IPSec-Begriffe und Akronyme

Ein erweiterter DES-Algorithmus, der eine 168-Bit-Verschlüsselung bietet, indem Daten dreimal mit drei verschiedenen Schlüsseln verarbeitet werden.

Eine physische Schnittstellenkarte (PIC) der nächsten Generation, die IPsec-Dienste und andere Dienste wie Network Address Translation (NAT) und Stateful Firewall auf Plattformen der M- und T-Serie bereitstellt.

Eine Verschlüsselungsmethode der nächsten Generation, die auf dem Rijndael-Algorithmus basiert und einen 128-Bit-Block, drei verschiedene Schlüsselgrößen (128, 192 und 256 Bit) und mehrere Verarbeitungsrunden zur Verschlüsselung von Daten verwendet.

Eine Komponente des IPsec-Protokolls, die verwendet wird, um zu überprüfen, ob sich der Inhalt eines Pakets nicht geändert hat (Datenintegrität), und um die Identität des Absenders zu überprüfen (Datenquellenauthentifizierung). Weitere Informationen zu AH finden Sie unter RFC 2402.

Eine vertrauenswürdige Drittanbieterorganisation, die digitale Zertifikate generiert, registriert, validiert und widerruft. Die Zertifizierungsstelle garantiert die Identität eines Benutzers und stellt öffentliche und private Schlüssel für die Nachrichtenverschlüsselung und -entschlüsselung aus.

Eine Liste der digitalen Zertifikate, die vor ihrem Ablaufdatum für ungültig erklärt wurden, einschließlich der Gründe für ihren Widerruf und der Namen der Entitäten, die sie ausgestellt haben. Eine CRL verhindert die Verwendung von digitalen Zertifikaten und Signaturen, die kompromittiert wurden.

Eine kryptografische Methode, bei der verschlüsselte Textblöcke verschlüsselt werden, indem das Verschlüsselungsergebnis eines Blocks verwendet wird, um den nächsten Block zu verschlüsseln. Bei der Entschlüsselung hängt die Gültigkeit jedes Chiffretextblocks von der Gültigkeit aller vorhergehenden Chiffretextblöcke ab. Weitere Informationen zur Verwendung von CBC mit DES und ESP zur Gewährleistung der Vertraulichkeit finden Sie unter RFC 2405.

Ein Verschlüsselungsalgorithmus, der Paketdaten verschlüsselt und entschlüsselt, indem die Daten mit einem einzigen gemeinsam genutzten Schlüssel verarbeitet werden. DES arbeitet in Schritten von 64-Bit-Blöcken und bietet eine 56-Bit-Verschlüsselung.

Elektronische Datei, die die Technologie mit privaten und öffentlichen Schlüsseln verwendet, um die Identität eines Zertifikatserstellers zu überprüfen und Schlüssel an Peers zu verteilen.

Ein PIC, das Verschlüsselungsdienste der ersten Generation und Softwareunterstützung für IPsec auf Plattformen der M- und T-Serie bietet.

Eine Komponente des IPsec-Protokolls, die verwendet wird, um Daten in einem IPv4- oder IPv6-Paket zu verschlüsseln, Datenintegrität bereitzustellen und die Datenquellenauthentifizierung sicherzustellen. Weitere Informationen zu ESP finden Sie unter RFC 2406.

Ein Mechanismus für die Nachrichtenauthentifizierung mithilfe kryptografischer Hashfunktionen. HMAC kann mit jeder iterativen kryptografischen Hashfunktion wie MD5 oder SHA-1 in Kombination mit einem geheimen gemeinsam genutzten Schlüssel verwendet werden. Weitere Informationen zu HMAC finden Sie unter RFC 2104.

Legt gemeinsam genutzte Sicherheitsparameter für alle Hosts oder Router fest, die IPsec verwenden. IKE richtet die Sicherheitszuordnungen für IPsec ein. Weitere Informationen zu IKE finden Sie unter RFC 2407.

Ein Authentifizierungsalgorithmus, der eine Datennachricht beliebiger Länge akzeptiert und einen 128-Bit-Nachrichtenhash erzeugt. Weitere Informationen finden Sie unter RFC 1321.

Bietet zusätzliche Sicherheit durch einen Diffie-Hellman-Wert für den gemeinsamen geheimen Schlüssel. Wenn mit PFS ein Schlüssel kompromittiert wird, sind vorherige und nachfolgende Schlüssel sicher, da sie nicht von vorherigen Schlüsseln abgeleitet sind.

Eine Vertrauenshierarchie, die es Benutzern eines öffentlichen Netzwerks ermöglicht, Daten sicher und privat auszutauschen, indem öffentliche und private kryptografische Schlüsselpaare verwendet werden, die über eine vertrauenswürdige Stelle abgerufen und mit Peers geteilt werden.

Eine vertrauenswürdige Drittanbieterorganisation, die im Auftrag einer Zertifizierungsstelle handelt, um die Identität eines Benutzers zu garantieren.

Ein PCI-basierter Architekturteil eines Junos OS-basierten Routers, der den Routing-Protokollprozess, den Schnittstellenprozess, einige der Gehäusekomponenten, die Systemverwaltung und den Benutzerzugriff verarbeitet.

Spezifikationen, die zwischen zwei Netzwerkgeräten vereinbart werden müssen, bevor IKE oder IPsec funktionieren dürfen. Sicherheitszuordnungen spezifizieren in erster Linie Protokoll-, Authentifizierungs- und Verschlüsselungsoptionen.

Eine Datenbank, in der alle Sicherheitszuordnungen von IPsec gespeichert, überwacht und verarbeitet werden.

Ein Authentifizierungsalgorithmus, der eine Datennachricht mit einer Länge von weniger als 264 Bit entgegennimmt und einen 160-Bit-Message Digest erzeugt. Weitere Informationen zu SHA-1 finden Sie unter RFC 3174.

Ein Nachfolger des SHA-1-Authentifizierungsalgorithmus, der eine Gruppe von SHA-1-Varianten (SHA-224, SHA-256, SHA-384 und SHA-512) umfasst. SHA-2-Algorithmen verwenden größere Hash-Größen und sind für die Verwendung mit erweiterten Verschlüsselungsalgorithmen wie AES ausgelegt.

Eine Datenbank, die mit der SADB zusammenarbeitet, um maximale Paketsicherheit zu gewährleisten. Bei eingehenden Paketen überprüft IPsec das SPD, um zu überprüfen, ob das eingehende Paket der für eine bestimmte Richtlinie konfigurierten Sicherheit entspricht. Bei ausgehenden Paketen überprüft IPsec das SPD, um festzustellen, ob das Paket gesichert werden muss.

Ein Bezeichner, der zur eindeutigen Identifizierung einer Sicherheitszuordnung auf einem Netzwerkhost oder Router verwendet wird.

Ein Protokoll, das die Verteilung öffentlicher Schlüssel von Zertifizierungsstellen und Registrierungsstellen (RA), die Zertifikatregistrierung, die Zertifikatsperrung, Zertifikatabfragen und Zertifikatsperrlisten (Certificate Revocation List, CRL) unterstützt.