点对点封装协议应用及身份认证.docVIP

点对点封装协议应用及身份认证 　　摘 要：PPP协议是目前广域网上应用最广泛的协议之一。它的优点在于简单、具备用户验证能力等。家庭拨号上网就是通过PPP用户端和运营商的接入服务器之间建立通信链路。目前，宽带接入正在成为取代拨号上网的趋势，在宽带接入技术日新月异的今天，PPP也衍生出新的应用。 　　关键字：PPP；封装；HDLC；PAP；CHAP 　　一、PPP的概述 　　PPP（point-to-point protocol）是点对点协议的缩写，是IETF（Internet Engineering Task Force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。点对点协议（PPP）是一组允许来自不同供应商的远程访问软件交互操作的标准协议。启用PPP的连接可以通过任何工业标准PPP服务器网络拨入远程网络。PPP也允许运行Windows 2000 Server的计算机通过远程访问接收来自其他供应商且与PPP标准兼容的远程访问软件的呼叫，并向这类软件提供网络访问。通过同步和异步电路提供路由器到路由器和主机到网络的连接。PPP能和几个网络层协议，如IP、IPX等一起工作。PPP为标准串行线路封装方式，它在点对点链路上封装网络层协议信息。此外，它们还提供了安全机制，如密码验证协议（PAP）和挑战式握手协议（CHAP）的验证。 　　二、PPP协议组成 　　PPP协议有三个组成部分： 　　（1）一个将IP数据报封到串行链路的方法。PPP既支持异步链路（无奇偶校验的8比特数据），也支持面向比特的同步链路。 　　（2）一个用来建立、配置和测试数据链路的链路控制协议LCP（Link Control Protocol）。通信的双方可协商一些选项。在[RFC 1661]中定义了11种类型的LCP分组。 　　（3）一套网络控制协议NCP（Network Control Protocol），支持不同的网络层协议，如IP、OSI的网络层、DECnet、AppleTalk等。 　　三、建立一个PPP需要以下过程 　　（1）当一个PC终端拨号用户发起一次拨号后，此PC终端首先通过调制解调器呼叫远程访问服务器，如提供拨号服务的路由器。 　　（2）路由器的调制解调器对拨号做出应答，就建立起一个初始的物理连接。 　　（3）PC终端和远程访问服务器之间开始传送一系列经过PPP封装的LCP分组（封装成多个PPP帧），用于协商选择将要采用的PPP参数。 　　（4）如果有一方要求认证就开始认证过程。如果认证失败，则链路被终止，双方负责通信的设备或模块（如用户端的调制解调器或服务器端的远程访问模块）关闭物理链路回到空间状态。如果认证成功则进行下一步。 　　（5）通信双方开始交换一系列的NCP分组来配置网络层。对于上层使用的是IP协议的情形来说，此过程是由IPCP完成的。 　　（6）当NCP配置完成后，双方的逻辑、通信链路就建立好了，双方可以开始在此链路上交换上层数据。 　　（7）当数据传送完成后，一方会发起断开连接的请求。这时，首先使用NCP来释放网络层的连接，归还IP地址；然后LCP来关闭数据链路层连接；最后，双方的通信设备或模块关闭物理链路回到静止状态。 　　四、PPP协议中的验证机制 　　验证过程在PPP协议中为可选项。在连接建立后进行连接者身份验证的目的是为了防止有人在未经授权的情况下成功连接，从而导致泄密。PPP协议支持两种验证协议： 　　（1）PAP（Password Authentication Protocol，即密码验证协议）认证：它是一种简单的明文验证。这种认证使用二次握手法建立身份标志。PAP仅在最初链路建立时拿手，链路建立结束后，一个用户名-密码对被远程节点重复地发给路由器直到验证被应答或连接终止。PPP不是一个强壮的验证协议。密码是以明文的形式穿过链路的，对于回话和重复的试错法攻击没有防护能力。 　　（2）CHAP（Challenge Handshake Authentication Protocol， 竞争握手协议）论证：这种认证使用三次握手周期性验证远程节点的CHAP在链路初始建立时运行，并可在链路建立后的任何时候重复。它是一种加密的的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令，其中包括会话ID和一个任意生成的挑战字串。远程节点回应一个经过意向哈萨克希函数（如MD5）运算过的值。本地路由器将回应值和自己用哈萨克希算法计算出的值比较，如果两值匹配，则验证通过，否则结束连接。 　　（3）PAP的缺点。PAP是一种简单的明文验证方式。NAS（网络接入服务器，Network Access Server）要求用户提供用户名和口令，PAP以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方很容