文档介绍：GPRS 数据传输设计数据传输设计（（七）鉴权协议

鉴权协议
在 PPP 连接过程中，LCP 协议定义了一种使用鉴权协议进行鉴权的方法。这种机制可
以使用不同的协GPRS 数据传输设计数据传输设计（（七）鉴权协议

鉴权协议
在 PPP 连接过程中，LCP 协议定义了一种使用鉴权协议进行鉴权的方法。这种机制可
以使用不同的协议进行鉴权，目前支持的鉴权协议包括 PAP(Password Authentication
Protocol)和 CHAP(Challenge Handshake Authentication Protocol)。
1．密码鉴权协议(PAP)PAP 提供了一种通过双向握手进行身份确认的简单方法。在
LCP 链路建立后，被鉴权者将身份和密码发送给鉴权者，然后等待对方的确认信息。因为
用户的身份和密码是通过链路以明码的方式发送的，所以 PAP 不是一种绝对安全的鉴权方
法。
（1）PAP 数据帧格式

（2）数据帧类型
• 鉴权请求（Authenticate-Request）
鉴权请求用于启动密码认证协议，将本地的身份标识和密码发送给对方，并等待对方
应答。该过程可以多次重复直到接收到对方的应答信息。

• 鉴权确认/鉴权否认（Authenticate-ACK/Authenticate-NAK）
如果接收到的鉴权请求数据帧中的用户标识和密码都合法，那么通信终端将使用鉴权
确认数据帧进行确认，以通知对方已经通过了身份验证;如果接收到的信息不合法，使用则
鉴权否认数据帧通知对方。在鉴权确认数据帧的数据域中可以包含一些用于显示的信息。

2．挑战握手鉴权协议(CHAP)CHAP 协议使用三方握手来周期性的确定对方的身份，它可以在链路建立后的任何时
候进行。当链路建立后，鉴权者向对方发送一个“挑战”信息，对方使用单向链表（one-way
hash）函数计算后发送结果，鉴权者将接收到的信息与自己计算出来的结果进行比较，如
果两者相同，则鉴权成功；否则，鉴权失败，连接被终止。同 PAP 相比，CHAP 更具有安
全性。首先，鉴权过程中使用不断变化的挑战信息和身份标识，这使得攻击者很难有机会进
行破解；其次，鉴权由