扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
如果是采用PAP协议,则整个身份认证过程是两次握手验证过程,口令以明文传送。PAP认证过程如图2-6所示。用文字描述如下:
(2)验证方grfwgz01根据自己的网络用户配置信息查看是否有此用户己口令是否正确,然后返回不同的响应(Acknowledge or Not Acknowledge)。
PAP并不是一个健全的认证协议。它的特点是,在网络上以文明的方式传递用户名及口令,如在传输过程中被截获,便有可能对网络安全造成极大的威胁。因此它并不是一种强有效的认证方法,其密码以文本格式在电路上进行发送,对于窃听、重放或重复尝试和错误攻击没有任何保护,仅适用于对网络安全要求相对较低的环境。
(1)当客户端要求与验证服务器连接时,并不是像PAP验证方式那样直接由客户端输入密码,而首先由验证方grfwgz01向被验证方grfwgz02发送一个作为身份认证请求的随机产生的报文,并同时将自己的主机名附带上一起发送给被验证方;
(2)被验证方得到验证方的验证请求(Challenge)后,便根据此报文中验证方的主机名和自己的用户表查找对应用户帐户口令。如找到用户表中与验证方主机名相同的用户帐户,便利用接受到的随机报文和该用户的密匙,以Md5算法生成应答(Response),随后将应答和自己的主机名发送给验证服务器;
(3)验证方接到此应答后,再利用对方的用户名在自己的用户表中查找自己系统中保留的口令字,找到后再用自己的保留口令字(密匙)和随机报文,以Md5算生成结果,与被验证方应答比较。验证成功验证服务器会发送一条ACK报文(Success),否则会发送一条NAK报文(Failure)。
CHAP身份认证的特点是只在网络上传输用户名,而并不传输用户口令,因此它的安全性要比PAP高。CHAP认证方式使用不同的询问消息,每个消息都是不可能预测的唯一值,这样就可以防范再生攻击。不断询问可以被限制在一次攻击中的时间内,本地路由器可以控制询问的频率和时间。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。