openvpn加密演算法

❶ PPTP，L2TP，IPSec和SSL VPN的區別

PPTP，L2TP，IPSec和SSL VPN的區別為：性質不同、用途不同、應用不同。

一、性質不同

1、PPTP：PPTP是由包括微軟和3Com等公司組成的PPTP論壇開發的一種點對點隧道協議。

2、L2TP：L2TP是IETF基於L2F （Cisco的第二層轉發協議）開發的PPTP的後續版本第 2 層隧道協議。

3、IPSec：IPSec是封裝、路由與解封裝整個隧道過程的隧道模式。

4、SSL VPN：SSL VPN是在應用協議傳輸第一個數據位元組以前，彼此確認，協商一種加密演算法和密碼鑰匙宴罩的SSL協議。

二、用途不同

1、PPTP：PPTP通過跨越基於TCP／IP的數據網路創建 VPN 實現了從晌睜鬧遠程客戶端到專用企早陪業伺服器之間數據的安全傳輸。

2、L2TP：L2TP為跨越面向數據包的媒體發送點到點協議 （PPP） 框架提供封裝。

3、IPSec：IPSec主要是為了與其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技術的路由器、網關或終端系統之間的相互操作。

4、SSL VPN：SSL VPN在數據傳輸期間，記錄協議利用握手協議生成的密鑰加密和解密後來交換 的數據。

三、應用不同

1、PPTP：PPTP在要跨越公司 IP 網路或公共 IP 網路上使用。

2、L2TP：L2TP在IP（使用UDP），楨中繼永久虛擬電路 （PVCs），X．25虛擬電路（VCs）或ATMVCs網路上使用。

3、IPSec：IPSec應用於路由器、防火牆、代理伺服器或其他安全網關中。

4、SSL VPN：SSL VPN置身於網路結構體系的 傳輸層和應用層之間。

❷ 如何看待openvpn

簡單易用。openvpn是一個基於察櫻OpenSSL庫的應用層VPN實現，有著簡單易用的特點，和傳統VPN相比。OpenVPN是一個用於創建虛擬私人網世散絡加密通搜沒氏道的軟體包。

❸ 電腦安裝了OpenVPN GUI有什麼作用

通過OpenVPN，你可以：
在任意IP局部網路或虛擬乙太網適配器上通過單個UDP或TCP埠建立隧道;
使用一或多台機器配置可裁剪的、負載均衡的VPN伺服器群以處理成千上萬的來自VPN客戶端的動態連接;
能夠使用在OpenSSL庫中所提供所有的加密、認證及證書特性以保旅遲護私有網路在Internet網路上的數據傳輸;
使用OpenSSL庫所支持的明老任意加密演算法、密鑰長度或HMAC數字簽名(用於數據報完整性檢查);
先把基於靜態密鑰傳拆槐李統加密方法或基於證書的公鑰加密方法;
使用靜態、預先公有的密鑰或基於TLS的動態密鑰交換;
使用實時的自適配壓縮及流量整形以管理鏈路帶寬分配;
為動態公共點(如DHCP或撥號客戶端)提供隧道傳輸;
無需顯示定義防火牆規則為面向連接的防火牆提供網路隧道傳輸;

❹ 工業無線路由器傳輸數據加密功能要怎麼實現

設置路由器wifi密碼方法：
1、首先打開系統自帶的IE瀏覽器，在地址欄鍵入192.168.1.1（或者設置另一個），按回車鍵。

搜狗問問

2、輸入用戶名和密碼（一般是賬號：admin，密碼：admin），單擊「確定」按鈕。

搜狗問問

3、進入水星 MW150R設置界面，點擊左邊的，無線設置——再無線安全設置。

搜狗問問

第一種是：WPA-PSK/WPA2-PSK
這種加密方式說白了就是WPA/WPA2的精簡版，比較適合普通用戶使用，安全性很高，配置也比較簡單。
認證類型：可以選擇自動、WPA-PSK、WPA2-PSK，選擇自動的好處在於設備之間會協商使用哪種。
加密演算法：可以選擇TKIP、AES或者自動，因為11n模式不支持TKIP演算法，所以推薦使用自動，設備之間會協商選擇到底使用哪種演算法。
PSK密碼：也就是常說的無線密碼了，最少8個字元。
組密鑰更新周期：這個密鑰跟上邊的PSK密碼不同，它是用於加密PSK密碼用的，經常會變，如果這里設置為0則表示不更新組密鑰。

搜狗問問

第二種：WPA/WPA2
這種加密方式雖然安全，但配置繁瑣，還需要有認證伺服器（RADIUS伺服器）的支持，所以一般人都不怎麼用。
認證類型：可以在WPA和WPA2或者自動之間選擇，自動的意思即為設備之間協商決定。
加密演算法：和WPA-PSK中的加密演算法介紹同，這里不再贅述。
Radius伺服器IP：顧名思義，填寫認證伺服器的IP地址。
Radius埠：填寫認證伺服器的認證埠（默認是1812，一般情況下無需更改）
Radius密碼：填寫訪問認證伺服器的密碼。
組密鑰更新周期：介紹同WPA-PSK中的相同配置。

搜狗問問

第三種：WEP（Wired Equivalent Privacy）
這種加密方式現在已經不怎麼用了，主要是安全性比較差，在破解工具面前可以說是不堪一擊，而且更要命的是802.11n模式不支持這種加密方式
認證類型：可以在自動、開放系統、共享密鑰中選擇，自動的意思就是設備之間協商；
開放系統指無線主機即使沒有密碼也能連接到無線路由器，但沒有密碼不能傳輸數據；
共享密鑰則需要無線主機必須提供密碼才能連接到無線路由器。
WEP密鑰格式：可以選擇十六進制或者ASCII碼，採用十六進制所能使用的字元有0-9和a-f；
ASCII則可以使用任意字元。
密碼長度：64位密碼需要輸入十六進制字元10個或者ASCII字元5個；
128位十六進制字元26個或者ASCII字元13個；
152位需要十六進制字元32個或者ASCII字元16個。

❺ 關於兩地區域網通過廣域網互聯的的解決方案，200分，在線等

如果是以前的CS結構軟體，是需要的VPN。費用是很高的。
智贏軟體開發的BS結構軟體，遠程訪問是零成本，而且是集中化管理。
向您推薦智贏IPOWER商業版。
可通過「智贏軟體「官網F在線免費試用或下載試用
01 集成采購管理，銷售管理，庫存管理，財務管理，客戶管理，OA辦公，電子商務等。
02 採用bs架構，單機，區域網，互聯網均能使用。只要能上網，就能隨時隨地的管理。
03 智能表單處理，3D圖表分析。
04 集約化流程再造。
05 基礎包+套件的軟體應用模式，更自由，更靈活。
06 無需增加軟硬體及相關人員配置。一次購買，終生使用，終生免費升級。
07 實施周期短:傻瓜化安裝，安裝即用。
08 不限硬體，零客戶端成本維護，信息化成本最低。
09 各時間段的經營狀況綜合分析。
10 銷售機會及跟進記錄，下次跟進自動提醒，機不可失。
11 客戶服務及受理情況一目瞭然，提升企業服務質量。
12 往來單位的訂單，出貨，退貨等單據詳細記錄，每筆業務均有章可查。
13 對供應商供貨情況進行統計及趨勢分析，掌握供應商供貨變化及供貨量。
14 對客戶采購情況進行統計及趨勢分析，掌握客戶采購變化及采購量。
15 對往來單位利潤貢獻率進行分析，並進行年度趨勢分析。
16 對往來單位往來賬務明細分析，掌握每一往來單位應收/應試付款狀況及實收/實付比例。
17 應收/應付款單提前提醒或超期提醒，加速企業回攏資金。避免壞帳出現。
18 職員往來單位擁有量分析，掌握職員銷售能力或銷售潛能。職員銷售任務分配及考核。
19 每位職員詳細工作記錄，評價職員表現，有章可循。
20 對每位職員進行利潤貢獻率分析。
21 對職員分工進行明確許可權設置。
22 詳細的商品采購、銷售記錄。
23 對商品銷售進行分析，掌握各個時期旺銷/滯銷商品。
24 對各商品進行利潤貢獻率分析。
25 對商品存量進行分倉分析及存量上下限提醒功能，避免積壓或脫銷。
26 資金出入賬明細分析。

作為「web應用軟體領導者「的智贏軟體與其他軟體相比有何優勢呢？

與傳統CS軟體相比
(1) 單機，局限網，互聯網均可使用。克服傳統CS軟體使用局限，遠程通信需藉助第三方解決方案（如VPN）。

(2) 安裝部署十分簡單，只需將智贏軟體安裝在一台電腦上，其他用戶直接訪問此台IP即可，不用安裝客戶端。傳統軟體不僅需要安裝服務端，還得安裝客戶端，而且配置十分復雜，需要專業人員。
(3) 對硬體的要求極低，跨平台。傳統軟體對硬體的要求較高，隨著應用范圍的擴大，投資會連綿不絕，不能跨平台。
(4) 智贏軟體可與電子商務，移動商務完美結合，而傳統軟體先天無法實現。
(5) 智贏軟體不限用戶數，而傳統軟體會限定用戶數。用戶數越多，實施及管理成本就越高。
(6) 智贏軟體實施時間短，見效快，傻瓜化安裝，安裝即用。而傳統軟體相對較復雜，需要做安裝配置及網路集成等工作，實施周期長，見效慢。

(7) 智贏軟體維護成本極低，只需維護服務端。大大降低工作量。而傳統軟體不僅需要維護服務端，還需要維護客戶端，工作量極太。需專人維護。
(8) 無論是分支機構或出差在外，只要能上網，就能使用，隨時隨地的管理。而傳統軟體只能應用於區域網。
與傳統BS軟體相比
(1) 智贏軟體採用先進的虛擬窗口技術，讓操作變得如同桌面軟體一樣簡單，而傳統BS軟體採用瀏覽器彈出窗口模式，不僅操作不方便，而且速度慢。
(2) 智贏軟體採用AJAX技術，既增加了用戶體驗，又提升了執行速度，速度是傳統BS軟體的二倍。而傳統軟體因沒有採用此技術，每次打開或關閉窗口時，都會刷屏一次，每次刷屏頁面都得重新載入一次，嚴重影響速度。
(3) 智贏軟體特別注重對數據的處理能力，對數據進行優化，百萬級的數據檢索僅需0.0153秒，而傳統BS面對數據量大時，往往執行速度會很慢。

與SaaS 相比
(1) 靈活性：
我們知道，SAAS是租，就說明您僅有使用權而已，如果你想修改部分功能或添加其他模塊，就很難實現，而企業是不斷發展的，不同時期，對管理的要求也不一樣。
智贏軟體是獨立的B/S架構新型軟體，企業可以靈活配置，購買本軟體，企業可以安裝在單機，區域網及互聯網上，企業可修改或添加其他模塊，可以說是行業中最具靈活性產品之一。

(2) 性價比：
表面上，SAAS很便宜，其實不然，每月幾十元/月/用戶，如果企業有20用戶，哪么每年的租用成本至少也在萬元之上，看來綜合成本不低。
智贏軟體同樣採用B/S結構，不需要企業添加新硬體及人員，而智贏軟體的價格更是行業的價格底線，這比SaaS每年都花錢實惠多。

(3) 安全性及穩定性：
SAAS最大弊端在於安全性難以保障，一方面來自於信息竊取者，在這病毒滿天飛的時代，一不小心你的信息就可能被竊取；另一面來於信息的監管，如果軟體提供商監管不力，出賣你的信息；第三，在風雲變幻的世界，任何企業都不可必免存在生存危機，如果SAAS提供商破產或戰略轉移，都將對你的使用產生重大影響。

智贏軟體,信息安全企業說了算，企業可以將它部署在企業內部使用，也可以部署在外部使用，安全性更能保證；同時，智贏軟體對關鍵數據加密，最大限度的保障信息的安全。

❻ 網路虛擬化的虛擬專用網路

虛擬專用網路VPN「Virtual Private Network」。vpn被定義為通過一個公用網路(通常是網際網路)建立一個臨時的、安全的連接，是一條穿過混亂的公用網路的安全、穩定隧道。使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接，用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。VPN主要採用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
功能
VPN可以提供的功能： 防火牆功能、認證、加密、隧道化。
VPN可以通過特殊加密的通訊協議連接到Internet上，在位於不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，好比通過安全隧道，到達目的地，而不用為隧道的建設付費，但是它並不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬體設備。VPN技術原是路由器具有的重要技術之一，在交換機，滑察帆防火牆設備或Windows 2000及以上操作系統中都支持VPN功能，一句沒模話，VPN的核心就是利用公共網路建立虛擬私有網。
常用協議
常用的虛擬專用網路協議有：
IPSec : IPsec(縮寫IP Security)是保護IP協議安全通信的標准，它主要對IP協議分組進行加密和認證。
IPsec作為一個協議族(即一系列相互關聯的協議)由以下部分組成：
(1)保護分組流的協議;
(2)用來建立這些安全分組流的密鑰交換協議。
前者又分成兩個部分：加密分組流的封裝安全載荷(ESP)及較少使用的認證頭(AH)，認證頭提供了對分組流的認證並保證其消息完整性，但不提供保密性。目前為止，IKE協議是唯一已經制定的密鑰交換協議。
PPTP: Point to Point Tunneling Protocol -- 點到點隧道協議在網際網路上建立IP虛擬專用網(VPN)隧道的協議，主要內容是在網際網路上建立多協議安全虛擬專用網的通信方式。
L2F: Layer 2 Forwarding -- 第二層轉發協議
L2TP: Layer 2 Tunneling Protocol --第二層隧道協議
GRE：VPN的第三層隧道協議
OpenVPN:OpenVPN使用OpenSSL庫加密數據與控制信息：它使用了OpenSSL的加密以及驗證功能，意味著，它能夠使用任何OpenSSL支持的演算法。它提供了可選的數據包HMAC功能以提高連接的安全性。此外，OpenSSL的硬體加速也能提高它的性能。
MPLS VPN集隧道技術和路由技術於一身，吸取基於虛電路的VPN的QoS保證的優點，並克服了它們未能解決的缺點。MPLS組網具有極好的靈活性、擴展性，用戶只需一條線路接入MPLS網，便可以實現任何節點之間的直接通信，可實現用戶節點之間的星型、全網狀以及其他任何形式的邏輯拓撲
使用方法
一.便攜網帳號申請開信雹通
企業向運營商申請租用一批便攜網使用帳號(即license，譯：許可證),由企業自行管理分配帳號。企業管理員可以將需要使用便攜網的各個部門，成立不同的VPN域，即不同的工作組，比如可分為財務、人事、市場、外聯部等等。同一工作組內的成員可以互相通訊，既加強了成員之間的聯絡，又保證了數據的安全。而各個工作組之間不能互相通訊，保證了企業內部數據的安全。
二.便攜網客戶端安裝
1.系統需求
表—列出了在裝有Microsoft Windows操作系統的計算機上安裝便
攜網路客戶端軟體(yPND：your Portable Network Desktop)的最小系統要求。計算機配置必須符合或高於最小系統要求才能成功的安裝和使用便攜網路客戶端軟體
2.預安裝
為成功安裝 便攜網路客戶端 軟體必須確保滿足下列情況：
計算機符合「系統需求」表所列的最小系統要求。
安裝程序會檢查系統是否符合要求，如果不滿足就不能繼續安裝，必須使系統符合最低配置要求才能進行安裝。
· 必須擁有計算機的系統管理員許可權才能安裝。
技術特點
1.安全保障
雖然實現VPN的技術和方式很多，但所有的VPN均應保證通過公用網路平台傳輸數據的專用性和安全性。在安全性方面，由於VPN直接構建在公用網上，實現簡單、方便、靈活，但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改，並且要防止非法用戶對網路資源或私有信息的訪問。
2.服務質量保證(QoS)
VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。在網路優化方面，構建VPN的另一重要需求是充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網路阻塞，使實時性要求高的數據得不到及時發送;而在流量低谷時又造成大量的網路帶寬空閑。
QoS通過流量預測與流量控制策略，可以按照優先順序實現帶寬管理，使得各類數據能夠被合理地先後發送，並預防阻塞的發生。
3.可擴充性和靈活性
VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
4.可管理性
從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標為：減小網路風險、具有高擴展性、經濟性、高可靠性等優點。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。
主要優勢
1)建網快速方便用戶只需將各網路節點採用專線方式本地接入公用網路，並對網路進行相關配置即可。
2)降低建網投資由於VPN是利用公用網路為基礎而建立的虛擬專網，因而可以避免建設傳統專用網路所需的高額軟硬體投資。
3)節約使用成本用戶採用VPN組網，可以大大節約鏈路租用費及網路維護費用，從而減少企業的運營成本。
4)網路安全可靠實現VPN主要採用國際標準的網路安全技術，通過在公用網路上建立邏輯隧道及網路層的加密，避免網路數據被修改和盜用，保證了用戶數據的安全性及完整性。
5)簡化用戶對網路的維護及管理大量的網路管理及維護工作由公用網路服務提供商來完成。

❼ OPENVNP 什麼意思

VPN直譯就是虛擬專用通道，是提供給企業之間或者個人與公司之間安全數據傳輸的隧道，OpenVPN無疑是Linux下開源VPN的先鋒，提供了良好的性能和友好的用戶襲知扒GUI。該軟體最早由James Yonan編寫。 OpenVPN logo
OpenVPN允許參與建立VPN的單點使用預設的私猛桐鑰，第三方證書，或者用戶名/密碼來進行身份驗證。它大量使用了OpenSSL加密庫，以及SSLv3/TLSv1協議。 總的答案為打開拍昌虛擬專用通道

❽ PPTP和OpenVPN有什麼區別

PPTP點對點隧道協議（PPTP）是一種實現虛擬專用網路的方法。 PPTP使用用於封裝PPP數據包的TCP及GRE隧道控制通道。
OpenVPNOpenVPN是一免費開源軟體，以路由器或橋接配置和遠程訪問設備方式實現虛擬專用網路（VPN）創建安全的點對點或站對站連接的解決方案。它使用SSL / TLS安全加密，具有穿越網路地址轉換（NATs）和防火牆的功能。
在PPTP和OpenVPN二者之間做出選擇的一個重要考慮因素，也是我們無法控制的因素，就是有時互聯網服務供應商會阻止PPTP連接。次情況下我們無計可施，只能選擇使用OpenVPN。 PPTP具有一些獨特優勢，但此刻用OpenVPN會是不錯的選擇。
PPTP可以應用到幾乎所有的操作系統軟體，無需安裝任何軟體。它也兼容許多移動設備，如iphone，ipad和Windows移動，安裝簡易。相比之下，OpenVPN的安裝比PPTP要復雜一點，但只要按照正確的指示安裝則無太大困難。請注意OpenVPN不兼容移動設備。
PPTP加密技術使用密碼作為密鑰，它的數據流載有可獲取的混編密碼。如果中間有人攔截到了數據流並且破譯了密碼（盡管可能但很難），那麼他就可以破譯你的信息。然而OpenVPN使用非常強大的加密（Blowfish）技術。即使有人攔截你的數據流，他們也無計可施。這使得OpenVPN比PPTP安全得多。
選擇如果你希望得到高安全性以及更加關注數據安全傳輸問題，那麼你應該使用OpenVPN。如果您為了簡便或者想在移動設備上使用VPN那麼PPTP適合你。還有其他協議，例如L2P或IPSec，但他們在用戶友好或成本上沒有優勢。

❾ Openswan和freeswan的區別

openswan採用的是ipsec技術實現的VPN，由於在IP層實現，效率高，歷史悠久，網上相關的配置文章也多，穩定。可以實現p2p,p2net,net2net.
openvpn採用SSL技術實現，由於主要工作在應用層，效率低，如果單位流量比較大，還是不要用這個了。另個他採用了SSL技術，也不是我們通常所說的SSL VPN。

目前市場上比較流行的硬體VPN都是採用的ipsec技術。所以選擇第一種對你以後更換硬體有幫助。
基本上來說，市場上的硬體VPN產品很少採用openvpn這樣的技術的。

IPSEC工作原理
殲銷基--------------------------------------------------------------------------------

虛擬專網是指在公共網路中建立專用網路，數據通過安全的「管道」在公共網路中傳播。使用VPN有節省成本、提供遠程訪問、擴展性強、便於管理和實現全面控制等好處，是目前和今後網路服務的重點項目。因此必須充分認識虛擬專網的技術特點，建立完善的服務體系。 VPN工作原理
目前建造虛擬專網的國際標准有IPSEC（RFC 1825-1829）和L2TP（草案draft-ietf-pppext-l2tp-10）。其中L2TP是虛擬專用撥號網路協議，是IETF根據各廠家協議（包括微軟公司的PPTP、Cisco的L2F）進行起草的，目前尚處於草案階段。IPSEC是一系列基於IP網路（包括Intranet、Extranet和Internet）的，由IETF正式定製的開放性IP安全標准，是虛擬專網的基礎，已經相當成熟可靠。L2TP協議草案中規定它（L2TP標准）必須以IPSEC為安全基礎（見draft-ietf-pppext-l2tp-security-01）。因此，闡述VPN的工作原理，主要是分析IPSEC的工作原理。
IPSEC提供三種不同的形式來保護通過公有或私有IP網路來傳送的私有數。
認證——作用是可以確定所接受的數據與所發送的數據是一致的，同時可以確定申請發送者在實際上是真實發送者，而不是偽裝的。
數據完整——作用是保證數據從原發地到目的地的傳送過程中沒有任何不可檢測的數據丟失與改變。
機密性——作用是使相應的接收者能獲取發送的真正內容，而無意獲取數據的接收者無法獲知數據的真正內容。
在IPSEC由三個基本要素來提供以上三種保護形式：認證協議頭（AH）、安全載入封裝（ESP）和互聯網密匙管理協議（IKMP）。認證協議頭氏謹和安全載入封裝可以通過分開或組合使用來達到所希望的保護等級。
認證協議頭（AH）是在所有數據包頭加入一個密碼。正如整個名稱所示，AH通過一個只有密匙持有人才知道的「數字簽名」來對用戶進行認證。這個簽名是數據包通過特別的演算法得出的獨特結果；AH還能維持數據的完整性，因為在傳輸過程中無論多小的變化被載入，數據包頭的數字簽名都能把它檢測出來。不過由於AH不能加密數據包所載入的內容，因而它不保證任何的機密性。兩個最普遍的AH標準是MD5和SHA-1，MD5使用最高到128位的密匙，而SHA-1通過最高到160位密匙提供更強的保護。
安全載入封裝（ESP）通過對數據包的全部數據和載入內容進行全加密來嚴格保證傳輸信息的機密性，這樣可以避免其他用戶通過監聽來打開信息交換的內容，因為只有受信任的用戶擁有密匙打開內容。ESP也能提供認證和維持數據的完整性。最主要的ESP標準是數據加密標准（DES），DES最高支持56位的密匙，而3DES使用三套密匙加密，那就相當於使用最高到168位的密匙。由於ESP實際上加密所有的數據，因而它比AH需斗運要更多的處理時間，從而導致性能下降。
密匙管理包括密匙確定和密匙分發兩個方面，最多需要四個密匙：AH和ESP各兩個發送和接收密匙。密匙本身是一個二進制字元串，通常用十六進製表示，例如，一個56位的密匙可以表示為5F39DA752E0C25B4。注意全部長度總共是64位，包括了8位的奇偶校驗。56位的密匙（DES）足夠滿足大多數商業應用了。密匙管理包括手工和自動兩種方式，手工管理系統在有限的安全需要可以工作得很好，而自動管理系統能滿足其他所有的應用要求。
使用手工管理系統，密匙由管理站點確定然後分發到所有的遠程用戶。真實的密匙可以用隨機數字生成器或簡單的任意拼湊計算出來，每一個密匙可以根據集團的安全政策進行修改。 使用自動管理系統，可以動態地確定和分發密匙，顯然和名稱一樣，是自動的。自動管理系統具有一個中央控制點，集中的密匙管理者可以令自己更加安全，最大限度的發揮IPSEC的效用。
IPSEC的實現方式
IPSEC的一個最基本的優點是它可以在共享網路訪問設備，甚至是所有的主機和伺服器上完全實現，這很大程度避免了升級任何網路相關資源的需要。在客戶端，IPSEC架構允許使用在遠程訪問介入路由器或基於純軟體方式使用普通MODEM的PC機和工作站。而ESP通過兩種模式在應用上提供更多的彈性：傳送模式和隧道模式。
IPSEC Packet 可以在壓縮原始IP地址和數據的隧道模式使用
傳送模式通常當ESP在一台主機（客戶機或服務勤）上實現時使用，傳送模式使用原始明文IP頭，並且只加密數據，包括它的TCP和UDP頭。
隧道模式通常當ESP在關聯到多台主機的網路訪問介入裝置實現時使用，隧道模式處理整個IP數據包——包括全部TCP/IP或UDP/IP頭和數據，它用自己的地址做為源地址加入到新的IP頭。當隧道模式用在用戶終端設置時，它可以提供更多的便利來隱藏內部伺服器主機和客戶機的地址。

虛擬專網的加密演算法說明
--------------------------------------------------------------------------------

一、IPSec認證
IPSec認證包頭（AH）是一個用於提供IP數據報完整性和認證的機制。完整性保證數據報不被無意的或惡意的方式改變，而認證則驗證數據的來源（主機、用戶、網路等）。AH本身其實並不支持任何形式的加密，它不能保護通過Internet發送的數據的可信性。AH只是在加密的出口、進口或使用受到當地政府限制的情況下可以提高全球Intenret的安全性。當全部功能實現後，它將通過認證IP包並且減少基於IP欺騙的攻擊機率來提供更好的安全服務。AH使用的包頭放在標準的IPv4和IPv6包頭和下一個高層協議幀（如TCP、UDP、I CMP等）之間。
AH協議通過在整個IP數據報中實施一個消息文摘計算來提供完整性和認證服務。一個消息文摘就是一個特定的單向數據函數，它能夠創建數據報的唯一的數字指紋。消息文摘演算法的輸出結果放到AH包頭的認證數據（Authentication_Data）區。消息文摘5演算法（MD5）是一個單向數學函數。當應用到分組數據中時，它將整個數據分割成若干個128比特的信息分組。每個128比特為一組的信息是大分組數據的壓縮或摘要的表示。當以這種方式使用時，MD5隻提供數字的完整性服務。一個消息文摘在被發送之前和數據被接收到以後都可以根據一組數據計算出來。如果兩次計算出來的文摘值是一樣的，那麼分組數據在傳輸過程中就沒有被改變。這樣就防止了無意或惡意的竄改。在使用HMAC－MD5認證過的數據交換中，發送者使用以前交換過的密鑰來首次計算數據報的64比特分組的MD5文摘。從一系列的16比特中計算出來的文摘值被累加成一個值，然後放到AH包頭的認證數據區，隨後數據報被發送給接收者。接收者也必須知道密鑰值，以便計算出正確的消息文摘並且將其與接收到的認證消息文摘進行適配。如果計算出的和接收到的文摘值相等，那麼數據報在發送過程中就沒有被改變，而且可以相信是由只知道秘密密鑰的另一方發送的。
二、IPSec加密
封包安全協議（ESP）包頭提供IP數據報的完整性和可信性服務ESP協議是設計以兩種模式工作的：隧道（Tunneling）模式和傳輸（Transport）模式。兩者的區別在於IP數據報的ESP負載部分的內容不同。在隧道模式中，整個IP數據報都在ESP負載中進行封裝和加密。當這完成以後，真正的IP源地址和目的地址都可以被隱藏為Internet發送的普通數據。這種模式的一種典型用法就是在防火牆－防火牆之間通過虛擬專用網的連接時進行的主機或拓撲隱藏。在傳輸模式中，只有更高層協議幀（TCP、UDP、ICMP等）被放到加密後的IP數據報的ESP負載部分。在這種模式中，源和目的IP地址以及所有的IP包頭域都是不加密發送的。
IPSec要求在所有的ESP實現中使用一個通用的預設演算法即DES－CBC演算法。美國數據加密標准（DES）是一個現在使用得非常普遍的加密演算法。它最早是在由美國政府公布的，最初是用於商業應用。到現在所有DES專利的保護期都已經到期了，因此全球都有它的免費實現。IPSec ESP標准要求所有的ESP實現支持密碼分組鏈方式（CBC）的DES作為預設的演算法。DES－CBC通過對組成一個完整的IP數據包（隧道模式）或下一個更高的層協議幀（傳輸模式）的8比特數據分組中加入一個數據函數來工作。DES－CBC用8比特一組的加密數據（密文）來代替8比特一組的未加密數據（明文）。一個隨機的、8比特的初始化向量（IV）被用來加密第一個明文分組，以保證即使在明文信息開頭相同時也能保證加密信息的隨機性。DES－CBC主要是使用一個由通信各方共享的相同的密鑰。正因為如此，它被認為是一個對稱的密碼演算法。接收方只有使用由發送者用來加密數據的密鑰才能對加密數據進行解密。因此，DES－CBC演算法的有效性依賴於秘密密鑰的安全，ESP使用的DES－CBC的密鑰長度是56比特。

基於IPSec的VPN技術原理於實現

摘要：本文描述了VPN技術的基本原理以及IPSec規范，在此基礎上介紹了VPN技術的實現方法和幾種典型應用方案。最後，作者對VPN技術的推廣與應用提出了自己的看法。

1．引言

1998年被稱作「電子商務年」，而1999年則將是「政府上網年」。的確，Intemet作為具有世界范圍連通性的「第四媒體」，已經成為一個具有無限商機的場所。如何利用Intemet來開展商務活動，是目前各個企業討論的熱門話題。但將Internet實際運用到商業中，還存在一些亟待解決的問題，其中最重要的兩個問題是服務質量問題和安全問題。服務質量問題在有關廠商和ISP的努力下正在逐步得以解決，而VPN技術的產生為解決安全問題提供了一條有效途徑。

所謂VPN(VirtualPrivate Network，虛擬私有網路)是指將物理上分布在不同地點的網路通過公用骨幹網聯接而成邏輯上的虛擬子網，這里的公用網主要指Interet。為了保障信息在Internet上傳輸的安全性，VPN技術採用了認證、存取控制、機密性、數據完整性等措施，，以保證了信息在傳輸中不被偷看、篡改、復制。由於使用Internet進行傳輸相對於租用專線來說，費用極為低廉，所以VPN的出現使企業通過Internet既安全又經濟地傳輸私有的機密信息成為可能。

VPN技術除了可以節省費用外，還具有其它特點：

●伸縮性椂能夠隨著網路的擴張，很靈活的加以擴展。當增加新的用戶或子網時，只需修改已有網路軟體配置，在新增客戶機或網關上安裝相應軟體並接人Internet後，新的VPN即可工作。

●靈活性棗除了能夠方便地將新的子網擴充到企業的網路外，由於Intemet的全球連通性，VPN可以使企業隨時安全地將信息存取到全球的商貿夥伴和顧客。

●易於管理棗用專線將企業的各個子網連接起來時，隨著子網數量的增加，需要的專線數以幾何級數增長。而使用VPN時Internet的作用類似一個HUB，只需要將各個子網接入Internet即可，不需要進行各個線路的管理。

VPN既可以用於構建企業的Intranet，也可以用於構建Extranet。隨著全球電子商務熱的興起，VPN應用必將越來越廣泛。據Infonetics Reseach的預測，VPN的市場分額將從今天的兩億美元增長到2001年時的119億美元，其中VPN產品的銷售收入就要佔其中的十分之一。

2．基於IPSec規范的VPN技術

1)IPSec協議簡介

IPSec(1P Security)產生於IPv6的制定之中，用於提供IP層的安全性。由於所有支持TCP／IP協議的主機進行通信時，都要經過IP層的處理，所以提供了IP層的安全性就相當於為整個網路提供了安全通信的基礎。鑒於IPv4的應用仍然很廣泛，所以後來在IPSec的制定中也增添了對IPv4的支持。

最初的一組有關IPSec標准由IETF在1995年制定，但由於其中存在一些未解決的問題，從1997年開始IETF又開展了新一輪的IPSec的制定工作，截止至1998年11月份主要協議已經基本制定完成。不過這組新的協議仍然存在一些問題，預計在不久的將來IETF又會進行下一輪IPSec的修訂工作。

2)IPSec基本工作原理

IPSec的工作原理(如圖l所示)類似於包過濾防火牆，可以看作是對包過濾防火牆的一種擴展。當接收到一個IP數據包時，包過濾防火牆使用其頭部在一個規則表中進行匹配。當找到一個相匹配的規則時，包過濾防火牆就按照該規則制定的方法對接收到的IP數據包進行處理。 這里的處理工作只有兩種：丟棄或轉發。

圖1 IPSec工作原理示意圖

IPSec通過查詢SPD(Security P01icy Database安全策略資料庫)決定對接收到的IP數據包的處理。但是IPSec不同於包過濾防火牆的是，對IP數據包的處理方法除了丟棄，直接轉發(繞過IPSec)外，還有一種，即進行IPSec處理。正是這新增添的處理方法提供了比包過濾防火牆更進一步的網路安全性。

進行IPSec處理意味著對IP數據包進行加密和認證。包過濾防火牆只能控制來自或去往某個站點的IP數據包的通過，可以拒絕來自某個外部站點的IP數據包訪問內部某些站點，．也可以拒絕某個內部站點方對某些外部網站的訪問。但是包過濾防火牆不能保證自內部網路出去的數據包不被截取，也不能保證進入內部網路的數據包未經過篡改。只有在對IP數據包實施了加密和認證後，才能保證在外部網路傳輸的數據包的機密性，真實性，完整性，通過Internet進新安全的通信才成為可能。

IPSec既可以只對IP數據包進行加密，或只進行認證，也可以同時實施二者。但無論是進行加密還是進行認證，IPSec都有兩種工作模式，一種是與其前一節提到的協議工作方式類似的隧道模式，另一種是傳輸模式。

傳輸模式，如圖2所示，只對IP數據包的有效負載進行加密或認證。此時，繼續使用以前的IP頭部，只對IP頭部的部分域進行修改，而IPSec協議頭部插入到IP頭部和傳輸層頭部之間。

圖2 傳輸模式示意圖

隧道模式，如圖3所示，對整個IP數據色進行加密或認證。此時，需要新產生一個IP頭部，IPSec頭部被放在新產生的IP頭部和以前的IP數據包之間，從而組成一個新的IP頭部。

圖3隧道模式示意圖

3)IPSec中的三個主要協議

前面已經提到IPSec主要功能為加密和認證，為了進行加密和認證IPSec還需要有密鑰的管理和交換的功能，以便為加密和認證提供所需要的密鑰並對密鑰的使用進行管理。以上三方面的工作分別由AH，ESP和IKE三個協議規定。為了介紹這三個協議，需要先引人一個非常重要的術語棗SA(Securlty Association安全關聯)。所謂安全關聯是指安全服務與它服務的載體之間的一個「連接」。AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和維護。只要實現AH和ESP都必須提供對SA的支持。

通信雙方如果要用IPSec建立一條安全的傳輸通路，需要事先協商好將要採用的安全策略，包括使用的加密演算法、密鑰、密鑰的生存期等。當雙方協商好使用的安全策略後，我們就說雙方建立了一個SA。SA就是能向其上的數據傳輸提供某種IPSec安全保障的一個簡單連接，可以由AH或ESP提供。當給定了一個SA，就確定了IPSec要執行的處理，如加密，認證等。SA可以進行兩種方式的組合，分別為傳輸臨近和嵌套隧道。

1)ESP(Encapsulating Secuity Fayload)

ESP協議主要用來處理對IP數據包的加密，此外對認證也提供某種程度的支持。ESP是與具體的加密演算法相獨立的，幾乎可以支持各種對稱密鑰加密演算法，例如DES，TripleDES，RC5等。為了保證各種IPSec實現間的互操作性，目前ESP必須提供對56位DES演算法的支持。

ESP協議數據單元格式三個部分組成，除了頭部、加密數據部分外，在實施認證時還包含一個可選尾部。頭部有兩個域：安全策略索引(SPl)和序列號(Sequencenumber)。使用ESP進行安全通信之前，通信雙方需要先協商好一組將要採用的加密策略，包括使用的演算法、密鑰以及密鑰的有效期等。「安全策略索引」使用來標識發送方是使用哪組加密策略來處理IP數據包的，當接收方看到了這個序號就知道了對收到的IP數據包應該如何處理。「序列號」用來區分使用同一組加密策略的不同數據包。加密數據部分除了包含原IP數據包的有效負載，填充域(用來保證加密數據部分滿足塊加密的長度要求)包含其餘部分在傳輸時都是加密過的。其中「下一個頭部(Next Header)」用來指出有效負載部分使用的協議，可能是傳輸層協議(TCP或UDP)，也可能還是IPSec協議(ESP或AH)。

通常，ESP可以作為IP的有效負載進行傳輸，這JFIP的頭UKB指出下廣個協議是ESP，而非TCP和UDP。由於採用了這種封裝形式，所以ESP可以使用舊有的網路進行傳輸。

前面已經提到用IPSec進行加密是可以有兩種工作模式，意味著ESP協議有兩種工作模式：傳輸模式(Transport Mode)和隧道模式(TunnelMode)。當ESP工作在傳輸模式時，採用當前的IP頭部。而在隧道模式時，侍整個IP數據包進行加密作為ESP的有效負載，並在ESP頭部前增添以網關地址為源地址的新的IP頭部，此時可以起到NAT的作用。

2)AH(Authentication Header)

AH只涉及到認證，不涉及到加密。AH雖然在功能上和ESP有些重復，但AH除了對可以對IP的有效負載進行認證外，還可以對IP頭部實施認證。主要是處理數據對，可以對IP頭部進行認證，而ESP的認證功能主要是面對IP的有效負載。為了提供最基本的功能並保證互操作性，AH必須包含對HMAC?/FONT>SHA和HMAC?/FONT>MD5(HMAC是一種SHA和MD5都支持的對稱式認證系統)的支持。

AH既可以單獨使用，也可在隧道模式下，或和ESP聯用。

3)IKE(Internet Key Exchange)

IKE協議主要是對密鑰交換進行管理，它主要包括三個功能：

●對使用的協議、加密演算法和密鑰進行協商。

●方便的密鑰交換機制(這可能需要周期性的進行)。

●跟蹤對以上這些約定的實施。

3．VPN系統的設計

如圖4所示，VPN的實現包含管理模塊、密鑰分配和生成模塊、身份認證模塊、數據加密／解密模塊、數據分組封裝／分解模塊和加密函數庫幾部分組成。

管理模塊負責整個系統的配置和管理。由管理模塊來決定採取何種傳輸模式，對哪些IP數據包進行加密／解密。由於對IP數據包進行加密需要消耗系統資源，增大網路延遲，因此對兩個安全網關之間所有的IP數據包提供VPN服務是不現實的。網路管理員可以通過管理模塊來指定對哪些IP數據包進行加密。Intranet內部用戶也可以通過Telnet協議傳送的專用命令，指定VPN系統對自已的IP數據包提供加密服務。

密鑰管理模塊負責完成身份認證和數據加密所需的密鑰生成和分配。其中密鑰的生成採取隨機生成的方式。各安全網關之間密鑰的分配採取手工分配的方式， 通過非網路傳輸的其它安全通信方式完成密鑰在各安全網關之間的傳送。各安全網關的密鑰存貯在密資料庫中，支持以IP地址為關鍵字的快速查詢獲取。

身份認證模塊對IP數據包完成數字簽名的運算。整個數字簽名的過程如圖5所示：

圖5 數字簽名

首先，發送方對數據進行哈希運算h＝H(m)，然後 用通信密鑰k對h進行加密得到簽名Signature＝{ h} key。發送方將簽名附在明文之後，一起傳送給接收方。 接收方收到數據後，首先用密鑰k對簽名進行解密得到 h，並將其與H(m)進行比較，如果二者一致，則表明數據是完整的。數字簽名在保證數據完整性的同時，也起到了身份認證的作用，因為只有在有密鑰的情況之下，才能對數據進行正確的簽名。

數據加密/解密模塊完成對IP數據包的加密和解密操作。可選的加密演算法有IDEA演算法和DES演算法。前者在用軟體方式實現時可以獲得較快的加密速度。為了 進一步提高系統效率，可以採用專用硬體的方式實現數據的加密和解密，這時採用DES演算法能得到較快的加密速度。隨著當前計算機運算能力的提高，DES演算法的安 全性開始受到挑戰，對於安全性要求更高的網路數據，數據加密/解密模塊可以提供TriPle DES加密服務。

數據分組的封裝/分解模塊實現對IP數據分組進行安全封裝或分解。當從安全網關發送IP數據分組時，數據分組封裝/分解模塊為IP數據分組附加上身份認

證頭AH和安全數據封裝頭ESP。當安全網關接收到IP 數據分組時，數據分組封裝/分解模塊對AH和ESP進行協議分析，並根據包頭信息進行身份驗證和數據解密。

加密函數庫為上述模塊提供統一的加密服務。加密 函數庫設計的一條基本原則是通過一個統一的函數介面界面與上述模塊進行通信。這樣可以根據實際的需

要，在掛接加密演算法和加密強度不同的函數庫時，其它模塊不需作出改動。

4．幾種典型的VPN應用方案

VPN的應用有兩種基本類型：撥號式VPN與專用式VPN。

撥號VPN為移動用戶與遠程辦公者提供遠程內部網訪問，這種形式的VPN是當前最流行的形式。撥號VPN業務也稱為「公司撥號外包」方式。按照隧道建立的場所，撥號VPN分為兩種：在用戶PC機上或在服務提供商的網路訪問伺服器(NAS)上。

專用VPN有多種形式，其共同的要素是為用戶提供IP服務，一般採用安全設備或客戶端的路由器等設備在IP網路上完成服務。通過在幀中繼或ATM網上安裝IP介面也可以提供IP服務。專用業務應用通過WAN將遠程辦公室與企業的內部網與外部網連接起來，這些業務的特點是多用戶與高速連接，為提供完整的VPN業務，企業與服務提供商經常將專用VPN與遠程訪問方案結合起來。

目前剛出現一種VPN知覺的網路，服務提供商將很快推出一系列新產品，專門用於提供商在向企業提供專用增值服務時對擴展性與靈活性的需求。

5．結束語

總之，VPN是一項綜合性的網路新技術，即使在網路高度發達的美國也才推出不久，但是已顯示出強大的生命力，Cisco、3Com、Ascend等公司已推出了各自的產品。但是VPN產品能否被廣泛接受主要取決於以下兩點：一是VPN方案能否以線路速度進行加密，否則將會產生瓶頸；二是能否調度和引導VPN的數據流到網路上的不同管理域。

在中國，由於網路基礎設施還比較落後，計算機應用水平也不高，因此目前對VPN技術的需求還不高，大多數廠商還處在徘徊觀望階段，但是隨著國民經濟信息化進程的加快，特別是政府上網、電子商務的推動，VPN技術將會大有用武之地。

❿ wireshark中的openvpn是什麼嗎

一個軟體包。Wireshark是一個網路封包分析軟體。OpenVPN是一個用於衫備創建虛擬私人纖返網路加密通道的軟體包，允許創建的VPN使用公開密鑰、電子證書、或或豎毀者用戶名密碼來進行身份驗證。