技术保密协议十篇

技术保密协议篇1

一、甲乙双方作为相关工作的承担或参与单位，其工作任务依据相关工作的有关任务书确定，本协议仅涉及承担或参与该相关工作过程中及以后的保密责任。

二、本协议涉及保密的技术信息和技术资料包括：

1．相关工作任务书中涉及的技术信息和技术资料，以及有关会议文件，纪要和决定；

2．相关工作承担者之间往来的传真，信函，电子邮件等；

3．相关工作实施过程中产生的新的技术信息和技术资料；

4．相关工作实施过程中各有关当事人拥有的知识产权，已经公开的知识产权信息除外；

5．经甲乙双方在该相关工作实施过程中确认的需要保密的其他信息。

三、甲方责任

1．甲方应根据相关工作任务书的规定，向乙方提供必要的技术信息和技术资料；

2．甲方在以书面形式（包括：邮件、传真、磁盘、光盘等）向乙方提供技术信息时，可以进行登记或备案；

3．甲方对乙方提供的注明保密的技术信息和资料负有保密责任，未经乙方同意不得提供给与本相关工作无关的任何第三方；

4．对不再需要保密或者已经公开的技术信息和技术资料，甲方应及时通知乙方。

四、乙方责任

1．乙方应仅将工作组批漏的保密信息用于工作组范围内的_________制订工作。

2．乙方对从甲方或者甲方以外的其他渠道获得的涉及相关工作的技术信息和技术资料负有保密责任，未经甲方同意不得提供给任何第三方，包括乙方的分支机构，子公司或委托顾问方，接受咨询方；

3．乙方为承担本协议约定的保密责任，应妥善保管有关的文件和资料，未经工作组事先的书面许可，不对其复制，仿造等；

4．乙方应对有关人员进行有效管理，以确保本协议的履行。如乙方在职或曾在职人员在保密期内；

5．在本协议约定的保密期限内，乙方如发

现有关保密信息被泄露，应及时通知甲方，并采取积极的措施避免损失的扩大。

五、本协议中涉及的有关保密信息，其中已经拥有知识产权的归原所有人所有；相关工作实施中产生的知识产权，其知识产权的归属依相关工作任务书的约定。

六、甲方为实施相关工作的需要，除乙方特别声明不能提供给他人的以外，可以将乙方提供的有关信息向本相关工作的有关方面（包括：承担相关工作的其他成员、聘请的专家、政府主管部门）提供，此行为不视为甲方违约。

乙方在实施相关工作过程中，需要向本相关工作的有关方面（包括：承担相关工作的其他成员、聘请的专家、政府主管部门）提供保密信息时，必须取得甲方的书面许可，或者由甲方负责提供。

七、违反本协议的约定，由违约方承担相应责任，并赔偿由此产生的一切损失。

八、本协议要求双方承担保密义务的期限为，自本协议签字之日或者自双方中的一方取得有关文件，资料之日起，以时间在前的为准，至本相关工作全部完成之日止。如在本相关工作实施过程中，乙方提前退出本项目，双方应在终止本相关工作后的_________年内继续履行有关保密责任。

九、双方在履行协议中产生的纠纷，应通过友好协商解决。如协商不成，双方约定的纠纷裁决地点为工作组所在地，机构为______人民法院。

十、本协议一式三份，甲方持有两份，乙方持有一份。

甲方（盖章）：_____________

代表人（签字）：___________

_________年________月____日

签订地点：_________________

乙方（盖章）：_____________

成员（签字）：_____________

技术保密协议篇2

编 号：

本协议书由以下双方于___年___月___日签署并生效。

1.___________(以下简称“甲方”)

经营地址为：

邮政编码：

2. ___________(以下简称“乙方”)

经营地址为：

邮政编码：

鉴于：

1. 甲方与乙方进行技术及业务合作事宜，双方将以书面或口头形式要求对方提供，并将拥有或已经拥有对方某些非公开的、保密的、专业的信息和数据;

2. 双方愿以本协议规定对本协议项下的保密信息承担保密义务。

为此，双方达成协议如下：

第一条 定义

保密信息：指提供方向接受方提供的，属于提供方或其股东及其他关联公司所有或专有的，或提供方负有保密义务的有关第三方的下列资料及所有在信息载体上明确标示“保密”的材料和信息。需保密材料包括但不限于：集成电路设计版图数据、业务记录和计划、贸易机密、技术资料、产品项目、产品设计信息、价格结构、成本等非公开的、保密的或专业的信息和数据。

第二条 保密信息不包括以下信息：

1. 在接受保密信息之时，接受方已经通过其他来源获悉的、无保密限制信息;

2. 一方通过合法行为获悉已经或即将公诸于众的信息;

3. 根据政府要求、命令和司法条例所披露的信息。

第三条 接受方在接受保密信息后，必须承担以下义务：

1. 对保密信息谨慎、妥善持有，并严格保密，没有提供方事先书面同意，不得向任何第三方披露;

2. 接受方仅可为双方合作之必需，将保密信息披露给其指定的第三方公司，并且该公司应首先以书面形式承诺保守该保密信息;

3. 接受方仅可为双方合作业务之必需，将保密信息披露给其直接或间接参与合作事项的管理人员、职员、顾问和其他雇员(统称“有关人员”)，但应保证该类有关人员对保密信息严格保密;

4. 若具有权力的法庭或其他司法、行政、立法机构要求乙方披露保密信息，接受方将(1)立即通知提供方此类要求;(2)若接受方按上述要求必须提供保密信息，接受方将配合提供方采取合法及合理的措施，要求所提供的保密信息能得到保密的待遇;

5. 若接受方或有关人员违反本协议的保密义务，接受方须承担相应责任，并赔偿提供方由此造成的损失。

第四条 没有得到另一方的书面同意，任何一方不得将其在本协议书项下的权利和义务转让给第三方。

第五条 双方同意，本协议生效后，如国家颁布有关产权资料的出口、再出口的法律法规与管理条例，双方有义务遵守这些法律法规与管理条例。

第六条 本协议的各部分构成完整的保密协议，并取代双方此前任何有关本协议所述事项的理解或协议。未经他方书面同意，本协议不得变更或修改。

第七条 双方承认并同意，除提供方以书面形式明确表达外，提供方向接受方披露保密信息并不构成提供方向接受方转让或授予接受方享有提供方对其商标、专利、技术秘密或其他知识产权拥有的利益，亦不构成向接受方转让或其他知识产权等有关利益。

第八条 本协议接受中国法律管辖并按中国法律解释。对因本协议项下各方的权利和义务而发生的有关的任何争议，双方应首先协商解决，如无法通过协商解决，则应在苏州仲裁解决。

第九条 本保密协议自双方授权代表签署之日起生效，且在双方合作期间和合作结束完成之后_____年内持续有效。

第十条 本协议一式二份，具有同等效力，双方各持一份。

甲方：________________________________

________________________(授权代表)

乙方：________________________________

技术保密协议篇3

签订时间：_________年_________月_________日

签订地点：_________

披露方(甲方)：_________

地址：_________

邮编：_________

电话：_________

传真：_________

开户行：_________

帐号：_________

email：_________

接受方(乙方)：_________

地址：_________

邮编：_________

电话：_________

传真：_________

开户行：_________

帐号：_________

email：_________

接受方理解披露方已经或即将披露有关_________的资料，这些过去、现在或后来披露给接受方的资料以下称为披露方的“产权资料”。

1.对披露方披露的产权资料，接受方在此同意：

(1)严守产权资料机密，并采取所有预防措施保护该产权资料(包括但不仅限于接受方为保护其自有机密材料所采用的措施);

(2)不泄露任何产权资料或源自于产权资料的任何资料给任何第三方;

(3)除用于内部评估其与披露方的关系之外，任何时候均不得利用该产权资料;

(4)不复制或颠倒设计该产权资料。接受方应争取其接受产权资料或能接触产权资料的雇员、、和分包商签订一份保密协议或类似的协议，此协议的实质内容应与本协议相似。

2.未准予任何权利或许可的条件下，披露方同意上述条款不适用于披露后_________年以后的任何资料，也不适用于接受方能说明其具有下述情形的任何资料：

(1)已经或正在变成(不是通过接受方或其会员、、咨询单位或雇员的不正确作为或不作为而导致变成的)普通大众可以获取的资料;

(2)能书面证明接受方从披露方收到资料之前已经拥有或熟知的资料，除非接受方非法占有该资料;

(3)由第三方合法披露给他的资料;

(4)未使用披露方的产权资料，由接受方独立开发出来的资料。只要接受方采取勤勉合理的努力来减少泄密且允许披露方寻求保护令，接受方可以应法律或法庭命令的要求披露资料。

3.任何时候，只要收到披露方的书面要求，接受方应立即归还全部产权资料和文件、或包含该产权资料的媒体及其任何或全部复印件或摘要给披露方。如果该产权资料属于不能归还的形式、或已经复制或转录到其他资料中，则应销毁或删除之。

4.接受方理解本协议。

(1)并不要求披露任何产权资料;

(2)并不需要披露方进行任何交易或发生任何关系。

5.接受方进一步承认并同意，对于提供给接受方或其顾问的产权资料的完整性准确性，披露方或者其任何一个主管、官员、雇员、或顾问现在或将来均没有进行任何明示或暗示的意思表示或保证，并且现在或将来均不承担任何责任或义务;接受方应自己负责评估该产权资料。

6.任何一方在任何时间任何期限里没有享受其本协议项下的权利并不能解释为他已经放弃了该权利。如果本协议的任何部分、条款或规定是不合法的或者是不可执行的，协议其他部分的有效性和可执行性仍不受影响。未经另一方同意，任何一方不得分配或转让其在本协议项下的全部或任何部分权利。未经双方事先书面达成一致意见，本协议不得以任何其他理由而更改。除非本协议的任何意思表示或保证具有欺诈性，本协议业已包含了双方对合约事项的全部理解，它可取代此前的所有相关意思表示、书面材料、谈判或谅解。

7.本协议受披露方所在地法律管辖(如披露方所在地不只一个国家，则为其总部所在地)(“地域”)。双方同意将由本协议引起或与本协议有关的争议提交给地域内的非排他性法庭审理。

8.有效期限：_________年_________月_________日至_________年_________月_________日。

技术保密协议篇4

第二条、技术秘密是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的非专利技术和技术信息。

保密措施是指：

（一）技术秘密权利人与知悉或者可能知悉该技术秘密的有关人员签订了技术秘密保护协议；

（二）技术秘密权利人把该技术秘密保护要求明确告知有关人员；

（三）技术秘密权利人对该技术秘密的存放、使用、转移等环节采取了合理、有效的管理办法；

（四）其他有关保密措施。

第三条、本省行政区域内单位和个人拥有的技术秘密的保护，适用本条例。

属国家技术秘密，国家有法律、法规规定的，从其规定。

有损社会公共利益、违背社会道德的技术秘密，不受本条例保护。

第四条、各级人民政府科学技术行政部门会同同级工商行政管理部门，负责组织本条例的实施。其他行政部门按照各自的职责，协助做好技术秘密保护工作。

第五条、以合作或者委托研究开发所形成的技术秘密，其权益归属依当事人书面约定的办法确定；没有约定的，当事人均有使用和转让该技术秘密的权利。但是，属委托开发的研究开发方在向委托方交付技术秘密之前，不得将该技术秘密转让给第三方。

第六条、不同单位或者个人独立研究开发出同一技术秘密的，其技术秘密权益分别归该单位或者个人所有。

第七条、单位应当建立和健全技术秘密保护制度，确定技术秘密保护管理机构和专职、兼职管理人员，采取有效措施，保护本单位的技术秘密。

第八条、单位应当对其技术秘密加以明示，其方式为：

（一）在技术资料档案上，加盖技术秘密标识；

（二）对不能加盖技术秘密标识的模型、样品、数据、配方、工艺流程等，以书面形式明示；

（三）其他的明示方式。

第九条、技术秘密权利人应当严格遵守技术秘密保护规定。在业务交往中需要涉及技术秘密的，应当与对方签订技术秘密保护协议。

第十条、对涉及技术秘密的研究、开发、生产等场所，单位应当采取防范措施，防止泄露技术秘密。

第十一条、单位可以在劳动合同中约定技术秘密保护条款，也可以与有关当事人依法签订技术秘密保护协议。

在技术秘密保护期限内，劳动合同终止的，当事人仍负有保护技术秘密的义务。

第十二条、技术秘密保护协议应当采用书面形式。

技术秘密保护协议主要内容包括：

（一）保护内容和范围；

（二）保护期限；

（三）双方的权利和义务；

（四）违约责任；

（五）其他。

第十三条、单位可以与知悉技术秘密的有关人员签订竞业限制协议。

前款所称竞业限制是指单位与知悉技术秘密的人员约定在解除劳动关系后一定时间内，被竞业限制人员不得在生产同一种核心技术产品且有竞争关系的其他单位任职，或者自己从事与原单位有竞争关系的同一种核心技术产品的生产经营。

竞业限制的时间不得超过三年。在竞业限制期间，单位应当向被竞业限制人员支付一定的竞业限制补偿费。

第十四条、竞业限制协议应当双方协商一致，并且以书面形式签定。

竞业限制协议主要内容包括：

（一）生产同一种核心技术产品且有竞争关系的企业范围；

（二）竞业限制的期限；

（三）竞业限制补偿费的数额及支付方式；

（四）违约责任。

第十五条、职务技术成果完成人，对其完成的职务技术成果中的技术秘密负有保护义务；未经所在单位同意，不得擅自披露和使用。

国家公务员执行公务、有关专家参加科技成果鉴定或者技术论证、技术经纪人从事技术中介活动等，知悉他人技术秘密的，负有技术秘密保护义务，不得擅自披露和使用。

第十六条、当事人不得因技术合同无效而擅自披露技术秘密，依据无效技术合同接收的技术资料、样品、样机等，应当及时返还权利人，不得保留复制品。

第十七条、技术秘密一经公开，原签订的技术秘密保护协议或竞业限制协议即告失效。

第十八条、对已公开的资料或者售出的产品进行分析、解剖而获知技术的，不视为侵犯技术秘密行为。

第十九条、对技术秘密纠纷中的有关技术问题需要鉴定的，应当由省级以上科学技术行政部门推荐的专家进行鉴定。

第二十条、有下列行为之一的，由县级以上工商行政管理部门责令停止违法行为，并可根据情节处以一万元以上二十万元以下的罚款：

（一）以盗窃、利诱、胁迫或者其他不正当手段获取技术秘密的；

（二）披露、使用或者允许他人使用以前项手段获取技术秘密的；

（三）违反约定或者违反权利人有关技术秘密保护的要求，披露、使用或者允许他人使用其所掌握的技术秘密的。

第三人明知或者应知前款所列违法行为，获取、使用或者披露他人技术秘密的，视为侵犯技术秘密行为。

以上行为构成犯罪的，依法追究刑事责任。

第二十一条、侵害他人技术秘密权利的，侵权人应当赔偿技术秘密权利人的经济损失。经济损失赔偿额按当事人之间有关协议的约定计算。

当事人之间没有约定的，按以下方法计算：

（一）侵权行为尚未造成技术秘密完全公开的，损失赔偿额按下列方法之一计算：

1、技术秘密权利人因被侵权而受到的实际损失；

2、侵权人因侵权行为获得的全部利润。

（二）侵权行为造成技术秘密完全公开的，损失赔偿额应当按技术秘密的全部价值量计算。技术秘密的全部价值量，由国家认可的资产评估机构评定。

第二十二条、当事人违反竞业限制协议的，应当负违约责任。

为获取他人技术秘密而录用被竞业限制人员的，录用单位或个人应当承担相应的法律责任。

第二十三条、技术秘密受让方不知悉并且没有合理的依据应当知悉转让方侵害他人技术秘密的，赔偿责任由非法转让方承担。受让方经技术秘密权利人同意，可以继续使用该技术秘密，但应当支付相应的费用。

第二十四条、因技术秘密保护协议发生纠纷，当事人可以根据协议中的仲裁条款或者事后达成的书面仲裁协议，向仲裁机构申请仲裁。

当事人在技术秘密保护协议中没有订立仲裁条款，事后又没有达成书面仲裁协议的，可以向人民法院起诉。

技术保密协议篇5

关键词 VPN；安全机制；安全防护技术

中图分类号：TP3 文献标识码：A 文章编号：1671—7597（2013）051-069-01

信息系统中的虚拟应用网络是在虚拟专用网络技术的基础上发展而来的，因此具有虚拟专用网络的基本特性和问题。所谓虚拟应用网络同虚拟专用网络类似，是一种通信环境。在该环境中的多种操作都按照一定的规则进行，以更好的保证各操作在一种安全可控的环境下进行。信息系统最常用的信息传递平台为基于IP层的隧道式VPN平台，在该平台中不同用户在交互的过程中建立一个虚拟的专用通信隧道，用户信息的传递在该信道内进行，因而更具安全性、完整性以及保密性。

但是VPN通信网络在用户身份认证方面仍旧存在不足，主要体现在无法对应用层的用户进行身份认证。此外，VPN技术与其他网络层技术在网络兼容性方面还不够友好。

1 VPN中的安全机制

VPN采用开放度高，安全性能较低的以太网进行通信，若通信信息中涉及到的信息比较隐秘或者重要，则很容易被窃听或者盗用，因此对VPN网络进行安全性能研究具有非常重要的现实意义。对VPN网络的安全性能研究重点是如何建立更为安全的数据传输通道，将不同用户之间的数据通信进行隔离和保护。但是该安全通道的构建需要以下面五点条件为前提。

1）通道内的数据必须保证其真实性，不能出现伪装IP发送信息的情况。

2）接收端的数据必须与发送端数据一致，不能受到第三方的非法篡改。

3）通道必须具有高的机密性，以避免其他用户对通信隧道进行监听，非法获得传输数据。

4）VPN通信应该提供动态秘钥交换功能，这种功能可以保证不同通道之间不会产生干扰和交叉。

5）提供必须的安全防护和访问控制。

VPN系统使用复杂的加密算法对数据信息加密，以提高信息的安全性能。具体实现方式为，VPN设备按照既定的信息传输规则对接收到的数据进行判断，若数据需要加密处理则对数据加密签名，并从新添加数据表头，然后进行封装在虚拟专用通道内传输；若数据不需要加密，则直接让数据通过。在接收端，加密的数据只有对签名进行验证无误后才可以获得真实报文。

2 VPN中的安全技术研究

在VPN系统中所采用的安全技术主要有四项，分别为隧道技术、加密技术、密钥管理及交换技术、认证技术。

2.1 隧道技术

数据的封装、传输以及拆封过程被称为隧道，是一种点对点的连接技术。该技术将所需传输的信息进行加密封装，只有VPN端口或网关的IP地址是公开的，然后在公网上建立一条专用的数据通道，使信息在该通道内进行传输。这种技术解决了专网与公网之间的网络兼容度问题。

隧道通信有第二层和第三层隧道协议。其中，第二层协议的协议基础为数据链层的PPP协议，故其对多协议的支持方面性能良好，数据封装时可以先将诸如IP协议，IPX协议、AppleTalk协议等封装到PPP的帧中，然后再将封装好的数据帧封装到隧道协议中。而第三层隧道协议是如IPSee、GRE等网络层的传输协议。该隧道协议直接将各种网络协议封装到隧道协议中进行传输。相较于第二层隧道协议而言，第三层隧道协议允许用户同时使用以太网和VPN网络进行多点传输，因此在可扩充性方面更具优势。

2.2 加密技术

加密技术主要用于保证数据在隧道传输中不会被非法获取或者拦截。VPN中的加密技术主要分为两部分：密钥加密和认证证书加密。在对数据进行加密处理后，接收端必须具有解密密钥才能够阅读正确的数据信息，若直接解封包裹则只能获得乱码。若加密技术采用112位的3DES技术，则目前可认为数据是绝对保密，无法被破解的。

当前的加密技术按照密钥类型可以分为对称加密和非对称加密两种。其中对称加密算法使用同一把密钥进行加密，配合使用较长的密钥长度如56位DES或者112位3DES等可以实现快速高强度加密。而非对称加密算法生成一对密钥。其中公钥是公开的，密钥是用户自己掌握的，若配合密钥管理与交换技术，也可以很好的实现数据的保密。

2.3 密钥管理与交换技术

密钥管理的主要目的在于保证密钥在传递过程中不被非法窃取。其中SKIP协议是基于Diffie-Hellman演算法法则而建立的一种管理协议；IKE属于一种混合协议，它在以太网ISAKMP协议和密钥交换协议OAKLEY的基础上经过自定义生成一种独有的密钥管理标准，故其定义更为灵活。但是IKE密钥管理技术也存在一定的缺陷，如可支持协议较少等。

密钥交换主要进行数据验证。对于单一密钥的加密技术而言，由于其在网络内的每两个用户之间都要建立一个密钥，因此在密钥管理方面变得非常复杂，若因网络规模扩大或响应通信安全需求进行密钥变更则更加力不从心。而对于使用公钥和私钥进行加密的密钥管理中则该情况会得到大幅度改善。因为公钥是公开的，用户只需要管理自身的私钥即可。通信时，将功盖的公钥与用户的私钥按照一定的方式生成新的密钥即可完成信息的加密与解密。

3 总结

随着信息技术的飞速发展，人们希望可以在简单、安全、方便的环境下实现数据通信，而基于VPN技术的虚拟应用网络结合了VPN技术的性能优点，可以很好的满足用户的使用需求，是一种具有广泛应用前景的信息交换网络。

参考文献

[1]潘建国，陈海强.基于VPN技术的网络应用[J].计算机应用研究，2001，18（1）.

[2]陈兴蜀，沈昌祥.虚拟应用网络的安全技术研究[J].计算机集成制造系统，2004，10（11）.

技术保密协议篇6

关键词：网络安全协议；计算机通信技术；作用；意义

随着经济的不断发展，人们生活水平的提高，社会开始逐渐进入到信息化时代，很多比较先进的技术已经逐渐运用到各种领域中，可以在一定程度上促进经济的增长，还给人们的生活带来了很多方便，并且在发展信息化技术的过程中，网络计算机安全问题也越来越受到重视，更多的信息技术安全措施被运用到安全防护中，很大程度上保证了计算机网络安全性和可靠性，不仅有效地增加了信息的安全性，也方便于信息技术处理，因此，就需要不断研究网络安全协议的逻辑性、完整性。从而保证网络协议具有一定的可靠性和安全性，促进计算机通信技术的发展。

1计算机通信技术的网络安全问题

现阶段，计算机网络安全技术还存在这一定的问题，主要表现在以下几个方面，第一，由于技术人员不是十分专业。在进行实际操作的时候，计算机网络技术是十分重要的学科，为了可以更好的利用网络安全技术需要一定的专业人员，但是依据现阶段的情况可以看出来，计算网络技术人员的专业水平也不一样，自身素质也不相同，是现阶段的主要存在的问题，如果不能有效地解决这种网络技术存在的问题，十分容易出现问题和安全漏洞，会导致整个系统十分混乱。第二，没有完整的防范体系。在现阶段，飞速发展的时代下，网络安全问题逐渐明显，网络安全问题实际上主要是利用黑客操作、病毒入侵、恶意攻击等导致的，没有完善的安全防范体系，就会导致造成很大影响。第三，没有完善的管理机制。从进行管理方面来说，现阶段，计算机网络通信技术没有完善的管理机制，在进行实际操作的时候，还是会出现一定的问题，仅仅考虑经济效益，从而忽略了网络安全问题。

2网络安全协议综述

随着社会的发展，人们开始重视安全协议的问题，也提高了安全意识，安全协议主要是指为了能够完成任务而组建的程序，主要具备以下几个方面：第一，安全协议仅仅只是一个过程，并且具有一定的程序性，协议的设计者合理的调节程序，遵守相应的规定，不可以进行更改。第二，制定安全协议的时候至少需要两个以上的人员进行参与，在进行的时候，每一个参与者都具有一定的步骤，但是不在协议内容范围之内。第三，安全协议的主要目的就是可以顺利完成任务，并且需要保证在周期内进行，保证预计的效果，计算机网络的安全协议主要就是在计算机进行网络传输的时候，保证信息安全性的程序。在使用的时候，安全协议主要作为保证信息数据有效性和完整性的依据，主要有身份认证和密钥分配。早在1973年的时候，计算机网络安全技术就已经被应用，为保证网络安全提供了依据和保障，但是由于科学技术的不断发展，网络安全协议也在发展和进步，逐渐不断适应社会的改变，不断优化协议内容，提高使用效果，目前主要使用的网络安全协议主要有SET协议和SSL协议，通过对网络信息进行加密从而保证安全。

3密码协议的分类

现阶段，还没有严格定论安全协议的类型，因此没有专门的对网络安全协议进行归类，实际上把密码进行严格分类是不能完成的任务，从不同角度来说，安全协议具有不同的类别。例如，从ISO层级来进行分类，可以分为低层次协议和高层次协议，从功能方面来说，可以分为密钥建立协议、认证协议以及密钥认证协议，从密钥种类来说，可以分为单钥协议、公钥协议以及混合协议。现阶段，一般都是依据功能的不同来合理划分安全协议，不需要加密技术，主要可以把安全协议分为三大类：第一，建立认证协议，实际上就是一个实体确认另外与之对应的实体身份的安全协议；第二，建立密钥协议，很多个实体合理利用共享密钥来传输安全信息的协议；第三，建立认证密钥协议，实际上就是利用身份建立一定的共享密钥得到传输安全协议。

4协议的安全性

4.1网络安全协议的攻击检验和安全性

由于社会的不断的发展，信息化技术也得到一定的进步，人们逐渐开始重视网络安全协议的使用和设计，但是，网络安全协议在刚设计完成进行使用以后，就会出现一定的安全漏洞，令人们感到十分的麻烦，导致网络安全协议出现问题的主要原因就是在设计安全协议的时候，不能充分的了解和掌握计算机通信技术网络安全主要目的和需求，也不能透彻的进行分析，从而导致会出现设计出来的安全协议在研究和分析网络安全的时候存在很大的问题，例如进行设计密码加密计算的时候是一样的，证明网络安全协议存在问题比证明其安全要相对简单一些。一般情况下，在分析网络安全的时候，会利用安全协议的攻击手段进行一定的检测和实验，这种测试主要包括对三个部分进行检测：第一，攻击协议本身；第二，协议和攻击算法的加密技术；第三，攻击协议中出现的加密算法。本文主要分析协议本身出现的攻击性与加密技术和加密算法没有一定的关系，因此我们可以在一定程度上认为加密技术和加密算法是安全的。

4.2设计安全协议的方式

在设计网络安全协议的时候，一般会对网络协议的交织攻击性和复杂的抵御能力进行设计和分析，此外，还应该保证安全协议的经济性和简单性，前者主要的目的就是在一定程度上保证协议的自身安全，后者主要就是不断增加网络安全协议的使用范围。需要合理的设置一定的边界条件，从而保证网络安全协议具有一定的经济性、复杂性、安全性以及简单性，这些都是网络安全的主要的规范和标准，第一，利用一次性随机数替代时间戳。现阶段，很多的网络安全协议基本上都是利用同步认证的方式设计出来的，这种方式需要各种认证用户保持一致的时间同步，并且具有很严格的需求，在网络环境十分好的情况下，这种方式是十分容易实现的，但是如果网络环境比较差，就很难达到实际要求，因此，在设计网络安全协议的时候，可以适当的使用异步认证方式，在设计的时候需要使用随机生成数字的方式进行验证，利用随机数字来代替时间戳，可以有效的解决网络环境比价差的现象，从而保证网络协议的认证安全。第二，抵御常规攻击，针对所有的网络安全协议，应该具备的基本功能就是抵御一般的网络攻击，也就是说混合攻击和文明攻击的基本抵御能力，就是阻止攻击者从中得到密钥信息，此外，还应该处理过期的消息也在抵御范围之内，也就是不会让攻击者合理修改信息进行攻击，从而保证网络协议的安全性。第三，应该适应于所有网络的协议层。不同网络中不同协议层具有不同的长度，因此，想要保证网络安全协议具有很好的适应性，就需要网络协议满足一定的最短协议层的基本要求，可以说是密码消息长度等于报文长度，从而保证网络的适用性和安全性。

技术保密协议篇7

关键词:IPSec VPN;AH;ESP;SSL VPN;IKE

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6652-03

Security Research of VPN Based on IPSec

GUO Xu-zhan

(Computer and Information Technology College, Xinyang Normal University, Xinyang 464000, China)

Abstract: SSL VPN and IPSec VPN security technology principles are introducedin this paper. Andcarried out a detailedstudy and research on the encryption, authentication, key management of IPSec, research the security of IPSec VPN.

Key words: IPSec VPN; AH; ESP; SSL VPN; IKE

随着经济的不断发展,企业的信息化进程也在逐渐加快,为了保证企业机密信息在远距离传输过程中的安全,可以采用专线式广域网络传输数据,但是这样的方案耗资巨大,不符合成本-效益原理。因此VPN (虚拟专用网络)技术应运而生。VPN是以Internet为平台,建立起在安全技术保护下的虚拟专用网络,并且此虚拟网络提供与专用网络相同的功能、安全性、易于管理等特点,是原有专用网络的替代方案,更为符合成本-效益原理。通过VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商等外部用户透过公用网与公司的内部网建立可信的安全连接,并保证数据的安全传输。将企业专用网上的数据加密封装后,透过虚拟专用网络进行传输,可以防止敏感数据被窃。VPN技术发展非常迅速,目前组建技术多种多样,比较常见的有SSL、IPSec、L2TP等。只有在充分了解这些协议的基础上,才能根据需求组建不同保护功能地VPN。

1 SSL安全协议

SSL[1-2]协议工作在传输层,它分为两层:SSL握手协议和SSL记录协议。使用SSL协议组建的VPN称为SSL VPN。

1.1 SSL握手协议

SSL握手协议[3]用于在通信双方建立安全传输通道,可以实现以下功能:

1) 在客户端验证服务器,SSL协议采用公钥方式进行身份认证;

2) 在服务器端验证客户(可选);

3) 客户端和服务器之间协商双方都支持的加密算法和压缩算法,可选用的加密算法包括:IDEA、RC4、DES、3DES、RSA、DSS、MD5等;

4) 产生对称加密算法的会话密钥;

5) 建立加密SSL连接。

1.2 SSL记录协议

SSL记录协议[4]从高层接收到数据后要经过分段、压缩和加密处理,再发送出去。在SSL协议中,所有的传输数据都被封装在记录中,SSL记录协议规定了记录头和记录数据的格式。每个SSL记录包含以下信息:1) 内容类型:指SSL的高层协议;2) 协议版本号:指所用的SSL协议版本号;3) 长度:指记录数据的长度,最大长度为16383字节;4) 数据有效载荷:将数据进行压缩和加密处理后的结果;5)MAC:MAC在有效数据被加密之前计算出来并放入SSL记录中,用于进行数据完整性检查。

SSL VPN 最大的好处就是不需要安装客户端程序,由于只通过 443 端口作为唯一的传输通道,因此管理员不需要在防火墙上作任何修改,从而最大限度的减少了分发和管理客户端软件的麻烦,降低了系统部署成本和 IT 部门日常性的管理支持工作费用。SSL VPN 能保证在任何地方访问基于 TCP 应用程序的安全,包括 Web 和 C/S 应用,传统的应用程序,网络文件传输和共享,终端服务,电子邮件服务以及 PDA 等手持无线设备。

然而SSL VPN也有其缺点:它不适用做点对点的 VPN,后者通常是使用 IPsec 技术,SSL VPN 需要开放网络防火墙中的 HTTPS 连接端口,以使 SSL VPN 网关流量通过,SSL VPN 通常需要其他安全配置,例如用第三方技术验证“非信任”设备的安全性(包括其他信息站或家用计算机)。

2 IPsec 协议与隧道技术

2.1 隧道技术简介

隧道[5]是网络通信常用的一种模式,在公用网络中,通信两端之间建立的虚拟专用网络,就是一种隧道技术的运用。隧道技术包括封装、传输及解除封装等几个方面。目前常见的隧道技术有IPsec 隧道模式、IPX 隧 道、点对点隧道协议PPTP和第二层隧道协议L2TP等。其中效果最好,应用最广泛的就是IPsec。

隧道由用户终端及服务器端构成,两端必须使用相同的隧道协议(tunnel protocol)。隧道传输协议用来传送数据,隧道维护协议用于管理隧道。隧道工作于OSI 参考模型的第二层或第三层,第二层对应到数据链路层,以帧为单元交换信息。PPTP、 L2TP都是第二层的隧道协议,数据被封装在点对点通讯协议 (PPP)帧中,再以隧道协议封装,继而通过网络传送。第二层隧道协议可以实现如下功能:用户验证、动态地址指派、数据压缩、数据加密等。第三层对应到网络层,以信息分组为信息交换单位,包括IPX及 IPsec 隧道模式,IP 信息分组被处理(如压缩、加密)后,封装上额外的 IP标头,然后再通过 IP网络传送。

2.2 IPSec的基本概念

IPSec 协议定义了通过公共网络时实现安全通信的规范,通过在 IP 数据包中增加字段来保证 IP 数据包的完整性、私有性和真实性以及采用的加密方法。IPsec协议集合了多种安全技术,从而能确保建立一个安全的通信隧道。

IPSec 提供以下几个方面的网络安全服务:

(1) 私有性:IPSec 通过加密数据包,保证数据的安全性。

(2) 完整性:IPSec 能在目的地验证数据包,保证数据包没有被替换。

(3) 真实性:IPSec 端验证所有加密数据包,保证加密正确。

(4) 反重复:IPSec 通过序列号防止数据包被捕捉。

IPSec协议实现过程如图1所示。

IPsec实施方案主要包括以下几个组件:

1) IPSec 基本协议:包括ESP 和AH,用于处理数据包头,通过与SPD和SADB交互,决定为数据包提供的安全措施。

2) SPD:SPD决定了对数据包是否采用安全措施以及外来数据包的安全措施是否符合策略配置。

3) SADB:SADB 为数据包的出入处理维持一个活动列表。以确保数据包的安全受到IPSec的保障。SADB由各个SA 聚集构成,通常由IKE 等自动密钥管理系统来进行。

4) IKE: IKE 代表IPSec 对SA 进行协商,并对SADB 数据库进行填充。

5) 策略和SA 管理:对策略和SA 进行管理。

2.3 IPSec 组件功能

IPsec 安全体系结构中包括了三个最基本的协议:AH协议,为 IP 包提供信息源验证和完整性保证;ESP协议,提供加密保证;密钥管理协议ISAKMP,提供双方交流时的共享安全信息。ESP和 AH 协议具备相关的一系列支持文件,规定了加密和认证的算法。信息分组通过这两种转换协议得以加密保护。其实现方式分为隧道模式(Tunnel Mode)和传输模式(Transport Mode)两 种 。IPSec的组件构成如图2所示。

2.3.1 AH 与 ESP

确认性标头AH [6](Authentication Header)用来保证IP包的信息的完整性和准确性。AH 既可以单独使用,也可在隧道模式下和 ESP联用。AH支持传输模式(Transport Mode)和隧道模式(Tunnel Mode)。AH利用在 Header 和信息分组之间添加验证链接,来验证该信息分组的发送用户身份。AH协议不加密所保护的数据包,它只为IP数据流提供高强度的密码认证,以确保被修改的数据包可以被检查出来。为此AH必须包含对 HMAC的支持(Keyed-Hashing for Message Authentication)。

植入安全载荷ESP[7] (Encapsulating Security Payload)主要用来处理对 IP 信息分组的加密,同时也可进行认证。为了保证通信中的互操作性, ESP规范规定要强制实现56位的DES 加密算法,同时ESP与具体的加密算法是相互独立的,几乎可以支持各种对称密钥加密算法,例如DES,Triple DES,RC5 等。ESP在隧道模式和传输模式中的作用是不同的,在隧道模式中,整个IP数据包都被ESP封装和加密。真正的IP源地址和目的地址被隐藏为Internet发送的普通数据。而在传输模式中,只有更高层协议帧(TCP、UDP、ICMP等)被放到加密后的IP数据报的ESP负载部分,在这种模式中,源和目的IP地址以及所有的IP包头域都是不加密发送的。

ESP 协议数据单元格式由三部分组成:头部、加密数据、可选尾部。头部有两个域:安全策略索引(SPI)和序列号SN (Sequence Number)。使用 ESP 进行安全通信之前,通信双方需要先协商加密策略,包括使用的算法、密钥以及密钥的有效期等。安全策略索引用来标识发送方的加密策略,接收方可采用相应策略对收到的 IP 信息分组处理。“序列号”用来区分不同信息分组。加密数据部分除了包含原 IP 信息分组的有效负载, 填充域 (用来保证加密数据部分满足块加密的长度要求),其余部分在传输时都是加密过的。ESP结构如图3所示。

2.3.2 IKE

自动密钥交换IKE[8](IPsec Key Exchange)用于动态验证IPSec通信双方的身份、协商安全服务以及生成安全密钥。有了IKE ,密钥在使用一段时间后可以作废,并重新生成密钥。这样,限制了每个密钥所保护的数据量,增强了IPSec 的安全性。IKE协商的参数同协议本身是分隔开的,在IPsec协议中IKE协商的参数被归于一个单独的IKE参数文档内。

IKE 定义了两个阶段的协议:第一阶段生成 IKE 自身的加密和验证标头,第二阶段 IKE 快速生成和刷新IPsec 的加密和验证标头。 IPsec 和 IKE 通过接口层进行交互,IPsec 通过接口层向 IKE 发出生成或刷新 IPsec 的加密和验证标头的请求,IKE通过接口层向 IPsec 传送加密和验证标头。

2.3.3 密钥管理协议 ISAKMP

IPSec采用ISAKMP[9](Internet Security Association and Key Management Protocol)作为管理协议的框架。ISAKMP 是一个应用层协议,它不仅可管理 IPSec协议所辖的安全联结和密钥,而且也适应于其他网络安全协议。ISAKMP 协议定义了通信双方的认证过程,安全联结的建立、修改和删除过程及相应的报文格式。一次 ISAKMP 会话分为两个阶段:

第一阶段,会话双方协商建立一个ISAKMP 的安全联结,用来保护它们自身的通信。会话双方通过基于公钥加密算法的数字签名完成相互认证。具体的认证步骤由相应的认证协议来规定,ISAKMP定义了一个认证时应遵循的报文格式。

第二阶段,双方协商建立其他安全联结。IPSec 使用因特网密钥交换协议 IKE(Internet Key Exchange)来完成会话密钥的生成。IKE 规定了自动验证 IPSec 对等实体、协商安全服务和产生共享密钥的标准。IKE 采用 ISAKMP 报文格式,并综合了 Oakley 和 SKEME 密钥交换协议的优点,使用 Diffie-Hellman 算法来生成会话密钥。

3 IPSec 安全特点

IPsec 产生于 IPv6 的制定过程中,用于提供 IP 层的安全性。由于所有支持TCP/IP 协议的主机进行通信时,都要经过 IP 层的处理,所以提供了 IP 层的安全性就相当于为整个网络提供了安全通信的基础。在IPSec 协议中,一旦IPSec 通道建立,所有在网络层之上的协议在通信双方都经过加密,如TCP、UDP、SNMP、HTTP、POP 等,而不管这些协议构建时所采用的安全和加密方法如何。IPsec 协议弥补了 IP 层的安全缺陷,定义了针对 IP 分组(信息分组)的加密标头和验证标头,以及如何添加和拆分这些标头。同时IPSec支持各种对称密钥加密算法,这就使得数据传输的加密保护灵活多样,提高了数据的安全性。

4 结束语

通过以上分析,可以看出IPSec因其安全性和灵活性,已经成为构建VPN的首选。IPSec能对IP数据包的安全提供足够的保护,大大加强了Internet传输信息的安全性,为VPN的建立提供了坚实的基础,同时大大降低了网络费用。未来的VPN技术将在IPSec的基础上得到更大的发展。

参考文献:

[1] 李塑京.SSL的原理和应用[J].微型机与应用,2000,11:34-35.

[2] 冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001.

[3] 金仑,谢俊元.基于SSL协议的可信应用及实现[J].计算机应用研究,2006,(1):103-105.

[4] 马英杰,肖丽萍,何文才,李彦兵.SSL协议分析及其在Web服务应用中的改进[J].微处理机,2005,12:31-33.

[5] 刘铁民,孙伟.VPN网络隧道技术的研究[J].电信工程技术与标准化,2003(12):55-57.

[6] S. Kent, R. Atkinson. IP Authentication Header. RFC2402 IETF[S].1998,11:1-68.

[7] S. Kent, R. Atkinson, IP Encapsulating Security Payload. RFC2406 IETF[S].1998,11:1-57.

技术保密协议篇8

[关键词] 电子商务 ssl协议 set协议

一、引言

电子商务作为计算机应用技术与现代经济贸易活动结合的产物，已经成为人类跨入知识经济新纪元的重要标志之一。但美国的一个调查机构显示超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。安全是电子商务发展的核心问题。

保证电子商务安全，其核心在于安全协议。迄今为止，国内外已经出现了多种电子支付协议，目前有两种安全在线支付协议被广泛采用，即安全套接层ssl协议和安全电子交易set协议，二者均是成熟和实用的安全协议。

二、安全套接层协议（ssl）

ssl协议是由网景公司推出的一种安全通信协议，它能够对信用卡和个人信息提供较强的保护。ssl是对计算机之间整个会话进行加密的协议。在ssl中，采用了公开密钥和私有密钥两种加密方法。

它已成为事实上的工业标准，独立于应用层，可加载任何高层应用协议，适合为各类c/s模式产品提供安全传输服务。它提供一种加密的握手会话，使客户端和服务器端实现身份验证、协商加密算法和压缩算法、交换密钥信息。这种握手会话通过数字签名和数字证书来实现客户和服务器双方的身份验证，采用des、md5等加密技术实现数据的保密性和完整性。在用数字证书对双方的身份验证后，双方就可以用密钥进行安全会话。

1.ssl安全协议主要提供三方面的服务

(1)用户和服务器的合法性认证：认证用户和服务器的合法性，使得它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号，这些识别号由公开密钥进行编号，为了验证用户是否合法，ssl要求在握手交换数据进行数字认证，以此来确保用户的合法性。

(2)加密数据以隐藏被传送的数据：ssl采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机与服务器进行数据交换之前，交换ssl初始握手信息，在ssl握手情息中采用了各种加密技术对其加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别。这样就可以防止非法用户进行破译。

(3)护数据的完整性：ssl采用hash函数和机密共享的方法来提供信息的完整性服务，建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。

2.ssl协议的缺点

(1)客户的信息先到商家，让商家阅读，这样，客户资料的安全性就得不到保证。

(2)ssl只能保证资料信息传递的安全，而传递过程是否有人截取就无法保证了。所以，ssl并没有实现电子支付所要求的保密性、完整性，而且多方互相认证也是很困难的。

三、安全电子交易set协议

set协议是由visa和mastercard两大信用卡公司于1997年5月联合推出的规范。set主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。set中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。

1.set支付系统的组成

set支付系统主要由持卡人、商家、发卡行、收单行、支付网关、认证中心等六个部分组成。对应地，基于set协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。

2.set安全协议主要提供三方面的服务

(1)保证客户交易信息的保密性和完整性：set协议采用了双重签名技术对set交易过程中消费者的支付信息和订单信息分别签名，使得商家看不到支付信息，只能接收用户的订单信息；而金融机构看不到交易内容，只能接收到用户支付信息和帐户信息，从而充分保证了消费者帐户和定购信息的安全性。

(2)确保商家和客户交易行为的不可否认性：set协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性，采用的核心技术包括x.509电子证书标准，数字签名，报文摘要，双重签名等技术。

(3)确保商家和客户的合法性：set协议使用数字证书对交易各方的合法性进行验证。通过数字证书的验证，可以确保交易中的商家和客户都是合法的，可信赖的。

3.set协议的缺点

(1)只能建立两点之间的安全连线，所以顾客只能把付款信息先发送到商家，再由商家转发到银行，而且只能保证连接通道是安全的而没有其他保证。

(2)不能保证商家会私自保留或盗用他的付款信息。

4.ssl与set协议的比较

(1)在认证要求方面，早期的ssl并没有提供商家身份认证机制，不能实现多方认证；而set的安全要求较高，所有参与set交易的成员都必须申请数字证书进行身份识别。

(2)在安全性方面，set协议规范了整个商务活动的流程，从而最大限度地保证了商务性、服务性、协调性和集成性。而ssl只对持卡人与商店端的信息交换进行加密保护，可以看作是用于传输的那部分的技术规范。从电子商务特性来看，它并不具备商务性、服务性、协调性和集成性。因此set的安全性比ssl高。

(3)在网络层协议位置方面，ssl是基于传输层的通用安全协议，而set位于应用层，对网络上其他各层也有涉及。

(4)在应用领域方面，ssl主要是和web应用一起工作，而set是为信用卡交易提供安全，但如果电子商务应用是一个涉及多方交易的过程，则使用set更安全、更通用些。

四、结束语

由于两协议所处的网络层次不同，为电子商务提供的服务也不相同，因此在实践中应根据具体情况来选择独立使用或两者混合使用。

参考文献：

[1]陈兵主编:网络安全与电子商务[m]．北京：北京大学出版社，2002．1

技术保密协议篇9

摘　要：随着Intemet访问的增加，传统的Intemet接入服务已越来越满足不了用户需求，因为传统的Intemet只提供浏览、电子邮件等单一服务，没有服务质量保证，没有权限和安全机制，界面复杂不易掌握，VPN的提出就是来解决这些问题。VPN的组网方式为企业提供了一种低成本的网络基础设施．并增加了企业网络功能．扩大了其专用网的范围。VPN技术已经发展了几个阶段，结合相关阶段的技术进行研究，进而展望下一代VPN技术。

关键词：虚拟专用网；IPSec；SSL；隧道协议

中图分类号：TP393．01　文献标识码：A　文章编号：1009―3044(2007)01―10056-02

1　引言

随着Interact访问的增加，传统的Intemet接入服务已越来越满足不了用户需求，因为传统的Intemet只提供浏览、电子邮件等单一服务，没有服务质量保证，没有权限和安全机制，界面复杂不易掌握，VPN的提出就是来解决这些问题。VPN的组网方式为企业提供了一种低成本的网络基础设施，并增加了企业网络功能，扩大了其专用网的范围。

传统的专用网络往往需要建立自己的物理专用线路，使用昂贵的长途拨号以及长途专线服务；而VPN则是利用公共网络资源和设备建立一个逻辑上的专用通道，尽管没有自己的专用线路，但是这个逻辑上的专用通道却可以提供和专用网络同样的功能。换言之，VPN虽然不是物理上真正的专用网络，但却能够实现物理专用网络的功能。

2　什么是虚拟专用网(VPN)

2．1 VPN的定义

VPN被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接：可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

2．2 VPN的主要技术及特点

VPN具有降低成本、易于扩展、保证安全等优点。VPN作为一种综合的网络安全方案，包含了很多重要的技术，最主要的是采用了密码技术、身份认证技术、隧道技术和密钥管理技术4项技术。

密码技术：包括对称密钥加密和非对称密钥加密。

身份认证技术：采用PKI体系的身份认证。目前常用的方法是依赖于CA(数字证书签发中心)所签发的符合X．509规范的标准数字证书。通信双方交换数据前，需先确认彼此的身份，交换彼此的数字证书，双方将此证书进行比较，只有比较结果正确，双方才开始交换数据；否则，不能进行后续通信。

隧道技术：通过对数据进行封装，在公共网络上建立一条数据通道(隧道)，让数据包通过这条隧道传输。生成隧道的协议有多种，包括第二层隧道协议、第三层隧道协议及SSL协议等。

密钥管理技术：在VPN应用中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置的方式．另一种是采用密钥交换协议动态分发。手工配置的方法要求密钥更新不要太频繁，否则管理工作量太大，因此只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥，保证密钥在公共网络上安全地传输而不被窃取，适合于复杂网络的情况，而且密钥可快速更新，可以显著提高VPN应用的安全性。目前主要的密钥交换与管理标准有SKIP和ISAKMP(Intemet安全联盟和密钥管理协议)。

3　VPN解决方案的核心技术：第二层隧道技术

第二层隧道协议是在数据链路层进行的，先把各种网络协议封装到PPP包中，再把整个数据包装入隧道协议中，这种经过两层封装的数据包由第二层协议进行传输。第二层隧道协议有以下几种：

L2F(RFC2341,Layer 2 Forwarding)

PPTP(RFC2637,Point-to Point Tunneling Protocol)

L2TP(RFC2661,Layer Two Tunneling Protoe01)

L2F已经过时，很少使用；PPTP在微软的推动与支持下．已经成为一种事实上的工业标准，被广泛实现并已使用很长一段时间，目前夫多数厂家均支持PPTP；L2TP作为下一代的隧道协议．是PPTP和L2F隧道功能的集合，其隧道并不局限于TCP／IP，但是目前仅支持IP。

第二层隧道协议具有简单易行的优点，但是它们的可扩展性都不好。更重要的是，它们都没有提供内在的安全机制．它们不能支持企业和企业的外部客户以及供应商之间会话的保密性需求，因此它们不支持用来连接企业内部网和企业的外部客户及供应商的企业外部网Extranet的概念。Extranet需要对隧道进行加密并需要相应的密钥管理机制

4　VPN解决方案的核心技术：第三层隧道技术

4．1第三层隧道技术分类

第三层隧道协议是在网络层进行的．把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层协议有以下几种：

lPSec(JP Security)

GRE(RFC 2784,General Routing Encapsulation)

GRE协议提出较早，有很强封装能力，是一种通用的封装形式。然而，GRE协议既不进行加密．又不进行验证，因此通常与其他协议结合使用，

4．2 IPSec VPN相关说明

1PSee(IP Security)是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。它不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，它包括网络安全协议Authentication Header(AH)协议和Encapsulating SecurityPayload(ESP)协议、密钥管理协议Intemet Key Exchange(IKE)协议和用丁网络验证及加密的一些算法等。

4．2．1 IPSec的功能包括：

(1)作为一个隧道协议实现了VPN通信

(2)保证数据来源可靠(通过认证实现)

(3)保证数据完整性(通过验证算法)

(4)保证数据机密性(通过加密算法)

4．2．2 IPSec的主要不足：

(1)安全性能高，但通信性能较低

因为IPSec安全协议是工作在网络层的，不仅所有网络通道都是加密的，而且在用户访问所有公司资源时，就像采用专线方式与公司网络直接物理连接一样。

(2)要客户端软件

需要安装客户端软件，但并非所有客户端操作系统均支持IPSec VPN的客户端程序，南于在每一台客户使用的计算机上安装了管理软件．软件补丁的和远程电脑的配置升级将是一件十分令人头疼的任务。在一些情形中，IPSec安全协议是在运行在网络硬件应用中，在这种解决方案巾大多数要求通信双方所采用的硬件是相同的，IPSec协议在硬件应用中同样存在着兼容性方面的问题。

(3)安装和维护困难

IPSec安全协议方案需要大量的IT技术支持，包括在运行和长期维护两个方面。当用户的VPN策略稍微有所改变时，VPN的管理难度将呈几何级数增长。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。

(4)采用隧道方式，使远程接人的安全风险增加

由于IPSec VPN在连接的两端创建隧道，提供直接(而非)访问，并对全部网络可视，因此IPSec VPN会增加安全风险。一旦隧道建立，就像用户的PC机在公司局域网内部一样，用户能够直接访问公司全部的应用。

5　新一代VPN解决方案的核心技术：SSL协议

5．1 SSL VPN的定义

现在，Web成为标准平台已势不可挡，越来越多的企业开始将ERP、CRM、SCM移植到Web上。SSL VPN指的是以HTFPS为基础的VPN．但也包括可支持SSL的应用程序。例如，电子邮件客户端程序，如Microsoft Outlook或Eudora。SSL VPN经常被称之“无客户端”．因为目前大多数计算机在出货时，都已经安装了支持HTFP和HTI'PS(以SSL为基础的HTrP)的Web浏览器，所以SSL VPN可以通过Web浏览器实现无客户端的远程访问。目前，SSL已由TLS传输层安全协议(RFC 2246)整合取代，它工作在TCP之上。

5．2 SSL的体系结构设计

SSL是为了利用TCP提供可靠的端到端的安全传输。SSL不是一个单独的协议．而是两层协议，即SSI，记录协议和存记录协议之上的三个子协议．如图2所示。其中，最主要的两个SSL子协议是记录协议和握手协议。

5．3 SSL VPN技术的主要优点

(1)无需安装客户端软件：执行基于SSL协议的远程访问不需要在远程客户端设备上安装软件，只需通过标准的支持SSL的Web浏览器连接因特网。

(2)适用大多数设备：基于Web访问的开放体系可以运行标准的浏览器访问任何设备。

(3)可以穿越防火墙进行访问：基于SSL的远程访问方案中，由于SSI以443通讯端口作为传输通道，它通常是作为WebServer对外的数据传输通道，防火墙是开放此端口的．因此不需要在防火墙上做任何修改，从而减少管理员的困扰，同时也不会降低整个通讯系统的安全性。

(4)维护工作量小，减少费用：对于那些简单远程访问用户(仅需要进入公司内部网站或者进行Email通信)，基于SSL的VPN网络可以非常经济地提供远程访问服务，而这也是SSL VPN最适用的场合。

5．4 SSL VPN的不足

上面介绍SSL VPN技术这么多优势，那么为什么现在不是所有用户都使用SSL VPN，且据权威调查机构调查显示目前绝大多部分企业仍采用IPSec VPN呢?SSL VPN的主要不足在哪里呢?

(1)只能有限地支持Windows应用或者其它非Web系统：因为大多数基于SSL的VPN都是基于Web浏览器丁作的，远程用户不能在WindOWS、UNIX、Linux、AS400或者大型系统上进行非基于Web界面的应用。虽然有些SSL提供商已经开始合并终端服务来提供上述非Web应用，但不管如何，目前SSL VPN还未正式提出全面支持．这一技术还有待讨论，也可算是一个挑战。

(2)SSL存在潜在弱点，验证网络服务器身份所使用的数字证书可能会被偷窃或复制。如果两台计算机协商建立新的SSL会话．它们会使用数字证书(SSL证书)来确认对方的身份、交换密钥材料。密钥材料的交换利用网络服务器的公钥(网络服务器的SSL证书私有公钥)对材料进行加密。一收到加密后的材料，网络服务器就用相应的私钥进行解密。

(3)驱动SSL会话所需的任务繁重的密码计算会影响网络服务器的性能。标准的计算机处理器不是为专门的密码处理而设计的。网络服务器的处理器速度、存储器容量、操作系统及网络服务器软件都对决定SSL的整体性能起到重要作用。

6　未来的VPN

技术保密协议篇10

关键词：人才流动；商业秘密；技术秘密；竟业禁止

一、人才流动与商业秘密、技术秘密流失

（一）人才流动率较高

外企太和公司的行业调查报告（2006）显示，无论何种类型的企业，专业人才和销售人员的流动比率都比较高。专业人才尤以IT行业、医药行业和金融业的研发人员为主；市场及销售人员普遍流动率也较高。对于中小型高新技术企业尤为严重。

智通人才连锁有限公司对100多家东莞企业的调查研究显示，企业员工流失率“惊人”，东莞企业正式员工年流失率高达50％以上的企业竟然占到了45％，这与年流失率不高于15％的国际惯例存在巨大差异。同时，根据智通人才多年的跟踪调查，东莞企业的员工流失率已经呈现逐年上升的趋势。

在调查的广东省部分高新技术企业当中，主动辞职的有专业技术人员、管理人员、销售人员和技术工人。其中，专业技术人员的主动辞职率最高。其中最高的一个企业专业技术人员的主动辞职率达到了90％。总之，对于掌握公司商业秘密和技术秘密员工的流动率较高。

（二）人才流动逐渐成为商业秘密、技术秘密流失的主渠道

目前广东省因人才流动引起的技术秘密流失的现象十分突出，主要表现为：职工“跳槽”时或因离休、退休等原因离职后带走原企业的技术秘密，并利用原企业的技术秘密为其他企业服务，使原企业的经济利益遭受损失。职工离职后另起炉灶，利用原企业的技术秘密从事与原企业相同的业务，与原企业进行商业竞争，使原企业丧失竞争优势。职工在职期间进行兼职，利用在工作期间所掌握的技术秘密为兼职企业服务，削弱了原企业在市场竞争中的优势地位。同时，一些竞争企业借人才流动之名，挖取其他企业中知悉技术秘密的人才为其服务，以获取高额利润。

人才流动是市场经济发展的必然要求，但人才流动又常常遭遇企业商业秘密和核心技术流失。人才必须合理流动，商业秘密、技术秘密必须得到保护，这是一道必须破解的难题，破解这一难题的方法之一就是制定竞业禁止的法律法规体系。

二、广东省高新技术企业实施竟业禁止现状及存在问题

（一）法规方面

除了《公司法》、《中华人民共和国反不正当竞争法》、《劳动合同法》等对竞业禁止有相关规定外，《深圳经济特区企业技术秘密保护条例》《珠海市企业技术秘密保护条例》在我国地方法规中首先建立竞业禁止制度。两条例规定的竞业禁止，是指企业可以与员工约定该员工在离开该企业的一定的时间内，不得在生产同类产品且具有竞争关系的其他企业任职或者自己从事同一产品的生产经营。1999年出台的《广东省技术秘密保护条例》规定：在技术秘密保护期限内，劳动合同终止的，当事人仍负有保护技术秘密的义务，但未提到保密补偿金的问题。虽然地方性法规在一定程度上对竞业禁止协议进行了规范，但其规范过于笼统，而且由于地方性法规立法等级不高、区域性等特征，难以对竞业禁止协议的效力进行整体规范。

总之，这些法律、法规的缺陷在于：缺少一部规范竞业禁止协议的商业秘密法，未实现立法上的统一；现行法律、法规对“竞业禁止”的概念表述过于笼统，且互相矛盾；未能对竞业禁止协议的适用主体、适用领域、地域、期限、补偿费等做出较为明确、具体的规定。因此导致实务中适用相应的法律法规众多，争议较大。

（二）竞业禁止范围方面

竞业禁止所涉及到的禁止范围主要包括地域范围、业务范围和商业秘密的界定。地域范围方面的争议是禁止范围包括公司整个业务范围，全省乃至全国范围，还是具体的竞争公司及其子公司？业务范围方面的争议是禁止员工所从事的业务包括整个行业领域或专业领域还是业务所涉及到的局部专业领域？商业秘密的界定主要是要合理区分商业秘密和员工使用一般知识、经验和技能之间的不同。

而在实际中，如何明确、合理地规定竞业禁止的地域范围是存在较大争议的。有的以公司营业范围大小，作为限制竞业的范围；有的以公司现在的营业范围为基础，并依据员工的营业是否会对公司构成竞业危险来确定竞业禁止的区域范围；大多数公司以全中国作为限制竞业的范围，这势必会剥夺员工的生存权，影响了竞业禁止协议的有效性。

业务范围的限制是竞业禁止协议的必备条款。在实践中，对业务范围的限制一般采用以下方式规定：通过对技术的规定进行限制，规定员工不得为采用同种或相似技术的企业工作；通过对产品的规定进行限制，规定员工不得在生产同类或同级别的产品的企业中工作；通过对服务的规定，禁止员工从事相同或相似的服务；通过对行为的规定，禁止员工引诱其他员工跳槽，禁止与现在的员工进行交易等。但这些界定都较模糊，而使得协议的有效性不够。另外，如何判断员工在实际工作中只是一般知识、经验和技能的使用，还是泄露了前企业的商业秘密，在实践中很难清晰界定，而成为争议的焦点。

（三）竞业禁止期限方面

期限限制是竞业禁止协议的一项必备条款。但多少年才是合理的呢？在我们的调查中发现竞业禁止的期限主要有这样几种：一年的、二年的、三年的、四年的、五年的，甚至有十年的。

《深圳经济特区企业技术秘密保护条例》第十六条规定“竞业限制的期限最长不得超过三年。竞业限制协议中没有约定期限的，竞业限制的期限为三年”，《珠海市企业技术秘密保护条例》第二十条规定“竞业限制的期限根据员工涉及的技术秘密的密级、所处的保密岗位或者受到特殊训练等情况而定，一般为二至五年；超过五年的，应当经市科学技术行政部门批准。竞业限制协议中没有约定的，竞业限制的期限为二年。”

（四）竞业禁止补偿金方面

竞业禁止补偿金的多少，补偿金额是否与竞业禁止年限对等是竞业禁止协议中争议最多的条款。在我们调查中主要有这样几种情况：没有保密补偿金；补偿金低于员工离职前年度工资总额一半，最低的是离职前一个月的基本工资；补偿金高于员工离职前年度工资总额一半，小于离职前年度工资总额。而禁止者所要承担的违约金都很高，除了要追究违约给原企业带来的经济损失外，违约者还要承担其补偿金三倍或以上的违约金，甚至有的重要技术人员的违约金高达50万元。

保密补偿金是否必须支付以及如何计算？长期以来，一直是一个困扰实务界及理论界的难题。《深圳经济特区企业技术秘密保护条例》第17条规定：竞业禁止协议约定的补偿费按年计算不得少于该员工离开企业前最后一个年度从该企业获得的报酬总额的2/3。竞业禁止协议没有约定补偿费的，补偿费按照前款规定的最低标准计算。《珠海市企业技术秘密保护条例》规定：企业与员工约定竞争限制的，在竞争限制期间应当按照约定向员工支付补偿费；没有约定的，年补偿费不得低于该员工离职前一年从该企业获得的年报酬的1/2。而2007年6月29日通过的《劳动合同法》，在其中第23条关于保密义务的规定中只是规定“用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项。”对于是否必须支付保密费则只字未提。这就给企业在设计保密协议（条款）时带来了麻烦。

（五）执行效率方面

发生员工违反竞业禁止条款后，流出单位一般可以通过劳动仲裁、上诉法院等途径保护自我权益。据我们了解，广州市劳动和社会保障局劳动争议仲裁委员会在2006年受理的竞业禁止方面的案件只有1件，2007年没有一件。这并不能代表广州市关于竞业禁止违约事例很少。而是因为流出单位在很多情况下没有追究违反竞业禁止协议员工的违约责任，为什么呢？一方面违约员工给企业带来的损失较小；另一方面举证较困难，流出单位上诉成本较高而放弃该项权力。当然，若由于员工违反竞业禁止协议给企业带来较大损失的，流出单位一般都会通过法律途径予以解决。如华为、中兴通讯的技术员工离职事例。

三、完善竟业禁止的对策建议

（一）限制的行业范围

美国法院对竞业禁止协议有效性的判定首先是视其是否为保护雇主的正当利益即商业秘密所必须，其二要看该协议是否对雇员的生存权及公众利益造成了损害。在此基础之上，即使竞业限制协议真实有效，对竞业限制的范围也必须严格限定在与被告可能知悉的原雇主商业秘密有关的范围内，而超出此范围的约定即使存在也属无效。

在我国的立法中，对竞业限制的范围也应从此原则，而不能扩大到任职人员所熟悉的整个专业领域，或是扩大至其他行业领域或者专业领域，其范围应当与劳动者在原单位接触或者可能接触的商业秘密的范围相适应。

（二）限制的对象

竞业禁止协议是企业与特定的接触、知悉、掌握商业秘密的雇员签订的，对于签订对象的合理性，应依雇员职位的高低以及有无接触商业秘密机会，做出不同的认定。

因此，法律应明确规定竞业禁止的限制对象只限于可能接触到企业商业秘密的人员，如高层管理人员、高级研发人员、技术人员以及某些可能接触到商业秘密的人员，而且用人单位应当对这种关联承担举证责任。同时，竞业限制协议只能是双方协商一致的结果，任何违背真实意思的竞业限制协议均应属可撤销或可变更的合同。

（三）限制的区域

竞业禁止的地域首先应以与商业秘密相关的产品或服务主要销售或覆盖的地域为准，而不应扩大至全国范围。通常情况下，用人单位只在有限地域内存在有关商业秘密的利益。如果离职劳动者在这一地域之外就业，严格说来与原用人单位并无竞争关系，所以用人单位不应对之加以限制。然而对于一些从事互联网业务的企业．与雇员订立的竞业禁止协议往往不再局限于局部地区，而是扩展到全国甚至全球。此类地域限制，在司法实践中应根据个案特征灵活掌握。

因此，在我国的立法实践中，对于竞业禁止协议的限制地域范围可以确定为，竞业禁止协议必须以列举方式明确竞业限制的区域。对这些区域范围的确定原则上仅限于其产品的主要销售区域，特殊情况下可以扩展至对该企业的经营利益有重大关联的其他区域，但企业必须对此承担举证责任。如果仅仅开放式的定义为“相关地区”是不应被认可的。

（四）限制的期限

一般来说，竞业禁止的期限应当取决于商业秘密在市场竞争中所具有的竞争优势持续的时间、员工掌握该商业秘密的程度和技术水平的高低及一个国家对商业秘密保护水平的高低。国际上一般的期限是三年或三年以内，目前国内基本达成最长不超过三年的共识。

而对IT行业的从业人员来说，如果约定的竞业期限为一年以上，则对该领域的高技术人员的再就业非常不利，也会因限制人才流动影响企业间的公平自由竞争，从而限制了科技的发展。因此对这一行业的竞业禁止期限应规定为离职后6个月至一年。

（五）合理的补偿费

用人单位与离职劳动者签订的竞业禁止条款实质上是对劳动者择业自由的限制，也是对本单位竞争力的保护，以及劳动关系诚信度的强化。因此，劳动者履行竞业禁止条款规定的义务，就有权利获得相应的合理的补偿金。经济补偿费的具体金额，应当由双方当事人斟酌劳动者原就业岗位的性质与价值、同行业同级别劳动者的薪酬水平、竞业限制的期限等因素协商确定，一般来说，至少不能低于该员工离职前一年总收入的二分之一。

参考文献：

1、李永明.竞业禁止的若干问题[J].法学研究,2002(5).

2、桂菊平.竞业禁止若干法律问题研究[J].法商研究,2001(1).

3、吴丹波.对企业离职员工竞业禁止义务的法律思考[J].企业经济,2004(7).

4、张鸿.竞业禁止与商业秘密保护[J].企业与法,2001(6).

5、齐香真.竞业禁止规范与商业秘密保护研究[J].经济经纬,2007(4).