IPsec 中预共享密钥是怎么工作的？

easy

Q ： IPsec 中预共享密钥是怎么工作的？

使用实例请参考 《 两台计算机间IPSec设置及通信》。

A ：IPsec 中可以使用预共享密钥来进行身份认证。所谓 “预共享”，实际指的是，参与通信的双方都共享着同一个密钥。

在安全协商阶段，要发送的信息在发送前会被一个会话密钥(session key)进行加密。那该会话密钥从何而来呢？简单的说，你可以认为是 Diffie-Hellman 算法计算出来，如下图所示：



这个会话密钥也是双方共有的一个密钥，一般不能轻易破解。发送方会用这个会话密钥进行加密，而接收方同样用该密钥对收到的消息进行解密。

一个 IPsec 端通过解密及校验另一端数据包中的哈希值（预共享密钥的哈希值）来鉴定其身份。如果鉴定失败，那么数据包就会被丢弃。

事实上，并不建议使用预共享密钥的鉴定方式，它的安全性要比证书鉴定方式和在域中使用 Kerberos V5 协议要差。此外，预共享密钥是以明文方式存储在注册表中的；如果在注册表中搜索该密钥，你可以发现它的位置所在：


如果是在域环境，预共享密钥则是以十六进制格式来存储。

预共享密钥作为 IPsec 标准中的一个元素，其鉴定方式只提供用来作为临时测试用，不能在严格的生产环境中使用，建议使用证书或 Kerberos v5 替代之。



关于 Diffie-Hellman 的详细说明请参考维基百科中的介绍：

1. http://zh.wikipedia.org/wiki/%E8%BF%AA%E8%8F%B2%EF%BC%8D%E8%B5%AB%E5%B0%94%E6%9B%BC%E5%AF%86%E9%92%A5%E4%BA%A4%E6%8D%A2

复制代码