PPP 会话验证:PAP和CHAP有啥区别?两张神图总结完! |
您所在的位置:网站首页 › ppep和ppap的区别 › PPP 会话验证:PAP和CHAP有啥区别?两张神图总结完! |
PAP 使用双向握手来验证客户端会话,而 CHAP 使用三次握手,两种身份验证过程都很常见,但只有一种更安全。 PAP,英文全称Password Authentication Protocol,中文解释为密码验证协议CHAP,英文全称Challenge Handshake Authentication Protocol,中文解释为质询握手验证协议两种验证协议都用于验证 PPP 会话,并且可以与许多 VPN 一起使用。 PAP 的工作方式类似于标准登录程序,远程系统使用静态用户名和密码组合对自身进行身份验证,密码可以通过已建立的加密隧道以提高安全性,但 PAP 会受到许多攻击,由于信息是静态的,很容易被密码猜测和窥探。 CHAP采用更复杂、更安全的身份验证方法,它通过生成随机字符串为每个身份验证创建一个唯一的质询短语。该质询短语使用单向散列函数与设备主机名相结合,通过此过程,CHAP 可以不通过网络发送静态机密信息的方式进行身份验证。 让我们更深入地了解 PAP 和 CHAP 之间的差异以及它们如何协同工作。 什么是 PAP?在两种点对点协议 (PPP) 身份验证方法中,PAP 比较老,它在 1992 年通过 IEEE征求意见稿 1334进行了标准化。 PAP 是一种客户端-服务器、基于密码的身份验证协议,身份验证仅在会话建立过程开始时发生一次。 PAP 通过以下步骤使用双向握手过程进行身份验证。 ![]() 希望与服务器建立 PPP 会话的客户端向服务器发送用户名和密码组合,这是通过身份验证请求数据包执行的。 步骤 2. 服务器接受凭据并进行验证。如果服务器正在侦听身份验证请求,它将接受用户名和密码凭据并验证它们是否匹配。 如果凭据发送正确,服务器将向客户端发送一个认证确认响应数据包,然后服务器将在客户端和服务器之间建立 PPP 会话。 如果凭据发送不正确,服务器将向客户端发送一个 authentication-nak 响应数据包,服务器不会根据否定确认建立响应。 PAP 是一种简单的身份验证机制,易于实现,但它在实际环境中的使用存在严重缺陷。 最大的缺点是 PAP 以纯文本形式从客户端向服务器发送静态用户名和密码,如果不法分子使用数据包嗅探器等工具拦截了此通信,则他们可以代表客户端进行身份验证并建立 PPP 会话。 可以通过现有的加密隧道发送 PAP 身份验证请求,例如 CHAP。 下面将介绍一下 CHAP。 什么是 CHAP?CHAP 使用三次握手过程来保护身份验证密码免受恶意攻击者的攻击,它的工作原理如下: ![]() 客户端通过向服务器发送“询问质询”来启动 CHAP 身份验证,服务器使用随机生成的质询字符串进行响应。 步骤 2. 客户端执行主机名查找。客户端在服务器上执行主机名查找,并使用客户端和服务器都知道的密码来创建加密的单向哈希。 步骤 3. 服务器解密哈希并验证。服务器将解密散列并验证它是否与初始质询字符串匹配,如果字符串匹配,则服务器以身份验证成功数据包进行响应;如果字符串不匹配,服务器将发送身份验证失败消息响应,并终止会话。 PAP 与 CHAP 之间有什么区别?CHAP 于 1996 年问世,主要是为了应对 PAP 固有的身份验证弱点,CHAP 不使用双向握手,而是使用三次握手,并且不会通过网络发送密码。CHAP 使用加密散列,客户端和服务器都知道其共享密钥,这个额外的步骤有助于消除PAP 中发现的安全漏洞。 另一个区别是可以设置 CHAP 以进行重复的会话中身份验证,这对于某些远程设备已断开连接仍保持端口打开的 PPP 会话很有用,在这种情况下,其他人可以通过建立物理连接来在会话中获取连接。 一张表来总结一下它们的区别: PAP CHAP 认证时由用户发起 认证时由服务器发起 用户名、密码明文传送 用MD5算法加密传送 次数无限,直至认证成功或线路关闭为止 次数有限(一般为3次) 认证通过后不再进行验证 认证通过后定时再验证 安全性低 安全性很高 PAP 和 CHAP 如何协同工作?PAP 和 CHAP 本身不能一起工作。 但是,如果需要,使用PAP或CHAP的协议可以与这两种身份验证方法交互。 例如,PPP可以使用PAP或CHAP进行身份验证。因此,管理员可以将通信协议配置为首先尝试通过CHAP的安全三方握手进行身份验证,然后返回到PAP中不太安全的双向身份验证过程。 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |