点对点封装协议的应用及身份认证

摘 要：PPP协议是目前广域网上应用最广泛的协议之一。它的优点在于简单、具备用户验证能力等。家庭拨号上网就是通过PPP用户端和运营商的接入服务器之间建立通信链路。目前，宽带接入正在成为取代拨号上网的趋势，在宽带接入技术日新月异的今天，PPP也衍生出新的应用。

关键字：PPP；封装；HDLC；PAP；CHAP

一、PPP的概述

PPP（point-to-point protocol）是点对点协议的缩写，是IETF（Internet Engineering Task Force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。点对点协议（PPP）是一组允许来自不同供应商的远程访问软件交互操作的标准协议。启用PPP的连接可以通过任何工业标准PPP服务器网络拨入远程网络。PPP也允许运行Windows 2000 Server的计算机通过远程访问接收来自其他供应商且与PPP标准兼容的远程访问软件的呼叫，并向这类软件提供网络访问。通过同步和异步电路提供路由器到路由器和主机到网络的连接。PPP能和几个网络层协议，如IP、IPX等一起工作。PPP为标准串行线路封装方式，它在点对点链路上封装网络层协议信息。此外，它们还提供了安全机制，如密码验证协议（PAP）和挑战式握手协议（CHAP）的验证。

二、PPP协议组成

PPP协议有三个组成部分：

（1）一个将IP数据报封到串行链路的方法。PPP既支持异步链路（无奇偶校验的8比特数据），也支持面向比特的同步链路。

（2）一个用来建立、配置和测试数据链路的链路控制协议LCP（Link Control Protocol）。通信的双方可协商一些选项。在[RFC 1661]中定义了11种类型的LCP分组。

（3）一套网络控制协议NCP（Network Control Protocol），支持不同的网络层协议，如IP、OSI的网络层、DECnet、AppleTalk等。

三、建立一个PPP需要以下过程

（1）当一个PC终端拨号用户发起一次拨号后，此PC终端首先通过调制解调器呼叫远程访问服务器，如提供拨号服务的路由器。

（2）路由器的调制解调器对拨号做出应答，就建立起一个初始的物理连接。

（3）PC终端和远程访问服务器之间开始传送一系列经过PPP封装的LCP分组（封装成多个PPP帧），用于协商选择将要采用的PPP参数。

（4）如果有一方要求认证就开始认证过程。如果认证失败，则链路被终止，双方负责通信的设备或模块（如用户端的调制解调器或服务器端的远程访问模块）关闭物理链路回到空间状态。如果认证成功则进行下一步。

（5）通信双方开始交换一系列的NCP分组来配置网络层。对于上层使用的是IP协议的情形来说，此过程是由IPCP完成的。

（6）当NCP配置完成后，双方的逻辑、通信链路就建立好了，双方可以开始在此链路上交换上层数据。

（7）当数据传送完成后，一方会发起断开连接的请求。这时，首先使用NCP来释放网络层的连接，归还IP地址；然后LCP来关闭数据链路层连接；最后，双方的通信设备或模块关闭物理链路回到静止状态。

四、PPP协议中的验证机制

验证过程在PPP协议中为可选项。在连接建立后进行连接者身份验证的目的是为了防止有人在未经授权的情况下成功连接，从而导致泄密。PPP协议支持两种验证协议：

（1）PAP（Password Authentication Protocol，即密码验证协议）认证：它是一种简单的明文验证。这种认证使用二次握手法建立身份标志。PAP仅在最初链路建立时拿手，链路建立结束后，一个用户名-密码对被远程节点重复地发给路由器直到验证被应答或连接终止。PPP不是一个强壮的验证协议。密码是以明文的形式穿过链路的，对于回话和重复的试错法攻击没有防护能力。

（2）CHAP（Challenge Handshake Authentication Protocol， 竞争握手协议）论证：这种认证使用三次握手周期性验证远程节点的CHAP在链路初始建立时运行，并可在链路建立后的任何时候重复。它是一种加密的的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令，其中包括会话ID和一个任意生成的挑战字串。远程节点回应一个经过意向哈萨克希函数（如MD5）运算过的值。本地路由器将回应值和自己用哈萨克希算法计算出的值比较，如果两值匹配，则验证通过，否则结束连接。

（3）PAP的缺点。PAP是一种简单的明文验证方式。NAS（网络接入服务器，Network Access Server）要求用户提供用户名和口令，PAP以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方很容易的获取被传送的用户名和口令，并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。如果一次验证没有通过，PAP并不能阻止对端不断地发送验证信息，因此容易遭到强制攻击。

（4）CHAP的优缺点。挑战握手协议（CHAP）的优点在于密钥不在网络中传送，不会被窃听。由于使用三次握手的方法，发起连接的一方如果没有收到“挑战信息”就不能进行验证，因此在某种程度上挑战握手协议不容易被强制攻击。但是，CHAP中的密钥必须以明文形式存在，不允许被加密，安全性无法得到保障。密钥的保管和分发也是CHAP的一个难点，在大型网络中通常需要专门的服务器来管理密钥。

（5）CHAP和PAP相比较，哪一个更好呢？随着科学技术的发展，CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以HASH算法对口令进行加密。因为服务器存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击。在整个连接过程中，CHAP将不定时的向客户端重复发送挑战口令，从而避免第三方冒充远程客户进行攻击。

五、总结：

目前PPP的应用场合并不多，一般个人自己可以搭建PPP点到点的连接，而更多的应用则是建立在ISP的PPPOE与PPPOA形式上，对于中小企业不建议使用这种广域网协议。