为了保障数据能在公共网络上安全可靠的传输,本文详细介绍IPSec (Internet Protocol Security)安全架构,它的基本思想就是在公共网络上通过身份认证、访问控制、数据加密、数据完整性保护等措施来构建自己的虚拟专用网络。本文首先阐述了VPN (Virtual Private Network)的定义、优势及分类,通过IPSec与VPN相关联,以保护VPN中传输的数据安全性。本文重点对IPSec体系架构,功能组件、工作方式进行分析研究,并对IPSec中的算法进行了简单的介绍。在了解了IPSec中涉及的算法的基础上,通过对ECC (Elliptic Curve Cryptosystems)算法的研究,对其加密解密过程的分析,从现有的IKE协议出发,对身份认证的密钥协商算法Diffie-Hellman采用ECC改进。当身份认证采用数字证书时,数字证书运用ECC算法对其进行改进,ECC生成数字签名与验证数字签名过程。比较ECC与其他公钥加密算法的优势。本文简要介绍了PKI(Public-Key Infrastructure)的组成及认证方式,运用PKI改进IPSec网络方案,在IKE (Internet Key Exchange)中引入PKI对证书实施管理,证书则进行身份的验证,阐述PKI对IPSec VPN的改进方案及优势所在。IPSec隧道不支持多播或广播包的加密,本文利用GRE (Generic Routing Encapsulation)加以改进IPSec,用于承载组播与路由协议,应对不断增长的网络规模。使用dynamips搭建仿真实验台,SecureCRT作为配置工具,完成系统环境部署、系统安装,实现GRE over IPSec配置实现,更好的理解GRE over IPSec在实际中的运用,并对其连通性与状态进行测试分析。