Password Authentication Protocol

Point-to-Point Protocol

Техническое описание протоколов

Для обеспечения аутентификации в сетях, основанных на телефонных ли­ниях (коммутируемые или выделенные каналы, dial-in, в западном варианте ISDN), используется ряд специальных протоколов. Чаше всего они работа­ют совместно с протоколом РРР (Point-to-Point Protocol) (RFC-1661], Структура (формат) кадра РРР — рис 22.1.

При описании схем аутентификации и PPP используется следующая терми­нология: субъект, для которого требуется аутентификация, называется узлом (англ. peer), а объект, производящий аутентификацию, называется аутен-тификатором (англ. authenlicator).

Данный протокол — наиболее простой из протоколов подтверждения уда­ленным субъектом своего идентификатора для объекта, предоставляющего ресурсы для использования. Аутентификация происходит за две итерации (англ. two-way handshake). При использовании PAP (Password Authentication Protocol) [RFC-1334] в поле Протокола (два байта протокола) кадра РРР ука­зывается соответствующее РАР-значение 0хС023, поле данных преобразует­ся в четыре дополнительных поля (рис. 22.2).

При этом поле Код указывает на следующие возможные типы РАР-пакета.

Код = 1: Аутентификационный запрос.

Код = 2: Подтверждение аутентификации.

Код= 3: Отказ в аутентификации.

Поле Идентификатор обеспечивает соответствие пары запрос/ответ (должен меняться при каждом новом аутентификационном запросе).

Поле Длина указывает совокупную длину всех четырех полей.

Поле Данные содержит данные пакета — для аутентификационного запроса будет иметь вид, приведенный на рис. 22.3.

Пакет аутентификационного запроса будет посылаться субъектом, желаю­щим получить доступ неоднократно до наступления одного из следующих событий:

- получение подтверждения или отказа;

- истечение счетчика попыток.

При получении запроса объектом производится распознавание полученных результатов (сравнение с имеющимися у объекта значениями). По результа­там распознавания субъекту высылается пакет с полем Данные.

При этом в полях (см. рис. 22.2) Код указывается 2 или 3 (в зависимости от того, подтверждена аутентификация или отвергнута), в поле Иденти­фикатор — идентификатор соответствующего запроса. В полях ответа (см. рис. 22.4) указывается: Длина сообщения — размер следующего поля, Сообщение — возлагается на конкретную реализацию, оно обязано не влиять на работу протокола и рекомендовано формировать его удобным для прочтения.

Дополнительно указано, что, поскольку пакет с подтверждением аутенти­фикации может быть утерян, реализация должна предусматривать возмож­ность обработки повторного запроса на аутентификацию.

Таким образом, схема работы протокола следующая (рис. 22.5):

1. Устанавливается РРР соединение.

2. Субъект посылает аутентификаиионный запрос с указанием своего идентификатора и пароля.

3. Объект проверяет полученные данные и подтверждает аутентификацию или отказывает в ней.

Следует обратить особое внимание, что весь обмен данными (в том числе и пересылка пароля) происходят в открытом виде, без применения крипто­графических средств. При этом частоту и время отправки пакетов контро­лирует сам субъект.