一 pap認證方式:被認證端發送認證端所配置的用戶名和密碼,認證端收到後進行比對,若用戶名和密碼相同則認證通過,反之則認證失敗。
特點:傳遞的的是用戶名和密碼,容易被截獲破解,非常不安全。但配置較簡單,原理簡單容易理解。
二 chap認證方式:
1.由認證端發起“挑戰報文”,包括了一個id,隨機數,主機名;
2.被認證端收到報文後,覈對報文中的主機名和本地數據庫中的用戶名,
若一致
則取出報文中的隨機數,id,然後再加上本地數據庫中的密碼三者進行hash計算,得到一個md5值,接着將主機名,收到的隨機數,id,以及該md5值一起發送給認證端;
3.認證端查看報文中的主機名和本地數據庫中的用戶名是否相同,
若相同,
則拿報文中的id,密碼和原先發送的隨機數(存在本地數據庫中)再次進行hash運算,將得到的md5值和收到的md5值進行比對,若相同,則認證通過。
特點:只在線路上傳送主機名(並不區分字母大小寫),而不傳遞密碼,而是由md5值作爲雙方密碼是否相同的判定,這種不可逆的算法,可保證即使中途被截獲,理論上也無法由此計算出密碼,大大增強了安全性。
幾個注意點:1.主機名並不用來進行hash值的計算;
2.id和隨機數在來回的過程中沒有發生改變,
3.採用隨機數,這就更加確保了安全性。因爲***者不可能使得id,隨機數和密碼同時被破解。
三 實驗驗證
被驗證方 驗證方
pap:
R1:
R1(config-if)#ppp pap sent-username R1 password cisco
R2:
R2(config)# username R1 password 0 cisco
R2(config-if)#ppp authentication pap
| |
\|/ \|/
“password”-->----<-------------------------
\|/
“md5值1”----------------
| |
\/ 比較是否相同,相同則認證通過。
“R1”“random”“ID”------------> |
| | "md5值2"-----
| | /\
\/ \/ |
---------------------------------<----"password"
此外chap還支持與aaa認證的結合,可修改發送的主機名和密碼,該實驗可另作研究。