一、PAP認證協議(PasswordAuthenticationProtocol,口令認證協議):
PAP認證過程非常簡單,二次握手機制。
使用明文格式發送用戶名和密碼。
發起方為被認證方,可以做無限次的嘗試(暴力破解)。
只在鏈路建立的階段進行PAP認證,一旦鏈路建立成功將不再進行認證檢測。
目前在PPPOE撥號環境中用的比較常見。
PAP認證過程:
PAP認證過程圖
首先被認證方向主認證方發送認證請求(包含用戶名和密碼),主認證方接到認證請求,再根據被認證方發送來的用戶名去到自己的數據庫認證用戶名密碼是否正確,如果密碼正確,PAP認證通過,如果用戶名密碼錯誤,PAP認證未通過。
二、CHAP認證協議(ChallengeHandshakeAuthenticationProtocol,質詢握手認證協議)
CHAP認證過程比較復雜,三次握手機制。
使用密文格式發送CHAP認證信息。
由認證方發起CHAP認證,有效避免暴力破解。
在鏈路建立成功后具有再次認證檢測機制。
目前在企業網的遠程接入環境中用的比較常見。
CHAP認證過程:
CHAP認證第一步:主認證方發送挑戰信息【01(此報文為認證請求)、id(此認證的序列號)、隨機數據、主認證方認證用戶名】,被認證方接收到挑戰信息,根據接收到主認證方的認證用戶名到自己本地的數據庫中查找對應的密碼(如果沒有設密碼就用默認的密碼),查到密碼再結合主認證方發來的id和隨機數據根據MD5算法算出一個Hash值。
CHAP認證過程圖:
CHAP認證第二步:被認證方回復認證請求,認證請求里面包括【02(此報文為CHAP認證響應報文)、id(與認證請求中的id相同)、Hash值、被認證方的認證用戶名】,主認證方處理挑戰的響應信息,根據被認證方發來的認證用戶名,主認證方在本地數據庫中查找被認證方對應的密碼(口令)結合id找到先前保存的隨機數據和id根據MD5算法算出一個Hash值,與被認證方得到的Hash值做比較,如果一致,則認證通過,如果不一致,則認證不通過。
CHAP認證過程圖:
CHAP認證第三步:認證方告知被認證方認證是否通過。
CHAP認證過程圖:
CHAP認證和PAP認證的過程如上所述,這兩種認證協議都被PPP協議支持,大家可以搜索相關的內容輔助理解這兩個認證過程。