PPP 会话验证：PAP和CHAP有啥区别？两张神图总结完！

PAP 使用双向握手来验证客户端会话，而 CHAP 使用三次握手，两种身份验证过程都很常见，但只有一种更安全。

• PAP，英文全称Password Authentication Protocol，中文解释为密码验证协议
• CHAP，英文全称Challenge Handshake Authentication Protocol，中文解释为质询握手验证协议

两种验证协议都用于验证 PPP 会话，并且可以与许多 VPN 一起使用。

PAP 的工作方式类似于标准登录程序，远程系统使用静态用户名和密码组合对自身进行身份验证，密码可以通过已建立的加密隧道以提高安全性，但 PAP 会受到许多攻击，由于信息是静态的，很容易被密码猜测和窥探。

CHAP采用更复杂、更安全的身份验证方法，它通过生成随机字符串为每个身份验证创建一个唯一的质询短语。该质询短语使用单向散列函数与设备主机名相结合，通过此过程，CHAP 可以不通过网络发送静态机密信息的方式进行身份验证。

让我们更深入地了解 PAP 和 CHAP 之间的差异以及它们如何协同工作。

什么是 PAP？

在两种点对点协议 (PPP) 身份验证方法中，PAP 比较老，它在 1992 年通过 IEEE征求意见稿 1334进行了标准化。

PAP 是一种客户端-服务器、基于密码的身份验证协议，身份验证仅在会话建立过程开始时发生一次。

PAP 通过以下步骤使用双向握手过程进行身份验证。

步骤 1. 客户端向服务器发送用户名和密码。

希望与服务器建立 PPP 会话的客户端向服务器发送用户名和密码组合，这是通过身份验证请求数据包执行的。

步骤 2. 服务器接受凭据并进行验证。

如果服务器正在侦听身份验证请求，它将接受用户名和密码凭据并验证它们是否匹配。

如果凭据发送正确，服务器将向客户端发送一个认证确认响应数据包，然后服务器将在客户端和服务器之间建立 PPP 会话。

如果凭据发送不正确，服务器将向客户端发送一个 authentication-nak 响应数据包，服务器不会根据否定确认建立响应。

PAP 是一种简单的身份验证机制，易于实现，但它在实际环境中的使用存在严重缺陷。

最大的缺点是 PAP 以纯文本形式从客户端向服务器发送静态用户名和密码，如果不法分子使用数据包嗅探器等工具拦截了此通信，则他们可以代表客户端进行身份验证并建立 PPP 会话。

可以通过现有的加密隧道发送 PAP 身份验证请求，例如 CHAP。

下面将介绍一下 CHAP。

什么是 CHAP？

CHAP 使用三次握手过程来保护身份验证密码免受恶意攻击者的攻击，它的工作原理如下：

步骤 1. 客户端发起身份验证，服务器生成质询。

客户端通过向服务器发送“询问质询”来启动 CHAP 身份验证，服务器使用随机生成的质询字符串进行响应。

步骤 2. 客户端执行主机名查找。

客户端在服务器上执行主机名查找，并使用客户端和服务器都知道的密码来创建加密的单向哈希。

步骤 3. 服务器解密哈希并验证。

服务器将解密散列并验证它是否与初始质询字符串匹配，如果字符串匹配，则服务器以身份验证成功数据包进行响应；如果字符串不匹配，服务器将发送身份验证失败消息响应，并终止会话。

PAP 与 CHAP 之间有什么区别？

CHAP 于 1996 年问世，主要是为了应对 PAP 固有的身份验证弱点，CHAP 不使用双向握手，而是使用三次握手，并且不会通过网络发送密码。CHAP 使用加密散列，客户端和服务器都知道其共享密钥，这个额外的步骤有助于消除PAP 中发现的安全漏洞。

另一个区别是可以设置 CHAP 以进行重复的会话中身份验证，这对于某些远程设备已断开连接仍保持端口打开的 PPP 会话很有用，在这种情况下，其他人可以通过建立物理连接来在会话中获取连接。

一张表来总结一下它们的区别：

PAP 和 CHAP 如何协同工作？

PAP 和 CHAP 本身不能一起工作。

但是，如果需要，使用PAP或CHAP的协议可以与这两种身份验证方法交互。

例如，PPP可以使用PAP或CHAP进行身份验证。因此，管理员可以将通信协议配置为首先尝试通过CHAP的安全三方握手进行身份验证，然后返回到PAP中不太安全的双向身份验证过程。