chap認證

1. chap認證需要幾次握手

CHAP認證過程
同PAP一樣，CHAP認證可以在一方進行，即由一方認證另一方身份，也可以進行雙向身份認證。這時，要求被認證的雙方都要通過對方的認證程序，否則，無法建立二者之間的鏈路。我們以單方認證為例分析CHAP配置過程及診斷方法。
如圖4所示。當雙方都封裝了PPP協議且要求進行CHAP身份認證，同時它們之間的鏈路在物理層已激活後，認證伺服器會不停地發送身份認證要求直到身份認證成功。和PAP不同的是，這時認證伺服器發送的是"挑戰"字元串。
在圖4中，當認證客戶端（被認證一端）路由器RouterB發送了對"挑戰"字元串的回應數據包後，認證伺服器會按照摘要演算法（MD5）驗證對方的身份。如果正確，則身份認證成功，通信雙方的鏈路最終成功建立。
如果被認證一端路由器RouterB發送了錯誤的"挑戰"回應數據包，認證伺服器將繼續不斷地發送身份認證要求直到收到正確的回應數據包為止。
3.2.2 CHAP認證伺服器的配置
CHAP認證伺服器的配置分為兩個步驟：建立本地口令資料庫、要求進行CHAP認證。
建立本地口令資料庫
通過全局模式下的命令username username password password來為本地口令資料庫添加記錄。這里請注意，此處的username應該是對端路由器的名稱，即routerb.如下所示：
RouterA（config）#username routerb password samepass
要求進行CHAP認證
這需要在相應介面配置模式下使用命令ppp authentication chap來完成。如下所示：
RouterA（config）#interface serial 0/0
RouterA（config-if）#ppp authentication chap
3.2.3 CHAP認證客戶端的配置
CHAP認證客戶端的配置只需要一個步驟（命令），即建立本地口令資料庫。請注意，此處的username應該是對端路由器的名稱，即routera，而口令應該和CHAP認證伺服器口令資料庫中的口令相同。如下所示。
RouterB（config-if）#username routera password samepass
3.2.4 CHAP的診斷
對於CHAP身份認證中出現的問題也可以利用debug ppp authentication命令進行診斷。如圖5所示，它表明認證客戶端發送的"挑戰"回應數據包沒有通過認證伺服器的認證。
圖6表明經過若干次認證要求後，認證伺服器最終收到了認證客戶端發送過來的正確的"挑戰"回應數據包。此時，雙方的鏈路將成功建立。
注意：
1、CHAP認證過程中，口令是大小寫敏感的。
2、身份認證也可以雙向進行，即互相認證。配置方法同單向認證類似，只不過需要將通信雙方同時配置成為認證伺服器和認證客戶端。
3、口令資料庫也可以存儲在路由器以外的AAA或TACACS+伺服器上。限於篇幅，此處不再贅述。
通信認證雙方選擇的認證方法可能不一樣，如一方選擇PAP，另一方選擇CHAP，這時雙方的認證協商將失敗。為了避免身份認證協議過程中出現這樣的失敗，可以配置路由器使用兩種認證方法。當第一種認證協商失敗後，可以選擇嘗試用另一種身份認證方法。如下的命令配置路由器首先採用PAP身份認證方法。如果失敗，再採用CHAP身份認證方法。
RouterA（config-if）#ppp authentication pap chap
如下的命令則相反，首先使用CHAP認證，協商失敗後採用PAP認證。
RouterA（config-if）#ppp authentication chap pap

2. PPP認證和CHAP認證有什麼區別

樓主概念搞混了，PPP是WAN的一種封裝協議，為了實現不同設備間的通信。
PPP協議除了提供封裝的統一還有一個功能就是提供認證服務
PPP協議有2中認證方式
1。PAP
2。CHAP
CHAP又叫挑戰握手協議，由認證方提出挑戰認證請求，被認證方發送用戶名和密碼的HASH值，認證方去匹配HASH值，如果相同，認證成功，不同則失敗。

3. PAP認證和CHAP的區別

PAP認證和CHAP的區別如下

1 、認證過程不同

PAP是簡單認證,明文傳送,客戶端直接發送包含用戶名/口令的認證請求,伺服器端處理並回應。

CHAP是加密認證,先由伺服器端給客戶端發送一個隨機碼challenge,客戶端根據challenge對口令進行加密,然後把這個結果發送給伺服器端.伺服器端從資料庫中取出口令，同樣進行加密處理。最後比較加密的結果是否相同.如相同,則認證通過,向客戶端發送認可消息。

2、安全性不同

PAP是簡單二次握手身份驗證協議,用戶名和密碼明文傳送,安全性低。

CHAP是一種挑戰響應式協議,三次握手身份驗證,口令信息加密傳送,安全性高。

(3)chap認證擴展閱讀：

PAP 是 PPP 協議集中的一種鏈路控制協議，通過2次握手建立認證，對等結點持續重復發送 ID/ 密碼（明文）給驗證者。

CHAP通過三次握手驗證被認證方的身份，在初始鏈路建立時完成，為了提高安全性，在鏈路建立之後周期性進行驗證，目前在企業網的遠程接入環境中用的比較常見。

PAP認證適用於可以使用明文密碼模仿登錄遠程主機的環境。

CHAP是在網路物理連接後進行連接安全性驗證的協議。它比PAP更加可靠。

4. PAP驗證過程與CHAP驗證過程不同的地方是什麼

第一、pap驗證時兩次握手實現的。chap通過三次握手實現
第二、pap驗證傳送的是明文密碼。chap在驗證過程中密碼被加密傳送

5. CHAP:密碼驗證失敗.

這很明顯嘛，CHAP失敗就是說你的調置解調器（本本內置的吧）與伺服器連回接正常（物理連結）；而答PPPOE連接的時候進入網路層握手的時候驗證不正確
原因應該是下面其中之一：
1，你輸入密碼與用戶名錯誤（就比如adsl賬號密碼）
2，你輸入對了，但數據傳輸出錯（可能性極低）
3，伺服器錯誤。
解決辦法
1，輸入正確的賬號密碼，
2，打電話給網路商讓他們解決。

6. PAP認證和CHAP的區別是什麼

PAP是簡單認證,明文傳送,客戶端直接發送包含用戶名/口令的認證請求,伺服器端處理並回應.
而CHAP是加密認證,先由伺服器端給客戶端發送一個隨機碼challenge,客戶端根據challenge對口令進行加密,演算法是md5(password,challenge,ppp_id).然後把這個結果發送給伺服器端.伺服器端從資料庫中取出口令password2,同樣進行加密處理。md5(password2,challenge,ppp_id),最後比較加密的結果是否相同.如相同,則認證通過,向客戶端發送認可消息。
GPRS設置中的PAP鑒權和CHAP鑒權有何區別分類:PAP和CHAP是目前的在PPP中普遍使用的認證協議
PAP是簡單二次握手身份驗證協議,用戶名和密碼明文傳送,安全性低.PAP全稱為：Password Authentication Protocol
CHAP是一種挑戰響應式協議,三次握手身份驗證,口令信息加密傳送,安全性高. CHAP全稱為：Challenge Handshake Authentication Protocol。

7. PPP CHAP認證的主認證方和被認證方中間傳遞的到底有些什麼

CHAP認證時主認證方先發起的。 經過3次握手 順序應該是這樣： 1。主認證方向被認證方發送隨機產生的報文和本端用戶名發送給被認證端 2.被認證端收到請求後，根據此報文中的主認證端的用戶名查找用戶密碼。如果找到和主認證端相同的用戶名，就可以接受認證。然後MD5演算法加密報文ID和用戶表中主認證用戶名的密碼。加密後的密文和自己的用戶名發送給主認證方。 3.主認證方接到以後，根據報文中被認證方的用戶名，在自己用戶資料庫中查找有沒有相同用戶名和對應密碼。如果有 同樣用MD5加密報文ID和用戶對應的密碼。然後將加密的密文和被認證端發送過來密文比較。如果相同則通過認證 否則拒絕。

8. PAP和CHAP有什麼區別各代表什麼意思

GPRS設置中的PAP鑒權和CHAP鑒權有何區別分類:PAP和CHAP是目前的在PPP中普遍使用的認證協議
PAP是簡單二次握手身份驗證協議,用戶名和密碼明文傳送,安全性低.PAP全稱為：Password Authentication Protocol
CHAP是一種挑戰響應式協議,三次握手身份驗證,口令信息加密傳送,安全性高. CHAP全稱為：Challenge Handshake Authentication Protocol

希望能幫到你，請採納，謝謝！
祝學習進步，天天開心！

9. ppp中的兩個認證方式（pap和chap）有什麼區別

PAP跟CHAP的作用都是來驗證用戶的帳號及密碼，所以配置的時候就要有帳號及密碼。
PAP會把明文送出來做驗證，所以不安全。CHAP則是雙方都把隨機亂數+密碼 透過 雜湊函數 來運算，所以網路上只會監看到雜湊函數的種類及隨機亂數，不會看到密碼，安全性很高。
網路文庫有很詳細的介紹。http://wenku..com/view/06cca1a20029bd64783e2c1b.html

10. CHAP驗證的基本原理

MS-CHAP 身份驗證方法ISA Server2004 支持 Microsoft 質詢握手身份驗證協議 (MS-CHAP)，也稱作 MS-CHAP 版本1。-CHAP 是一種不可逆的、加密密碼身份驗證協議。質詢握手過程的工作原因如下：

身份驗證程序（即遠程訪問伺服器或 Internet 身份驗證服務 (IAS) 伺服器），將質詢發送給包含一個會話標識符和一個任意質詢字元串的遠程訪問客戶端。
遠程訪問客戶端再發送一個包含用戶名、不可逆加密的質詢字元串、會話標識符以及密碼的響應。
身份驗證程序檢查該響應，如果確定為有效，則用戶的憑據通過身份驗證。
如果使用 MS-CHAP 作為身份驗證協議，則可以使用 Microsoft 點對點加密 (MPPE) 來加密通過 PPP 或 PPTP 連接發送的數據。

ISA 伺服器也支持 MS-CHAP 版本2。與 MS-CHAP 相比，MS-CHAP 版本2 為遠程訪問連接提供更強的安全性。您應該考慮使用 MS-CHAP 版本2 而不是 MS-CHAP。

注意

MS-CHAP（版本1 和版本2）是 Microsoft(r) Windows Server(tm)2003 家族提供的唯一支持在身份驗證過程中更改密碼的身份驗證協議。
如果將 MS-CHAP v1 用作身份驗證協議，則當用戶的密碼超過 14 個字元時，便不能建立 40 位的加密連接。這既會影響撥號和虛擬專用網路 (VPN) 遠程訪問，也會影響按需的撥號連接。
有關設置身份驗證方法的說明，請參閱配置 VPN 身份驗證方法。

MS-CHAP 版本2
ISA 伺服器支持 Microsoft 質詢握手身份驗證協議版本2 (MS-CHAP v2)，它為遠程訪問連接提供更強的安全性。

MS-CHAP v2 是一種單向加密密碼，其相互身份驗證過程的工作方式如下：

身份驗證程序（即遠程訪問伺服器或 Internet 身份驗證服務 (IAS) 伺服器），將質詢發送給包含一個會話標識符和一個任意質詢字元串的遠程訪問客戶端。
遠程訪問客戶端發送的響應包括：
用戶名。
任意對等的質詢字元串。
單向加密的已接收質詢字元串、對等質詢字元串、會話標識符以及用戶密碼。
身份驗證程序檢查來自客戶端的響應，並發送回包含以下內容的響應：
連接嘗試成功還是失敗的指示。
基於以下內容且已通過身份驗證的響應：發送的質詢字元串、對等質詢字元串、加密的客戶端響應以及用戶密碼。
遠程訪問客戶端再驗證該身份驗證響應，如果正確，則使用該連接。如果身份驗證響應不正確，遠程訪問客戶端將終止連接。