陈性元全套配套课件网络安全通信协议 第三章 P协议

《陈性元全套配套课件网络安全通信协议 第三章 P协议》由会员分享，可在线阅读，更多相关《陈性元全套配套课件网络安全通信协议 第三章 P协议（62页珍藏版）》请在金锄头文库上搜索。

1、第三章第三章第三章第三章 PPTPPPTP协议协议协议协议一、一、一、一、PPPPPPPPPPPP协议协议协议协议三、三、三、三、PPTPPPTPPPTPPPTP协议协议协议协议二、二、二、二、隧隧隧隧道技术道技术道技术道技术主要内容主要内容主要内容主要内容四、四、四、四、L2TPL2TPL2TPL2TP协议协议协议协议1.1 PPP1.1 PPP协议的产生协议的产生协议的产生协议的产生背景背景背景背景1.2 1.2 PPPPPP协议的现状协议的现状协议的现状协议的现状1.3 PPP1.3 PPP协议实现的功能协议实现的功能协议实现的功能协议实现的功能1.4 1.4 PPPPPP协议的组成协议

2、的组成协议的组成协议的组成1.5 PPP1.5 PPP协议的帧格式协议的帧格式协议的帧格式协议的帧格式1.6 1.6 PPPPPP链路工作过程链路工作过程链路工作过程链路工作过程1.7 PPP1.7 PPP协议的认证方式协议的认证方式协议的认证方式协议的认证方式1.8 PPP1.8 PPP协议的应用协议的应用协议的应用协议的应用主要内容主要内容主要内容主要内容一、一、一、一、PPPPPPPPPPPP协议协议协议协议三、三、三、三、PPTPPPTPPPTPPPTP协议协议协议协议二、二、二、二、隧隧隧隧道技术道技术道技术道技术四、四、四、四、L2TPL2TPL2TPL2TP协议协议协议协议2.1

3、 2.1 隧道技术隧道技术隧道技术隧道技术2.2 2.2 隧道协议隧道协议隧道协议隧道协议主要内容主要内容主要内容主要内容一、一、一、一、PPPPPPPPPPPP协议协议协议协议三、三、三、三、PPTPPPTPPPTPPPTP协议协议协议协议二、二、二、二、隧隧隧隧道技术道技术道技术道技术四、四、四、四、L2TPL2TPL2TPL2TP协议协议协议协议3.1 3.1 PPTPPPTP协议概述协议概述协议概述协议概述3.2 PPTP3.2 PPTP协议工作流程协议工作流程协议工作流程协议工作流程3.3 PPTP3.3 PPTP协议规范协议规范协议规范协议规范3.4 PPTP3.4 PPTP协议安

4、全性分析协议安全性分析协议安全性分析协议安全性分析主要内容主要内容主要内容主要内容一、一、一、一、PPPPPPPPPPPP协议协议协议协议三、三、三、三、PPTPPPTPPPTPPPTP协议协议协议协议二、二、二、二、隧隧隧隧道技术道技术道技术道技术四、四、四、四、L2TPL2TPL2TPL2TP协议协议协议协议主要内容主要内容主要内容主要内容一、一、一、一、PPPPPPPPPPPP协议协议协议协议三、三、三、三、PPTPPPTPPPTPPPTP协议协议协议协议二、二、二、二、隧隧隧隧道技术道技术道技术道技术四、四、四、四、L2TPL2TPL2TPL2TP协议协议协议协议4.1 4.1 L2T

5、PL2TP协议概述协议概述协议概述协议概述4.2 L2TP4.2 L2TP协议的工作过程协议的工作过程协议的工作过程协议的工作过程4.3 L2TP4.3 L2TP分组的封装分组的封装分组的封装分组的封装4.4 L2TP4.4 L2TP协议的安全性分析协议的安全性分析协议的安全性分析协议的安全性分析4.5 L2TP4.5 L2TP协议的扩展协议的扩展协议的扩展协议的扩展教学重点与难点教学重点与难点教学重点与难点教学重点与难点PPTPPPTPPPTPPPTP工作流程、分组的封装工作流程、分组的封装工作流程、分组的封装工作流程、分组的封装一、一、一、一、PPPPPP协议协议协议协议1.1 PPP1.

6、1 PPP协议的产生背景协议的产生背景协议的产生背景协议的产生背景?SLIP (Serial Line Internet ProtocolSLIP (Serial Line Internet Protocol 串行线路网际串行线路网际串行线路网际串行线路网际协议协议协议协议 ）: :最早用来最早用来最早用来最早用来控制和管理数据传输的协议控制和管理数据传输的协议控制和管理数据传输的协议控制和管理数据传输的协议?SLIPSLIP 存在的存在的存在的存在的缺陷缺陷缺陷缺陷：?没有错误检测和纠错功能；没有错误检测和纠错功能；没有错误检测和纠错功能；没有错误检测和纠错功能；?SLIPSLIP只支持只支

7、持只支持只支持IPIP；?双方都必须预先知道对方的双方都必须预先知道对方的双方都必须预先知道对方的双方都必须预先知道对方的IPIP地址，地址不能动态分配；地址，地址不能动态分配；地址，地址不能动态分配；地址，地址不能动态分配；?没有身份验证功能；没有身份验证功能；没有身份验证功能；没有身份验证功能；一、一、一、一、PPPPPP协议协议协议协议1.1 PPP1.1 PPP协议的产生背景协议的产生背景协议的产生背景协议的产生背景IETF1990IETF1990IETF1990IETF1990年成立年成立年成立年成立工作组工作组工作组工作组1992199219921992年制定年制定年制定年制定PP

8、PPPPPPPPPP协议协议协议协议(Point(Point(Point(Point- - - -totototo- - - -Point Protocol)Point Protocol)Point Protocol)Point Protocol)1992199219921992、1993199319931993年修订年修订年修订年修订正式的正式的正式的正式的InternetInternetInternetInternet标准标准标准标准RFC 1661RFC 1661RFC 1661RFC 1661一、一、一、一、PPPPPP协议协议协议协议1.2 PPP1.2 PPP协议的现状协议的现状协

9、议的现状协议的现状?PPPPPP协议是目前广域网上应用最广泛的协议是目前广域网上应用最广泛的协议是目前广域网上应用最广泛的协议是目前广域网上应用最广泛的数据链路数据链路数据链路数据链路层协议层协议层协议层协议之一；之一；之一；之一；?PPPPPP在经过多年的发现和扩充后，已成为一个功在经过多年的发现和扩充后，已成为一个功在经过多年的发现和扩充后，已成为一个功在经过多年的发现和扩充后，已成为一个功能相当完备，而且涵盖了许多其它协议的庞大协能相当完备，而且涵盖了许多其它协议的庞大协能相当完备，而且涵盖了许多其它协议的庞大协能相当完备，而且涵盖了许多其它协议的庞大协议系统；议系统；议系统；议系统；?

10、用户使用用户使用用户使用用户使用拨号拨号拨号拨号电话线接入因特网时，一般都是使电话线接入因特网时，一般都是使电话线接入因特网时，一般都是使电话线接入因特网时，一般都是使用用用用 PPP PPP 协议。协议。协议。协议。用户拨号入网的示意图用户拨号入网的示意图用户拨号入网的示意图用户拨号入网的示意图路由器调制解调器调制解调器因特网服务提供者(ISP)用户家庭拨号电话线至因特网PC 机使用 TCP/IP 的PPP 连接路由选择进程使用 TCP/IP 的客户进程一、一、一、一、PPPPPP协议协议协议协议1.3 PPP1.3 PPP协议实现的功能协议实现的功能协议实现的功能协议实现的功能?设计目的：

11、设计目的：设计目的：设计目的：主要是用来通过主要是用来通过主要是用来通过主要是用来通过拨号或专线方式拨号或专线方式拨号或专线方式拨号或专线方式建立点对点连建立点对点连建立点对点连建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单接发送数据，使其成为各种主机、网桥和路由器之间简单接发送数据，使其成为各种主机、网桥和路由器之间简单接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。连接的一种共通的解决方案。连接的一种共通的解决方案。连接的一种共通的解决方案。?PPPPPP是为在同等实体之间传输数据包的链路设计的数据链是为在同等实体之间传输数据包的链路设计的数据链

12、是为在同等实体之间传输数据包的链路设计的数据链是为在同等实体之间传输数据包的链路设计的数据链路层协议，这种链路提供全双工操作，并按照顺序传递数路层协议，这种链路提供全双工操作，并按照顺序传递数路层协议，这种链路提供全双工操作，并按照顺序传递数路层协议，这种链路提供全双工操作，并按照顺序传递数据包；据包；据包；据包；?PPPPPP协议中提供了一整套方案来解决协议中提供了一整套方案来解决协议中提供了一整套方案来解决协议中提供了一整套方案来解决链路建立、维护、拆链路建立、维护、拆链路建立、维护、拆链路建立、维护、拆除、上层协议协商、认证除、上层协议协商、认证除、上层协议协商、认证除、上层协议协商、认

13、证等问题。等问题。等问题。等问题。一、一、一、一、PPPPPP协议协议协议协议1.4 PPP1.4 PPP协议的组成协议的组成协议的组成协议的组成?在串行线路中对上层在串行线路中对上层在串行线路中对上层在串行线路中对上层IPIP数据包的封装，可对不同数据包的封装，可对不同数据包的封装，可对不同数据包的封装，可对不同网络层协议的数据包实现封装；网络层协议的数据包实现封装；网络层协议的数据包实现封装；网络层协议的数据包实现封装；?用于建立、配置和检测数据链路连接的链路控制用于建立、配置和检测数据链路连接的链路控制用于建立、配置和检测数据链路连接的链路控制用于建立、配置和检测数据链路连接的链路控制协

14、议协议协议协议( (LCP)LCP)；?用于建立和配置不同网络层协议的网络控制协议用于建立和配置不同网络层协议的网络控制协议用于建立和配置不同网络层协议的网络控制协议用于建立和配置不同网络层协议的网络控制协议簇簇簇簇( (NCP)NCP)。一、一、一、一、PPPPPP协议协议协议协议1.5 PPP1.5 PPP协议的帧格式协议的帧格式协议的帧格式协议的帧格式? ?PPP PPP 有一个有一个有一个有一个 2 2 个字节的协议字段。个字节的协议字段。个字节的协议字段。个字节的协议字段。?当协议字段为当协议字段为当协议字段为当协议字段为 0x0021 0x0021 时，时，时，时，PPP PPP

15、帧的信息字段就是帧的信息字段就是帧的信息字段就是帧的信息字段就是IP IP 数据报。数据报。数据报。数据报。?若为若为若为若为 0xC0210xC021，则信息字段是，则信息字段是，则信息字段是，则信息字段是 PPP PPP 链路控制数据。链路控制数据。链路控制数据。链路控制数据。?若为若为若为若为 0x80210x8021，则信息字段是，则信息字段是，则信息字段是，则信息字段是 PPPPPP网络控制数据。网络控制数据。网络控制数据。网络控制数据。PPP 帧IP 数据报1211字节12不超过 1500 字节先发送7EFF03FACFCSF7E协议信息部分首部尾部一、一、一、一、PPPPPP协议

16、协议协议协议1.5 PPP1.5 PPP协议的帧格式协议的帧格式协议的帧格式协议的帧格式? ?PPP PPP 有一个有一个有一个有一个 2 2 个字节的协议字段。个字节的协议字段。个字节的协议字段。个字节的协议字段。?若为若为若为若为0xC0230xC023，信息字段是安全性认证，信息字段是安全性认证，信息字段是安全性认证，信息字段是安全性认证PAPPAP?若为若为若为若为0xC2230xC223，信息字段是安全性认证，信息字段是安全性认证，信息字段是安全性认证，信息字段是安全性认证CHAP CHAP IP 数据报1211字节12不超过 1500 字节PPP 帧先发送7EFF03FACFCSF

17、7E协议信息部分首部尾部? ?创建创建创建创建PPPPPP链路：链路：链路：链路：使用链路控制协议使用链路控制协议使用链路控制协议使用链路控制协议( (LCP)LCP)，完成对链路的，完成对链路的，完成对链路的，完成对链路的配置，建立一条物理连接（配置，建立一条物理连接（配置，建立一条物理连接（配置，建立一条物理连接（ PC PC 机向路由器发送一系列的机向路由器发送一系列的机向路由器发送一系列的机向路由器发送一系列的LCP LCP 分组（封装成多个分组（封装成多个分组（封装成多个分组（封装成多个 PPP PPP 帧）。帧）。帧）。帧）。1.6 PPP1.6 PPP链路工作过程链路工作过程链路

18、工作过程链路工作过程一、一、一、一、PPPPPP协议协议协议协议失败建立建立检测到载波双方协商一些选项鉴别鉴别静止静止? ?身份鉴别：身份鉴别：身份鉴别：身份鉴别：根据需要进行，在认证完成之前，禁止从认根据需要进行，在认证完成之前，禁止从认根据需要进行，在认证完成之前，禁止从认根据需要进行，在认证完成之前，禁止从认证阶段前进到网络层协议阶段。如果认证失败，认证者应证阶段前进到网络层协议阶段。如果认证失败，认证者应证阶段前进到网络层协议阶段。如果认证失败，认证者应证阶段前进到网络层协议阶段。如果认证失败，认证者应该跃迁到链路终止阶段。该跃迁到链路终止阶段。该跃迁到链路终止阶段。该跃迁到链路终止阶

19、段。1.6 PPP1.6 PPP链路工作过程链路工作过程链路工作过程链路工作过程一、一、一、一、PPPPPP协议协议协议协议失败建立建立检测到载波双方协商一些选项鉴别鉴别NCP 配置鉴别成功网络网络打开打开失败载波停止终止终止静止静止? ?网络控制协议网络控制协议网络控制协议网络控制协议( (NCP)NCP)协商：协商：协商：协商：设定网络层协议配置设定网络层协议配置设定网络层协议配置设定网络层协议配置 ，NCP NCP 给新接入的给新接入的给新接入的给新接入的 PCPC机分配一个临时的机分配一个临时的机分配一个临时的机分配一个临时的 IP IP 地址，使地址，使地址，使地址，使 PC PC

20、机机机机成为因特网上的一个主机。成为因特网上的一个主机。成为因特网上的一个主机。成为因特网上的一个主机。1.6 PPP1.6 PPP链路工作过程链路工作过程链路工作过程链路工作过程一、一、一、一、PPPPPP协议协议协议协议失败建立建立检测到载波双方协商一些选项鉴别鉴别NCP 配置鉴别成功网络网络打开打开失败载波停止终止终止静止静止? ?传送数据传送数据传送数据传送数据1.6 PPP1.6 PPP链路工作过程链路工作过程链路工作过程链路工作过程一、一、一、一、PPPPPP协议协议协议协议失败建立建立检测到载波双方协商一些选项鉴别鉴别NCP 配置鉴别成功网络网络打开打开失败载波停止终止终止静止静

21、止? ?释放连接：释放连接：释放连接：释放连接：NCP NCP 释放网络层连接，收回原来分配出去的释放网络层连接，收回原来分配出去的释放网络层连接，收回原来分配出去的释放网络层连接，收回原来分配出去的 IP IP 地址。接着，地址。接着，地址。接着，地址。接着，LCP LCP 释放数据链路层连接。最后释放的是物理释放数据链路层连接。最后释放的是物理释放数据链路层连接。最后释放的是物理释放数据链路层连接。最后释放的是物理层的连接。层的连接。层的连接。层的连接。1.6 PPP1.6 PPP链路工作过程链路工作过程链路工作过程链路工作过程一、一、一、一、PPPPPP协议协议协议协议失败通信结束建立建

22、立检测到载波双方协商一些选项鉴别鉴别NCP 配置鉴别成功网络网络打开打开失败载波停止终止终止静止静止1.7 PPP1.7 PPP中的安全机制中的安全机制中的安全机制中的安全机制- -认证机制认证机制认证机制认证机制PPPPPP协议没有对数据和报头使用任何加密算协议没有对数据和报头使用任何加密算协议没有对数据和报头使用任何加密算协议没有对数据和报头使用任何加密算法，为了弥补这个缺点，可以采用认证协法，为了弥补这个缺点，可以采用认证协法，为了弥补这个缺点，可以采用认证协法，为了弥补这个缺点，可以采用认证协议，来对身份进行验证。议，来对身份进行验证。议，来对身份进行验证。议，来对身份进行验证。PPP

23、PPP主要支持主要支持主要支持主要支持PAPPAP和和和和CHAPCHAP两种认证协议。两种认证协议。两种认证协议。两种认证协议。一、一、一、一、PPPPPP协议协议协议协议一、一、一、一、PPPPPP协议协议协议协议1.7 PPP1.7 PPP中的安全机制中的安全机制中的安全机制中的安全机制- -认证机制认证机制认证机制认证机制?口令验证协议口令验证协议口令验证协议口令验证协议PAPPAP使用简单的明文验证方式：用户名和口令是以明使用简单的明文验证方式：用户名和口令是以明使用简单的明文验证方式：用户名和口令是以明使用简单的明文验证方式：用户名和口令是以明文方式传输。文方式传输。文方式传输。文

24、方式传输。?网络接入服务器（NAS）发出要求身份验证请求网络接入服务器（NAS）发出要求身份验证请求?客户端发出响应客户端发出响应?客户端发出用户名和口令客户端发出用户名和口令?服务器端验证用户名和口令服务器端验证用户名和口令?网络接入服务器（NAS）发出要求身份验证请求网络接入服务器（NAS）发出要求身份验证请求?客户端发出响应客户端发出响应?客户端发出用户名和口令客户端发出用户名和口令?服务器端验证用户名和口令服务器端验证用户名和口令一、一、一、一、PPPPPP协议协议协议协议1.7 PPP1.7 PPP中的安全机制中的安全机制中的安全机制中的安全机制- -认证机制认证机制认证机制认证机制

25、?质询质询质询质询- -握手验证协议握手验证协议握手验证协议握手验证协议CHAPCHAP采用了加密机制，避免数据被窃取的风险。采用了加密机制，避免数据被窃取的风险。采用了加密机制，避免数据被窃取的风险。采用了加密机制，避免数据被窃取的风险。?服务器发出验证请求服务器发出验证请求?客户端做出响应客户端做出响应?服务器发出一个挑战口令（随机字符串）服务器发出一个挑战口令（随机字符串）?客户端返回MD5(挑战口令，用户口令）客户端返回MD5(挑战口令，用户口令）?服务器进行验证服务器进行验证?把验证结果发回客户端把验证结果发回客户端?服务器发出验证请求服务器发出验证请求?客户端做出响应客户端做出响应

26、?服务器发出一个挑战口令（随机字符串）服务器发出一个挑战口令（随机字符串）?客户端返回MD5(挑战口令，用户口令）客户端返回MD5(挑战口令，用户口令）?服务器进行验证服务器进行验证?把验证结果发回客户端把验证结果发回客户端一、一、一、一、PPPPPP协议协议协议协议1.8 PPP1.8 PPP的应用的应用的应用的应用?PPPoEPPPoE（PPP over EthernetPPP over Ethernet）利用以太网（利用以太网（利用以太网（利用以太网（EthernetEthernet）资源，在以太网上运行）资源，在以太网上运行）资源，在以太网上运行）资源，在以太网上运行PPPPPP来进来

27、进来进来进行用户认证接入的方式。行用户认证接入的方式。行用户认证接入的方式。行用户认证接入的方式。PPPoEPPPoE即保护了用户方的以太网即保护了用户方的以太网即保护了用户方的以太网即保护了用户方的以太网资源，又完成了资源，又完成了资源，又完成了资源，又完成了ADSLADSL的接入要求，是目前的接入要求，是目前的接入要求，是目前的接入要求，是目前ADSLADSL接入方式接入方式接入方式接入方式中应用最广泛的技术标准。中应用最广泛的技术标准。中应用最广泛的技术标准。中应用最广泛的技术标准。?PPPoAPPPoA（PPP over ATMPPP over ATM）ATMATM（异步传输模式，（异

28、步传输模式，（异步传输模式，（异步传输模式，Asynchronous Transfer ModeAsynchronous Transfer Mode）网）网）网）网络上运行络上运行络上运行络上运行PPPPPP协议来管理用户认证的方式。它与协议来管理用户认证的方式。它与协议来管理用户认证的方式。它与协议来管理用户认证的方式。它与PPPoEPPPoE的的的的原理相同，作用相同；不同的是它是在原理相同，作用相同；不同的是它是在原理相同，作用相同；不同的是它是在原理相同，作用相同；不同的是它是在ATMATM网络上，而网络上，而网络上，而网络上，而PPPoEPPPoE是在以太网网络上运行，所以要分别适应

29、是在以太网网络上运行，所以要分别适应是在以太网网络上运行，所以要分别适应是在以太网网络上运行，所以要分别适应ATMATM标标标标准和以太网标准。准和以太网标准。准和以太网标准。准和以太网标准。二、隧道技术二、隧道技术二、隧道技术二、隧道技术2.1 2.1 隧道技术隧道技术隧道技术隧道技术?隧道技术隧道技术?是指将传输的原始数据经过加密和协议封装处理后再嵌入到另一种协议的数据包中，以实现跨越公共网络传送私有数据包的目的。是指将传输的原始数据经过加密和协议封装处理后再嵌入到另一种协议的数据包中，以实现跨越公共网络传送私有数据包的目的。二、隧道技术二、隧道技术二、隧道技术二、隧道技术2.1 2.1

30、隧道技术隧道技术隧道技术隧道技术?隧道技术隧道技术原始数据包原始数据包隧道入口隧道入口分段、加密封装分段、加密封装解封、解密拆装解封、解密拆装隧道数据包隧道数据包原始数据包原始数据包隧道出口隧道出口乘客协议乘客协议乘客协议乘客协议隧道协议隧道协议隧道协议隧道协议承载协议承载协议承载协议承载协议低层传输协议低层传输协议低层传输协议低层传输协议乘客协议(如UDP、TCP）乘客协议(如UDP、TCP）乘客协议乘客协议乘客协议乘客协议( ( ( (如如如如UDPUDPUDPUDP、TCPTCPTCPTCP）隧道协议（如IPsec）隧道协议（如IPsec）隧道协议隧道协议隧道协议隧道协议（如（如（如（如

31、IPsecIPsecIPsecIPsec）承载协议（如IP）承载协议（如IP）承载协议承载协议承载协议承载协议（如（如（如（如IPIPIPIP）? ?承载协议：把隧道协议当作自己的数据来传输承载协议：把隧道协议当作自己的数据来传输承载协议：把隧道协议当作自己的数据来传输承载协议：把隧道协议当作自己的数据来传输? ?隧道协议：把乘客协议当作自己的数据来传输隧道协议：把乘客协议当作自己的数据来传输隧道协议：把乘客协议当作自己的数据来传输隧道协议：把乘客协议当作自己的数据来传输2.2 2.2 2.2 2.2 隧道协议隧道协议隧道协议隧道协议隧道协议的层次结构隧道协议的层次结构隧道协议的层次结构隧道协

32、议的层次结构二、隧道技术二、隧道技术二、隧道技术二、隧道技术二、隧道技术二、隧道技术二、隧道技术二、隧道技术2.2 2.2 隧道协议隧道协议隧道协议隧道协议?典型隧道协议典型隧道协议第二层隧道协议第二层隧道协议第二层隧道协议第二层隧道协议PPTPPPTP、L2FL2F、 L2TPL2TP先把各种网络协议封装到先把各种网络协议封装到先把各种网络协议封装到先把各种网络协议封装到PPPPPP中，再把整个数据包装入隧道中，再把整个数据包装入隧道中，再把整个数据包装入隧道中，再把整个数据包装入隧道协议中。这种双层封装的方法形成的数据包靠第二层协议进协议中。这种双层封装的方法形成的数据包靠第二层协议进协议

33、中。这种双层封装的方法形成的数据包靠第二层协议进协议中。这种双层封装的方法形成的数据包靠第二层协议进行传输。行传输。行传输。行传输。第三层隧道协议第三层隧道协议第三层隧道协议第三层隧道协议GREGRE、 IPsecIPsec把各种网络协议直接装入隧道协议中，形成的数据包靠第把各种网络协议直接装入隧道协议中，形成的数据包靠第把各种网络协议直接装入隧道协议中，形成的数据包靠第把各种网络协议直接装入隧道协议中，形成的数据包靠第三层协议进行传输。三层协议进行传输。三层协议进行传输。三层协议进行传输。3.1 3.1 3.1 3.1 PPTPPPTPPPTPPPTP协议概述协议概述协议概述协议概述3.1.

34、3 PPTP3.1.3 PPTP3.1.3 PPTP3.1.3 PPTP协议中的术语解释协议中的术语解释协议中的术语解释协议中的术语解释3.1.1 3.1.1 3.1.1 3.1.1 PPTPPPTPPPTPPPTP协议的产生背景协议的产生背景协议的产生背景协议的产生背景3.1.2 3.1.2 3.1.2 3.1.2 PPTPPPTPPPTPPPTP协议实现的功能协议实现的功能协议实现的功能协议实现的功能PPTPPPTP( (PointPoint- -ToTo- -Point Tunneling ProtocolPoint Tunneling Protocol）由微软由微软由微软由微软设计，设

35、计，设计，设计，PPTPPPTP论坛开发的点到点隧道协议。论坛开发的点到点隧道协议。论坛开发的点到点隧道协议。论坛开发的点到点隧道协议。? ? 满足企业内部职员异地办公的需要满足企业内部职员异地办公的需要满足企业内部职员异地办公的需要满足企业内部职员异地办公的需要在传统的远程拨号网络结构中，用户必须长途拨号连接到企在传统的远程拨号网络结构中，用户必须长途拨号连接到企在传统的远程拨号网络结构中，用户必须长途拨号连接到企在传统的远程拨号网络结构中，用户必须长途拨号连接到企业的网络接入服务器才能访问企业的应用服务器，这就需要业的网络接入服务器才能访问企业的应用服务器，这就需要业的网络接入服务器才能访

36、问企业的应用服务器，这就需要业的网络接入服务器才能访问企业的应用服务器，这就需要承受昂贵的长途通信费用。链路层遂道技术的出现解决了这承受昂贵的长途通信费用。链路层遂道技术的出现解决了这承受昂贵的长途通信费用。链路层遂道技术的出现解决了这承受昂贵的长途通信费用。链路层遂道技术的出现解决了这个问题个问题个问题个问题 。3.1.1 3.1.1 PPTPPPTP协议的产生背景协议的产生背景协议的产生背景协议的产生背景InternetInternetIP BackboneIP BackboneISPISP拨号拨号拨号拨号服务器服务器服务器服务器企业拨号企业拨号企业拨号企业拨号服务器服务器服务器服务器隧道

37、隧道隧道隧道PPPPPP3.1.1 3.1.1 PPTPPPTP协议的产生背景协议的产生背景协议的产生背景协议的产生背景它通过使用扩展的它通过使用扩展的它通过使用扩展的它通过使用扩展的GREGRE（通用路由封装协议）封通用路由封装协议）封通用路由封装协议）封通用路由封装协议）封装，将装，将装，将装，将PPPPPP分组通过分组通过分组通过分组通过IPIP网络封装传输，逻辑上延网络封装传输，逻辑上延网络封装传输，逻辑上延网络封装传输，逻辑上延伸了伸了伸了伸了PPPPPP会话，形成了虚拟的远程拨号连接，节会话，形成了虚拟的远程拨号连接，节会话，形成了虚拟的远程拨号连接，节会话，形成了虚拟的远程拨号连

38、接，节约了昂贵的长途通信费用。约了昂贵的长途通信费用。约了昂贵的长途通信费用。约了昂贵的长途通信费用。3.1.3.1.2 PPTP2 PPTP协议实现的功能协议实现的功能协议实现的功能协议实现的功能GREGRE，即通用路由封装协议，它能够利用任意，即通用路由封装协议，它能够利用任意，即通用路由封装协议，它能够利用任意，即通用路由封装协议，它能够利用任意一种网络协议封装传输任何一种网络协议，它的一种网络协议封装传输任何一种网络协议，它的一种网络协议封装传输任何一种网络协议，它的一种网络协议封装传输任何一种网络协议，它的使用范围非常广泛。用于封装非使用范围非常广泛。用于封装非使用范围非常广泛。用于

39、封装非使用范围非常广泛。用于封装非IPIP协议，以穿越协议，以穿越协议，以穿越协议，以穿越IPIP网络；但不提供加密功能。网络；但不提供加密功能。网络；但不提供加密功能。网络；但不提供加密功能。3.1.3.1.3 PPTP3 PPTP协议中的术语解释协议中的术语解释协议中的术语解释协议中的术语解释PACPNS/总部防火墙远程用户总部防火墙远程用户A隧道隧道ISDN/PSTNIPPPP连接连接控制连接控制连接? ?PPTPPPTP访问控制器（访问控制器（访问控制器（访问控制器（PACPAC）：）：）：）：与一条或多条与一条或多条与一条或多条与一条或多条PSTNPSTN（或或或或ISDNISDN）

40、线路连接、能够进行线路连接、能够进行线路连接、能够进行线路连接、能够进行PPPPPP操作和处理操作和处理操作和处理操作和处理PPTPPPTP协议的设备。在协议的设备。在协议的设备。在协议的设备。在PPTPPPTP协议的客户协议的客户协议的客户协议的客户/ /服务器模型中，它是客户端，也是服务器模型中，它是客户端，也是服务器模型中，它是客户端，也是服务器模型中，它是客户端，也是PPPPPPLCPLCP（链路控制协议）的逻辑终点。链路控制协议）的逻辑终点。链路控制协议）的逻辑终点。链路控制协议）的逻辑终点。3.1.3.1.3 PPTP3 PPTP协议中的术语解释协议中的术语解释协议中的术语解释协议

41、中的术语解释PACPNS/总部防火墙远程用户总部防火墙远程用户A隧道隧道ISDN/PSTNIPPPP连接连接控制连接控制连接? ?PPTPPPTP网络服务器（网络服务器（网络服务器（网络服务器（PNSPNS）：）：）：）：PNSPNS是是是是PPTPPPTP协议的客户协议的客户协议的客户协议的客户/ /服务器服务器服务器服务器模型的服务器端，是模型的服务器端，是模型的服务器端，是模型的服务器端，是PPPPPPNCPNCP（网络控制协议）的逻辑终网络控制协议）的逻辑终网络控制协议）的逻辑终网络控制协议）的逻辑终点。点。点。点。3.1.3.1.3 PPTP3 PPTP协议中的术语解释协议中的术语解

42、释协议中的术语解释协议中的术语解释PACPNS/总部防火墙远程用户总部防火墙远程用户A隧道隧道ISDN/PSTNIPPPP连接连接控制连接控制连接? ?控制连接（控制连接（控制连接（控制连接（control connectioncontrol connection）：）：）：）：在一个在一个在一个在一个PACPAC和和和和PNSPNS对之间对之间对之间对之间形成形成形成形成PPPPPP隧道之前，必须在它们之间建立一个控制连接。这隧道之前，必须在它们之间建立一个控制连接。这隧道之前，必须在它们之间建立一个控制连接。这隧道之前，必须在它们之间建立一个控制连接。这种控制连接是典型的种控制连接是典型的

43、种控制连接是典型的种控制连接是典型的TCPTCP会话，负责隧道传送的会话的建会话，负责隧道传送的会话的建会话，负责隧道传送的会话的建会话，负责隧道传送的会话的建立、管理和释放。立、管理和释放。立、管理和释放。立、管理和释放。? ?对每一对每一对每一对每一 PNS对而言，隧道和控制连接都存在。控制对而言，隧道和控制连接都存在。控制对而言，隧道和控制连接都存在。控制对而言，隧道和控制连接都存在。控制连接可由连接可由连接可由连接可由PNSPNS或或或或PACPAC任意一端建立，但每一任意一端建立，但每一任意一端建立，但每一任意一端建立，但每一 PNS对对对对之间之间之间之间只能有一只能有一条条控控制

44、制连连接接只能有一条控制连接只能有一条控制连接。3.1.3.1.3 PPTP3 PPTP协议中的术语解释协议中的术语解释协议中的术语解释协议中的术语解释PACPNS/总部防火墙远程用户总部防火墙远程用户A隧道隧道ISDN/PSTNIPPPP连接连接控制连接控制连接? ?隧道（隧道（隧道（隧道（TunnelTunnel）：）：）：）：在一个在一个在一个在一个 PNS对之间可以形成一条对之间可以形成一条对之间可以形成一条对之间可以形成一条PPTPPPTP隧道。在一条隧道中，同时可以封装多条用户会话。隧道。在一条隧道中，同时可以封装多条用户会话。隧道。在一条隧道中，同时可以封装多条用户会话。隧道。在

45、一条隧道中，同时可以封装多条用户会话。? ?在在在在PPTPPPTP隧道中，发送的隧道中，发送的隧道中，发送的隧道中，发送的PPPPPP分组通过分组通过分组通过分组通过GREGRE封装形成封装形成封装形成封装形成PPTPPPTP分分分分组并发送至对方。组并发送至对方。组并发送至对方。组并发送至对方。3.1.3.1.3 PPTP3 PPTP协议中的术语解释协议中的术语解释协议中的术语解释协议中的术语解释PACPNS/总部防火墙远程用户总部防火墙远程用户A隧道隧道ISDN/PSTNIPPPP连接连接控制连接控制连接? ?呼叫（呼叫（呼叫（呼叫（CallCall）：）：）：）：PSTNPSTN或或或

46、或ISDNISDN网络中的两个终端用户间的一次网络中的两个终端用户间的一次网络中的两个终端用户间的一次网络中的两个终端用户间的一次连接或连接企图。连接或连接企图。连接或连接企图。连接或连接企图。? ?会话（会话（会话（会话（SessionSession）：）：）：）：当拨号用户和当拨号用户和当拨号用户和当拨号用户和PNSPNS之间建立一条之间建立一条之间建立一条之间建立一条PPPPPP连接连接连接连接时，形成一次会话时，形成一次会话时，形成一次会话时，形成一次会话 。隧道隧道控制连接控制连接会话会话PACPNS3.1.3.1.3 PPTP3 PPTP协议中的术语解释协议中的术语解释协议中的术语

47、解释协议中的术语解释3.23.2 PPTPPPTP协议工作流程协议工作流程协议工作流程协议工作流程（1 1）用户拨号）用户拨号）用户拨号）用户拨号：用户用户用户用户AA通过通过通过通过ISDNISDNPSTNPSTN对总部对总部对总部对总部进行拨号进行拨号进行拨号进行拨号( (拨号信息中包括总部的某企业主机地址信拨号信息中包括总部的某企业主机地址信拨号信息中包括总部的某企业主机地址信拨号信息中包括总部的某企业主机地址信息息息息) )。PACPNS/总部防火墙远程用户总部防火墙远程用户AISDN/PSTNIPPPP连接连接（2 2 2 2）提供虚拟拨号服务：）提供虚拟拨号服务：）提供虚拟拨号服务

48、：）提供虚拟拨号服务：拨号信息到达拨号信息到达拨号信息到达拨号信息到达ISPISPISPISP后，后，后，后，ISPISPISPISP依据呼叫号码、企业主机地址等地址信息，判断出是依据呼叫号码、企业主机地址等地址信息，判断出是依据呼叫号码、企业主机地址等地址信息，判断出是依据呼叫号码、企业主机地址等地址信息，判断出是否应提供虚拟拨号服务。否应提供虚拟拨号服务。否应提供虚拟拨号服务。否应提供虚拟拨号服务。PACPNS/总部防火墙远程用户总部防火墙远程用户AISDN/PSTNIPPPP连接连接3.23.2 PPTPPPTP协议工作流程协议工作流程协议工作流程协议工作流程（3 3 3 3）建立控制连

49、接：）建立控制连接：）建立控制连接：）建立控制连接：PPTPPPTPPPTPPPTP协议首先检查协议首先检查协议首先检查协议首先检查PACPACPACPAC与用户与用户与用户与用户A A A A指定目的地对应的指定目的地对应的指定目的地对应的指定目的地对应的PNSPNSPNSPNS间是否存在控制连接；如果没间是否存在控制连接；如果没间是否存在控制连接；如果没间是否存在控制连接；如果没有，则首先建立控制连接。有，则首先建立控制连接。有，则首先建立控制连接。有，则首先建立控制连接。PACPNS/总部防火墙远程用户总部防火墙远程用户AISDN/PSTNIPPPP连接连接控制连接控制连接3.23.2

50、PPTPPPTP协议工作流程协议工作流程协议工作流程协议工作流程（4 4 4 4）建立入站呼叫）建立入站呼叫）建立入站呼叫）建立入站呼叫: : : :控制连接建立后，控制连接建立后，控制连接建立后，控制连接建立后，PACPACPACPAC向向向向PNSPNSPNSPNS请求请求请求请求建立入站呼叫。建立入站呼叫。建立入站呼叫。建立入站呼叫。PACPACPACPAC和和和和PNSPNSPNSPNS为该入站呼叫建立一个逻辑为该入站呼叫建立一个逻辑为该入站呼叫建立一个逻辑为该入站呼叫建立一个逻辑接口，用于处理接口，用于处理接口，用于处理接口，用于处理PPTPPPTPPPTPPPTP分组。此时分组。此

51、时分组。此时分组。此时PPPPPPPPPPPP分组可以通过隧分组可以通过隧分组可以通过隧分组可以通过隧道进行传输。道进行传输。道进行传输。道进行传输。PACPNS/总部防火墙远程用户总部防火墙远程用户A隧道隧道ISDN/PSTNIPPPP连接连接控制连接控制连接3.23.2 PPTPPPTP协议工作流程协议工作流程协议工作流程协议工作流程（5 5 5 5）进行新的）进行新的）进行新的）进行新的PPPPPPPPPPPPLCPLCPLCPLCP协商协商协商协商: : : :PNSPNSPNSPNS如希望与拨号用户如希望与拨号用户如希望与拨号用户如希望与拨号用户A A A A进行新的进行新的进行新的

52、进行新的PPP LCPPPP LCPPPP LCPPPP LCP（链路控制协议）协商，则可与用链路控制协议）协商，则可与用链路控制协议）协商，则可与用链路控制协议）协商，则可与用户户户户A A A A进行进行进行进行LCPLCPLCPLCP协商，协商，协商，协商，PNSPNSPNSPNS将协商的相关结果通过控制连将协商的相关结果通过控制连将协商的相关结果通过控制连将协商的相关结果通过控制连接发给接发给接发给接发给PAC(PACPAC(PACPAC(PACPAC(PAC是是是是LCPLCPLCPLCP的逻辑终点的逻辑终点的逻辑终点的逻辑终点) ) ) )。PACPNS/总部防火墙远程用户总部防火

53、墙远程用户A隧道隧道ISDN/PSTNIPPPP连接连接控制连接控制连接3.23.2 PPTPPPTP协议工作流程协议工作流程协议工作流程协议工作流程(6)(6)(6)(6)进行身份鉴别进行身份鉴别进行身份鉴别进行身份鉴别: : : :若若若若PNSPNSPNSPNS希望对拨号用户希望对拨号用户希望对拨号用户希望对拨号用户A A A A进行身份鉴进行身份鉴进行身份鉴进行身份鉴别，则可以对用户进行别，则可以对用户进行别，则可以对用户进行别，则可以对用户进行PPPPPPPPPPPPPAPPAPPAPPAP或或或或PPPPPPPPPPPPCHAPCHAPCHAPCHAP等鉴别等鉴别等鉴别等鉴别. .

54、 . .PACPNS/总部防火墙远程用户总部防火墙远程用户A隧道隧道ISDN/PSTNIPPPP连接连接控制连接控制连接3.23.2 PPTPPPTP协议工作流程协议工作流程协议工作流程协议工作流程(7)(7)(7)(7)进入进入进入进入NCPNCPNCPNCP协商阶段协商阶段协商阶段协商阶段: : : :若不需要鉴别或已经通过鉴别若不需要鉴别或已经通过鉴别若不需要鉴别或已经通过鉴别若不需要鉴别或已经通过鉴别后，用户后，用户后，用户后，用户A A A A和和和和PNSPNSPNSPNS间的逻辑间的逻辑间的逻辑间的逻辑PPPPPPPPPPPP会话进入会话进入会话进入会话进入NCPNCPNCPNC

55、P（网络控制网络控制网络控制网络控制协议）协商阶段。此时协议）协商阶段。此时协议）协商阶段。此时协议）协商阶段。此时PNSPNSPNSPNS可以与拨号用户可以与拨号用户可以与拨号用户可以与拨号用户A A A A协商链路协商链路协商链路协商链路层加密算法或为层加密算法或为层加密算法或为层加密算法或为拔号用户分配内部拔号用户分配内部拔号用户分配内部拔号用户分配内部IPIPIPIP或私有地址或私有地址或私有地址或私有地址。PACPNS/总部防火墙远程用户总部防火墙远程用户A隧道隧道ISDN/PSTNIPPPP连接连接控制连接控制连接3.23.2 PPTPPPTP协议工作流程协议工作流程协议工作流程协

56、议工作流程(8)(8)(8)(8)完成完成完成完成NCPNCPNCPNCP协商协商协商协商: : : :NCPNCPNCPNCP协商之后，协商之后，协商之后，协商之后，用户会话建立完成用户会话建立完成用户会话建立完成用户会话建立完成。用户数据可以通过用户数据可以通过用户数据可以通过用户数据可以通过PPTPPPTPPPTPPPTP隧道进行发送。在拨号用户隧道进行发送。在拨号用户隧道进行发送。在拨号用户隧道进行发送。在拨号用户端，端，端，端，IPIPIPIP分组分组分组分组( ( ( (或其他内部协议数据或其他内部协议数据或其他内部协议数据或其他内部协议数据) ) ) )被封装入被封装入被封装入被

57、封装入PPPPPPPPPPPP分分分分组，通过组，通过组，通过组，通过PPPPPPPPPPPP链接发送到链接发送到链接发送到链接发送到PACPACPACPAC。PACPACPACPAC将将将将PPPPPPPPPPPP分组封装入分组封装入分组封装入分组封装入GREGREGREGRE头中形成头中形成头中形成头中形成PPTPPPTPPPTPPPTP分组。分组。分组。分组。PPTPPPTPPPTPPPTP分组被作为分组被作为分组被作为分组被作为IPIPIPIP分组的上分组的上分组的上分组的上层协议部分被发送给层协议部分被发送给层协议部分被发送给层协议部分被发送给PNSPNSPNSPNS。PACPNS/

58、总部防火墙远程用户总部防火墙远程用户A隧道隧道ISDN/PSTNIPPPP连接连接控制连接控制连接3.23.2 PPTPPPTP协议工作流程协议工作流程协议工作流程协议工作流程(9)(9)(9)(9)虚拟接口处理虚拟接口处理虚拟接口处理虚拟接口处理: : : :在在在在PNSPNSPNSPNS处，当收到处，当收到处，当收到处，当收到PPTPPPTPPPTPPPTP分组时，将分组时，将分组时，将分组时，将它交给虚拟接口处理。虚拟接口依据它交给虚拟接口处理。虚拟接口依据它交给虚拟接口处理。虚拟接口依据它交给虚拟接口处理。虚拟接口依据GREGREGREGRE头中的信息头中的信息头中的信息头中的信息确

59、定该分组属于哪个会话，并将剥掉确定该分组属于哪个会话，并将剥掉确定该分组属于哪个会话，并将剥掉确定该分组属于哪个会话，并将剥掉GREGREGREGRE头的头的头的头的PPPPPPPPPPPP分组分组分组分组部分交给部分交给部分交给部分交给PPPPPPPPPPPP接口处理。接口处理。接口处理。接口处理。PACPNS/总部防火墙远程用户总部防火墙远程用户A隧道隧道ISDN/PSTNIPPPP连接连接控制连接控制连接3.23.2 PPTPPPTP协议工作流程协议工作流程协议工作流程协议工作流程(10)(10)(10)(10)完成虚拟拨号完成虚拟拨号完成虚拟拨号完成虚拟拨号: : : :由企业主机或由

60、企业主机或由企业主机或由企业主机或PNSPNSPNSPNS发往用户发往用户发往用户发往用户A A A A的分的分的分的分组处理过程也类似。到此，一次虚拟拨号通信就已完组处理过程也类似。到此，一次虚拟拨号通信就已完组处理过程也类似。到此，一次虚拟拨号通信就已完组处理过程也类似。到此，一次虚拟拨号通信就已完成。成。成。成。PACPNS/总部防火墙远程用户总部防火墙远程用户A隧道隧道ISDN/PSTNIPPPP连接连接控制连接控制连接3.23.2 PPTPPPTP协议工作流程协议工作流程协议工作流程协议工作流程3.33.33.33.3 PPTPPPTPPPTPPPTP协议规范协议规范协议规范协议规范

61、3.3.2 3.3.2 3.3.2 3.3.2 控制连接控制连接控制连接控制连接3.3.3 3.3.3 3.3.3 3.3.3 呼叫呼叫呼叫呼叫3.3.1 PPTP3.3.1 PPTP3.3.1 PPTP3.3.1 PPTP分组的封装分组的封装分组的封装分组的封装?IP分组或其他非分组或其他非IP分组被封装入分组被封装入PPP分组之中。当分组之中。当PPP分组到达分组到达PAC时，时，PPTP协议将其封装入扩展的协议将其封装入扩展的GRE头之中。封装后的数据作为头之中。封装后的数据作为IP分组的数据部分，传送给下层的媒体发送。分组的数据部分，传送给下层的媒体发送。IP/IPX等等PPTP分组分

62、组3.3.1 PPTP3.3.1 PPTP分组的封装分组的封装分组的封装分组的封装PPP封装封装IP/IPX等等GRE封装封装IP/IPX等等PPP封装封装IP头头IP/IPX等等PPP封装封装GRE封装封装PACPNS本地网本地网InternetPSTN远程用户远程用户隧道服务二层连接隧道服务二层连接IP IPXIP IPXIP IPXIP IPXDATADATADATADATAPPPPPPPPPPPPGREGREGREGREIPIPIPIPPPTP数据消息的封装与传输数据消息的封装与传输3.3.1 PPTP3.3.1 PPTP分组的封装分组的封装分组的封装分组的封装3.3.2 3.3.2

63、控制连接控制连接控制连接控制连接?控制连接的维护控制连接的维护注：当控制连接建立完成以后，注：当控制连接建立完成以后，PAC和和PNS都应随时确认控制连接的存活性。如果一方在控制连接上已有一段时间没收到控制消息，应向对方发送都应随时确认控制连接的存活性。如果一方在控制连接上已有一段时间没收到控制消息，应向对方发送EchoRQ，探测对方是否仍在保持该控制连接。，探测对方是否仍在保持该控制连接。发起者应答者发起者应答者发送EchoRQ消息发送EchoRP消息存活性探测的过程发送EchoRQ消息发送EchoRP消息存活性探测的过程3.3.2 3.3.2 控制连接控制连接控制连接控制连接?控制连接的关

64、闭控制连接的关闭? PAC和和PNS均可发起关闭控制连接的请求均可发起关闭控制连接的请求? 本地系统管理原因、通信故障、用户请求本地系统管理原因、通信故障、用户请求? 关闭一条控制连接意味着相应关闭一条控制连接意味着相应对的隧道中的所有用户会话都将关闭。对的隧道中的所有用户会话都将关闭。发起者应答者发起者应答者发送StopCCRQ消息发送StopCCRP消息PPTP关闭连接的过程发送StopCCRQ消息发送StopCCRP消息PPTP关闭连接的过程3.3.2 3.3.2 控制连接控制连接控制连接控制连接?控制连接建立中碰撞的解决方案：控制连接建立中碰撞的解决方案：控制连接可由PNS或PAC任意

65、一端建立，但每一对之间只能有一条控制连接。因此，有可能在发起方还没有收到对方的响应消息之前，却收到来自对方的请求连接消息，此时就发生了碰撞。控制连接可由PNS或PAC任意一端建立，但每一对之间只能有一条控制连接。因此，有可能在发起方还没有收到对方的响应消息之前，却收到来自对方的请求连接消息，此时就发生了碰撞。解决方案：解决方案：在碰撞发生后，PPTP主机将有选择地忽略一方的连接请示，以确保只有一条控制连接得以建立。选择原则是：在碰撞发生后，PPTP主机将有选择地忽略一方的连接请示，以确保只有一条控制连接得以建立。选择原则是：比较双方IP地址的大小，选择IP地址大的一方为发起者。比较双方IP地址

66、的大小，选择IP地址大的一方为发起者。3.3.3 3.3.3 呼叫呼叫呼叫呼叫?出站呼叫的建立出站呼叫的建立?入站呼叫的建立入站呼叫的建立?呼叫的维护呼叫的维护?呼叫的关闭呼叫的关闭建立控制连接的目的，就是对呼叫进行管理。呼建立控制连接的目的，就是对呼叫进行管理。呼建立控制连接的目的，就是对呼叫进行管理。呼建立控制连接的目的，就是对呼叫进行管理。呼叫有出站呼叫和入站呼叫两种。当总部主动向远叫有出站呼叫和入站呼叫两种。当总部主动向远叫有出站呼叫和入站呼叫两种。当总部主动向远叫有出站呼叫和入站呼叫两种。当总部主动向远程用户发出呼叫并企图建立连接时，称为出站呼程用户发出呼叫并企图建立连接时，称为出站

67、呼程用户发出呼叫并企图建立连接时，称为出站呼程用户发出呼叫并企图建立连接时，称为出站呼叫；若远程用户通过叫；若远程用户通过叫；若远程用户通过叫；若远程用户通过PSTNPSTNISDNISDN网及网及网及网及ISPISP向总部向总部向总部向总部拨号呼叫时，称为入站呼叫。拨号呼叫时，称为入站呼叫。拨号呼叫时，称为入站呼叫。拨号呼叫时，称为入站呼叫。?鉴别机制不健全鉴别机制不健全没有为控制连接的建立过程以及入站呼叫没有为控制连接的建立过程以及入站呼叫/出站呼叫的建立过程提供任何鉴别机制出站呼叫的建立过程提供任何鉴别机制?没有提供数据完整性保护没有提供数据完整性保护对传送于隧道间的数据不提供完整性的保

68、护，因此攻击者可能注入虚假控制信息或数据信息，还可以对传输中的数据进行恶意的修改。对传送于隧道间的数据不提供完整性的保护，因此攻击者可能注入虚假控制信息或数据信息，还可以对传输中的数据进行恶意的修改。3.4 PPTP3.4 PPTP协议的安全性分析协议的安全性分析协议的安全性分析协议的安全性分析?没有提供数据的没有提供数据的强强机密性保护机密性保护对传送于隧道间的数据不提供强机密性保护，因此，传输于公网上的数据信息或控制信息有可能被泄露。对传送于隧道间的数据不提供强机密性保护，因此，传输于公网上的数据信息或控制信息有可能被泄露。PPTPPPTP没有特别的指定认证和加密算法它只提供了一没有特别的

69、指定认证和加密算法它只提供了一没有特别的指定认证和加密算法它只提供了一没有特别的指定认证和加密算法它只提供了一个为个为个为个为协商特殊算法的框架。协商特殊算法的框架。协商特殊算法的框架。协商特殊算法的框架。PPTPPPTP协议中数据用建立在协议中数据用建立在协议中数据用建立在协议中数据用建立在PPPPPP协议上的方法进行加密和认证。协议上的方法进行加密和认证。协议上的方法进行加密和认证。协议上的方法进行加密和认证。PPPPPP本身没有任何本身没有任何本身没有任何本身没有任何加密、认证措施，但是它加密、认证措施，但是它加密、认证措施，但是它加密、认证措施，但是它支持加密及认证。支持加密及认证。支

70、持加密及认证。支持加密及认证。3.4 PPTP3.4 PPTP协议的安全性分析协议的安全性分析协议的安全性分析协议的安全性分析?PPP加密控制协议ECP（The PPP Encryption Control Protocol RFC1968）：PPP加密控制协议ECP（The PPP Encryption Control Protocol RFC1968）：定义了通过PPP连接协商数据加密的方式；定义了通过PPP连接协商数据加密的方式；?DESE协议（The PPP DES Encryption Protocol RFC1969）:DESE协议（The PPP DES Encryption P

71、rotocol RFC1969）:定义了使用DES加密标准加密PPP封装的包的详细过程。定义了使用DES加密标准加密PPP封装的包的详细过程。PPPPPP所支持的加密协议如下：所支持的加密协议如下：所支持的加密协议如下：所支持的加密协议如下：3.4 PPTP3.4 PPTP协议的安全性分析协议的安全性分析协议的安全性分析协议的安全性分析?DESE-bis （The PPP DES Encryption Protocol, Version 2 RFC2419）DESE-bis （The PPP DES Encryption Protocol, Version 2 RFC2419）?3DESE（T

72、he PPP Triple-DES Encryption Protocol RFC2420）3DESE（The PPP Triple-DES Encryption Protocol RFC2420）PPPPPP所支持的加密协议如下：所支持的加密协议如下：所支持的加密协议如下：所支持的加密协议如下：3.4 PPTP3.4 PPTP协议的安全性分析协议的安全性分析协议的安全性分析协议的安全性分析MPPEMPPE协议协议协议协议?MPPE(MPPE(MPPE(MPPE(点到点加密点到点加密点到点加密点到点加密) ) ) )协议是由美国协议是由美国协议是由美国协议是由美国微软微软微软微软设计的。设计的

73、。设计的。设计的。?规定了如何在数据链路层对通信进行规定了如何在数据链路层对通信进行规定了如何在数据链路层对通信进行规定了如何在数据链路层对通信进行机密性保护机密性保护机密性保护机密性保护的机制。通的机制。通的机制。通的机制。通过对过对过对过对PPPPPPPPPPPP链接中链接中链接中链接中PPPPPPPPPPPP分组的加密以及分组的加密以及分组的加密以及分组的加密以及PPPPPPPPPPPP封装处理，封装处理，封装处理，封装处理，MPPEMPPEMPPEMPPE实现数实现数实现数实现数据链路层的机密性保护。据链路层的机密性保护。据链路层的机密性保护。据链路层的机密性保护。?MPPEMPPEM

74、PPEMPPE使用使用使用使用PPPPPPPPPPPP压缩控制协议压缩控制协议压缩控制协议压缩控制协议( ( ( (CCPCCPCCPCCP) ) ) )的一个选项进行协商。的一个选项进行协商。的一个选项进行协商。的一个选项进行协商。?MPPEMPPEMPPEMPPE协议采用固定的协议采用固定的协议采用固定的协议采用固定的RC4RC4RC4RC4算法对算法对算法对算法对PPPPPPPPPPPP分组进行加密，支持密钥分组进行加密，支持密钥分组进行加密，支持密钥分组进行加密，支持密钥长度为长度为长度为长度为128128128128、56565656和和和和40404040位的加密强度。位的加密强度

75、。位的加密强度。位的加密强度。3.4 PPTP3.4 PPTP协议的安全性分析协议的安全性分析协议的安全性分析协议的安全性分析?灵活性差灵活性差?其采用固化的消息格式，缺乏灵活性，不利于协议的扩展。其采用固化的消息格式，缺乏灵活性，不利于协议的扩展。?只适应于只适应于IP网络，不能在非网络，不能在非IP网络中封装网络中封装PPP协议，因此缺乏可移植性。协议，因此缺乏可移植性。?没有提供数据的没有提供数据的强强机密性保护机密性保护对传送于隧道间的数据不提供强机密性保护，因此，传输于公网上的数据信息或控制信息有可能被泄露。对传送于隧道间的数据不提供强机密性保护，因此，传输于公网上的数据信息或控制信息有可能被泄露。3.4 PPTP3.4 PPTP协议的安全性分析协议的安全性分析协议的安全性分析协议的安全性分析总总总总 结结结结? ?PPPPPP协议协议协议协议? ?隧道技术隧道技术隧道技术隧道技术? ?PPTPPPTP协议协议协议协议