Password Authentication Protocol
Протокол PAP (англ. Password Authentication Protocol - автентифікація по паролю) забезпечує вузлам одного рівня простий спосіб ідентифікації один одного шляхом двосторонньої згоди (handshake). Даний протокол - найбільш простий з протоколів підтвердження віддаленим суб'єктом свого ідентифікатора для об'єкта, що надає ресурси для використання. Автентифікація проходить за дві ітерації (англ. two-way handshake).
Механізм PAP
При використанні PAP [RFC-1334] в поле протоколу (два байти протоколу) кадру PPP вказується відповідне PAP-значення Охсоаз, поле даних перетворюється в чотири додаткових поля:
| Код | Ідентифікатор | Довжина | Дані |
|---|---|---|---|
| 1 байт | 1 байт | 2 байта | перемінний розмір |
При цьому поле Код вказує на слідуючі можливі типи PAP-пакету:
Код=1: Запит автентифікації.
Код=2: Підтвердження автентифікації.
Код=3: Відмова у автентифікації.
Поле ідентифікатор забезпечує відповідність пари запит/відповідь (повинен змінюватись при кожному новому запиті).
Поле довжина вказує на сумарну довжину всіх чотирьох полів.
Поле дані містить дані пакету - для запиту автентифікації буде мати слідуючий вигляд:
| Довжина ідентифікатора | Ідентифікатор | Довжина паролю | Пароль |
|---|
Пакет запиту автентифікації буде відправлятись суб'єктом, що бажає отримати доступ неодноразово до настання однієї з слідуючих подій:
- Отримання підтвердження чи відмови.
- Перевищення допустимого значення в лічильнику спроб.
При отриманні запиту об'єктом проводиться розпізнання отриманих результатів (порівняння з наявними у об'єкта значеннями). По результатам розпізнавання суб'єкту висилається пакет з полем Дані слідуючого формату:
| Довжина повідомлення | Повідомлення |
|---|
При цьому в полях Код вказується 2 або 3 (в залежності від того, підтверджена автентифікація чи відхилена), в поле Ідентифікатор - ідентифікатор відповідного запиту. В полях відповіді вказується: Довжина повідомлення - розмір наступного поля, Повідомлення - покладається на певну реалізацію, воно повинне не впливати на роботу протоколу та рекомендовано формувати його зручним для прочитання. Додатково вказано, що, оскільки пакет з підтвердженням автентифікації може бути втрачений, реалізація повинна передбачати можливість обробки повторного запиту на аутентифікацію.
Таким чином, схема роботи протоколу наступна:
1. Встановлюється PPP з'єднання.
2. Суб'єкт посилає запит автентифікації з вказанням свого ідентифікатора і пароля.
3. Об'єкт перевіряє отримані дані і підтверджує автентифікацію або відмовляється від неї.
http://infcryp.ru/images/pct_7.jpg - Приклад PAP-автентифікації маршрутизатора сервером
Варто звернути особливу увагу на те, що весь обмін даними (в тому числі і пересилка паролю) проходять у відкритому вигляді, без використання криптографічних засобів. При цьому частоту та час відправляння пакетів контролює сам суб'єкт.
Посилання
http://infcryp.ru/content/password-authentication-protocol
http://www.protocols.ru/modules.php?name=Content&pa=showpage&pid=139