隨著越來越多的小型機構使用廣域網連接各分支機構。由於專線(普通租用線和DDN)在價格、靈活性等方面的缺陷,所以可采用各類交換網絡,如電話撥號、ISDN等。
不過撥號接入方式存在安全問題。在因特網上普遍采用的撥號訪問服務器中,一般采用各類口令認證來解決。通常使用的有PAP和CHAP。
安全認證機制
PAP認證主要的工作原理是當A機欲通過PPP協議連接B機,而B機設置了PAP認證時,當A機撥通B後,將自己的名字與口令一起發給B機,B從自己的用戶數據庫中查到該口令與名字相符後,A和B可繼續進行IP地址協商,否則B將切斷線路。
PAP協議僅在連接建立階段進行,在數據傳輸階段不進行PAP認證。
CHAP認證主要原理是當A機欲通過PPP協議連接B機,而B機設置了CHAP認證,則當A機撥通B後,由B機將一段隨機數據和自身的名字發給A,A根據此名字查到口令,用它對收到的隨機數據通過MD5算法進行加密,得到16字節的加密結果,然後A將該結果和B自身的名字一起發送給B。B收到該報後,首先查到A的口令,同樣用此口令對以前發送的隨機數據,通過MD5算法進行加密並將自己算出的加密結果與從A中收到的加密結果相比較,如果一致,A與B可繼續進行協商,否則B將切斷線路。
CHAP協議不僅僅在連接建立階段進行,在之後的數據傳輸階段,也將在隨機的間隔周期裡進行,如果發現結果不一致,B也將切斷線路。
由於安全級別高與連接速度成反比,因特網的很多接入都采用PAP協議認證。一般來說,進入撥號訪問服務器後,遠程訪問者還要通過主機口令的檢查,故安全不會成問題,而國內遠程訪問的接入速率較低,用PAP可提高一些效率。
路由器內部認證
使用專用路由器時,一般采用其他的服務器做安全認證服務器,所以安裝、使用、維護都較麻煩。如果僅有幾個用戶使用,或在專用軟件中共同使用一個撥號口令,那就更不值得了。在這種情況下可采用路由器內部認證的方式,以Cisco路由器為例,配置如下:
hostname 2509 (路由器的名稱)
!
enable passWord cisco (路由器GLOBAL狀態口令)
!
username cisco password 0 cisco (遠程用戶名稱、口令)
!
interface Ethernet0
ip address 202.100.99.5 255.255.255.0
no shut
!
interface Group-Async1
ip unnumbered Ethernet0
encapsulation ppp
async dynamic routing
async mode interactive (此模式可在終端方式和PPP方式切換)
peer default ip address pool default
ppp authentication pap
group-range 1 8
!
ip local pool default 202.100.99.2 202.100.99.254
ip classless
!
line con 0
line 1 8
autoselect ppp
login local (本機認證方式)
modem InOut
autocommand ppp
transport input all
stopbits 1
speed 115200
flowcontrol hardware
line vty 0 4
password cisco
login
!
end
此配置可以作為一個內部通信用的撥號訪問服務器的配置,它也是標准的Intranet配置,可以用各種撥號軟件如Windows 95的撥號網絡功能,連接內部的WWW等服務器。
