PPP协议基于H3C路由器的CHAP认证分析.docxVIP

? ? PPP协议基于H3C路由器的CHAP认证分析 ? ? 田 君 PPP协议基于H3C路由器的CHAP认证分析 田 君 （天津城市职业学院 机电与信息工程系，天津 300250） 介绍基于H3C路由器的CHAP认证及配置要点，并通过几种情况的对比，提出充分发挥CHAP认证安全性的两种配置方法，即在主验方接口配置用户及双向验证，对类似工程案例具有良好的借鉴或参考意义。 CHAP认证；本地用户；接口；共享密钥 PPP是一种点到点方式的数据链路层协议，是在SLIP（Serial Line IP，串行线IP协议）的基础上发展起来，能够提供用户验证，易于扩充，并且支持同／异步通信，因而获得广泛应用。随着新型宽带技术的推出PPP衍生出新的形式，如符合ADSL（Asymmetrical Digital Subscriber Line，非对称数字用户线路）接入要求的PPPoE（PPP over Ethernet，以太网上的PPP）和PPPoA（PPP over ATM，ATM 上的PPP）。 PAP是基于口令的认证方式。由被验方发起认证，将被验方的用户名和口令以明文的方式发送给主验方，由于被验方不停地在链路上反复发送用户名和口令，直到身份验证过程结束，所以无法防止窃听、重放和穷举攻击，是一种不安全的认证协议。 CHAP是基于挑战的认证协议，通过三次握手周期性的校验对端的身份，在初始链路建立时完成，也可以在链路建立之后的任何时候重复进行。如图1－a所示CHAP由主验方发起认证，向被验方发出一个Challenge报文，其中包含随机数c，此随机数是此身份验证会话惟一的一些信息；作为响应，被验方将双方共享的密钥s和c一起作为输入，计算散列值A1（散列函数通常使用md5），并通过Response报文返回；主验方在本地将s和c作为输入，用同一散列函数计算散列值A2，并与A1进行比较。若A2＝A1，说明被验证方拥有正确的共享秘密，验证通过返回ACK，否则验证失败返回NAK。在会话过程中始终重复该过程，以验证正确的被验方仍在连接中。重复这些步骤可以防止有人通过“重放”从线路上截获的信息来“偷听”被验方的会话。CHAP报文格式如图1－b所示，包括code字段（代码），ID字段（标识），len字段（报文长度），value字段（报文的具体内容）。下面分三种情况讨论在H3C路由器上使用PPP协议的CHAP认证的验证过程、配置方法及注意事项。 情况一 主验方未配置用户且被验方配置接口缺省口令 如图2所示主验方RTA主动发起验证请求，向被验方RTB发送一些随机报文（Challenge，挑战）；被验方接到验证方请求后，利用报文ID、缺省口令rtbchap和MD5算法对该随机报文进行加密，将生成的密文和自己的用户名rtb发回主验方（Response）；主验方根据收到的被验用户rtb查找与之对应的密码rtbchap，然后使用该密码和MD5算法对原随机报文进行加密，比较二者的密文，相同则返回结果ACK，否则返回NAK。 图1 CHAP认证过程及报文格式 图2 主验方未配用户的CHAP认证 这种情况需要在主验方保存对端合法用户，并在接口配置验证对端的认证协议；在被验方接口配置需提交的用户名和缺省口令即可，具体配置方法如下：（以H3C路由器 MSR30－20为例，下同） ＃在主验方配置合法用户 ［RTA］local－user rtb ［RTA－luser－rtb］service－type ppp ＃在主验方接口配置验证对端的认证协议为chap认证协议 ［RTA－Serial6／0］ppp authentication－mode chap ＃在被验方接口配置验证时提交的用户名和缺省口令 ［RTB－Serial6／0］ppp chapuser rtb ［RTB－Serial6／0］ppp chap password simple rtbchap 在被验方通过debugging ppp chap packet，可以了解到双方的chap认证过程，主要内容及说明如下：＊Jun 2 13：01：19：847 2011 RTB PPP／7／debug2： PPP Packet： Serial6／0Input CHAP（c223）Pkt，Len 28 State ListenChallenge，code Challenge（01），id1，len 24 Value＿Size：16 Value：2e dd be e1 74 db 17 9f a0e3 14 27 47 ec c2 85 Name：RTA 这些数据是主验方发来的packet。这个packet中code字段值为01，表示此数据报文为一个challenge。id字段值为1，用以标识本次身份验证会话，本次会话所有的询问和响应pa