在此页面上
IPSec 术语和缩略语
三重数据加密标准 (3DES)
一种增强的 DES 算法,通过使用三个不同的密钥处理数据三次来提供 168 位加密。
自适应服务 PIC
下一代物理接口卡 (PIC),可在 M 系列和 T 系列平台上提供 IPsec 服务和其他服务,例如网络地址转换 (NAT) 和有状态防火墙。
高级加密标准 (AES)
基于 Rijndael 算法的下一代加密方法,使用 128 位块、三种不同的密钥大小(128、192 和 256 位)和多轮处理来加密数据。
认证头 (AH)
IPsec 协议的一个组件,用于验证数据包的内容是否未更改(数据完整性)和验证发送方的身份(数据源身份验证)。有关 AH 的详细信息,请参阅 RFC 2402。
证书颁发机构 (CA)
生成、注册、验证和吊销数字证书的受信任的第三方组织。CA 保证用户的身份,并颁发用于消息加密和解密的公钥和私钥。
证书吊销列表 (CRL)
在到期日期之前已失效的数字证书的列表,包括其吊销原因和颁发这些证书的实体的名称。CRL 可防止使用已泄露的数字证书和签名。
密码块链接 (CBC)
一种加密方法,通过使用一个块的加密结果来加密下一个块来加密密文块。解密后,每个密文块的有效性取决于前面所有密文块的有效性。有关如何将 CBC 与 DES 和 ESP 结合使用以提供机密性的详细信息,请参阅 RFC 2405。
数据加密标准 (DES)
一种加密算法,通过使用单个共享密钥处理数据包数据来加密和解密数据包数据。DES 以 64 位块为增量运行,并提供 56 位加密。
数字证书
使用私钥和公钥技术验证证书创建者的身份并将密钥分发给对等方的电子文件。
ES PIC
为 M 系列和 T 系列平台上的 IPsec 提供第一代加密服务和软件支持的 PIC。
封装安全有效负载 (ESP)
IPsec 协议的一个组件,用于加密 IPv4 或 IPv6 数据包中的数据、提供数据完整性并确保数据源身份验证。有关 ESP 的详细信息,请参阅 RFC 2406。
散列消息验证代码 (HMAC)
一种使用加密哈希函数进行消息认证的机制。HMAC 可与任何迭代加密散列函数(如 MD5 或 SHA-1)结合使用,并结合使用秘密共享密钥。有关 HMAC 的详细信息,请参阅 RFC 2104。
互联网密钥交换 (IKE)
为 使用 IPsec 的任何主机或路由器建立共享安全参数。IKE 为 IPsec 建立 SA。有关 IKE 的详细信息,请参阅 RFC 2407。
消息摘要 5 (MD5)
一种身份验证算法,它采用任意长度的数据消息并生成 128 位消息摘要。有关详细信息,请参阅 RFC 1321。
完全向前保密 (PFS)
通过 Diffie-Hellman 共享密钥值提供额外的安全性。使用 PFS,如果一个密钥泄露,则先前和后续密钥是安全的,因为它们不是从以前的密钥派生的。
公钥基础设施 (PKI)
一种信任层次结构,它使公共网络的用户能够通过使用公钥和私钥密钥对来安全、私密地交换数据,这些密钥对是通过受信任的颁发机构获取并与对等方共享的。
注册机构 (RA)
代表 CA 保证用户身份的受信任的第三方组织。
路由引擎
基于 Junos OS 的路由器中基于 PCI 的架构部分,用于处理路由协议进程、接口进程、部分机箱组件、系统管理和用户访问。
安全关联 (SA)
在允许 IKE 或 IPsec 正常工作之前,两个网络设备之间必须商定的规范。SA 主要指定协议、身份验证和加密选项。
安全关联数据库 (SADB)
所有 SA 都由 IPsec 存储、监视和处理的数据库。
安全散列算法 1 (SHA-1)
一种身份验证算法,它采用长度小于 264 位的数据消息并生成 160 位消息摘要。有关 SHA-1 的详细信息,请参阅 RFC 3174。
安全散列算法 2 (SHA-2)
SHA-1 身份验证算法的后继者,包括一组 SHA-1 变体(SHA-224、SHA-256、SHA-384 和 SHA-512)。SHA-2 算法使用更大的哈希大小,旨在与增强型加密算法(如 AES)配合使用。
安全策略数据库 (SPD)
与 SADB 配合使用以确保最大数据包安全性的数据库。对于入站数据包,IPsec 会检查 SPD 以验证传入数据包是否与为特定策略配置的安全性匹配。对于出站数据包,IPsec 会检查 SPD 以查看是否需要保护数据包。
安全参数索引 (SPI)
用于唯一标识网络主机或路由器上的 SA 的标识符。
简单证书注册协议 (SCEP)
支持 CA 和注册机构 (RA) 公钥分发、证书注册、证书吊销、证书查询和证书吊销列表 (CRL) 查询的协议。