PAP和CHAP协议区别-danforn-ChinaUnix博客

二元空间bluce.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

danforn

博客访问： 578344
博文数量： 146
博客积分： 5251
博客等级：大校
技术积分： 1767
用户组：普通用户
注册时间： 2006-11-10 15:58

文章分类

全部博文（146）

嵌入式开发（4）
Linux开发（8）
Linux Shell（2）
C C++（5）
Unix Linux资源库（2）
Linux System Adm（2）
Linux Distributi（2）

Gentoo（1）

Ubuntu（0）

SUSE（1）

Fedora Core（0）
Linux Network（68）

Network Protocol（13）

Network Security（2）

Network Manageme（11）

Network Developm（38）
Linux Device Dri（13）
Linux Kernel（39）
未分配的博文（1）

文章存档

2010年（12）

2008年（129）

2007年（5）

我的朋友

相关博文

PAP和CHAP协议区别

分类：系统运维

2008-11-07 17:30:45

1. 前言

PAP和CHAP协议是目前的在PPP(MODEM或ADSL拨号)中普遍使用的认证协议，CHAP在RFC1994中定义，是一种挑战响应式协议，双方共享的口令信息不用在通信中传输；PAP在RFC1334中定义，是一种简单的明文用户名/口令认证方式。
2. PAP

PAP全称为：Password Authentication Protocol（口令认证协议），是PPP中的基本认证协议。PAP就是普通的口令认证，要求将密钥信息在通信信道中明文传输，因此容易被sniffer监听而泄漏。

PAP协商选项格式：
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Authentication-Protocol |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

对于PAP，参数为：
Type = 3，Length = 4，Authentication-Protocol = 0xc023(PAP)

PAP数据包格式：

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Data ...
+-+-+-+-+

Code：1字节，表示PAP包的类型
1 认证请求
2 认证确认
3 认证失败

Identifier：ID号，1字节，辅助匹配请求和回应
Length：2字节，表示整个PAP数据的长度，包括Code, Identifier, Length和Data字段。
Data：可能是0字节或多个字节，具体格式由Code字段决定，成功或失败类型包中长度可能为0。

对于认证请求（Code = 1）类型，PAP包格式为：

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Peer-ID Length| Peer-Id ...
+-+-+-+-+-+-+-+-+-+-+-+-+
| Passwd-Length | Password ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+

Code（Code = 1）,Identifier和Length字段含义如前面所述，响应包的Identifier字段值和挑战包中的相同，Identifier字段必须每次认证时改变。

Peer-ID-Length：长度1个字节，表示Peer-ID域的长度
Peer-ID：可为0到多个字节长，表示认证对方的名称。
Passwd-Length：长度1个字节，表示Password域的长度
Password：可为0到多个字节长，表示认证的口令，明文

对于认证确认（Code = 2）和认证失败（Code = 3）类型，PAP包格式为：

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Msg-Length | Message ...
+-+-+-+-+-+-+-+-+-+-+-+-+-

其中：
Code,Identifier和Length字段含义如前面所述，响应包的Identifier字段值和认证请求包中的相同。
Msg-Length：长度1个字节，表示Message域的长度
Message：可为0到多个字节长，具体内容由应用实际实现时确定，RFC中没有限制其内容，推荐使用可读的ASCII字符表示信息内容。

3. CHAP
CHAP全称为：Challenge Handshake Authentication Protocol(挑战握手认证协议)，主要就是针对PPP的，除了在拨号开始时使用外，还可以在连接建立后的任何时刻使用。

CHAP协议基本过程是认证者先发送一个随机挑战信息给对方，接收方根据此挑战信息和共享的密钥信息，使用单向HASH函数计算出响应值，然后发送给认证者，认证者也进行相同的计算，验证自己的计算结果和接收到的结果是否一致，一致则认证通过，否则认证失败。这种认证方法的优点即在于密钥信息不需要在通信信道中发送，而且每次认证所交换的信息都不一样，可以很有效地避免监听攻击。

CHAP缺点：密钥必须是明文信息进行保存，而且不能防止中间人攻击。

使用CHAP的安全性除了本地密钥的安全性外，网络上的安全性在于挑战信息的长度、随机性和单向HASH算法的可靠性。

CHAP选项格式：
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Authentication-Protocol |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Algorithm |
+-+-+-+-+-+-+-+-+

对于CHAP，参数固定为：
Type = 3，Length = 5，Authentication-Protocol = 0xc223(CHAP)，Algorithm = 5 (MD5)

CHAP数据包格式：
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Data ...
+-+-+-+-+

Code：1字节，表示CHAP包的类型
1 挑战
2 响应
3 成功
4 失败

Identifier：ID号，1字节，辅助匹配挑战、响应和回答，每次使用CHAP时必须改变
Length：2字节，表示整个CHAP数据的长度，包括Code, Identifier, Length和Data字段。
Data：可能是0字节或多个字节，具体格式由Code字段决定，成功或失败类型包中长度可能为0

对于挑战（Code = 1）和响应（Code = 2）类型，CHAP包格式为
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Value-Size | Value ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Name ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

其中：
Code,Identifier和Length字段含义如前面所述，响应包的Identifier字段值和挑战包中的相同。
Value-Size：此字段1字节表示Value的长度
Value：至少是一个字节，可变长，按网络序传输，挑战/响应信息在此字段中说明，挑战信息必须是随机的，在每次认证时改变，挑战信息是由应用在实际实现中自己定义的，RFC中并没有规定挑战信息的具体格式；

响应值按下面的公式进行计算：
Response=HASH(Identifier+secret+Challenge)
其中“+”号表示将各数据在内存中串起来，其中HASH算法可以使用MD5，所以计算出来的HASH值是固定的，16字节长。

Name：至少一个字节，用来标志所传的这个包，必须是以'\0'或“\r\n”结束，Name字段的长度可根据Length和Value-Size计算出来。
对于成功（Code = 3）或失败（Code = 4）类型

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Message ...
+-+-+-+-+-+-+-+-+-+-+-+-+-

Code,Identifier和Length字段含义如前面所述，Identifier字段和挑战/响应信息一致。
Message可以是0字节，也可以是多个字节，内容可以根据实际应用自己确定。

阅读(2538) | 评论(0) | 转发(0) |

上一篇：h.323协议分析

下一篇：pptp内核空间的实现分析报告

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6