经典实用技术详解VPN(六)

点对点协议
因为第2层隧道协议在很大程度上依靠PPP协议的各种特性,因此有必要对PPP协议进行深入的探讨。PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP协议将IP,IPX和NETBEUI包封装在PP桢内通过点对点的链路发送。PPP协议主要应用于连接拨号用户和NAS。 PPP拨号会话过程可以分成4个不同的阶段。分别如下:
阶段1:创建PPP链路
PPP使用链路控制协议(LCP)创建,维护或终止一次物理连接。在LCP阶段的初期,将对基本的通讯方式进行选择。应当注意在链路创建阶段,只是对验证协议进行选择,用户验证将在第2阶段实现。同样,在LCP阶段还将确定链路对等双方是否要对使用数据压缩或加密进行协商。实际对数据压缩/加密算法和其它细节的选择将在第4阶段实现。
阶段2:用户验证
在第2阶段,客户会PC将用户的身份明发给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。大多数的PPP方案只提供了有限的验证方式,包括口令验证协议(PAP),挑战握手验证协议(CHAP)和微软挑战握手验证协议(MSCHAP)。
1.口令验证协议(PAP)
PAP是一种简单的明文验证方式。NAS要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
2.挑战-握手验证协议(CHAP)
CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrary challengestring)。远程客户必须使用MD5单向哈希算法(one-wayhashingalgorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。 
经典实用技术详解VPN(六)

CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replay attack).在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免第3方冒充远程客户(remoteclient impersonation)进行攻击。
3.微软挑战-握手验证协议(MS-CHAP)
与CHAP相类似,MS-CHAP也是一种加密验证机制。同CHAP一样,使用MS-CHAP时,NAS会向远程客户发送一个含有会话ID和任意生成的挑战字串的挑战口令。远程客户必须返回用户名以及经过MD4哈希算法加密的挑战字串,会话ID和用户口令的MD4哈希值。采用这种方式服务器端将只存储经过哈希算法加密的用户口令而不是明文口令,这样就能够提供进一步的安全保障。此外,MS-CHAP同样支持附加的错误编码,包括口令过期编码以及允许用户自己修改口令的加密的客户-服务器(client-server)附加信息。使用MS-CHAP,客户端和NAS双方各自生成一个用于随后数据加密的起始密钥。MS-CHAP使用基于MPPE的数据加密,这一点非常重要,可以解释为什么启用基于MPPE的数据加密时必须进行MS-CHAP验证。
在第2阶段PPP链路配置阶段,NAS收集验证数据然后对照自己的数据库或中央验证数据库服务器(位于NT主域控制器或远程验证用户拨入服务器)验证数据的有效性。
阶段3:PPP回叫控制(callbackcontrol)
微软设计的PPP包括一个可选的回叫控制阶段。该阶段在完成验证之后使用回叫控制协议(CBCP)如果配置使用回叫,那么在验证之后远程客户和NAS之间的连接将会被断开。然后由NAS使用特定的电话号码回叫远程客户。这样可以进一步保证拨号网络的安全性。NAS只支持对位于特定电话号码处的远程客户进行回叫。
阶段4:调用网络层协议
在以上各阶段完成之后,PPP将调用在链路创建阶段(阶段1)选定的各种网络控制协议(NCP).例如,在该阶段IP控制协议(IPCP)可以向拨入用户分配动态地址。在微软的PPP方案中,考虑到数据压缩和数据加密实现过程相同,所以共同使用压缩控制协议协商数据压缩(使用MPPC)和数据加密(使用MPPE)。

  • 经典实用技术详解VPN(六)
    给力
    (0票)
  • 经典实用技术详解VPN(六)
    动心
    (0票)
  • 经典实用技术详解VPN(六)
    废话
    (0票)
  • 经典实用技术详解VPN(六)
    专业
    (0票)
  • 经典实用技术详解VPN(六)
    标题党
    (0票)
  • 经典实用技术详解VPN(六)
    路过
    (0票)
getcountscom(11877,11); getcountscom(11877,12); getcountscom(11877,13); getcountscom(11877,14); getcountscom(11877,15); getcountscom(11877,16);

更多相关文章
  • 易网科技讯 3月22日消息,余承东今日在IT领袖峰会接受易网科技采访.对于小米今年出货一亿台的目标,余承东表示,靠低端机提高出货量的目标是很容易做的,但华为正往中高端去发展,正在减少低端,也不会做特别低端的.关于Apple Watch与华为智能手表的竞争,余承东说,消费品牌就适合不同人群,有的东西卖 ...
  •   在Oracle中提供了三种类型的集合操作: 并(UNION).交(INTERSECT).差(MINUS) UNION:将多个查询的结果组合到一个查询结果之中,并去掉重复值 UNION ALL:将多个查询结果组合到一个查询结果中,但是包含重复值 INTERSECT:返回多个查询结果相同的部分 MI ...
  • 如何使用WPFToolKit Chart private void button1_Click(object sender, EventArgs e) { var s = new Series(); s.ChartType = SeriesChartType.Line; var d = new Da ...
  • ////// the Select target Auto Select value extension plugin // // -- // (function ($) { $.extend($.fn, { // AutoSelect: function (options) { // defaul ...
  •   实验平台:win7,VS2010   先上结果截图(文章最后下载程序,解压后直接运行BIN文件夹下的EXE程序): a.鼠标拖拽旋转物体,类似于OGRE中的“OgreBites::CameraStyle::CS_ORBIT”.        b.键盘WSAD键移动镜头,鼠标拖拽改变镜头方向,类似 ...
  • 闭包原型应该是OC中的block 还记得block的写法嘛 int (^myBlock)(int, int) = ^(int a, int b) { return a + b; };  
一周排行
  • 来源:中国企业家杂志 作者:本刊记者李亚婷 联想集团昨天深夜发布重大人事变动信息,联想执行副总裁,移动业务集团总裁,及摩托罗拉管理委员会主席刘军将离开现在的岗位,在一段时间内担任移动业务及战略方面的集团CEO特别顾问 ...
  • browser.html 是一个实验性的项目,用于证明一个概念:使用 HTML 重新实现 Firefox UI ,并作为一个应用程序.它是基于浏览器的 API ,并以浏览器的方式和系统的应用工作.即使它包括标签,如v ...
  • 问题:最近在google上搜索技术资料,搜到了,却打不开链接, 解决方法: 第一种方法:先点击那个链接,然后在地址栏的最前面添加上       https://                这样就可以加密链接了, ...
  • 先说赋值: //赋值方法1: 给直接量 begin   SetWindowText(Handle, '新标题'); end; //赋值方法2: 定义它要的类型 var   p: PChar; begin   p := ...
  • == 下载如下的package: ==   '''ImageMagick-6.4..tar.gz,jmagick-6.4.0-src.tar.gz'''   注意jmagic-6.4.0-src.tar.gz是 ...
  • 题意:给n个点,每个点有一个人,有n-1条有权值的边,求所有人不在原来位置所移动的距离的和最大值.不能重复 这题的方法很有看点啊,标记为巩固题 Sample Input 1 4 1 2 3 2 3 2 4 3 2   ...
  • 通用队列 /* *filename:queue.c tongyong_queue *time: 4 * */ #include <stdio.h> #include <stdlib ...
  • <侠客风云传>1.07版更新新增了部分小师妹王蓉的剧情,小编这里就为大家带来一位玩家分享的<侠客风云传>1.07新增小师妹剧情一览,一起来看看吧 <侠客风云传>1.07版更新新增了 ...
  • 本文详细介绍Windows8系统免受病毒侵扰的9种方法 1.不要打开来自陌生发件人的电子邮件或无法识别的电子邮件附件.许多病毒依附在电子邮件中,当你打开附件时就会传播. 因此,除非附件中为所需的内容,否则最好不要打开 ...
  • 键面字以外的汉字都是键外字,键外字是大量的,汉字输入编码主要是键外字的编码,含四个以上字根的汉字,用四个字根码组成编码,不足四个字根的键外字补一个字型识别码 键名字和成字字根合称为键面字,总共有100多个.键面字以外 ...