chap与pap的区别
chap与pap的区别
CHAP认证:取值为0,是一种三次握手认证,它采用密文方式传输用户名和密码。
PAP认证:取值为0x01,是一种两次握手认证,它采用明文方式传输用户名和密码。
CHAP认证方式才有REQ_CHALLENGE和ACK_CHALLENGE的交互步骤。
CHAP认证保密性较好,更为安全可靠。如果是基于安全性的考虑,建议采用该方式。
最常用的认证协议有口令验证协议(PAP)和挑战握手验证协议(CHAP)。
PAP 使用双向握手来验证客户端会话,而 CHAP 使用三次握手,两种身份验证过程都很常见,但只有一种更安全。
PAP,英文全称Password Authentication Protocol,中文解释为密码验证协议
CHAP,英文全称Challenge Handshake Authentication Protocol,中文解释为质询握手验证协议
两种验证协议都用于验证 PPP 会话,并且可以与许多 VPN 一起使用。
PAP 的工作方式类似于标准登录程序,远程系统使用静态用户名和密码组合对自身进行身份验证,密码可以通过已建立的加密隧道以提高安全性,但 PAP 会受到许多攻击,由于信息是静态的,很容易被密码猜测和窥探。
CHAP采用更复杂、更安全的身份验证方法,它通过生成随机字符串为每个身份验证创建一个唯一的质询短语。该质询短语使用单向散列函数与设备主机名相结合,通过此过程,CHAP 可以不通过网络发送静态机密信息的方式进行身份验证。
让我们更深入地了解 PAP 和 CHAP 之间的差异以及它们如何协同工作。
么是 PAP?
在两种点对点协议 (PPP) 身份验证方法中,PAP 比较老,它在 1992 年通过 IEEE征求意见稿 1334进行了标准化。
PAP 是一种客户端-服务器、基于密码的身份验证协议,身份验证仅在会话建立过程开始时发生一次。
PAP 通过以下步骤使用双向握手过程进行身份验证。
步骤 1. 客户端向服务器发送用户名和密码。
希望与服务器建立 PPP 会话的客户端向服务器发送用户名和密码组合,这是通过身份验证请求数据包执行的。
步骤 2. 服务器接受凭据并进行验证。
如果服务器正在侦听身份验证请求,它将接受用户名和密码凭据并验证它们是否匹配。
如果凭据发送正确,服务器将向客户端发送一个认证确认响应数据包,然后服务器将在客户端和服务器之间建立 PPP 会话。
如果凭据发送不正确,服务器将向客户端发送一个 authentication-nak 响应数据包,服务器不会根据否定确认建立响应。
PAP 是一种简单的身份验证机制,易于实现,但它在实际环境中的使用存在严重缺陷。
最大的缺点是 PAP 以纯文本形式从客户端向服务器发送静态用户名和密码,如果不法分子使用数据包嗅探器等工具拦截了此通信,则他们可以代表客户端进行身份验证并建立 PPP 会话。
可以通过现有的加密隧道发送 PAP 身份验证请求,例如 CHAP。
什么是 CHAP?
CHAP 使用三次握手过程来保护身份验证密码免受恶意攻击者的攻击,它的工作原理如下:
步骤 1. 客户端发起身份验证,服务器生成质询。
客户端通过向服务器发送“询问质询”来启动 CHAP 身份验证,服务器使用随机生成的质询字符串进行响应。
步骤 2. 客户端执行主机名查找。
客户端在服务器上执行主机名查找,并使用客户端和服务器都知道的密码来创建加密的单向哈希。
步骤 3. 服务器解密哈希并验证。
服务器将解密散列并验证它是否与初始质询字符串匹配,如果字符串匹配,则服务器以身份验证成功数据包进行响应;如果字符串不匹配,服务器将发送身份验证失败消息响应,并终止会话。
PAP 与 CHAP 之间有什么区别?
CHAP 于 1996 年问世,主要是为了应对 PAP 固有的身份验证弱点,CHAP 不使用双向握手,而是使用三次握手,并且不会通过网络发送密码。CHAP 使用加密散列,客户端和服务器都知道其共享密钥,这个额外的步骤有助于消除PAP 中发现的安全漏洞。
另一个区别是可以设置 CHAP 以进行重复的会话中身份验证,这对于某些远程设备已断开连接仍保持端口打开的 PPP 会话很有用,在这种情况下,其他人可以通过建立物理连接来在会话中获取连接。
一张表来总结一下它们的区别:
PAP | CHAP |
---|---|
认证时由用户发起 | 认证时由服务器发起 |
用户名、密码明文传送 | 用MD5算法加密传送 |
次数无限,直至认证成功或线路关闭为止 | 次数有限(一般为3次) |
认证通过后不再进行验证 | 认证通过后定时再验证 |
安全性低 | 安全性很高 |
PAP 和 CHAP 如何协同工作?
PAP 和 CHAP 本身不能一起工作。
但是,如果需要,使用PAP或CHAP的协议可以与这两种身份验证方法交互。
例如,PPP可以使用PAP或CHAP进行身份验证。因此,管理员可以将通信协议配置为首先尝试通过CHAP的安全三方握手进行身份验证,然后返回到PAP中不太安全的双向身份验证过程。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » chap与pap的区别
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm