1.6通用令牌卡
描述
通用令牌卡类型适用于各种需要用户输入信息的令牌卡的实现 。在请求报文中包含一段ASCII文本信息,而应答报文中包含用于认证的令牌卡信息 。典型的,令牌卡信息是由用户从令牌卡设备上读取得到并作为ASCII文本输入的 。
类型Type
6
类型数据Type-Data
在请求报文中,该字段包含一段长度大于零的可显示的信息,它的长度可以从报文的长度字段中计算得到,因此该字段不需要用空字符(NULL)结束 。对端收到这种请求报文以后必须发送一个类型值为6(通用令牌卡)的报文作为应答,应答报文中包含用于认证的令牌卡信息,通用它的长度也可以从报文的长度字段中计算得到 。
1安全考虑
安全主题是该RFC的主题 。
PPP的认证交换过程依靠于实现 。例如在有些实现中认证失败就直接终止链路,而在另外一些实现中并不终止链路,而只是限制和滤除网络层的流量从而答应用户更改密钥或者发邮件通知治理员 。
虽然没有如何处理认证失败以后的重新认证的规定,但由于LCP的状态机可以随时重新协商认证协议,然后开始一个新的认证过程,因此建议用于认证失败的各种计数器只有在认证成功或者链路终结以后才重新设置 。
并没有要求认证一定要在两个方向上进行,也没有要求在两个方向上使用同样的认证协议 。我们完全可以接受在两个方向上使用不同的认证协议,当然,这依靠于协商的结果 。
实际上,一个PPP服务器不应该使用多种认证协议来认证一个特定的用户 。因为这样轻易使用户在使用安全性较低的认证协议(如PAP,而不是EAP)的时候受到攻击 。对于每一个用户名,应该指示一种特定的认证方法,假如用户在不同的环境下使用不同的认证方法,那么他应该在不同的环境下使用不同的用户名,每个用户名对应一个认证方法 。
1参考文献
[1]Simpson,W.,"ThePoint-to-PointProtocol(PPP)",STD51,RFC1661,July1994.
[2]Reynolds,J.andJ.Postel,"AssignedNumbers",STD2,RFC1700,October1994.
[3]Simpson,W.,"PPPChallengeHandshakeAuthenticationProtocol(CHAP)",RFC1994,August1996.
[4]Haller,N.andC.Metz,"AOne-TimePasswordSystem",RFC1938,May1996.
[5]Yergeau,F.,"UTF-8,atransformationformatofUnicodeandISO10646",RFC2044,October1996.
[6]Bradner,S.,"KeywordsforuseinRFCstoIndicateRequirementLevels",RFC2119,March1997.
1鸣谢
撰写本文的很多灵感都来源于DaveCarrel的AHA草案和PPP的CHAP认证协议 。BillSimpson提供了本文所使用的书写模板 。AlRubens为本文提出了很多有价值的建议 。
推荐阅读
- BGP-4多协议扩展
- 对多宿主的多提供者连接的可扩展性支持
- IP多点广播的主机扩展
- POP3扩展机制
- 支持IPv6地址聚合和重编号的DNS扩展
- GRE的Key和Sequence Number扩展
- SMTP 针对命令流水线的服务扩展
- 主机扩展用于IP多点传送
- IMAP4 ID 扩展名
- PPP 链路质量监控