2 IPSec基本理论

2。1 VPN连接方式

站点到站点（Site to Site）和远程访问（Remote Access）是VPN技术的两种连接方式。

2。1。1 站点到站点的连接

VPN 中主要的连接方式是站点到站点的连接，主要运用于企业重要站点之间的通信。如图 2-1所示两个不同的公司网络站点通过部署站点到站点的VPN技术之后，虽然中间隔着Internet公网但是就行通过物理线路一样虚拟的连接在了一起[1]。 

图 2-1 站点到站点 VPN 连接示意图

2。1。2 远程访问的连接

当用户希望在任何一个提供互联网连接的飞机场、酒店、或者咖啡馆连接到公司内部，以访问公司内网服务器，站点到站点VPN连接技术在这种环境中就显得不再适用。这时通过远程访问的VPN技术就能够满足用户的需求。一般在用户的电脑上面安装VPN client客户端之后，客户使用该客户端在能够上网的环境下拨到公司的VPN Server设备上，匹配相关策略成功与VPN Server设备建立VPN连接之后，通过Server端下发的地址来与公司VPN Server设备建立虚拟连接，以实现访问公司内网服务器的需求。如图 2-2 所示：

图 2-2 远程访问VPN示意图

2。2 IPSec概述

隧道功能和保证数据安全是部署VPN时不可缺少的两个部分。在隧道方面目前最常被用的隧道技术是GRE，在保证数据安全方面目前主流的技术是IPsec，IPsec类似于OSI七层模型，OSI本身并非是具体的协议而仅仅是一个框架和模型。OSI框架内含有许多协议，如TCP、UDP、ICMP、IP等。与之类似IPsec如果想要产生作用也必须依靠其框架内的各种协议去完成相应的功能。IPsec主要支持的功能为：数据源认证、保护数据完整性、保证数据私密性、防止中间人攻击、防止数据被重放。文献综述

2。2。1 IPSec框架

IPsec框架内为其提供支持的主要有三个协议：密钥交换协议（IKE）、负载封装协议（ESP）、认证头协议（AH）。

2。2。2 IPSec模式 

Tunnel mode：由于私有IP网段不可以发送到公网上来路由，因此去往私有IP地址的数据包被发送到公网上之后被直接丢弃，想要在公网传输中隐藏私有IP地址可以利用IPsec中的Tunnel mode在原有数据包的头部套上公网IP地址以实现数据包传递的目的。如图2-3所示：

图2-3 Tunnel mode封装示意图

Transport mode：在仅仅要保证数据安全而不需要完成隧道功能的情况下， IPsec运行在Transport模式下即可，而一旦选择运行在Transport模式下再想要在去完成隧道功能时就必须配合其他隧道协议。如图2-4所示：

图2-4 Transport mode封装示意图

2。2。3散列函数

散列函数叫做HASH函数，MD5和SHA-1是常用的散列函数算法。散列函数的主要作用就是来验证数据是否具有完整性。

Hash算法计算出的Hash值其长度是同样的不论其数据的大小，任意大小的数据经过Hash计算获得的Hash值其长度都是固定的。将任何数据通过MD5算法计算后输出128-bit长度的Hash值而SHA-1算法是输出160-bit长度的Hash值。因此可以发现SHA-1具有比MD5更高的安全性。来*自-优=尔,论:文+网www.youerw.com

散列函数几大特性[2]：

a) 保障数据完整性（Used for integrity assurance）

 b) 单向（Based on one‐way functions）

c) 固定长度输出(Hash arbitrary data into a fixed length digest)

d) 不可能通过散列值恢复原始数据

e) 雪崩效应(If data changes a little, the fingerprint changes a lot)

2。2。4加密算法

目前主流的各种加密算法有：对称加密算法（私钥算法）有DES、3DES、AES等等。非对称加密算法（公钥算法）有RSA[3]。