pap认证

PAP认证过程非常简单，是二次握手机制，而CHAP认证过程比较复杂，是三次握手机制，

下面就让我们来看一下两种具体的认证过程。

AD：51CTO 网+ 第十二期沙龙：大话数据之美_如何用数据驱动用户体验

一、PAP认证协议（PasswordAuthenticationProtocol,口令认证协议）：

PAP认证过程非常简单，二次握手机制。

使用明文格式发送用户名和密码。

发起方为被认证方，可以做无限次的尝试（暴力破解）。

只在链路建立的阶段进行PAP认证，一旦链路建立成功将不再进行认证检测。

目前在PPPOE拨号环境中用的比较常见。

PAP认证过程：

PAP认证过程图

首先被认证方向主认证方发送认证请求（包含用户名和密码），主认证方接到认证请求，再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确，如果密码正确，PAP认证通过，如果用户名密码错误，PAP认证未通过。

二、CHAP认证协议（ChallengeHandshakeAuthenticationProtocol,质询握手认证协议）

CHAP认证过程比较复杂，三次握手机制。

使用密文格式发送CHAP认证信息。

由认证方发起CHAP认证，有效避免暴力破解。

在链路建立成功后具有再次认证检测机制。

目前在企业网的远程接入环境中用的比较常见。

CHAP认证第一步：主认证方发送挑战信息【01(此报文为认证请求）、id(此认证的序列号）、随机数据、主认证方认证用户名】，被认证方接收到挑战信息，根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码（如果没有设密码就用默认的密码），查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。

CHAP认证过程图：

CHAP认证第二步：被认证方回复认证请求，认证请求里面包括【02（此报文为CHAP认证响应报文）、id(与认证请求中的id相同）、Hash值、被认证方的认证用户名】，主认证方处理挑战的响应信息，根据被认证方发来的认证用户名，主认证方在本地数据库中查找被认证方对应的密码（口令）结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值，与被认证方得到的Hash值做比较，如果一致，则认证通过，如果不一致，则认证不通过。

CHAP认证过程图：

CHAP认证第三步：认证方告知被认证方认证是否通过。

CHAP认证和PAP认证的过程如上所述，这两种认证协议都被PPP协议支持，大家可以搜索相关的内容辅助理解这两个认证过程。

百度文库

2. 3新加坡党

3. 4马来西亚

1. 5化工产品

协议

编辑

（PAP：Password Authentication Protocol）

密码认证协议（PAP），是PPP 协议集中的一种链路控制协议，主要是通过使用2 次握手提供一种对等结点的建立认证的简单方法，这是建立在初始链路确定的基础上的。

完成链路建立阶段之后，对等结点持续重复发送ID/ 密码给验证者，直至认证得到响应或连接终止。

对等结点控制尝试的时间和频度。所以即使是更高效的认证方法（如CHAP），其实现都必须在PAP 之前提供有效的协商机制。

该认证方法适用于可以使用明文密码模仿登录远程主机的环境。在这种情况下，该方法提供了与常规用户登录远程主机相似的安全性。

协议结构

密码认证协议的配置选项格式：

8 16 32 bit

Type Length Authentication-Protocol

Type ― 3

Length ― 4

Authentication-Protocol ― C023（Hex）

PAP 数据包格式

8 16 32 bit variable

Code Identifier Length Data

Code ― Code 字段为8字节，用于识别PAP数据包类型。PAP Code 字段分配如下：1、Authenticate - Request；2、Authenticate - Ack；3、Authenticate-Nak。

Identifier ― Identifier 字段为8字节，用于匹配Request 和Reply。

Length ― Length 字段为16字节，表示PAP 数据包的长，包括Code、Identifier、Length 和Data 字段。Length 字段外的八位位组用作数据链路层间隙，且在接收方忽略。

Data ― Data 字段为0或更多字节。Data 字段格式取决于Code 字段。

配置

步骤一：配置路由器的IP地址。

基础配置省略，串行链路要记得配置时钟频率。

步骤二：将R1的s1接口改为ppp协议. 并配置双向身份验证

R1(config)#inter serial 0/3/0

R1(config-if)#encapsulation ppp

R1(config-if)#exit

R1(config)#hostname R1 //R1 将作为PPP 的用户名

R1(config)#username R2 password cisco

//配置本地用户名密码数据库。用于确认其它设备的身份。

R1(config)#interface serial 0/3/0

R1(config-if)#ppp authentication [chap|pap]

//指定采用chap的进行身份验证([chap|pap]是2选1)

步骤三：将R2的S0改为PPP协议，并配置身份验证

R2(config)#host R2

R2(config)#username R1 password cisco

R2(config)#interface serial 0

R2(config-if)#encapsulation ppp

R2(config-if)#ppp authentication [chap|pap]

步骤四：确认双方是否可以PING通。

步骤五：配置CHAP单向的身份验证,R2配置基础上添加一个新的用户

R2(config)#username wy password 123

步骤六：配置R1的PPP认证。

R1(config)#interface serial 1

R1(config-if)#encapsulation ppp

R1(config-if)#ppp chap hostnamewy //发送chap 的用户名

R1(config-if)#pppchappassword 123 //配置chap 的密码

R1(config-if)#exit

步骤七：确认双方是否可以PING通。

步骤八：配置PAP的单向的身份验证，在原先的配置基础上将R2改为pap的认证R2(config)#interface serial 0

R2(config-if)#encapsulation ppp

R2(config-if)#ppp authentication pap

R2(config-if)#exit

步骤九：配置R1的PPP认证

R1(config)#interface serial 1

R1(config-if)#encapsulation ppp

R1(config-if)#ppppapsent-username wy password 123 //发送pap 的用户名和密码步骤十：确认双方是否可以PING通。

排查命令

debug ppp negotiation-确定客户端是否可以通过PPP协商; 这是您检查地址协商的时候。