计算机信息及网络安全实用教程 主编 蒋理 第7章 虚拟专用网络VPN.pptVIP

　　从可扩展性角度来看，第二层IP隧道将整个PPP帧封装在报文内，可能会产生传输效率问题。 　　其次，PPP会话会贯穿整个隧道，并终止在用户网的网关或服务器上。由于用户网内的网关要保存大量的PPP对话状态及信息，这会对系统负荷产生较大的影响，当然也会影响系统的扩展性。 　　除此之外，由于PPP的LCP及NCP对时间非常敏感，这样，IP隧道的效率会造成PPP会话超时等问题。而第三层隧道终止在ISP网内，并且PPP会话终止在NAS处，网点无须管理和维护每个PPP会话状态，从而减轻系统负荷。 　　第三层隧道技术对于公司网络还有一些其他优点，网络管理者采用第三层隧道技术时，不必在他们的远程为或客户原有设备（CPE）上安装特殊软件。因为PPP和隧道终点由ISP的设备生成，CPE不用负担这些功能，而仅作为一台路由器。第三层隧道技术可采用任意厂家的CPE予以实现。使用第三层隧道技术的公司网络不需要IP地址，也具有安全性。服务提供商网络能够隐藏私有网络和远端节点地址。 　　一般情况，第二层隧道协议和第三层隧道协议分别使用，但合理地运用两层协议，将具有更好的安全性。 　　7.1.4 VPN的身份验证协议 　　身份认证技术是VPN网络安全的第一道关卡。对于身份认证，是由身份认证协议来完成的。 　　下面介绍几种VPN身份验证协议。 　　1．PAP密码认证协议 　　客户端直接发送包含用户名/口令的认证请求，服务器端处理并作回应。 　　优点：简单。 　　缺点：明文传送，极容易被窃听。 　　2．SPAP 　　Shiva密码验证协议。Shiva公司开发，是一种受Shiva远程访问服务器支持的简单加密密码的身份验证协议。 　　优点：安全性较PAP好。 　　缺点：单向加密、单向认证，虽然是对密码进行加密，但还是会被破解，安全性差，通过认证后不支持Microsoft点对点加密(MPPE)。 　　3．CHAP质询握手协议 　　先由服务器端给客户端发送一个随机码challenge，客户端根据challenge，对自己掌握的口令、challenge、会话ID进行单向MD5散列，即md5(password1,challenge,ppp_id)，然后把这个结果发送给服务器端。服务器端从数据库中取出库存口令password2，进行同样的算法，即md5(password2,challenge,ppp_id)，最后，比较加密的结果是否相同。如相同，则认证通过。 　　优点：安全性较SPAP有了很大改进，不用将密码发送到网络上。 　　缺点：安全性还不够强健，支持单向加密、单向认证，通过认证后不支持Microsoft点对点加密(MPPE)。 　　4．MS-CHAP 　　Microsoft版本的CHAP，同CHAP相似。Microsoft开发MS-CHAP是为了对远程Windows客户机进行身份验证，它在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。 　　5．MS-CHAP v2 　　Microsoft版本的CHAP第二版，它提供了双向身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2作为惟一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。 　　由于它支持双向加密、双向认证，安全性相当高。 　　6．EAP可扩展的认证协议 　　EAP（Extensible Authentication Protocols，可扩展的身份验证协议）的开发是为了适应对使用其他安全设备的远程访问用户进行身份验证的日益增长的需求。 　　通过使用EAP，可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。最安全的认证方法就是和智能卡一起使用的“可扩展身份验证协议—传输层安全协议”，即EAP-TLS认证。对于VPN来说，使用EAP可以防止暴力或词典攻击及密码猜测，提供比其他身份验证方法（例如CHAP）更高的安全性。 　　优点：安全性最好。 　　缺点：需要PKI（公钥基础设施）支持。 　　在Windows系统中，对于采用智能卡进行的身份验证，将采用EAP验证方法；对于通过密码进行的身份验证，将采用CHAP、MS-CHAP或MS-CHAPv2验证方法。 　　7.1.5 VPN的加密技术 　　VPN采用何种加密技术依赖于VPN服务器的类型，在Windows中可以分为两种情况。 　　1．PPTP服务器采用的加密技术 　　PPTP服务器采用MPPE（Microsoft点对点加密）加密技术。MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在MS-CHAP、MS-CHAPv2或EAP/TL