网络加密技术的研究(论文)

中南林业科技大学涉外学院 计算机网络安全与应用技术论文 课程题目：计算机网络加密技术 专业班级：2012 级计算机科学与技术一班 姓名：王广明 学号：20127286 指导老师：黄成 完成时间：2015 年 6 月 2 号 1 目录目录 第一章引言.1 第二章加密技术.1 1.加密原理.1 2.加密方法.2 2.1对称密钥加密.2 2.2非对称密钥加密.3 2.3对称密钥和非对称密钥的结合.3 2.4数字签名.4 3.密钥的管理机制.5 第三章网络中的数据加密.5 1.链路加密.5 2.节点加密.5 3.端到端加密.6 第四章网络加密技术的应用.6 1.电子邮件应用.6 2.电子商务应用.6 3.软件保护应用.7 4.VPN 虚拟专用网应用.7 第五章结束语.7 参考文献.9 2 网络加密技术的研究网络加密技术的研究 【摘 要】信息是推动社会向前发展的重要资源。随着计算机网络技术的不断发展， InternetInternet 技术的日趋成熟，由此而来的互联网信息交换技术给人们的工作、学习和生活等 带来了便捷和好处，但是同时网络中的安全问题也日趋严重，病毒、木马程序、远程监听， 远程攻击等无时无刻都在困扰着人们，特别是一些商业，科研，国防机构，常常要在互联 网上传输一些机密资料。 计算机网络的开放性与共享性，系统的复杂性，边界不确定性，以及路径不确定性都 导致了网络安全性问题的发生，使得网络很容易受到外界的攻击和破坏同样也使数据信息 的保密性受到了严重影响。因此，网络中的信息安全技术和加密技术就显得尤为重要。 【关键词】网络安全加密技术数字签名密钥管理加密技术应用 第一章引言 如果要问人类在刚刚过去的 20 世纪中最伟大的发明是什么，那就要属计算机和网络了。1946 年诞 生于美国的 ENIAC 还只是一个笨重、高耗能、低效率的半机械产物，而仅仅半个多世纪后的今天，计算 机在经历了 3 个发展时期后，体积、耗能以及性能都有了巨大的飞跃。和计算机的发展一样，上世纪 60 年代用于美国军方通信的网络逐渐发展成为今天这个广泛应用于各个领域的计算机互联网。它是在 计算机之间以特定介质互相连接，按照特定网络协议进行数据交换的一个资源共享的组织形式。 随着网络技术的不断发展， 全球信息资源共享已成为人类发展的趋势。 计算机已经被广泛应用到人 们的社会生活和生产中的各个领域， 网络已成为极其重要的通信手段， 但由于现在的计算机网络很庞大, 它具有多样的连接形式、不均匀的终端分布和网络的开放性、互联性等特征，导致网络中传输的数据很 容易受到监听和攻击，因此造成的损失也是巨大的，所以网络信息的安全问题是一个至关重要的问题。 特别是对于诸如银行、 通迅和国防等等传输机密数据的网络而言， 其网络中数据的安全性就更加重要了。 由此可见， 网络至少要有足够的安全措施来保障数据的安全传输， 否则将严重的制约网络的应用和发展， 甚至会危害国家利益、 危及国家安全。 网络的安全问题是网络加密技术产生的直接原因和发展的指导方 向。 国际标准化组织（ISO）将“计算机安全”定义为： “为数据处理系统建立和采取的技术和管理的安 全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。这包含了物理 安全和逻辑安全两方面。物理安全不难理解，而逻辑安全就可以理解为我们常常提到的数据信息安全， 它指的是保护信息的完整可用以及数据的加密特性。 从这样， 我们就可以很容易的引伸出网络安全性的 含义：那就是保护在网络中传输的数据的完整可用以及加密特性。 信息是推动社会向前发展的重要资源。随着网络技术的不断发展，Internet 规模逐渐扩大和成熟， 其涉及到几乎所有的领域， 由此给人们的工作、 学习和生活等便捷的同时， 网络的安全问题也日趋严重， 病毒、木马、黑客等各种各样的攻击也无时无刻地困扰着我们，尤其是对那些商业，科研，国防等在网 3 络上传输敏感数据的机构，网络信息安全的解决更加迫在眉睫。 中国公安部公共信息网络安全监察局所做的 2007 年度全国信息网络安全状况暨计算机病毒疫情调 查显示(2006 年 5 月至 2007 年 5 月)，中国信息网络安全事件发生比例连续 3 年呈上升趋势，65.7%的 被调查单位发生过信息网络安全事件，比 2006 年上升 15 个百分点；其中发生过 3 次以上的占 33%，较 2006 年上升 11.7%。在网络安全事件中，感染计算机病毒、蠕虫和木马程序仍然是最突出的网络安全情 况，占安全事件总数的 58%， “遭到端口扫描或网络攻击”(25%)次之。信息网络安全事件的主要类型是： 感染计算机病毒、蠕虫和木马程序，垃圾电子邮件，遭到网络扫描、攻击和网页篡改。 9 病毒攻击、 黑客攻击的泛滥猖獗使处在网络时代的人们感觉无所适从。 也许已经有了一定的技术手 段可以改善网络安全的状况，然而，这一切的安全问题是不可能全部找到解决方案，况且有的是根本无 法找到彻底的解决方案， 如病毒木马程序， 因为任何反病毒程序都只能在新病毒被发现之后才能捕获它 们， 然后通过解剖病毒了解病毒的特征并更新到病毒特征库， 才能被反病毒软件检测到并杀除或者隔离。 迄今为止还没有一家反病毒软件开发商敢承诺他们的软件能查杀所有已知的和未知的病毒， 这说明， 网 络永远不可能得到绝对的安全。所以我们不能期待网络绝对安全了再展开网络的应用，只要网络存在， 病毒、木马以及黑客也会存在，就像是寄生在网络上的寄生虫一样。 加密技术就是在网络安全的迫切需要下应运而生的， 它为人们在网络上进行的数据交换行为提供了 一定的安全保障，如在网络中进行文件传输、电子邮件往来和进行合同文本的签署等。 本文就网络加密技术的方方面面做一个详细的介绍。 第二章 加密技术 1.加密原理 今天，在网络上进行数据交换的数据主要面临着以下的四种威胁： （1） 截获从网络上监听他人进行交换的信息的内容。 （2） 中断有意中断他人在网络上传输的信息。 （3） 篡改故意篡改网络上传送的信息。 （4） 伪造伪造信息后在网络上传送。 其中截获信息的攻击称为被动攻击，而中断、更改和伪造信息的攻击都称为主动攻击。但是无论是 主动还是被动攻击，都是在信息传输的两个端点之间进行的，即源站和目的站之间。如图 2-1。 图 2-1 网络通信数据威胁的分类 加密的基本概念： 数据加密的基本过程就是对原来为明文的文件或数据按某种特定算法进行特定的 处理，使明文变成一段没有任何意义的代码，通常称为“密文” ，而解密就是通过特定算法使这段无意 义密文在经过特定的算法还原出有意义的原文的过程， 通过这样加密和解密的途径就可以达到保护数据 不被非法窃取阅读和修改的目的。其实加密就是一组含有参数k的变换E。如，设己知原始信X（也 称明文，plain text） ，通过变换 K E得密文Y（cipher text）即 XEY K 。它要求计算 XEK不 困难，而且若第三者（指非法者）不掌握密钥k，则即使截获了密文Y，他也无法从Y恢复信息X， 也就是从Y求X极其困难。 从密文Y恢复明文X的过程称为解密。 解密算法 D 是加密算法 E 的逆运算， 4 解密算法也是含有参数k的变换。一般数据加密、解密模型如图 2 所示。 E 加密算法 D 解密算 加密密钥 K解密密钥 K 明文 X 明文 X 密文 Y = EK(X) 截取者 截获篡改 密钥源 安全信道 图 2-2 一般数据加密、解密模型 发送方用加密密钥，通过加密算法 E，将明文X加密后发送出去。接收方在收到密文Y后，用解 密密钥通过解密算法 D 将密文Y解密，恢复为明文X。如果传输中有人窃取，其只能得到无法理解的 密文Y，从而对信息起到保密作用。 加密过程包括两个元素：算法和密钥。一个加密算法是将普通明文信息（文件或者数据等）与一窜 数字或者数字字母的组合（密钥）进行结合，产生不可理解的无意义的密文的步骤。算法以及密钥对加 密过程来说是同等重要的，密钥是用来对数据进行编码和解码的一种特殊算法。在安全保密中，可通过 适当的密钥加密技术和管理机制，来保证网络的信息通讯安全 1。 2.加密方法 按密钥的加密方式来划分， 目前广泛使用的加密技术主要有对称式密钥加密技术和非对称式密钥加 密技术两种加密技术。 2.1 对称密钥加密 2 对称密钥加密的发送和接受的双方都使用相同的密钥，并且密钥是保密的，不向外公开，通常称之 为“Session Key” 。这种加密技术的共同特点在于加密和解密密钥相同，发送方用密钥对数据（明文） 进行加密，接收方收到数据后，用同一个密钥进行解密，这类加密技术实现容易，加解密速度快。当然， 这种加密方式必须在数据发送接收之前保证收发双方拥有相同的密钥， 这就需要通过绝对安全的方式来 传送密钥（一般称之为安全信道） 。由于容易实现和效率高，这种加密技术被广泛使用，最有名的如美 国政府所使用的 DES（DatEncryption Standard）加密技术和 AES（Advanced Encryption Standard） 加密技术。DES 又叫数据加密标准，属于常规密钥密码体系，是一种典型的“对称式”加密法。这种加 密技术由 IBM 开发，在 1977 年被美国定为联邦信息的一个标准。ISO 曾将 DES 作为数据加密标准。DES 是一种分组对称加解密算法，在加密前，先对整个明文进行分组。每一个组长为 64 bit。然后对每一 个 64 bit 二进制数据进行加密处理，产生一组 64 bit 密文数据。最后将各组密文串接起来，即得出 整个的密文。使用的密钥为 64 bit（实际密钥长度为 56 bit，有 8 bit 用于奇偶校验） 。 DES 加密保密性仅取决于对密钥的保密，而算法是公开的。目前攻击 DES 的最有效的办法是密钥穷 举攻击， 凭着强大的互联网分布式计算能力， 人们已经可以轻而易举地通过枚举算法暴力攻破 DES。 1997 年有人编写了密钥枚举性质的攻击程序， 枚举了所有可能的 DES 密钥， 利用互联网分布式计算能力仅花 了 96 天就成功找出密钥，解出 DES 的明文。1999 年，有一批人在互联网上进行合作，他们凭借一套不 到 25 万美元的专用计算机，只花了 22 小时就破译了 DES 密钥。DES 被破解使人们认识到随着计算能力 的增长，DES 数据加密标准算法由于密钥长度较小（56 位） ，已经不适应当今分布式开放网络对数据加 5 密安全性的要求，因此必须相应增加算法的密钥长度。于是 AES（The Advanced Encryption Standard） 高级加密标准算法被提出，具有安全性、高性能、高效率、易用和灵活等优点。AES 采用对称分组密码 体制，设计有三个密钥长度：128，192，256 位，相对而言，AES 的 128 密钥比 DES 的 56 密钥强 1021 倍。AES 是美国高级加密标准算法，将在未来几十年里代替密钥长度较小 DES 在各个领域中得到广泛应 用 8。 2.2 非对称密钥加密 1976 年，美国学者 Diffe 和 Hellman 为解决常规密钥密码体制的密钥分配问题及对数字签名的需 求，提出一种密钥交换全新的协议，它允许数据在不安全的传输环境中进行通信，并安全的使用一致的 加密密钥，即“公开密钥系统” 。公开密钥密码体制使用不同的加密和解密密钥，是一种“由已知加密 密钥推导出解密密钥在计算上是不可行的”密码体制。 相对于“对称加密算法”这种方法也叫做“非 对称加密算法” 2。 和对称加密算法有所不同的是，非对称加密算法需要两个密钥：即私有密钥（PrivateKey）和公开 密钥（PublicKey） 。私有密钥和公开密钥是对应的一对：用公开密钥进行加密的数据，只能通过相对应 的私有密钥才能解密；同理，用私有密进行加密的数据，只能用相对应的公开密钥才能解密。只是由于 加密和解密分别使用不同的两个密钥，所以这种算法也被叫作非对称加密算法。 非对称加密算法的基本原理是，发送方（加密者）必须首先知道接收方（解密者）的公开密钥，然 后利用接收方（解密者）的公开密钥加密明文；接收方（解密者）收到加密密文后，使用自己的私有密 钥解密密文。显然，采用非对称加密算法，发送接收双方在通信之前，接收方必须将随机生成的公钥发 送给发送方进行加密，而自己保留私钥。 非对称的加密算法含有两个密钥， 特别适用于分布式系统中的数据加密， 其中 RSA 算法为当今世界 上应用最为广泛的非对称加密算法。RSA 公开密钥密码体制的原理是：根据数论，寻求两个大素数比较 简单，而将它们的乘积分解开则极其困难 2。在这个体系中每个用户有两个密钥：加密密钥 PK e， n 和解密密钥 SK d，n。加密密钥是公开的，使得系统中任何用户都可无限制使用，而对解密密 钥中的 d 则保密， 只有使用者自己知道。 这里， N 为两个大素数 p 和 q 之积 （素数 p 和 q 一般为 100 位以上的十进数，对于当前的计算机水平，一般认为只要选择 300 位左右的十进制数，就可以认为是不 可攻解的） 。当密文被劫持，第三方截获者已知 e 和 n 时并不能求出 d 1。 2.3 对称密钥和非对称密钥的结合 RSA 算法的密钥足够长才具有较好的安全性，使加密的计算量很大，加密速度较慢限制了其应用范 围。为减少计算量，在传送信息时，常采用传统加密方法与公开密钥加密方法相结合的方式，即数据采 用改进后的 DES 对话密钥加密，再使用 RSA 密钥加密对话密钥和数据的摘要内容。接收方收到数据后， 用不同的密钥解密并可核对数据摘要。采用 DES 与 RSA 相结合的应用，使它们的优缺点正好互补：DES 加密速度快，适合加密较长的报文，可用其加密明文；RSA 加密速度慢，安全性好，应用于 DES 密钥的 加密， 可解决 DES 密钥分配的问题。 采用了 RSA 和 DES 结合的加密方式的例子就是美国的保密增强邮件， 它已成为电子邮件保密通信的标准。 2.4 数字签名 书信或者文件是根据亲笔签名或盖章来证明其真实性。 在计算机网络中传送的文件以及电子邮件通 过数字签名来模拟现实中的签名的效果。数字签名必须保证以下三点： （1） 接收者能够核实发送者对报文的签名； （2） 发送者事后不能抵赖对报文的签名； （3） 接收者不能伪造对报文的签名。 现在已有多种实现各种数字签名的方法。但采用公开密钥算法要比采用常规密钥算法更容易实现。 下面就来介绍这种数字签名技术，如图 2-3。 6 图 2-3 数字签名 发送者 A 用其秘密解密密钥 SKA 对报文 X 进行运算，将结果 XDSKA传送给接收者 B。 B 用已知 的 A 的公开加密密钥得出 XXDE SKAPKA 。因为除 A 外没有别人能具有 A 的解密密钥 SKA，所 以除 A 外没有别人能产生密文 XDSKA。这样，B 相信报文 X 是 A 签名发送的。 若 A 要抵赖曾发送报文给 B， B 可将 X 及 XDSKA出示给第三者。 第三者很容易用 PKA 去证实 A 确实发送 X 给 B。反之，若 B 将 X 伪造成 X ，则 B 不能在第三者前出示XDSKA。这样就证明 了 B 伪造了报文。 上述过程只是对报文 X 进行了签名，报文 X 本身却没有保密。只要截获密文 XDSKA并知道发送 者，就可以查阅手册获得发送者的公开密钥 PKA，就可以破解电文内容了。使用图 3-4 中图示方法就可 以同时实现秘密通道和数字签名。其中 SKA，SKB 和 PKB，PKB 分别是 A，B 的秘密密钥和公开密钥。 图 3-4 秘密通道和数字签名的实现 3密钥的管理机制 再好的算法和密钥，如管理不善，也可能造成数据被窃取和伪造。要使加密后的明文内容不被非法 者阅读，密钥的管理和保护也显得极为重要，因为对于数据破解上，在从密钥管理的途径窃取机密密钥 要比用破译的方法要花费的代价要小得多。密钥管理不好，再机密的密钥同样可能被无意识地泄露，这 样加密的数据就机会等同于明文。任何保密都只是相对的和有时效的 4。要管理好密钥我们要注意以下 几个方面： （1）密钥的使用要注意时效和次数。如果用户可多次地使用相同密钥加解密数据，那么这样的密 钥安全性是很低的，虽然用户的私有密钥不对公开的，但不能保证私有密钥的长期保密性，也不能保证 这种长期私有密钥不会被有意无意地泄露或者窃取。 如果第三方有意无意地知道了用户的密钥， 则此密 钥加密信息失去保密性。所以，经常性的更换密钥是很有必要的。 （2）多密钥的管理。通常的方法是设立一个相对安全的、可被信任的密钥分配中心（KDC）来管理 密钥，这样用户只需和 KDC 联系的一个密钥即可。例如人们将自己各种各样的密码，不便于记忆，还容 易混淆， 我们可以把它们都保存在一个加密的数据库中， 如果只要记住数据库的密码就可以管理所有的 密码了。 7 第三章 网络中的数据加密技术 一般的数据加密技术可以从网络通信中的三个层次来体现：链路加密、节点加密和端到端加密。 1. 链路加密 链路加密为网上传输数据的两个网络节点间提供安全保证的链路。链路加密（又称为“在线加密” ） 的所有数据在被传输之前就进行了加密， 然后接收端节点对接收到的数据进行解密， 再使用下一个链路 的密钥对数据进行加密，最好把数据传输出去，这样不断重复进行。在到达数据终点（目的地）前，数 据可能要经过许多链路的传输。因为在每个链路节点上数据均被解密并重新加密，因此，包括路由信息 在内的所有数据都是以密文的形式出现。这样，链路加密就掩盖了被传输数据的源点与终点。 填充技术就是让填充字符在不需要传输数据的情况下就进行加密， 这使得真实数据本身的一些特性 被掩盖了起来，这样可以有效的防止解惑者对其进行分析。在一个网络节点，链路加密仅在传输链路上 提供安全性，数据则以明文形式出现，所以所有节点在物理上必须是安全的，否则就会产生明文数据泄 露的危险。可是要保证每一个节点的物理安全性是需要较高代价的。传统加密算法中，用于解密数据的 密钥与用于加密数据的密钥可以是相同的，所以这个密钥必须被有效地保存起来，并保证其安全性，还 必须按一定规则进行不断变化。这样，每个节点就必须存储与其相连接的所有链路的加密密钥，这就需 要对密钥进行物理传送或者建立专用网络设施。由于网络节点地理分布广阔性使得这一过程变得很复 杂，同时增加了密钥连续分配的费用 。 2. 节点加密 节点加密不但能提供较高的网络数据安全性， 而且在加密的操作方式上也同链路加密类似： 两者均 在链路上为数据提供安全服务，均在链路的节点上先对数据进行解密，然后再加密，且这个过程对于用 户来说是透明的。然而与链路加密不同的是：链路加密中，数据在节点处是以明文的形式出现，而节点 加密不允许数据在网络节点上以明文形式存在， 它先将数据进行解密， 然后采用另一个不同的密钥进行 加密， 这一过程是在节点上的一个安全模块中进行。 节点加密要求报头和路由信息始终以明文形式传输， 以便中间节点能得到如何处理消息的信息。因此这种方法易被攻击 。 3. 端到端加密 端对端的加密方式对应于 OSI 参考模型中的传输层和网络层。 其提出从源端到对端传送的数据必须 一直保持在密文状态， 其传输过程中任何路由的错误将不影响数据的安全性和完整性。 采用端到端加密 技术的数据在被传输到达接受终点之前不进行解密， 因为数据在整个传输过程中都受到加密保护， 所以 即使在所有传输路由中的所有节点中有任何一个节点被破坏也不会使数据产生威胁。 在端对端加密方式 中，只加密数据本身信息，不加密路径控制信息。每个节点都要用这个地址控制信息来确定如何传递数 据，由于这种加密方法不能掩盖被传递数据的源点与终点，因此它容易收到攻击。 加密通过软件编程的方式实现，但通过这种方式的加密，密钥管理机制较复杂，适用于大型的网络 系统。端到端加密系统投资成本相对较低，并且与链路加密和节点加密相比更可靠，更容易设计、实现 和维护，更加适用于小型网络和个人用户 。 第四章 网络加密技术的应用 1. 电子邮件加密技术 人类社会进入 21 世纪，电子邮件（即 E-mail）因为其环保、方便、快捷和相对安全的特点取代了 传统纸质信件和贺卡而得到了前所未有的发展， 如今已成为互联网上的最重要的应用之一， 电子邮件已 经被广泛的应用于人们的工作生活中。 然而，虽然电子邮件的安全性相对于纸质信件有所提高，但由于黑客技术的不断发展和完善，以及 计算机性能的不断提高，电子邮件仍然存在着泄密的安全隐患，且日趋严重。电子邮件在互联网中的传 递路由是不确定的，其中可能存在着多条路径，在每条路由上，都可能存在这多个类似于“击鼓传花” 8 一样的网络节点，在每个节点上都很容易截获电子邮件的拷贝，也就是说，电子邮件在投递的过程中， 对收发双方以外的人来说都是可见的。 另外， 虽然电子邮件的投递精度已经较传统的邮件有了相当的提 高，然而人为误操作和网络因素而造成了投递错误也是时有发生的，而电子邮件的投递错误，可能致使 多数人看见这封电子邮件， 这对于重要的信件是不能容忍的， 其后果比传统邮件勿投递是有过之而无不 及。 所以对电子邮件加密更是一个不能省略的重要环节， 对电子邮件进行数字签名就是其中之一。 而数 字签名是数字标识的一个重要组成部分。 数字标识：Digital ID，指的是数字身份证，它是由独立的授权机构发放的可以证明发件人互联网 身份的身份证。数字标识包含三个组成部分：公用密钥，私人密钥和数字签名。通过对电子邮件进行数 字签名，实际上就是把数字标识发给收件方，这样对方收到的就是公用密钥，对方可以用这个公用密钥 对电子邮件进行加密，然后回复邮件。 对电子邮件进行加密， 可以防止邮件在传递过程中被第三方截获， 因为加密过的电子邮件如果没有 私人密钥对其进行解密，那么截获方看到的只能是一堆数字、英文和符号组成的乱码。 2. 电子商务中的应用 电子商务（E-business） ，顾名思义就是可以在互联网上进行各种各样的商务活动，那么如何保证 在这个商务活动过程中，自己的交易信息（如信用卡密码，帐户名等）不被泄漏呢？RSA 的加密技术就 可以提高了电子商务的安全性，使其走向实用成为可能。 SSL（Secure socket layer，安全的插座层） ，这是一种基于 RSA 原理的互联网加密技术协议。 它最初由 Netscape 公司开发和发展，现已成为网络用来鉴别网站和网页浏览者身份，以及在浏览器使 用者及网页服务器之间进行加密通讯的全球化标准 2。由于 SSL 技术已建立到所有主要的浏览器和 WEB 服务器程序中，因此，仅需安装数字证书，或服务器证书就可以激活服务器功能。SSL3.0 用一种电子 证书（electric certificate）来实行身份验证的一种最新的 SSL 加密技术，用 SSL3.0 验证过后的双 方就可以用保密密钥进行安全的会话 6。在客户与电子商务的服务器进行沟通的过程中，同时使用“对 称”和“非对称”的加密方法。基 SSL3.0 提供的安全保障，用户就可以自由订购商品并且给出信用卡 号，也可以在网上和合作伙伴交流商业信息。如著名的阿里巴巴淘宝网，大多数网上银行，以及部分证 券行情交易软件都在广泛的使用 SSL 协议来保证网络间通信的安全性。 3. 软件保护中的应用 在软件开发中， 如何采取廉价有效的措施来保护软件具有重要的意义和版权， 是几乎所有程序员必 须考虑的一个重要问题。 算法加密是一种应用广泛的软件保护技术。 当用户从网上下载某个共享软件后， 一般都有使用时间的限制， 当过了共享软件的试用期后， 必须到这个软件的公司去注册后方能继续使用。 用户在注册后得到一个序列码， 按照注册需要的步骤在软件中输入注册信息和注册码， 其注册信息的合 法性由软件的加密算法验证通过后， 软件就会取消掉本身的各种限制。 非对称加密技术软件注册机制可 应用于软件注册保护，可以有效防止破解者编写注册机7。 4. 在 VPN 上的应用 进入 21 世纪的今天，市场经济的国际化使一个公司可能在多个国家地区都有办事机构、或销售中 心或者是分公司，每一个机构都有自己的局域网络 LAN（Local Area Network） ，但在逻辑办公需求上又 希望将这些 LAN 中的计算机等设备连结在一起组成这个公司的广域网。实际上，现在很多公司都已经 这样做了，但出于资金投入和技术支持，以及日常维护的考虑，一般都租用网络运营商专用线路来连接 这些局域网，考虑的就是网络的安全问题，因为在公用的网络线路上组建公司的大型广域网，就相当于 把公司各局域网之间的数据交换暴露在整个互联网上， 对数据的威胁是致命的。 现在具有加密和解密功 能的路由器已经被广泛应用，这就使人们通过互