发信人：qmzh@smth.org (一个人的战争)，信区：cn.bbs.comp.security
标  题：ipsec（安全IP）2
发信站：BBS 水木清华站
转信站：LeafOK!news.zixia.net!maily.cic.tsinghua.edu.cn!SMTH

     应注意的是，AH 或ESP 所提供的安全保障完全依赖于它们采用的加密算法。针对
一致
性测试，以及为保证不同实施方案间的互通性，定义了一系列需要强制实行的加密算法
。这
些算法可提供常规性质的安全保障，然而加密技术的最新进展以及摩尔定律的连续证明
(观
察
家认为每隔18 个月，计算能力便增加一倍(，使得默认的加密算法(采用CBC 模式的DES
 )不
适合高度密集的数据，也不适合需要必须超长时期保密的数据。
       ipsec 提供的安全服务需要用到共享密钥，以执行它所肩负的数据验证以及(或
者机
密性保证任务。在此，强制实现了一种机制，以便为这些服务人工增加密钥。这样便可
确保
基本ipsec 协议间的互通性(相互间可以操作)。当然，采用人工增加密钥的方式，未免
会在
扩展(伸缩)能力上大打折扣。因此，还定义了一种标准的方法，用以动态地验证ipsec 
参与
各方的身份、协商安全服务以及生成共享密钥等等。这种密钥管理协议称为IKE ―亦即
“In
ternet 密钥交换(Internet Key Exchange )”。
        随ipsec 使用的共享密钥既可用于一种对称加密算法(在需要保障数据的机密性
时)
，亦可用于经密钥处理过的MAC (用于确保数据的完整性)，或者同时应用于两者。ipse
c 的
运算速度。速度必须够快有
公共密钥技术（如RSA 或DSS ）的速度均不够快，以至于无法流畅地逐个数据包地进行
加密
运算目前，公共密钥技术仍然限于在密钥交换期间完成一些初始的验证
--
※ 来源:．武汉白云黄鹤站WWW bbs.whnet.edu.cn. 


--