加密隧道傳輸技術

『壹』 IPSEC傳輸模式和隧道模式的區別 / 藍訊

這么說吧，保護的對象和使用的地方不同。
專有名詞這樣解釋：
傳輸模式：用於主機之間，保護分組的有效負載，不對原來的IP地址進行加密
隧道模式：用於在Internet中的路由，對整個IP分組進行保護，首先對IP分組進行加密，然後將加密後的分組封裝到另一個IP分組

『貳』 加密技術在互聯網的應用范圍

網路加密的四種類型

1、無客戶端SSL：SSL的原始應用。在這種應用中，一台主機計算機在加密的鏈路上直接連接到一個來源(如Web伺服器、郵件伺服器、目錄等)。

2、配置VPN設備的無客戶端SSL：這種使用SSL的方法對於主機來說與第一種類似。但是，加密通訊的工作是由VPN設備完成的，而不是由在線資源完成的(如Web或者郵件伺服器)。

3、主機至網路：在上述兩個方案中，主機在一個加密的頻道直接連接到一個資源。在這種方式中，主機運行客戶端軟體(SSL或者IPsec客戶端軟體)連接到一台VPN設備並且成為包含這個主機目標資源的那個網路的一部分。

SSL：由於設置簡單，SSL已經成為這種類型的VPN的事實上的選擇。客戶端軟體通常是很小的基於Java的程序。用戶甚至可能都注意不到。

IPsec：在SSL成為創建主機至網路的流行方式之前，要使用IPsec客戶端軟體。IPsec仍在使用，但是，它向用戶提供了許多設置選擇，容易造成混淆。

4、網路至網路：有許多方法能夠創建這種類型加密的隧道VPN.但是，要使用的技術幾乎總是IPsec.

在網路至網路的VPN的情況下，我們在討論從一個網路設備到另一個網路設備的加密問題。由於我們期待目前的網路設備要做的事情，在這個討論中會出現一些其它難題：

與其它技術的相互作用：廣域網經常使用服務質量、深度包檢測或者廣域網加速。如果在部署的時候沒有考慮這些服務，加密就會使這些服務失效。網路地址解析是另一個需要克服的障礙，因為它首先會干擾建立一個加密的連接的能力。

疊加網路：加密隧道VPN是通過在現有的網路上創建一個疊加的加密連接發揮作用的。加密的連接存在於這個網路上的兩個具體介面之間。從源頭上看，如果要加密的網路通訊被重新路由或者傳送到不同的介面，它就不會被加密。如果這個通訊在加密之後被重新路由並且被發送到指定介面以外的其它介面，它就不能被解碼或者被拋棄。

在一個加密的VPN中，DNS、IP地址和路由都需要特別注意。一些安全VPN技術與專用地址領域工作得非常好。有些安全 VPN技術甚至在網路端點採用動態地址的情況下也能很好工作。在某些情況下，企業喜歡把所有的互聯網通訊路由到一個中心的位置。在其它情況下，採用拆分隧道方法，分支地點有單獨的互聯網網關。

帶寬：網路工程師不停地解決帶寬問題一邊為其用戶提供盡可能最好的體驗。但是，在一個加密的VPN的情況下，他們必須要考慮加密帶寬或者加密和解密大型數據流的能力。

無論是什麼動機，探索這個技術正是時候。加密技術是比以前更便宜和產品更多的技術(這種技術嵌入在防火牆、路由器和廣域網加速器)。但是，對於大多數網路工程師和設計師來說，這個技術需要不同的思路：按照復雜程度的順序進行思考以便在這種技術中進行選擇;努力地最大限度地減少網路和網路用戶的負擔; 等等。通過遵守一些基本的原則，你可以確保加密技術成為保證你的網路安全的一種非常有用的、甚至是至關重要的工具。

p>

加密技術的應用是多方面的，但最為廣泛的還是在電子商務和VPN上的應用，下面就分別簡敘。

1、在電子商務方面的應用

電子商務(E-business)要求顧客可以在網上進行各種商務活動，不必擔心自己的信用卡會被人盜用。在過去，用戶為了防止信用卡的號碼被竊取到，一般是通過電話訂貨，然後使用用戶的信用卡進行付款。現在人們開始用RSA(一種公開/私有密鑰)的加密技術，提高信用卡交易的安全性，從而使電子商務走向實用成為可能。

許多人都知道NETSCAPE公司是Internet商業中領先技術的提供者，該公司提供了一種基於RSA和保密密鑰的應用於網際網路的技術，被稱為安全插座層(Secure Sockets Layer，SSL)。

也許很多人知道Socket，它是一個編程界面，並不提供任何安全措施，而SSL不但提供編程界面，而且向上提供一種安全的服務，SSL3.0現在已經應用到了伺服器和瀏覽器上，SSL2.0則只能應用於伺服器端。

SSL3.0用一種電子證書(electric certificate)來實行身份進行驗證後，雙方就可以用保密密鑰進行安全的會話了。它同時使用「對稱」和「非對稱」加密方法，在客戶與電子商務的伺服器進行溝通的過程中，客戶會產生一個Session Key，然後客戶用伺服器端的公鑰將Session Key進行加密，再傳給伺服器端，在雙方都知道Session Key後，傳輸的數據都是以Session Key進行加密與解密的，但伺服器端發給用戶的公鑰必需先向有關發證機關申請，以得到公證。

基於SSL3.0提供的安全保障，用戶就可以自由訂購商品並且給出信用卡號了，也可以在網上和合作夥伴交流商業信息並且讓供應商把訂單和收貨單從網上發過來，這樣可以節省大量的紙張，為公司節省大量的電話、傳真費用。在過去，電子信息交換(Electric Data Interchange，EDI)、信息交易(information transaction)和金融交易(financial transaction)都是在專用網路上完成的，使用專用網的費用大大高於互聯網。正是這樣巨大的誘惑，才使人們開始發展網際網路上的電子商務，但不要忘記數據加密。

2、加密技術在VPN中的應用

虛擬專用網(Virtual Private Network，VPN)是一種「基於公共數據網，給用戶一種直接連接到私人區域網感覺的服務」。VPN極大地降低了用戶的費用，而且提供了比傳統方法更強的安全性和可靠性。

VPN可分為三大類：

(1)企業各部門與遠程分支之間的Intranet VPN;

(2)企業網與遠程(移動)雇員之間的遠程訪問(Remote Access)VPN;

(3)企業與合作夥伴、客戶、供應商之間的Extranet VPN。

現在，越多越多的公司走向國際化，一個公司可能在多個國家都有辦事機構或銷售中心，每一個機構都有自己的區域網LAN(Local Area Network)，但在當今的網路社會人們的要求不僅如此，用戶希望將這些LAN連結在一起組成一個公司的廣域網，這個在現在已不是什麼難事了。

事實上，很多公司都已經這樣做了，但他們一般使用租用專用線路來連結這些區域網 ，他們考慮的就是網路的安全問題。現在具有加密/解密功能的路由器已到處都是，這就使人們通過互聯網連接這些區域網成為可能，這就是我們通常所說的虛擬專用網(Virtual Private Network ，VPN)。當數據離開發送者所在的區域網時，該數據首先被用戶連接到互聯網上的路由器進行硬體加密，數據在互聯網上是以加密的形式傳送的，當達到目的LAN的路由器時，該路由器就會對數據進行解密，這樣目的LAN中的用戶就可以看到真正的信息了。

『叄』 隧道協議的隧道協議

隧道技術的實質是如何利用一種網路層的協議來傳輸另一種網路層的協議，其基本功能是封裝和加密，主要利用隧道協議來實現。封裝是構建隧道的基本手段。從隧道的兩端來看，封裝就是用來創建、維持和撤銷一個隧道，來實現信息的隱蔽和抽象。而如果流經隧道的數據不加密，那麼整個隧道就暴露在公共網路中，VPN的安全性和私有性就得不到體現。
網路隧道技術涉及了3種網路協議：網路隧道協議、隧道協議下面的承載協議和隧道協議所承載的被承載協議。如圖所示

隧道協議作為VPN IP層的底層，將VPN IP分組進行安裝封裝；隧道協議同時作為公用IP網的一種特殊形式，將封裝的VPN分組利用公網內的IP協議棧進行傳輸，以實現隧道內的功能。隧道協議在這個協議體系中起著承上啟下的作用。
隧道協議存在多種可能的實現方式，按照工作的層次，可分為兩類：一類是二層隧道協議，用於傳輸二層網路協議，它主要應用於構建撥號VPN（Access VPN）；另一類是三層隧道協議，用於傳輸三層網路協議，它主要應用於構建內部網VPN（Intranet VPN）和外聯網（VPN Extranet VPN）。 二層隧道協議指用公用網路來封裝和傳輸二層（數據鏈路層）協議，此時在隧道內傳輸的是數據鏈路層的幀。工作原理如圖所示

在點到點的二層鏈路上，最常用的二層協議是PPP協議，隧道協議實現中，首先將IP分組封裝在二層的PPP協議幀中，也就是會所，先把各種網路協議封裝在PPP中，再把整個數據包裝入二層隧道協議中。這種雙層封裝方法形成的數據包在公用網路中傳輸。
第二層隧道協議具有簡單易行的優點，但是他沒的可擴展性不太好，而且提供內在的安全機制安全強度低，因此它們不支持企業和企業的外部客戶以及供應商之間通信的保密性需求，不適合用來構建連接企業內部網和企業的外部客戶和供應商的企業外部網VPN。 三層隧道協議是用公用網來封裝和傳輸三層（網路層）協議（如IP、IPX、AppleTalk等），此時在隧道內傳輸的是網路層的分組。三層隧道協議並非是一種很新的技術，早已出現的RFC 1701 通路路由封裝協議就是一個三層隧道協議。IETF制定的IP層加密標准協議IPSec 也是一個三層速到協議，利用IPSec（ESP/AN）的隧道模式構成的VPN隧道。三層隧道協議的協議棧如圖所示，

『肆』 工業互聯網的應用技術包括什麼

『伍』 隧道技術的隧道協議

L2TP（Layer Two Tunneling Protocol）結合了L2F和PPTP的優點，允許用戶從客戶端或訪問伺服器端建立VPN連接。L2TP是把鏈路層的PPP幀裝入公用網路設施，如IP、ATM、幀中繼中進行隧道傳輸的封裝協議。其體系結構見圖1。
Cisco、Ascend、Microsoft和RedBack公司的專家們在修改了十幾個版本後，終於在1999年8月公布了L2TP的標准RFC2661。現用戶撥號訪問Internet時，必須使用IP協議，並且其動態得到的IP地址也是合法的。L2TP的好處在於支持多種協議，用戶可以保留原有的IPX、Appletalk等協議或公司原有的IP地址。L2TP還解決了多個PPP鏈路的捆綁問題，PPP鏈路捆綁要求其成員均指向同一個NAS，L2TP則允許在物理上連接到不同NAS的PPP鏈路，在邏輯上的終點為同一個物理設備。L2TP擴展了PPP連接，在傳統的方式中用戶通過模擬電話線或ISDN/ADSL與網路訪問伺服器建立一個第2層的連接，並在其上運行PPP，第2層連接的終點和PPP會話的終點均設在同一個設備上(如NAS)。L2TP作為PPP的擴充提供了更強大的功能，包括允許第2層連接的終點和PPP會話的終點分別設在不同的設備上。
L2TP主要由LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)構成。LAC支持客戶端的L2TP，發起呼叫，接收呼叫和建立隧道；LNS是所有隧道的終點。在傳統的PPP連接中，用戶撥號連接的終點是LAC，而L2TP能把PPP協議的終點延伸到LNS。 1.用戶通過公用電話網或ISDN撥號呼叫本地接入伺服器LAC；LAC接受呼叫並進行基本的識別過程，這一過程可以採用幾種標准，如域名、呼叫線路識別(CLID)或撥號ID業務(DNIS)等。
2.當用戶被確認為合法企業用戶時，就建立一個通向LNS的撥號VPN隧道。
3.企業內部的安全伺服器如TACACS+、RADIUS對撥號用戶進行驗證。
4.LNS與遠程用戶交換PPP信息，分配IP地址。LNS可採用企業專用地址(未注冊的IP地址)或服務提供商提供的地址空間分配IP地址。因為內部源IP地址與目的地IP地址實際上都通過服務提供商的IP網路在PPP信息包內傳送，企業專用地址對提供者的網路是透明的。
5.端到端的數據從撥號用戶傳到LNS。
在實際應用中，LAC將撥號用戶的PPP幀封裝後，傳送到LNS，後者去掉封裝包頭，取出PPP幀，再去掉PPP幀頭，最後獲得網路層數據包。
L2TP方式給服務提供商和用戶帶來了許多方便。用戶不需要在PC板上安裝專門的客戶端軟體，企業網可以使用未注冊的IP地址，並在本地管理認證資料庫，從而降低了應用成本和培訓維護費用。
與PPTP和L2F相比，L2TP的優點在於提供了差錯和流量控制；L2TP使用UDP封裝和傳送PPP幀。面向無連接的UDP無法保證網路數據的可靠傳輸，L2TP使用Nr（下一個希望接受的信息序列號）和Ns（當前發送的數據包序列號）欄位進行流量和差錯控制。雙方通過序列號來確定數據包的順序和緩沖區，一旦丟失數據，根據序列號可以進行重發。
作為PPP的擴展協議，L2TP支持標準的安全特性CHAP和PAP，可以進行用戶身份認證。L2TP定義了控制包的加密傳輸，每個被建立的隧道分別生成一個獨一無二的隨機鑰匙，以便對付欺騙性的攻擊，但是它對傳輸中的數據並不加密。

『陸』 隧道加密與端對端加密有何不同

1、查了一下，這個問題好專業啊！
2、我就不冒充了，只能從字面意思講，隧道加密可能是文件傳輸過程中，比如說未經數據為一個矩陣，文件的起始、結尾行都加密，中間的列隔幾列加密。端對端加密，估計就是文件的起始、結尾行都加密。
3、沒學過加密技術，亂猜的哈！

『柒』 IPSEC協議中隧道模式與傳輸模式的區別

區別：

1、封裝過程

傳輸模式，不會改變原始報文的IP頭，只會在原始IP頭後面封裝一些ipsec協議

隧道模式，會在原始IP報文頭前面添加新的IP頭，並且在新的IP頭後面封裝一些ipsec協議。

2、優點

隧道模式更安全，傳輸模式性能好，解放了更多帶寬

3、應用場景

傳輸模式在AH、ESP處理前後IP頭部保持不變，主要用於End-to-End的應用場景。

隧道模式在AH、ESP處理之後再封裝了一個外網IP頭，主要用於Site-to-Site的應用場景。

(7)加密隧道傳輸技術擴展閱讀

IPSec有「隧道」和「傳輸」兩種封裝模式。數據封裝是指將AH或ESP協議相關的欄位插入到原始IP數據包中，以實現對報文的身份認證和加密。

從安全性來講，隧道模式優於傳輸模式，因為隧道模式可以完全地對原始IP數據包進行認證和加密，隱藏客戶機的私網IP地址，而傳輸模式中的數據加密是不包括原始IP報頭的。

從性能來講，因為隧道模式有一個額外的IP頭，所以它將比傳輸模式佔用更多帶寬，有效傳輸率較低。

『捌』 什麼是VPN隧道

VPN隧道通常指在PSN骨幹網的VPN節點間或VPN節點與用戶節點間構建的傳VPN數據的虛擬連接。隧道是構建VPN不能缺少的部分，來把VPN數據從一個VPN節點公開傳到另一節點。

對於構建VPN來說，網路隧道(Tunnelling)技術是個關鍵技術。網路隧道技術指的是利用一種網路協議來傳輸另一種網路協議，它主要利用網路隧道協議來實現這種功能。網路隧道技術涉及了三種網路協議，即網路隧道協議、隧道協議下面的承載協議和隧道協議所承載的被承載協議。

(8)加密隧道傳輸技術擴展閱讀

為創建隧道，隧道的客戶機和伺服器雙方必須使用相同的隧道協議。此外，建立在 TCP/UDP 之上的網路隧道技術近幾年來也有了較快的發展，通過採用 TCP/UDP 協議，避免了網路運營商的過濾，使得真正能夠通過公網來建立加密隧道。

根據所用協議的不同,隧道分為多種類型,類型不一樣的隧道的建立與管理也不盡相同。例如,GRE、MPLS TE等是藉助隧道介面進行的,而LSP則不用藉助隧道介面。

『玖』 名詞解釋：OSPF. CIDR IPng 隧道技術

隧道技術及其應用

隧道技術（Tunneling）是一種通過使用互聯網路的基礎設施在網路之間傳遞數據的方式。使用隧道傳遞的數據（或負載）可以是不同協議的數據幀或包。隧道協議將其它協議的數據幀或包重新封裝然後通過隧道發送。新的幀頭提供路由信息，以便通過互聯網傳遞被封裝的負載數據。
這里所說的隧道類似於點到點的連接。這種方式能夠使來自許多信息源的網路業務在同一個基礎設施中通過不同的隧道進行傳輸。隧道技術使用點對點通信協議代替了交換連接，通過路由網路來連接數據地址。隧道技術允許授權移動用戶或已授權的用戶在任何時間、任何地點訪問企業網路。
通過隧道的建立，可實現：
* 將數據流強制送到特定的地址
* 隱藏私有的網路地址
* 在IP網上傳遞非IP數據包
* 提供數據安全支持
近來出現了一些新的隧道技術，並在不同的系統中得到運用和拓展。

隧道技術

為創建隧道，隧道的客戶機和伺服器雙方必須使用相同的隧道協議。隧道技術可分別以第2層或第3層隧道協議為基礎。第2層隧道協議對應於OSI模型的數據鏈路層，使用幀作為數據交換單位。PPTP（點對點隧道協議）、L2TP（第二層隧道協議）和L2F（第2層轉發協議）都屬於第2層隧道協議，是將用戶數據封裝在點對點協議（PPP）幀中通過互聯網發送。第3層隧道協議對應於OSI模型的網路層，使用包作為數據交換單位。IPIP（IP over IP）以及IPSec隧道模式屬於第3層隧道協議，是將IP包封裝在附加的IP包頭中，通過IP網路傳送。無論哪種隧道協議都是由傳輸的載體、不同的封裝格式以及用戶數據包組成的。它們的本質區別在於，用戶的數據包是被封裝在哪種數據包中在隧道中傳輸。

點對點隧道協議
PPTP（Point to Point Tunneling Protocol）提供PPTP客戶機和PPTP伺服器之間的加密通信。PPTP客戶機是指運行了該協議的PC機，如啟動該協議的Windows95/98；PPTP伺服器是指運行該協議的伺服器，如啟動該協議的WindowsNT伺服器。PPTP是PPP協議的一種擴展。它提供了一種在互聯網上建立多協議的安全虛擬專用網（VPN）的通信方式。遠端用戶能夠透過任何支持PPTP的ISP訪問公司的專用網。
通過PPTP，客戶可採用撥號方式接入公用IP網。撥號用戶首先按常規方式撥到ISP的接入伺服器（NAS），建立PPP連接；在此基礎上，用戶進行二次撥號建立到PPTP伺服器的連接，該連接稱為PPTP隧道，實質上是基於IP協議的另一個PPP連接，其中的IP包可以封裝多種協議數據，包括TCP／IP、IPX和NetBEUI。PPTP採用了基於RSA公司RC4的數據加密方法，保證了虛擬連接通道的安全。對於直接連到互聯網的用戶則不需要PPP的撥號連接，可以直接與PPTP伺服器建立虛擬通道。PPTP把建立隧道的主動權交給了用戶，但用戶需要在其PC機上配置PPTP，這樣做既增加了用戶的工作量，又會給網路帶來隱患。另外，PPTP只支持IP作為傳輸協議。

第二層轉發協議
L2F(Layer Two Forwarding protocol )是由Cisco公司提出的可以在多種介質，如ATM、幀中繼、IP網上建立多協議的安全虛擬專用網的通信。遠端用戶能通過任何撥號方式接入公用IP網，首先按常規方式撥到ISP的接入伺服器（NAS），建立PPP連接；NAS根據用戶名等信息，建立直達HGW伺服器的第二重連接。在這種情況下，隧道的配置和建立對用戶是完全透明的。其體系結構見圖1。

第二層隧道協議
L2TP（Layer Two Tunneling Protocol）結合了L2F和PPTP的優點，允許用戶從客戶端或訪問伺服器端建立VPN連接。L2TP是把鏈路層的PPP幀裝入公用網路設施，如IP、ATM、幀中繼中進行隧道傳輸的封裝協議。其體系結構見圖1。
Cisco、Ascend、Microsoft和RedBack公司的專家們在修改了十幾個版本後，終於在1999年8月公布了L2TP的標准RFC2661。目前用戶撥號訪問Internet時，必須使用IP協議，並且其動態得到的IP地址也是合法的。L2TP的好處在於支持多種協議，用戶可以保留原有的IPX、Appletalk等協議或公司原有的IP地址。L2TP還解決了多個PPP鏈路的捆綁問題，PPP鏈路捆綁要求其成員均指向同一個NAS，L2TP則允許在物理上連接到不同NAS的PPP鏈路，在邏輯上的終點為同一個物理設備。L2TP擴展了PPP連接，在傳統的方式中用戶通過模擬電話線或ISDN/ADSL與網路訪問伺服器建立一個第2層的連接，並在其上運行PPP，第2層連接的終點和PPP會話的終點均設在同一個設備上(如NAS)。L2TP作為PPP的擴充提供了更強大的功能，包括允許第2層連接的終點和PPP會話的終點分別設在不同的設備上。
L2TP主要由LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)構成。LAC支持客戶端的L2TP，發起呼叫，接收呼叫和建立隧道；LNS是所有隧道的終點。在傳統的PPP連接中，用戶撥號連接的終點是LAC，而L2TP能把PPP協議的終點延伸到LNS。
L2TP的建立過程如圖2。
1.用戶通過公用電話網或ISDN撥號呼叫本地接入伺服器LAC；LAC接受呼叫並進行基本的識別過程，這一過程可以採用幾種標准，如域名、呼叫線路識別(CLID)或撥號ID業務(DNIS)等。
2.當用戶被確認為合法企業用戶時，就建立一個通向LNS的撥號VPN隧道。
3.企業內部的安全伺服器如TACACS+、RADIUS對撥號用戶進行驗證。
4.LNS與遠程用戶交換PPP信息，分配IP地址。LNS可採用企業專用地址(未注冊的IP地址)或服務提供商提供的地址空間分配IP地址。因為內部源IP地址與目的地IP地址實際上都通過服務提供商的IP網路在PPP信息包內傳送，企業專用地址對提供者的網路是透明的。
5.端到端的數據從撥號用戶傳到LNS。
在實際應用中，LAC將撥號用戶的PPP幀封裝後，傳送到LNS，後者去掉封裝包頭，取出PPP幀，再去掉PPP幀頭，最後獲得網路層數據包。
L2TP方式給服務提供商和用戶帶來了許多方便。用戶不需要在PC板上安裝專門的客戶端軟體，企業網可以使用未注冊的IP地址，並在本地管理認證資料庫，從而降低了應用成本和培訓維護費用。
與PPTP和L2F相比，L2TP的優點在於提供了差錯和流量控制；L2TP使用UDP封裝和傳送PPP幀。面向無連接的UDP無法保證網路數據的可靠傳輸，L2TP使用Nr（下一個希望接受的信息序列號）和Ns（當前發送的數據包序列號）欄位進行流量和差錯控制。雙方通過序列號來確定數據包的順序和緩沖區，一旦丟失數據，根據序列號可以進行重發。
作為PPP的擴展協議，L2TP支持標準的安全特性CHAP和PAP，可以進行用戶身份認證。L2TP定義了控制包的加密傳輸，每個被建立的隧道分別生成一個獨一無二的隨機鑰匙，以便對付欺騙性的攻擊，但是它對傳輸中的數據並不加密。

通用路由封裝
通用路由封裝（GRE：Generic Routing Encapsulation）在RFC1701/RFC1702中定義，它規定了怎樣用一種網路層協議去封裝另一種網路層協議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，它允許用戶使用IP封裝IP、IPX、AppleTalk，並支持全部的路由協議，如RIP、OSPF、IGRP、EIGRP。通過GRE，用戶可以利用公用IP網路連接IPX網路和AppleTalk網路，還可以使用保留地址進行網路互聯，或對公網隱藏企業網的IP地址。
GRE的包頭包含了協議類型（用於標明乘客協議的類型）；校驗和包括了GRE的包頭和完整的乘客協議與數據；密鑰（用於接收端驗證接收的數據）；序列號（用於接收端數據包的排序和差錯控制）和路由信息（用於本數據包的路由）。
GRE只提供了數據包的封裝，它沒有防止網路偵聽和攻擊的加密功能。所以在實際環境中它常和IPsec一起使用，由IPsec為用戶數據的加密，給用戶提供更好的安全服務。

IP安全協議
IP安全協議（IPSec：IP Security）實際上是一套協議包而不是一個獨立的協議，這一點對於我們認識IPSec是很重要的。從1995年開始IPSec的研究以來，IETF IPSec工作組在它的主頁上發布了幾十個Internet草案文獻和12個RFC文件。其中，比較重要的有RFC2409 IKE（互連網密鑰交換）、RFC2401 IPSec協議、RFC2402 AH驗證包頭、RFC2406 ESP加密數據等文件。
IPSec安全體系包括3個基本協議：AH協議為IP包提供信息源驗證和完整性保證；ESP協議提供加密機制；密鑰管理協議(ISAKMP)提供雙方交流時的共享安全信息。ESP和AH協議都有相關的一系列支持文件，規定了加密和認證的演算法。最後，解釋域（DOI）通過一系列命令、演算法、屬性和參數連接所有的IPSec組文件。

隧道技術應用

虛擬專用網路
VPN是Internet技術迅速發展的產物，其簡單的定義是，在公用數據網上建立屬於自己的專用數據網。也就是說不再使用長途專線建立專用數據網，而是充分利用完善的公用數據網建立自己的專用網。它的優點是，既可連到公網所能達到的任何地點，享受其保密性、安全性和可管理性，又降低網路的使用成本。
VPN依靠Internet服務提供商（ISP）和其他的網路服務提供商（NSP）在公用網中建立自己的專用「隧道」，不同的信息來源，可分別使用不同的「隧道」進行傳輸。
新出台的標准ISE CHEIP6版保證用戶數據的安全加密。由於用戶對企業網傳輸個人數據很敏感，因此集成度更高的VPN技術不久將會流行起來。

Linux 中的IP隧道
為了在TCP/IP網路中傳輸其他協議的數據包，Linux採用了一種IP隧道技術。在已經使用多年的橋接技術中就是通過在源協議數據包上再套上一個IP協議帽來實現。
利用IP隧道傳送的協議包也包括IP數據包，Linux的IPIP包封指的就是這種情況。移動IP（Mobile-IP）和IP多點廣播（IP-Multicast）是兩個流行的例子。目前，IP隧道技術在VPN中也顯示出極大的魅力。
移動IP是在全球Internet上提供移動功能的一種服務，它允許節點在切換鏈路時仍可保持正在進行的通信。它提供了一種IP路由機制，使移動節點以一個永久的IP地址連接到任何鏈路上。與特定主機路由技術和數據鏈路層方案不同，移動IP還要解決安全性和可靠性問題，並與傳輸媒介無關。移動IP的可擴展性使其可以在整個互聯網上應用。

GPRS隧道協議
隨著隧道技術的發展，各種業務已經開始根據本業務的特點制定相應的隧道協議。GPRS（General Packet Radio Service）中的隧道協議GTP（GPRS Tunnel Protocol）就是一例。
GPRS是GSM提供的分組交換和分組傳輸方式的新的承載業務，可以應用在PLMN（Public Land Mobile Network）內部或應用在GPRS網與外部互聯分組數據網（IP、X.25）之間的分組數據傳送，GPRS能提供到現有數據業務的無縫連接。它在GSM網路中增加了兩個節點：服務GPRS支持節點（SGSN—serving GPRS support node）和網關GPRS支持節點（GGSN—Gateway GPRS support node）。
SGSN是GPRS骨幹網與無線接入網之間的介面，它將分組交換到正確的基站子系統（BSS）。其任務包括提供對移動台的加密、認證、會話（session）管理、移動性管理和邏輯鏈路管理。它也提供到HLR等資料庫的連接。
通過GPRS隧道協議可為多種協議的數據分組通過GPRS骨幹網提供隧道。GTP根據所運載的協議需求，利用TCP或UDP協議來分別提供可靠的連接（如支持X.25的分組傳輸）和無連接服務（如IP分組）。

『拾』 加密技術的四種類型

1、無客戶端SSL：SSL的原始應用。在這種應用中，一台主機計算機在加密的鏈路上直接連接到一個來源(如Web伺服器、郵件伺服器、目錄等)。
2、配置VPN設備的無客戶端SSL：這種使用SSL的方法對於主機來說與第一種類似。但是，加密通訊的工作是由VPN設備完成的，而不是由在線資源完成的(如Web或者郵件伺服器)。
3、主機至網路：在上述兩個方案中，主機在一個加密的頻道直接連接到一個資源。在這種方式中，主機運行客戶端軟體(SSL或者IPsec客戶端軟體)連接到一台VPN設備並且成為包含這個主機目標資源的那個網路的一部分。
SSL：由於設置簡單，SSL已經成為這種類型的VPN的事實上的選擇。客戶端軟體通常是很小的基於Java的程序。用戶甚至可能都注意不到。
IPsec：在SSL成為創建主機至網路的流行方式之前，要使用IPsec客戶端軟體。IPsec仍在使用，但是，它向用戶提供了許多設置選擇，容易造成混淆。
4、網路至網路：有許多方法能夠創建這種類型加密的隧道VPN.但是，要使用的技術幾乎總是IPsec.