第3章节链路层安全通信协议课件PL2FL2TP课件(564KB).ppt

L2TP协议——状态 发起方 郑州轻工业学院计算机与通信 接收方 空闲 空闲 SCCRQ 等待回应 等待连接 SCCRP 连接建立 连接建立 SCCCN StopCCN L2F协议(1) 第二层转发协议（L2F）用于建立跨越公共网络（如因特网）的安全隧道来将 ISP POP 连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。 第二层转发协议（L2F）允许高层协议的链路层隧道技术。使用这样的隧道，使得把原始拨号服务器位置和拨号协议连接终止与提供的网络访问位置分离成为可能。 L2F 允许在其中封装 PPP/SLIP 包。ISP NAS 与家庭网关都需要共同了解封装协议，这样才能在因特网上成功地传输或接收 SLIP/PPP 包。 郑州轻工业学院计算机与通信 L2F协议(2) Version ― 用于创建数据包的 L2F 软件的主修版本。 Protocol ― 协议字段，规定 L2F 数据包中传送的协议。 Sequence ― 当 L2F 头部的 S 位设置为1时的当前序列号。 郑州轻工业学院计算机与通信 L2F协议(3) Multiplex ID ― 用于识别一个隧道中的特殊链接。 Client ID (CLID)―支持解除复用隧道中的终点。 Length ― 整个数据包的长度大小（八位形式），包括头、所有字段以及有效负载。 Offset ― 规定 L2F 协议头的字节数，协议头是有效负载数据起始位置。如果 L2F 头部的 F 位设置为1时，就会有该字段出现。 Key ― 在将 K 位设置在 L2F 协议头的情况。这属于认证过程。 Checksum ― 数据包的校验和。Checksum 字段出现在 L2F 协议头中的 C 位设置为1的情况。 郑州轻工业学院计算机与通信 PPTP与L2TP协议分析 PPTP优点：远程访问内联网+低成本 PPTP缺点：依赖PPP身份认证+隧道数据不加密通信+无数据认证+固定消息格式不灵活+只适应IP网 L2TP优点（相对于PPTP）：适应IP网与非IP网+AVP构造控制消息+可以通过AVP隐藏传递敏感消息+简单隧道身份认证 L2TP缺点：隧道有限认证+预先共享认证密钥+数据不加密通信+无数据认证 郑州轻工业学院计算机与通信 * 第三章链路层安全通信协议 计算机科学与通信工程学院 熊 坤 2008年7月28日 郑州轻工业学院计算机与通信学院 内 容 提 要 点对点隧道协议PPTP 第二层转发协议L2F 第二层隧道协议L2TP 郑州轻工业学院计算机与通信 PPP通信协议 设计目标：PPP为同等单元间传输数据包的链路而设计。 特点：全双工+顺序传递数据包+简单连接共通 构成：封装+LCP+NCP 运行： 拨号?链接?LCP协商?NCP临时IP地址?通信 帧类型：配置确认帧+配置否认帧+配置拒绝帧 状态转换：教材P36 协议规范： 郑州轻工业学院计算机与通信 PPP通信协议安全机制（1） PPP安全机制：通信主机认证协议 安全协议类型： PAP协议+ CHAP协议+ MPPE协议 认证时机：H拨号?R检测到载波信号?物理链接建立?H发送链路层配置请求帧?R发送链路层配置响应帧?协商完成?认证?网络配置?通信 PAP协议：口令认证协议?明文通信+明文存储 认证过程：H通信请求?NAS响应要求：帐号-密码?H 发送明文帐号-密码?NAS查找用户帐户表（明文存储）?成功?H配置网络?回应允许通信?分配IP地址?通信 郑州轻工业学院计算机与通信 PPP通信协议安全机制（2） CHAP协议（握手认证协议）：密文通信+明文存放+单向认证+周期重新认证 适用接入方式：PSTN+拨号连接+专用链接 握手认证过程：U?AS:Req开始， 1.AS?U:R，2.U?AS:H1(PW||R)，3. AS计算H2(PW||R)，比较H1和H2，如果一致,配置网络?U:IP地址?开始通信 存在风险：服务器攻击+服务器假冒 郑州轻工业学院计算机与通信 PPP通信协议安全机制（3） MPPE：端端加密+双向数据认证+CCP调用+预共享密钥 认证时机：LCP协商完成之后，NCP协商之前 认证过程：LCP协商完成?源CCP通信请求+MPPE加密选项?CCP目的回应选项?协商成功，配置网络?通信 郑州轻工业学院计算机与通信 PPTP协议——概述 郑州轻工业学院计算机与通信 PPTP：用于在 IP 网络上建立 PPP 会话 构成：PAC+源端GRE+IP信道+PNS+目的端GRE 呼叫：通信发起端建立通信连接的请求/企图 控制连接：PAC-PNS间的TCP连接，管理会话与链接本身 NAS：用于管理