第4章 网络安全协议
4.1.2 PPTP协议
建立PPTP连接，首先要建立客户端与本地ISP的PPP连 接。一旦成功地接入因特网，下一步就是建立PPTP连接。 从最顶端PPP客户端、PAC和PNS服务器之间开始，由已 经安装好PPTP的PAC建立并管理PPTP任务。如果PPP客户 端将PPTP添加到它的协议中，所有列出来的PPTP通信都 会在支持PPTP的客户端上开始与终止。由于所有的通信都 将在IP包内通过隧道，因此PAC只起着通过PPP连接进因 特网的入口点的作用。从技术上讲，PPP包从PPTP隧道的 一端传输到另一端，这种隧道对用户是完全透明的。
数据链路层加密就是简单地对要通过物理媒介传输的 每一个字节进行加密；解密则在收到时处理。这可以保证 数据在链路上传输时不会被截获。
第4章 网络安全协议
4.1数据链路层安全通信协议
在数据链路层提供安全机制的优点 ：无需对其 任何上层进行改变就能对所有数据加密，提供链 路安全能够由硬件在数据传输和接收时轻易实 现，而且它对性能的影响将会很小，能达到的速 率最高；它能够和数据压缩很好的结合起来；对 流分析能提供最高的保护性；对隐通道能提供最 高的保护性；基于网络攻击的途径最少。
第4章 网络安全协议
4.1.3 L2TP协议
（2）会话建立 会话建立过程由呼叫触发，在拨号接入的情况下，就是由用户至
LAC的入呼叫触发，其过程如图4.6所示，由呼叫管理类消息实现，类 似隧道建立，消息过程将交换如下信息：LAC和LNS各自为会话分配 的会话ID；数据信道的承载类型和帧封装类型；主被叫号码及子地址； 收发线路速率；数据消息是否要加序号。
第4章 网络安全协议
4.1.2 PPTP协议
PPTP具有两种不同的工作模式：被动模式和主动模式。 被动模式的PPTP会话通过一个一般是位于ISP处的前端处 理器发起，在客户端不需要安装任何与PPTP有关的软件。 在拨号连接到ISP的过程中，ISP为用户提供所有的相应服 务和帮助。被动方式好处是降低了对客户的要求，缺点是 限制了用户对因特网其它部分的访问。主动方式是由客户 建立一个与网络另外一端服务器直接相连的PPTP隧道。这 种方式不需要ISP的参与，不再需要位于ISP处的前端处理 器，ISP只提供透明的传输通道。这种方式的优点是客户 拥有对PPTP的绝对控制，缺点是对用户的要求较高并需要 在客户端安装支持PPTP的相应软件。
因此，通过上面的比较如果想要实现网络安全服 务而又不愿意重写很多系统和应用程序的话，唯一可 行的方案就是在比较低的网络层中加入安全服务，它 能够提供所有的配置方案，如主机对主机、路由器对 路由器、路由器对主机。
第4章 网络安全协议
4.2.1 IPSec协议簇
IPSec（Internet Protocol Security）是IETF为了在IP层提供通 信安全而制定的一套协议簇。它包括安全协议部分和密钥协商 部分：安全协议部分定义了对通信的安全保护机制；密钥协商 部分定义了如何为安全协议协商保护参数以及如何对通信实体 的身份进行鉴别。
第4章 网络安全协议
4.1.3 L2TP协议
（3） PPP帧前转 会话建立后进入通信阶段此时LAC收到远端用户发来的PPP
帧去除CRC校验字段帧封装字段和规避字段将其封装入L2TP数 据消息经隧道前传给LNS反向则执行相反的过程。LAC在会话建 立时可置入需要有序AVP则所有数据消息必须加序号如果LAC未 作此请求则由LNS控制如果LNS在发出的消息中置序号则LAC在 其后发出的消息中亦置序号如果LNS不置序号LAC其后也不再置 序号。
第4章 网络安全协议
第四章
网络安全协议
第4章 网络安全协议
引言
Internet在最初建立时的指导思想是资源共享，因此以开放 性和可扩展性为核心。在建立协议模型与协议实现时，更多考 虑到易用性，而在安全性方面考虑存在严重不足，这就给攻击 者造成了可乘之机。本章以TCP/IP协议族结构为指导，自底 向上分层阐述不同层次的安全协议保障机制，主要包括PPP、 IPS 网络安全协议
4.2 网络层安全通信协议
• IPSec的优点
– 提供强大的安全性，应用于防火墙和路由器 – 防火墙内部的IPSec可以抵制旁路 – IPSec在传输层以下，对应用程序透明 – IPSec对终端用户透明 – 需要时可以为单个用户提供安全性
• 路由选择应用，IPSec保证：
– 路由器的通告(新的路由器通告它的存在)来自被认可 的路由器
第4章 网络安全协议
4.1.3 L2TP协议
L2TP格式： Tunnel ID指示控制链接的标识符。只有本地有效的标识符才能用来给L2TP tunnels命名。 Session ID指示一个tunnel内的会话标识符。只有本地有效的标识符才能用 来给L2TP session命名。 Ns指示数据或控制消息的序列号，从0开始，每发送一个消息其值加1。Nr 指示下一个期望被收到的控制消息的序列号。 Offset Size域如果存在，则表明运送的数据期望开始的地方。
第4章 网络安全协议
第4章 网络安全协议
4.1数据链路层安全通信协议 PPT协议；PPTP协议；L2TP协议
4.2 网络层安全通信协议 IPSec协议簇
4.3传输层安全通信协议 SSL/TSL协议簇
4.4应用层安全通信协议 电子邮件安全协议；SET协议； SNMP协议；S-HTTP协议
第4章 网络安全协议
4.1数据链路层安全通信协议
数据链路层对网络层显现为一条无错的线路， 主要任务是加强最底层物理层原始传输单位比特的功能， 在两个相邻结点间的线路上无差错地传送以帧为单位的数 据，还要解决由于链路上的通信干扰造成数据帧的破坏、 丢失而所需要的数据帧的重发以及流量的调节、出错的处 理和信道的共享等问题。
第4章 网络安全协议
4.1.3 L2TP协议
第二层隧道协议L2TP（Layer 2 Tunneling Protocol）是 用来整合多协议拨号服务至现有的因特网服务提供商点。 IETF(因特网工程任务组)的开放标准L2TP协议结合了PPTP 协议和L2F的优点，特别适合于组建远程接入方式的VPN， 目前已经成为事实上的工业标准。在由L2TP构建的VPN中， 有两种类型的服务器，一种是L2TP访问集中器LAC （L2TP Access Concentrator），它是附属在网络上的具有 PPP端系统和L2TP协议处理能力的设备，LAC一般就是一 个网络接入服务器，用于为用户提供网络接入服务；另一 种是L2TP网络服务器LNS（L2TP Network Server），是 PPP端系统上用于处理L2TP协议服务器端部分的软件。
第4章 网络安全协议
4.1数据链路层安全通信协议
在数据链路层提供安全机制的缺点 ：它只能应 用在两个直连的设备上，而数据在网络上传输时重 要的是端到端的安全，在单独的链路上加密并不能 保证整个路径的安全性；局域网并不能提供链路层 安全，即对内部攻击人员无保护；最高的通信成 本；新节点加入时要求电信公司重新配置网络。
第4章 网络安全协议
4.1.3 L2TP协议
第4章 网络安全协议
4.2 网络层安全通信协议
从ISO/OSI互联参考模型的七层体系结构来看， 网络层是网络传输过程中非常重要的一个功能 层，它主要负责网络地址的分配和网络上数据包 的路由选择。因此，在网络层提供安全服务实现网络的安 全访问具有很多先天性的优点。常见的安全认证、数据加 密、访问控制、完整性鉴别等，都可以在网络层实现。该 层的安全协议主要有IPSec等。
第4章 网络安全协议
4.1.3 L2TP协议
L2TP格式： T位为标识消息类型。数据消息设置为0，控制消息设置为1如果L位为1，表 示长度域存在。对于控制消息，必须设置为1； X位是为将来保留的扩展位。所有的保留位在呼出消息中必须设置为0，在 呼入消息中必须忽略。 若O位(序列号位)为1，则Ns和Nr域存在。对于控制消息来说，该位必须设 置为1。 Ver(版本号)可以设置为2，标明当前的L2TP版本号为第二版。或者为3，标 明当前的L2TP版本号为第三版。 Length域标识以八位组表示的消息长度。
– 邻站通告(一个路由器尝试与另一个路由选择域的一 台路由器建立或维护邻站关系)来自被认可的路由器
– 重定向报文来自于原始报文发给它的路由器 – 路由选择更新不会被假造
第4章 网络安全协议
4.2 网络层安全通信协议
在网络层提供安全机制的缺点在于很难解决像数 据的不可否认之类的问题。因为若在网络层来解决该 类问题，则很难在一个多用户的机器上实现对每个用 户的控制。但是我们也可以在终端主机上提供相应的 机制实现以用户为基础的安全保障。
第4章 网络安全协议
4.1.3 L2TP协议
L2TP特点： （1）差错控制
L2TP通过其包头中的两个字段Next Received和Next Sent进行流控制和差错检测。 （2）地址分配
L2TP支持在NCP协商机制的基础上动态分配客户地址。 （3）身份认证
具有身份认证功能 （4）安全性能
采用IPSec对LAC和LNS之间的IP包进行加密传送
第4章 网络安全协议
4.1.3 L2TP协议
L2TP工作流程 ：隧道建立、会话建立和PPP帧的封装前转 （1）隧道建立
隧道建立就是L2TP控制连接的建立，通过控制连接管理类 消息实现，如图4.5所示。LAC和LNS任一端均可发起隧道的建立， 它包括两轮消息交换.主要完成如下功能：LAC和LNS相互间的认 证，采用CHAP认证算法；LAC和LNS各自为隧道分配隧道ID， 并通知对方；确定隧道的承载类型和帧封装类型；确定接收窗口 尺寸；隧道终结可用StopCCN消息完成。
第4章 网络安全协议
4.1.1 PPP协议
检测到载波
静止 载波停止
双方协商一些选项
建立 失败
认证 失败