点对点封装协议的应用及身份认证

1、点对点封装协议的应用及身份认证点对点封装协议的应用及身份认证摘 要：ppp协议是目前广域网上应用最广泛的协议之一。它 的优点在于简单、具备用户验证能力等。家庭拨号上网就是通过ppp 用户端和运营商的接入服务器之间建立通信链路。目前，宽带接入正 在成为取代拨号上网的趋势，在宽带接入技术日新月异的今天，ppp 也衍生出新的应用。关键字：ppp；封装；hdlc； pap； chap一、ppp的概述ppp （point-to-point protocol）是点对点协议的缩写，是 ietf（internet engineering task force,因特网工程任务组）推出的 点到点类型线路的数据链路

2、层协议。点对点协议（ppp）是一组允许 来自不同供应商的远程访问软件交互操作的标准协议。启用ppp的连 接可以通过任何工业标准ppp服务器网络拨入远程网络。ppp也允许 运行windows 2000 server的计算机通过远程访问接收来自其他供应 商且与ppp标准兼容的远程访问软件的呼叫，并向这类软件提供网络 访问。通过同步和异步电路提供路市器到路由器和主机到网络的连接。 pit能和几个网络层协议，如ip、ipx等一起工作。ppp为标准串行 线路封装方式，它在点对点链路上封装网络层协议信息。此外，它们 还提供了安全机制，如密码验证协议（pap）和挑战式握手协议（chap） 的验证。二、ppp

3、协议组成ppp协议有三个组成部分：（1）一个将ip数据报封到串行链路的方法。ppp既支持异步链 路（无奇偶校验的8比特数据），也支持面向比特的同步链路。（2）一个用来建立、配置和测试数据链路的链路控制协议lcp （link control protocol）o通信的双方可协商一些选项。在rfc1661中定义了 11种类型的lcp分组。(3) 一套网络控制协议 ncp (network control protocol),支 持不同的网络层协议，如ip、0si的网络层、decnet、appletalk等。三、建立一个ppp需要以下过程(1) 当一个pc终端拨号用户发起一次拨号后，此pc终端首先

4、通过调制解调器呼叫远程访问服务器，如提供拨号服务的路由器。(2) 路由器的调制解调器对拨号做出应答，就建立起一个初始 的物理连接。(3) pc终端和远程访问服务器之间开始传送一系列经过ppp封 装的lcp分组(封装成多个ppp帧)，用于协商选择将要采用的ppp 参数。(4) 如果有一方要求认证就开始认证过程。如果认证失败，则 链路被终止，双方负责通信的设备或模块(如用户端的调制解调器或 服务器端的远程访问模块)关闭物理链路刨到空间状态。如果认证成 功则进行下一步。(5) 通信双方开始交换一系列的ncp分组來配置网络层。对于 上层使用的是ip协议的情形來说，此过程是由ipcp完成的。(6) 当n

5、cp配置完成后，双方的逻辑、通信链路就建立好了， 双方可以开始在此链路上交换上层数据。(7) 当数据传送完成后，一方会发起断开连接的请求。这吋， 首先使用ncp來释放网络层的连接，归还ip地址；然后lcp來关闭 数据链路层连接；最后，双方的通信设备或模块关闭物理链路回到静 止状态。四、ppp协议中的验证机制验证过程在ppp协议中为可选项。在连接建立后进行连接者身份 验证的目的是为了防止有人在未经授权的情况下成功连接，从而导致 泄密。ppp协议支持两种验证协议：(1) pap (password authentication protocol,即密码验证协 议)认证：它是一种简单的明文验证。这种

6、认证使用二次握手法建立 身份标志。pap仅在最初链路建立时拿手，链路建立结束后，一个用 户名-密码对被远程节点重复地发给路由器直到验证被应答或连接终 止。ppp不是一个强壮的验证协议。密码是以明文的形式穿过链路的， 对于冋话和重复的试错法攻击没有防护能力。(2) chap (challenge handshake authentication protocol, 竞争握手协议)论证：这种认证使用三次握手周期性验证远程节点的 ciiap在链路初始建立时运行，并可在链路建立后的任何时候重复。 它是一种加密的的验证方式，能够避免建立连接吋传送用户的真实密 码。nas向远程用户发送一个挑战口令，其中包

7、括会话id和一个任 意生成的挑战字串。远程节点刨应一个经过意向哈萨克希函数(如 md5)运算过的值。木地路由器将回应值和自己用哈萨克希算法计算 出的值比较，如果两值匹配，则验证通过，否则结束连接。(3) pap的缺点。pap是一种简单的明文验证方式。nas (网络 接入服务器，network access server)要求用户提供用户名和口令， pap以明文方式返冋用户信息。很明显，这种验证方式的安全性较差， 第三方很容易的获取被传送的用户名和口令，并利用这些信息与nas 建立连接获取nas提供的所有资源。所以，一旦用户密码被第三方窃 取，pap无法提供避免受到第三方攻击的保障措施。如果一次

8、验证没 有通过，pap并不能阻止对端不断地发送验证信息，因此容易遭到强 制攻击。(4) ciiap的优缺点。挑战握手协议(ciiap)的优点在于密钥不 在网络中传送，不会被窃听。由于使用三次握手的方法，发起连接的 一方如果没有收到“挑战信息”就不能进行验证，因此在某种程度上 挑战握手协议不容易被强制攻击。但是，ciiap中的密钥必须以明文 形式存在，不允许被加密，安全性无法得到保障。密钥的保管和分发 也是chap的一个难点，在大型网络中通常需要专门的服务器来管理 密钥。(5) chap和pap相比较，哪一个更好呢？随着科学技术的发展， chap对pap进行了改进，不再直接通过链路发送明文口令，而是使 用挑战口令以iiasii算法对口令进行加密。因为服务器存有客户的明 文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返 刨的口令进行对照。chap为每一次验证任意生成一个挑战字串來防 止受到再现攻击。在整个连接过程中，