第3章链路层安全通信协议.ppt

郑州轻工业学院计算机与通信学院 第三章链路层安全通信协议 郑州轻工业学院计算机与通信 内容提要 点对点隧道协议PPTPPointtopointtunnelingprotocolMicrosoft Ascend 3com支持在winnt4 0上使用第二层转发协议L2Flayer2forwardingCisco 北方电信支持第二层隧道协议L2TPlayer2tunnelingprotocol公司达成共识 结合上面的优点 PPP通信协议pointtopointprotocol 设计目标 PPP为同等单元间传输数据包的链路而设计 特点 全双工 顺序传递数据包 简单连接共通协议构成 封装 LCP NCP封装 对不同网络层协议的上层数据包封装到串行链路LCP链路控制协议 双方通过他建立配置测试链路连接NCP网络控制协议 建立配置不同的网络层协议 解决上层发生的问题帧类型 配置确认帧 全接受 配置否认帧 全否定 配置拒绝帧 选项部分有问题 不能识别或不能接收 还需协商 郑州轻工业学院计算机与通信 PPP帧的封装格式 一个字节01111110开始和结束 7E 一个字节11111111 广播地址 一个字节00000011 2个字节代表数据字段的网络层协议 2个字节循环冗余校验码 检测错误 运行 拨号 链接 LCP协商 NCP临时IP地址 通信 LCP释放连接 建立 认证 终止 打开 静止 网络 失败 检测到载波 载波停止 NCP配置 认证成功 通信结束 失败 双方协商一些选项 郑州轻工业学院计算机与通信 PPP通信协议安全机制 1 PPP安全机制 通信主机认证协议安全协议类型 PAP协议 CHAP协议 MPPE协议认证时机 H拨号 R检测到载波信号 物理链接建立 H发送链路层配置请求帧 R发送链路层配置响应帧 协商完成 认证 网络配置 通信PAP协议 口令认证 口令认证协议 明文通信 明文存储认证过程 H通信请求 NAS networkaccessserver网络接入服务器 响应要求 帐号 密码 H发送明文帐号 密码 NAS查找用户帐户表 明文存储 成功 H配置网络 回应允许通信 分配IP地址 通信 郑州轻工业学院计算机与通信 PPP通信协议安全机制 2 CHAP协议 呼叫握手认证协议 密文通信 明文存放 单向认证 周期重新认证适用接入方式 PSTN 拨号连接 专用链接握手认证过程 as为服务器 U为客户端 R为随机数 U AS Req开始 1 AS U R 2 U AS H1 PW R PW为口令 计算H值 送到认证服务器3 AS计算H2 PW R 比较H1和H2 如果一致 配置网络 U IP地址 开始通信 as中存放用户明文口令 CHAP和PAP比较 PAP通过链路直接发送明文口令 CHAP利用散列算法对口令进行加密 CHAP对于返回的口令进行认证 PAP没有 CHAP不定时的向客户端重复发送呼呼叫口令 避免第三方攻击 优点很多 但是也存在缺点 缺点如下 存在风险 服务器端 用户口令明文存储 入侵者入侵服务器即可 协议只支持认证服务器对用户的单项认证 假冒的认证服务器就可以欺骗用户 为防止插入信道攻击 服务器需要周期性的发送呼叫信息重新认证 周期时间过长为入侵者留下机会 如果周期过短 增加通信的计算机量 郑州轻工业学院计算机与通信 PPP通信协议安全机制 3 MPPE是微软设计的 MPPE的含义 知道吗 MicrosoftPoint To PointEncryption 微软点对点加密 特点 端端加密 双向数据认证 CCP调用 预共享密钥认证时机 LCP协商完成之后 NCP协商之前认证过程 LCP协商完成 源CCP通信请求 MPPE加密选项 CCP目的回应选项 协商成功 配置网络 通信 郑州轻工业学院计算机与通信 PPTP协议 概述 PPTP 用于在IP网络上建立PPP会话构成 PAC 源端GRE IP信道 PNS 目的端GRE 通用路由封装 呼叫 通信发起端建立通信连接的请求 企图 猫之间电话呼叫 控制连接 PAC PNS间的TCP连接 管理会话与链接本身NAS 网络接入服务器 用于管理PSTN ISDN用户接入的网络服务器 为每个用户提供临时 随时的服务 PAC PPTP接入控制客户端 与PSTN ISDN链接 执行PPP操作 处理PPTP的控制器 是PPTP的客户端 PNS PPTP网络服务器 是PPTP协议的客户 服务器模型的服务器端 是PPPNCP协议的逻辑终点 能处理PPTP协议协议分组 会话 session 建立了一条PPP连接后 形成一次会话 因此是面向连接的 PNS和pac为会话维护 隧道 一个隧道由定义 隧道协议由通用路由封装协议 GREv2 定义 可供多个会话复用的传输PPP数据报 郑州轻工业学院计算机与通信 PPTP协议 远程用户接入 郑州轻工业学院计算机与通信 PPTP协议 构成 郑州轻工业学院计算机与通信 PPTP协议 层次 通信源端 内部网络 PPPLCP PPTPPAC PPTPPNS PPTPGRE IP层 内部数据 PPPNCP 通信目端 内部网络 PPPLCP PPTPPAC PPTPPNS PPTPGRE IP层 内部数据 PPPNCP 郑州轻工业学院计算机与通信 PPTP协议 目标 PPTP协议目标 透明性 兼容性 多对多 GREv2封装 通用路由封装协议 透明性 对IP透明 对内网透明 对PPP用户透明兼容性 对PPP兼容多对多 PAC nPNS nPAC PNSGREv2封装 链路层 拥塞控制 流量控制 带宽增大 重传降低 溢出减少 郑州轻工业学院计算机与通信 PPTP协议 模式 网络拓扑参见p40 图3 4PPP模式 C PPP PSTN ISDN S PPP Internet S RAS LANPPTPVPN三种拓扑模式模式1 C PPP PSTN ISDN S PPTP Internet S PPTP LAN模式2 C PPP PPTP PSTN ISDN S PPTP Internet S PPTP LAN模式3 C RAS PPTP S PPTP Internet S PPTP LAN 郑州轻工业学院计算机与通信 PPTP协议 GRE协议 GRE协议 定义了在任意一种网络层协议上封装任意另外层协议的协议 说明 首先 有效载荷封装在GRE包中 然后将包封装在其它协议中转发 IPv4作为GRE载荷传输时 协议类型设置为0 x800 隧道终点拆封IPv4包的GRE包时 IPv4包目的地址须用来转发包 并减少载荷包TTL 如果有效载荷包的目的地址是包的封装器 会出现回路现象下 必须丢弃该包 当GRE包被封装在IPv4中时 需要使用IPv4协议47 郑州轻工业学院计算机与通信 PPTP协议 流程与封装 PPTP流程 PPP连接 PPTP连接 PPTP数据连接PPTP加密与封装方法 RSA公司的RC4算法 郑州轻工业学院计算机与通信 PPTP协议 控制消息 PPTP控制消息 消息层次 TCP会话 消息端口 D 1723 S 任意MagicCookie 同步检查 值 0 x1A2B3C4D 否则分组失真或失去同步关闭控制连接 重新建立连接 消息类型 1 控制 2 管理 PNS配置维护PAC消息代码 见教材P45 表3 1 郑州轻工业学院计算机与通信 PPTP协议 控制连接 PPTP控制链接 建立 维护 关闭控制链接特点 谁都可以发起 前提 TCP链接存在控制连接建立 发起者 SCCRQ request 应答者 SCCRP reply SCCRQ与SCCRP格式及字段含义 见教材 课后阅读 控制连接维护 发起者 EchoRQ 应答者 EchoRPEchoRQ与EchoRP格式及字段含义 见教材 课后阅读 控制连接关闭 发起者 StopCCRQ 应答者 StopCCRPStopCCRQ与StopCCRP格式及字段含义 见教材 课后阅读 郑州轻工业学院计算机与通信 PPTP协议 连接碰撞与状态 控制链接碰撞 PAC PNS只能一条连接 双方同时发起碰撞解决 选择IP地址大的 忽略IP地址小的发起方请求控制连接状态 发起者状态 接收者状态发起者状态 无TCP连接 空闲 发送SCCRQ 未收到SCCRP 等待链接 收到SCCRP 链接建立 发送StopCCRQ 未收到StopCCRP 等待关闭接收者状态 打开TCP链接 未收到PPTP消息 空闲 返回SCCRP 链接建立 发送StopCCRQ 等待关闭 郑州轻工业学院计算机与通信 PPTP协议 呼叫 呼叫 出站呼叫 入站呼叫 呼叫维护 呼叫关闭呼叫类型 出站呼叫 S C 入站呼叫 C S出站呼叫建立 PNS OCRQ PAC OCRPOCRQ OCRP格式 见教材 了解呼叫ID和呼叫序列号及区别 入站呼叫建立 PAC ICRQ PNS ICRP PAC ICCNICRQ ICRP ICCN格式 见教材呼叫维护 PAC WEN PNS SLIWEN SLI格式 见教材 郑州轻工业学院计算机与通信 PPTP协议 13 呼叫关闭 PAC 挂断请求 PNS CCRQ PAC CDNCCRQ CDN格式 见教材 L2TP协议 概述 L2TP产生原因 PPTP协议与L2F协议不兼容PPTP协议适用 IP网 NT 4 0 Linux平台L2F协议 思科提出 2层转发协议 ISPPOP IGL2F协议适用 强制隧道L2TP 联合版本 两者优点 IETF规范 类似PPTPL2TP优点 适用范围广 身份认证机制 郑州轻工业学院计算机与通信 L2TP协议 术语 LAC L2TP接入控制器 L2TP隧道远程接入端LNS L2TP网络服务器 L2TP隧道内网接入端L2TP隧道 在LAC LNS传输重复封装包的通信信道L2TP隧道构成 LAC LNS控制连接 n L2TP会话L2TP控制连接 可管理的LAC LNS对间连接L2TP会话 LAC LNS控制连接上控制包交换事件L2TP呼叫 远程系统与LAC的连接发起 链接企图 郑州轻工业学院计算机与通信 L2TP协议 模式 L2TP接入 强制模式 自愿模式 郑州轻工业学院计算机与通信 PSTN ISDN Internet ATM 帧中继 内网2 远程用户 LAC LNS 内网1 LNS L2TP协议 流程 C PSTN PPP Q LAC PPP R LCP配置LAC CHAP Q C CHAP R NCP配置 PPP连接建立LAC NAS LNS mLNS nLNS nLNS 确定LNSLAC 隧道 LAC Tunnel ID LNS 隧道建立LAC CALL ID C LAC CALL Q Vinf LNSLNS Vinf LAC 会话建立C PPP分组 LAC 重新封装 LNS 去封装 内网 通信C stop Q LNS stop R LNS stopLink Q LAC 郑州轻工业学院计算机与通信 L2TP协议 消息 L2TP消息类型 数据消息 控制消息数据消息 在不可靠数据信道上传输封装的PPP帧控制消息 在可靠的控制信道上传输控制消息可靠信道 分组传输 可靠机制 L2TP控制信道不可靠信道 分组传输 控制连接 L2TP数据信道 郑州轻工业学院计算机与通信 L2TP协议 封装 L2TP消息构成 L2TP头部 数据区数据消息数据区 被封装的PPP帧控制消息数据区 AVP集合 郑州轻工业学院计算机与通信 L2TP协议 控制消息 控制消息类型 控制连接管理 呼叫管理 维护控制消息构成 控制消息头部 AVP集合AVP格式 M强制位 M 0 无法识别AVP忽略 M 1 AVP无法识别 会话中断 隧道中断 厂商ID 0 IETF定义 否则厂商定义 属性值 随属性类型变化长度 最大1024B 最小6B 厂商ID 一个SMI结构 在MIB库中索引号 1 3 6 1 2 2 具体串值 郑州轻工业学院计算机与通信 L2TP协议 AVP隐藏 IETF定义了六类AVP 见教材隐藏条件 共享密钥 H置位 前置随机向量AVP AVP类型满足隐藏过程 长度与值域格式转换为中间格式 MD5 属性类型 密钥 前置向量值 AVP值 MD5 Value 中间格式前16Byte不能被隐藏的AVP值 消息类型AVP 随机向量AVP 报错消息AVP 郑州轻工业学院计算机与通信 L2TP协议 AVP类型 适用所有控制消息的AVP 见表3 3用于报告结果与错误代码AVP 见表3 4用于控制连接管理的AVP 见表3 5 要求掌握 用于呼叫管理的AVP 见表3 6 要求掌握 用于身份认证的AVP 见表3 7 要求掌握 用于显示呼叫状态的AVP 见表3 8 郑州轻工业学院计算机与通信 L2TP协议 控制连接 建立过程 发起者 SCCRQ 应答者 应答者 SCCRP 发起者 发起者 SCCCN 应答者握手特点 无需预先TCP连接 UDP报文承载 独立分配隧道ID 身份认证解决 冲突问题解决隧道维护 两端通过hello消息保活隧道隧道关闭 发起方 stopCCN 接收方 接收方 ZIB 发起方 接收方等待一个发送周期 双方释放资源 郑州轻工业学院计算机与通信 L2TP协议 呼叫 呼叫类型 出站呼叫 入站呼叫出站呼叫 LNS OCRQ LAC LAC OCRP LNS LNS OCCN LAC出站呼叫特点 呼叫ID 隧道分用服用入站呼叫 LAC ICRQ LNS LNS ICRP LAC LAC ICCN LNS会话维护 WEN SLI会话关闭 用户 PPP TP LNS CDN LAC 郑州轻工业学院计算机与通信 L2TP协议 状态 郑州轻工业学院计算机与通信 发起方 接收方 空闲 空闲 SCCRQ 等待回应 等待连接 SCCRP 连接建立 连接建立 SCCCN StopCCN L2F协议 1 第二层转发协议 L2F 用于建立跨越公共网络 如因特网 的安全隧道来将ISPPOP连接到企业内部网关 这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接 第二层转发协议 L2F 允许高层协议的链路层隧道技术 使用这样的隧道 使得把原始拨号服务器位置和拨号协议连接终止