PPP验证方式

发布时间： 2022-09-27 10:29:09

PPP验证方式，PPP会话的验证阶段是可选的。在链路建立完成并选好验证协议后，双方便可以开始进行验证。若要使用验证，必须在网络层协议配置阶段先配置命令以使用验证。

验证选项会要求链路的呼叫端输入验证信息，以协助确定使用者拥有网络管理员的同意可进行此呼叫。双方路由器交换验证信息。

当设定PPP验证时，既可以选择密码验证协议（PAP），也可以选择挑战式握手验证协议（CHAP）。一般而言，CHAP通常是首选使用的协议。

PPP或CHAP验证是一个双向的过程。在该过程中，被验证方（如主叫用户）向验证方（如接入服务器）不断发送一个身份识别/密码对，直到该验证通过或者连接被拆除。

如图1所示的流程图说明了PPP验证的步骤。

图1 PPP验证步骤

（1）当拨号用户输入PPP命令时，系统会根据配置选择验证方式。如果没有配置验证，PPP进程会立刻被启动。否则系统会进入下一个步骤。

（2）系统选定将要使用的验证方式，并进行以下两项工作之一：检查本地数据库（用户名和密码），以检查用户所给出的用户名和密码是否与本地数据库中的用户名和密码相匹配（PAP或CHAP方式）；或向安全服务器发送一个验证请求。

（3）系统检查从安全服务器和本地数据库返回的验证响应。如果得到的是一个肯定的答复，接入方将启动PPP进程；反之，接入方会拒绝用户的接入请求。

2.密码验证协议（PAP）

如图2所示，PAP提供了一种简单的模式，可以让远程站点使用双向的握手式会话建立其身份。当PPP链路建立阶段完成后，远程站点会通过链路重复传送使用者用户名/密码对到路由器上，直到验证完成确认或连接终止为止。

图2 PAP双向握手验证

PAP并不是功能很强大的验证协议，并且验证过程也不是很安全。通过链路发出的密码为明文密码，如果在线路上设置一个协议分析仪就能看到用户口令。并且此验证协议不能提供回放（playback）模仿（通过连接到线路上的捕获数据包的仪器就可以捕获带有用户名和密码的数据包，然后就可以通过回放这个被捕获的用户名和密码登录到网络上）或遇错重复尝试型攻击的保护。远程站点能控制登入尝试的频率和时间。

如果对安全接入控制有较高的要求，就应该采用下面将要讲到的CHAP而不是PAP作为验证方式。只有当PAP是远程站点唯一支持的验证方式时，才使用PAP。

当PAP用于主机和接入服务器之间时，它是单向验证。而当它用于两个路由器之间时，则是一个双向验证。

3.挑战式握手验证协议（CHAP）

CHAP是用来定期检验和识别使用三次握手会话的远程站点，如图3所示。CHAP在初始链路建立时便已完成，且链路完成建立后随时可以重复执行。

CHAP可以提供定期检验以改善安全性等功能，这使得CHAP比PAP更有效率。PAP仅仅检验一次，这使得它很容易受到黑客和调制解调器回放的影响。

此外，PAP允许呼叫方根据所需进行验证（不需先接收挑战信息），这也使得它容易受到黑客攻击的影响，因此CHAP并不允许呼叫方在未接收挑战信息的情況下尝试验证。

图3 CHAP三次握手验证协议

CHAP验证过程步骤如下：

（1）发起呼叫。

（2）发送挑战信息。

（3）处理挑战信息。

（4）对挑战的应答。

（5）验证回应值。

（6）通过验证或验证失败。

在PPP链路建立阶段完成后，接入服务器会传送一个挑战信息（一般为随机数）给远程站点。

远程站点用密码和单向散列函数（典型为MD5）对该挑战信息进行计算，会产生一个回应的计算结果值返回给接入服务器。接入服务器会将该结果与根据它本身按同样方法计算出来的结果值进行比较来检验回应。

如果两个值相互匹配，则验证便通过确认。否则，连接便会终止。CHAP会使用唯一和无法预期的变动挑战值抵挡回放的攻击。在任一CHAP会话中，每过两分钟还要进行重复挑战验证过程。

使用重复挑战的目的，是为了限制暴露在任何信息单次攻击的时间。本地路由器（或协议厂商的验证服务器，如Netscape Commerce Server）能控制挑战的频率和时间。

经常变换挑战字符串的一个主要好处是：其他人不能通过线路监听和回放获得未经验证的网络访问权。