网络安全应用技术 VPN技术详细说明（三）

　　七、隧道协议和基本隧道要求

　　因为第2层隧道协议（PPTP和L2TP）以完善的PPP协议为基础，因此继承了一整套的特性。

　　用户验证

　　第2层隧道协议继承了PPP协议的用户验证方式。许多第3层隧道技术都假定在创建隧道之前，隧道的两个端点相互之间已经了解或已经经过验证。一个例外情况是IPSec协议的ISAKMP协商提供了隧道端点之间进行的相互验证。

　　令牌卡（Tokencard）支持

　　通过使用扩展验证协议（EAP），第2层隧道协议能够支持多种验证方法，包括一次性口令（one-timepassword)，加密计算器（cryptographic calculator）和智能卡等。第3层隧道协议也支持使用类似的方法，例如，IPSec协议通过ISAKMP/Oakley协商确定公共密钥证书验证。

　　动态地址分配

　　第2层隧道协议支持在网络控制协议（NCP）协商机制的基础上动态分配客户地址。第3层隧道协议通常假定隧道建立之前已经进行了地址分配。目前IPSec隧道模式下的地址分配方案仍在开发之中。

　　数据压缩

　　第2层隧道协议支持基于PPP的数据压缩方式。例如，微软的PPTP和L2TP方案使用微软点对点加密协议（MPPE）。IETP正在开发应用于第3层隧道协议的类似数据压缩机制。

　　数据加密

　　第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法，例如，IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安全。

　　密钥管理

　　作为第2层协议的MPPE依靠验证用户时生成的密钥，定期对其更新。IPSec在ISAKMP交换过程中公开协商公用密钥，同样对其进行定期更新。