第3章链路层安全通信协议(免费阅读).pptVIP

郑州轻工业学院计算机与通信学院 第三章链路层安全通信协议 郑州轻工业学院计算机与通信 内 容 提 要 点对点隧道协议PPTP Point to point tunneling protocol Microsoft/Ascend/3com支持在winnt4.0上使用 第二层转发协议L2F layer 2 forwarding Cisco/北方电信支持 第二层隧道协议L2TP layer 2 tunneling protocol 公司达成共识，结合上面的优点。 PPP通信协议point to point protocol 设计目标：PPP为同等单元间传输数据包的链路而设计。 特点：全双工+顺序传递数据包+简单连接共通 协议构成：封装+LCP+NCP 封装：对不同网络层协议的上层数据包封装到串行链路 LCP链路控制协议:双方通过他建立配置测试链路连接 NCP网络控制协议：建立配置不同的网络层协议，解决上层发生的问题 帧类型：配置确认帧（全接受）+配置否认帧（全否定）+配置拒绝帧 （选项部分有问题，不能识别或不能接收，还需协商） 郑州轻工业学院计算机与通信 PPP帧的封装格式： 标志 地址 控制 协议 数据（《1500字节） CRC 标志 一个字始和结束（7E） 一个字广播地址） 一个字2个字节代表数据字段的网络层协议 2个字节循环冗余校验码（检测错误） 运行： 拨号?链接?LCP协商?NCP临时IP地址?通信?LCP释放连接 建立 认证 终止 打开 静止 网络 失败 检测到载波 载波停止 NCP配置 认证成功 通信结束 失败 双方协商 一些选项 郑州轻工业学院计算机与通信 PPP通信协议安全机制（1） PPP安全机制：通信主机认证协议 安全协议类型： PAP协议+ CHAP协议+ MPPE协议 认证时机：H拨号?R检测到载波信号?物理链接建立?H发送链路层配置请求帧?R发送链路层配置响应帧?协商完成?认证?网络配置?通信 PAP协议（口令认证）：口令认证协议?明文通信+明文存储 认证过程：H通信请求?NAS（network access server网络接入服务器）响应要求：帐号-密码?H 发送明文帐号-密码?NAS查找用户帐户表（明文存储）?成功?H配置网络?回应允许通信?分配IP地址?通信 郑州轻工业学院计算机与通信 PPP通信协议安全机制（2） CHAP协议（呼叫握手认证协议）：密文通信+明文存放+单向认证+周期重新认证 适用接入方式：PSTN+拨号连接+专用链接 握手认证过程（as为服务器，U为客户端，R为随机数）U?AS:Req开始， 1.AS?U:R， 2.U?AS:H 1(PW||R)，//PW为口令，计算H值，送到认证服务器 3. AS计算H2(PW||R)，比较H1和H2，如果一致,配置网络?U:IP地址?开始通信（as中存放用户明文口令） CHAP和PAP比较 PAP通过链路直接发送明文口令；CHAP利用散列算法对口令进行加密。 CHAP对于返回的口令进行认证；PAP没有。 CHAP不定时的向客户端重复发送呼呼叫口令，避免第三方攻击。 优点很多，但是也存在缺点，缺点如下： 存在风险： 服务器端，用户口令明文存储，入侵者入侵服务器即可。 协议只支持认证服务器对用户的单项认证，假冒的认证服务器就可以欺骗用户。 为防止插入信道攻击，服务器需要周期性的发送呼叫信息重新认证。周期时间过长为入侵者留下机会，如果周期过短，增加通信的计算机量。 郑州轻工业学院计算机与通信 PPP通信协议安全机制（3） MPPE是微软设计的。MPPE的含义？知道吗？ （Microsoft Point-To-Point Encryption, 微软点对点加密） 特点：端端加密+双向数据认证+CCP调用+预共享密钥 认证时机：LCP协商完成之后，NCP协商之前 认证过程：LCP协商完成?源CCP通信请求+MPPE加密选项?CCP目的回应选项?协商成功，配置网络?通信 郑州轻工业学院计算机与通信 PPTP协议——概述 PPTP：用于在 IP 网络上建立 PPP 会话 构成：PAC+源端GRE+IP信道+PNS+目的端GRE（通用路由封装） 呼叫：通信发起端建立通信连接的请求/企图（猫之间电话呼叫） 控制连接：PAC-PNS间的TCP连接，管理会话与链接本身 NAS（网络接入服务器）：用于管理PSTN/ISDN 用户接入的网络服务器，为每个用户提供临时、随时的服务。 PAC（PPTP接入控制客户端）：与PSTN/ISDN 链接、执行PPP操作、处理PPTP的控制器，是PPTP的客户端 PNS（ PPTP网络服务器）：是PPTP协议的客户-服务器