openvpn加密算法

❶ PPTP，L2TP，IPSec和SSL VPN的区别

PPTP，L2TP，IPSec和SSL VPN的区别为：性质不同、用途不同、应用不同。

一、性质不同

1、PPTP：PPTP是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协议。

2、L2TP：L2TP是IETF基于L2F （Cisco的第二层转发协议）开发的PPTP的后续版本第 2 层隧道协议。

3、IPSec：IPSec是封装、路由与解封装整个隧道过程的隧道模式。

4、SSL VPN：SSL VPN是在应用协议传输第一个数据字节以前，彼此确认，协商一种加密算法和密码钥匙宴罩的SSL协议。

二、用途不同

1、PPTP：PPTP通过跨越基于TCP／IP的数据网络创建 VPN 实现了从晌睁闹远程客户端到专用企早陪业服务器之间数据的安全传输。

2、L2TP：L2TP为跨越面向数据包的媒体发送点到点协议 （PPP） 框架提供封装。

3、IPSec：IPSec主要是为了与其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技术的路由器、网关或终端系统之间的相互操作。

4、SSL VPN：SSL VPN在数据传输期间，记录协议利用握手协议生成的密钥加密和解密后来交换 的数据。

三、应用不同

1、PPTP：PPTP在要跨越公司 IP 网络或公共 IP 网络上使用。

2、L2TP：L2TP在IP（使用UDP），桢中继永久虚拟电路 （PVCs），X．25虚拟电路（VCs）或ATMVCs网络上使用。

3、IPSec：IPSec应用于路由器、防火墙、代理服务器或其他安全网关中。

4、SSL VPN：SSL VPN置身于网络结构体系的 传输层和应用层之间。

❷ 如何看待openvpn

简单易用。openvpn是一个基于察樱OpenSSL库的应用层VPN实现，有着简单易用的特点，和传统VPN相比。OpenVPN是一个用于创建虚拟私人网世散络加密通搜没氏道的软件包。

❸ 电脑安装了OpenVPN GUI有什么作用

通过OpenVPN，你可以：
在任意IP局部网络或虚拟以太网适配器上通过单个UDP或TCP端口建立隧道;
使用一或多台机器配置可裁剪的、负载均衡的VPN服务器群以处理成千上万的来自VPN客户端的动态连接;
能够使用在OpenSSL库中所提供所有的加密、认证及证书特性以保旅迟护私有网络在Internet网络上的数据传输;
使用OpenSSL库所支持的明老任意加密算法、密钥长度或HMAC数字签名(用于数据报完整性检查);
先把基于静态密钥传拆槐李统加密方法或基于证书的公钥加密方法;
使用静态、预先公有的密钥或基于TLS的动态密钥交换;
使用实时的自适配压缩及流量整形以管理链路带宽分配;
为动态公共点(如DHCP或拨号客户端)提供隧道传输;
无需显示定义防火墙规则为面向连接的防火墙提供网络隧道传输;

❹ 工业无线路由器传输数据加密功能要怎么实现

设置路由器wifi密码方法：
1、首先打开系统自带的IE浏览器，在地址栏键入192.168.1.1（或者设置另一个），按回车键。

搜狗问问

2、输入用户名和密码（一般是账号：admin，密码：admin），单击“确定”按钮。

搜狗问问

3、进入水星 MW150R设置界面，点击左边的，无线设置——再无线安全设置。

搜狗问问

第一种是：WPA-PSK/WPA2-PSK
这种加密方式说白了就是WPA/WPA2的精简版，比较适合普通用户使用，安全性很高，配置也比较简单。
认证类型：可以选择自动、WPA-PSK、WPA2-PSK，选择自动的好处在于设备之间会协商使用哪种。
加密算法：可以选择TKIP、AES或者自动，因为11n模式不支持TKIP算法，所以推荐使用自动，设备之间会协商选择到底使用哪种算法。
PSK密码：也就是常说的无线密码了，最少8个字符。
组密钥更新周期：这个密钥跟上边的PSK密码不同，它是用于加密PSK密码用的，经常会变，如果这里设置为0则表示不更新组密钥。

搜狗问问

第二种：WPA/WPA2
这种加密方式虽然安全，但配置繁琐，还需要有认证服务器（RADIUS服务器）的支持，所以一般人都不怎么用。
认证类型：可以在WPA和WPA2或者自动之间选择，自动的意思即为设备之间协商决定。
加密算法：和WPA-PSK中的加密算法介绍同，这里不再赘述。
Radius服务器IP：顾名思义，填写认证服务器的IP地址。
Radius端口：填写认证服务器的认证端口（默认是1812，一般情况下无需更改）
Radius密码：填写访问认证服务器的密码。
组密钥更新周期：介绍同WPA-PSK中的相同配置。

搜狗问问

第三种：WEP（Wired Equivalent Privacy）
这种加密方式现在已经不怎么用了，主要是安全性比较差，在破解工具面前可以说是不堪一击，而且更要命的是802.11n模式不支持这种加密方式
认证类型：可以在自动、开放系统、共享密钥中选择，自动的意思就是设备之间协商；
开放系统指无线主机即使没有密码也能连接到无线路由器，但没有密码不能传输数据；
共享密钥则需要无线主机必须提供密码才能连接到无线路由器。
WEP密钥格式：可以选择十六进制或者ASCII码，采用十六进制所能使用的字符有0-9和a-f；
ASCII则可以使用任意字符。
密码长度：64位密码需要输入十六进制字符10个或者ASCII字符5个；
128位十六进制字符26个或者ASCII字符13个；
152位需要十六进制字符32个或者ASCII字符16个。

❺ 关于两地局域网通过广域网互联的的解决方案，200分，在线等

如果是以前的CS结构软件，是需要的VPN。费用是很高的。
智赢软件开发的BS结构软件，远程访问是零成本，而且是集中化管理。
向您推荐智赢IPOWER商业版。
可通过“智赢软件“官网F在线免费试用或下载试用
01 集成采购管理，销售管理，库存管理，财务管理，客户管理，OA办公，电子商务等。
02 采用bs架构，单机，局域网，互联网均能使用。只要能上网，就能随时随地的管理。
03 智能表单处理，3D图表分析。
04 集约化流程再造。
05 基础包+套件的软件应用模式，更自由，更灵活。
06 无需增加软硬件及相关人员配置。一次购买，终生使用，终生免费升级。
07 实施周期短:傻瓜化安装，安装即用。
08 不限硬件，零客户端成本维护，信息化成本最低。
09 各时间段的经营状况综合分析。
10 销售机会及跟进记录，下次跟进自动提醒，机不可失。
11 客户服务及受理情况一目了然，提升企业服务质量。
12 往来单位的订单，出货，退货等单据详细记录，每笔业务均有章可查。
13 对供应商供货情况进行统计及趋势分析，掌握供应商供货变化及供货量。
14 对客户采购情况进行统计及趋势分析，掌握客户采购变化及采购量。
15 对往来单位利润贡献率进行分析，并进行年度趋势分析。
16 对往来单位往来账务明细分析，掌握每一往来单位应收/应试付款状况及实收/实付比例。
17 应收/应付款单提前提醒或超期提醒，加速企业回拢资金。避免坏帐出现。
18 职员往来单位拥有量分析，掌握职员销售能力或销售潜能。职员销售任务分配及考核。
19 每位职员详细工作记录，评价职员表现，有章可循。
20 对每位职员进行利润贡献率分析。
21 对职员分工进行明确权限设置。
22 详细的商品采购、销售记录。
23 对商品销售进行分析，掌握各个时期旺销/滞销商品。
24 对各商品进行利润贡献率分析。
25 对商品存量进行分仓分析及存量上下限提醒功能，避免积压或脱销。
26 资金出入账明细分析。

作为“web应用软件领导者“的智赢软件与其他软件相比有何优势呢？

与传统CS软件相比
(1) 单机，局限网，互联网均可使用。克服传统CS软件使用局限，远程通信需借助第三方解决方案（如VPN）。

(2) 安装部署十分简单，只需将智赢软件安装在一台电脑上，其他用户直接访问此台IP即可，不用安装客户端。传统软件不仅需要安装服务端，还得安装客户端，而且配置十分复杂，需要专业人员。
(3) 对硬件的要求极低，跨平台。传统软件对硬件的要求较高，随着应用范围的扩大，投资会连绵不绝，不能跨平台。
(4) 智赢软件可与电子商务，移动商务完美结合，而传统软件先天无法实现。
(5) 智赢软件不限用户数，而传统软件会限定用户数。用户数越多，实施及管理成本就越高。
(6) 智赢软件实施时间短，见效快，傻瓜化安装，安装即用。而传统软件相对较复杂，需要做安装配置及网络集成等工作，实施周期长，见效慢。

(7) 智赢软件维护成本极低，只需维护服务端。大大降低工作量。而传统软件不仅需要维护服务端，还需要维护客户端，工作量极太。需专人维护。
(8) 无论是分支机构或出差在外，只要能上网，就能使用，随时随地的管理。而传统软件只能应用于局域网。
与传统BS软件相比
(1) 智赢软件采用先进的虚拟窗口技术，让操作变得如同桌面软件一样简单，而传统BS软件采用浏览器弹出窗口模式，不仅操作不方便，而且速度慢。
(2) 智赢软件采用AJAX技术，既增加了用户体验，又提升了执行速度，速度是传统BS软件的二倍。而传统软件因没有采用此技术，每次打开或关闭窗口时，都会刷屏一次，每次刷屏页面都得重新加载一次，严重影响速度。
(3) 智赢软件特别注重对数据的处理能力，对数据进行优化，百万级的数据检索仅需0.0153秒，而传统BS面对数据量大时，往往执行速度会很慢。

与SaaS 相比
(1) 灵活性：
我们知道，SAAS是租，就说明您仅有使用权而已，如果你想修改部分功能或添加其他模块，就很难实现，而企业是不断发展的，不同时期，对管理的要求也不一样。
智赢软件是独立的B/S架构新型软件，企业可以灵活配置，购买本软件，企业可以安装在单机，局域网及互联网上，企业可修改或添加其他模块，可以说是行业中最具灵活性产品之一。

(2) 性价比：
表面上，SAAS很便宜，其实不然，每月几十元/月/用户，如果企业有20用户，哪么每年的租用成本至少也在万元之上，看来综合成本不低。
智赢软件同样采用B/S结构，不需要企业添加新硬件及人员，而智赢软件的价格更是行业的价格底线，这比SaaS每年都花钱实惠多。

(3) 安全性及稳定性：
SAAS最大弊端在于安全性难以保障，一方面来自于信息窃取者，在这病毒满天飞的时代，一不小心你的信息就可能被窃取；另一面来于信息的监管，如果软件提供商监管不力，出卖你的信息；第三，在风云变幻的世界，任何企业都不可必免存在生存危机，如果SAAS提供商破产或战略转移，都将对你的使用产生重大影响。

智赢软件,信息安全企业说了算，企业可以将它部署在企业内部使用，也可以部署在外部使用，安全性更能保证；同时，智赢软件对关键数据加密，最大限度的保障信息的安全。

❻ 网络虚拟化的虚拟专用网络

虚拟专用网络VPN“Virtual Private Network”。vpn被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
功能
VPN可以提供的功能： 防火墙功能、认证、加密、隧道化。
VPN可以通过特殊加密的通讯协议连接到Internet上，在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，好比通过安全隧道，到达目的地，而不用为隧道的建设付费，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，在交换机，滑察帆防火墙设备或Windows 2000及以上操作系统中都支持VPN功能，一句没模话，VPN的核心就是利用公共网络建立虚拟私有网。
常用协议
常用的虚拟专用网络协议有：
IPSec : IPsec(缩写IP Security)是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。
IPsec作为一个协议族(即一系列相互关联的协议)由以下部分组成：
(1)保护分组流的协议;
(2)用来建立这些安全分组流的密钥交换协议。
前者又分成两个部分：加密分组流的封装安全载荷(ESP)及较少使用的认证头(AH)，认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。
PPTP: Point to Point Tunneling Protocol -- 点到点隧道协议在因特网上建立IP虚拟专用网(VPN)隧道的协议，主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。
L2F: Layer 2 Forwarding -- 第二层转发协议
L2TP: Layer 2 Tunneling Protocol --第二层隧道协议
GRE：VPN的第三层隧道协议
OpenVPN:OpenVPN使用OpenSSL库加密数据与控制信息：它使用了OpenSSL的加密以及验证功能，意味着，它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外，OpenSSL的硬件加速也能提高它的性能。
MPLS VPN集隧道技术和路由技术于一身，吸取基于虚电路的VPN的QoS保证的优点，并克服了它们未能解决的缺点。MPLS组网具有极好的灵活性、扩展性，用户只需一条线路接入MPLS网，便可以实现任何节点之间的直接通信，可实现用户节点之间的星型、全网状以及其他任何形式的逻辑拓扑
使用方法
一.便携网帐号申请开信雹通
企业向运营商申请租用一批便携网使用帐号(即license，译：许可证),由企业自行管理分配帐号。企业管理员可以将需要使用便携网的各个部门，成立不同的VPN域，即不同的工作组，比如可分为财务、人事、市场、外联部等等。同一工作组内的成员可以互相通讯，既加强了成员之间的联络，又保证了数据的安全。而各个工作组之间不能互相通讯，保证了企业内部数据的安全。
二.便携网客户端安装
1.系统需求
表—列出了在装有Microsoft Windows操作系统的计算机上安装便
携网络客户端软件(yPND：your Portable Network Desktop)的最小系统要求。计算机配置必须符合或高于最小系统要求才能成功的安装和使用便携网络客户端软件
2.预安装
为成功安装 便携网络客户端 软件必须确保满足下列情况：
计算机符合“系统需求”表所列的最小系统要求。
安装程序会检查系统是否符合要求，如果不满足就不能继续安装，必须使系统符合最低配置要求才能进行安装。
· 必须拥有计算机的系统管理员权限才能安装。
技术特点
1.安全保障
虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略，可以按照优先级实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
主要优势
1)建网快速方便用户只需将各网络节点采用专线方式本地接入公用网络，并对网络进行相关配置即可。
2)降低建网投资由于VPN是利用公用网络为基础而建立的虚拟专网，因而可以避免建设传统专用网络所需的高额软硬件投资。
3)节约使用成本用户采用VPN组网，可以大大节约链路租用费及网络维护费用，从而减少企业的运营成本。
4)网络安全可靠实现VPN主要采用国际标准的网络安全技术，通过在公用网络上建立逻辑隧道及网络层的加密，避免网络数据被修改和盗用，保证了用户数据的安全性及完整性。
5)简化用户对网络的维护及管理大量的网络管理及维护工作由公用网络服务提供商来完成。

❼ OPENVNP 什么意思

VPN直译就是虚拟专用通道，是提供给企业之间或者个人与公司之间安全数据传输的隧道，OpenVPN无疑是Linux下开源VPN的先锋，提供了良好的性能和友好的用户袭知扒GUI。该软件最早由James Yonan编写。 OpenVPN logo
OpenVPN允许参与建立VPN的单点使用预设的私猛桐钥，第三方证书，或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库，以及SSLv3/TLSv1协议。 总的答案为打开拍昌虚拟专用通道

❽ PPTP和OpenVPN有什么区别

PPTP点对点隧道协议（PPTP）是一种实现虚拟专用网络的方法。 PPTP使用用于封装PPP数据包的TCP及GRE隧道控制通道。
OpenVPNOpenVPN是一免费开源软件，以路由器或桥接配置和远程访问设备方式实现虚拟专用网络（VPN）创建安全的点对点或站对站连接的解决方案。它使用SSL / TLS安全加密，具有穿越网络地址转换（NATs）和防火墙的功能。
在PPTP和OpenVPN二者之间做出选择的一个重要考虑因素，也是我们无法控制的因素，就是有时互联网服务供应商会阻止PPTP连接。次情况下我们无计可施，只能选择使用OpenVPN。 PPTP具有一些独特优势，但此刻用OpenVPN会是不错的选择。
PPTP可以应用到几乎所有的操作系统软件，无需安装任何软件。它也兼容许多移动设备，如iphone，ipad和Windows移动，安装简易。相比之下，OpenVPN的安装比PPTP要复杂一点，但只要按照正确的指示安装则无太大困难。请注意OpenVPN不兼容移动设备。
PPTP加密技术使用密码作为密钥，它的数据流载有可获取的混编密码。如果中间有人拦截到了数据流并且破译了密码（尽管可能但很难），那么他就可以破译你的信息。然而OpenVPN使用非常强大的加密（Blowfish）技术。即使有人拦截你的数据流，他们也无计可施。这使得OpenVPN比PPTP安全得多。
选择如果你希望得到高安全性以及更加关注数据安全传输问题，那么你应该使用OpenVPN。如果您为了简便或者想在移动设备上使用VPN那么PPTP适合你。还有其他协议，例如L2P或IPSec，但他们在用户友好或成本上没有优势。

❾ Openswan和freeswan的区别

openswan采用的是ipsec技术实现的VPN，由于在IP层实现，效率高，历史悠久，网上相关的配置文章也多，稳定。可以实现p2p,p2net,net2net.
openvpn采用SSL技术实现，由于主要工作在应用层，效率低，如果单位流量比较大，还是不要用这个了。另个他采用了SSL技术，也不是我们通常所说的SSL VPN。

目前市场上比较流行的硬件VPN都是采用的ipsec技术。所以选择第一种对你以后更换硬件有帮助。
基本上来说，市场上的硬件VPN产品很少采用openvpn这样的技术的。

IPSEC工作原理
歼销基--------------------------------------------------------------------------------

虚拟专网是指在公共网络中建立专用网络，数据通过安全的“管道”在公共网络中传播。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后网络服务的重点项目。因此必须充分认识虚拟专网的技术特点，建立完善的服务体系。 VPN工作原理
目前建造虚拟专网的国际标准有IPSEC（RFC 1825-1829）和L2TP（草案draft-ietf-pppext-l2tp-10）。其中L2TP是虚拟专用拨号网络协议，是IETF根据各厂家协议（包括微软公司的PPTP、Cisco的L2F）进行起草的，目前尚处于草案阶段。IPSEC是一系列基于IP网络（包括Intranet、Extranet和Internet）的，由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。L2TP协议草案中规定它（L2TP标准）必须以IPSEC为安全基础（见draft-ietf-pppext-l2tp-security-01）。因此，阐述VPN的工作原理，主要是分析IPSEC的工作原理。
IPSEC提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数。
认证——作用是可以确定所接受的数据与所发送的数据是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。
数据完整——作用是保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
机密性——作用是使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。
在IPSEC由三个基本要素来提供以上三种保护形式：认证协议头（AH）、安全加载封装（ESP）和互联网密匙管理协议（IKMP）。认证协议头氏谨和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。
认证协议头（AH）是在所有数据包头加入一个密码。正如整个名称所示，AH通过一个只有密匙持有人才知道的“数字签名”来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果；AH还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来。不过由于AH不能加密数据包所加载的内容，因而它不保证任何的机密性。两个最普遍的AH标准是MD5和SHA-1，MD5使用最高到128位的密匙，而SHA-1通过最高到160位密匙提供更强的保护。
安全加载封装（ESP）通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性，这样可以避免其他用户通过监听来打开信息交换的内容，因为只有受信任的用户拥有密匙打开内容。ESP也能提供认证和维持数据的完整性。最主要的ESP标准是数据加密标准（DES），DES最高支持56位的密匙，而3DES使用三套密匙加密，那就相当于使用最高到168位的密匙。由于ESP实际上加密所有的数据，因而它比AH需斗运要更多的处理时间，从而导致性能下降。
密匙管理包括密匙确定和密匙分发两个方面，最多需要四个密匙：AH和ESP各两个发送和接收密匙。密匙本身是一个二进制字符串，通常用十六进制表示，例如，一个56位的密匙可以表示为5F39DA752E0C25B4。注意全部长度总共是64位，包括了8位的奇偶校验。56位的密匙（DES）足够满足大多数商业应用了。密匙管理包括手工和自动两种方式，手工管理系统在有限的安全需要可以工作得很好，而自动管理系统能满足其他所有的应用要求。
使用手工管理系统，密匙由管理站点确定然后分发到所有的远程用户。真实的密匙可以用随机数字生成器或简单的任意拼凑计算出来，每一个密匙可以根据集团的安全政策进行修改。 使用自动管理系统，可以动态地确定和分发密匙，显然和名称一样，是自动的。自动管理系统具有一个中央控制点，集中的密匙管理者可以令自己更加安全，最大限度的发挥IPSEC的效用。
IPSEC的实现方式
IPSEC的一个最基本的优点是它可以在共享网络访问设备，甚至是所有的主机和服务器上完全实现，这很大程度避免了升级任何网络相关资源的需要。在客户端，IPSEC架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。而ESP通过两种模式在应用上提供更多的弹性：传送模式和隧道模式。
IPSEC Packet 可以在压缩原始IP地址和数据的隧道模式使用
传送模式通常当ESP在一台主机（客户机或服务勤）上实现时使用，传送模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。
隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包——包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。

虚拟专网的加密算法说明
--------------------------------------------------------------------------------

一、IPSec认证
IPSec认证包头（AH）是一个用于提供IP数据报完整性和认证的机制。完整性保证数据报不被无意的或恶意的方式改变，而认证则验证数据的来源（主机、用户、网络等）。AH本身其实并不支持任何形式的加密，它不能保护通过Internet发送的数据的可信性。AH只是在加密的出口、进口或使用受到当地政府限制的情况下可以提高全球Intenret的安全性。当全部功能实现后，它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧（如TCP、UDP、I CMP等）之间。
AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。一个消息文摘就是一个特定的单向数据函数，它能够创建数据报的唯一的数字指纹。消息文摘算法的输出结果放到AH包头的认证数据（Authentication_Data）区。消息文摘5算法（MD5）是一个单向数学函数。当应用到分组数据中时，它将整个数据分割成若干个128比特的信息分组。每个128比特为一组的信息是大分组数据的压缩或摘要的表示。当以这种方式使用时，MD5只提供数字的完整性服务。一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的，那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的窜改。在使用HMAC－MD5认证过的数据交换中，发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值，然后放到AH包头的认证数据区，随后数据报被发送给接收者。接收者也必须知道密钥值，以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等，那么数据报在发送过程中就没有被改变，而且可以相信是由只知道秘密密钥的另一方发送的。
二、IPSec加密
封包安全协议（ESP）包头提供IP数据报的完整性和可信性服务ESP协议是设计以两种模式工作的：隧道（Tunneling）模式和传输（Transport）模式。两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中，整个IP数据报都在ESP负载中进行封装和加密。当这完成以后，真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。这种模式的一种典型用法就是在防火墙－防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中，只有更高层协议帧（TCP、UDP、ICMP等）被放到加密后的IP数据报的ESP负载部分。在这种模式中，源和目的IP地址以及所有的IP包头域都是不加密发送的。
IPSec要求在所有的ESP实现中使用一个通用的缺省算法即DES－CBC算法。美国数据加密标准（DES）是一个现在使用得非常普遍的加密算法。它最早是在由美国政府公布的，最初是用于商业应用。到现在所有DES专利的保护期都已经到期了，因此全球都有它的免费实现。IPSec ESP标准要求所有的ESP实现支持密码分组链方式（CBC）的DES作为缺省的算法。DES－CBC通过对组成一个完整的IP数据包（隧道模式）或下一个更高的层协议帧（传输模式）的8比特数据分组中加入一个数据函数来工作。DES－CBC用8比特一组的加密数据（密文）来代替8比特一组的未加密数据（明文）。一个随机的、8比特的初始化向量（IV）被用来加密第一个明文分组，以保证即使在明文信息开头相同时也能保证加密信息的随机性。DES－CBC主要是使用一个由通信各方共享的相同的密钥。正因为如此，它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此，DES－CBC算法的有效性依赖于秘密密钥的安全，ESP使用的DES－CBC的密钥长度是56比特。

基于IPSec的VPN技术原理于实现

摘要：本文描述了VPN技术的基本原理以及IPSec规范，在此基础上介绍了VPN技术的实现方法和几种典型应用方案。最后，作者对VPN技术的推广与应用提出了自己的看法。

1．引言

1998年被称作“电子商务年”，而1999年则将是“政府上网年”。的确，Intemet作为具有世界范围连通性的“第四媒体”，已经成为一个具有无限商机的场所。如何利用Intemet来开展商务活动，是目前各个企业讨论的热门话题。但将Internet实际运用到商业中，还存在一些亟待解决的问题，其中最重要的两个问题是服务质量问题和安全问题。服务质量问题在有关厂商和ISP的努力下正在逐步得以解决，而VPN技术的产生为解决安全问题提供了一条有效途径。

所谓VPN(VirtualPrivate Network，虚拟私有网络)是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网，这里的公用网主要指Interet。为了保障信息在Internet上传输的安全性，VPN技术采用了认证、存取控制、机密性、数据完整性等措施，，以保证了信息在传输中不被偷看、篡改、复制。由于使用Internet进行传输相对于租用专线来说，费用极为低廉，所以VPN的出现使企业通过Internet既安全又经济地传输私有的机密信息成为可能。

VPN技术除了可以节省费用外，还具有其它特点：

●伸缩性椂能够随着网络的扩张，很灵活的加以扩展。当增加新的用户或子网时，只需修改已有网络软件配置，在新增客户机或网关上安装相应软件并接人Internet后，新的VPN即可工作。

●灵活性枣除了能够方便地将新的子网扩充到企业的网络外，由于Intemet的全球连通性，VPN可以使企业随时安全地将信息存取到全球的商贸伙伴和顾客。

●易于管理枣用专线将企业的各个子网连接起来时，随着子网数量的增加，需要的专线数以几何级数增长。而使用VPN时Internet的作用类似一个HUB，只需要将各个子网接入Internet即可，不需要进行各个线路的管理。

VPN既可以用于构建企业的Intranet，也可以用于构建Extranet。随着全球电子商务热的兴起，VPN应用必将越来越广泛。据Infonetics Reseach的预测，VPN的市场分额将从今天的两亿美元增长到2001年时的119亿美元，其中VPN产品的销售收入就要占其中的十分之一。

2．基于IPSec规范的VPN技术

1)IPSec协议简介

IPSec(1P Security)产生于IPv6的制定之中，用于提供IP层的安全性。由于所有支持TCP／IP协议的主机进行通信时，都要经过IP层的处理，所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增添了对IPv4的支持。

最初的一组有关IPSec标准由IETF在1995年制定，但由于其中存在一些未解决的问题，从1997年开始IETF又开展了新一轮的IPSec的制定工作，截止至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题，预计在不久的将来IETF又会进行下一轮IPSec的修订工作。

2)IPSec基本工作原理

IPSec的工作原理(如图l所示)类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。 这里的处理工作只有两种：丢弃或转发。

图1 IPSec工作原理示意图

IPSec通过查询SPD(Security P01icy Database安全策略数据库)决定对接收到的IP数据包的处理。但是IPSec不同于包过滤防火墙的是，对IP数据包的处理方法除了丢弃，直接转发(绕过IPSec)外，还有一种，即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。

进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过，可以拒绝来自某个外部站点的IP数据包访问内部某些站点，．也可以拒绝某个内部站点方对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取，也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后，才能保证在外部网络传输的数据包的机密性，真实性，完整性，通过Internet进新安全的通信才成为可能。

IPSec既可以只对IP数据包进行加密，或只进行认证，也可以同时实施二者。但无论是进行加密还是进行认证，IPSec都有两种工作模式，一种是与其前一节提到的协议工作方式类似的隧道模式，另一种是传输模式。

传输模式，如图2所示，只对IP数据包的有效负载进行加密或认证。此时，继续使用以前的IP头部，只对IP头部的部分域进行修改，而IPSec协议头部插入到IP头部和传输层头部之间。

图2 传输模式示意图

隧道模式，如图3所示，对整个IP数据色进行加密或认证。此时，需要新产生一个IP头部，IPSec头部被放在新产生的IP头部和以前的IP数据包之间，从而组成一个新的IP头部。

图3隧道模式示意图

3)IPSec中的三个主要协议

前面已经提到IPSec主要功能为加密和认证，为了进行加密和认证IPSec还需要有密钥的管理和交换的功能，以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH，ESP和IKE三个协议规定。为了介绍这三个协议，需要先引人一个非常重要的术语枣SA(Securlty Association安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。

通信双方如果要用IPSec建立一条安全的传输通路，需要事先协商好将要采用的安全策略，包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后，我们就说双方建立了一个SA。SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接，可以由AH或ESP提供。当给定了一个SA，就确定了IPSec要执行的处理，如加密，认证等。SA可以进行两种方式的组合，分别为传输临近和嵌套隧道。

1)ESP(Encapsulating Secuity Fayload)

ESP协议主要用来处理对IP数据包的加密，此外对认证也提供某种程度的支持。ESP是与具体的加密算法相独立的，几乎可以支持各种对称密钥加密算法，例如DES，TripleDES，RC5等。为了保证各种IPSec实现间的互操作性，目前ESP必须提供对56位DES算法的支持。

ESP协议数据单元格式三个部分组成，除了头部、加密数据部分外，在实施认证时还包含一个可选尾部。头部有两个域：安全策略索引(SPl)和序列号(Sequencenumber)。使用ESP进行安全通信之前，通信双方需要先协商好一组将要采用的加密策略，包括使用的算法、密钥以及密钥的有效期等。“安全策略索引”使用来标识发送方是使用哪组加密策略来处理IP数据包的，当接收方看到了这个序号就知道了对收到的IP数据包应该如何处理。“序列号”用来区分使用同一组加密策略的不同数据包。加密数据部分除了包含原IP数据包的有效负载，填充域(用来保证加密数据部分满足块加密的长度要求)包含其余部分在传输时都是加密过的。其中“下一个头部(Next Header)”用来指出有效负载部分使用的协议，可能是传输层协议(TCP或UDP)，也可能还是IPSec协议(ESP或AH)。

通常，ESP可以作为IP的有效负载进行传输，这JFIP的头UKB指出下广个协议是ESP，而非TCP和UDP。由于采用了这种封装形式，所以ESP可以使用旧有的网络进行传输。

前面已经提到用IPSec进行加密是可以有两种工作模式，意味着ESP协议有两种工作模式：传输模式(Transport Mode)和隧道模式(TunnelMode)。当ESP工作在传输模式时，采用当前的IP头部。而在隧道模式时，侍整个IP数据包进行加密作为ESP的有效负载，并在ESP头部前增添以网关地址为源地址的新的IP头部，此时可以起到NAT的作用。

2)AH(Authentication Header)

AH只涉及到认证，不涉及到加密。AH虽然在功能上和ESP有些重复，但AH除了对可以对IP的有效负载进行认证外，还可以对IP头部实施认证。主要是处理数据对，可以对IP头部进行认证，而ESP的认证功能主要是面对IP的有效负载。为了提供最基本的功能并保证互操作性，AH必须包含对HMAC?/FONT>SHA和HMAC?/FONT>MD5(HMAC是一种SHA和MD5都支持的对称式认证系统)的支持。

AH既可以单独使用，也可在隧道模式下，或和ESP联用。

3)IKE(Internet Key Exchange)

IKE协议主要是对密钥交换进行管理，它主要包括三个功能：

●对使用的协议、加密算法和密钥进行协商。

●方便的密钥交换机制(这可能需要周期性的进行)。

●跟踪对以上这些约定的实施。

3．VPN系统的设计

如图4所示，VPN的实现包含管理模块、密钥分配和生成模块、身份认证模块、数据加密／解密模块、数据分组封装／分解模块和加密函数库几部分组成。

管理模块负责整个系统的配置和管理。由管理模块来决定采取何种传输模式，对哪些IP数据包进行加密／解密。由于对IP数据包进行加密需要消耗系统资源，增大网络延迟，因此对两个安全网关之间所有的IP数据包提供VPN服务是不现实的。网络管理员可以通过管理模块来指定对哪些IP数据包进行加密。Intranet内部用户也可以通过Telnet协议传送的专用命令，指定VPN系统对自已的IP数据包提供加密服务。

密钥管理模块负责完成身份认证和数据加密所需的密钥生成和分配。其中密钥的生成采取随机生成的方式。各安全网关之间密钥的分配采取手工分配的方式， 通过非网络传输的其它安全通信方式完成密钥在各安全网关之间的传送。各安全网关的密钥存贮在密数据库中，支持以IP地址为关键字的快速查询获取。

身份认证模块对IP数据包完成数字签名的运算。整个数字签名的过程如图5所示：

图5 数字签名

首先，发送方对数据进行哈希运算h＝H(m)，然后 用通信密钥k对h进行加密得到签名Signature＝{ h} key。发送方将签名附在明文之后，一起传送给接收方。 接收方收到数据后，首先用密钥k对签名进行解密得到 h，并将其与H(m)进行比较，如果二者一致，则表明数据是完整的。数字签名在保证数据完整性的同时，也起到了身份认证的作用，因为只有在有密钥的情况之下，才能对数据进行正确的签名。

数据加密/解密模块完成对IP数据包的加密和解密操作。可选的加密算法有IDEA算法和DES算法。前者在用软件方式实现时可以获得较快的加密速度。为了 进一步提高系统效率，可以采用专用硬件的方式实现数据的加密和解密，这时采用DES算法能得到较快的加密速度。随着当前计算机运算能力的提高，DES算法的安 全性开始受到挑战，对于安全性要求更高的网络数据，数据加密/解密模块可以提供TriPle DES加密服务。

数据分组的封装/分解模块实现对IP数据分组进行安全封装或分解。当从安全网关发送IP数据分组时，数据分组封装/分解模块为IP数据分组附加上身份认

证头AH和安全数据封装头ESP。当安全网关接收到IP 数据分组时，数据分组封装/分解模块对AH和ESP进行协议分析，并根据包头信息进行身份验证和数据解密。

加密函数库为上述模块提供统一的加密服务。加密 函数库设计的一条基本原则是通过一个统一的函数接口界面与上述模块进行通信。这样可以根据实际的需

要，在挂接加密算法和加密强度不同的函数库时，其它模块不需作出改动。

4．几种典型的VPN应用方案

VPN的应用有两种基本类型：拨号式VPN与专用式VPN。

拨号VPN为移动用户与远程办公者提供远程内部网访问，这种形式的VPN是当前最流行的形式。拨号VPN业务也称为“公司拨号外包”方式。按照隧道建立的场所，拨号VPN分为两种：在用户PC机上或在服务提供商的网络访问服务器(NAS)上。

专用VPN有多种形式，其共同的要素是为用户提供IP服务，一般采用安全设备或客户端的路由器等设备在IP网络上完成服务。通过在帧中继或ATM网上安装IP接口也可以提供IP服务。专用业务应用通过WAN将远程办公室与企业的内部网与外部网连接起来，这些业务的特点是多用户与高速连接，为提供完整的VPN业务，企业与服务提供商经常将专用VPN与远程访问方案结合起来。

目前刚出现一种VPN知觉的网络，服务提供商将很快推出一系列新产品，专门用于提供商在向企业提供专用增值服务时对扩展性与灵活性的需求。

5．结束语

总之，VPN是一项综合性的网络新技术，即使在网络高度发达的美国也才推出不久，但是已显示出强大的生命力，Cisco、3Com、Ascend等公司已推出了各自的产品。但是VPN产品能否被广泛接受主要取决于以下两点：一是VPN方案能否以线路速度进行加密，否则将会产生瓶颈；二是能否调度和引导VPN的数据流到网络上的不同管理域。

在中国，由于网络基础设施还比较落后，计算机应用水平也不高，因此目前对VPN技术的需求还不高，大多数厂商还处在徘徊观望阶段，但是随着国民经济信息化进程的加快，特别是政府上网、电子商务的推动，VPN技术将会大有用武之地。

❿ wireshark中的openvpn是什么吗

一个软件包。Wireshark是一个网络封包分析软件。OpenVPN是一个用于衫备创建虚拟私人纤返网络加密通道的软件包，允许创建的VPN使用公开密钥、电子证书、或或竖毁者用户名密码来进行身份验证。