- 论坛徽章:
- 0
|
PPP 协议链路操作 为了进行建立在点对点物理连接上的数据传输,连接上的每一段必须首先进行 LCP 数据报 文的交换以对链路进行配置和测试。在配置和测试结束之后,根据在此阶段中交换的选项, 下一阶段可能需要进行认证。 认证是为了保证数据传输的安全性而采取的一种措施, 即向对 方证明本地确实是授权的一方。 认证的方法有两种, 这是在配置阶段双方进行选项配置交换 时所选取的认证协议决定的。 其一是密码认证方式 PAP: ( Password Authentication Protocol) , 使用密码认证协议(对应协议字段值为 0xC023) ;其二称为查找握手认证方式(CHAP: Challenge Handshake Authentication Protocol) ,使用 Challenge Handshake Authentication 协议 (对应协议字段值为 0xC223) 。 在使用 LCP 协议对链路进行测试以及进行相关选项的配置之后,如果成功进入网络协议配 置阶段,则需要使用具体的 NCP 协议(如 IPCP)进行相关配置。该阶段配置成功之后,即 可进行具体协议数据报的交互传输。
PAP认证:主要通过2次握手完对等连接的建立连接的简单方法 办法:完成链路建立阶段之后,对等节点持续重复发送id/密码给验证者,直至得到相应。 缺点: PAP不是很强的认证方法,password以文本格式在电路上传送,对窃听,重放和重复尝试和错误攻击都没有提供保护。 使用环境: 适用于使用明文密码模拟登录远程主机的环境。 相对来说安全性高的是CHAP。CHAP使用的是密码的hash值。CHAP使用的是三次握手实现的。PAP认证是被叫提出连接请求,主叫相应。CHAP是主叫发出请求,被叫回复数据包,包中有主叫的随机hash值,主叫在数据库中确认无误后发送一个连接请求。 详细讲述CHAP过程: NAS向远程用户发送一个挑战口令(challenge),其中包括会 话ID和一个任意生成的挑战字串(arbitrary
challengestring)。远程客户必须使用MD5单向哈希算法(one-way hashing
algorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。
|
|