chap认证

1. chap认证需要几次握手

CHAP认证过程
同PAP一样，CHAP认证可以在一方进行，即由一方认证另一方身份，也可以进行双向身份认证。这时，要求被认证的双方都要通过对方的认证程序，否则，无法建立二者之间的链路。我们以单方认证为例分析CHAP配置过程及诊断方法。
如图4所示。当双方都封装了PPP协议且要求进行CHAP身份认证，同时它们之间的链路在物理层已激活后，认证服务器会不停地发送身份认证要求直到身份认证成功。和PAP不同的是，这时认证服务器发送的是"挑战"字符串。
在图4中，当认证客户端（被认证一端）路由器RouterB发送了对"挑战"字符串的回应数据包后，认证服务器会按照摘要算法（MD5）验证对方的身份。如果正确，则身份认证成功，通信双方的链路最终成功建立。
如果被认证一端路由器RouterB发送了错误的"挑战"回应数据包，认证服务器将继续不断地发送身份认证要求直到收到正确的回应数据包为止。
3.2.2 CHAP认证服务器的配置
CHAP认证服务器的配置分为两个步骤：建立本地口令数据库、要求进行CHAP认证。
建立本地口令数据库
通过全局模式下的命令username username password password来为本地口令数据库添加记录。这里请注意，此处的username应该是对端路由器的名称，即routerb.如下所示：
RouterA（config）#username routerb password samepass
要求进行CHAP认证
这需要在相应接口配置模式下使用命令ppp authentication chap来完成。如下所示：
RouterA（config）#interface serial 0/0
RouterA（config-if）#ppp authentication chap
3.2.3 CHAP认证客户端的配置
CHAP认证客户端的配置只需要一个步骤（命令），即建立本地口令数据库。请注意，此处的username应该是对端路由器的名称，即routera，而口令应该和CHAP认证服务器口令数据库中的口令相同。如下所示。
RouterB（config-if）#username routera password samepass
3.2.4 CHAP的诊断
对于CHAP身份认证中出现的问题也可以利用debug ppp authentication命令进行诊断。如图5所示，它表明认证客户端发送的"挑战"回应数据包没有通过认证服务器的认证。
图6表明经过若干次认证要求后，认证服务器最终收到了认证客户端发送过来的正确的"挑战"回应数据包。此时，双方的链路将成功建立。
注意：
1、CHAP认证过程中，口令是大小写敏感的。
2、身份认证也可以双向进行，即互相认证。配置方法同单向认证类似，只不过需要将通信双方同时配置成为认证服务器和认证客户端。
3、口令数据库也可以存储在路由器以外的AAA或TACACS+服务器上。限于篇幅，此处不再赘述。
通信认证双方选择的认证方法可能不一样，如一方选择PAP，另一方选择CHAP，这时双方的认证协商将失败。为了避免身份认证协议过程中出现这样的失败，可以配置路由器使用两种认证方法。当第一种认证协商失败后，可以选择尝试用另一种身份认证方法。如下的命令配置路由器首先采用PAP身份认证方法。如果失败，再采用CHAP身份认证方法。
RouterA（config-if）#ppp authentication pap chap
如下的命令则相反，首先使用CHAP认证，协商失败后采用PAP认证。
RouterA（config-if）#ppp authentication chap pap

2. PPP认证和CHAP认证有什么区别

楼主概念搞混了，PPP是WAN的一种封装协议，为了实现不同设备间的通信。
PPP协议除了提供封装的统一还有一个功能就是提供认证服务
PPP协议有2中认证方式
1。PAP
2。CHAP
CHAP又叫挑战握手协议，由认证方提出挑战认证请求，被认证方发送用户名和密码的HASH值，认证方去匹配HASH值，如果相同，认证成功，不同则失败。

3. PAP认证和CHAP的区别

PAP认证和CHAP的区别如下

1 、认证过程不同

PAP是简单认证,明文传送,客户端直接发送包含用户名/口令的认证请求,服务器端处理并回应。

CHAP是加密认证,先由服务器端给客户端发送一个随机码challenge,客户端根据challenge对口令进行加密,然后把这个结果发送给服务器端.服务器端从数据库中取出口令，同样进行加密处理。最后比较加密的结果是否相同.如相同,则认证通过,向客户端发送认可消息。

2、安全性不同

PAP是简单二次握手身份验证协议,用户名和密码明文传送,安全性低。

CHAP是一种挑战响应式协议,三次握手身份验证,口令信息加密传送,安全性高。

(3)chap认证扩展阅读：

PAP 是 PPP 协议集中的一种链路控制协议，通过2次握手建立认证，对等结点持续重复发送 ID/ 密码（明文）给验证者。

CHAP通过三次握手验证被认证方的身份，在初始链路建立时完成，为了提高安全性，在链路建立之后周期性进行验证，目前在企业网的远程接入环境中用的比较常见。

PAP认证适用于可以使用明文密码模仿登录远程主机的环境。

CHAP是在网络物理连接后进行连接安全性验证的协议。它比PAP更加可靠。

4. PAP验证过程与CHAP验证过程不同的地方是什么

第一、pap验证时两次握手实现的。chap通过三次握手实现
第二、pap验证传送的是明文密码。chap在验证过程中密码被加密传送

5. CHAP:密码验证失败.

这很明显嘛，CHAP失败就是说你的调置解调器（本本内置的吧）与服务器连回接正常（物理连结）；而答PPPOE连接的时候进入网络层握手的时候验证不正确
原因应该是下面其中之一：
1，你输入密码与用户名错误（就比如adsl账号密码）
2，你输入对了，但数据传输出错（可能性极低）
3，服务器错误。
解决办法
1，输入正确的账号密码，
2，打电话给网络商让他们解决。

6. PAP认证和CHAP的区别是什么

PAP是简单认证,明文传送,客户端直接发送包含用户名/口令的认证请求,服务器端处理并回应.
而CHAP是加密认证,先由服务器端给客户端发送一个随机码challenge,客户端根据challenge对口令进行加密,算法是md5(password,challenge,ppp_id).然后把这个结果发送给服务器端.服务器端从数据库中取出口令password2,同样进行加密处理。md5(password2,challenge,ppp_id),最后比较加密的结果是否相同.如相同,则认证通过,向客户端发送认可消息。
GPRS设置中的PAP鉴权和CHAP鉴权有何区别分类:PAP和CHAP是目前的在PPP中普遍使用的认证协议
PAP是简单二次握手身份验证协议,用户名和密码明文传送,安全性低.PAP全称为：Password Authentication Protocol
CHAP是一种挑战响应式协议,三次握手身份验证,口令信息加密传送,安全性高. CHAP全称为：Challenge Handshake Authentication Protocol。

7. PPP CHAP认证的主认证方和被认证方中间传递的到底有些什么

CHAP认证时主认证方先发起的。 经过3次握手 顺序应该是这样： 1。主认证方向被认证方发送随机产生的报文和本端用户名发送给被认证端 2.被认证端收到请求后，根据此报文中的主认证端的用户名查找用户密码。如果找到和主认证端相同的用户名，就可以接受认证。然后MD5算法加密报文ID和用户表中主认证用户名的密码。加密后的密文和自己的用户名发送给主认证方。 3.主认证方接到以后，根据报文中被认证方的用户名，在自己用户数据库中查找有没有相同用户名和对应密码。如果有 同样用MD5加密报文ID和用户对应的密码。然后将加密的密文和被认证端发送过来密文比较。如果相同则通过认证 否则拒绝。

8. PAP和CHAP有什么区别各代表什么意思

GPRS设置中的PAP鉴权和CHAP鉴权有何区别分类:PAP和CHAP是目前的在PPP中普遍使用的认证协议
PAP是简单二次握手身份验证协议,用户名和密码明文传送,安全性低.PAP全称为：Password Authentication Protocol
CHAP是一种挑战响应式协议,三次握手身份验证,口令信息加密传送,安全性高. CHAP全称为：Challenge Handshake Authentication Protocol

希望能帮到你，请采纳，谢谢！
祝学习进步，天天开心！

9. ppp中的两个认证方式（pap和chap）有什么区别

PAP跟CHAP的作用都是来验证用户的帐号及密码，所以配置的时候就要有帐号及密码。
PAP会把明文送出来做验证，所以不安全。CHAP则是双方都把随机乱数+密码 透过 杂凑函数 来运算，所以网路上只会监看到杂凑函数的种类及随机乱数，不会看到密码，安全性很高。
网络文库有很详细的介绍。http://wenku..com/view/06cca1a20029bd64783e2c1b.html

10. CHAP验证的基本原理

MS-CHAP 身份验证方法ISA Server2004 支持 Microsoft 质询握手身份验证协议 (MS-CHAP)，也称作 MS-CHAP 版本1。-CHAP 是一种不可逆的、加密密码身份验证协议。质询握手过程的工作原因如下：

身份验证程序（即远程访问服务器或 Internet 身份验证服务 (IAS) 服务器），将质询发送给包含一个会话标识符和一个任意质询字符串的远程访问客户端。
远程访问客户端再发送一个包含用户名、不可逆加密的质询字符串、会话标识符以及密码的响应。
身份验证程序检查该响应，如果确定为有效，则用户的凭据通过身份验证。
如果使用 MS-CHAP 作为身份验证协议，则可以使用 Microsoft 点对点加密 (MPPE) 来加密通过 PPP 或 PPTP 连接发送的数据。

ISA 服务器也支持 MS-CHAP 版本2。与 MS-CHAP 相比，MS-CHAP 版本2 为远程访问连接提供更强的安全性。您应该考虑使用 MS-CHAP 版本2 而不是 MS-CHAP。

注意

MS-CHAP（版本1 和版本2）是 Microsoft(r) Windows Server(tm)2003 家族提供的唯一支持在身份验证过程中更改密码的身份验证协议。
如果将 MS-CHAP v1 用作身份验证协议，则当用户的密码超过 14 个字符时，便不能建立 40 位的加密连接。这既会影响拨号和虚拟专用网络 (VPN) 远程访问，也会影响按需的拨号连接。
有关设置身份验证方法的说明，请参阅配置 VPN 身份验证方法。

MS-CHAP 版本2
ISA 服务器支持 Microsoft 质询握手身份验证协议版本2 (MS-CHAP v2)，它为远程访问连接提供更强的安全性。

MS-CHAP v2 是一种单向加密密码，其相互身份验证过程的工作方式如下：

身份验证程序（即远程访问服务器或 Internet 身份验证服务 (IAS) 服务器），将质询发送给包含一个会话标识符和一个任意质询字符串的远程访问客户端。
远程访问客户端发送的响应包括：
用户名。
任意对等的质询字符串。
单向加密的已接收质询字符串、对等质询字符串、会话标识符以及用户密码。
身份验证程序检查来自客户端的响应，并发送回包含以下内容的响应：
连接尝试成功还是失败的指示。
基于以下内容且已通过身份验证的响应：发送的质询字符串、对等质询字符串、加密的客户端响应以及用户密码。
远程访问客户端再验证该身份验证响应，如果正确，则使用该连接。如果身份验证响应不正确，远程访问客户端将终止连接。