关于ESP和AH

文学少年的忧郁

ESP：提供数据认证、机密性和完整性服务，主要负责以一种安全方式从到目的的资源获得数据，检验数据没有被改变，以及确保会话不会被截取。IP协议号为：50，可以工作在基于PAT(基于端口的NAT)的网络中。 (ESP的概念补充说明：封装安全负载（ESP）通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性，这样可以避免其他用户通过监听来打开信息交换的内容，因为只有受信任的用户拥有密匙打开内容。ESP也能提供认证和维持数据的完整性。最主要的ESP标准是数据加密标准（DES），DES最高支持56位的密匙，而Triple-DES使用三套密匙加密，那就相当于使用最高到168位的密匙。由于ESP实际上加密所有的数据，因而它比AH需要更多的处 理时间，从而导致性能下降。) AH：提供数据的认证和完整性服务，AH不提供任何数据的加密，它仅提供起源认证或者检验来自发送器的数据，能够防止会话被截取。IP协议号为：51，不可以工作在基于PAT的网络。 （AH的概念补充说明：认证协议头（AH）是在所有数据包头加入一个密码。正如整个名称所示，AH通过一个只有密匙持有人才知道的"数字签名"来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果；AH还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来。不过由于AH不能加密数据包所加载的内容，因而它不保证任何的机密性。两个最普遍的AH标准是MD5和SHA-1，MD5使用最高到128位的密匙，而SHA-1通过最高到160位密匙提供更强的保护）