IPSEC工作原理
　　
　　
　　　　虛擬專網是指在公共網絡中建立專用網絡，數據通過安全的“管道”在公共網絡中傳播。使用VPN有節省成本、提供遠程訪問、擴展性強、便于管理和實現全面控制等好處，是目前和今后網絡服務的重點項目。因此必須充分認識虛擬專網的技術特點，建立完善的服務體系。 　　　　VPN工作原理
　　　　目前建造虛擬專網的國際標準有IPSEC（RFC 1825-1829）和L2TP（草案draft-ietf-pppext-l2tp-10）。其中L2TP是虛擬專用撥號網絡協議，是IETF根據各廠家協議（包括微軟公司的PPTP、Cisco的L2F）進行起草的，目前尚處于草案階段。IPSEC是一系列基于IP網絡（包括Intranet、Extranet和Internet）的，由IETF正式定制的開放性IP安全標準，是虛擬專網的基礎，已經相當成熟可靠。L2TP協議草案中規定它（L2TP標準）必須以IPSEC為安全基礎（見draft-ietf-pppext-l2tp-security-01）。因此，闡述VPN的工作原理，主要是分析IPSEC的工作原理。
　　　　IPSEC提供三種不同的形式來保護通過公有或私有IP網絡來傳送的私有數。
　　　　認證——作用是可以確定所接受的數據與所發送的數據是一致的，同時可以確定申請發送者在實際上是真實發送者，而不是偽裝的。
　　　　數據完整——作用是保證數據從原發地到目的地的傳送過程中沒有任何不可檢測的數據丟失與改變。
　　　　機密性——作用是使相應的接收者能獲取發送的真正內容，而無意獲取數據的接收者無法獲知數據的真正內容。
　　　　在IPSEC由三個基本要素來提供以上三種保護形式：認證協議頭（AH）、安全加載封裝（ESP）和互聯網密匙管理協議（IKMP）。認證協議頭和安全加載封裝可以通過分開或組合使用來達到所希望的保護等級。
　　　　認證協議頭（AH）是在所有數據包頭加入一個密碼。正如整個名稱所示，AH通過一個只有密匙持有人才知道的“數字簽名”來對用戶進行認證。這個簽名是數據包通過特別的算法得出的獨特結果；AH還能維持數據的完整性，因為在傳輸過程中無論多小的變化被加載，數據包頭的數字簽名都能把它檢測出來。不過由于AH不能加密數據包所加載的內容，因而它不保證任何的機密性。兩個最普遍的AH標準是MD5和SHA-1，MD5使用最高到128位的密匙，而SHA-1通過最高到160位密匙提供更強的保護。
　　　　安全加載封裝（ESP）通過對數據包的全部數據和加載內容進行全加密來嚴格保證傳輸信息的機密性，這樣可以避免其他用戶通過監聽來打開信息交換的內容，因為只有受信任的用戶擁有密匙打開內容。ESP也能提供認證和維持數據的完整性。最主要的ESP標準是數據加密標準（DES），DES最高支持56位的密匙，而3DES使用三套密匙加密，那就相當于使用最高到168位的密匙。由于ESP實際上加密所有的數據，因而它比AH需要更多的處理時間，從而導致性能下降。
　　　　密匙管理包括密匙確定和密匙分發兩個方面，最多需要四個密匙：AH和ESP各兩個發送和接收密匙。密匙本身是一個二進制字符串，通常用十六進制表示，例如，一個56位的密匙可以表示為5F39DA752E0C25B4。注意全部長度總共是64位，包括了8位的奇偶校驗。56位的密匙（DES）足夠滿足大多數商業應用了。密匙管理包括手工和自動兩種方式，手工管理系統在有限的安全需要可以工作得很好，而自動管理系統能滿足其他所有的應用要求。
　　　　使用手工管理系統，密匙由管理站點確定然后分發到所有的遠程用戶。真實的密匙可以用隨機數字生成器或簡單的任意拼湊計算出來，每一個密匙可以根據集團的安全政策進行修改。 　　使用自動管理系統，可以動態地確定和分發密匙，顯然和名稱一樣，是自動的。自動管理系統具有一個中央控制點，集中的密匙管理者可以令自己更加安全，最大限度的發揮IPSEC的效用。
　　　　IPSEC的實現方式
　　　　IPSEC的一個最基本的優點是它可以在共享網絡訪問設備，甚至是所有的主機和服務器上完全實現，這很大程度避免了升級任何網絡相關資源的需要。在客戶端，IPSEC架構允許使用在遠程訪問介入路由器或基于純軟件方式使用普通MODEM的PC機和工作站。而ESP通過兩種模式在應用上提供更多的彈性：傳送模式和隧道模式。
　　　　IPSEC Packet 可以在壓縮原始IP地址和數據的隧道模式使用
　　　　傳送模式通常當ESP在一臺主機（客戶機或服務勤）上實現時使用，傳送模式使用原始明文IP頭，并且只加密數據，包括它的TCP和UDP頭。
　　　　隧道模式通常當ESP在關聯到多臺主機的網絡訪問介入裝置實現時使用，隧道模式處理整個IP數據包——包括全部TCP/IP或UDP/IP頭和數據，它用自己的地址做為源地址加入到新的IP頭。當隧道模式用在用戶終端設置時，它可以提供更多的便利來隱藏內部服務器主機和客戶機的地址。
　　
　　 虛擬專網的加密算法說明

　　
　　
　　　　一、IPSec認證
　　　　IPSec認證包頭（AH）是一個用于提供IP數據報完整性和認證的機制。完整性保證數據報不被無意的或惡意的方式改變，而認證則驗證數據的來源（主機、用戶、網絡等）。AH本身其實并不支持任何形式的加密，它不能保護通過Internet發送的數據的可信性。AH只是在加密的出口、進口或使用受到當地政府限制的情況下可以提高全球Intenret的安全性。當全部功能實現后，它將通過認證IP包并且減少基于IP欺騙的攻擊機率來提供更好的安全服務。AH使用的包頭放在標準的IPv4和IPv6包頭和下一個高層協議幀（如TCP、UDP、I CMP等）之間。
　　　　AH協議通過在整個IP數據報中實施一個消息文摘計算來提供完整性和認證服務。一個消息文摘就是一個特定的單向數據函數，它能夠創建數據報的唯一的數字指紋。消息文摘算法的輸出結果放到AH包頭的認證數據（Authentication_Data）區。消息文摘5算法（MD5）是一個單向數學函數。當應用到分組數據中時，它將整個數據分割成若干個128比特的信息分組。每個128比特為一組的信息是大分組數據的壓縮或摘要的表示。當以這種方式使用時，MD5只提供數字的完整性服務。一個消息文摘在被發送之前和數據被接收到以后都可以根據一組數據計算出來。如果兩次計算出來的文摘值是一樣的，那么分組數據在傳輸過程中就沒有被改變。這樣就防止了無意或惡意的竄改。在使用HMAC－MD5認證過的數據交換中，發送者使用以前交換過的密鑰來首次計算數據報的64比特分組的MD5文摘。從一系列的16比特中計算出來的文摘值被累加成一個值，然后放到AH包頭的認證數據區，隨后數據報被發送給接收者。接收者也必須知道密鑰值，以便計算出正確的消息文摘并且將其與接收到的認證消息文摘進行適配。如果計算出的和接收到的文摘值相等，那么數據報在發送過程中就沒有被改變，而且可以相信是由只知道秘密密鑰的另一方發送的。 #p#分頁標題#e#
　　　　二、IPSec加密
　　　　封包安全協議（ESP）包頭提供IP數據報的完整性和可信性服務ESP協議是設計以兩種模式工作的：隧道（Tunneling）模式和傳輸（Transport）模式。兩者的區別在于IP數據報的ESP負載部分的內容不同。在隧道模式中，整個IP數據報都在ESP負載中進行封裝和加密。當這完成以后，真正的IP源地址和目的地址都可以被隱藏為Internet發送的普通數據。這種模式的一種典型用法就是在防火墻－防火墻之間通過虛擬專用網的連接時進行的主機或拓撲隱藏。在傳輸模式中，只有更高層協議幀（TCP、UDP、ICMP等）被放到加密后的IP數據報的ESP負載部分。在這種模式中，源和目的IP地址以及所有的IP包頭域都是不加密發送的。
　　　　IPSec要求在所有的ESP實現中使用一個通用的缺省算法即DES－CBC算法。美國數據加密標準（DES）是一個現在使用得非常普遍的加密算法。它最早是在由美國政府公布的，最初是用于商業應用。到現在所有DES專利的保護期都已經到期了，因此全球都有它的免費實現。IPSec ESP標準要求所有的ESP實現支持密碼分組鏈方式（CBC）的DES作為缺省的算法。DES－CBC通過對組成一個完整的IP數據包（隧道模式）或下一個更高的層協議幀（傳輸模式）的8比特數據分組中加入一個數據函數來工作。DES－CBC用8比特一組的加密數據（密文）來代替8比特一組的未加密數據（明文）。一個隨機的、8比特的初始化向量（IV）被用來加密第一個明文分組，以保證即使在明文信息開頭相同時也能保證加密信息的隨機性。DES－CBC主要是使用一個由通信各方共享的相同的密鑰。正因為如此，它被認為是一個對稱的密碼算法。接收方只有使用由發送者用來加密數據的密鑰才能對加密數據進行解密。因此，DES－CBC算法的有效性依賴于秘密密鑰的安全，ESP使用的DES－CBC的密鑰長度是56比特。
　　　　
　　基于IPSec的VPN技術原理于實現
　　
　　　
　　
　　 摘要：本文描述了VPN技術的基本原理以及IPSec規范，在此基礎上介紹了VPN技術的實現方法和幾種典型應用方案。最后，作者對VPN技術的推廣與應用提出了自己的看法。
　　
　　1．引言
　　
　　 1998年被稱作“電子商務年”，而1999年則將是“政府上網年”。的確，Intemet作為具有世界范圍連通性的“第四媒體”，已經成為一個具有無限商機的場所。如何利用Intemet來開展商務活動，是目前各個企業討論的熱門話題。但將Internet實際運用到商業中，還存在一些亟待解決的問題，其中最重要的兩個問題是服務質量問題和安全問題。服務質量問題在有關廠商和ISP的努力下正在逐步得以解決，而VPN技術的產生為解決安全問題提供了一條有效途徑。
　　
　　
　　
　　 所謂VPN(VirtualPrivate Network，虛擬私有網絡)是指將物理上分布在不同地點的網絡通過公用骨干網聯接而成邏輯上的虛擬子網，這里的公用網主要指Interet。為了保障信息在Internet上傳輸的安全性，VPN技術采用了認證、存取控制、機密性 .