配置密钥交换
1. 在“IP 安全策略管理”中,右键单击要修改的策略,然后单击“属性”。
2. 单击“常规”选项卡,然后单击“高级”。
3. 要强制重新加密每个会话密钥的主密钥,请单击“主密钥完全向前保密”。
4. 如果需要不同的设置,可在“身份验证和生成新密钥间隔(以分钟计)”中输入一个值,这将导致在该间隔中重新进行身份验证和生成新密钥。
5. 如果需要不同的设置,可在“身份验证和生成新密钥间隔(以会话计)”中输入一个值,以设置重复使用主密钥或其基本密钥材料生成会话密钥的最大次数限制。达到该限制值时将强制进行身份验证和新密钥生成。
6. 如果对密钥交换安全措施有特殊需求,可单击“方法”。
创建密钥交换方法
1. 在“IP 安全策略管理”中,右键单击要修改的策略,然后单击“属性”。
2. 单击“常规”,单击“高级”选项卡,再单击“方法”。
3. 单击“添加”,如果正重新配置现存的方法,请单击该安全措施,然后单击“编辑”。
4. 选择一种“完整性算法”:
o 单击“MD5”使用 128 位值。
o 单击“SHA”使用 160 位值(更强)。
5. 选择一种“加密算法”:
o 单击“3DES”使用最高的安全算法。
o 如果要连接到不具有 3DES 功能的计算机,或者不需要更高的安全性和 3DES 的开销,请单击“DES”。有关加密设置的详细信息,请参阅“特殊考虑”。
6. 选择“Diffie-Hellman 小组”,设置要用于生成实际密钥的基本密钥材料的长度:
o 单击“低 (1)”使用 768 位作为基础。
o 单击“中 (2)”使用 1024 位作为基础(更强)。
动态重生成密钥
IPSec 可以在通讯的过程中自动生成新的密钥。这样可以防止攻击者只用一个破解的密钥就能获得完整的通讯数据。专家级用户可以修改默认的加密时间间隔。
