加密技術(shù)及其應用

1、 加密技術(shù)的應用摘要在網(wǎng)絡(luò)安全日益受到關(guān)注的今天，加密技術(shù)在各方面的應用也越來越突出和主要，在各方面都表現(xiàn)出舉足輕重的作用，本文主要介紹加密技術(shù)的應用。首先概述了加密技術(shù)的概念及其分類，加密技術(shù)有兩個要素是算法和密鑰，它的分類有對稱加密和非對稱加密，然后主要闡述了加密技術(shù)的在一些方面的應用，主要的應用方面是電子商務和VPN。再通過實例詳細講解機密技術(shù)的應用，主要分析了機密技術(shù)在VPN方面的具體應用。關(guān)鍵詞加密技術(shù);對稱加密;非對稱加密;VPNTheapplicationofdataencryptionAbstract：Inthenetworksecurityincreasinglyattent

2、iontoday,encryptiontechnologyinallaspectsoftheapplicationaremoreandmoreprominentandthemain,inallaspectsoftheroleplayadecisiverole,thispapermainlyintroducestheapplicationofencryptiontechnique.Firstlysummarizestheconceptandclassificationoftheencryptiontechnology,encryptiontechnologyhastwoelementsisthe

3、algorithmandkey,itsclassificationissymmetricandasymmetricencryption,andthenmainlydiscussestheencryptiontechnologyinsomeapplications,themainapplicationistheelectroniccommerceandVPN.Throughtheexampletoexplainindetailthesecrettechnologyapplication,mainlyanalyzestheconfidentialtechnologyinVPNapplication

4、.Keywords：Encryption;symmetricencryption;asymmetricencryption;VPN目錄TOC o 1-5 h z HYPERLINK l bookmark6 第一章引言1 HYPERLINK l bookmark8 第二章加密技術(shù)概念及分類22.1加密技術(shù)的概念2加密技術(shù)的分類22.2.1對稱加密技術(shù)22非對稱加密技術(shù)3 HYPERLINK l bookmark10 第三章加密技術(shù)的應用3 HYPERLINK l bookmark12 3.1在電子商務方面的應用3 HYPERLINK l bookmark18 3.2加密技術(shù)在VPN中的應用4 H

5、YPERLINK l bookmark14 加密技術(shù)在其他方面的應用43.3.1電子郵件43.3.2服務器訪問43.4在線支付53.5信用卡53.6密碼專用芯片53.7量子加密技術(shù)53.8密鑰的應用管理53.8.1使用次數(shù)與時效的注意5 HYPERLINK l bookmark16 第四章加密技術(shù)的應用實例64.1加密技術(shù)在VPN中的應用6 HYPERLINK l bookmark20 VPN的優(yōu)缺點6 HYPERLINK l bookmark22 intranet和Extranet6 HYPERLINK l bookmark26 4.4VPN采用四種技術(shù)7 HYPERLINK l bookm

6、ark28 4.5VPN通道協(xié)議8PPTP協(xié)議8IPSec協(xié)議9 HYPERLINK l bookmark30 VPN常用解決方案9 HYPERLINK l bookmark34 VPN的網(wǎng)絡(luò)設(shè)備10 HYPERLINK l bookmark36 VPN發(fā)展趨勢11 HYPERLINK l bookmark38 VPN的應用方式11 HYPERLINK l bookmark40 第五章結(jié)束語11參考文獻11 第一章引言網(wǎng)絡(luò)正以驚人的速度改變著人們的工作效率和生活方式從商業(yè)機構(gòu)到個人都將越來越多。通過互聯(lián)網(wǎng)或其它電子媒介處理銀行事務、發(fā)送電子郵件、購物、炒股和辦公，所有這一切正是得益于互聯(lián)網(wǎng)絡(luò)的

7、開放性和匿名性的特點。然而。正是這些特點也決定了單純的互聯(lián)不可避免地存在信息安全隱患。網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全。從廣義上來說，凡是涉及到網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實性和可控性得相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。任何形式的互聯(lián)網(wǎng)絡(luò)服務都會導致安全方面的風險問題是如何將風險降低到最低程度，目前的網(wǎng)絡(luò)安全措施包括信息加密、數(shù)字簽名、身份認證、防火墻和內(nèi)容檢查等。其實應用加密技術(shù)是一個涵蓋面很廣的技能，他不僅包含了密碼的應用，還包括身份鑒別，IP安全性，web安全與TLS，遠程管理的安全性等等。其中密碼學是最常見的，包含了信息加密、數(shù)字證書、數(shù)字指紋和數(shù)字簽名以及發(fā)送信息的密碼技術(shù)驗

8、證。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變成難以識別的密文數(shù)據(jù)，通過使用不同的密鑰，可用同一加密算法將同一明文加密成不同的密文。當需要時，可使用密鑰將密文數(shù)據(jù)還原澄明文數(shù)據(jù)，稱為解密。這樣就可以實現(xiàn)數(shù)據(jù)的保密性。數(shù)據(jù)加密被公認為是保護數(shù)據(jù)傳輸安全唯一實用的方法和保護存貯數(shù)據(jù)安全的有效方法，它是數(shù)據(jù)保護在技術(shù)上最重要的防線。信息安全無非是三個方面。一是數(shù)據(jù)安全，二是系統(tǒng)安全，也就是防火墻、入侵檢測及VPN等邊界安全，三是電子商務的安全。而在數(shù)據(jù)安全中應用最廣的技術(shù)就是加密技術(shù)1。信息安全問題涉及到國家安全、社會公共安全，社會各國已經(jīng)認識到信息安全涉及重大國家利益，是互聯(lián)網(wǎng)經(jīng)濟的制高點。

9、也是推動互聯(lián)網(wǎng)發(fā)展、電子政務和電子商務的關(guān)鍵，發(fā)展信息安全技術(shù)是非常必要的，由此來說加密技術(shù)的應用會越來越廣，也越來越重要。數(shù)據(jù)是信息化潮流真正的主題，隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，社會生活各方面也迅速在變化。因為互聯(lián)網(wǎng)是一個面向大眾的開放系統(tǒng)，對于信息的保密和系統(tǒng)的安全性考慮的并不是很完整，所以網(wǎng)絡(luò)安全問題日益嚴重，這就間接表明數(shù)據(jù)加密技術(shù)的重要性，如何保護計算機數(shù)據(jù)的安全，即信息內(nèi)容的保密性日益重要。加密技術(shù)在保護計算機信息的安全中的作用也愈發(fā)重要。如何通過加密技術(shù)保護計算機的數(shù)據(jù)信息安全是一個需要我們不斷研究的過程，也就是說加密技術(shù)在各方面的應用是需要不斷地研究。社會高速發(fā)展的今天數(shù)據(jù)加

10、密技術(shù)的應用已經(jīng)成為很多行業(yè)不可缺少的一部分。第二章加密技術(shù)概念及分類2.1加密技術(shù)的概念數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應的密鑰之后才能顯示出本來內(nèi)容，通過這樣的途徑來達到保護數(shù)據(jù)不被非法人竊取、閱讀的目的。該過程的逆過程為解密，即將該編碼信息轉(zhuǎn)化為其原來數(shù)據(jù)的過程。加密技術(shù)是電子商務采取的主要安全保密措施，是最常用的安全保密手段，利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）。加密技術(shù)的應用是多方面的，但最為廣泛的還是在電子商務和VPN上的應用，深受廣大

11、用戶的喜愛。加密技術(shù)包括兩個元素：算法和密鑰。算法是將普通的文本（或者可以理解的信息）與一串數(shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟，密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法2。在安全保密中，可通過適當?shù)拿荑€加密技術(shù)和管理機制來保證網(wǎng)絡(luò)的信息通訊安全。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地，對數(shù)據(jù)加密的技術(shù)分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以數(shù)據(jù)加密標準（DES,DataEncryptionStandard）算法為典型代表，非對稱加密通常以RSA（RivestShamirAdleman）算法為代表。對稱加密的加密密鑰和解密

12、密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。2.2加密技術(shù)的分類加密技術(shù)只要包括對稱加密技術(shù)和非對稱加密技術(shù)。對稱加密技術(shù)對稱式加密就是加密和解密使用同一個密鑰，通常稱之為“SessionKey”這種加密技術(shù)目前被廣泛采用，如美國政府所采用的DES加密標準就是一種典型的“對稱式加密法，它的SessionKey長度為56Bits。2非對稱加密技術(shù)非對稱式加密就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”，它們兩個必需配對使用，否則不能打開加密文件。這里的“公鑰”是指可以對外公布的，“私鑰”則不能，只能由持有人一個人知道。它的優(yōu)

13、越性就在這里，因為對稱式的加密方法如果是在網(wǎng)絡(luò)上傳輸加密文件就很難把密鑰告訴對方，不管用什么方法都有可能被別竊聽到。而非對稱式的加密方法有兩個密鑰，且其中的“公鑰”是可以公開的，也就不怕別人知道，收件人解密時只要用自己的私鑰即可以，這樣就很好地避免了密鑰的傳輸安全性問題3。第三章加密技術(shù)的應用加密技術(shù)的應用是多方面的，但最為廣泛的還是在電子商務和VPN上的應用。3.1在電子商務方面的應用電子商務(E-business)要求顧客可以在網(wǎng)上進行各種商務活動，不必擔心自己的信用卡會被人盜用。在過去，用戶為了防止信用卡的號碼被竊取到，一般是通過電話訂貨，然后使用用戶的信用卡進行付款?，F(xiàn)在人們開始用RS

14、A(一種公開/私有密鑰)的加密技術(shù)，提高信用卡交易的安全性，從而使電子商務走向?qū)嵱贸蔀榭赡?。許多人都知道NETSCAPE公司是Internet商業(yè)中領(lǐng)先技術(shù)的提供者，該公司提供了一種基于RSA和保密密鑰的應用于因特網(wǎng)的技術(shù)，被稱為安全插座層(SecureSocketsLayer，SSL)。也許很多人知道Socket，它是一個編程界面，并不提供任何安全措施，而SSL不但提供編程界面，而且向上提供一種安全的服務，SSL3.0現(xiàn)在已經(jīng)應用到了服務器和瀏覽器上，SSL2.0則只能應用于服務器端。SSL3.0用一種電子證書(electriccertificate)來實行身份進行驗證后，雙方就可以用保密密

15、鑰進行安全的會話了。它同時使用“對稱”和“非對稱”加密方法，在客戶與電子商務的服務器進行溝通的過程中，客戶會產(chǎn)生一個SessionKey，然后客戶用服務器端的公鑰將SessionKey進行加密，再傳給服務器端，在雙方都知道SessionKey后，傳輸?shù)臄?shù)據(jù)都是以SessionKey進行加密與解密的，但服務器端發(fā)給用戶的公鑰必需先向有關(guān)發(fā)證機關(guān)申請，以得到公證?；赟SL3.0提供的安全保障，用戶就可以自由訂購商品并且給出信用卡號了，也可以在網(wǎng)上和合作?；锇榻涣魃虡I(yè)信息并且讓供應商把訂單和收貨單從網(wǎng)上發(fā)過來，這樣可以節(jié)省大量的紙張，為公司節(jié)省大量的電話、傳真費用。在過去，電子信息交換(Elect

16、ricDataInterchange,EDI)、信息交易(informationtransaction)和金融交易(financialtransaction)都是在專用網(wǎng)絡(luò)上完成的，使用專用網(wǎng)的費用大大高于互聯(lián)網(wǎng)。正是這樣巨大的誘惑，才使人們開始發(fā)展因特網(wǎng)上的電子商務，但不要忘記數(shù)據(jù)加密。3.2加密技術(shù)在VPN中的應用現(xiàn)在，越多越多的公司走向國際化，一個公司可能在多個國家都有辦事機構(gòu)或銷售中心，每一個機構(gòu)都有自己的局域網(wǎng)LAN(LocalAreaNetwork),但在當今的網(wǎng)絡(luò)社會人們的要求不僅如此，用戶希望將這些LAN連結(jié)在一起組成一個公司的廣域網(wǎng)，這個在現(xiàn)在已不是什么難事了。事實上，很多公

17、司都已經(jīng)這樣做了，但他們一般使用租用專用線路來連結(jié)這些局域網(wǎng)，他們考慮的就是網(wǎng)絡(luò)的安全問題。現(xiàn)在具有加密/解密功能的路由器已到處都是，這就使人們通過互聯(lián)網(wǎng)連接這些局域網(wǎng)成為可能，這就是我們通常所說的虛擬專用網(wǎng)(VirtualPrivateNetwork，VPN)。當數(shù)據(jù)離開發(fā)送者所在的局域網(wǎng)時，該數(shù)據(jù)首先被用戶湍連接到互聯(lián)網(wǎng)上的路由器進行硬件加密，數(shù)據(jù)在互聯(lián)網(wǎng)上是以加密的形式傳送的，當達到目的LAN的路由器時，該路由器就會對數(shù)據(jù)進行解密，這樣目的LAN中的用戶就可以看到真正的信息了。加密技術(shù)在其他方面的應用信息加密技術(shù)在電子商務活動中，也可應用靜態(tài)文件保護，如PIP軟件對磁盤、硬盤中的文件或文

18、件夾進行加密，以防他人竊取其中信息，主要的應用還是在主動防衛(wèi)的“動態(tài)”中。電子郵件用戶在收取郵件時，往往都會簡單認為發(fā)信人就是電子郵件上的姓名和信箱地址，但實際偽造一封電子郵件極為容易，這種情況，就要用到信息加密技術(shù)基礎(chǔ)上的數(shù)字簽名，用它來確認發(fā)信人身份的是否真實性。服務器訪問如某公司為了信息交流，提供用戶合作伙伴非匿名的FIP服務或把WEB網(wǎng)頁上載到用戶的WWW服務器上，要正確確定正在訪問用戶的服務器的人就是 用戶認為的那個人，解決其最好一個技術(shù)方案，就是信息技術(shù)加密基礎(chǔ)上的身份認證。在線支付在線支付是電子商務實踐活動的一個重要環(huán)節(jié)，為了保證在線支付的安全，需要采用數(shù)據(jù)加密等多種技術(shù)。在現(xiàn)實

19、生活中，不同企業(yè)會采用不同的手段來實現(xiàn)，這些就在客觀上要求有一種統(tǒng)一的標準支持。目前有兩種安全認證協(xié)議被廣泛應用，即安全套接層協(xié)議和安全電子交易協(xié)議。信用卡過去，用戶為了防止信用卡的號碼被竊取，一般都是通過電話進貨，然后用信用卡進行付款，而現(xiàn)在用的RSA（種公開/私有密鑰）的信息加密技術(shù)，即可保證在網(wǎng)絡(luò)上進行的各種商務活動，信用卡在交易時的安全性。3.6密碼專用芯片近年來我國在集成電路產(chǎn)業(yè)技術(shù)的創(chuàng)新和自我開發(fā)能力的提高，微電子工業(yè)得到了發(fā)展，目前已經(jīng)滲透到大部分安全產(chǎn)品中的芯片設(shè)計已經(jīng)發(fā)展到0.1微米工藝以下，從而加快密碼專用芯片的研制，將會推動我國信息安全系統(tǒng)的完善。量子加密技術(shù)利用量子技術(shù)

20、實現(xiàn)傳統(tǒng)的密碼體制的全光網(wǎng)絡(luò)，在光纖一級完成密鑰交換和信息加密，如果攻擊者企圖接收并檢測信息發(fā)送方的信息（偏振），則將造成量子狀態(tài)的改變，這種改變對攻擊者而言是不可恢復的，而對收發(fā)方則可很容易地檢測出信息是否受到攻擊4。密鑰的應用管理3.8.1使用次數(shù)與時效的注意用戶在與別人交換信息時，雖然私鑰不是公開，如果多次使用同樣的密鑰，很難保證長期不被泄露，假若某人偶然知道了用戶的密鑰，那用戶曾經(jīng)和另一個人交換的所有信息都不再保密，使用次數(shù)越多，提供給竊聽者的材料也越多，因此，強調(diào)一個密鑰用于一條信息中或一次對話中，及時更換，減少暴露。多密鑰的管理假如用戶在一個100人的機構(gòu)中，倘若與其中任意一個人進

21、行秘密對話，用戶所要掌握的密鑰就非常之多，做起來也非常煩瑣。解決這個最好的方案說是要在互聯(lián)網(wǎng)上建立一個由（kerberos）提供的安全的可行的密鑰分發(fā)中心（KDC），用戶只要知道一個和KDC進行會話的密鑰就可以了5。第四章加密技術(shù)的應用實例4.1加密技術(shù)在VPN中的應用VPN是指依靠ISP和其它NSP在公用網(wǎng)絡(luò)上建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)技術(shù)。IETF草案理解基于IP的VPN定義，它使用IP機制仿真出一個私有的廣域網(wǎng)，是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真出一條點到點的專線技術(shù)。采用168Bit加密技術(shù)。VPN的優(yōu)缺點VPN的優(yōu)點一：降低了長途數(shù)據(jù)與語音通訊成本；節(jié)省設(shè)備采購成本；增進遠地分公司

22、與工廠之整合管理效益；降低外勤差旅人員之聯(lián)機成本與提升信息安全；提供彈性的工作時間與節(jié)省通勤時間；確保員工在家庭辦公時之信息安全與聯(lián)機效益；可建立安全之上下游廠商供應鏈信息網(wǎng)；便于制定信息安全存取政策。VPN(VirtualPrivateNetwork)，虛擬專用網(wǎng)絡(luò)，是指在公共網(wǎng)絡(luò)或不可信網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。其常用方式：遠程移動訪問(遠程和移動用戶的安全連接)、Intranet(企業(yè)內(nèi)部之間安全連接)、Extranet(與客戶、合作伙伴)。VPN優(yōu)點二：跟位置無關(guān)系，有很強的擴張性(Scalability)；新舊節(jié)點擴張時構(gòu)筑迅速(Portabil

23、ity)；電話連接費用減少(Costsaving)；專用線費用減少(Costsaving)；提供給用戶安全的Network訪問手段；RAS裝備和Network裝備的維護費用減少。VPN缺點：公用網(wǎng)的使用，不能保障網(wǎng)絡(luò)范圍；裝備的互換性問題(現(xiàn)在所有裝備不能互換)。intranet和Extranet企業(yè)內(nèi)部網(wǎng)(intranet)是一個使用與因特網(wǎng)(Internet,首字母大寫的)同樣技術(shù)的計算機網(wǎng)絡(luò),它通常建立在一個企業(yè)或組織的內(nèi)部并為其成員提供信息的共享和交流等服務。最普遍的信息服務包括：內(nèi)部萬維網(wǎng)(WWW)，文件傳輸協(xié)議(FTP),電子郵件(E-Mail)。Extranet又稱外聯(lián)網(wǎng)。使用因

24、特網(wǎng)技術(shù)如WWW和TCP/IP建立的支持企業(yè)或機構(gòu)之間進行業(yè)務往來和信息交流的綜合信息系統(tǒng)。企業(yè)內(nèi)部網(wǎng)從企業(yè)的防火墻延伸出去，形成所謂的外延網(wǎng)。它是一種通過連接一個以上內(nèi)聯(lián)網(wǎng)來形成的網(wǎng)絡(luò)，通過使用它，公司的業(yè)務伙伴及服務可以連接到本公司的供貨鏈上，使公司在因特網(wǎng)上開展業(yè)務，進行商務活動。外聯(lián)網(wǎng)必須專用而且安全，這就需要防火墻服務器管理、數(shù)字認證、用戶確認、對消息的加密和在公共網(wǎng)絡(luò)上使用虛擬專用網(wǎng)6。VPN連接拓撲圖如下圖圖1。圖1VPN連接拓展圖4.4VPN采用四種技術(shù)VPN采用四種技術(shù)來保證安全：隧道技術(shù)、加密技術(shù)、密鑰管理技術(shù)、身份認證技術(shù)，如圖2所示。路由器Modemdf-fw防火埼機|

25、301工作站當?shù)睾湾罂?Iritemetah工作站工作站防火墻fdffw圖2VPN的四種技術(shù)lirm分支機和VPN關(guān)鍵技術(shù)之隧道技術(shù):隧道技術(shù)是類似于點對點連接技術(shù)，隧道技術(shù)在公用網(wǎng)建立一條數(shù)據(jù)通（隧道）,讓數(shù)據(jù)包通過這條隧道傳輸。實現(xiàn)了將數(shù)據(jù)流量強制到特定的目的地、隱藏私有的網(wǎng)絡(luò)地址、在IP網(wǎng)上傳輸非IP協(xié)議數(shù)據(jù)包、提供數(shù)據(jù)安全支持協(xié)助完成用戶基于AAA(authentication鑒定，authorization授權(quán),accounting計費)的管理等功能。下圖為VPN建立安全通道圖如下圖圖3。圖3VPN建立安全通道圖4.5VPN通道協(xié)議二層隧道協(xié)議：用于傳輸二層網(wǎng)絡(luò)協(xié)議，主要用于構(gòu)建A

26、ccessVPN和ExtranetVPN。包括PPTP(PointtoPointTunnelingProtocol)：點對點隧道協(xié)議；L2F(Layer2Forwarding)：二層轉(zhuǎn)發(fā)協(xié)議；L2TP(Layer2TunnelingProtocol):Cisco的二層隧道協(xié)議。三層隧道協(xié)議：用于傳輸三層網(wǎng)絡(luò)協(xié)議，主要用于構(gòu)建IntranetVPN和ExtranetVPN。包括GRE(GenericRoutingEncapsulation)；IETF的IPSec協(xié)議；MPLS(MultiprotocolLabelSwitch)：多協(xié)議標簽交換。4.5.1PPTP協(xié)議由Microsoft和Asce

27、nd在PPP協(xié)議基礎(chǔ)上開發(fā)，用于Clien一LAN型隧道VPN的實現(xiàn)(VPDN)，對用戶的PPP幀封裝成IP報文進行隧道傳送。PPTP協(xié)議在一個已存在的IP連接上封裝PPP會話，只要網(wǎng)絡(luò)層是連通的，就可以運行PPTP協(xié)議。PPTP協(xié)議將控制包與數(shù)據(jù)包分開，控制包采用TCP控制，用于嚴格的狀態(tài)查詢以及信令信息；數(shù)據(jù)包先封裝在PPP協(xié)議中，然后封裝到GREV2協(xié)議中，因此PPTP可以支持所有的協(xié)議，包括IP,IPX，NetBEUI等等。除了搭建隧道，PPTP本身沒有定義加密機制，但它繼承了PPP的認證和加密機制，包括認證機制PAP/CHAP/MS-CHAP以及加密機制MPPE7L2TP協(xié)議由PPT

28、P和Cisco的L2F協(xié)議相結(jié)合的產(chǎn)物，支持ClientLAN及LANLAN的VPN連接。L2TP（Layer2Forwarding）是一個國際標準隧道協(xié)議,它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點，被ISP所采用以允許VPN在INTERNET上運行；L2TP僅僅定義了控制包的加密傳輸方式，對傳輸中的數(shù)據(jù)并不加密。但不適用于企業(yè)Extranet的VPN連接方式。L2TP與PPTP的最大不同在于L2TP將控制包和數(shù)據(jù)包合二為一，并運行在UDP上，而不是TCP上。UDP省去了TCP中同步、檢錯、重傳等機制，因此L2TP速度很快。與PPTP類似，L2TP也可支持多種協(xié)議，但L2TP協(xié)議本身

29、并沒有提供任何加密功能，所以使用IPSecESP加密IPSec協(xié)議IETF制定VPN安全協(xié)議標準一IPSec和IKMP密鑰管理協(xié)議。IPSec提供了數(shù)據(jù)源鑒別、數(shù)據(jù)完整性、防止數(shù)據(jù)重傳、數(shù)據(jù)加密、不可否認性等安全服務。IPsec是標準的第三層安全協(xié)議，用于保護IP數(shù)據(jù)包或上層數(shù)據(jù)，可以定義哪些數(shù)據(jù)流需要保護，怎樣保護IPSec的兩種模式：Transportmode（保護IP包的datapayload）、Tunnelmode（保護整個IP包，包括IP包頭）VPN常用解決方案AccessVPN：主要提供給公司內(nèi)部在外出差和在家辦公人員與公司建立通信。IntranetVPN：主要提供給公司內(nèi)部各分支

30、辦公室與中心辦公室之間建立通信。ExtranetVPN：主要提供給合作伙伴和重要客戶與本公司建立通信。LANtoLANVPN：經(jīng)由Internet建立遠程多個網(wǎng)絡(luò)間加密私有信道，可取代多條長途專線,節(jié)省通訊成本，如圖下圖圖4所示。PublicInternet圖4由Internet建立的多個網(wǎng)絡(luò)間加密私有通道圖4.7VPN的網(wǎng)絡(luò)設(shè)備FirewallBasedVPN（防火墻的添加功能，具有多樣的安全政策；以GatewaytoGateway方式運作；成本較低，安全性高，可隨頻寬需求選擇機型）、RouterBasedVPN（路由器的附加功能，3C0M,Cisco提供；擴充成本低，效果差）、專用VPNHardware（處理速度快，擴充成本高；產(chǎn)品:VSU、Securesuite2000等）?？蛻糨W應商ADSL.Cable寬帶總公司LANVPHGateway總公同LANVPNGaleway外地分公司,工廠L.MTVT3高速專緩Mil總公司LANVP