试题10（2005年下半年试题12）

某业务员需要在出差期间能够访问公司局域网中的数据，与局域网中的其他机器进行通信，并且保障通信的机密性。但是为了安全，公司禁止Internet上的机器随意访问公司局域网。虚拟专用网使用　（12）　协议可以解决这一需求。

（12）A．PPTP
B．RC-5
C．UDP
D．Telnet

试题10分析

虚拟专用网（Virtual Private Network，VPN）是在公共Internet之上为政府、企业构筑安全可靠、方便快捷的私有网络，并可节省资金。VPN技术是广域网建设的最佳解决方案，它不仅会大大节省广域网的建设和运行维护费用，而且增强了网络的可靠性和安全性，同时会加快网络的建设步伐，使得政府、企业不仅仅只是建设内部局域网，而且能够很快地把各分支机构的局域网连起来，从而真正发挥整个网络的作用。

VPN具体实现是采用隧道技术，将内部网的数据封装在隧道中，通过Internet进行传输。因此，VPN技术的复杂性首先建立在隧道协议复杂性的基础之上。现有的隧道协议中最为典型的有GRE、IPSec、L2TP、PPTP和L2F等。其中，GRE和IPSec属于第三层隧道协议，L2TP、PPTP和L2F属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在何种数据包中在隧道中传输的。在众多VPN相关协议中，最引人注目的是L2TP与IPSEC。其中IPSEC已完成了标准化的工作。

VPN系统使分布在不同地方的专用网络，在不可信任的公共网络上安全地进行通信。它采用复杂的算法来加密传输信息，使得敏感的数据不会被窃取。

VPN网络的特性使一些专用的私有网络的建设者可以完全不依赖ISP而通过公网来实现VPN。正是因为VPN技术根据需要为特定安全需求的用户提供保障，所以VPN技术应该有相当广阔的前景。

考生对试题中的UDP和Telnet应该都比较熟悉，下面简单介绍一下RC-5和PPTP。

RC-5是一种对称密码算法，使用可变参数的分组迭代密码体制，其中可变的参数为分组长（为两倍字长w位），密钥长（按字节数计b）和迭代轮数i（以RC-5-w/r/b）。它面向字结构，便于软件和硬件的快速实现，适用于不同字长的微处理器。通过字长、密钥长和迭代轮数三个参数的配合，可以在安全性和速度上进行灵活的折中选择。RC-5加密效率高，适合于加密大量的数据。

RC-5由R．Rivest设计，是RSA实验室的一个产品。RC-5还引入了一种新的密码基本变换数据相依旋转（Data-Dependent Rotations）方法，即一个中间的字是另一个中间的低位所决定的循环移位结果，以提高密码强度，这也是RC-5的新颖之处。

PPTP是由多家公司专门为支持VPN而开发的一种技术。PPTP是一种通过现有的TCP/IP连接（称为隧道）来传送网络数据包的方法。VPN要求客户端和服务器之间存在有效的互联网连接。一般服务器需要与互联网建立永久性连接，而客户端则通过ISP连接互联网，并且通过拨号网（Dial-Up Networking，DUN）入口与PPTP服务器建立服从PPTP协议的连接。这种连接需要访问身份证明（如用户名，口令和域名等）和遵从的验证协议。RRAS为在服务器之间建立基于PPTP的连接及永久性连接提供了可能。

只有当PPTP服务器验证客户身份之后，服务器和客户端的连接才算建立起来了。PPTP会话的作用就如同服务器和客户端之间的一条隧道，网络数据包由一端流向另一边。数据包在起点处（服务器或客户端）被加密为密文，在隧道内传送，在终点将数据解密还原。因为网络通信是在隧道内进行，所以数据对外而言是不可见的。隧道中的加密形式更增加了通信的安全级别。一旦建立了VPN连接，远程的用户可以浏览公司局域网LAN，连接共享资源，收发电子邮件，就像本地用户一样。

试题10答案

（12）A