在Rivest-Shamir-Adleman (RSA)加密之前,可以提供更好的性能。這是最古老、最安全的密鑰交換算法之壹。雙方可以公開交換密鑰信息,Windows XP通過哈希函數簽名進壹步保護這些信息。任何壹方都不交換實際的密鑰,但是在交換密鑰材料之後,每壹方都可以生成相同的* * *共享密鑰。
雙方交換的DH密鑰材料可以基於768位或1024位密鑰材料,即DH組。DH組提供的安全性與從DH交換計算的密鑰提供的安全性相當。提供強安全性的DH組與長密鑰長度結合使用,這增加了嘗試確定密鑰的計算難度。
IPSec使用DH算法為所有其他加密密鑰提供密鑰材料。DH不提供身份驗證。在Windows XP IPSec的實現中,DH交換後會進行身份驗證,防止中間人攻擊。