术语解释:
Advanced Encryption Standard (AES):高级加密标准,使用128,192,256位长的KEY来加密128,192,256位长的数据块,可以作出9种组合
Authentication Header (AH): 验证头部,一种安全协议,只 是用来验证头部和防重发.不对实际用户数据部分加密.可配合ESP使用.
Authentication:IPsec框架种的一个功能,用来验证数据完整性,并确保数据在传输过程中没有被篡改,同时也可用来验证数据来源的合法性(验证数据来源).
Certification Authority (CA): 权威认证.第三方受信机构.提供CA证书或发布不信任认证.
Certificate:一个包含标志身份和公钥的加密签名对象
Certificate Revocation List (CRL): 不信任列表,由CA颁布的.
Crypto map: 加密映射,CISCO IOS的一个配置功能语句,提供3个主要功能:一,选择需要加密的数据流(通过调用ACL),二,定义策略(通过调用转换集),三,设置对等体
Data integrity: 数据完整性机制,通过密钥或公钥确保数据传输过程中没有被篡改.
Data confidentiality: 数据机密性,通过加密或者只让伙伴知道KEY值的方法来保证数据不被其他人读取.
Data origin authentication: 数据源验证,一种安全服务,确保数据是来自正确的发送方,服务要求数据完整性+KEY分发机制(一个密钥只能是发送和接受方知道)
Data Encryption Standard (DES): 数据加密标注,使用密钥加密分组,CISCO-IPSEC使用56位长密钥加密分组
Diffie-Hellman:一种确保共享KEY安全穿越不安全网络的方法,它是OAKLEY的一个组成部分.
Encapsulating Security Payload (ESP): 封装安全有效负载,一种提供数据加密的协议,同时支持验证和防重发功能,它完整封装用户数据,可独自使用或与AH配合使用.
Hash: 哈西,散列算法,将变长分组转化成定长摘要.CISCO在IPSEC中使用SHA (Secure Hash Algorithm )和MD5(Message Digest 5)两种方法.
HMAC:使用SHA,MD5进行消息验证的一种机制.
Internet Key Exchange (IKE): internet key交换.,一种在Internet Security Association and Key Management Protocol (ISAKMP) 框架中使用Oakley和SKEME协议组的混合协议.IKE通常用来确定一个共享的安全策略和对需要KEY 的KEY服务的验证,在IPSEC流量能通过之前,先要对router/firewall/host 这些对等体进行身份验证.可以在双边手工输入预共享(pre-share)ke'y或者通过CA获得KEY,通过双边协商双边获得统一IKE的SA,建立初步的安全通道,为接下来的IPSEC作准备.
Internet Security Association and Key Management Protocol (ISAKMP):一种协议框架,定义一种KEY交换和安全策略协商的
Message Digest 5 (MD5):MD5消息摘要,和SHA一样从MD4发展而来的,产生一个128位长的摘要,SHA比MD5更安全,但更耗资源.