PPP認證兩種：PAP和CHAP，兩次握手和三次握手

CHAP（Challenge-Handshake Authentication Protocol，質詢握手認證協議）的設計理念是增強網絡認證過程的安全性。在CHAP的三次握手過程中，不直接傳送用戶的明文密碼，以此來提高安全性，具體步驟如下：

服務器挑戰：認證過程開始時，認證服務器向客戶端發送一個隨機生成的挑戰消息（challenge）。這個消息是一個數據串，用于后續的認證計算，而不是直接請求用戶名和密碼。
客戶端響應：接收到挑戰消息后，客戶端使用自己知道的一個密鑰（通常是用戶密碼的某種加密形式或者衍生信息，但不是明文密碼本身）對這個挑戰消息進行處理（通常是哈希運算），然后將處理結果返回給服務器。這一過程不涉及用戶名的直接傳輸，進一步增加了安全性，因為即使通信被截獲，攻擊者也很難從中直接獲取到敏感信息。
服務器確認：服務器收到客戶端的響應后，使用它存儲的該客戶端的密鑰（或相應的加密信息）對原始挑戰消息執行相同的處理過程，并將結果與客戶端返回的響應進行對比。如果兩者匹配，說明客戶端確實擁有正確的密鑰，認證成功；如果不匹配，則認證失敗。

PAP的兩次握手很好理解，客戶端傳送，服務器回應判斷結果。

疑問：三次握手的時候，為啥是服務器發起？

CHAP采用三次握手過程，包含服務器的挑戰、客戶端的響應以及服務器的確認。為什么CHAP握手過程沒有客戶端先傳送用戶名密碼這一過程？

無論是CHAP還是PAP，我認為都應該是客戶端首先發起連接請求，難道這有問題嗎？你怎么說CHAP的認證開始是服務器發起，難道服務器隨時都在發起挑戰嗎，他怎么知道哪個客戶端需要建立連接呢？

======================================================================

讓我們澄清一下CHAP和PAP協議在PPP（點對點協議）連接建立過程中的角色和時序：

實際上，在PPP協議中，無論是使用CHAP還是PAP進行身份驗證，客戶端和服務器之間的連接初始化通常是由客戶端發起的。當客戶端嘗試建立PPP連接時，它會發送LCP（鏈路控制協議）的配置請求包給服務器，開始鏈路的建立過程。這一階段包括協商數據包的格式、認證方式等參數。

一旦LCP階段完成，如果雙方同意使用CHAP或PAP作為認證方法，認證流程才會開始。在這個上下文中，當我說“CHAP的認證過程開始是服務器發起”，我指的是在認證階段，確實是服務器首先發送一個挑戰（challenge）給客戶端，但這是在客戶端已經發起了PPP連接建立請求，并且雙方通過LCP協商確定使用CHAP之后的事情。

至于服務器如何知道哪個客戶端需要建立連接，這是因為在PPP連接建立的早期階段（即LCP協商階段），客戶端會向服務器發送一個或多個配置包，表明其存在并請求建立連接。服務器基于這些請求來初始化連接和隨后的認證過程。

總結來說，雖然認證的確切流程（如CHAP的挑戰）是由服務器發起的，但整個連接的嘗試最初是由客戶端啟動的。服務器響應客戶端的連接請求，并按照之前協商好的認證協議（如CHAP）來進行身份驗證。

那么，三次握手屬于PPP協議的NCP階段，對嗎？

實際上，三次握手并不直接屬于PPP（點對點協議）的NCP（網絡控制協議）階段。PPP協議的建立分為兩個主要階段：

1. **鏈路建立階段（LCP，Link Control Protocol）**：在這個階段，兩端設備通過交換LCP數據包來建立PPP鏈路，協商諸如最大傳輸單元（MTU）、認證協議、魔術字等參數。此階段確保了物理連接的建立和基本參數的設置。

2. **認證階段**：如果在LCP階段協商決定使用認證（如PAP、CHAP），認證將在LCP完成之后進行。CHAP的三次握手認證流程發生在這個階段，但它并不是NCP的一部分。

3. **網絡層協議配置階段（NCP，Network Control Protocol）**：只有當鏈路建立和認證（如果適用）都成功完成后，才會進入NCP階段。在這個階段，為不同的網絡層協議（如IPCP用于IP協議）配置具體的參數，比如分配IP地址、DNS服務器地址等，以使數據能夠在PPP鏈路上傳輸。

因此，CHAP的三次握手認證過程發生在PPP的認證階段，而非NCP階段。NCP是在認證成功之后，用于配置網絡層協議參數的階段。

PPP到底分哪幾個階段？

PPP（點對點協議）的建立過程大致可以分為以下幾個階段：

1. **Dead（鏈路不可用）階段**：這是鏈路的初始狀態，表示物理層尚未準備好或者鏈路已斷開。當物理層變為可用時，PPP嘗試進入下一階段。

2. **Establish（鏈路建立）階段**：在這個階段，PPP鏈路開始進行LCP（鏈路控制協議）參數的協商，包括驗證類型、最大傳輸單元（MTU）、魔術字等。LCP協商成功后，鏈路進入Opened狀態，意味著鏈路控制協議層面已經準備好進行數據傳輸。

3. **Authenticate（認證）階段**（可選）：根據LCP協商的結果，如果啟用了認證，接下來會進行用戶或設備的身份驗證。常見的認證協議有PAP（密碼驗證協議）和CHAP（挑戰握手驗證協議）。認證成功后，繼續到下一個階段；若失敗，則鏈路可能被終止并返回到Dead階段。

4. **Network-Layer Protocol（網絡層協議）配置階段**（NCP）：一旦鏈路和認證（如果需要）都成功，接下來會進行NCP協商。NCP負責配置網絡層協議，如IPCP（Internet Protocol Control Protocol）用于配置IP參數，如分配IP地址、默認網關等。每種支持的網絡層協議都有其對應的NCP來配置必要的參數。

5. **Link Terminate（鏈路終止）階段**：當需要關閉鏈路時，PPP通過交換特定的終止包來優雅地關閉連接，之后鏈路回到Dead狀態。

請注意，認證階段并非總是必需的，這取決于LCP協商時是否啟用了認證。此外，整個過程是有序的，每個階段的成功完成通常是進入下一階段的前提條件。

結論：原來PAP和CHAP的認證階段，是介于LCP和NCP之間！

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/bicheng/20204.shtml
繁體地址，請注明出處：http://hk.pswp.cn/bicheng/20204.shtml
英文地址，請注明出處：http://en.pswp.cn/bicheng/20204.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！