通信工程师考试ESP协议实现数据加密

　在线辅导　面授招生　考试大纲　指定教材　报名时间

ESP协议既要实现数据加密，又要实现数据验证，因此必须给它同时定义加密算法和验证算法。ESP采用的验证算法与AH的相同，即HMAC-MD5和HMAC-SHA1:它所采用的加密算法一开始定义为DES(Data Encryption Standard.数据加密算法)，通常是将56位的密钥应用于64位的数据块，对密钥的每7位加上一位奇偶校验位扩展为64位。对第1个数据块的加密葙要用到一个初始化向里IV,IV必须具有健壮的伪随机特性，以确保完全一致的明文不会产生完全一致的密文。但是DES由于其密钥（56比特）长度太短，无法抵挡对密钥的brute-force搜索攻击，已经不再安全。冃前对DES算法的改进有两种方案，一种是采用3DES,即连续使用3次DES进行加密，每次都用不同的密钥，于是密钥长度可认为是168位，这样就克服了DES密钥长度太短的缺点，但3DES进行加密处理的时间是DES的3倍：另一种方案是使用AES(AdvancedEncryptionStandard,高级加密标准），AES是一种块加密算法（每块128比特）它的密钥长度可为128比特、192比特或256比特，而且它的处理速度比3DES要快得多。
在通常情况下，接收方收到一个ESP包后，首先检查序列号，验证是否是重播的数据包，若合法再对这个包进行身份验证，若验证通过，则进行解密工作，从SA中可以得到密钥和密码算法^判断解密是否成功的一个最简单的测试是检验其填充。由于填充内容具有决定意义--要么是一个从1开始的单项递增的数，要么通过加密箅法来决定一一对填充内容进行验证将决定这个包是否已成功解密。
IKE是非常通用的协议，可以为SNMPv3、RIPv2、0SPFv2等任何要求保密的协议来协商安全参数《IPSec采用IKE自动地为参与通信的实体协商SA,并对安全关联库（SAD)进行维护，保障通信安全。
IKE属于一种混合型协议，它建立在Internet安全联盟和密钥管理协议（ISAKMP)定义的框架上，并借鉴了Oakley和SKEME的思想，它定义了通信实体间进行身份认证、协商加密算法，以及生成共亨会话密钥的方法。为了防止密钥泄露，1KE并不在不安全的网络上传输密钥，而是通过一系列强安全性的非对称算法交换非密钥数据，实现双方的密钥交换。按照当前的解密技术和计箅机应用的发展水平，该箅法可以看作是不可破解的。可以说IKE解决了在不安全的网络环境（如Internet)中安全地建立或更新共享密钥的问题一。
IKE主要通过阶段交换来实现协商，它定义了两个独立的协商过程：阶段一交换和阶段二交换。阶段一交换中又有两种可选择的模式：主模式（MainMode)和野蛮模式(AggressiveMode).这两种模式的共同R的都进在通信双方彼此间建立一个己通过身份验证和安全保护的通道（IKESA)。IKE的阶段二交换又称为快速模式（QuickMode)交换，通过快速模式交换，IKE利用己经通过验证和安全保护的通道为IPSec协商提供安全服务(IPSecSA)。正常情况下，通过一次主模式或野蛮模式后，可以完成多次快速模式。
IKE具有高度的伸缩性并且支持多种认证方式，它的身份认证采用共享密钥和数字签名，密钥交换采用DiffieHeilman协议，故利用IKE可实现协商过程中的完整性保护和身份验证，阻止中间人的攻击，由于任何交换的第一步都是cookie的交换，这就可以提供一定程度的抗拒绝服务攻击；由于快速模式交换专门提供了一个PFS选项，利用IKE还可以实现完夹向前保密，但这需要额外执行一次Diffie-Hellman交换。

返回目录： 通信工程师考试移动互联网安全技术汇总

编辑特别推荐 ：

中级通信专业实务 互联网技术教程汇总

中级通信专业实务传输与接入教程汇总

通信专业实务考试设备与环境教程汇总

通信专业实务考试交换技术教程汇总