通过电话线传输数据时，能否对底层数据（如IP包）加密？请提供思路。(100分)

有一些远程客户要通过电话线接入主机，我想通过远程登录到 NT 域的方式解决，
由于客户对密级要求很高，希望对数据进行加密。由于服务器以网站或数据库方式提供
数据，不是简单的文件传输，所以我想，应该对底层数据进行加密。问题是，有没有办法
对数据进行底层加密，如 IP 包的加密？这是否可行？能否通过软件进行？该如何进行？
分数不够可再加。

不可以(也没必要)对IP包加密.
要加密的是传输的数据(底层将它们打包成TCP/UDP包, 一般再通过硬件分割成IP包)

打包的工作是谁做的？能不能由自己来做？硬件分割成 IP 包又是谁做的？
需要传输的数据密级太高，不得不问这些问题。

应该不行，ip都给你加密了，还怎传？

Crab, 别想太多， 想太多的结果是你自己写个操作系统. TCP/IP是标准协议，如果你
把IP都加密了，谁来收它？除非连接受/路由/错误控制....全部你自己做，那样等于自己
写操作系统了，不光写操作系统，还得自己设计硬件（大部分路由器都是由硬件生成
IP包的)。

只能对数据加密，如果要对ip的数据项加密，你还得改后面的校验和，但因为不是自己
主动发数据，我觉得可以作两个透明的应用网关，一个在服务器，一个在客户端，你的数
据库和客户端用这两个透明网关连接。然后在网关上作加密。
数据库---网关------公共网------网关----客户端。
有关网关的例子在这里搜索，或查找电脑包的29、30、31期。
透明网关实际上就是接受ip包，得到数据，加密，转发到另外一个ip上去。
可以吗？

我先查查以前的答案去

我是一窍不通，只有听大虾讲

查一下VPN，我想应该能够满足你的要求。

看了一些关于网关的贴子，没发现解决的办法。既然不能对 IP 包加密，那么如何截取
要发送的数据包，在封装成 IP 包前将之加密？哪里有相关的资料呢？
To SNkola:
用 VPN 如何解决？

这人想干吗?
即使截取了你加密后就不是IP包了, 还发什么?

VPN是虚拟专用网络，有用专用路由器实现的（如Cisco路由器），也有用软件实现的
（如Windows2000的VPN功能）。VPN一般都要像拨号网络一样先建立连接。然后就可以
象一个专用网络一样用了。VPN采用另外的协议，如IPSEC，在internet上传送package，
一般都会进行加密。

更详细的内容可以自己查一下，我也没用过，我只是看过别人用而已。

来点水：

"Wang Wei" <ilyli@163.net> wrote in message news:38ee0ec4@NEWS.webking.com.cn...
> VPN，是Virtual Private Network的缩写，
> 翻译成虚拟私有网。
> 是通过Internet将2点或多点互联的一种技术。
> 通过身份验证，加密和其它一些技术，保证其在Internet
> 上传输的数据的保密性和完整性。
> 如同在公共的Internet上建立了一个只属于
> 自己的私有网络。
> 有许多路由器都有VPN功能，但绝不是路由器的
> 互联，另外，还有通过软件或专门的VPN硬件设备
> 实现VPN的产品。
> 好象Cisco的网站上有相关资料。
> 另外，被Intel收购的Shiva在VPN产品方面也很有名。
> Shiva的网站上应该也有相关资料。
>
> wiltu <witlu@21cn.com> wrote in message
> news:38ee0508$1@NEWS.webking.com.cn...
> > VPN不就是路由器把两点互连吗？这以前不是早有了？和苦又出来个VPN概念？

再来：
"bleeding" <chinahangzhou@163.net> wrote in message news:38f91fb2@NEWS.webking.com.cn...
> 一般可以工作在链路层和网络层。
> 链路层实现方法：pptp,l2f,l2tp
> 网络层实现方法：ipsec
>
> Mike Wolf <mkwf@163.net> wrote in message
> news:38eb777b@NEWS.webking.com.cn...
> > VPN工作在OSI的第几层？
> > 是不是应该在网络层和传输层之间啊？界于ip和socket之间？
> > --Mike Wolf--
> > 2000.4.5

水呀！！！！！！！！！！
"bleeding" <chinahangzhou@163.net> wrote in message news:38f919a5@NEWS.webking.com.cn...
> 什么是vpn?
> VPN的提出建立在这样的一个市场背景下：世界经济的全球化趋势要求企业在全国各地
> 乃至全球各地建立自己的分支机构，同时企业管理的信息化又要求企业必须组建自己的
> 广域网，连接各分支机构，甚至包括企业的客户、合作伙伴等等，以期利用企业网进行
> 高效的信息化管理，并尽可能溶入贸易电子化的国际大潮流；然而长期以来解决这一问
> 题的唯一办法是租用专线，租用专线有三大弊病：费用昂贵、设备管理不便、不适应企
> 业高速增长的需求。
> 在这种情况下，VPN概念应运而生。VPN是英文Virtual Private Network的缩写，中文
> 可译作虚拟私人网或虚拟专用网。VPN的基本思路是利用公网组建自己的虚拟网络，公
> 网指的是由电信服务商提供的基础广域网，例如IP网络、帧中继网络和ATM网络。目前
> 比较典型的是基于全球最大的IP网络INTERNET的VPN实现。相对传统的专线组网而言，
> 它正好有相反的三大优点：费用低廉（只有本地上网费用）、无须管理组网设备（由电
> 信服务商管理）、强大的伸缩性（扩展方便，如果内网新增一个用户，只需在网关上添
> 加一个条目；如果成立一个新的分公司，只需在该分公司添加一个网关）。
> VPN具有广阔的市场前景，它的发展给信息产业界带来了勃勃生机，无论是ISP还是企业
> 用户都将从中受益。根据国外Forrester Research的调查结果，被调查企业中的55％有
> 意建立VPN，调查还显示，优异的性价比和网络部署的灵活性是他们选择VPN 的两大原
> 因。可以预计，今后很长一段时间之内，VPN都将是企业网络化、信息化建设的必然选
> 择。
>
> VPN的技术
> 一、 概述
> VPN架设在公网之上，一方面为企业节省了大笔的资金，另一方面也给企业带来了安全
> 方面的问题。传统的IP网络对数据安全根本未加考虑，INTERNET上流过的信息可被有意
> 者轻易得到，在这种情况下，企业的敏感信息不加保护地在INTERNET 上传送是每一位
> 企业管理人员都不愿意看到的。值得庆幸的是，目前的技术发展已能保证基于公网的
> VPN具有与专网一样的安全性。可以使用这样的一个等式来定义VPN的技术实现：
> VPN = 加密算法 + 安全协议。
> 下面分别介绍加密算法和安全协议，看看他们如何实现VPN并保证安全。
> 二、 公钥基础结构（PKI）和电子证书（CA）
> 在加密领域中，大家比较熟悉的是对称密码体制，例如DES算法，由于对称密码体制存
> 在密钥分发困难的缺点，不利于在INTERNET上开展通信主体不确定的电子商务，近年来
> 发展较快的是非对称密码体制，即公开密钥密码算法。公钥算法能够解决密钥分发、身
> 份认证、交易防否认和数据完整性等诸多安全问题，不过加密速度太慢，而对称密码算
> 法加密速度较快，两者互为补充可以真真解决通信安全问题。
> 公钥基础结构（PKI，Public Key Infrastructure）是目前国际上广泛应用的以公钥为
> 基础的网络安全解决方案。PKI把公钥密码算法和对称密码算法结合起来，共同解决认
> 证和保密等等安全问题。在PKI体系中，对称密码算法用来加密数据，而公钥密码算法
> 用来完成对通信密钥的加解密和数据签名。由于公钥算法可对通信密钥加密，通信双方
> 的对称密钥的分发就可自动完成，解决了原来对称密码体制中密钥安全分发的困难；而
> 通过数字签名，可以解决交易防否认和数据完整性的问题，增强通信双方对数据的信任
> 度。
> 上述体系必须引入电子证书（CA,Certificate Authority）才能成为一个有机整体。原
> 因是公钥本身也存在一个信任问题，必须由一个第三方机构来证明这个公钥确实就是对
> 方的公钥，这个第三方机构就叫证书管理中心，负责通信各方电子证书的申请、分发、
> 证明和维护。电子证书的内容包括用户的公钥、用户的其他标识信息（如名称、
> Email、身份证号等）、发行商、证书有效期等等，通信对端验证了证书的合法性也就
> 验证了用户身份的合法性，同时也取得了用户的公钥。建立PKI体系结构的首要任务就
> 是建立各级证书授权机构，其框架可以是一个树形结构，而根证书管理机构必须是唯一
> 的。建立在CA认证体系上的PKI架构才能完成上述的所有认证和保密功能，相信随着PKI
> 在各种网络应用中的广泛使用，人们对于网络安全性的诸多担忧将逐步解除。
> 三、 VPN协议PPTP、L2TP、IPSEC
> VPN技术发展至今只不过短短的几年时间，国际上许多有实力的大公司都针对这种新技
> 术提出了自己的解决方案。目前比较流行的方案有三种：PPTP、L2TP和IPSEC。
> PPTP（点到点通道协议，Point-to-Point Tunneling Protocol)是由Ascend、
> Microsoft、3Com等公司在1996年就提出的VPN解决方案,PPTP由于出现较早，应用较为
> 普遍。Microsoft的NT4.0中已捆绑了服务器和客户端软件，另外Windows95/98的用户也
> 可以通过把拨号网络免费升级到DUN1.2而成为PPTP的客户端。
> PPTP的基本原理可简单描述如下：假设客户采用拨号方式接入公共IP网络(假设为
> Internet),则拨号客户首先按常规方式拨号到ISP的接入服务器,建立PPP连接;在此基础
> 上,客户建立连接PPTP服务器的第二重连接。该连接称为PPTP通道,实质上是基于IP协议
> 之上的另一个PPP连接,其中的IP包可以封装多种协议数据,包括TCP/IP、IPX和
> NetBEUI。PPTP采用了基于MD4的密码验证和基于RSA RC4的数据加密方法,保证了虚拟连
> 接通道的安全性。对于直接连到Internet上的客户,则不需要第一重PPP的拨号连接,可
> 以直接与PPTP服务器建立虚拟通道。
> L2TP (第二层隧道协议，Layer Two Tunneling Protocol)是从Cisco主导的L2F和
> Microsoft主导的PPTP基础上演变而来的。Cisco、Ascend和3Com等网络公司均是该工作
> 组的成员。L2TP 定义了利用公共网络设施（如IP网络、ATM和帧中继网络）封装链路层
> PPP帧的方法。现在，Internet中的拨号网络只支持IP协议，而且必须使用注册IP地
> 址，而L2TP可以让拨号用户支持多种协议，如IP、IPX、AppleTalk，且可以使用内部网
> 络地址 包括内部IP地址。
> L2TP与PPTP的工作机理非常类似，所不同的就是L2TP用的是UDP封装，而PPTP用的是TCP
> 封装。由于这两种方案可以封装多种网络层协议，因此在异种网络安全互连时可以发挥
> 自己的优势。然而由于其本身存在的一些问题，导致人们不得不研究新的协议已更好的
> 服务于IP环境下的VPN。这些问题主要体现在两个方面：
> 1、 VPN隧道的一个端点终结于ISP提供的访问集中器，访问集中器负责用户的身份验证
> 和隧道的建立，这就带来两个问题，一个是对ISP的信任问题，因为不信任就等于不安
> 全；另外一个是要求每个提供服务的ISP安装VPN软件，并维护企业的用户信息，实现很
> 复杂。
> 2、 未能综合各种安全技术，在身份认证和保密性方面还有问题。
>
> IPSec（IP安全协议，IP Security）是在IPv6的制定过程中产生的，用于提供IP层的安
> 全性。由于目前的IPv4向IPv6过度还需要一个过程，因此IPSec也提供对IPv4的支持。
> IPSec将几种安全技术结合形成一个完整的体系，来保证IP数据包的机密性、完整性和
> 真实性。IPSec使用的安全技术包括：
> ? Diffie-Hellman密钥交换技术；
> ? 非对称加密算法，用于数字签名；
> ? 对称加密算法，如DES，用于加密用户数据；
> ? HASH算法，如HMAC、普通哈希算法，保证数据包的真实性和完整性；
> ? CA技术，用于身份认证和密钥发放。
> IPSec主要包括两部分协议，一部分是IPSec协议本身，定义IP包封装格式以及各种安全
> 技术的实现方法；另外一部分是IKE（密钥交换协议，Internet Key Exchange），完成
> 通信双方密钥的自动协商。
> IPSec定义了两个新的数据包头增加到IP包，这些数据包头用于保证IP数据包的安全
> 性。这两个数据包头是AH(Authentication Header)和ESP(Encapsulating Security
> Payload)。AH插到标准IP包头后面，它保证数据包的完整性和真实性，防止黑客截断数
> 据包或向网络中插入伪造的数据包。考虑到计算效率，AH没有采用数字签名，而是采用
> 了安全哈希算法来对数据包进行保护。ESP将需要保护的用户数据进行加密后再封装到
> IP包中，ESP可以保证数据的完整性、真实性和私有性。ESP头在IP包中的位置如下：
> | IP头 | AH头 | ESP头 | 加密用户数据 |
> AH和ESP可以单独使用,也可以同时使用。
> IKE中引入了安全合约(Security Association)的概念。一个安全合约表示两个或多个
> 通信实体之间经过了身份认证，且这些通信实体都能支持相同的加密算法，成功地交换
> 了会话密钥，可以开始利用IPSec进行安全通信。IPSec协议本身没有提供在通信实体间
> 建立安全合约的方法，因此IETF制定了IPSec的补充协议IKE来建立安全合约。IKE定义
> 了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。具体实现
> 时IKE可以采用共享密钥或数字签名的方式进行身份认证，并采用公开密钥算法中的
> Diffie Hellman协议交换密钥。
> IPSec和IKE规定了一套完整的身份认证和加密体系，用于保证IP数据包的安全性。由于
> IP网络的安全性问题是由TCP/IP协议的安全性引起的，因此改造IP协议本身应该是比较
> 彻底的解决方法。IPSec协议是近几年研究得比较多的安全协议，各种标准和建议不断
> 推出，目前IETF基本上已完成IPSec主要协议的标准化，当然不断的还会有一些扩展和
> 补充。基于IPSec的VPN能够提供最大限度的灵活性，并提供强大的安全性和管理特征，
> 是目前建设基于IP网络的VPN的最好方式。

很详细，谢谢 SNkola, 我花点时间看看。
另：哪里有相关的书呢？
我想到一个问题：美国的军方网站是怎么建的？他们好象也连在 Internet 上，因为有黑客
能冲进他们的网络，这个网是 VPN 么？安全性如何呢？

(1)连接是采用安全连接.
(2)对ip包的数据采用某种形式的加密方式.
(3)看到街头的ATM提款机没?
参考一下他的方式.

虚拟专用网（VPN）

VPN是通过因特网上将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的办法。它最大的优点在于异地子网间的通信就象在一个子网内一样安全，虚拟专用网络由此而得名。

VPN的三个基本要素
1. IP封装

　　VPN系统的第一个基本要素是使用IP封装。若一个IP包包含其他IP包时，就称为IP封装。IP封装可以使两个实际上分离的网络计算机看上去像比邻的——相互之间只是由一个路由器分开，但是它们是通过许多网络路由器和网关分开的，这些路由器和网关也可能不用同一个地址空间。

　　例如，若有两个使用PPTP（Point-to-Point Tunneling Protocol）的RAS（Remote Access Service）服务器连接的IP网络，一个局域网的网络地址是10.1.1，另一个是10.1.2。每个网络上的RAS服务器都提供到Internet的连接。一个RAS服务器有一个局域网的IP地址10.1.1.1和一个ISP分配的因特网地址250.121.13.12，而另一个RAS服务器的局域网地址是10.1.2.1，ISP分配的因特网地址是110.121.112.34。这时若10.1.1网络中的一个计算机，假设为10.1.1.23，需向10.1.2网络中的一个计算机，假设为10.1.2.99，发送一个IP包。其通信过程为：

　　1) 发送方的计算机首先注意到，目标地址10.1.2.99的网络部分与它自己的网络地址不匹配。

　　2) 发送方不将包直接发送给目标地址，而是将包发送给自己子网缺省的网关地址10.1.1.1。

　　3) 这个10.1.1网络上的RAS服务器读这个包。

　　4) 网络10.1.1上的RAS服务器判断出这个包应被放到10.1.2网络的子网上。

　　5) RAS服务器加密这个包，并用另一个包将它封装起来。

　　6)路由器从它的网络接口上发送这个封装的包（这个接口连接到因特网上，假设地址为24.121.13.12）到10.1.2网络子网的RAS服务器的因特网地址110.121.112.34上。

　　7)10.1.2网络子网的RAS服务器从它的因特网接口读这个封装和加密的包。

　　8)10.1.2网络子网的RAS服务器解密这个封装的IP包，验证它是一个有效的IP包，也就是它没有被改动过并且来自可靠的地方。

　　9)10.1.2网络子网的RAS服务器从它的适配器上将这个包发送到网络子网的目标地址10.1.2.99。

　　10)目标计算机读这个包。

　　这就是一个简单的VPN的IP封装过程。

2. 加密的身份认证

　　密码身份认证用来安全有效地验证远程用户的身份，这样系统就可以判断出适合这个用户的安全级别。如VPN可使用密码身份认证来决定用户是否可以参与到加密通道中。

3. 数据有效负载加密

　　数据有效负载加密用来加密被封装的数据。

国内外的VPN产品

　　VPN是一项新兴技术。它比专用广域网便宜，但比局域网慢，也不如单独的局域网或广域网安全。目前国内外许多大的网络安全产品公司都推出了自己的VPN产品，这些VPN产品大部分都和自己的防火墙产品结合到一起,但也有一些公司的VPN产品是单独的。国内的产品有天融信公司SJW11网络密码机（VPN）产品，东大阿尔派公司即将推出的NetEye VPN等。　
用Windows NT4.0 和 98 也可以构建VPN.

谢谢 LuckStar，你讲的很详细。
我还有问题：
1、如果我实现远程拨入时，不使用 Internet，即不是VPN，这样的网络安全性如何？
2、如果使用 VPN，目前的商业产品加密水平如何？

NDIS + IPSec应该能满足你的需求。
或者直接装MODEM加密机，最省事。