安全协议ppt-第2章-链路层扩展课件.ppt

《安全协议ppt-第2章-链路层扩展课件.ppt》由会员分享，可在线阅读，更多相关《安全协议ppt-第2章-链路层扩展课件.ppt（27页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多第2章 链路层扩展L2TP杨礼珍寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多作业nP.47，思考题6、7、8寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多学习内容n概述n点到点协议PPPn第二层隧道协议L2TP寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多概述n第二层隧道

2、协议（L2TP）是对点对点协议(PPP）的扩展，工作于应用层。n PPP不能适应移动办公等场合，因此互联网工程任务组（IETF）制定了L2TP以对PPP进行扩展。n L2TP允许客户跨越一个或多个IP网络建立虚拟的点到点链路。n L2TP不提供机密性，只提供了对口令等敏感信息的加密方法，以及基于共享秘密的身份认证方法。nL2TP和IPSec构建虚拟专用拨号网络（VPDN）。寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多点到点协议PPPnPPP协议流程寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的

3、寒假。但是，目前社会上寒假招工的陷阱很多寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多认证协议PAP和CHAPnPAP：基于口令的认证方法。n账号和口令以明文传输，无法防止窃听、重放和穷举攻击。只适合对网络安全要求较低的环境。n仅在建立链路阶段使用，在数据传输过程中不能使用。寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多CHAPnCHAP是基于挑战的认证协议。n挑战口令(challenge)c包含了会话ID和随机数。n连接过程中，CHAP不定期向客户端重复

4、发送挑战口令，避免第三方冒充远程客户。nCHAP可在链路建立和数据通信阶段多次使用。n具有认证功能，但不提供数据机密性。寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多第二层隧道协议L2TPnL2TP发展史qL2TP起源于L2F(思科第二层转发)和PPTP（点到点隧道协议）。q1999年，IETF公布了L2TF的标准RFC 2661。q2005年，IETF公布了L2TF的新版本L2TFv3的标准RFC 3931。nL2TP处于网络接口层寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前

5、社会上寒假招工的陷阱很多L2TP构架n组成：qLAC（L2TP接入集中器）qLNS（L2TP网络服务商）q远程主机q局域网n模式：q强制模式：主机向LAC发送PPP帧，LAC对PPP帧用L2TP封装后转发给LNS，LNS对报文解封后把PPP帧发给内部局域网。q自发模式：主机独立运行L2TP，直接与LNS建立隧道。寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多L2TP构架强制模式(compulsory tunneling mode)寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会

6、上寒假招工的陷阱很多L2TP构架自发模式（voluntary tunneling mode）寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多L2TP构架nL2TP的消息类型q数据消息：通过数据通道传输，不保证数据的可靠传输，承载PPP帧。q控制消息：通过控制通道传输，保证控制消息的可靠传输，用于L2TP隧道和会话的协商及维护。nL2TP连接类型：q控制连接：一条隧道只有一个控制连接。q会话：一条隧道可承重多个会话。寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很

7、多L2TP协议流程n建立控制连接：LAC和LNS协商控制连接参数，并利用CHAP验证对方身份。n建立会话：q呼入会话：来自远程客户端的呼叫q呼出会话：来自LNS的会话建立请求n数据传输n终止会话n终止控制连接n每个阶段可能需要实体长度为0的确认报文（ZLB ACK报文）寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多L2TP隧道建立、呼入会话建立和数据交互例子寒假来临，不少的高中毕业生和大学在校生都选择去打工。准

8、备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多L2TP的建立控制流程（建立隧道）n建立控制连接流程：qLAC向LNS发起隧道建立请求SCCRQqLNS收到请求后进行应答SCCRPqLAC收到应答后再给LNS返回确认SCCNn建立控制流程中身份认证过程：qLAC向LNS发起隧道建立请求SCCRQ中包含了CHAP中的挑战信息，用于验证对等端身份。qLNS的响应SCCRP中包含了“挑战响应”：对CHAP的响应以证明自己的身份，和为验证对方而发出的挑战信息。qSCCN报文中包含对SCCR的响应，以证明自己的身份。寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义

9、的寒假。但是，目前社会上寒假招工的陷阱很多L2TP的会话建立流程n呼入会话qICRQ：LAC向LNS发出建立会话请求，并协商会话参数qICRP：LNS响应ICRQ，该报文只包含会话ID。qICCN：LAC向LNS通告一些参数q确认（可选）：LNS返回确认。寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多L2TP的会话建立流程n呼出会话qOCRQ：LNS向LAC发出建立会话请求，要求呼叫某个远程客户。qOCRP：LAC的响应。qOCCN：若呼叫成功，则LNS向LAC发出报文。q确认（可选）：LNS返回确认。寒假来临，不少的高中毕

10、业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多L2TP的数据通信流程n该阶段通信双方互相传送PPP报文：qLAC将远程客户的PPP帧作为L2TP报文的数据区封装在L2TP报文中，通过隧道发送给LNS。qLNS还原PPP帧，并发送到PPP链路上。寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多L2TP协议流程nL2TP隧道的维护：确认对等端的隧道结构依然存在qLAC或LNS发出Hello报文q对应的LNS或LAC发出确认信息。nL2TP隧道拆除：q任何一端发出拆链通知StopCCN

11、q对等端返回确认寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多L2TP的代理认证LAC可以代理LNS认证某个PPP客户的身份，并把认证涉及的信息转发给LNS。例：nLAC向PPP客户发送代理认证挑战c。nPPP客户对LAC的挑战做出响应r。nLAC把挑战c和响应r放在ICCN中发送给LNS。nLNS认证PPP客户的身份。寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多L2TP的可靠性机制nL2TP保证消息可靠投递的机制和TCP思想一样：q每个L2TP报文都包

12、含序号，以防乱序和丢失qL2TP使用肯定确认防止报文丢失。qL2TP使用滑动窗口技术提高通信效率并进行流量控制。qL2TP使用慢启动策略防止拥塞。寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多L2TP的报文格式（符号含义见p.40）寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多L2TP的报文格式n负载部分q对数据消息为PPP帧q对控制消息为AVP形式nAVP：L2TP中的控制消息中的所有消息都以AVP的形式存在。nAVP格式：参见课本p.41 图2.18寒

13、假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多L2TP的报文格式nAVP的属性值加密方式：qH比特设置为1q首先由原来的属性生成HAS（隐藏AVP子格式）q将HAS划分为16字节的分组p1,p2,piq加密过程如下：nc1=p1 MD5(AV|S|RV)nc2=p2 MD5(S|c1)nnci=pi MD5(S|ci-1)n其中AV是属性类型，S是通信双方的共享秘密，RV为随机向量q加密后的属性值字段是：c1|c2|ci寒假来临，不少的高中毕业生和大学在校生都选择去打工。准备过一个充实而有意义的寒假。但是，目前社会上寒假招工的陷阱很多L2TP的安全性分析n不提供对PPP数据的机密性和完整性保护，基于共享秘密，可对控制消息的属性值进行加密。n基于共享秘密，CHAP提供了端点身份认证功能。n未提供共享秘密的生成方法nL2TP和IPSec的结合