事实上，上述几个项目所说的虚拟化，其根本原理在于将物理网资源进行分片（Slicing），再将不同的 Slice 分配给各个虚拟网。不同的是，FIND 下另一个称为 Architecture of a Service-Virtualized Internet 的项目则研究网络层的虚拟化。虚拟专用网其背景为网络层核心服务（路由、命名和名字解析、缓存等）的僵化，不同于前述物理网的僵化。

        所谓网络层僵化指的是现在互联网体系结构下的网络层服务，既包括一部分网络资源，又包括服务的具体实现。一个典型的例子是路由服务，它只能由路由器制造商来提供。因为只有制造商才知道其路由器内部接口，才能访问到路由表。路由表作为互联网的一个基本资源，被人为地与路由服务绑定在一起，其他机构无法开发需要访问路由表的其他网络层服务。网络层服务虚拟化的核心思想是将现有核心网络服务所绑定的网络资源和功能拆分成可管理的 building blocks。每个虚拟专用网building block 封装一种网络资源或基本功能。拆分后的 building blocks 包括路由表、流量控制、数据库操作、拥塞控制、节点内存操作等。在这些基本的 building blocks 上，搭建更加多样化、开放式的核心网络层服务http://www.yanhuangzixun.com/。

         在互联网的发展过程当中，安全性一直是一个突出性的问题。随着互联网应用越来越广泛，这一问题亟待解决。事实上，目前互联网只是基于「best-effort」模式，并不保证安全性。在 David Clark 的经典论文「The Design Philosophy of the DARPA Internet Protocols[33]」中，没有涉及安全性问题。网络上大量的黑客和 DDoS（Distributed Denial-of-Service）攻击就是目前互联网缺乏安全性保证的最好例子。

        FIND 计划有多个旨在保证未来互联网安全性的项目，包括 Designing Secure Networks from Ground-up[34]、Enabling Defense and Deterrence through Private Attribution[35]、Privacy-Preserving Attribution and Provenence[36]。前两个项目的核心思想都是真实地址认证。每个主机必须对自己发出的数据分组进行签字，目的节点或中间节点，虚拟专用网可以对数据分组的合法性进行验证。这些项目中的 Attribution 即是指数据分组寻源。通过真实地址认证加强网络安全，必须同时保证两个方面。

        首先虚拟专用网保留数据分组的隐私，也就是 Privacy-preserving：并非所有节点都可以根据签字定位数据分组的源主机，只有经过授权的第三方机构才有这个能力。另一方面，所有虚拟专用网网络节点都有能力对数据分组的合法性进行验证，只有遇到非法攻击时，才诉诸第三方机构以追究攻击发起者。组签名（Group Signature）模式能有效保证这两方面要求。Designing Secure Networks from Ground-up 则是完全采用新的体系结构考虑网络安全问题，提出了 SANE（Security Architecture for Networked Enterprises）模式，并将局域网安全体系结构扩展到公共网络，提出 InSANE 体系结构。其核心思想也是要求所有虚拟专用网网络数据流都要显式地表明自己的来源以及意图。但是其所采用的新型安全体系结构要求设计实现新的节点软件、操作系统、交换机、路由器等，与现有网络并不兼容。