ppp和chap的区别

最新推荐文章于 2024-04-11 06:00:00 发布

weixin_34379433

最新推荐文章于 2024-04-11 06:00:00 发布

阅读量1k

点赞数

原文链接：http://blog.51cto.com/1006711/533668

版权

PAP和CHAP协议是目前的在PPP(MODEM或ADSL拨号)中普遍使用的认证协议，CHAP在RFC1994中定义，是一种挑战响应式协议，双方共享的口令信息不用在通信中传输；PAP在RFC1334中定义，是一种简单的明文用户名/口令认证方式。

2. PAP

PAP全称为：Password Authentication Protocol（口令认证协议），是PPP中的基本认证协议。PAP就是普通的口令认证，要求将密钥信息在通信信道中明文传输，因此容易被sniffer监听而泄漏。

PAP协商选项格式：

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Authentication-Protocol |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

对于PAP，参数为：
Type = 3，Length = 4，Authentication-Protocol = 0xc023(PAP)

PAP数据包格式：

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Data ...
+-+-+-+-+

Code：1字节，表示PAP包的类型

1 认证请求
2 认证确认
3 认证失败

Identifier：ID号，1字节，辅助匹配请求和回应

Length：2字节，表示整个PAP数据的长度，包括Code, Identifier, Length和

Data字段。

Data：可能是0字节或多个字节，具体格式由Code字段决定，成功或失败类型包中长

度可能为0。

对于认证请求（Code = 1）类型，PAP包格式为：

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Peer-ID Length| Peer-Id ...
+-+-+-+-+-+-+-+-+-+-+-+-+
| Passwd-Length | Password ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+

Code（Code = 1）,Identifier和Length字段含义如前面所述，响应包的Identifier字段值和挑战包中的相同，Identifier字段必须每次认证时改变。

Peer-ID-Length：长度1个字节，表示Peer-ID域的长度

Peer-ID：可为0到多个字节长，表示认证对方的名称。

Passwd-Length：长度1个字节，表示Password域的长度

Password：可为0到多个字节长，表示认证的口令，明文

对于认证确认（Code = 2）和认证失败（Code = 3）类型，PAP包格式为：

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Msg-Length | Message ...
+-+-+-+-+-+-+-+-+-+-+-+-+-

其中：

Code,Identifier和Length字段含义如前面所述，响应包的Identifier字段值和认证请求包中的相同。

Msg-Length：长度1个字节，表示Message域的长度

Message：可为0到多个字节长，具体内容由应用实际实现时确定，RFC中没有限制其

内容，推荐使用可读的ASCII字符表示信息内容。

3. CHAP

CHAP全称为：Challenge Handshake Authentication Protocol(挑战握手认证协议)，主要就是针对PPP的，除了在拨号开始时使用外，还可以在连接建立后的任何时刻使用。

CHAP协议基本过程是认证者先发送一个随机挑战信息给对方，接收方根据此挑战信息和共享的密钥信息，使用单向HASH函数计算出响应值，然后发送给认证者，认证者也进行相同的计算，验证自己的计算结果和接收到的结果是否一致，一致则认证通过，否则认证失败。这种认证方法的优点即在于密钥信息不需要在通信信道中发送，而且每次认证所交换的信息都不一样，可以很有效地避免监听***。

CHAP缺点：密钥必须是明文信息进行保存，而且不能防止中间人***。

使用CHAP的安全性除了本地密钥的安全性外，网络上的安全性在于挑战信息的长度、随机性和单向HASH算法的可靠性。

CHAP选项格式：

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Authentication-Protocol |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Algorithm |
+-+-+-+-+-+-+-+-+

对于CHAP，参数固定为：

Type = 3，Length = 5，Authentication-Protocol = 0xc223(CHAP)，Algorithm = 5 (MD5)

CHAP数据包格式：

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Data ...
+-+-+-+-+

Code：1字节，表示CHAP包的类型

1 挑战
2 响应
3 成功
4 失败

Identifier：ID号，1字节，辅助匹配挑战、响应和回答，每次使用CHAP时必须改变

Length：2字节，表示整个CHAP数据的长度，包括Code, Identifier, Length和

Data字段。

Data：可能是0字节或多个字节，具体格式由Code字段决定，成功或失败类型包中长度

可能为0

对于挑战（Code = 1）和响应（Code = 2）类型，CHAP包格式为

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Value-Size | Value ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Name ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

其中：

Code,Identifier和Length字段含义如前面所述，响应包的Identifier字段值和挑战包中的相同。

Value-Size：此字段1字节表示Value的长度

Value：至少是一个字节，可变长，按网络序传输，挑战/响应信息在此字段中说明，

挑战信息必须是随机的，在每次认证时改变，挑战信息是由应用在实际实现

中自己定义的，RFC中并没有规定挑战信息的具体格式；

响应值按下面的公式进行计算：

Response=HASH(Identifier+secret+Challenge)

其中“+”号表示将各数据在内存中串起来，其中HASH算法可以使用MD5，所以计算出来的HASH值是固定的，16字节长。

Name：至少一个字节，用来标志所传的这个包，必须是以'\0'或“\r\n”结束，

Name字段的长度可根据Length和Value-Size计算出来。

对于成功（Code = 3）或失败（Code = 4）类型

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Message ...
+-+-+-+-+-+-+-+-+-+-+-+-+-

Code,Identifier和Length字段含义如前面所述，Identifier字段和挑战/响应信息一致。

Message可以是0字节，也可以是多个字节，内容可以根据实际应用自己确定。

4. 结语

PAP和CHAP在目前的PPP应用中都在使用，CHAP相对要复杂一些，但安全性也高一些。在PPP具体实现中通常是同时使用，在Linux下PPP的实现中，如果服务器要求的PAP认证失败，会再次要求用CHAP认证。

转载于:https://blog.51cto.com/1006711/533668

weixin_34379433

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
ppp和chap的区别

PAP和CHAP协议是目前的在PPP(MODEM或ADSL拨号)中普遍使用的认证协议，CHAP在RFC1994中定义，是一种挑战响应式协议，双方共享的口令信息不用在通信中传输；PAP在RFC1334中定义，是一种简单的明文用户名/口令认证方式。2. PAPPAP全称为：Password Authentication Protocol（口令认证协议），是PP...
复制链接

扫一扫