第3章链路层安全通信协议

PPTP协议——模式
网络拓扑参见p40，图3.4 PPP模式：C-PPP+PSTN/ISDN+S-PPP+Internet+S-RAS+LAN PPTP VPN三种拓扑模式 模式1：C-PPP+PSTN/ISDN+S-PPTP+Internet+S-PPTP+LAN 模式2：C-PPP/PPTP+PSTN/ISDN+S-PPTP+Internet+S-PPTP +LAN 模式3：C-RAS/PPTP+S-PPTP+Internet+S-PPTP+LAN
通信（as中存放用户明文口令）
郑州轻工业学院计算机与通信
CHAP和PAP比较
PAP通过链路直接发送明文口令；CHAP利用散列算 法对口令进行加密。
CHAP对于返回的口令进行认证；PAP没有。
CHAP不定时的向客户端重复发送呼呼叫口令，避免 第三方攻击。
优点很多，但是也存在缺点，缺点如下：
存在风险：
郑州轻工业学院计算机与通信
L2TP协议——消息
L2TP消息类型：数据消息+控制消息 数据消息：在不可靠数据信道上传输封装的PPP帧 控制消息：在可靠的控制信道上传输控制消息 可靠信道：分组传输+可靠机制L2TP控制信道 不可靠信道：分组传输控制连接L2TP数据信道
郑州轻工业学院计算机与通信
L2TP协议——封装
L2TP消息构成：L2TP头部+数据区 数据消息数据区：被封装的PPP帧 控制消息数据区：AVP集合
郑州轻工业学院计算机与通信
PPTP协议——连接碰撞与状态
控制链接碰撞：PAC-PNS只能一条连接，双方同时发起 碰撞解决：选择IP地址大的，忽略IP地址小的发起方请求 控制连接状态：发起者状态+接收者状态 发起者状态：无TCP连接——空闲；发送SCCRQ，未收到SCCRP——等待
链接；收到SCCRP——链接建立；发送StopCCRQ，未收到StopCCRP—— 等待关闭 接收者状态：打开TCP链接，未收到PPTP消息——空闲； 返回SCCRP—— 链接建立；发送StopCCRQ——等待关闭
服务器，为每个用户提供临时、随时的服务。 PAC（PPTP接入控制客户端）：与PSTN/ISDN 链接、执行PPP操
作、处理PPTP的控制器，是PPTP的客户端
郑州轻工业学院计算机与通信
PNS（ PPTP网络服务器）：是PPTP协议的客户-服务 器模型的服务器端，是PPP NCP协议的逻辑终点，能 处理PPTP协议协议分组。
郑州轻工业学院计算机与通信
PPP通信协议安全机制（2）
CHAP协议（呼叫握手认证协议）：密文通信+明文存放+单向认证+周期重 新认证
适用接入方式：PSTN+拨号连接+专用链接 握手认证过程（as为服务器，U为客户端，R为随机数）UAS:Req开始，
1.ASU:R， 2.UAS:H 1(PW||R)，//PW为口令，计算H值，送到认证服务器 3. AS计算H2(PW||R)，比较H1和H2，如果一致,配置网络U:IP地址开始
郑州轻工业学院计算机与通信
PPTP协议——呼叫
呼叫：出站呼叫+入站呼叫+呼叫维护+呼叫关闭 呼叫类型：出站呼叫——SC；入站呼叫——CS 出站呼叫建立：PNS:OCRQPAC:OCRP OCRQ/OCRP格式：见教材(了解呼叫ID和呼叫序列号及区别) 入站呼叫建立：PAC:ICRQPNS:ICRPPAC:ICCN ICRQ/ICRP/ICCN格式：见教材 呼叫维护：PAC:WENPNS:SLI WEN/SLI格式：见教材
（选项部分有问题，不能识别或不能接收，还需协商）
郑州轻工业学院计算机与通信
PPP帧的封装格式：
一个 字节
011 111 10开 始和 结束 （7E ）
一个 字节
111 111 11（ 广播 地址 ）
一个 字节 000 000 11
标地 控 协 数 C 标
志址 制 议 据 R 志
（C
《
1
2个
2个 5
layer 2 tunneling protocol 公司达成共识，结合上面的优点。
郑州轻工业学院计算机与通信
PPP通信协议point to point protocol
设计目标：PPP为同等单元间传输数据包的链路而设计。 特点：全双工+顺序传递数据包+简单连接共通 协议构成：封装+LCP+NCP • 封装：对不同网络层协议的上层数据包封装到串行链路 • LCP链路控制协议:双方通过他建立配置测试链路连接 • NCP网络控制协议：建立配置不同的网络层协议，解决上层发生的问题 帧类型：配置确认帧（全接受）+配置否认帧（全否定）+配置拒绝帧
关闭控制连接，重新建立连接。 消息类型——1：控制；2：管理——PNS配置维护PAC 消息代码：见教材P45，表3.1
郑州轻工业学院计算机与通信
PPTP协议——控制连接
PPTP控制链接：建立+维护+关闭 控制链接特点：谁都可以发起，前提——TCP链接存在 控制连接建立：发起者:SCCRQ（request）应答者:SCCRP（reply） SCCRQ与SCCRP格式及字段含义：见教材（课后阅读） 控制连接维护：发起者:EchoRQ应答者:EchoRP EchoRQ与EchoRP格式及字段含义：见教材（课后阅读） 控制连接关闭：发起者:StopCCRQ应答者:StopCCRP StopCCRQ与StopCCRP格式及字段含义：见教材（课后阅读）
字节 代表
字节 循环
0
数据
冗余 0
字段 的网 络层
校验 码（ 检测
字 节
协议
错误 ）
）
运行： 拨号链接LCP协商NCP临时IP地址通信LCP释放连
接
双方协商 检测到载波 建立 一些选项 认证
认证成功
静止
失败
失败
网络
载波停止
终止
打开
通信结束
NCP配置
PPP通信协议安全机制（1）
PPP安全机制：通信主机认证协议
会话（session）：建立了一条PPP连接后，形成一次 会话。因此是面向连接的，PNS和pac为会话维护。
隧道：一个隧道由<PAC,PNS>定义，隧道协议由通用 路由封装协议（GREv2）定义。可供多个会话复用的 传输PPP数据报。
PPTP协议——远程用户接入
郑州轻工业学院计算机与通信
PPTP协议——构成
✓ 服务器端，用户口令明文存储，入侵者入侵服务器即可。
✓ 协议只支持认证服务器对用户的单项认证，假冒的认证服务 器就可以欺骗用户。
✓ 为防止插入信道攻击，服务器需要周期性的发送呼叫信息重 新认证。周期时间过长为入侵者留下机会，如果周期过短， 增加通信的计算机量。
PPP通信协议安全机制（3）
MPPE是微软设计的。MPPE的含义？知道吗？ （Microsoft Point-To-Point Encryption, 微软点对点加密） 特点：端端加密+双向数据认证+CCP调用+预共享密钥 认证时机：LCP协商完成之后，NCP协商之前 认证过程：LCP协商完成源CCP通信请求+MPPE加密选项CCP目的回
郑州轻工业学院计算机与通信
PPTP协议——流程与封装
PPTP流程：PPP连接+PPTP连接+PPTP数据连接 PPTP加密与封装方法：RSA公司的RC4算法
郑州轻工业学院计算机与通信
PPTP协议——控制消息
PPTP控制消息：
PPTP消息长度 PPTP消息类型 Magic Cookie
消息层次：TCP会话，消息端口：D-1723，S-任意 Magic Cookie——同步检查，值：0x1A2B3C4D；否则分组失真或失去同步
第3章链路层安全通信协议
内容提要
点对点隧道协议PPTP
Point to point tunneling protocol Microsoft/Ascend/3com支持在winnt4.0上使用
第二层转发协议L2F
layer 2 forwarding Cisco/北方电信支持
第二层隧道协议L2TP
PPTP协议——目标
PPTP协议目标：透明性+兼容性+多对多+GREv2封装（通用路由封装协议 ）
透明性：对IP透明+对内网透明+对PPP用户透明 兼容性：对PPP兼容 多对多：PAC-nPNS+nPAC-PNS GREv2封装：链路层拥塞控制+流量控制带宽增大+重传降低+溢出减少
郑州轻工业学院计算机与通信
郑州轻工业学院计算机与通信
PPTP协议——GRE协议
GRE协议：定义了在任意一种网络层协议上封装任意另外层协议的协议。 说明：首先，有效载荷封装在GRE 包中，然后将包封装在其它协议中转发
。IPv4作为GRE载荷传输时，协议类型设置为 0x800。隧道终点拆封IPv4 包的GRE包时，IPv4包目的地址须用来转发包，并减少载荷包TTL。如果 有效载荷包的目的地址是包的封装器，会出现回路现象下，必须丢弃该包 。当 GRE 包被封装在 IPv4 中时，需要使用 IPv4 协议 47。
安全协议类型： PAP协议+ CHAP协议+ MPPE协议
认证时机：H拨号R检测到载波信号物理链接建立H发送链路层配置 请求帧R发送链路层配置响应帧协商完成认证网络配置通信
PAP协议（口令认证）：口令认证协议明文通信+明文存储
认证过程：H通信请求NAS（network access server网络接入服务器）响应要求 ：帐号-密码H 发送明文帐号-密码NAS查找用户帐户表（明文存储） 成功H配置网络回应允许通信分配IP地址通信
郑州轻工业学院计算机与通信
PPTP协议（13）
呼叫关闭：PAC:挂断请求PNS:CCRQPAC:CDN CCRQ/CDN格式：见教材
郑州轻工业学院计算机与通信
L2TP协议——概述
L2TP产生原因： PPTP协议与L2F协议不兼容 PPTP协议适用：IP网+NT>4.0-Linux平台 L2F协议：思科提出+2层转发协议+ISP POPIG L2F协议适用：强制隧道 L2TP：联合版本+两者优点+IETF规范+类似PPTP L2TP优点：适用范围广+身份认证机制
应选项协商成功，配置网络通信
郑州轻工业学院计算机与通信
PPTP协议——概述
PPTP：用于在 IP 网络上建立 PPP 会话 构成：PAC+源端GRE+IP信道+PNS+目的端GRE（通用路
由封装）
呼叫：通信发起端建立通信连接的请求/企图（猫之间电话呼叫） 控制连接：PAC-PNS间的TCP连接，管理会话与链接本身 NAS（网络接入服务器）：用于管理PSTN/ISDN 用户接入的网络
郑州轻工业学院计算机与通信
PPTP协议——层次
通信源端
IP层 PPP NCP PPTP PNS PPTP GRE PPTP PAC PPP LCP 内部网络 内部数据
郑州轻工业学院计算机与通信
通信目端
IP层
PPP NCP PPTP PNS PPTP GRE PPTP PAC PPP LCP 内部网络 内部数据
郑州轻工业学院计算机与通信
L2TP协议——模式
L2TP接入：强制模式+自愿模式
远程用户
PSTN/ ISDN
LAC
ቤተ መጻሕፍቲ ባይዱ
Internet
ATM/帧中继
LAC客户
Internet
LNS
内网1
LNS
内网2
LNS
内网
郑州轻工业学院计算机与通信
L2TP协议——流程
C-PSTN：PPP-QLAC:PPP-RLCP配置 LAC:CHAP-QC：CHAP-RNCP配置PPP连接建立 LACNAS?LNSmLNS?nLNSnLNS确定LNS LAC隧道？LAC:Tunnel-IDLNS隧道建立 LAC:CALL-IDC，LAC：CALL-Q(Vinf)LNS LNS:VinfLAC会话建立 C：PPP分组LAC:重新封装LNS:去封装内网通信 C：stop-Q--LNS:stop-R,LNS:stopLink-QLAC
郑州轻工业学院计算机与通信
L2TP协议——术语
LAC（L2TP接入控制器）：L2TP隧道远程接入端 LNS（L2TP网络服务器）：L2TP隧道内网接入端 L2TP隧道：在LAC-LNS传输重复封装包的通信信道 L2TP隧道构成：LAC-LNS控制连接+n-L2TP会话 L2TP控制连接： 可管理的LAC-LNS对间连接 L2TP会话： LAC-LNS控制连接上控制包交换事件 L2TP呼叫： 远程系统与LAC的连接发起/链接企图