VPN技術(shù):點(diǎn)對(duì)點(diǎn)協(xié)議

　　因?yàn)榈?層隧道協(xié)議在很大程度上依靠PPP協(xié)議的各種特性，因此有必要對(duì)PPP協(xié)議進(jìn)行深入的探討。PPP協(xié)議主要是設(shè)計(jì)用來(lái)通過(guò)撥號(hào)或?qū)＞€(xiàn)方式建立點(diǎn)對(duì)點(diǎn)連接發(fā)送數(shù)據(jù)。PPP協(xié)議將IP，IPX和NETBEUI包封裝在PP楨內(nèi)通過(guò)點(diǎn)對(duì)點(diǎn)的鏈路發(fā)送。PPP協(xié)議主要應(yīng)用于連接撥號(hào)用戶(hù)和NAS。 PPP撥號(hào)會(huì)話(huà)過(guò)程可以分成4個(gè)不同的階段。分別如下：

階段1：創(chuàng)建PPP鏈路

　　PPP使用鏈路控制協(xié)議（LCP）創(chuàng)建，維護(hù)或終止一次物理連接。在LCP階段的初期，將對(duì)基本的通訊方式進(jìn)行選擇。應(yīng)當(dāng)注意在鏈路創(chuàng)建階段，只是對(duì)驗(yàn)證協(xié)議進(jìn)行選擇，用戶(hù)驗(yàn)證將在第2階段實(shí)現(xiàn)。同樣，在LCP階段還將確定鏈路對(duì)等雙方是否要對(duì)使用數(shù)據(jù)壓縮或加密進(jìn)行協(xié)商。實(shí)際對(duì)數(shù)據(jù)壓縮/加密算法和其它細(xì)節(jié)的選擇將在第4階段實(shí)現(xiàn)。

階段2：用戶(hù)驗(yàn)證

　　在第2階段，客戶(hù)會(huì)PC將用戶(hù)的身份明發(fā)給遠(yuǎn)端的接入服務(wù)器。該階段使用一種安全驗(yàn)證方式避免第三方竊取數(shù)據(jù)或冒充遠(yuǎn)程客戶(hù)接管與客戶(hù)端的連接。大多數(shù)的PPP方案只提供了有限的驗(yàn)證方式，包括口令驗(yàn)證協(xié)議（PAP），挑戰(zhàn)握手驗(yàn)證協(xié)議（CHAP）和微軟挑戰(zhàn)握手驗(yàn)證協(xié)議（MSCHAP）。

1.口令驗(yàn)證協(xié)議（PAP）

　　PAP是一種簡(jiǎn)單的明文驗(yàn)證方式。NAS要求用戶(hù)提供用戶(hù)名和口令，PAP以明文方式返回用戶(hù)信息。很明顯，這種驗(yàn)證方式的安全性較差，第三方可以很容易的獲取被傳送的用戶(hù)名和口令，并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以，一旦用戶(hù)密碼被第三方竊取，PAP無(wú)法提供避免受到第三方攻擊的保障措施。

2.挑戰(zhàn)-握手驗(yàn)證協(xié)議（CHAP）

　　CHAP是一種加密的驗(yàn)證方式，能夠避免建立連接時(shí)傳送用戶(hù)的真實(shí)密碼。NAS向遠(yuǎn)程用戶(hù)發(fā)送一個(gè)挑戰(zhàn)口令（challenge），其中包括會(huì)話(huà)ID和一個(gè)任意生成的挑戰(zhàn)字串（arbitrary challengestring）。遠(yuǎn)程客戶(hù)必須使用MD5單向哈希算法（one-wayhashingalgorithm）返回用戶(hù)名和加密的挑戰(zhàn)口令，會(huì)話(huà)ID以及用戶(hù)口令，其中用戶(hù)名以非哈希方式發(fā)送。

　　CHAP對(duì)PAP進(jìn)行了改進(jìn)，不再直接通過(guò)鏈路發(fā)送明文口令，而是使用挑戰(zhàn)口令以哈希算法對(duì)口令進(jìn)行加密。因?yàn)榉?wù)器端存有客戶(hù)的明文口令，所以服務(wù)器可以重復(fù)客戶(hù)端進(jìn)行的操作，并將結(jié)果與用戶(hù)返回的口令進(jìn)行對(duì)照。CHAP為每一次驗(yàn)證任意生成一個(gè)挑戰(zhàn)字串來(lái)防止受到再現(xiàn)攻擊（replay attack).在整個(gè)連接過(guò)程中，CHAP將不定時(shí)的向客戶(hù)端重復(fù)發(fā)送挑戰(zhàn)口令，從而避免第3方冒充遠(yuǎn)程客戶(hù)（remoteclient impersonation)進(jìn)行攻擊。

3.微軟挑戰(zhàn)-握手驗(yàn)證協(xié)議（MS-CHAP）

　　與CHAP相類(lèi)似，MS-CHAP也是一種加密驗(yàn)證機(jī)制。同CHAP一樣，使用MS-CHAP時(shí)，NAS會(huì)向遠(yuǎn)程客戶(hù)發(fā)送一個(gè)含有會(huì)話(huà)ID和任意生成的挑戰(zhàn)字串的挑戰(zhàn)口令。遠(yuǎn)程客戶(hù)必須返回用戶(hù)名以及經(jīng)過(guò)MD4哈希算法加密的挑戰(zhàn)字串，會(huì)話(huà)ID和用戶(hù)口令的MD4哈希值。采用這種方式服務(wù)器端將只存儲(chǔ)經(jīng)過(guò)哈希算法加密的用戶(hù)口令而不是明文口令，這樣就能夠提供進(jìn)一步的安全保障。此外，MS-CHAP同樣支持附加的錯(cuò)誤編碼，包括口令過(guò)期編碼以及允許用戶(hù)自己修改口令的加密的客戶(hù)-服務(wù)器（client-server)附加信息。使用MS-CHAP，客戶(hù)端和NAS雙方各自生成一個(gè)用于隨后數(shù)據(jù)加密的起始密鑰。MS-CHAP使用基于MPPE的數(shù)據(jù)加密，這一點(diǎn)非常重要，可以解釋為什么啟用基于MPPE的數(shù)據(jù)加密時(shí)必須進(jìn)行MS-CHAP驗(yàn)證。
　　在第2階段PPP鏈路配置階段，NAS收集驗(yàn)證數(shù)據(jù)然后對(duì)照自己的數(shù)據(jù)庫(kù)或中央驗(yàn)證數(shù)據(jù)庫(kù)服務(wù)器（位于NT主域控制器或遠(yuǎn)程驗(yàn)證用戶(hù)撥入服務(wù)器）驗(yàn)證數(shù)據(jù)的有效性。

階段3：PPP回叫控制（callbackcontrol)

　　微軟設(shè)計(jì)的PPP包括一個(gè)可選的回叫控制階段。該階段在完成驗(yàn)證之后使用回叫控制協(xié)議（CBCP）如果配置使用回叫，那么在驗(yàn)證之后遠(yuǎn)程客戶(hù)和NAS之間的連接將會(huì)被斷開(kāi)。然后由NAS使用特定的電話(huà)號(hào)碼回叫遠(yuǎn)程客戶(hù)。這樣可以進(jìn)一步保證撥號(hào)網(wǎng)絡(luò)的安全性。NAS只支持對(duì)位于特定電話(huà)號(hào)碼處的遠(yuǎn)程客戶(hù)進(jìn)行回叫。

階段4：調(diào)用網(wǎng)絡(luò)層協(xié)議

在以上各階段完成之后，PPP將調(diào)用在鏈路創(chuàng)建階段（階段1）選定的各種網(wǎng)絡(luò)控制協(xié)議（NCP).例如，在該階段IP控制協(xié)議（IPCP）可以向撥入用戶(hù)分配動(dòng)態(tài)地址。在微軟的PPP方案中，考慮到數(shù)據(jù)壓縮和數(shù)據(jù)加密實(shí)現(xiàn)過(guò)程相同，所以共同使用壓縮控制協(xié)議協(xié)商數(shù)據(jù)壓縮（使用MPPC）和數(shù)據(jù)加密（使用MPPE）。

?