文章內(nèi)容

點對點協(xié)議

發(fā)布時間: 2012/7/26 16:27:35

因為第2層隧道協(xié)議在很大程度上依靠PPP協(xié)議的各種特性，因此有必要對PPP協(xié)議進行深入的探討。PPP協(xié)議主要是設計用來通過撥號或?qū)＞€方式建立點對點連接發(fā)送數(shù)據(jù)。PPP協(xié)議將IP，IPX和NETBEUI包封裝在PP楨內(nèi)通過點對點的鏈路發(fā)送。PPP協(xié)議主要應用于連接撥號用戶和NAS。 PPP撥號會話過程可以分成4個不同的階段。分別如下：

階段1：創(chuàng)建PPP鏈路

　　PPP使用鏈路控制協(xié)議（LCP）創(chuàng)建，維護或終止一次物理連接。在LCP階段的初期，將對基本的通訊方式進行選擇。應當注意在鏈路創(chuàng)建階段，只是對驗證協(xié)議進行選擇，用戶驗證將在第2階段實現(xiàn)。同樣，在LCP階段還將確定鏈路對等雙方是否要對使用數(shù)據(jù)壓縮或加密進行協(xié)商。實際對數(shù)據(jù)壓縮/加密算法和其它細節(jié)的選擇將在第4階段實現(xiàn)。

階段2：用戶驗證

　　在第2階段，客戶會PC將用戶的身份明發(fā)給遠端的接入服務器。該階段使用一種安全驗證方式避免第三方竊取數(shù)據(jù)或冒充遠程客戶接管與客戶端的連接。大多數(shù)的PPP方案只提供了有限的驗證方式，包括口令驗證協(xié)議（PAP），挑戰(zhàn)握手驗證協(xié)議（CHAP）和微軟挑戰(zhàn)握手驗證協(xié)議（MSCHAP）。

1.口令驗證協(xié)議（PAP）

　　PAP是一種簡單的明文驗證方式。NAS要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。很明顯，這種驗證方式的安全性較差，第三方可以很容易的獲取被傳送的用戶名和口令，并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP無法提供避免受到第三方攻擊的保障措施。

2.挑戰(zhàn)-握手驗證協(xié)議（CHAP）

　　CHAP是一種加密的驗證方式，能夠避免建立連接時傳送用戶的真實密碼。NAS向遠程用戶發(fā)送一個挑戰(zhàn)口令（challenge），其中包括會話ID和一個任意生成的挑戰(zhàn)字串（arbitrary challengestring）。遠程客戶必須使用MD5單向哈希算法（one-wayhashingalgorithm）返回用戶名和加密的挑戰(zhàn)口令，會話ID以及用戶口令，其中用戶名以非哈希方式發(fā)送。

　　CHAP對PAP進行了改進，不再直接通過鏈路發(fā)送明文口令，而是使用挑戰(zhàn)口令以哈希算法對口令進行加密。因為服務器端存有客戶的明文口令，所以服務器可以重復客戶端進行的操作，并將結果與用戶返回的口令進行對照。CHAP為每一次驗證任意生成一個挑戰(zhàn)字串來防止受到再現(xiàn)攻擊（replay attack).在整個連接過程中，CHAP將不定時的向客戶端重復發(fā)送挑戰(zhàn)口令，從而避免第3方冒充遠程客戶（remoteclient impersonation)進行攻擊。

3.微軟挑戰(zhàn)-握手驗證協(xié)議（MS-CHAP）

　　與CHAP相類似，MS-CHAP也是一種加密驗證機制。同CHAP一樣，使用MS-CHAP時，NAS會向遠程客戶發(fā)送一個含有會話ID和任意生成的挑戰(zhàn)字串的挑戰(zhàn)口令。遠程客戶必須返回用戶名以及經(jīng)過MD4哈希算法加密的挑戰(zhàn)字串，會話ID和用戶口令的MD4哈希值。采用這種方式服務器端將只存儲經(jīng)過哈希算法加密的用戶口令而不是明文口令，這樣就能夠提供進一步的安全保障。此外，MS-CHAP同樣支持附加的錯誤編碼，包括口令過期編碼以及允許用戶自己修改口令的加密的客戶-服務器（client-server)附加信息。使用MS-CHAP，客戶端和NAS雙方各自生成一個用于隨后數(shù)據(jù)加密的起始密鑰。MS-CHAP使用基于MPPE的數(shù)據(jù)加密，這一點非常重要，可以解釋為什么啟用基于MPPE的數(shù)據(jù)加密時必須進行MS-CHAP驗證。
　　在第2階段PPP鏈路配置階段，NAS收集驗證數(shù)據(jù)然后對照自己的數(shù)據(jù)庫或中央驗證數(shù)據(jù)庫服務器（位于NT主域控制器或遠程驗證用戶撥入服務器）驗證數(shù)據(jù)的有效性。

階段3：PPP回叫控制（callbackcontrol)

　　微軟設計的PPP包括一個可選的回叫控制階段。該階段在完成驗證之后使用回叫控制協(xié)議（CBCP）如果配置使用回叫，那么在驗證之后遠程客戶和NAS之間的連接將會被斷開。然后由NAS使用特定的電話號碼回叫遠程客戶。這樣可以進一步保證撥號網(wǎng)絡的安全性。NAS只支持對位于特定電話號碼處的遠程客戶進行回叫。

階段4：調(diào)用網(wǎng)絡層協(xié)議
在以上各階段完成之后，PPP將調(diào)用在鏈路創(chuàng)建階段（階段1）選定的各種網(wǎng)絡控制協(xié)議（NCP).例如，在該階段IP控制協(xié)議（IPCP）可以向撥入用戶分配動態(tài)地址。在微軟的PPP方案中，考慮到數(shù)據(jù)壓縮和數(shù)據(jù)加密實現(xiàn)過程相同，所以共同使用壓縮控制協(xié)議協(xié)商數(shù)據(jù)壓縮（使用MPPC）和數(shù)據(jù)加密（使用MPPE）。
數(shù)據(jù)傳輸階段

　　一旦完成上述4階段的協(xié)商，PPP就開始在連接對等雙方之間轉發(fā)數(shù)據(jù)。每個被傳送的數(shù)據(jù)報都被封裝在PPP包頭內(nèi)，該包頭將會在到達接收方之后被去除。如果在階段1選擇使用數(shù)據(jù)壓縮并且在階段4完成了協(xié)商，數(shù)據(jù)將會在被傳送之間進行壓縮。類似的，如果如果已經(jīng)選擇使用數(shù)據(jù)加密并完成了協(xié)商，數(shù)據(jù)（或被壓縮數(shù)據(jù)）將會在傳送之前進行加密。
點對點隧道協(xié)議（PPTP）

　　PPTP是一個第2層的協(xié)議，將PPP數(shù)據(jù)楨封裝在IP數(shù)據(jù)報內(nèi)通過IP網(wǎng)絡，如Internet傳送。PPTP還可用于專用局域網(wǎng)絡之間的連接。RFC草案“點對點隧道協(xié)議”對PPTP協(xié)議進行了說明和介紹。該草案由PPTP論壇的成員公司，包括微軟，Ascend，3Com，和ECI等公司在1996年6月提交至IETF�？稍谌缦抡军chttp://www.ietf.org http://www.ietf.org參看草案的在線拷貝.PPTP使用一個TCP連接對隧道進行維護，使用通用路由封裝（GRE）技術把數(shù)據(jù)封裝成PPP數(shù)據(jù)楨通過隧道傳送�？梢詫Ψ庋bPPP楨中的負載數(shù)據(jù)進行加密或壓縮。圖7所示為如何在數(shù)據(jù)傳遞之前組裝一個PPTP數(shù)據(jù)包。

第2層轉發(fā)（L2F）

　　L2F是Cisco公司提出隧道技術，作為一種傳輸協(xié)議L2F支持撥號接入服務器將撥號數(shù)據(jù)流封裝在PPP楨內(nèi)通過廣域網(wǎng)鏈路傳送到L2F服務器（路由器）。L2F服務器把數(shù)據(jù)包解包之重新注入（inject)網(wǎng)絡。與PPTP和L2TP不同，L2F沒有確定的客戶方。應當注意L2F只在強制隧道中有效。（自愿和強制隧道的介紹參看“隧道類型”）。

第2層隧道協(xié)議（L2TP）

　　L2TP結合了PPTP和L2F協(xié)議。設計者希望L2TP能夠綜合PPTP和L2F的優(yōu)勢。
L2TP是一種網(wǎng)絡層協(xié)議，支持封裝的PPP楨在IP，X.25，楨中繼或ATM等的網(wǎng)絡上進行傳送。當使用IP作為L2TP的數(shù)據(jù)報傳輸協(xié)議時，可以使用L2TP作為Internet網(wǎng)絡上的隧道協(xié)議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。草案RFC“第2層隧道協(xié)議”對L2TP進行了說明和介紹。該文檔于1998年1月被提交至IETF�？梢栽谝韵戮W(wǎng)站http://www.ietf.org http://www.ietf.org獲得草案拷貝。
　　IP網(wǎng)上的L2TP使用UDP和一系列的L2TP消息對隧道進行維護。L2TP同樣使用UDP將L2TP協(xié)議封裝的PPP楨通過隧道發(fā)送�？梢詫Ψ庋bPPP楨中的負載數(shù)據(jù)進行加密或壓縮。圖8所示為如何在傳輸之前組裝一個L2TP數(shù)據(jù)包。

PPTP與L2TP

　　PPTP和L2TP都使用PPP協(xié)議對數(shù)據(jù)進行封裝，然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡上的傳輸。盡管兩個協(xié)議非常相似，但是仍存在以下幾方面的不同：

1.PPTP要求互聯(lián)網(wǎng)絡為IP網(wǎng)絡。L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點對點的連接。L2TP可以在IP（使用UDP），楨中繼永久虛擬電路（PVCs),X.25虛擬電路（VCs）或ATM VCs網(wǎng)絡上使用。

2.PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。使用L2TP，用戶可以針對不同的服務質(zhì)量創(chuàng)建不同的隧道。

3.L2TP可以提供包頭壓縮。當壓縮包頭時，系統(tǒng)開銷（overhead）占用4個字節(jié)，而PPTP協(xié)議下要占用6個字節(jié)。

4.L2TP可以提供隧道驗證，而PPTP則不支持隧道驗證。但是當L2TP或PPTP與IPSEC共同使用時，可以由IPSEC提供隧道驗證，不需要在第2層協(xié)議上驗證隧道。
　
IPSec隧道模式

　　IPSEC是第3層的協(xié)議標準，支持IP網(wǎng)絡上數(shù)據(jù)的安全傳輸。本文將在“高級安全”一部分中對IPSEC進行詳細的總體介紹，此處僅結合隧道協(xié)議討論IPSEC協(xié)議的一個方面。除了對IP數(shù)據(jù)流的加密機制進行了規(guī)定之外，IPSEC還制定了IPoverIP隧道模式的數(shù)據(jù)包格式，一般被稱作IPSEC隧道模式。一個IPSEC隧道由一個隧道客戶和隧道服務器組成，兩端都配置使用IPSEC隧道技術，采用協(xié)商加密機制。

　　為實現(xiàn)在專用或公共IP網(wǎng)絡上的安全傳輸，IPSEC隧道模式使用的安全方式封裝和加密整個IP包。然后對加密的負載再次封裝在明文IP包頭內(nèi)通過網(wǎng)絡發(fā)送到隧道服務器端。隧道服務器對收到的數(shù)據(jù)報進行處理，在去除明文IP包頭，對內(nèi)容進行解密之后，獲的最初的負載IP包。負載IP包在經(jīng)過正常處理之后被路由到位于目標網(wǎng)絡的目的地。
IPSEC隧道模式具有以下功能和局限：

1.只能支持IP數(shù)據(jù)流

2.工作在IP棧（IPstack）的底層，因此，應用程序和高層協(xié)議可以繼承IPSEC的行為。

3.由一個安全策略（一整套過濾機制）進行控制。安全策略按照優(yōu)先級的先后順序創(chuàng)建可供使用的加密和隧道機制以及驗證方式。當需要建立通訊時，雙方機器執(zhí)行相互驗證，然后協(xié)商使用何種加密方式。此后的所有數(shù)據(jù)流都將使用雙方協(xié)商的加密機制進行加密，然后封裝在隧道包頭內(nèi)。
關于IPSEC的詳細介紹參看本文稍后的“高級安全”部分。
本文出自：億恩科技【1tcdy.com】

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]

上一篇 >> 隧道類型
下一篇 >> 隧道技術如何實現(xiàn)

亚洲综合社区欧美综合色-欧美逼逼一区二区三区-国产老熟女高潮精品网站-国产日韩最新视频在线看

服務器租用

服務器托管

機柜批發(fā)

云服務器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內(nèi)容

點對點協(xié)議

同類文章

億恩公告

在線客服