◆ 基于IPSec协议和IKE密钥交换协议

INTERWING 系统遵循IPSEC和IKE协议。两台主机可以通过IPSec在Internet上建立安全可信的通信隧道，IKE负责密钥的生成、失效和管理，该密钥会用于主机在进行IPSec通信过程中信令和数据的加密。

◆ 4种加密算法提高加密强度

INTERWING系统给用户提供了DES/3DES/CAST/AES 4种加密算法，用户可以根据应用系统的安全需要设定使用不同的加密算法对不同的VPN隧道进行加密。以下对各种加密算法作简单介绍：
－DES，即数据加密标准，是目前使用最广泛的秘钥系统，特别是在保护金融数据的安全中。DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位，产生最大 64 位的加密强度。
－3DES，又称三重DES，是DES 的常见变体，它是使用 168 位的密钥对数据进行三次加密的一种机制，可以提供极其强大的安全性，只是这种处理要消耗更多的系统资源，处理速度相对较慢。
－CAST，是一个 64 位的 Feistel 密码，使用 16 个循环并允许密钥大小最大可达 128 位。其中变体 CAST-256 使用 128 位的分组大小，而且允许使用最大 256 位的密钥。CAST 加密技术相当新，对各种攻击（蛮力和分析性）都非常安全，另外它的执行速度也相当快。
－AES，即高级加密标准，它的结构复杂而且有点不同寻常，却非常安全且通用，而且它的执行速度很快，这一标准越来越多的被采用，目前正在处于大规模试验和评估中。

◆ 密钥自动协商技术

在INTERWING系统中，用于数据加密的密钥是采用Diffie-Hellman算法由通信主机自动协商生成。即通信双方公开或半公开的交换一些准备用来生成密钥的"材料数据"，在彼此交换过密钥生成"材料"后，两端可以各自生成出完全一样的共享密钥。密钥被存储在各自主机的内存中，在任何时候，双方都绝不在Internet上交换真正的密钥。这里所讲的“材料数据”就是预共享密码或数字证书等，“材料数据”长度越长，所生成的密钥强度就会越高。

与传统的人工设置加密密钥相比，INTERWING系统使用的密钥是任何人都不可知的，而且不会在网络上被截获到，大大提高数据传输的安全性。

◆ 双密钥技术

INTERWING与普通的VPN系统只对数据加密不同，它对信令也进行了加密，而且对信令和数据分别采用独立的密钥，这就是我们所说的双密钥管理机制。具体来讲，两个要建立通讯的主机首先进行第一阶段密钥协商，产生信令密钥，称为IKE密钥，此密钥被用来对后来的认证、隧道建立和维护过程中的信令进行加密；随着接入认证通过后，将启动第二阶段密钥协商，产生数据密钥，称为IPSec密钥，此密钥被用来对隧道中传输的数据进行加密。两个密钥都由INTERWING的IKE进行管理，各自具有自己的生存期，一般来讲，IKE密钥的生存期会大于IPSec的密钥的生存期。

◆ 动态密钥更新技术

INTERWING系统使用"动态密钥更新"技术来决定在两个主机通信中，新密钥产生的频率。动态密钥指在通信过程中，数据流被划分成一个个"数据段"，每一个"数据块"都使用不同的密钥加密，这可以保证万一攻击者中途截取了部分通信数据流和相应的密钥后，也不会危及到所有其余的通信信息的安全。INTERWING允许用户自定义密钥生存周期，密钥更新过程由INTERWING系统自动执行，无需人工干预。

◆ 双向认证技术

双向认证是INTERWING系统提高接入安全性的又一特色。它不同于一般的VPN产品仅提供单向认证，而是可以根据用户需要提供更安全的双向认证模式。其基本原理就是需要建立通讯的主机之间要进行互相认证，有一个单向的认证不能通过就会被拒绝建立VPN隧道。

◆ 多种认证方式

INTERWING产品给用户提供了多种可选的认证方式，包括预共享密钥认证、扩展身份认证、iKey（USB接口）认证、X.509数字证书认证，高级版中将提供独立的认证鉴权中心。
－预共享密钥认证，是验证的两个主机之间事先配置的预共享密钥是否一致的认证方式；
－扩展身份认证，是针对移动用户接入时要求其输入身份认证码进行校验的认证方式；
－iKey认证，也是针对移动用户接入时要求验证其USB KEY中的身份信息的方式；
－数字证书认证，是由认证鉴权中心统一生成各个VPN节点的X.509证书，并由认证中心来校验证书的合法性；
对于不同的VPN节点，用户可以定义选择不同的认证方式。