DES：Data Encryption Standard

IBM的数据加密方案，密钥长度为56，标准是使用64位密钥，但实际仅使用了56位密钥

3DES：trip DES

DES的升级版。几年前Cisco加密的主要算法。因为现代计算机能力的极大增强，传统的56位长度密钥的DES，能够在24小时内被暴力破解。3DES相当于对同一数据进行3次DES加密，如每次使用的密钥完全不同，长度可以达到最多168位

AES：Advanced Encryption Standard

高级数据加密标准，下一代加密算法标准

这三种都是国际标准的对称加密算法，被广泛使用。

转载内容：

DES

　　1977年1月，美国政府颁布：采纳IBM公司设计的方案作为非机密数据的正式数据加密标准（DES Data Encryption Standard) 。

　　目前在国内，随着三金工程尤其是金卡工程的启动，DES算法在POS、ATM、磁卡及智能卡（IC卡）、加油站、高速公路收费站等领域被广泛应用，以此来实现关键数据的保密，如信用卡持卡人的PIN的加密传输，IC卡与POS间的双向认证、金融交易数据包的MAC校验等，均用到DES算法。

DES算法的入口参数有三个：Key、Data、Mode。

　　其中Key为8个字节共64位，是DES算法的工作密钥；

　　Data也为8个字节64位，是要被加密或被解密的数据；

　　Mode为DES的工作方式，有两种：加密或解密。

DES算法是这样工作的：

　　如Mode为加密，则用Key 去把数据Data进行加密， 生成Data的密文形式（64位）作为DES的输出结果；

　　如Mode为解密，则用Key去把密码形式的数据Data解密，还原为Data的明文形式（64位）作为DES的输出结果。

在通信网络的两端，双方约定一致的Key，在通信的源点用Key对核心数据进行DES加密，然后以密码形式在公共通信网（如电话网）中传输到通信网络的终点，数据到达目的地后，用同样的Key对密码数据进行解密，便再现了明码形式的核心数据。这样，便保证了核心数据（如PIN、MAC等）在公共通信网中传输的安全性和可靠性。

　　通过定期在通信网络的源端和目的端同时改用新的Key，便能更进一步提高数据的保密性，这正是现在金融交易网络的流行做法。

3DES

　　3DES是DES加密算法的一种模式，它使用3条64位的密钥对数据进行三次加密。数据加密标准（DES）是美国的一种由来已久的加密标准，它使用对称密钥加密法。

　　3DES（即Triple DES）是DES向AES过渡的加密算法（1999年，NIST将3-DES指定为过渡的加密标准），是DES的一个更安全的变形，可以理解为DES的升级版。它以DES为基本模块，通过组合分组方法设计出分组加密算法。

设Ek()和Dk()代表DES算法的加密和解密过程，Kn代表DES算法使用的密钥，P代表明文，C代表密表，这样，

　　3DES加密过程为：C=Ek3(Dk2(Ek1(P)))

　　3DES解密过程为：P=Dk1((EK2(Dk3(C)))

K1、K2、K3决定了算法的安全性，若三个密钥互不相同，本质上就相当于用一个长为168位的密钥进行加密。多年来，它在对付强力攻击时是比较安全的。若数据对安全性要求不那么高，K1可以等于K3。在这种情况下，密钥的有效长度为112位。

AES

　　AES(Advanced Encryption Standard)：高级加密标准，是下一代的加密算法标准，速度快，安全级别高。

　　用AES加密2000年10月，NIST（美国国家标准和技术协会）宣布通过从15种候选算法中选出的一项新的密匙加密标准。Rijndael被选中成为将来的 AES。Rijndael是在1999年下半年，由研究员Joan Daemen 和 Vincent Rijmen 创建的。AES正日益成为加密各种形式的电子数据的实际标准。

美国标准与技术研究院（NIST）（想当于美国的国密局）于2002年5月26日制定了新的高级加密标准（AES）规范。

 

　　AES算法基于排列和置换运算。排列是对数据重新进行安排，置换是将一个数据单元替换为另一个。

　　AES使用几种不同的方法来执行排列和置换运算。AES是一个迭代的、对称密钥分组的密码，它可以使用128、192和256位密钥，并且用128位（16字节）分组加密和解密数据。

　　与公共密钥加密使用密钥对不同(非对称加密算法)，对称加密算法使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。迭代加密使用一个循环结构，在该循环中重复置换和替换输入数据。

贴一个Cisco 2921上配的IPSec VPN配置：

crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
 lifetime 28800

crypto ipsec transform-set TS1000 esp-aes esp-sha-hmac
  mode tunnel

crypto isakmp key <Key> address <Peer IP>

crypto map SDM_CMAP_1 1 ipsec-isakmp
 description Tunnel to XXX
 set peer <Peer IP>
 set transform-set T1000
 set reverse-route distance 40
 match address VPN-TRAFFIC
 reverse-route

interface GigabitEthernet0/1
 crypto map SDM_CMAP_1

ip access-list extended VPN-TRAFFIC
  permit ip 10.x.xx.0 0.0.0.255 xxx.xx.xx.128 0.0.0.127
  permit ip 10.xx.x.0 0.0.0.255 xxx.xxx.xx.128 0.0.0.127