一、题目
PPPoE会话建立过程可分为哪两个阶段?
A. PPP connecting阶段
B. Discovery阶段
C. PPPoE Session阶段
D. DHCP阶段
二、答案
BC
三、解析
PPPoE(Point-to-Point Protocol over Ethernet)是一种在以太网上实现点对点连接的协议,它允许多个用户通过共享一个IP地址来访问互联网。PPPoE的工作机制可以分为以下几个阶段:
- 发现阶段(Discovery Phase):
- 客户端(PPPoE Client)通过在本地以太网中广播一个PADI(PPPoE Active Discovery Initiation)报文来寻找PPPoE服务器。这个报文中包含了客户端想要得到的服务类型信息。
- 所有的PPPoE服务器(PPPoE Server)收到PADI报文后,会将其中请求的服务与自己能提供的服务进行比较,如果可以提供,则单播回复一个PADO(PPPoE Active Discovery Offer)报文。
- 客户端可能会收到多个PPPoE服务器发送的PADO报文,客户端选择一个PPPoE服务器,并发送一个PADR(PPPoE Active Discovery Request)报文。
- 被选定的PPPoE服务器产生一个唯一的会话标识(Session ID),并通过发送一个PADS(PPPoE Active Discovery Session-confirmation)报文把会话ID发送给客户端,从而建立会话,并进入PPP会话阶段。
- 会话阶段(Session Phase):
- 这个阶段包括LCP(Link Control Protocol)协商、认证(如CHAP或PAP)、NCP(Network Control Protocol)协商等阶段。
- LCP协商主要完成建立、配置和检测数据链路连接。
- 认证阶段确定认证协议类型,常用的有CHAP(Challenge Handshake Authentication Protocol)或PAP(Password Authentication Protocol)。
- NCP阶段配置不同的网络层协议,常用的是IPCP(IP Control Protocol),负责配置用户的IP和DNS等工作。
- 终止阶段(Terminate Phase):
- 客户端和服务器都可以通过发送PADT(PPPoE Active Discovery Terminate)报文来结束PPPoE连接。PADT报文可以在会话建立后的任意时刻发送。
PPPoE协议通过这种方式结合了以太网的低成本和PPP协议的可管理性,提供了一种宽带接入互联网的解决方案。对于运营商来说,PPPoE可以最大限度地利用现有的网络结构,同时对于用户来说,使用感与原来的拨号上网相似,易于接受。
四、扩展—CHAP认证
CHAP(Challenge Handshake Authentication Protocol,挑战握手认证协议)是一种用于网络连接中的身份验证协议,它通过三次握手周期性地校验对端身份,以提高网络通信的安全性。以下是CHAP认证的工作原理和特点:
- 工作原理:
- 认证方(通常是网络接入服务器或路由器)在链路建立后主动向对端(客户端)发送一个“challenge”消息,包含认证序列号、认证方主机名和随机数。
- 对端(客户端)收到“challenge”后,使用本地数据库中与认证方主机名对应的密码,结合认证序列号和随机数,通过单向哈希函数(如MD5)计算出一个值作为应答。
- 认证方根据被认证方发来的认证用户名,在本地数据库中查找对应的密码,结合先前保存的随机数据和认证序列号,使用MD5算法算出一个Hash值,并与被认证方得到的Hash值进行比较。如果一致,则认证通过;如果不一致,则认证不通过。
- 经过一定的随机间隔,认证方会发送一个新的challenge给端点,重复上述步骤。
- 安全机制:
- 增量改变标识:每次身份验证时使用的随机数都是唯一的,这样可以防止重放攻击。
- Challenge-Value变化:每次身份验证时,挑战值都会发生变化,提高了安全性。
- 不泄露密码:在整个身份验证过程中,密码从未被明文传输,这防止了密码被窃听者获取的可能性。
- 双向认证:CHAP支持双向认证,即客户端和服务器都可以验证对方的身份,进一步增强了安全性,并防止了中间人攻击。
- 应用场景:
- CHAP通常用于客户机与服务器之间的身份验证,例如在远程登录场景中。它也可以用于Web浏览器与Web服务器之间的身份验证,确保用户与正确的服务器建立安全连接。
- 由于CHAP可以在链路建立之后的任何时候重复进行,因此它非常适合用于需要持续验证用户身份的场景。
CHAP通过其挑战/响应机制、增量改变标识和防止密码泄露等安全措施,有效地防止了各种安全威胁,为网络安全提供了有力保障。