126) 。扩展到其他字符集机制的研究留在以后进行,其长度由长度字段
确定 。
安全考虑
安全问题是该RFC的主题 。
PPP认证协议的交互作用依靠于具体实现,本文通篇的“应该”字样已经暗示了
这一点 。
例如,对于认证失败,一些实现可能并不终止链路,而只是限制网络层协议的
流量,答应用户更新密钥或向网络治理员发送邮件表示有问题发生 。
对于失败的认证不做二次审定,然而,LCP状态机可以在任何时候重新协商认证
协议,因而答应新的尝试,推荐让认证失败计数器只有在成功认证之后或者终
止失败链路之后才重新设置 。
不需要双工认证,也不需要在两个方向上使用同一个认证协议,在不同的方向
上使用不同的认证协议完全是可以接受的,当然,这都要根据具体协议协商而
定 。
两个方向上的密钥不应该相同,否则,攻击者可以重放对端的挑战、接受经过
运算的应答以及使用该应答来进行认证等 。
实际上,对于每个PPP服务器,有一个关联用户名和认证信息(密钥)的数据
库,不要让特定用户由多个认证方*来认证,因为这会使攻击者轻易选择一
个安全性较低的认证方*入侵(如,用PAP,而不是CHAP) 。假如使用了相同
的密钥,PAP便会暴露CHAP所使用的密钥 。
对于每一个用户名,应该指示一种特定的认证方*,假如用户在不同的环境下
使用不同的认证方*,那么他应该在不同的环境下使用不同的用户名,每个用
户名标识一个认证方* 。
口令和其他其他密钥应该分别存在每一端,以便尽可能限制访问,理想的做*
是,密钥只能由执行认证的进程访问 。
密钥的发布机制应该尽量限制处理密钥的实体,理想的做*是,非授权人不应
该得到密钥的半点信息,这些机制的讨论产出本文的范围 。
鸣谢
David Kaufman, Frank Heinrich, and Karl Auerbach used a challenge
handshake at SDC when designing one of the protocols for a "secure"
network in the mid-1970s. Tom Bearson built a prototype Sytek
product ("Poloneous"?) on the challenge-response notion in the 1982-
83 timeframe. Another variant is documented in the various IBM SNA
manuals. Yet another variant was implemented by Karl Auerbach in the
Telebit NetBlazer circa 1991.
Kim Toms and Barney Wolff provided useful critiques of earlier
versions of this document.
Special thanks to Dave Balenson, Steve Crocker, James Galvin, and
Steve Kent, for their extensive eXPlanations and suggestions. Now,
if only we could get them to agree with each other.
参考文献
[1]Simpson, W., Editor, "The Point-to-Point Protocol (PPP)", STD
51, RFC 1661, DayDreamer, July 1994.
[2]Reynolds, J., and J. Postel, "Assigned Numbers", STD 2, RFC
1700, USC/Information Sciences Institute, October 1994.
[3]Rivest, R., and S. Dusse, "The MD5 Message-Digest Algorithm",
MIT Laboratory for Computer Science and RSA Data Security,
Inc., RFC 1321, April 1992.
Contacts
Comments should be submitted to the ietf-ppp@merit.edu mailing list.
This document was reviewed by the Point-to-Point Protocol Working
Group of the Internet Engineering Task Force (IETF). The working
group can be contacted via the current chair:
Karl Fox
Ascend Communications
3518 Riverside Drive, Suite 101
Columbus, Ohio 43221
karl@MorningStar.com
karl@Ascend.com
Questions about this memo can also be directed to:
William Allen Simpson
DayDreamer
Computer Systems Consulting Services
推荐阅读
- 王者荣耀绝悟挑战14关怎么过
- PPP 配置协议
- 网络协议-PPPoE拨号
- 链路层协议-ppp
- 关于PPP Multilink协议的配置
- 幻书启世录花灯挑战怎么过 幻书启世录花灯挑战打法攻略
- 认识PPP协议
- 逆战猎魔挑战怎么进去
- 逆战黄金道剑是打什么挑战得
- 幻书启世录凛暴雪怎么打 幻书启世录凛冬挑战者通关攻略