Point-to-Point ,是为在同等单元之间传输数据包这样的简单链路设计的链路层协定。这种链路提供全双工操作,并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连线传送数据,使其成为各种主机、网桥和路由器之间简单连线的一种共通的解决方案。
基本介绍
- 中文名:点对点
- 外文名:point-to-point
- 阶段1:创建PPP链路
- 阶段2:用户验证
- 阶段3:调用网路层协定
建立
PPP协定中提供了一整套方案来解决链路建立、维护、拆除、上层协定协商、认证等问题。PPP协定包含这样几个部分:链路控制协定LCP(Link Control Protocol);网路控制协定NCP(Network Control Protocol);认证协定,最常用的包括口令验证协定PAP(Password Authentication Protocol)和挑战握手验证协定CHAP(Challenge-Handshake Authentication Protocol)。
LCP负责创建,维护或终止一次物理连线。NCP是一族协定,负责解决物理连线上运行什幺网路协定,以及解决上层网路协定发生的问题。
下面介绍PPP链路建立的过程:
PPP链路状态机如图1所示。一个典型的链路建立过程分为三个阶段:创建阶段、认证阶段和网路协商阶段。
阶段1
:创建PPP链路
LCP负责创建链路。在这个阶段,将对基本的通讯方式进行选择。链路两端设备通过LCP向对方传送配置信息报文(Configure Packets)。一旦一个配置成功信息包(Configure-Ack packet)被传送且被接收,就完成了交换,进入了LCP开启状态。
应当注意,在链路创建阶段,只是对验证协定进行选择,用户验证将在第2阶段实现。
阶段2
:用户验证
在这个阶段,客户端会将自己的身份传送给远端的接入伺服器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连线。在认证完成之前,禁止从认证阶段前进到网路层协定阶段。如果认证失败,认证者应该跃迁到链路终止阶段。
在这一阶段里,只有链路控制协定、认证协定,和链路质量监视协定的packets是被允许的。在该阶段里接收到的其他的packets必须被静静的丢弃。
最常用的认证协定有口令验证协定(PAP)和挑战握手验证协定(CHAP)。 认证方式介绍在第三部分中介绍。
阶段3
:调用网路层协定
认证阶段完成之后,PPP将调用在链路创建阶段(阶段1)选定的各种网路控制协定(NCP)。选定的NCP解决PPP链路之上的高层协定问题,例如,在该阶段IP控制协定(IPCP)可以向拨入用户分配动态地址。
这样,经过三个阶段以后,一条完整的PPP链路就建立起来了。
认证方式
1)口令验证协定(PAP)
PAP是一种简单的明文验证方式。NAS(网路接入伺服器,Network Access Server)要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连线获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
2)挑战-握手验证协定(CHAP)
CHAP是一种加密的验证方式,能够避免建立连线时传送用户的真实密码。NAS向远程用户传送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrary challengestring)。远程客户必须使用MD5单向哈希算法(one-way hashing algorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式传送。
CHAP对PAP进行了改进,不再直接通过链路传送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为伺服器端存有客户的明文口令,所以伺服器可以重複客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replay attack)。在整个连线过程中,CHAP将不定时的向客户端重複传送挑战口令,从而避免第3方冒充远程客户(remote client impersonation)进行攻击。
套用
PPP协定是目前广域网上套用最广泛的协定之一,它的优点在于简单、具备用户验证能力、可以解决IP分配等。
家庭拨接就是通过PPP在用户端和运营商的接入伺服器之间建立通信链路。 目前,宽频接入正在成为取代拨接的趋势,在宽频接入技术日新月异的今天,PPP也衍生出新的套用。典型的套用是在ADSL(非对称数据用户环线,Asymmetrical Digital Subscriber Loop)接入方式当中,PPP与其他的协定共同派生出了符合宽频接入要求的新的协定,如PPPoE(PPP over Ethernet),PPPoA(PPP over ATM)。
利用乙太网(Ethernet)资源,在乙太网上运行PPP来进行用户认证接入的方式称为PPPoE。PPPoE即保护了用户方的乙太网资源,又完成了ADSL的接入要求,是目前ADSL接入方式中套用最广泛的技术标準。
同样,在ATM(异步传输模式,Asynchronous Transfer Mode)网路上运行PPP协定来管理用户认证的方式称为PPPoA。它与PPPoE的原理相同,作用相同;不同的是它是在ATM网路上,而PPPoE是在乙太网网路上运行,所以要分别适应ATM标準和乙太网标準。
PPP协定的简单完整使它得到了广泛的套用,相信在未来的网路技术发展中,它还可以发挥更大的作用。
