| ■ 隧道协议和基本隧道要求 |
| 因为第2层隧道协议(P |
PTP和L2TP)以完善的PPP协议为 |
基础,因此继承了一整套的特性。 |
| 1.用户验证 |
| 第2层隧道协议继承了P 前,隧道的两个端点相互之 协商提供了隧道端点之间进 |
PP协议的用户验证方式。许多第 间已经了解或已经经过验证。一 行的相互验证。 |
3层隧道技术都假定在创建隧道之 个例外情况是IPSec协议的ISAKMP |
| 2.令牌卡(Tokencard)支持 |
| 通过使用扩展验证协议 (one-timepassword),加 协议也支持使用类似的方法 。 |
(EAP),第2层隧道协议能够支 密计算器(cryptographic calc ,例如,IPSec协议通过ISAKMP/ |
持多种验证方法,包括一次性口令 ulator)和智能卡等。第3层隧道 Oakley协商确定公共密钥证书验证 |
| 3.动态地址分配 |
| 第2层隧道协议支持在网络控制协议 隧道协议通常假定隧道建立之前已经进行 仍在开发之中。 |
(NCP)协商机制的基础上动态分配客户地址。第3层 了地址分配。目前IPSec隧道模式下的地址分配方案 |
| 4.数据压缩 |
| 第2层隧道协议支持基于PPP的数据压 点加密协议(MPPE)。IETP正在开发应用 |
缩方式。例如,微软的PPTP和L2TP方案使用微软点对 于第3层隧道协议的类似数据压缩机制。 |
| 5.数据加密 |
| 第2层隧道协议支持基 上选择使用MPPE。第3层隧 定几种可选的数据加密方法 据流的安全。 |
于PPP的数据加密机制。微软的P 道协议可以使用类似方法,例如 。微软的L2TP协议使用IPSec加 |
PTP方案支持在RSA/RC4算法的基础 ,IPSec通过ISAKMP/Oakley协商确 密保障隧道客户端和服务器之间数 |
| 6.密钥管理 |
| 作为第2层协议的MPPE依靠验证用户 过程中公开协商公用密钥,同样对其进行 |
时生成的密钥,定期对其更新。IPSec在ISAKMP交换 定期更新。 |
| 7.多协议支持 |
| 第2层隧道协议支持多 NetBEUI等多种协议企业网 的目标网络 |
种负载数据协议,从而使隧道客 络。相反,第3层隧道协议,如I |
户能够访问使用IP,IPX,或 PSec隧道模式只能支持使用IP协议 |
| ■ 点对点协议 |
| 因为第2层隧道协议在 深入的探讨。PPP协议主要 议将IP,IPX和NETBEUI包封 用户和NAS。 PPP拨号会话 |
很大程度上依靠PPP协议的各种 是设计用来通过拨号或专线方式 装在PP桢内通过点对点的链路发 过程可以分成4个不同的阶段。 |
特性,因此有必要对PPP协议进行 建立点对点连接发送数据。PPP协 送。PPP协议主要应用于连接拨号 分别如下: |
| 阶段1:创建PPP链路 |
| PPP使用链路控制协议 对基本的通讯方式进行选择 将在第2阶段实现。同样, 行协商。实际对数据压缩/ |
(LCP)创建,维护或终止一次 。应当注意在链路创建阶段,只 在LCP阶段还将确定链路对等双 加密算法和其它细节的选择将在 |
物理连接。在LCP阶段的初期,将 是对验证协议进行选择,用户验证 方是否要对使用数据压缩或加密进 第4阶段实现。 |
| 阶段2:用户验证 |
| 在第2阶段,客户会PC将用户的身份 方式避免第三方窃取数据或冒充远程客户 限的验证方式,包括口令验证协议(PAP 协议(MSCHAP)。 |
明发给远端的接入服务器。该阶段使用一种安全验证 接管与客户端的连接。大多数的PPP方案只提供了有 ),挑战握手验证协议(CHAP)和微软挑战握手验证 |
| 1.口令验证协议(PAP) |
| PAP是一种简单的明文验证方式。NAS 户信息。很明显,这种验证方式的安全性 令,并利用这些信息与NAS建立连接获取N 取,PAP无法提供避免受到第三方攻击的 |
要求用户提供用户名和口令,PAP以明文方式返回用 较差,第三方可以很容易的获取被传送的用户名和口 AS提供的所有资源。所以,一旦用户密码被第三方窃 保障措施。 |
| 2.挑战-握手验证协议(CHAP) |
| CHAP是一种加密的验证 发送一个挑战口令(challe challengestring)。远程 回用户名和加密的挑战口令 |
方式,能够避免建立连接时传送 nge),其中包括会话ID和一个 客户必须使用MD5单向哈希算法 ,会话ID以及用户口令,其中用 |
用户的真实密码。NAS向远程用户 任意生成的挑战字串(arbitrary (one-wayhashingalgorithm)返 户名以非哈希方式发送。 |
 |
| CHAP对PAP进行了改进 对口令进行加密。因为服务 ,并将结果与用户返回的口 再现攻击(replay attack) ,从而避免第3方冒充远程 |
,不再直接通过链路发送明文口 器端存有客户的明文口令,所以 令进行对照。CHAP为每一次验证 .在整个连接过程中,CHAP将不 客户(remoteclient impersona |
令,而是使用挑战口令以哈希算法 服务器可以重复客户端进行的操作 任意生成一个挑战字串来防止受到 定时的向客户端重复发送挑战口令 tion)进行攻击。 |
| 3.微软挑战-握手验证协议(MS-CHAP) |
| 与CHAP相类似,MS-CHAP也是一种加 远程客户发送一个含有会话ID和任意生成 及经过MD4哈希算法加密的挑战字串,会 端将只存储经过哈希算法加密的用户口令 。此外,MS-CHAP同样支持附加的错误编 加密的客户-服务器(client-server)附 个用于随后数据加密的起始密钥。MS-CHA 解释为什么启用基于MPPE的数据加密时必 |
密验证机制。同CHAP一样,使用MS-CHAP时,NAS会向 的挑战字串的挑战口令。远程客户必须返回用户名以 话ID和用户口令的MD4哈希值。采用这种方式服务器 而不是明文口令,这样就能够提供进一步的安全保障 码,包括口令过期编码以及允许用户自己修改口令的 加信息。使用MS-CHAP,客户端和NAS双方各自生成一 P使用基于MPPE的数据加密,这一点非常重要,可以 须进行MS-CHAP验证。 |
| 在第2阶段PPP链路配置 服务器(位于NT主域控制器 |
阶段,NAS收集验证数据然后对 或远程验证用户拨入服务器)验 |
照自己的数据库或中央验证数据库 证数据的有效性。 |
| 阶段3:PPP回叫控制(callbackcontrol) |
| 微软设计的PPP包括一 (CBCP)如果配置使用回叫 NAS使用特定的电话号码回 对位于特定电话号码处的远 |
个可选的回叫控制阶段。该阶段 ,那么在验证之后远程客户和NA 叫远程客户。这样可以进一步保 程客户进行回叫。 |
在完成验证之后使用回叫控制协议 S之间的连接将会被断开。然后由 证拨号网络的安全性。NAS只支持 |
| 阶段4:调用网络层协议 |
| 在以上各阶段完成之后,PPP将调用 (NCP).例如,在该阶段IP控制协议(IPC 中,考虑到数据压缩和数据加密实现过程 用MPPC)和数据加密(使用MPPE)。 |
在链路创建阶段(阶段1)选定的各种网络控制协议 P)可以向拨入用户分配动态地址。在微软的PPP方案 相同,所以共同使用压缩控制协议协商数据压缩(使 |