基于VPN的网络安全——四川师范大学信息技术学院

2008年全国大学生信息安全竞赛
参赛方案
基
于
VPN
网
络
安
全
Based on the VPN network security
参赛队伍：筑梦
指导老师：陈小康
组长：袁强
小组成员：丁犁
伏应龙
吴梓宁
四川师范大学信息技术学院
目录
摘要………………………………………………………………………………………………………-3
第一章网络安全概述------------------------------------------------------------------ - 4 -
1.1 网络安全基础知识............................................................ - 4 -
1.1.1 网络安全的含义........................................................ - 4 -
1.1.2 网络安全的特征........................................................ - 4 -
1.1.3 网络安全的威胁........................................................ - 5 -
1.1.4 网络安全的关键技术.................................................... - 5 -
1.2 威胁网络安全的因素.......................................................... - 5 -
1.2.1 威胁网络安全的主要因素................................................ - 5 -
1.2.2 威胁的类型............................................................ - 5 -
1.2.3 操作系统的脆弱性...................................................... - 6 -
1.2.4 协议安全的脆弱性...................................................... - 6 -
1.2.5 数据库管理系统安全的脆弱性............................................ - 6 -
1.2.6 人为的因素............................................................ - 6 - 第二章网络安全解决方案-------------------------------------------------------------- - 7 -
2.1 网络安全解决方案............................................................ - 7 -
2.1.1 网络信息安全模型...................................................... - 7 -
2.1.2 影响网络安全策略的制定因素............................................ - 7 -
2.1.3 网络安全解决方案...................................................... - 7 - 第三章 VPN技术简介 ------------------------------------------------------------------ - 9 -
3.1 什么是VPN .................................................................. - 9 -
3.2 VPN的要求.................................................................. - 9 -
3.3 VPN的实现技术............................................................. - 10 -
3.3.1概述................................................................. - 10 - 四川师范大学信息技术学院-1-
3.3.2隧道技术............................................................. - 10 -
3.3.3加解密技术........................................................... - 12 -
3.3.4密钥管理技术......................................................... - 13 -
3.3.5身份认证技术......................................................... - 13 -
3.3.6 QoS技术............................................................. - 14 -
3.3.7 VPN的真实面貌 ....................................................... - 15 -
3.3.8 VPN的安全保证 ....................................................... - 17 - 第四章 IP Sec技术 ------------------------------------------------------------------ - 19 -
4.1 IP Sec 概念 ............................................................... - 20 -
4.1.1 IP Sec的安全特性.................................................... - 20 -
4.2 IP Sec的传输模式.......................................................... - 21 -
4.2.1传送模式............................................................. - 21 -
4.2.2通道模式............................................................. - 21 -
4.2.3协议................................................................. - 23 -
4.3 密钥管理.................................................................. - 23 -
4.3.1手动密钥............................................................. - 23 -
4.3.2自动密钥 IKE ......................................................... - 24 - 第五章小结------------------------------------------------------------------------- - 25 - 参考文献---------------------------------------------------------------------------- - 26 -
四川师范大学信息技术学院-2-
摘要：计算机网络安全是全社会都关注并亟待解决的一个大问题。

本文主要介绍了网络安全的相关基础理论知识和V P N技术
在网络安全领域中的应用，并对V P N技术的相关实现原理
和技术作了简单的剖析。

关键字：网络安全、VPN、IP Sec
Abstract：Computer network security is of concern to the whole society and the urgent need to solve a big problem. This paper presents a network
security related to the basic theoretical knowledge and VPN network
security technology in the field of application and VPN technology to
achieve the relevant principles and techniques were simple analysis.
Keyword: network security, VPN, IP Sec
四川师范大学信息技术学院-3-
网络安全概述
“安全”一词在字典中被定义为“远离危险的状态或者特性”和“为防范间谍活动或蓄意破坏、犯罪、攻击或者逃跑而采取的措施”。

随着经济信息话的迅速发展，计算机网络对安全的要求越来越高，尤其自Internet/Intranet应用发展以来，网络的安全已经涉及到国家主权等许多重大问题。

随着“黑客”工具技术的日益发展，使用这些工具所需的各种技巧和知识在不断减少，从而造成全球范围内“黑客”行为的泛滥，导致了一个全新战争形式的出现，即网络安全技术的大战。

网络安全基础知识
网络安全的含义
网络安全从本质上来讲就是网络上的信息安全。

它涉及的领域相当广泛。

这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。

从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。

下面是一个网络安全的通用定义。

网络安全是指网络系统的硬件、软件及系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改或泄密，系统连续、可靠、正常地运行，网络服务不中断。

网络安全在不同的环境和应用中有不同的解释：运行系统的安全、网络上系统信息的安全、网络上信息传播的安全和网络上信息内容的安全等。

显而易见，网络安全与其所保护的信息对象有关。

本质是在信息的安全期内保证其在网络上流动时或者静态存放时不被非授权用户非法访问，但授权用户却可以访问。

显然，网络安全，信息安全和系统安全的研究领域是相互交叉和紧密相连的。

计算机网络安全的含义是通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储信息的机密性、完整性和真实性，并对信息的传播及内容具有控制能力。

网络安全的结构层次包括：物理安全、安全控制和安全服务。

可见，计算机网络安全主要是从保护网络用户的角度来进行的，是针对攻击和破译等人为因素造成的对网络安全的威胁。

网络安全的特征
网路安全应具有一下4个方面的特征：
保密性指信息不泄露给非授权的用户、实体或者过程，或供其利用的特性
完整性指被保护数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改，被不被破坏和丢失的特性。

可用性指可被授权实体访问并按需求使用的特性，即当需要时能存取所需信息。

可控性指对信息的传播及内容具有控制能力。

四川师范大学信息技术学院-4-
网络安全的威胁
计算机网络的发展，使信息的共享应用日益广泛与深入。

但是信息在公共通信网络上存储、共享和传输，会被非法窃听、截取、篡改或毁坏，而导致不可估量的损失。

尤其是银行系统、商业系统、管理部门、政府或者军事领域对于公共通信网络中的存储与传输的数据安全问题更为关注。

如果因为安全因素使得信息不敢放进因特网这样的公共网络，那么办公效率及资源的利用率都会受到影响，甚至使得人们丧失了对因特网以及信息高速公路的信赖。

与网络连通性相关的3种不同的安全威胁是：
非授权访问（Unauthorized Access）：指一个或者多个非授权用户的入侵。

信息泄露（Disclosure of Information）：指造成将有价值的和高度机密的信息暴露给无权访问的人的所有问题。

拒绝服务（Denial of Service）：指系统难以或者不能继续执行的所有问题。

当然网络威胁并不是对计算机安全性的唯一威胁，拒绝服务也不是唯一的原因。

天灾人祸（对系统具有合法访问的人所造成的）也是很严重的。

网络安全的关键技术
从广义上来讲，计算机网络安全技术主要有如下几种：
主机安全技术；
身份认证技术；
访问控制技术；
密码技术；
防火墙技术；
安全审计技术；
安全管理技术；
为了实现网络安全，我们应该进行深入的研究，开发出自己的网络安全产品，以适应我国信息化对网络安全的需要。

威胁网络安全的因素
威胁网络安全的主要因素
计算机网络安全受到的威胁包括：“黑客”攻击、计算机病毒和拒绝服务攻击（Denial of Service Attack）
威胁的类型
网络安全存在的威胁类型主要表现在如下几个方面：
非授权访问。

这主要是指对网络设备以及信息资源进行非正常使用或超越权限使用。

假冒合法用户。

主要是指利用各种假冒或欺骗的手段非法获得合法用户的使用权，以达到占用合法用户资源的目的。

四川师范大学信息技术学院-5-
破坏数据完整性。

干扰系统的正常运行，改变系统正常运行的方向，以及延时系统响应时间。

病毒破坏。

通信线路被窃听等。

操作系统的脆弱性
无论哪一种操作系统，其体系结构本身就是不安全的一种因素。

由于操作系统的程序是可以动态链接的，包括I/O的驱动程序与系统服务都可以用打补丁的方法进行升级和进行动态链接，而动态链接也正是计算机病毒产生的温床。

因此，这种使用打补丁与渗透开发的操作系统是不可能从根本上解决安全问题的。

协议安全的脆弱性
当前，计算机网络系统都使用的是TCP/IP以及FTP，E-mail、NFS等都包含着许多影响网络安全的因素，存在许多漏洞。

黑客通常采用Sock、TCP预测或使用远程访问（RPC）进行直接扫描等方法对防火墙进行攻击。

数据库管理系统安全的脆弱性
由于数据库管理系统（DBMS）对数据库的管理是建立在分级管理的概念上的，因此DBMS的安全也可想而知。

另外，DBMS的安全必须与操作系统的安全配套，这无疑是一个先天的不足之处。

人为的因素
不管是什么样的网络系统都离不开人的管理，但大多数又缺少安全管理员，特别是高素质的网络管理员。

此外，缺少网络安全管理的技术规范，缺少定期的安全测试与检查，更缺少安全监控。

令人担忧的许多网络先天已经使用多年，但网络管理员与用户的注册、口令等还是处于缺省的状态。

四川师范大学信息技术学院-6-
网络安全解决方案
网络安全系统实际上是一组用于控制网络之间信息流的部件。

这种网络安全系统根据本单位的安全策略，准许或拒绝网络通信。

由于网络安全范围的不断扩大，如今的网络安全不再仅仅是保护内部资源的安全，还必须提供附加的服务。

例如：用户确认、通过密保甚至于安全传统的商务交易机制。

网络安全解决方案
网络安全系统实际上是一组用于控制网络之间的信息流的部件。

这种网络安全系统根据本单位的安全策略，准许或拒绝网络通信。

由于网络安全范围的不断扩大，如今的网路安全不再仅仅是保护系统内部资源的安全，还必须提供附加的服务。

例如：用户认证、通过保密甚至于安全管理系统的商务交易机制（订货和记账等）。

2.1.1网络信息安全模型
网络信息安全系统并非局限于通信密保、对信息加密功能要求等技术问题，它是涉及到方方面面的一项极其复杂的系统工程。

一个完整的网络信息安全系统至少包括以下三类措施，并且缺一不可：社会的法律政策，企业的规章管理制度及网络安全教育。

技术方面的措施，如防火墙技术、防病毒、信息加密、身份确认以及授权等。

审计与管理措施，包括技术措施与社会措施。

实际应用中，主要有实时监控、提供安全策略改变的能力以及对安全系统实施漏洞检查等措施。

2.1.2影响网络安全策略的制定因素
在制定网络安全策略时应当考虑的因素有：
1.对于内部用户和外部用户分别提供哪些服务程序；
2.初始投资额和后续投资额（新的硬件、软件及工作人员）；
3.方便程度和服务效率；
4.复杂程度和安全等级的平衡；
5.网络性能。

2.1.3网络安全解决方案
在实施一个网络安全策略时，可以使用多种方法，包括信息筛选、应用网关（或中继器）以及非军事的各种配置。

这几种方法通常是组合使用，而更加先进的系统需另外采用加密手段来提高安全等级。

1.信息包筛选
信息包筛选，是常驻于路由器或者专注于计算机系统（通常是两个系统之间）的数据库规则，它审查网络通信并决定师范允许该信息通过（通常是从一个网络到另一个网络）。

信息包筛选允许某些数据信息包而阻止另一些信息包的通行，这取决于信息包中的信息是否符合给定的规则。

所给定的规则是一组逻辑规则（称作筛选规则），加到每一信息包上，筛选规则则通知信息包筛，哪一些服务程序是允许使用的。

2.应用中继器
四川师范大学信息技术学院-7-
信息包筛选利用一种普通的独立于协议和服务程序之外的机制进行全部通信的筛选作业，而应用中继器可以使用未用的协议或服务专用软件提供每一项服务。

通常每一项服务程序和应用程序，需要安装在最终主机和网关主机上。

应用中继器优于信息包筛选之处是，没有复杂的规则集交互作用需要操作。

缺点是每一种应用编写软件对于最终用户是不透明的，而且，所提供的应用软件和服务软件的数量受到用于修改和维护这些软件的资源的限制，网络的速度也可能下降。

3.保密与确认
一个增强的网络安全系统，可以提供保密和确认之类的特性，以防止非法入侵的行为发生。

“保密”可以保证当一个信息被送出后，只有预定的接收者能够阅读和加以解释。

它可以防止窃听，并且允许在公用网络上安全地传输机密或者专用的信息。

“确认”意味着向信息（邮件、数据和文件等）的接收者保证发送者是该信息的拥有者；并且意味着在传输期间不会被窃听或修改。

除了安全，保密以及确认外，一个综合的网络安全系统可以为自动联机记账、发订单以及完成其他传统的商务任务提供各种工具。

接下来的内容我们讲认识到什么是VPN，以及VPN技术在网络安全领域里的一些实际应用。

四川师范大学信息技术学院-8-
VPN技术简介
VPN是Internet技术迅速发展的产物。

大量Internet通信基础网络或ISP的公共骨干网的建立使人们想到，如果可以保证在低成本的公用通信网络中安全地进行数据交换，就可以使企业以更低的成本连接其办事处、流动工作人员及业务合作伙伴，显著节省使用专用网络的长途费用，降低公司建设自己的广域网（WAN）的成本，而且同时实现信息资源的充分利用。

VPN技术使这种设想成为可能：通过采用隧道技术，将企业网的数据封装在隧道中进行传输。

通信中双方首先要明确地确认对方的真实身份，进而在公用通信设施中建立一条私有的专用通信隧道，利用双方协商得到的通信密钥处理信息，从而实现在低成本非安全的公用网络上安全的交换信息的目的。

什么是VPN
VPN，即虚拟专用网（Virtual Private Network，VPN）是一种“基于公共数据网，给用户一种直接连接到私人局域网感觉的服务”。

VPN极大地降低了用户的费用，而且提供了比传统方法更强的安全性和可靠性。

VPN可分为三大类：（1）企业各部门与远程分支之间的内部VPN（Intranet VPN）；（2）企业网与远程（移动）雇员之间的远程访问VPN（Remote Access VPN）；（3）企业与合作伙伴、客户、供应商之间的外部VPN（Extranet VPN）。

VPN提供了通过公用广域网 (WAN) ( 例如互联网 ) 在远程计算机间安全通信的方法。

VPN 连接可以链接两个局域网 (LAN) 或一个远程拨号用户和一个 LAN。

在这两点间流动的流量流经共享的资源，例如，路由器、交换机以及其它组成公用 WAN 的网络设备。

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

虚拟专用网是对企业内部网的扩展。

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

VPN的要求
安全性
VPN提供用户一种私人专用（Private）的感觉，因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。

VPN的安全性可通过隧道技术、加密和认证技术得到解决。

在Intranet VPN中，要有高强度的加密技术来保护敏感信息；在远程访问VPN中要有对远程用户可靠的认证机制。

性能
VPN要发展其性能至少不应该低于传统方法。

尽管网络速度不断提高，但在Internet时代，随着电子商务活动的激增，网络拥塞经常发生，这给VPN性能的稳定带来极大的影响。

因此VPN解决方案应能够让管理员进行通信控制来确保其性能。

通过VPN平台，管理员定义管理政策来激活基于重要性的出入口带宽四川师范大学信息技术学院-9-
分配。

这样既能确保对数据丢失有严格要求和高优先级应用的性能，又不会“饿死”，低优先级的应用。

管理问题
由于网络设施、应用不断增加，网络用户所需的IP地址数量持续增长，对越来越复杂的网络管理，网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。

VPN是公司对外的延伸，因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。

管理平台要有一个定义安全政策的简单方法，将安全政策进行分布，并管理大量设备。

互操作性
在Extranet VPN中，企业要与不同的客户及供应商建立联系，VPN解决方案也会不同。

因此，企业的VPN产品应该能够同其他厂家的产品进行互操作。

这就要求所选择的VPN方案应该是基于工业标准和协议的。

这些协议有IPSec、点到点隧道协议（Point to Point Tunneling Protocol，PPTP）、第二层隧道协议（Layer 2 Tunneling Protocol，L2TP）等。

VPN的实现技术
概述
VPN主要采用四项技术：
一、隧道技术(Tunneling)；
二、加解密技术(Encryption & Decryption)；
三、密钥管理技术(Key Management)；
四、使用者与设备身份认证技术(Authentication)。

五、QoS技术（Quality of Service）
隧道技术
隧道技术是为了将私有数据网络的资料在公众数据网络上传输，所发展出来的一种信息封装方式(Encapsulation)，亦即在公众网络上建立一条秘密通道。

隧道协议中最为典型的有GRE（Generic Routing Encapsulation）、Ipsec（Ip security ）、L2TP（Layer 2 Tunneling Protocol）、PPTP（Point to Point Tunneling Protocol）、L2F（Layer 2 Forwarding）等。

其中GRE、IPsec属于第三层隧道协议，L2TP、PPTP、L2F属于第二层隧道协议。

第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装不同的数据包中传输的。

IPsec为第三层的隧道技术，专门为IP 所设计，不但符合现有IPv4的环境，同时也是IPv6的标准，它也是IEIF所制定的业界标准。

PPTP与L2TP均为第二层的隧道技术，适合具有IP/IPX/AppleTalk等多种协议的环境。

IPsec、PPTP、L2TP三者，最大的不同在于，运用IPsec技术，使用者可以同时使用Internet 与VPN的多点传输功能（包括Internet/Intranet/Extranet/Remote Access 等），而PPTP及L2TP只能执行点对点VPN的功能，无法同时执行Internet的应用，使用时较不方便。

与第二层VPN相比，第三层的IPSec从1995年以来得到了一致的支持，报文安全封装ESP和报文完整性认证AH的协议框架已趋成熟。

密钥交换协议IKE已经增加了椭圆曲线密钥交换协议。

由于IPSec必须四川师范大学信息技术学院-10-
在端系统OS内核的IP层或节点网络设备的IP层实现，所以IPSec的密钥管理协议，特别是与PKI的交互问题是IPSec需要进一步完善的问题。

隧道技术简单的说就是：原始报文在A地进行封装，到达B地后把封装去掉还原成原始报文，这样就形成了一条由A到B的通信隧道。

目前实现隧道技术的有一般路由封装（Generic Routing Encapsulation，GRE）L2TP和PPTP。

（1）GRE
GRE主要用于源路由和终路由之间所形成的隧道。

例如，将通过隧道的报文用一个新的报文头（GRE 报文头）进行封装然后带着隧道终点地址放入隧道中。

当报文到达隧道终点时，GRE报文头被剥掉，继续原始报文的目标地址进行寻址。

GRE隧道通常是点到点的，即隧道只有一个源地址和一个终地址。

然而也有一些实现允许点到多点，即一个源地址对多个终地址。

这时候就要和下一跳路由协议（Next-Hop Routing Protocol，NHRP）结合使用。

NHRP主要是为了在路由之间建立捷径。

GRE隧道用来建立VPN有很大的吸引力。

从体系结构的观点来看，VPN就象是通过普通主机网络的隧道集合。

普通主机网络的每个点都可利用其地址以及路由所形成的物理连接，配置成一个或多个隧道。

在GRE隧道技术中入口地址用的是普通主机网络的地址空间，而在隧道中流动的原始报文用的是VPN的地址空间，这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。

这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来，多个VPN可以重复利用同一个地址空间而没有冲突，这使得VPN从主机网络中独立出来。

从而满足了VPN的关键要求：可以不使用全局唯一的地址空间。

隧道也能封装数量众多的协议族，减少实现VPN功能函数的数量。

还有，对许多VPN所支持的体系结构来说，用同一种格式来支持多种协议同时又保留协议的功能，这是非常重要的。

IP路由过滤的主机网络不能提供这种服务，而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。

基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。

对VPN而言主机网络可看成点到点的电路集合，VPN 能够用其路由协议穿过符合VPN管理要求的虚拟网。

同样，主机网络用符合网络要求的路由设计方案，而不必受VPN用户网络的路由协议限制。

虽然GRE隧道技术有很多优点，但用其技术作为VPN机制也有缺点，例如管理费用高、隧道的规模数量大等。

因为GRE是由手工配置的，所以配置和维护隧道所需的费用和隧道的数量是直接相关的——每次隧道的终点改变，隧道要重新配置。

隧道也可自动配置，但有缺点，如不能考虑相关路由信息、性能问题以及容易形成回路问题。

一旦形成回路，会极大恶化路由的效率。

除此之外，通信分类机制是通过一个好的粒度级别来识别通信类型。

如果通信分类过程是通过识别报文（进入隧道前的）进行的话，就会影响路由发送速率的能力及服务性能。

GRE隧道技术是用在路由器中的，可以满足Extranet VPN以及Intranet VPN的需求。

但是在远程访问VPN中，多数用户是采用拨号上网。

这时可以通过L2TP和PPTP来加以解决。

（2）L2TP和PPTP
L2TP是L2F（Layer 2 Forwarding）和PPTP的结合。

但是由于PC机的桌面操作系统包含着PPTP，四川师范大学信息技术学院-11-
因此PPTP仍比较流行。

隧道的建立有两种方式即：“用户初始化”隧道和“NAS初始化”（Network Access Server）隧道。

前者一般指“主动”隧道，后者指“强制”隧道。

“主动”隧道是用户为某种特定目的的请求建立的，而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。

L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。

建立过程如下：①用户通过Modem与NAS建立连接；②用户通过NAS的L2TP接入服务器身份认证；③在政策配置文件或NAS 与政策服务器进行协商的基础上，NAS和L2TP接入服务器动态地建立一条L2TP隧道；④用户与L2TP接入服务器之间建立一条点到点协议（Point to Point Protocol，PPP）访问服务隧道；⑤用户通过该隧道获得VPN服务。

与之相反的是，PPTP作为“主动”隧道模型允许终端系统进行配置，与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。

并且，PPTP协商和隧道建立过程都没有中间媒介NAS的参与。

NAS的作用只是提供网络服务。

PPTP建立过程如下：①用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务；②用户通过路由信息定位PPTP接入服务器；③用户形成一个PPTP虚拟接口；④用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道；⑤用户通过该隧道获得VPN服务。

在L2TP中，用户感觉不到NAS的存在，仿佛与PPTP接入服务器直接建立连接。

而在PPTP中，PPTP 隧道对NAS是透明的；NAS不需要知道PPTP接入服务器的存在，只是简单地把PPTP流量作为普通IP流量处理。

采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。

L2TP比PPTP更安全，因为L2TP接入服务器能够确定用户从哪里来的。

L2TP主要用于比较集中的、固定的VPN用户，而PPTP比较适合移动的用户。

加解密技术
加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。

信息加解密技术具有非常久远的历史，在需要秘密通信的地方都用得到它。

因为虚拟专用网络建筑在Internet公众数据网络上，为确保私有资料在传输过程中不被其他人浏览、窃取或篡改，所有的数据包在传输过程中均需加密，当数据包传送到专用数据网络后，再将数据包解密。

加解密的作用是保证数据包在传输过程中即使被窃听，黑客只能看到一些封锁意义的乱码。

如果黑客想看到数据包内的资料，他必须先破解用于加密该数据包的密钥（Encryption Key）。

随着加密技术与密钥长度的不同，破解密钥所需的设备与时间有显著不同。

数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非受权者不能了解被保护信息的内容。

加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。

RC4虽然强度比较弱，但是保护免于非专业人士的攻击已经足够了；DES和三次DES强度比较高，可用于敏感的商业信息。

加密技术可以在协议栈的任意层进行；可以对数据或报文头进行加密。

在网络层中的加密标准是IPSec。

网络层加密实现的最安全方法是在主机的端到端进行。

另一个选择是“隧道模式”：加密只在路由器中进行，而终端与第一跳路由之间不加密。

这种方法不太安全，因为数据从终端系统到第一条路由时可四川师范大学信息技术学院-12-。