【導(dǎo)讀】采用VPN技術(shù)，網(wǎng)絡(luò)建設(shè)者可以利用公用數(shù)據(jù)網(wǎng)提供的服務(wù)，在。敷設(shè)或租用用戶（長(zhǎng)途）專線的條件下組建安全專用網(wǎng)絡(luò)。層協(xié)議進(jìn)行中繼的組建第2層VPN的方法。本論文以第2層VPN技術(shù)為背景，研究隧道傳輸技術(shù)。該思路比2020年IETF的建議草案，即L2TPv3. 覆蓋的范圍更廣。在此基礎(chǔ)上,作者與課題組其他兩位成員一道提出了將隧。道傳輸思想推廣到對(duì)稱應(yīng)用模式和其他協(xié)議層。其中，在協(xié)議實(shí)現(xiàn)方面，作者的工作重點(diǎn)是數(shù)據(jù)。最后作者對(duì)所作的工作做了簡(jiǎn)短的總結(jié)，并對(duì)該技術(shù)提出了展望。該協(xié)議有一定的應(yīng)用前景，通過(guò)對(duì)它的擴(kuò)展，應(yīng)用面將更加廣泛。

　　

【正文】 UDP 必須考慮到已經(jīng)存在的二層隧道協(xié)議，包括 L2TPv2與 L2F。圖 所示為其會(huì)話頭的格式。 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 T X X X X X X X X X X X Ver Length Session ID Cookie (optional, maximum 64 bits)... 圖 L2TPv3 over UDP 會(huì)話頭 T 為必須設(shè)置為 0，表明為數(shù)據(jù)報(bào)文。 X 為保留位，以為將來(lái)擴(kuò)展使用。 L2TP over IP 會(huì)話報(bào)文格式 與 L2TP over UDP 不同， L2TPv3 over IP 會(huì)話頭不受 L2TPv2 與 L2F 的限制。這樣頭格式的設(shè)計(jì)更加利于包的處理，如圖 所示。 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 Session ID Cookie (optional, maximum 64 bits)... 圖 L2TPv3 Over IP 會(huì)話頭 同樣控制頭也有所不同，當(dāng)發(fā)送控制報(bào)文時(shí)，它使報(bào)文頭前四個(gè)字節(jié)設(shè)為全 0，這樣處理將使得區(qū)分?jǐn)?shù)據(jù)報(bào)文和控制報(bào)文以及報(bào)文的校驗(yàn)更加有效。圖 所示為控制報(bào)文頭。 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 (32 bits of zeros) T L X X S X X X X X X X Ver Length 西南交通大學(xué)碩士研究生學(xué)位論文 第 17 頁(yè) Control Connection ID Ns Nr 圖 L2TPv3 Over IP 控制頭 值得注意的使這里的長(zhǎng)度不包括前面的 32 位 0 位。 AVP 定義 在確?；ビ眯缘那闆r下，為了最大化報(bào)文的可擴(kuò)展性，在 L2TP 中采用報(bào)文類型和內(nèi)容統(tǒng)一編碼的方法。這種編碼方法稱為 AVP，即屬性值對(duì)。 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 M H rsvd Length Vendor ID Attribute Type Attribute Value ... (until Length is reached) 圖 AVP 格式 前六位描述了 AVP 的一般屬性，其中前兩位被定義，而后四位作為保留位以為將來(lái)擴(kuò)展用。保留位必須設(shè)置為 0，如果有一位為 1，則認(rèn)為該 AVP不可識(shí)別。 強(qiáng)制（ M）位用于控制收到無(wú)法識(shí)別或畸形的 AVP 時(shí)的執(zhí)行動(dòng)作。一個(gè)給定的 AVP 只有在無(wú)法識(shí)別或者畸形時(shí) M 位才被檢查。如果一個(gè)與特殊會(huì)話或者控制連接相關(guān)的控制報(bào)文 AVP 無(wú)法識(shí)別或者是畸形，且 M 位被設(shè)定，則這個(gè)會(huì)話或連接以及綁定到這個(gè)連接上的所有會(huì)話必須被終止。如果 M 位沒(méi)有設(shè)定，則無(wú)法識(shí)別的 AVP 必須被忽略，控制連接應(yīng)該繼續(xù)運(yùn)行就好像該AVP 不存在。 隱藏（ H）位用于識(shí)別 AVP 中屬性值域中的隱藏?cái)?shù)據(jù)。其作用是避免敏感數(shù)據(jù)以明文發(fā)送，例如用戶密碼。 長(zhǎng)度字段（ Length）表示這個(gè) AVP 中的字節(jié)長(zhǎng)度，一般為屬性值加 6。長(zhǎng)度字段共占 10 位，那么就允許在一個(gè)單獨(dú)的 AVP 中最大有 1023 個(gè)字節(jié)的數(shù)據(jù)。最小的 AVP 長(zhǎng)度為 6 個(gè)字節(jié)，這時(shí)的屬性值域?yàn)榭铡? Vendor ID 是 IANA 分配的 SMI 網(wǎng)絡(luò)管理專有企業(yè)編碼。本文中采用的是 0。開(kāi)發(fā)商在擴(kuò)展自己的功能時(shí)，要避免與其他開(kāi)發(fā)商以及 IETF 將來(lái)的擴(kuò)展沖突。這里 Vendor ID 分配了 16 位，那么限制了企業(yè)數(shù)為前 65535 個(gè)。 屬性類型（ Attribute Type）是一個(gè)兩字節(jié)的值用以表明 AVP 的類型。 屬性值（ Attribute Type）用以表明具體的 AVP 屬性。 西南交通大學(xué)碩士研究生學(xué)位論文 第 18 頁(yè) 強(qiáng)制 AVP 當(dāng)一個(gè)無(wú)法識(shí)別或者畸形的 AVP 的 M 位設(shè)定時(shí)，那么對(duì)于會(huì)話和控制連接來(lái)說(shuō)將是災(zāi)難性的。所以 M 位只應(yīng)該在一些關(guān)鍵的 AVP 中定義，比如說(shuō)影響到會(huì)話和控制連接的正常運(yùn)行的 AVP。在 LAC 和 LNS 收到無(wú)法識(shí)別的 AVP，并且 M 位已經(jīng)被設(shè)定的情況下，會(huì)話或者控制 連接被終止，那么發(fā)送端應(yīng)該正確的來(lái)處理這個(gè)錯(cuò)誤。在定義這種 AVP 時(shí)應(yīng)該要考慮到這個(gè)問(wèn)題。 在需要使用 M 位時(shí)，如果有其他的選擇，應(yīng)該盡可能的選用其他選擇。例如，僅僅發(fā)送一個(gè)設(shè)定了 M 位的 AVP 來(lái)確定一個(gè)特殊的擴(kuò)展是否存在，不如采用通過(guò)在請(qǐng)求報(bào)文里發(fā)送一個(gè) AVP，以期待在應(yīng)答報(bào)文里是否存在一個(gè)相應(yīng)的 AVP 這種方法來(lái)的要好。 如果在一些新的 AVP 中使用了 M 比特位，必須能夠提供一定的配置把相聯(lián)系的特性排開(kāi)，也就是或者不發(fā)送 AVP 或是發(fā)送時(shí)不設(shè)置 M 位。 在接收端，當(dāng)收到的控制報(bào)文中的 AVP 不可識(shí)別或是畸形時(shí)，應(yīng)當(dāng)只檢查 這個(gè) AVP 的 M 位，反之則不用檢查。這種規(guī)則可以防止當(dāng)接收方收到一個(gè)有效 AVP 時(shí)，由于 M 位被設(shè)定為 LCCE 不期望的值而被 LCCE 關(guān)斷這個(gè)會(huì)話或控制連接。 AVP 的隱藏 每個(gè) AVP 的頭部的 H 位提供了一種機(jī)制以對(duì)接收端的內(nèi)容是否隱藏。這種機(jī)制可以用來(lái)隱藏一些敏感的控制報(bào)文數(shù)據(jù)，例如用戶 ID 或者用戶密碼。 H 位在以下兩種情況下必須采用：（ 1）兩個(gè) LCCE 之間存在一個(gè)共享密鑰；（ 2） LCCE 認(rèn)證已經(jīng)完成。共享密鑰對(duì)于 LCCE 認(rèn)證來(lái)說(shuō)是同一個(gè)密鑰。在 LCCE 認(rèn)證成功完成以后，隱藏值不可以公開(kāi)（也許需要隱藏值 保存直到附加配置報(bào)文接收到）。否則就會(huì)冒著在沒(méi)有確認(rèn)共享密鑰的完整性的情況下使用了 AVP 數(shù)據(jù)的風(fēng)險(xiǎn)。如果在一個(gè)給定的控制報(bào)文中的任何 AVP 的 H 位被設(shè)定，一個(gè)隨機(jī)向量 AVP 必須出現(xiàn)在報(bào)文中并且在第一個(gè)帶有 H 位為 1的 AVP 之前。 隱藏 AVP 值有幾步。第一步獲得原始明文 AVP 的長(zhǎng)度以及值域，并且將其編碼為如下隱藏 AVP 的子格式。 西南交通大學(xué)碩士研究生學(xué)位論文 第 19 頁(yè) 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 Length of Original Value Original Attribute Value ... Padding ... 圖 隱藏 AVP 的子格式 Length of Original Attribute Value：這個(gè)字段表示原始屬性值的字節(jié)長(zhǎng)度。當(dāng)增加了 Padding 后，有必要知道原始數(shù)據(jù)的長(zhǎng)度。 Original Attribute Value：原始的屬性值。 Padding：隨機(jī)附加的字節(jié)用于加密被隱藏的屬性值的長(zhǎng)度。 為了隱藏?cái)?shù)據(jù)大小，可以如上圖所示增加 Padding。 Padding 并不改變Length of Original Attribute Value 域，但是改變了合成的 AVP 的長(zhǎng)度。例如，如果屬性值是 4 個(gè)字節(jié)，那么未隱藏的 AVP 長(zhǎng)度是 10 字節(jié)，即 6+屬性值的長(zhǎng)度。隱藏以后， AVP 的長(zhǎng)度變?yōu)?6+屬性值的長(zhǎng)度 +原始的屬性值域的長(zhǎng)度+Padding。這樣如果 Padding 是 12 個(gè)字節(jié)，那么 AVP 的長(zhǎng)度將是 6 + 4 + 2 + 12 = 24 字節(jié)。 第二步，對(duì)如下的串進(jìn)行 MD5 哈希算法。 ? AVP 兩字節(jié)屬性值 ? 共享密鑰 ? 一個(gè)任意長(zhǎng)的隨機(jī)向量 哈希表中的隨機(jī)向量的值通過(guò)隨機(jī)向量 AVP 中的值域來(lái)傳輸。發(fā)送者在進(jìn)行 AVP 隱藏操作前， 必須把這個(gè)隨機(jī)向量 AVP 放在報(bào)文中。在同一個(gè)報(bào)文中，相同的隨機(jī)向量可以被多個(gè)隱藏 AVP 使用。如果不同的隨機(jī)向量應(yīng)用于并發(fā) AVP 的隱藏時(shí)，那么在第一個(gè) AVP 應(yīng)用前，必須在命令報(bào)文中設(shè)置一個(gè)新的隨機(jī)向量 AVP。 MD5 哈希值于隱藏 AVP 子格式的前 16 個(gè)字節(jié)段進(jìn)行異或，然后放進(jìn)隱藏 AVP 的屬性值域中。如果隱藏 AVP 的子格式少于 16 字節(jié)，那么對(duì)子格式進(jìn)行變形，填補(bǔ)到 16 個(gè)字節(jié)的長(zhǎng)度。僅僅子格式中的實(shí)際字節(jié)數(shù)被改變，AVP 的長(zhǎng)度并沒(méi)有被改變。 如果子格式大于 16 字節(jié)，下一個(gè)單向的 MD5 哈希值是通過(guò)共享密鑰組成的字節(jié)流 以及其后所跟的第一次異或的結(jié)果計(jì)算得到的。哈希值與子格式中的下一個(gè) 16 字節(jié)段進(jìn)行異或，然后放進(jìn)相應(yīng)的隱藏 AVP 值域中。 如果需要，可以重復(fù)這種操作，通過(guò)使用共享密鑰和每次異或的結(jié)果來(lái)產(chǎn)生下一個(gè)哈希值，以與下一個(gè)字節(jié)段進(jìn)行異或。 西南交通大學(xué)碩士研究生學(xué)位論文 第 20 頁(yè) 調(diào)用共享密鑰 S，隨機(jī)向量 RV 和屬性值 AV。把值域分成 16 字節(jié)的數(shù)據(jù)塊 p p2 等，最后的塊用隨機(jī)數(shù)填充到 16 字節(jié)。調(diào)用密碼塊 c(1)、 c(2)等，使用如下的一些中間值如 b b2 等。 b1 = MD5(AV + S + RV) c(1) = p1 xor b1 b2 = MD5(S + c(1)) c(2) = p2 xor b2 ……… .. bi = MD5(S + c(i1)) c(i) = pi xor bi 所組成的串就是 c(1)+c(2)+...+c(i)，這里“＋”表示串的連接。當(dāng)接收到后，隨機(jī)向量在 AVP 解開(kāi)隱藏之前將從報(bào)文中的最后一個(gè)隨機(jī)向量 AVP 中得到。然后再按照上面介紹的處理過(guò)程的逆過(guò)程來(lái)獲得原始的值。 在報(bào)文類型 AVP 定義了專門的控制報(bào)文類型。這種報(bào)文類型 AVP 的 屬性值域是一個(gè)兩字節(jié)的無(wú)符號(hào)整數(shù)。報(bào)文類型 AVP 必須是報(bào)文中的第一個(gè) AVP，緊隨控制報(bào)文頭之后，報(bào)文類型 AVP 定義了發(fā)送的控制報(bào)文的類型。 控制報(bào)文類型 下表是定義的文本定義的控制報(bào)文類型。 報(bào)文類型 編號(hào) 縮寫(xiě) 全稱 注解 控制連接管理報(bào)文 0 reserved 1 SCCRQ StartControlConnectionRequest 開(kāi)始控制連接請(qǐng)求 2 SCCRP StartControlConnectionReply 開(kāi)始控制連接應(yīng)答 3 SCCCN StartControlConnectionConnected 控制連接建立 4 StopCCN StopControlConnectionNotification 停止控制連接通知 5 reserved 6 HELLO Hello 會(huì)話管理報(bào)文 7 OCRQ OutgoingCallRequest 呼出呼叫請(qǐng)求 8 OCRP OutgoingCallReply 呼出呼叫應(yīng)答 9 OCCN OutgoingCallConnected 呼出呼叫連接建 立 10 ICRQ IningCallRequest 呼入呼叫請(qǐng)求 11 ICRP IningCallReply 呼入呼叫應(yīng)答 12 ICCN IningCallConnected 呼入呼叫已連接 13 reserved 14 CDN CallDisconnectNotify 呼叫斷開(kāi)通知 西南交通大學(xué)碩士研究生學(xué)位論文 第 21 頁(yè) 錯(cuò)誤報(bào)告報(bào)文 15 WEN WANErrorNotify 錯(cuò)誤報(bào)文報(bào)告 連接狀態(tài)改變報(bào)告報(bào)文 16 SLI SetLinkInfo 設(shè)置連接信息 表 控制報(bào)文類型列表 控制連接 控制連接管理 控制連接管理包括控制連接本身和會(huì)話的動(dòng)態(tài)建立、拆除和保持。這里介紹了一個(gè)典型的控制連接的建立和拆除的報(bào)文交換。值得注意的是，在下圖中，控制報(bào)文的可靠傳輸機(jī)制獨(dú)立于 L2TP 狀態(tài)機(jī)而存在。例如發(fā)送端在發(fā)送一個(gè)報(bào)文后，如果在隨后的相應(yīng)報(bào)文中沒(méi)有收到確認(rèn)報(bào)文，那么就要發(fā)送一個(gè) ZLB ACKs 確認(rèn)包。 圖 是一個(gè)控制連接建立過(guò)程，通過(guò)三個(gè)報(bào)文的交換完成一個(gè)控制連接。 LCCE A LCCE B SCCRQ SCCRP SCCCN 圖 控制連接建立過(guò)程 控制連接的拆除可以由任何一個(gè) LCCE 發(fā)起，通過(guò)發(fā)送一個(gè) StopCCN 控制報(bào)文來(lái)完成。作為可靠報(bào)文發(fā)送機(jī)制的一部分， StopCCN 的接收方必須發(fā)送一個(gè) ZLB ACK 來(lái)對(duì)報(bào)文的接