PAP和CHAP协议区别.doc

PAP和CHAP协议区别以及mschap-v1和mschap-v2的区别 PAP和CHAP协议区别PAP全称为：Password Authentication Protocol（口令认证协议），是PPP中的基本认证协议。PAP就是普通的口令认证，要求将密钥信息在通信信道中明文传输，因此容易被sniffer监听而泄漏。CHAP全称为：Challenge Handshake Authentication Protocol(挑战握手认证协议)，主要就是针对PPP的，除了在拨号开始时使用外，还可以在连接建立后的任何时刻使用。CHAP协议基本过程是认证者先发送一个随机挑战信息给对方，接收方根据此挑战信息和共享的密钥信息，使用单向HASH函数计算出响应值，然后发送给认证者，认证者也进行相同的计算，验证自己的计算结果和接收到的结果是否一致，一致则认证通过，否则认证失败。这种认证方法的优点即在于密钥信息不需要在通信信道中发送，而且每次认证所交换的信息都不一样，可以很有效地避免监听攻击。CHAP缺点：密钥必须是明文信息进行保存，而且不能防止中间人攻击。使用CHAP的安全性除了本地密钥的安全性外，网络上的安全性在于挑战信息的长度、随机性和单向HASH算法的可靠性。常用的chap几个chap认证方式（chap,mschap-v1,maschap-v2）的区别：mschap-v1微软版本的CHAP，和CHAP基本上一样。认证后支持MPPE，安全性要较CHAP好一点。maschap-v2微软版本的CHAP第二版，它提供了双向身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。优点：双向加密、双向认证、安全性高。 VPN身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP) .2010-01-10 17:11 624人阅读 评论(0) 收藏 举报 身份认证技术是VPN网络安全的第一道关卡。对于身份认证，是由身份认证协议来完成的。首先让大家对VPN的身份认证协议有一个感观的认知，把实践和理论结合起来。 1、PAP：密码认证协议客户端直接发送包含用户名/口令的认证请求，服务器端处理并作回应。优点：简单。缺点：明文传送，极容易被窃听。2、SPAP：Shiva密码验证协议Shiva公司开发，是一种受Shiva远程访问服务器支持的简单加密密码的身份验证协议。优点：安全性较PAP好。缺点：单向加密、单向认证，虽然是对密码进行加密，但还是会被破解，安全性差，通过认证后不支持Microsoft点对点加密(MPPE)。3、CHAP：挑战握手协议先由服务器端给客户端发送一个随机码challenge，客户端根据challenge，对自己掌握的口令、challenge、会话ID进行单向散例,即md5(password1,challenge,ppp_id)，然后把这个结果发送给服务器端。服务器端从数据库中取出库存口令password2,进行同样的算法，即md5(password2,challenge,ppp_id),最后，比较加密的结果是否相同。如相同,则认证通过。优点：安全性较SPAP有了很大改进，不用将密码发送到网络上。缺点：安全性还不够强健，但也不错、单向加密、单向认证、通过认证后不支持Microsoft点对点加密(MPPE)。4、MS-CHAP微软版本的CHAP，和CHAP基本上一样，区别我也不太清楚。认证后支持MPPE，安全性要较CHAP好一点。5、MS-CHAP V2微软版本的CHAP第二版，它提供了双向身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。优点：双向加密、双向认证、安全性相当高。缺点：不太清楚。6、EAP：可扩展的认证协议EAP可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。最安全的认证方法就是和智能卡一起使用的“可扩展身份验证协议传输层安全协议”，即EAP-TLS认证。优点：安全性最好。缺点：需要PKI（公钥基础设施）