PAP:(Password Authentication Protocol)密码认证协议,是 PPP 协议集中的一种链路控制协议,主要是通过使用 2 次握手提供一种对等结点的建立认证的简单方法,这是建立在初始链路确定的基础上的。
PAP认证方式:
(1)完成链路连接阶段之后,被验证方(发起通信的一方)将自己的用户名和口令发送给验证者。
(2) 认证端检查是否有此用户和口令是否正确,正确则返回一个ACK报文,验证成功进入下一阶段。
CHAP:挑战握手认证协议 (Challenge Handshake Authentication Protocol),是 PPP 协议集中的一种链路控制协议,在网络物理连接后进行连接安全性验证的协议。通过三次握手周期性的校验对端的身份,在初始链路建立时完成,可以在链路建立之后的任何时候重复进行,它比PAP更加可靠。
CHAP认证方式:
(1)链路建立阶段结束之后,认证者向对端发送“challenge”和用户名信息
(2)对端收到“challenge”后使用之前双发协商好的一种算法(哈希算法)生成应答后送回。
(3)认证者收到应答后将和本端通过哈希算法计算的结果进行检查,如果匹配则认证成功,否则终止连接。
注意:
(1)PPP两端双方向的鉴权方式可以不同,即A端为B端鉴权时使用PAP方式,而同时B端使用CHAP方式为A端鉴权。
(2)CHAP比RAP更安全,因为RAP在线路上发送明文密码,CHAP发送的是经过算法加工后的随机序列,而且即使是双方通信过程中身份验证也能随时进行,就算某次密码被破解,短时间内也会更新。