在線輔導　面授招生　考試大綱　指定教材　報名時間

ESP協議既要實現數據加密，又要實現數據驗證，因此必須給它同時定義加密算法和驗證算法。ESP采用的驗證算法與AH的相同，即HMAC-MD5和HMAC-SHA1:它所采用的加密算法一開始定義為DES(Data Encryption Standard.數據加密算法)，通常是將56位的密鑰應用于64位的數據塊，對密鑰的每7位加上一位奇偶校驗位擴展為64位。對第1個數據塊的加密葙要用到一個初始化向里IV,IV必須具有健壯的偽隨機特性，以確保完全一致的明文不會產生完全一致的密文。但是DES由于其密鑰（56比特）長度太短，無法抵擋對密鑰的brute-force搜索攻擊，已經不再安全。冃前對DES算法的改進有兩種方案，一種是采用3DES,即連續使用3次DES進行加密，每次都用不同的密鑰，于是密鑰長度可認為是168位，這樣就克服了DES密鑰長度太短的缺點，但3DES進行加密處理的時間是DES的3倍：另一種方案是使用AES(AdvancedEncryptionStandard,高級加密標準），AES是一種塊加密算法（每塊128比特）它的密鑰長度可為128比特、192比特或256比特，而且它的處理速度比3DES要快得多。
在通常情況下，接收方收到一個ESP包后，首先檢查序列號，驗證是否是重播的數據包，若合法再對這個包進行身份驗證，若驗證通過，則進行解密工作，從SA中可以得到密鑰和密碼算法^判斷解密是否成功的一個最簡單的測試是檢驗其填充。由于填充內容具有決定意義--要么是一個從1開始的單項遞增的數，要么通過加密箅法來決定一一對填充內容進行驗證將決定這個包是否已成功解密。
IKE是非常通用的協議，可以為SNMPv3、RIPv2、0SPFv2等任何要求保密的協議來協商安全參數《IPSec采用IKE自動地為參與通信的實體協商SA,并對安全關聯庫（SAD)進行維護，保障通信安全。
IKE屬于一種混合型協議，它建立在Internet安全聯盟和密鑰管理協議（ISAKMP)定義的框架上，并借鑒了Oakley和SKEME的思想，它定義了通信實體間進行身份認證、協商加密算法，以及生成共亨會話密鑰的方法。為了防止密鑰泄露，1KE并不在不安全的網絡上傳輸密鑰，而是通過一系列強安全性的非對稱算法交換非密鑰數據，實現雙方的密鑰交換。按照當前的解密技術和計箅機應用的發展水平，該箅法可以看作是不可破解的。可以說IKE解決了在不安全的網絡環境（如Internet)中安全地建立或更新共享密鑰的問題一。
IKE主要通過階段交換來實現協商，它定義了兩個獨立的協商過程：階段一交換和階段二交換。階段一交換中又有兩種可選擇的模式：主模式（MainMode)和野蠻模式(AggressiveMode).這兩種模式的共同R的都進在通信雙方彼此間建立一個己通過身份驗證和安全保護的通道（IKESA)。IKE的階段二交換又稱為快速模式（QuickMode)交換，通過快速模式交換，IKE利用己經通過驗證和安全保護的通道為IPSec協商提供安全服務(IPSecSA)。正常情況下，通過一次主模式或野蠻模式后，可以完成多次快速模式。
IKE具有高度的伸縮性并且支持多種認證方式，它的身份認證采用共享密鑰和數字簽名，密鑰交換采用DiffieHeilman協議，故利用IKE可實現協商過程中的完整性保護和身份驗證，阻止中間人的攻擊，由于任何交換的第一步都是cookie的交換，這就可以提供一定程度的抗拒絕服務攻擊；由于快速模式交換專門提供了一個PFS選項，利用IKE還可以實現完夾向前保密，但這需要額外執行一次Diffie-Hellman交換。

返回目錄： 通信工程師考試移動互聯網安全技術匯總

編輯特別推薦 ：

中級通信專業實務 互聯網技術教程匯總

中級通信專業實務傳輸與接入教程匯總

通信專業實務考試設備與環境教程匯總

通信專業實務考試交換技術教程匯總