两种 PPP 认证方式：PAP 和 CHAP，你知道区别吗？

前言

点个免费的赞和关注，有错误的地方请指出，看个人主页有惊喜。

作者：神的孩子都在歌唱

大家好，我是 神唱 ，最近开发过程中，我使用radius作为登录认证服务器，里面用到了 PAP 和 CHAP 两种认证协议。大家知道它们是什么意思? 区别是什么吗? 接下来 神唱 就带着你了解一下其中的原理。

在计算机网络中，PPP（Point-to-Point Protocol） 是一种常用的通信协议，用于通过点对点链路进行数据传输。为了确保连接的安全性，PPP 协议引入了认证机制。常见的 PPP 认证方式有两种：PAP（Password Authentication Protocol） 和 CHAP（Challenge Handshake Authentication Protocol）。它们都用于验证网络连接的用户身份，但各自的工作原理和安全性差异显著。

一. PAP

定义：PAP （Password Authentication Protocol）是一种简单的认证协议，用于通过用户名和密码验证用户身份。它是 点对点协议（PPP） 中的最基本的认证方式之一。

工作原理： PAP 在每次用户请求连接时，都会通过 明文方式 传输用户名和密码进行身份验证。每当用户尝试连接时，PPP 服务器会向客户端发送一个请求，客户端会将用户名和密码发送回服务器进行验证。

认证过程：

1. 客户端发送 用户名 和 密码 给 PPP 服务器。

2. 服务器验证用户名和密码的正确性。

3. 如果验证通过，连接建立；如果验证失败，连接被拒绝。

安全性： PAP 使用明文传输用户名和密码，不加密 数据。因此，它的安全性较差，容易受到 中间人攻击（MITM） 或 嗅探 等安全威胁。由于每次连接时都发送明文密码，PAP 很容易被恶意用户捕获和窃取。

应用场景：

• 适用于对安全性要求不高的环境，或者是用于简化配置的场合。

• 一些老旧的设备或较小的网络可能仍然使用 PAP 认证。

二. CHAP

定义：CHAP （Challenge Handshake Authentication Protocol） 是一种更为安全的认证协议，它通过 挑战-响应机制 验证用户身份，并且每次认证都使用不同的 随机数。与 PAP 不同，CHAP 不传输明文密码。

工作原理： CHAP 采用 三步认证流程，通过加密方式验证用户身份，且每次认证都会使用不同的 随机数 来增强安全性。

认证过程：

1. 服务器发起挑战：PPP 服务器向客户端发送一个随机数（称为挑战）。

2. 客户端响应：客户端将该挑战与自己存储的密码结合，通过加密算法（通常是 MD5）计算响应值。

3. 服务器验证：服务器接收到客户端的响应后，使用存储的密码进行相同的加密计算，验证响应值是否匹配。如果匹配，认证成功，连接建立；如果不匹配，则连接被拒绝。

安全性：

• CHAP 在认证过程中不会传输明文密码，而是将密码与随机数一起加密，增强了安全性。

• 由于每次认证都使用不同的随机数（挑战），即便攻击者截获了之前的认证数据，也无法重新使用它进行攻击。

• CHAP 具有较强的抗重放攻击能力和中间人攻击防护能力，远比 PAP 更为安全。

应用场景：

• 适用于对安全性要求较高的网络环境，尤其是在远程拨号、虚拟私人网络（VPN）、和其他需要防止数据嗅探的场合。

• 现代企业网络和 ISP（互联网服务提供商）普遍使用 CHAP 作为认证方式。

PAP 和 CHAP 的区别对比

作者：神的孩子都在歌唱 本人博客：https://blog.csdn.net/weixin_46654114 转载说明：务必注明来源，附带本人博客连接