文档介绍:GPRS 数据传输设计数据传输设计((七)鉴权协议
鉴权协议
在 PPP 连接过程中,LCP 协议定义了一种使用鉴权协议进行鉴权的方法。这种机制可
以使用不同的协GPRS 数据传输设计数据传输设计((七)鉴权协议
鉴权协议
在 PPP 连接过程中,LCP 协议定义了一种使用鉴权协议进行鉴权的方法。这种机制可
以使用不同的协议进行鉴权,目前支持的鉴权协议包括 PAP(Password Authentication
Protocol)和 CHAP(Challenge Handshake Authentication Protocol)。
1.密码鉴权协议(PAP)PAP 提供了一种通过双向握手进行身份确认的简单方法。在
LCP 链路建立后,被鉴权者将身份和密码发送给鉴权者,然后等待对方的确认信息。因为
用户的身份和密码是通过链路以明码的方式发送的,所以 PAP 不是一种绝对安全的鉴权方
法。
(1)PAP 数据帧格式
(2)数据帧类型
• 鉴权请求(Authenticate-Request)
鉴权请求用于启动密码认证协议,将本地的身份标识和密码发送给对方,并等待对方
应答。该过程可以多次重复直到接收到对方的应答信息。
• 鉴权确认/鉴权否认(Authenticate-ACK/Authenticate-NAK)
如果接收到的鉴权请求数据帧中的用户标识和密码都合法,那么通信终端将使用鉴权
确认数据帧进行确认,以通知对方已经通过了身份验证;如果接收到的信息不合法,使用则
鉴权否认数据帧通知对方。在鉴权确认数据帧的数据域中可以包含一些用于显示的信息。
2.挑战握手鉴权协议(CHAP)CHAP 协议使用三方握手来周期性的确定对方的身份,它可以在链路建立后的任何时
候进行。当链路建立后,鉴权者向对方发送一个“挑战”信息,对方使用单向链表(one-way
hash)函数计算后发送结果,鉴权者将接收到的信息与自己计算出来的结果进行比较,如
果两者相同,则鉴权成功;否则,鉴权失败,连接被终止。同 PAP 相比,CHAP 更具有安
全性。首先,鉴权过程中使用不断变化的挑战信息和身份标识,这使得攻击者很难有机会进
行破解;其次,鉴权由