PPP驗(yàn)證（PAP和CHAP）

ppp協(xié)議

PPP協(xié)議是一種點(diǎn)到點(diǎn)的鏈路協(xié)議，主要運(yùn)用于在全雙工的鏈路上進(jìn)行點(diǎn)到點(diǎn)的數(shù)據(jù)傳輸

特點(diǎn)：

-支持點(diǎn)到點(diǎn)和點(diǎn)到多點(diǎn)

-支持同步和異步串行服務(wù)

-可同時支持多種網(wǎng)絡(luò)層協(xié)議

-支持驗(yàn)證

-支持地址自動協(xié)商，能夠遠(yuǎn)程分配IP地址

PPP組成：

LCP:鏈路控制協(xié)議，負(fù)責(zé)物理層和二層的協(xié)商（用來建立、拆除和監(jiān)控PPP數(shù)據(jù)鏈路）

NCP:網(wǎng)絡(luò)控制協(xié)議，負(fù)責(zé)和三層協(xié)商（對于不同的網(wǎng)絡(luò)層協(xié)議進(jìn)行連接建立和參數(shù)協(xié)商）

PPP鏈路認(rèn)證如下：

1：Dead階段是沒有進(jìn)行任何連接的階段，為不可用階段，只有當(dāng)兩端檢測到物理接口被激活的時候，才會從Dead階段到Establish階段，也叫鏈路建立階段。

2：在Establish階段，PPP鏈路進(jìn)行LCP參數(shù)協(xié)商。協(xié)商內(nèi)容包括MRU、認(rèn)證方式、魔術(shù)字等，LCP參數(shù)協(xié)商成功后會進(jìn)入Opened狀態(tài)，表示底層鏈路已經(jīng)建立。

3：接下來就是鏈路兩端的設(shè)備需要經(jīng)過認(rèn)證階段（Authenticate）才能進(jìn)入到網(wǎng)絡(luò)層協(xié)議階段，如果在這個階段再次收到了Configure-Request報文，則又會返回到鏈路建立階段。

4：在Network階段，PPP鏈路進(jìn)行NCP協(xié)商，只有相應(yīng)的網(wǎng)絡(luò)層協(xié)議協(xié)商成功后，該網(wǎng)絡(luò)層協(xié)議才可以通過這條PPP鏈路發(fā)送報文。如果在這個階段收到了Configure-Request報文，也會返回到鏈路建立階段。

5：NCP協(xié)商成功后，PPP鏈路保持通信狀態(tài)。

6：在Terminate階段，如果所有的資源都被釋放，通信雙方將回到Dead狀態(tài)，直達(dá)通信雙方建立起一個PPP連接。

PS：Configure-Request（配置請求）：鏈路層協(xié)商過程中發(fā)送的第一個報文，該報文表明點(diǎn)對點(diǎn)雙方開始進(jìn)行鏈路層參數(shù)的協(xié)商。

MRU：最大接受單元

認(rèn)證方式：包括PAP和CHAP

魔術(shù)字：隨機(jī)產(chǎn)生一個數(shù)值，檢測鏈路上是否有環(huán)路，如果收到的LCP報文中的魔術(shù)字和本段產(chǎn)生的魔術(shù)字一樣，就認(rèn)為有環(huán)路。但是要保證兩端的數(shù)字都是一樣的，基本上為0

首先了解一下這些名詞，：

1. Configure-Request（配置請求）：鏈路層協(xié)商過程中發(fā)送的第一個報文，該報文表明點(diǎn)對點(diǎn)雙方開始進(jìn)行鏈路層參數(shù)的協(xié)商。

2. Configure-Ack（配置響應(yīng)）：收到對端發(fā)來的Configure-Request報文，如果參數(shù)取值完全接受，則以此報文響應(yīng)。

3. Configure-Nak（配置不響應(yīng)）：收到對端發(fā)來的Configure-Request報文，如果參數(shù)取值不被本端認(rèn)可，則發(fā)送此報文并且攜帶本端可接受的配置參數(shù)。

4. Configure-Reject（配置拒絕）：收到對端發(fā)來的Configure-Request報文，如果本端不能識別對端發(fā)送的Configure-Request中的某些參數(shù)，則發(fā)送此報文并且攜帶那些本端不能認(rèn)別的配置參數(shù)。

1：RTA發(fā)送一個Configure-Request報文，這個報文中包含RTA上的鏈路層上的一些參數(shù)，當(dāng)RTB收到這個配置請求之后，如果RTB能夠識別，那么就會向RTA發(fā)送Configure-Ack報文。

2：當(dāng)然，RTA不會等到RTB主動回復(fù)信息，RTA每隔3次就會發(fā)送一次，連續(xù)發(fā)10次，如果還沒有收到Configure-Ack報文，就會停止發(fā)送

3：當(dāng)RTB收到RTA發(fā)送的Configure-Request報文之后，如果RTB能識別此報文中攜帶的所有鏈路層參數(shù)，但是認(rèn)為部分或全部參數(shù)的取值不能接受，即參數(shù)的取值協(xié)商不成功，則RTB需要向RTA發(fā)送一個Configure-Nak報文。

4：當(dāng)RTB收到RTA發(fā)送的Configure-Request報文之后，如果RTB不能識別此報文中攜帶的部分或全部鏈路層參數(shù)，則RTB需要向RTA回應(yīng)一個Configure-Reject報文。在此Configure-Reject報文中，只包含不能被識別的鏈路層參數(shù)。在收到Configure-Reject報文之后，RTA需要向RTB重新發(fā)送一個Configure-Request報文

以上只是LCP鏈路上的一些協(xié)商配置過程，接下來是認(rèn)證過程（PAP和CHAP）

pap認(rèn)證使用的是兩次握手協(xié)議，密碼以明文的方式在鏈路上傳輸。在LCP鏈路上寫上完成后，認(rèn)證方要求被驗(yàn)證方進(jìn)行pap認(rèn)證。

被認(rèn)證方將配置的用戶名和密碼信息使用Authenticate-Request報文以明文方式發(fā)送給認(rèn)證方。認(rèn)證方收到被認(rèn)證方發(fā)送的用戶名和密碼信息之后，根據(jù)本地配置的用戶名和密碼數(shù)據(jù)庫檢查用戶名和密碼信息是否匹配，如果匹配，則返回Authenticate-Ack報文，表示認(rèn)證成功。否則，返回Authenticate-Nak報文，表示認(rèn)證失敗。

CHAP需要三次驗(yàn)證，是一種比較安全的認(rèn)證方式。它有一個加密算法，這個算法叫做MD5，它是一個不可逆的過程，通常我們也會在網(wǎng)上看到一些解密MD5的網(wǎng)站，但是這些網(wǎng)站是依靠強(qiáng)大的數(shù)據(jù)庫進(jìn)行碰撞得出的結(jié)果，現(xiàn)在還沒有一個有效的解密的手段去對他解密。

1. LCP協(xié)商完成后，認(rèn)證方發(fā)送一個Challenge報文給被認(rèn)證方，認(rèn)證方很皮，他要挑戰(zhàn)一下被認(rèn)證方。

2. 被認(rèn)證方收到此Challenge報文之后，也皮一下，進(jìn)行一次加密運(yùn)算，也是MD5運(yùn)算，得到一個16字節(jié)長的摘要信息，然后將此摘要信息和端口上配置的CHAP用戶名一起封裝在Response報文中發(fā)到認(rèn)證方那里去。

3. 認(rèn)證方接收到被認(rèn)證方發(fā)送的Response報文之后，按照Response的用戶名在認(rèn)證方的本地查找相應(yīng)的密碼信息，得到密碼信息之后，進(jìn)行一次加密運(yùn)算，運(yùn)算方式和被認(rèn)證方的加密運(yùn)算方式相同，然后將加密運(yùn)算得到的摘要信息和Response報文中封裝的摘要信息做比較，相同則認(rèn)證成功，不相同則認(rèn)證失敗。