中国农药大辞典pdf:win2000中，VPN的加密方式

虚拟专用网络（VPN）

许多厂商从工业标准中脱离出来，所实现的VPN不能相互操作。Windows 2000的设计采用IETF 标准来支持多个厂商环境中的互操作性并且可以给用户提供一个开放的解决方案。这篇文档将会解释互操作性问题并且给用户和厂商提供一些推荐标准来保证一个开放的、可互操作的远程访问和网络环境。
--------------------------------------------------------------------------------

目录

安全性
可用性
高性能
互操作性
易于管理
总结
相关链接

--------------------------------------------------------------------------------

在Windows NT 4.0操作系统中的原始的虚拟专用网络（ virtual private networking ，简称VPN) 技术是如今市场上最受欢迎的技术。Windows® 2000操作系统通过集成目录服务来得到更简单、可伸缩的管理，以及通过支持更多的VPN安全用户授权和加密标准改善了它的先辈操作系统。通过增强客户-服务器和服务器-服务器VPN管理和安全性，以及广泛的协议支持， Windows 2000 允许机构优化他们的通信基础结构来创建特别的远程访问解决方案。

安全性 回到页首

对于任何远程访问解决方案的最关键因素是安全性。Windows 2000通过使用基于标准的技术为基于Window的VPN通信提供安全授权、验证和数据加密。

身份验证
身份验证是一个确认的过程，来保证远程用户是经过授权来访问网络的。Windows 2000 提供一些技术来达到这个目的：

预先共享的密钥。这个方法使用一个共享的、保密的密钥，两个系统事先都知道这个密钥。这可以自动通过Microsoft® 点对点加密协议（Point-to-Point Encryption，简称MPPE)进行管理，或者使用Internet安全协议（Internet Protocol Security ，简称IPSec)进行手动配置。
Kerberos V5安全协议。这个 Internet标准安全协议是Windows 2000中缺省的授权验证技术。 Kerberos 为口令在网络中传输提供高级加密。Windows 2000操作系统支持受信任的域的任何Kerberos V5客户端。
公开密钥认证。Windows 2000通过Internet密钥交换服务（Internet Key Exchange services ，简称IKE）支持公开密钥认证和它们的管理。这个解决方案需要管理认证或与一个受信任的分发X.509版本3证书的认证机构联系。
Windows 2000 通过使用扩展验证协议（Extensible Authentication Protocol ，简称EAP）支持验证的第二代理人形式增强了这些验证形式。这些验证的第二代理人形式要求获得两个信息：用户的口令和一个额外的信任书例如证书、智能卡、令牌卡或生物测定设施（例如，指纹或眼睛扫描）。

授权
Windows 2000通过集成安全性和文件、打印和其他网络资源的目录基础结构以及服务简化了授权过程。网络资源授权，然后是将权限分配到活动目录服务中适当的用户或用户组是一种共享网络资源的比较简单的形式。继承的简单层次化形式控制对共享资源的访问。

数据加密
为了更好地保护网络数据，Windows 2000支持 IPSec数据加密策略，例如：

标准 40-和56-位加密。
数据加密标准（Data Encryption Standard，简称DES)和两个56-位密钥的3DES。
128/40位加密算法，使用带有Microsoft点对点加密协议（Microsoft Point-to-Point Encryption ，简称MPPE)的RSA数据安全（RSA Data Security，简称RSA RC4）公开/私有密钥算法。
基于MPPE的 VPN解决方案也是与Windows 2000 网络地址转换（network address translation ，简称NAT）包过滤服务相互兼容的，其中地址转换是将内部地址对外部进行屏蔽的方法。

可用性 回到页首

远程访问对商务活动非常重要，应该在任何时间从任何地点都可以使用。通过Windows 2000 高级服务器，用户可以将VPN服务器的用户进行群集，来提供更大可用性。远程服务可以在对于安装的客户透明的情况下逐步进行部署。这些服务实现了Windows 2000硬件供应商解决方案的故障恢复和冗余硬件功能。结果是在一个开放平台上可以得到更高的可用性和可靠的网络访问解决方案。

性能 回到页首

Windows 2000通过支持硬件、软件技术和特性的结合增强了 VPN的性能。Windows 2000硬件集成支持：

多个处理器。
多链接服务。
高带宽介质。
卸载网络适配器的TCP/IP地址管理的接口。
卸载网络适配器加密的接口。
Windows 2000软件服务提供：

增强的TCP/IP协议栈。
网络流量压缩。
基于标准的服务质量网络通信优先级。
在一个群集环境中的负载平衡服务。
这些硬件和软件服务的结合保证了Windows 2000 VPN解决方案可以提供高性能的网络访问。

互操作性 回到页首

Windows 2000支持带有增强点对点隧道协议（Point-to-Point Tunneling Protocol ，简称PPTP)、第二层隧道协议（Level 2 Tunneling Protocol ，简称L2TP)和使用支持IPSec的L2TP的用户授权和数据加密的工业标准的 VPN。将 L2TP与IPSec加密集成可以为远程网络客户端提供一个十分安全、端到端的、基于标准的解决方案。基于Internet标准的好处是可以允许在各个兼容标准的系统中支持互操作性，提供用户授权、保密和数据完整性。对基于用户的授权的支持是区别Windows 2000 和其他基于优先级用户授权策略或基于机器授权技术的互操作性和安全性比较差的解决方案的重要因素。

易于管理 回到页首

要简化 VPN 管理，Windows 2000为客户和服务器端都提供相应的管理工具来改善远程访问实现。

使用连接管理器管理工具箱（Connection Manager Administration Kit ，简称CMAK）可以自动地配置和管理基于Windows 2000的客户端。使用 CMAK 来创建一个可自定义的部署模块，随后在用户之间进行分发，管理员可以为所有的公司用户提供简单、安全的本地拨号和VPN连接。 访问许可在活动目录中集中存储，通过Internet 授权服务（Internet Authentication Service 简称IAS)）可以容易地应用策略。这些可伸缩的、基于策略的管理服务也可以通过远程授权拨入用户服务（Remote Authentication Dial-In User Service，简称RADIUS）支持伸展到非基于Windows的系统，增强了互操作性。Windows 2000通过支持自动认证和使用IPSec 的Internet密钥交换协议（Internet Key Exchange protocol ，简称IKE)密钥管理简化了管理更加复杂的基于证书的安全系统的过程。Windows 2000 甚至可以通过允许IPSec 加密的Kerbero标签消除手工安装证书的需要。对于大多数 VPN 的实现， Windows 2000通过使用预先共享的密钥提供自动密钥管理服务，这样可以在连接端点之间提供简单有效的128位加密通信。

总结 回到页首

Windows 2000为机构提供一个安全、高可用性、高性能的VPN解决方案。这个解决方案提供集成的客户-服务器标准支持和管理工具，这样可以方便管理并且确保互操作性。结果是可以得到一个全面的VPN 解决方案在跨Internet连接个人和远程办公机构，因此可以增加员工的工作效率，降低操作费用并且允许新形式的商业合作。