【PPP协议:关于在点到点链路上进行多协议包传送的建议】1.介绍
PPP有三个主要的组成部分:
1. 在串行链路上封装数据报(datagrams)的方法 。
2. 建立,配置和测试数据链路链接(thedata-linkconnection)的LCP协议(Link
ControlProtocol) 。
3. 建立和配置不同网络层协议的一组NCP协议(NetworkControlProtocol) 。
为了在点到点链路(point-to-pointlink)上建立通信,PPP链路的一端必须在建立阶段
(Establishmentphase)首先发送LCP包(packets)配置数据链路 。在链路建立后,在进
入到网络层协议阶段前,PPP提供一个可选择的验证阶段 。
默认的,身份验证不是强制的 。假如希望进行链路的身份验证,则实现者必须在建立阶
段指明身份验证-协议配置选项 。
这些协议主要是为通过交换网(switchedcircuits)或者拨号线(dial-uplines)连接到PPP
网络服务器的主机和路由器服务的,但是也可以被用到专用链路(dedicatedlinks)中 。服务
器在为网络层磋商选择选项时可以对连接的主机或路由器进行身份验证 。
此文档定义了PPP身份验证协议 。链路建立和验证阶段,和验证协议配置选项定义在
PPP协议中[1] 。
1.1要求说明书
在本文档中,用以下几个词来表示说明书的要求,这些词一般以大写字体书写 。
MUST
这个词表示在此说明书中是绝对要求的 。
MUSTNOT
这个词组表示在此说明书中是绝对禁止的 。
SHOULD
此词表示在此说明书中是推荐的 。
MAY
此词表示在此说明书中是可选的 。
1.2术语
本文档中,频繁使用以下术语:
authenticator――验证者:
要求验证的链路端点 。验证者说明了在链路建立阶段使用的验证协议 。
Peer――点到点链路的另一端:
正在被验证者验证的一端 。
Silentlydiscard――静静地丢弃
丢弃packet而不进行进一步的处理 。执行(这个动作)应该提供记录错误,包括丢弃packet
的内容,的容量,并且应该在一个统计计数器中记录这一事件 。
2.密码验证协议
密码验证协议(PAP)提供了一种简单的方法,可以使对端(peer)使用2次握手建立身
份验证 。这个方法仅仅在链路初始化时使用 。
链路建立阶段完成后,对端不停地发送Id/PassWord对给验证者,一直到验证被响应或者
连接终止为止 。
PAP不是一个健壮的身份验证方法 。密码在电路上是明文发送的,并且对回送或者重复
验证和错误攻击没有保护措施 。对端控制着尝试的频率和时间 。
包含健壮验证方法(例如CHAP,下面描述)的任何实现者必须提供商议优先于PAP的
方法 。
这个验证方法最适合用在使用有效的明文密码在远程主机上模拟登陆的地方了 。通过这
种用法,飧龇椒ㄏ蚱胀ㄓ没б锹皆冻讨骰峁┝艘恢职踩睦嗨萍侗稹?BR>实现注重:要限制暴露在PPP链路上传输明文密码和避免在整个网络上发送明文密码是
可能的 。假如远程主机密码是以单向转换值保存的,并且转换函数的算法是在当地主机上完
成的,则明文密码应该在和远程主机的转换密码比较前在本地转换 。
2.1配置选项格式
下面是关于PAP的验证-协议配置选项格式的总结 。各个域由左到右传输 。
0123
01234567890123456789012345678901
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
TypeLengthAuthentication-Protocol
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
类型
3
长度
