【正文】 遠程用戶才能穿越 Inter不受限制地利用內(nèi)部網(wǎng)資源。因此 PAP無法提供避免受到第三方攻擊的保障措施。原先的目的是為撥號用戶進行認(rèn)證和計費，后來經(jīng)過多次改進，形成了一項通用的認(rèn)證計費協(xié)議。在這種模式中，用戶自主地對 L2TP進行配置和管理。 （ 1）控制幀 ? 建立、維護、拆除隧道和會話時使用。這一過程要求IPSec系統(tǒng)首先互相驗明自己的身份，并且建立ISAKMP或 IKE共享密鑰。一個IPSec變換指定一種 AH或 ESP協(xié)議，及相應(yīng)的算法與模式。 DiffieHellman密鑰協(xié)定在這個階段中總要被執(zhí)行。 AVP，Attribute Value Pair指屬性類型及屬性值，L2TP所有的命令都以 AVP表示。在這種模式下，對 L2TP實現(xiàn)的配置和管理都被委托于 NAS，用戶能透明地得到L2TP服務(wù)。換句話說， RADIUS是存放使用者的“用戶名”及“口令”的數(shù)據(jù)庫。 CHAP采取了挑戰(zhàn)應(yīng)答認(rèn)證方式，下圖顯示了認(rèn)證流程。RADIUS是為接入服務(wù)器開發(fā)的認(rèn)證系統(tǒng)，具有統(tǒng)一管理多個訪問用戶的用戶數(shù)據(jù)庫功能。在一個分組上再加上一個頭標(biāo)才稱作封裝化。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。 ? （ 3）分組通過 Inter到達 VPN設(shè)備 2， VPN設(shè)備 2能夠識別新增的頭部，對其進行拆除，從而得到第 1步由主機 A生成的原分組，然后根據(jù)分組的 IP地址信息，進行正常的轉(zhuǎn)發(fā)。 VPN分類 ? 根據(jù)網(wǎng)絡(luò)類型的差異， IP VPN可分為兩種類型： ClientLAN和 LANLAN類型。 ? VPN是對在公共通信基礎(chǔ)設(shè)施上構(gòu)建的 “ 虛擬專用或私有網(wǎng) ”連接技術(shù)的總稱。虛擬專用網(wǎng)絡(luò)能夠利用 Inter或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。 VPN的技術(shù)特點 ? 性價比高 ? 具有服務(wù)質(zhì)量保障措施 ? 能夠提供強大的接入控制和入侵保護，保證內(nèi)部信息交換的保密性。在此分組中，將分組的源 IP地址寫為自己的 IP地址 V1，目標(biāo)地址寫為對等 VPN設(shè)備 2的 IP地址 V2，然后發(fā)送。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。一般來說，只將數(shù)據(jù)加密的通信路徑不能稱作隧道。這種認(rèn)證機制主要由 PPP功能實現(xiàn)，方法也有多種。 （ 2）挑戰(zhàn) 應(yīng)答驗證協(xié)議 CHAP A=fmd5 （ S，口令） B=fmd5 （ S，口令） 比較 A和 B 挑戰(zhàn) 生成挑戰(zhàn)碼（ S） 應(yīng)答 計算出應(yīng)答值（ A） 成功 /失敗 CHAP是安全性比 PAP更高的認(rèn)證協(xié)議，在網(wǎng)上傳遞的不是口令而是一次性的隨機數(shù)。 ? RADIUS是為了接入服務(wù)器開發(fā)的認(rèn)證系統(tǒng)，它具有集中管理遠程訪問“撥號用戶”的數(shù)據(jù)庫功能。 – 另一種是將 L2TP安裝于 NAS，這種配置稱為強制模式。 L2TP控制消息由一個 L2TP頭加上一個或多個 AVP構(gòu)成。 ? 在階段 1， IKE在兩個對等體間創(chuàng)建一個認(rèn)證過的安全通道，它被稱為 IKE安全關(guān)聯(lián)。 目的地址 安全參數(shù)索引（ SPI） 7a390BC1 IPSec變換 AH， HMACMD5 密鑰 7572CA49F7632946 更多 SA屬性（例如，生存時間） 一天或 100MB IPSec安全關(guān)聯(lián)示例 東南大學(xué)信息安全學(xué)科研究生學(xué)位課 網(wǎng)絡(luò)信息安全理論與技術(shù) 謝謝