加密演算法

加密算法是一个函数，也可以视为是一把钥匙，通过使用一个加密钥匙，将原来的明文档或数据转化成一串不可读的密文代码。加密流程是不可逆的，只有持有对应的解密钥匙才能将该加密资讯解密成可阅读的明文。加密使得私密数据可以在低风险的情况下，通过公共网络进行传输，并保护数据不被协力厂商窃取、阅读。

在最初的描述中，迪菲－赫尔曼密钥交换本身并没有提供通讯双方的身份验证服务，因此它很容易受到中间人攻击。 一个中间人在信道的中央进行两次迪菲－赫尔曼密钥交换，一次和Alice另一次和Bob，就能够成功的向Alice假装自己是Bob，反之亦然。而攻击者可以解密（读取和存储）任何一个人的信息并重新加密信息，然后传递给另一个人。因此通常都需要一个能够验证通讯双方身份的机制来防止这类攻击。

有很多种安全身份验证解决方案使用到了迪菲－赫尔曼密钥交换。当Alice和Bob共有一个公钥基础设施时，他们可以将他们的返回密钥进行签名，也可以像MQV那样签名g和g；STS以及IPsec协议的IKE组件已经成为了Internet协议的一部分；当Alice和Bob共享一个口令时，他们还可以从迪菲－赫尔曼算法使用口令认证密钥协商，类似于ITU-T的建议X.1035。这已经被用作了G.hn的家庭网络标准。

ESP能够对 IP报文内容进行加密保护，防止报文内容在传输过程中被窥探。加密演算法实现主要通过对称金钥系统，它使用相同的金钥对资料进行加密和解密。

IPsec常用的三种加密演算法：DES：使用 56bit的金钥对每个 64bit的明文块进行加密。3DES：使用三个 56bit的 DES金钥共 168bit金钥对明文进行加密。3DES具有更高的安全性，但其加密资料的速度要比 DES慢。AESAdvanced Encryption Standard：可以实现 128bit、192bit和 256bit金钥长度的 AES演算法。