基於挑戰/應答屬於密碼鑒別的一種。特定是密碼不在網絡上傳輸。該認證機制中認證者(服務器)每次向被認證者(客戶端)發送一個不同的”挑戰“字串,客戶端收到這個”挑戰“字串后,按照雙方事先協商好的方法應答。挑戰相當於咨詢,應答相當於回答。
(1)客戶端向服務器端發錯請求,要求進行身份驗證。
(2)服務器從數據庫中查找用戶名是否合法,若不合法則不做處理
(3)服務器產生一個“挑戰”隨機數,發給客戶端,作為”提問“。
(4)客戶端使用”用戶名“+H(以共享密鑰+挑戰) 做應答。
(5)服務器收到應答和自己計算的比較,相等則認證通過,反之則失敗。
(6)服務器挑戰客戶端成功還是失敗。
之后客戶端不定時發送認證請求。
http://blog.51cto.com/692344/1029615