验证数字证书有效性步骤

验证数字证有效性步骤 Internet 协议安全 (IPSec) 循序渐进指南 在进行IPSec完整性配置时，有两个选项 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ，简称SHA1)。后者的安全度更高，但需要更多的 CPU资源，MD5使用128位散列算法，而SHA1使用的160位算法。 IPsec 认证协议 当两个系统互相交换加密数据之前，需要相互对加密的数据包进行安全认定。这个安全认定成为安全协定(security association，简称SA)。在相互通信之前，两个系统必须认定对同一SA。 因特网密钥交换协议(Internet Key Exchange，简称IKE)管理着用于IPSec连接的 SA协议过程。IKE是因特网工程任务组(Internet Engineering Task Force，简称IETF)制定的关于安全协议和密钥交换的标准。IKE的操作分两阶段:第一阶段确保通信信道的安全，第二阶段约定SA的操作。 为了建立IPSec通信，两台主机在SA协定之前必须互相认证，有三种认证方法: Kerberos - Kerberos v5常用于Windows Server 2003，是其缺省认证方式。 Kerberos能在域内进行安全协议认证，使用时，它既对用户的身份也对网络服务进行验证。Kerberos的优点是可以在用户和服务器之间相互认证，也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 认证的UNix环境系统之间提供认证服务。 公钥证书 (PKI) - PKI用来对非受信域的成员，非Windows客户，或者没有运行Kerberos v5 认证协议的计算机进行认证，认证证书由一个作为证书机关(CA)系统签署。 预先共享密钥 -在预先共享密钥认证中，计算机系统必须认同在IPSec策略中使用的一个共享密钥 ，使用预先共享密钥仅当证书和Kerberos无法配置的场合。 IPSec加密协议 IPSec提供三种主要加密方法，如下 数据加密标准 (DES 40位) - 该加密方法性能最好，但安全性较低。该 40位数据加密标准(Data Encryption Standard，简称DES)通常被称为 安全套接字层(Secure Sockets Layer，简称SSL)。适用于数据安全性要求较低的场合。 数据加密标准 (DES 56位) - 通过IPSec策略，可以使用56位 DES的加密方法。1977年美国国家标准局公布了DES算法，它可以在通信过程中经常生成密钥。该功能可防止因为一个DES密钥被破译而整个数据集的安全受到影响。但是在商业中被认为过时了，仅用于传统的应用支持，有专门的硬件可以破译标准的 56位密钥