Протокол аутентификации PAP
Протокол PAP oбecпeчивaeт простейший метод аутентификации. Он использует двухзвенную процедуру обмена пакетами. Эта процедура может отрабатываться только после установления звена передачи данных. После того, как фаза установления звена передачи данных завершена, пара значений, состоящая из идентификатора и пароля, передается по звену до тех пор, пока аутентификация не будет подтверждена или звено не будет разорвано.
PAP не является защищенным протоколом аутентификации. Пароль передается по звену передачи данных “открытым текстом”, и не существует защиты от перехвата и повторного использования пакетов, так же как и от попыток подбора пароля. Уровень защиты, который предлагает протокол PAP, соответствует уровню защиты, который обеспечивает операционная система сервера локальной сети, запрашивающая имя пользователя и пароль. Протокол предусматривает, что в том случае, если программное обеспечение использует протокол аутентификации, более защищенный, чем РАР, то оно должно предлагать использовать его в первую очередь.
В процессе аутентификации участвуют две системы. Одна из них (как правило, удаленный компьютер), чья подлинность проверяется, передает через линию передачи данных сведения, которые являются секретными и позволяют установить подлинность удаленного компьютера. Проверяющая система (как правило, сервер удаленного доступа) сравнивает эти сведения с хранящимися в базе данных управления доступом. Если они совпадают, то аутентификация считается успешно завершившейся, и пользователю удаленного компьютера предоставляется доступ к сети.
Для того, чтобы инициировать процесс аутентификации с использованием протокола РАР, проверяющая сторона должна выслать пакет LCP, указывающий протокол РАР (за протоколом РАР закреплен шестнадцатиричный номер с023) в качестве протокола аутентификации. После этого сторона, чья подлинность проверяется, и проверяющая сторона производят обмен пакетами РАР. Пакет протокола РАР имеет формат, приведенный на рис. 2.3.
Поле КОД (Code) указывает тип пакета. Определены пакеты трех типов:
ЗАПРОС АУТЕНТИФИКАЦИИ – Authenticate-Request;
ПОДТВЕРЖДЕНИЕ АУТЕНТИФИКАЦИИ – Authenticate-Ack;
ОТКАЗ В АУТЕНТИФИКАЦИИ – Authenticate-Nak.
Поле ИДЕНТИФИКАТОР (Identifier) содержит уникальное значение, которое позволяет определить, какому запросу соответствует полученный ответ. Поле ДЛИНА (Length) содержит длину пакета в байтах. Длина и формат поля ДАННЫЕ (Data) определяются типом пакета РАР.
Пакеты ЗАПРОС АУТЕНТИФИКАЦИИ используются для передачи данных аутентификации проверяющей стороне. Пакет этого типа должен повторно передаваться по звену передачи данных до тех пор, пока не будет получен действительный пакет ПОДТВЕРЖДЕНИЕ АУТЕНТИФИКАЦИИ, или пока не истечет таймер, который может присутствовать в некоторых реализациях.
Поле данных PAP в пакете ЗАПРОС АУТЕНТИФИКАЦИИ содержит:
идентификатор проверяемой стороны;
длину идентификатора проверяемой стороны в байтах;
пароль;
длину пароля в байтах.
Проверяющая сторона, получив пакет ЗАПРОС АУТЕНТИФИКАЦИИ и выполнив проверку, должна выслать в зависимости от результатов проверки пакет ПОДТВЕРЖДЕНИЕ АУТЕНТИФИКАЦИИ или ОТКАЗ В АУТЕНТИФИКАЦИИ. Если пакет будет потерян, то проверяемая сторона, не получив его, вышлет пакет ЗАПРОС АУТЕНТИФИКАЦИИ повторно. В этом случае проверяющая сторона должна повторно сформировать пакет ПОДТВЕРЖДЕНИЕ АУТЕНТИФИКАЦИИ или ОТКАЗ В АУТЕНТИФИКАЦИИ. Пакет ПОДТВЕРЖДЕНИЕ АУТЕНТИФИКАЦИИ используется для извещения проверяемой стороны о том, что подлинность была подтверждена. Если проверяющая сторона обнаружит несоответствие указанного в пакете ЗАПРОС АУТЕНТИФИКАЦИИ пароля хранящемуся в базе данных управления доступом, то она высылает пакет ОТКАЗ В АУТЕНТИФИКАЦИИ и затем инициирует процедуру разрыва звена передачи данных. Даже в случае утери пакета ОТКАЗ В АУТЕНТИФИКАЦИИ пакеты LCP, разрывающие связь, укажут проверяемой стороне на неудачный результат процесса аутентификации.
Поле данных РАР в пакетах ПОДТВЕРЖДЕНИЕ АУТЕНТИФИКАЦИИ и ОТКАЗ В АУТЕНТИФИКАЦИИ содержит:
сообщение, которое, как правило, содержит текст, содержание которого стандартом не устанавливается;
длину сообщения в байтах.