PPP协议 密码认证

wangzhen11aaa

  PPP 协议链路操作
为了进行建立在点对点物理连接上的数据传输，连接上的每一段必须首先进行 LCP 数据报
文的交换以对链路进行配置和测试。在配置和测试结束之后，根据在此阶段中交换的选项，
下一阶段可能需要进行认证。
认证是为了保证数据传输的安全性而采取的一种措施，
即向对
方证明本地确实是授权的一方。
认证的方法有两种，
这是在配置阶段双方进行选项配置交换
时所选取的认证协议决定的。
其一是密码认证方式 PAP：
（
Password Authentication Protocol）
，
使用密码认证协议（对应协议字段值为 0xC023）
；其二称为查找握手认证方式（CHAP：
Challenge Handshake Authentication Protocol）
，使用 Challenge Handshake Authentication 协议
（对应协议字段值为 0xC223）
。
在使用 LCP 协议对链路进行测试以及进行相关选项的配置之后，如果成功进入网络协议配
置阶段，则需要使用具体的 NCP 协议（如 IPCP）进行相关配置。该阶段配置成功之后，即
可进行具体协议数据报的交互传输。

  PAP认证：主要通过2次握手完对等连接的建立连接的简单方法
办法：完成链路建立阶段之后，对等节点持续重复发送id/密码给验证者，直至得到相应。
缺点：
 PAP不是很强的认证方法,password以文本格式在电路上传送，对窃听，重放和重复尝试和错误攻击都没有提供保护。
 使用环境：
  适用于使用明文密码模拟登录远程主机的环境。
  相对来说安全性高的是CHAP。CHAP使用的是密码的hash值。CHAP使用的是三次握手实现的。PAP认证是被叫提出连接请求，主叫相应。CHAP是主叫发出请求，被叫回复数据包，包中有主叫的随机hash值，主叫在数据库中确认无误后发送一个连接请求。
  详细讲述CHAP过程：
   NAS向远程用户发送一个挑战口令（challenge），其中包括会 话ID和一个任意生成的挑战字串（arbitrary challengestring）。远程客户必须使用MD5单向哈希算法（one-way hashing algorithm）返回用户名和加密的挑战口令，会话ID以及用户口令，其中用户名以非哈希方式发送。