第3章链路层安全通信协议

郑州轻工业学院计算机与通信工程学院1.1郑州轻工业学院计算机与通信学院第三章链路层安全通信协议郑州轻工业学院计算机与通信工程学院1.2郑州轻工业学院计算机与通信内容提要点对点隧道协议PPTPPointtopointtunnelingprotocolMicrosoft/Ascend/3com支持在winnt4.0上使用第二层转发协议L2Flayer2forwardingCisco/北方电信支持第二层隧道协议L2TPlayer2tunnelingprotocol公司达成共识，结合上面的优点。郑州轻工业学院计算机与通信工程学院1.3PPP通信协议pointtopointprotocol设计目标：PPP为同等单元间传输数据包的链路而设计。特点：全双工+顺序传递数据包+简单连接共通协议构成：封装+LCP+NCP•封装：对不同网络层协议的上层数据包封装到串行链路•LCP链路控制协议:双方通过他建立配置测试链路连接•NCP网络控制协议：建立配置不同的网络层协议，解决上层发生的问题帧类型：配置确认帧（全接受）+配置否认帧（全否定）+配置拒绝帧（选项部分有问题，不能识别或不能接收，还需协商）郑州轻工业学院计算机与通信郑州轻工业学院计算机与通信工程学院1.4PPP帧的封装格式：标志地址控制协议数据（《1500字节）CRC标志一个字节01111110开始和结束（7E）一个字节11111111（广播地址）一个字节000000112个字节代表数据字段的网络层协议2个字节循环冗余校验码（检测错误）郑州轻工业学院计算机与通信工程学院1.5运行：拨号链接LCP协商NCP临时IP地址通信LCP释放连接建立认证终止打开静止网络失败检测到载波载波停止NCP配置认证成功通信结束失败双方协商一些选项郑州轻工业学院计算机与通信工程学院1.6郑州轻工业学院计算机与通信PPP通信协议安全机制（1）PPP安全机制：通信主机认证协议安全协议类型：PAP协议+CHAP协议+MPPE协议认证时机：H拨号R检测到载波信号物理链接建立H发送链路层配置请求帧R发送链路层配置响应帧协商完成认证网络配置通信PAP协议（口令认证）：口令认证协议明文通信+明文存储认证过程：H通信请求NAS（networkaccessserver网络接入服务器）响应要求：帐号-密码H发送明文帐号-密码NAS查找用户帐户表（明文存储）成功H配置网络回应允许通信分配IP地址通信郑州轻工业学院计算机与通信工程学院1.7郑州轻工业学院计算机与通信PPP通信协议安全机制（2）CHAP协议（呼叫握手认证协议）：密文通信+明文存放+单向认证+周期重新认证适用接入方式：PSTN+拨号连接+专用链接握手认证过程（as为服务器，U为客户端，R为随机数）UAS:Req开始，1.ASU:R，2.UAS:H1(PW||R)，//PW为口令，计算H值，送到认证服务器3.AS计算H2(PW||R)，比较H1和H2，如果一致,配置网络U:IP地址开始通信（as中存放用户明文口令）郑州轻工业学院计算机与通信工程学院1.8CHAP和PAP比较PAP通过链路直接发送明文口令；CHAP利用散列算法对口令进行加密。CHAP对于返回的口令进行认证；PAP没有。CHAP不定时的向客户端重复发送呼呼叫口令，避免第三方攻击。优点很多，但是也存在缺点，缺点如下：郑州轻工业学院计算机与通信工程学院1.9存在风险：服务器端，用户口令明文存储，入侵者入侵服务器即可。协议只支持认证服务器对用户的单项认证，假冒的认证服务器就可以欺骗用户。为防止插入信道攻击，服务器需要周期性的发送呼叫信息重新认证。周期时间过长为入侵者留下机会，如果周期过短，增加通信的计算机量。郑州轻工业学院计算机与通信工程学院1.10郑州轻工业学院计算机与通信PPP通信协议安全机制（3）MPPE是微软设计的。MPPE的含义？知道吗？（MicrosoftPoint-To-PointEncryption,微软点对点加密）特点：端端加密+双向数据认证+CCP调用+预共享密钥认证时机：LCP协商完成之后，NCP协商之前认证过程：LCP协商完成源CCP通信请求+MPPE加密选项CCP目的回应选项协商成功，配置网络通信郑州轻工业学院计算机与通信工程学院1.11郑州轻工业学院计算机与通信PPTP协议——概述PPTP：用于在IP网络上建立PPP会话构成：PAC+源端GRE+IP信道+PNS+目的端GRE（通用路由封装）呼叫：通信发起端建立通信连接的请求/企图（猫之间电话呼叫）控制连接：PAC-PNS间的TCP连接，管理会话与链接本身NAS（网络接入服务器）：用于管理PSTN/ISDN用户接入的网络服务器，为每个用户提供临时、随时的服务。PAC（PPTP接入控制客户端）：与PSTN/ISDN链接、执行PPP操作、处理PPTP的控制器，是PPTP的客户端郑州轻工业学院计算机与通信工程学院1.12PNS（PPTP网络服务器）：是PPTP协议的客户-服务器模型的服务器端，是PPPNCP协议的逻辑终点，能处理PPTP协议协议分组。会话（session）：建立了一条PPP连接后，形成一次会话。因此是面向连接的，PNS和pac为会话维护。隧道：一个隧道由PAC,PNS定义，隧道协议由通用路由封装协议（GREv2）定义。可供多个会话复用的传输PPP数据报。郑州轻工业学院计算机与通信工程学院1.13郑州轻工业学院计算机与通信PPTP协议——远程用户接入郑州轻工业学院计算机与通信工程学院1.14郑州轻工业学院计算机与通信PPTP协议——构成郑州轻工业学院计算机与通信工程学院1.15郑州轻工业学院计算机与通信PPTP协议——层次通信源端内部网络PPPLCPPPTPPACPPTPPNSPPTPGREIP层内部数据PPPNCP通信目端内部网络PPPLCPPPTPPACPPTPPNSPPTPGREIP层内部数据PPPNCP郑州轻工业学院计算机与通信工程学院1.16郑州轻工业学院计算机与通信PPTP协议——目标PPTP协议目标：透明性+兼容性+多对多+GREv2封装（通用路由封装协议）透明性：对IP透明+对内网透明+对PPP用户透明兼容性：对PPP兼容多对多：PAC-nPNS+nPAC-PNSGREv2封装：链路层拥塞控制+流量控制带宽增大+重传降低+溢出减少郑州轻工业学院计算机与通信工程学院1.17郑州轻工业学院计算机与通信PPTP协议——模式网络拓扑参见p40，图3.4PPP模式：C-PPP+PSTN/ISDN+S-PPP+Internet+S-RAS+LANPPTPVPN三种拓扑模式模式1：C-PPP+PSTN/ISDN+S-PPTP+Internet+S-PPTP+LAN模式2：C-PPP/PPTP+PSTN/ISDN+S-PPTP+Internet+S-PPTP+LAN模式3：C-RAS/PPTP+S-PPTP+Internet+S-PPTP+LAN郑州轻工业学院计算机与通信工程学院1.18郑州轻工业学院计算机与通信PPTP协议——GRE协议GRE协议：定义了在任意一种网络层协议上封装任意另外层协议的协议。说明：首先，有效载荷封装在GRE包中，然后将包封装在其它协议中转发。IPv4作为GRE载荷传输时，协议类型设置为0x800。隧道终点拆封IPv4包的GRE包时，IPv4包目的地址须用来转发包，并减少载荷包TTL。如果有效载荷包的目的地址是包的封装器，会出现回路现象下，必须丢弃该包。当GRE包被封装在IPv4中时，需要使用IPv4协议47。郑州轻工业学院计算机与通信工程学院1.19郑州轻工业学院计算机与通信PPTP协议——流程与封装PPTP流程：PPP连接+PPTP连接+PPTP数据连接PPTP加密与封装方法：RSA公司的RC4算法郑州轻工业学院计算机与通信工程学院1.20郑州轻工业学院计算机与通信PPTP协议——控制消息PPTP控制消息：消息层次：TCP会话，消息端口：D-1723，S-任意MagicCookie——同步检查，值：0x1A2B3C4D；否则分组失真或失去同步关闭控制连接，重新建立连接。消息类型——1：控制；2：管理——PNS配置维护PAC消息代码：见教材P45，表3.1PPTP消息长度PPTP消息类型MagicCookie郑州轻工业学院计算机与通信工程学院1.21郑州轻工业学院计算机与通信PPTP协议——控制连接PPTP控制链接：建立+维护+关闭控制链接特点：谁都可以发起，前提——TCP链接存在控制连接建立：发起者:SCCRQ（request）应答者:SCCRP（reply）SCCRQ与SCCRP格式及字段含义：见教材（课后阅读）控制连接维护：发起者:EchoRQ应答者:EchoRPEchoRQ与EchoRP格式及字段含义：见教材（课后阅读）控制连接关闭：发起者:StopCCRQ应答者:StopCCRPStopCCRQ与StopCCRP格式及字段含义：见教材（课后阅读）郑州轻工业学院计算机与通信工程学院1.22郑州轻工业学院计算机与通信PPTP协议——连接碰撞与状态控制链接碰撞：PAC-PNS只能一条连接，双方同时发起碰撞解决：选择IP地址大的，忽略IP地址小的发起方请求控制连接状态：发起者状态+接收者状态发起者状态：无TCP连接——空闲；发送SCCRQ，未收到SCCRP——等待链接；收到SCCRP——链接建立；发送StopCCRQ，未收到StopCCRP——等待关闭接收者状态：打开TCP链接，未收到PPTP消息——空闲；返回SCCRP——链接建立；发送StopCCRQ——等待关闭郑州轻工业学院计算机与通信工程学院1.23郑州轻工业学院计算机与通信PPTP协议——呼叫呼叫：出站呼叫+入站呼叫+呼叫维护+呼叫关闭呼叫类型：出站呼叫——SC；入站呼叫——CS出站呼叫建立：PNS:OCRQPAC:OCRPOCRQ/OCRP格式：见教材(了解呼叫ID和呼叫序列号及区别)入站呼叫建立：PAC:ICRQPNS:ICRPPAC:ICCNICRQ/ICRP/ICCN格式：见教材呼叫维护：PAC:WENPNS:SLIWEN/SLI格式：见教材郑州轻工业学院计算机与通信工程学院1.24郑州轻工业学院计算机与通信PPTP协议（13）呼叫关闭：PAC:挂断请求PNS:CCRQPAC:CDNCCRQ/CDN格式：见教材郑州轻工业学院计算机与通信工程学院1.25L2TP协议——概述L2TP产生原因：PPTP协议与L2F协议不兼容PPTP协议适用：IP网+NT4.0-Linux平台L2F协议：思科提出+2层转发协议+ISPPOPIGL2F协议适用：强制隧道L2TP：联合版本+两者优点+IETF规范+类似PPTPL2TP优点：适用范围广+身份认证机制郑州轻工业学院计算机与通信郑州轻工业学院计算机与通信工程学院1.26L2TP协议——术语LAC（L2TP接入控制器）：L2TP隧道远程接入端LNS（L2TP网络服务器）：L2TP隧道内网接入端L2TP隧道：在LAC-LNS传输重复封装包的通信信道L2TP隧道构成：LAC-LNS控制连接+n-L2TP会话L2TP控制连接：可管理的LAC-LNS对间连接L2TP会话：LAC-LNS控制连接上控制包交换事件L2TP呼叫：远程系统与LAC的连接发起/链接企图郑州轻工业学院计算机与通信郑州轻工业学院计算机与通信工程学院1.27L2TP协议——模式L2TP接入：强制模式+自愿模式郑州轻工业学院计算机与通信PSTN/ISDNInternetATM/帧中继内网2远程用户LACLNSInternet内网LNSLAC客户内网1LNS郑州轻工业学院计算机与通信工程学院1.28L2TP协议——流程C-PSTN：PPP-QLAC:PPP