PPP 协议链路操作
为了进行建立在点对点物理连接上的数据传输,连接上的每一段必须首先进行 LCP 数据报
文的交换以对链路进行配置和测试。在配置和测试结束之后,根据在此阶段中交换的选项,
下一阶段可能需要进行认证。
认证是为了保证数据传输的安全性而采取的一种措施,
即向对
方证明本地确实是授权的一方。
认证的方法有两种,
这是在配置阶段双方进行选项配置交换
时所选取的认证协议决定的。
其一是密码认证方式 PAP:
(
Password Authentication Protocol)
,
使用密码认证协议(对应协议字段值为 0xC023)
;其二称为查找握手认证方式(CHAP:
Challenge Handshake Authentication Protocol)
,使用 Challenge Handshake Authentication 协议
(对应协议字段值为 0xC223)
。
在使用 LCP 协议对链路进行测试以及进行相关选项的配置之后,如果成功进入网络协议配
置阶段,则需要使用具体的 NCP 协议(如 IPCP)进行相关配置。该阶段配置成功之后,即
可进行具体协议数据报的交互传输。
PAP认证:主要通过2次握手完对等连接的建立连接的简单方法
办法:完成链路建立阶段之后,对等节点持续重复发送id/密码给验证者,直至得到相应。
缺点:
PAP不是很强的认证方法,password以文本格式在电路上传送,对窃听,重放和重复尝试和错误攻击都没有提供保护。
使用环境:
适用于使用明文密码模拟登录远程主机的环境。
相对来说安全性高的是CHAP。CHAP使用的是密码的hash值。CHAP使用的是三次握手实现的。PAP认证是被叫提出连接请求,主叫相应。CHAP是主叫发出请求,被叫回复数据包,包中有主叫的随机hash值,主叫在数据库中确认无误后发送一个连接请求。
详细讲述CHAP过程:
NAS向远程用户发送一个挑战口令(challenge),其中包括会 话ID和一个任意生成的挑战字串(arbitrary
challengestring)。远程客户必须使用MD5单向哈希算法(one-way hashing
algorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。
阅读(2013) | 评论(0) | 转发(0) |