PAP 使用双向握手来验证客户端会话，而 CHAP 使用三次握手，两种身份验证过程都很常见，但只有一种更安全。

两种验证协议都用于验证 PPP 会话，并且可以与许多 VPN 一起使用。

PAP 的工作方式类似于标准登录程序，远程系统使用静态用户名和密码组合对自身进行身份验证，密码可以通过已建立的加密隧道以提高安全性，但 PAP 会受到许多攻击，由于信息是静态的，很容易被密码猜测和窥探。

CHAP采用更复杂、更安全的身份验证方法，它通过生成随机字符串为每个身份验证创建一个唯一的质询短语。该质询短语使用单向散列函数与设备主机名相结合，通过此过程，CHAP 可以不通过网络发送静态机密信息的方式进行身份验证。

让我们更深入地了解 PAP 和 CHAP 之间的差异以及它们如何协同工作。

在两种点对点协议 (PPP) 身份验证方法中，PAP 比较老，它在 1992 年通过 IEEE征求意见稿 1334进行了标准化。

PAP 是一种客户端-服务器、基于密码的身份验证协议，身份验证仅在会话建立过程开始时发生一次。

PAP 通过以下步骤使用双向握手过程进行身份验证。

希望与服务器建立 PPP 会话的客户端向服务器发送用户名和密码组合，这是通过身份验证请求数据包执行的。

如果服务器正在侦听身份验证请求，它将接受用户名和密码凭据并验证它们是否匹配。

如果凭据发送正确，服务器将向客户端发送一个认证确认响应数据包，然后服务器将在客户端和服务器之间建立 PPP 会话。

如果凭据发送不正确，服务器将向客户端发送一个 authentication-nak 响应数据包，服务器不会根据否定确认建立响应。

PAP 是一种简单的身份验证机制，易于实现，但它在实际环境中的使用存在严重缺陷。

最大的缺点是 PAP 以纯文本形式从客户端向服务器发送静态用户名和密码，如果不法分子使用数据包嗅探器等工具拦截了此通信，则他们可以代表客户端进行身份验证并建立 PPP 会话。

可以通过现有的加密隧道发送 PAP 身份验证请求，例如 CHAP。

下面将介绍一下 CHAP。

CHAP 使用三次握手过程来保护身份验证密码免受恶意攻击者的攻击，它的工作原理如下：

客户端通过向服务器发送“询问质询”来启动 CHAP 身份验证，服务器使用随机生成的质询字符串进行响应。

客户端在服务器上执行主机名查找，并使用客户端和服务器都知道的密码来创建加密的单向哈希。

服务器将解密散列并验证它是否与初始质询字符串匹配，如果字符串匹配，则服务器以身份验证成功数据包进行响应；如果字符串不匹配，服务器将发送身份验证失败消息响应，并终止会话。

CHAP 于 1996 年问世，主要是为了应对 PAP 固有的身份验证弱点，CHAP 不使用双向握手，而是使用三次握手，并且不会通过网络发送密码。CHAP 使用加密散列，客户端和服务器都知道其共享密钥，这个额外的步骤有助于消除PAP 中发现的安全漏洞。

另一个区别是可以设置 CHAP 以进行重复的会话中身份验证，这对于某些远程设备已断开连接仍保持端口打开的 PPP 会话很有用，在这种情况下，其他人可以通过建立物理连接来在会话中获取连接。

一张表来总结一下它们的区别：

PAP

CHAP

认证时由用户发起

认证时由服务器发起

用户名、密码明文传送

用MD5算法加密传送

次数无限，直至认证成功或线路关闭为止

次数有限(一般为3次)

认证通过后不再进行验证

认证通过后定时再验证

安全性低

安全性很高

PAP 和 CHAP 本身不能一起工作。

但是，如果需要，使用PAP或CHAP的协议可以与这两种身份验证方法交互。

例如，PPP可以使用PAP或CHAP进行身份验证。因此，管理员可以将通信协议配置为首先尝试通过CHAP的安全三方握手进行身份验证，然后返回到PAP中不太安全的双向身份验证过程。