PPP认证,含pap和chap的双向与单向认证——蘑菇课堂.ppt

WAN 封装协议 PPP PPP 对数据帧进行封装以便在第 2 层物理链路上传输。 PPP 使用串行电缆、电话线、中继 (trunk) 线、手机、专用无线链路或光缆链路建立直接连接。PPP 具有许多优点，包含 HDLC 中没有的许多功能： 链路质量管理功能监视链路的质量。如果检测到过多的错误，PPP 会关闭链路。 PPP 支持 PAP 和 CHAP 身份验证。 PPP PPP 包含三个主要组件： 用于在点对点链路上封装数据报的 HDLC 协议。 用于建立、配置和测试数据链路连接的可扩展链路控制协议 (LCP)。 用于建立和配置各种网络层协议的一系列网络控制协议 (NCP)。PPP 允许同时使用多个网络层协议。较常见的 NCP 有 Internet 协议控制协议、Appletalk 控制协议、Novell IPX 控制协议、Cisco 系统控制协议、SNA 控制协议和压缩控制协议。 PPP PPP PPP LCP 自动配置链路两端的接口，包括： 处理对数据包大小的不同限制 检测常见的配置错误 切断链路 确定链路何时运行正常或者何时发生故障 一旦建立了链路，PPP 还会采用 LCP 自动批准封装格式（身份验证、压缩、错误检测）。 PPP 会话的三个阶段 第 1 阶段：链路建立和配置协商 — 在 PPP 交换任何网络层数据报（例如 IP）之前，LCP 必须先打开链接并协商配置选项。当接收路由器向启动连接的路由器发送配置确认帧时，此阶段结束。 第 2 阶段：链路质量确认（可选） — LCP 测试链路以确定链路质量是否足以启用这些网络层协议。LCP 可将网络层协议信息的传输延迟到此阶段结束之前。 第 3 阶段：网络层协议配置协商 — 在 LCP 完成链路质量确认阶段之后，适当的 NCP 可以独立配置网络层协议，还可以随时启动或关闭这些协议。如果 LCP 关闭链路，它会通知网络层协议以便协议采取相应的措施。 PPP 会话的三个阶段 PPP 配置选项:支持各种功能 PAP 身份验证协议 PPP 定义可扩展的 LCP，允许协商身份验证协议以便在允许网络层协议通过该链路传输之前验证对等点的身份。RFC 1334 定义了两种身份验证协议，如图所示。 PAP 身份验证协议 PAP 是非常基本的双向过程。未经任何加密，用户名和口令以纯文本格式发送。如果通过此验证，则允许连接。CHAP 比 PAP 更安全，它通过三次握手交换共享密钥。 PPP 会话的身份验证阶段是可选的。如果使用了身份验证，就可以在 LCP 建立链路并选择身份验证协议之后验证对等点的身份，此活动将在网络层协议配置阶段开始之前进行。 身份验证选项会要求链路的呼叫方输入身份验证信息。这就确保了用户的呼叫行为得到了管理员的许可。然后，对等路由器会交换身份验证消息。 启动PAP PAP 使用双向握手为远程节点提供了一种简单的身份验证方法。PAP 不支持交互。在使用 [Router B-Serial0/0] ppp authentication-mode pap 命令时，系统将以一个 LCP 数据包的形式发送用户名和口令，而不是由服务器发送登录提示并等候响应。在 PPP 完成链路建立阶段之后，远程节点在该链路上重复发送用户名-口令对，直到发送节点确认该用户名-口令对或终止连接为止。 完成PAP 在接收节点，身份验证服务器将检查用户名和口令，以决定允许或拒绝连接。然后，服务器将向请求方返回接受或拒绝消息。 PAP 身份验证协议 PAP 并非可靠的身份验证协议，仍可用于以下情形： 当系统中安装了大量不支持 CHAP 的客户端应用程序时。 当不同供应商实现的 CHAP 互不兼容时。 当模拟主机远程登录必须使用纯文本口令时。 挑战握手验证协议 (CHAP) 一旦建立了 PAP 身份验证，CHAP 必然会停止工作(根据不同的设备不同）。这会让网络容易遭到攻击。与一次性身份验证的 PAP 不同，CHAP 定期执行消息询问，以确保远程节点仍然拥有有效的口令值。口令值是个变量，在链路存在时该值不断改变，并且这种改变是不可预知的。 发送CHAP 在完成 PPP 链路建立阶段之后，本地路由器将向远程节点发送一条询问消息。 发送CHAP 远程节点将以采用单向哈希函数计算而得的值作出响应，该函数通常是基于口令和询问消息的消息摘要 5 (MD5)。 消息摘要算法MD5 Message Digest Algorithm MD5（中文名为消息摘要算法第五版）为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。该算法的文件号为RFC 1321。 MD5用的是哈希函数,在计算机网络中应用较多的不可逆加密算法有RSA公司发明的MD5算法和由美国国家技术标准研究所建议的安全散列算法SHA。