GRE和IPSEC兩種協(xié)議是3G路由器中常用的VPN封裝協(xié)議。GRE VPN，Generic Routing Encapsulation，為某些網(wǎng)絡(luò)層協(xié)議（如IP和IPX）封裝數(shù)據(jù)報(bào)，使這些封裝后的數(shù)據(jù)報(bào)可以在另一個(gè)網(wǎng)絡(luò)層協(xié)議（如IP）中傳輸。

GRE是VPN（Virtual Private Network）的第2層隧道協(xié)議，它在協(xié)議層之間使用了一種稱(chēng)為隧道的技術(shù)。但是GRE并不是一個(gè)完整的VPN協(xié)議，因?yàn)樗荒芡瓿蓴?shù)據(jù)加密、身份認(rèn)證、數(shù)據(jù)報(bào)完整性校驗(yàn)等。在3G路由器使用GRE的常見(jiàn)情況下，往往與IPSEC結(jié)合使用來(lái)彌補(bǔ)其安全缺陷。

工業(yè)路由器中的 IPSEC 安全協(xié)議

 (1) AH(Authentication Header)協(xié)議

它用于在提供防重放服務(wù)的同時(shí)為 IP 通信提供數(shù)據(jù)完整性和身份驗(yàn)證。

IPv6采用AH協(xié)議后，由于在主機(jī)上設(shè)置了基于算法獨(dú)立交換的密鑰，可以有效防止非法潛行現(xiàn)象。密鑰由客戶(hù)端和服務(wù)提供商共同設(shè)置。IPv6 認(rèn)證在傳輸每個(gè)數(shù)據(jù)包時(shí)根據(jù)這個(gè)密鑰和數(shù)據(jù)包生成一個(gè)檢查項(xiàng)。在數(shù)據(jù)接收端重新運(yùn)行校驗(yàn)項(xiàng)并進(jìn)行比較，以保證數(shù)據(jù)包來(lái)源的確認(rèn)，數(shù)據(jù)包沒(méi)有被非法修改。

(2) ESP(Encapsulated Security Payload)協(xié)議

它提供 IP 層加密保證和數(shù)據(jù)源驗(yàn)證以處理網(wǎng)絡(luò)監(jiān)控。AH雖然可以保護(hù)通訊不被篡改，但它不會(huì)對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)換，數(shù)據(jù)對(duì)黑客來(lái)說(shuō)仍然是一目了然的。為了有效保證數(shù)據(jù)傳輸?shù)陌踩裕琁Pv6中還有另外一個(gè)頭部ESP，進(jìn)一步提供了數(shù)據(jù)保密性和防止篡改。

(3) 安全協(xié)議

SA（Security Association）記錄了每個(gè)IP安全路徑的策略和策略參數(shù)。安全關(guān)聯(lián)是 IPSEC 的基礎(chǔ)。它是兩個(gè)通信方之間建立的協(xié)議，用于確定用于保護(hù)數(shù)據(jù)包的協(xié)議、轉(zhuǎn)碼方法、密鑰和密鑰有效期。AH 和 ESP 都使用安全關(guān)聯(lián)。IKE 的主要功能之一是建立和維護(hù)安全聯(lián)盟。

(4) 密鑰管理協(xié)議

密鑰管理協(xié)議 ISAKMP，提供共享的安全信息。Internet 密鑰管理協(xié)議是在應(yīng)用層定義的。IETF 規(guī)定了互聯(lián)網(wǎng)安全協(xié)議和 ISAKMP（互聯(lián)網(wǎng)安全協(xié)會(huì)和密鑰管理協(xié)議）來(lái)實(shí)現(xiàn) IPSEC 密鑰管理、密鑰管理、身份認(rèn)證的 SA 設(shè)置和密鑰交換技術(shù)。