PPP介紹
在計算中,點對點協定(PPP, Point-to-Point Protocal)通常用在兩節點間建立直接的連接配接。它主要用于利用電話線來連接配接兩台計算機,現在也有用在寬帶broadband計算機連接配接上。很多網際網路服務提供商ISP使用PPP給使用者提供接入服務(例如,接入網際網路,很大程度上已經代替了舊的标準像SLIP)。 (詳細參考[url]http://wiki.ccw.com.cn/PPP[/url])
認證方式
1)密碼驗證協定(PAP)
PAP是一種簡單的明文驗證方式。NAS(網絡接入伺服器,Network Access Server)要求使用者提供使用者名和密碼,PAP以明文方式傳回使用者資訊。很明顯,這種驗證方式的安全性較差,第三方可以很容易的擷取被傳送的使用者名和密碼,并利用這些資訊與NAS建立連接配接擷取NAS提供的所有資源。是以,一旦使用者密碼被第三方竊取,PAP無法提供避免受到第三方攻擊的保障措施。
2)挑戰握手驗證協定(CHAP)
CHAP是一種加密的驗證方式,能夠避免建立連接配接時傳送使用者的真實密碼。NAS向遠端使用者發送一個挑戰密碼(challenge),其中包括會話ID和一個任意生成的挑戰字串(arbitrary challengestring)。遠端客戶必須使用MD5單向雜湊演算法(one-way hashing algorithm)傳回使用者名和加密的挑戰密碼,會話ID以及使用者密碼,其中使用者名以非哈希方式發送。
CHAP對PAP進行了改進,不再直接通過鍊路發送明文密碼,而是使用挑戰密碼以雜湊演算法對密碼進行加密。因為伺服器端存有客戶的明文密碼,是以伺服器可以重複用戶端進行的操作,并将結果與使用者傳回的密碼進行對照。CHAP為每一次驗證任意生成一個挑戰字串來防止受到再現攻擊(replay attack)。在整個連接配接過程中,CHAP将不定時的向用戶端重複發送挑戰密碼,進而避免第3方冒充遠端客戶(remote client impersonation)進行攻擊。
PPP協定的應用
PPP協定是目前廣域網上應用最廣泛的協定之一,它的優點在于簡單、具備使用者驗證能力、可以解決IP配置設定等。
家庭撥号上網就是通過PPP在使用者端和營運商的接入伺服器之間建立通信鍊路。 目前,寬帶接入正在成為取代撥号上網的趨勢,在寬帶接入技術日新月異的今天,PPP也衍生出新的應用。典型的應用是在ADSL(非對稱資料使用者環線,Asymmetrical Digital Subscriber Loop)接入方式當中,PPP與其他的協定共同派生出了符合寬帶接入要求的新的協定,如PPPoE(PPP over Ethernet),PPPoA(PPP over ATM)。
利用以太網(Ethernet)資源,在以太網上運作PPP來進行使用者認證接入的方式稱為PPPoE。PPPoE即保護了使用者方的以太網資源,又完成了ADSL的接入要求,是目前ADSL接入方式中應用最廣泛的技術标準。
同樣,在ATM(異步傳輸模式,Asynchronous Transfer Mode)網絡上運作PPP協定來管理使用者認證的方式稱為PPPoA。它與PPPoE的原理相同,作用相同;不同的是它是在ATM網絡上,而PPPoE是在以太網網絡上運作,是以要分别适應ATM标準和以太網标準。
PPP協定的簡單完整使它得到了廣泛的應用,相信在未來的網絡技術發展中,它還可以發揮更大的作用。
PPP配置執行個體
實驗拓撲
設R1端的V.35接口為DCE,R2端的V.35接口為DTE.
1)密碼驗證協定(PAP)
R1配置
R2配置
2)挑戰握手驗證協定(CHAP)
附件為此實驗的配置.