密码学应用课程内容知识子域：VPN技术为什么使用VPN图1非VPN远程访问设置为什么使用VPN与传统专用网相比，VPN给企业带来很多的好处，同时也给服务供应商特别是ISP带来很多机会。 如:VPN给企业带来的好处主要有以下四点： （1）降低成本 （2）易于扩展 （3）可随意与合作伙伴联网 （4）完全控制主动权加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。 信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。 提供访问控制，不同的用户有不同的访问权限。 VPN的类型按协议层次分类的VPN按体系结构分类的VPNVPN的使用方式VPN的工作原理及关键技术本质区别在于用户在隧道中传输的数据包是被封装在哪种数据包中。 隧道技术按其拓扑结构分为点对点隧道和点对多隧道，而VPN主要采用点对点隧道。 目前存在多种VPN隧道，包括L2TP、PPTP、IPSec、MPLS、SSLInternet保证VPN安全性通过以下手段： 隧道和加密：在安全性较高的场合使用加密隧道保护私有数据不被非法窥视和篡改。 数据验证：数据验证使接收方识别被篡改的数据，保证数据完整性。 身份验证：通过AAA，路由器提供用户验证、访问级别和访问记录，禁止非法访问。 抗重放：防止数据包被扑捉并重新投放到网上。拨号服务器 内部工作子网 内部工作子网保留构建VPN的另一重要需求是有效的利用有限的广域网资源，为重要数据提供可靠的带宽。QoS（服务质量）通过流量预测与流量控制策略，可按照优先级分配带宽管理，使各类数据合理的先后发送，并预防阻塞的发生，因此，在设计VPN时需考虑采用多种QoS策略以优化网络资源.VPN要求企业将其网络管理功能无缝延伸到公用网，甚至是客户和合作伙伴。虽然可将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。二层隧道协议 IPSec协议 SSL协议二层隧道协议主要有三种: PPTP：微软、Ascend、3COM等公司支持。 L2F：Cisco、北方电信等公司支持，在Cisco路由器中有支持。 L2TP：由IETF起草，微软、Ascend、Cisco、3COM等公司参与，结合了上面两个协议的优点，成为有关二层隧道协议的的工业标准。L2TP协议IPSec协议实际上是一个协议包而不是一个单个的协议。自从1995年IPSec的研究究工作开始以来，现在已经积累了大量的标准文件集。 IPSec的安全协议由三个主要的协议组成，它由下图的第二层以及加密和认证算法组成。 Internet安全协商和密钥管理协议（ISAKMP）是IPSec的另一个主要组件。ISAKMP提供了用于应用层服务的通用格式，它支持IPSec协商方的密钥管理需求。IP安全结构AH主要提供数据来源认证、数据完整性验证和防报文回放攻击功能。 包含两种模式：传输模式和隧道模式。 隧道模式需要为每个包创建一个新的IP包头。 传输模式不需要创建新的IP包头。AH隧道模式包除了AH协议的功能外，ESP还提供对IP报文的加密功能。 包括两种模式：隧道模式和传输模式。SSL(SecuresocketLayer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用WebServer方式。 包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。 SSL通过在浏览器软件和web服务器之间建立一条安全通道，实现信息在Internet中传送的保密性。在TCP/IP协议族中，SSL位于TCP层之上、应用层之下。 可以独立于应用层，从而使应用层协议可以直接建立在SSL之上。 包含：SSL记录协议、SSL握手协议、SSL更改密码说明协议和SSL警告协议。SSL协议连接是保密的：对于每个连接都有一个唯一的会话密钥，采用对称密码体制（如DES等）加密数据。 连接是可靠的：消息的传输采用MAC算法进行完整性检验。 对端实体的鉴别采用非对称密码体制进行认证。项目连接分支机构（IntranetVPN） 连接合作伙伴（ExtranetVPN） 连接远程用户（AccessVPN）一个组织结构的总部或者中心网络与跨地域的分支机构网络在公共通信基础设施上采用隧道技术和密码技术等VPN技术构成组织机构“内部”的虚拟专用网络。 还具有管理上的自主可控、策略集中配置和分布式安全控制等安全特性。 内联网VPN是解决内联网的结构安全、连接安全和传输安全的主要方法。 内联网VPN（连接分支机构）使用虚拟专用网络技术在公共通信基础设施上将合作伙伴或