第3章 链路层安全通信协议.ppt

PPP帧的封装格式： 运行： 拨号?链接?LCP协商?NCP临时IP地址?通信?LCP释放连接 CHAP和PAP比较 PAP通过链路直接发送明文口令；CHAP利用散列算法对口令进行加密。 CHAP对于返回的口令进行认证；PAP没有。 CHAP不定时的向客户端重复发送呼呼叫口令，避免第三方攻击。 优点很多，但是也存在缺点，缺点如下： 存在风险： 服务器端，用户口令明文存储，入侵者入侵服务器即可。 协议只支持认证服务器对用户的单项认证，假冒的认证服务器就可以欺骗用户。 为防止插入信道攻击，服务器需要周期性的发送呼叫信息重新认证。周期时间过长为入侵者留下机会，如果周期过短，增加通信的计算机量。 PNS（ PPTP网络服务器）：是PPTP协议的客户-服务器模型的服务器端，是PPP NCP协议的逻辑终点，能处理PPTP协议协议分组。 会话（session）：建立了一条PPP连接后，形成一次会话。因此是面向连接的，PNS和pac为会话维护。 隧道：一个隧道由PAC,PNS定义，隧道协议由通用路由封装协议（GREv2）定义。可供多个会话复用的传输PPP数据报。 L2TP协议——AVP隐藏 IETF定义了六类AVP：见教材 隐藏条件：共享密钥+H置位+前置随机向量AVP+AVP类型满足 隐藏过程：长度与值域格式转换为中间格式 ?MD5（属性类型+密钥+前置向量值） ?AVP值=MD5-Value⊕中间格式前16Byte 不能被隐藏的AVP值：消息类型AVP+随机向量AVP+报错消息AVP 郑州轻工业学院计算机与通信 L2TP协议——AVP类型 适用所有控制消息的AVP：见表3.3 用于报告结果与错误代码AVP：见表3.4 用于控制连接管理的AVP：见表3.5 （要求掌握） 用于呼叫管理的AVP：见表3.6 （要求掌握） 用于身份认证的AVP：见表3.7（要求掌握） 用于显示呼叫状态的AVP：见表3.8 郑州轻工业学院计算机与通信 L2TP协议——控制连接 建立过程：发起者：SCCRQ?应答者，应答者：SCCRP?发起者，发起者：SCCCN?应答者 握手特点：无需预先TCP连接+UDP报文承载+独立分配隧道ID+身份认证解决+冲突问题解决 隧道维护：两端通过hello消息保活隧道 隧道关闭：发起方：stopCCN?接收方，接收方:ZIB?发起方，接收方等待一个发送周期，双方释放资源 郑州轻工业学院计算机与通信 L2TP协议——呼叫 呼叫类型：出站呼叫+入站呼叫 出站呼叫：LNS：OCRQ?LAC，LAC:OCRP?LNS，LNS：OCCN?LAC 出站呼叫特点：呼叫ID+隧道分用服用 入站呼叫：LAC：ICRQ?LNS， LNS:ICRP?LAC， LAC：ICCN? LNS 会话维护：WEN+SLI 会话关闭：用户:PPP-TP?LNS:CDN?LAC 郑州轻工业学院计算机与通信 L2TP协议——状态 郑州轻工业学院计算机与通信 发起方 接收方 空闲 空闲 SCCRQ 等待回应 等待连接 SCCRP 连接建立 连接建立 SCCCN StopCCN L2F协议(1) 第二层转发协议（L2F）用于建立跨越公共网络（如因特网）的安全隧道来将 ISP POP 连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。 第二层转发协议（L2F）允许高层协议的链路层隧道技术。使用这样的隧道，使得把原始拨号服务器位置和拨号协议连接终止与提供的网络访问位置分离成为可能。 L2F 允许在其中封装 PPP/SLIP 包。ISP NAS 与家庭网关都需要共同了解封装协议，这样才能在因特网上成功地传输或接收 SLIP/PPP 包。 郑州轻工业学院计算机与通信 L2F协议(2) 郑州轻工业学院计算机与通信 Version ― 用于创建数据包的 L2F 软件的主修版本。 Protocol ― 协议字段，规定 L2F 数据包中传送的协议。 Sequence ― 当 L2F 头部的 S 位设置为1时的当前序列号。 L2F协议(3) Multiplex ID ― 用于识别一个隧道中的特殊链接。 Client ID (CLID)―支持解除复用隧道中的终点。 Length ― 整个数据包的长度大小（八位形式），包括头、所有字段以及有效负载。 Offset ― 规定 L2F 协议头的字节数，协议头是有效负载数据起始位置。如果 L2F 头部的 F 位设置为1时，就会有该字段出现。 Key ― 在将 K 位设置在 L2F 协议头的情况。这属于认证过程。 Checksum ― 数据包的校验和。Checksum 字段出现在 L2F 协议头中的 C 位设置为1的情况。 郑州轻工业学院计算机与通信 PPTP与L2TP协议分析 PPTP优点：远程访问