PAP と CHAP による同位認証

Solstice PPP には、RFC 1334 規定のパスワード認証プロトコル (PAP)、チャレンジハンドシェーク認証プロトコル (CHAP) による同位認証が実装されています。同位認証はオプションであり、リンク確立フェーズ時にネゴシエーションが行われます。

同位認証を可能にし使用する方法については、「PPP パス構成ファイル (ppp.conf) の編集」 を参照してください。

パスワード認証プロトコル (PAP)

パスワード認証プロトコル (PAP) は、リンクの確立時に簡単なパスワード認証を行います。これは強力な認証方法ではありません。パスワードは暗号化されないままリンク上で送信され、リンクしている間は不正なアクセスから保護される手段がないからです。

リンク確立フェーズ時にリンクの 1 つのエンドポイントが PAP 認証を要求した場合は、もう 1 つのエンドポイントは認識される有効な識別子とパスワードを返す必要があります。もう 1 つのエンドポイントが応答に失敗した場合や、識別子やパスワードが拒否された場合は、認証は失敗しリンクは切断されます。

PAP 認証は、2 つのリンクエンドポイントのいずれか一方が要求するか、または両方のエンドポイントが同時に要求します。両方が PAP 認証を要求した場合は、どちらも識別子とパスワードを交換します。両方のエンドポイントで認証が成功しないかぎり、リンクは切断されます。

チャレンジハンドシェーク認証プロトコル (CHAP)

チャレンジハンドシェーク認証プロトコル (CHAP) は、3 ウェイハンドシェークメカニズムに基づいたパスワード認証をリンク確立時に行います。この認証では、認証側とその同位者だけが知っている、リンク上で送信されない CHAP シークレットが使用されます。

リンクの 1 つのエンドポイントが CHAP 認証を要求するときには、CHAP シークレットに基づいて算出されるチャレンジ値が含まれるチャレンジメッセージを生成します。このチャレンジメッセージに対し、もう 1 つのエンドポイントは、受信したチャレンジ値に基づいて算出した応答値と共通シークレットを返す必要があります。このエンドポイントが応答に失敗した場合や、認証側の要求した値が返されなかった場合は、リンクが切断されます。

CHAP は PAP よりも強力な認証方法です。CHAP では、シークレットがリンクを通して送信されることはなく、リンクしている間は侵略から保護されます。したがって、PAP と CHAP の両方の認証を使用する場合は、CHAP 認証が最初に行われます。

CHAP 認証は、2 つのリンクエンドポイントのいずれかが要求するか、または両方が同時に要求します。両方が CHAP 認証を要求した場合は、どちらもチャレンジメッセージと応答メッセージを交換します。両方のエンドポイントで認証が成功しないかぎり、リンクは切断されます。