当前位置:首页 >> 工学 >>

CHAP协议


chap
求助编辑百科名片 求助编辑百科名片
CHAP 全称是 PPP(点对点协议)询问握手认证协议 (Challenge Handshake Authentication Protocol)。该协议可通过三次握手周期性的校验对端的身份, 可在初始链路建立时完成时,在链路建立之后重复进行。通过递增改变的标识符 和可变的询问值,可防止来自端点的重放攻击,限制暴露于单个攻击的时间。 目录
PPP 询问握手认证协议 协议结构 配置方法 故障排查命令 展开

编辑本段 PPP 询问握手认证协议
简述
询问握手认证协议(CHAP)通过三次握手周期性的校验对端的身份,在初始链路建立 时完成,可以在链路建立之后的任何时候重复进行。 1. 链路建立阶段结束之后,认证者向对端点发送“challenge”消息。 2. 对端点用经过单向哈希函数计算出来的值做应答。 3. 认证者根据它自己计算的哈希值来检查应答,如果值匹配,认证得到承认;否则, 连接应该终止。 4. 经过一定的随机间隔,认证者发送一个新的 challenge 给端点,重复步骤 1 到 3 。 通过递增改变的标识符和可变的询问值,CHAP 防止了来自端点的重放攻击,使用重复 校验可以限制暴露于单个攻击的时间。认证者控制验证频度和时间。

特性
该认证方法依赖于只有认证者和对端共享的密钥,密钥不是通过该链路发送的。 虽然该认证是单向的,但是在两个方向都进行 CHAP 协商,同一密钥可以很容易的实 现相互认证。 由于 CHAP 可以用在许多不同的系统认证中,因此可以用 NAME 字段作为索引,以便 在一张大型密钥表中查找正确的密钥,这样也可以在一个系统中支持多个 NAME/ 密钥对, 并可以在会话中随时改变密钥。

CHAP 要求密钥以明文形式存在,无法使用通常的不可回复加密口令数据库。 CHAP 在大型网络中不适用,因为每个可能的密钥由链路的两端共同维护。

编辑本段协议结构 编辑本段协议结构
CHAP 帧格式
CHAP 的配置选项格式如下: 8 16 32 40 bit Type Length Authentication-Protocol Algorithm Type ― 3 Length ― 5 Authentication-Protocol ― 对于 CHAP,为 C223(Hex) 。 Algorithm ― Algorithm 字段为八位字节,表示使用的认证方法。 CHAP 数据包结构如下所示: 8 16 32 bit Variable Code> Identifier Length Data . . . Code ― 识别 CHAP 数据包类型。 CHAP 代码具有以下几种: Challenge; Response; 1、 2、 3、Success;4、Failure。 Identifier ― 用于匹配 Challenges、Responses 和 Replies 信息。 Length ― CHAP 数据包的长度,包括 Code、Identifier、Length 和 Data 字段。 Data ― 0 或更多八位字节。该字段格式取决于 Code 字段。对于 Success 和 Failure, Data 字段包括一个独立执行的可变信息字段

CHAP 安全性能分析
应更强大的记忆式密码认证系统的需要——能适用在公共网络中。Intemet Engineering Task Force 公布了一个被称作“CHAP”的协议标准和使用指导。利用这一协议,专门设计的应 用程序和网络设备就可以发出密码写成的询问/应答对话,来确定彼此的身份。 对用户来说,CHAP 认证通常是自动的和一目了然的。事实上,CHAP 的主要作用不是进 行用户认证,而是主要用来帮助“黑匣子”进行信息传播。CHAP 在现代网关装置中比较常见, 例如路由器和一般服务器,它们在允许网络连接之前,都要询问和鉴定 CHAP 加密的记忆式 密码。 CHAP 认证几乎和所有的路由器以及一般服务器设备兼容,因此可以安装在几乎所有的 Intemet 网关上。 它也与大部分的 PPP 客户端软件兼容, 其中包括 Microsoft Windows 提供的 一些主流 PPP 客户端。然而,它与大多数的“legacy”应用不能兼容,其中包括绝大多数的主 机设备和微机的登录系统。 在 Internet 上传输时, CHAP 表现出了足够强大的抗攻击能力。 然而, CHAP 全自动 和 当 透明时, 它就不能够准确鉴别人类用户的身份了。 即使要求输入记忆式密码而且这个密码还 被 CHAP 加密,它也仍然存在被身后的人轻松窥视到的致命弱点。因 此,通常认可的计算 机操作在承认记忆式密码的地方也允许使用 CHAP 认证,同时可以在单独使用记忆式密码不 能满足网络暴露时使用 CHAP 认证。

然而,即使是最好的 CHAP 配置也不能够解决有关环境的物理安全和可接近性的所列问 题,因为使用记忆式密码时通常是不能远离身边其他电脑工作者的。

编辑本段配置方法 编辑本段配置方法

步骤一:配置路由器的 IP 地址。 基础配置省略,串行链路要记得配置时钟频率。 步骤二: R1 的 s1 接口改为 ppp 协议. 并配置双向 将 双向身份验证 R1(config)#inter serial 0/3/0 双向 R1(config-if)#encapsulation ppp R1(config-if)#exit R1(config)#hostname R1 //R1 将作为 PPP 的用户名 R1(config)#username R2 password cisco //配置本地用户名密码数据库。用于确认其它设备的身份。 R1(config)#interface serial 0/3/0 R1(config-if)#ppp authentication [ chap | pap ] //指定采用 chap 的进行身份验证 步骤三:将 R2 的 S0 改为 PPP 协议,并配置身份验证 R2(config)#host R2 R2(config)#username R1 password cisco R2(config)#interface serial 0 R2(config-if)#encapsulation ppp R2(config-if)#ppp authentication [ chap | pap ] 步骤四:确认双方是否可以 PING 通。 步骤五:配置 CHAP 单向的身份验证,R2 配置基 础上添加一个新的用户 R2(config)#username wy password 123 步骤六:配置 R1 的 PPP 认证。 R1(config)#interface serial 1 R1(config-if)#encapsulation ppp R1(config-if)#ppp chap hostname wy //发送 chap 的用户名 R1(config-if)#ppp chap password 123 //发送 chap 的密码 R1(config-if)#exit 步骤七:确认双方是否可以 PING 通。 步骤八:配置 PAP 的单向的身份验证,在原先 的配置基础上将 R2 改为 pap 的认证 R2(config)#interface serial 0 R2(config-if)#encapsulation ppp R2(config-if)#ppp authentication pap R2(config-if)#exit 步骤九:配置 R1 的 PPP 认证 R1(config)#interface serial 1 R1(config-if)#encapsulation ppp R1(config-if)#ppp pap sent-username wy password 123 //发送 pap 的用户名和密码 步骤十:确认双方是否可以 PING 通。

编辑本段故障排查命令 编辑本段故障排查命令

debug ppp negotiation -确定客户端是否可以通过 PPP 协商; 这是您检查地址协商的时 候。 debug ppp authentication -确定客户端是否可以通过验证。 如果您在使用 Cisco IOS 软件 版本 11.2 之前的一个版本,请发出 debug ppp chap 命令。 debug ppp error – 显示和 PPP 连接协商与操作相关的协议错误以及统计错误。 连接协商与操作相关的协议错误以及统计错误 错误。 debug aaa authentication -要确定在使用哪个方法进行验证(应该是 RADIUS, 除非 RADIUS 服务器发生故障),以及用户是否通过验证。 debug aaa authorization -要确定在使用哪个方法进行验证,并且用户是否通过验证。 debug aaa accounting -查看发送的记录。 debug radius -查看用户和服务器交换的属性。


相关文章:
CHAP协议.doc
CHAP协议 - chap 求助编辑百科名片 求助编辑百科名片 CHAP 全称是
认证方式pap chap协议解读.doc
认证方式pap chap协议解读 - 1. 前言 PAP 和 CHAP 协议是目
chap验证配置命令.doc
chap验证配置命令 - 实训: 实训:Chap 验证配置 要求:1、使用 RIP 协议使全网通信。 2、路由器间使用 PPP 协议chap 验证。 Ra: Router>en Route...
PAP和CHAP协议区别.doc
PAP和CHAP协议区别_计算机硬件及网络_IT/计算机_专业资料。PAP和CHAP协议区别 各自有缺点 PAP 和 CHAP 协议区别以及 mschap-v1 和 mschap-v2 的区别 PAP 和 ...
PPP协议的PAP和CHAP认证_图文.doc
PPP协议的PAP和CHAP认证 - PPP 协议的 PAP 和 CHAP 认证 实验人: 实验名称:PPP 协议的 PAP 和 CHAP 认证 实验目的:掌握 PPP 协议的 PAP 和 CH...
抓PPP(PAPCHAP)包及协议分析基础_图文.doc
抓PPP(PAPCHAP)包及协议分析基础 - 福建工程学院国脉信息学院实验指导书 实验一 抓 PPP(PAP/CHAP)包及协议分析基础 一、 实验目的 1、掌握抓包软件 Wireshark...
PPP验证协议pap chap.pdf
PPP验证协议pap chap - 许多解释不全容易让人误解,本人查阅资料总结了
一个CHAP认证协议的改进方案.pdf
一个CHAP认证协议的改进方案 - 对CHAP(Chaallenge Handshake Authentication ProtocoI)协议进行阐述和安全性分析,针对其存在服务器欺骗、插入信道...
PPP PAP CHAP 封装协议 配置命令.doc
PPP PAP CHAP 封装协议 配置命令 - 通过独臂路由实现 Vlan 之
任务3 广域网协议PPP(CHAP和PAP认证)的配置.ppt
任务3 广域网协议PPP(CHAP和PAP认证)的配置_计算机硬件及网络_IT/计算机_专业资料。任务3广域网协议PPP(...
实验27 PPP协议CHAP验证.doc
实验27 PPP协议CHAP验证 - 思科学者的需要,华三学者的参考... 询问握手验证协议 带格式的: 字体: 小二 格式 的 实验内容:PPP 协议CHAP 验证 实验目的:了解 ...
实验16 点对点PPP协议CHAP认证.pdf
实验16 点对点PPP协议CHAP认证 - 湖北工业大学计算机学院李红老师版权所有。... 了解点对点协议(PPP)的工作原理 点对点 PPP 协议 CHAP 认证 ? 掌握 PPP 协议两种认证...
CHAP验证过程及单双向验证.doc
CHAP验证过程及单双向验证_IT/计算机_专业资料。挑战式握手验证协议CHAP验证过程及单双向验证。 CHAP 验证过程及单双向验证 CHAP 过程 说明,这是一个单向挑战验证...
pap和chap认证.doc
pap和chap认证 - PAP认证和CHAP认证概述 一、PAP认证协议(PasswordAuthenticationProtocol,口令认证协议): PAP认证过程非常简单,二次握手机制。...
Chap05-应用协议的实现.pdf
第五章 应用协议的实现 第五章 应用协议的实现 5.1 概述 5.2 应用协议规范 5.3 SMTP通信协议 5.4 POP3通信协议 5.5 FTP协议 5.6 HTTP协议 5.7 统一资源...
PPP会话建立过程及CHAP验证过程.doc
PPP 会话建立过程 PSTN/ISTN ROUTER-A ROUTER-B 链路的建立和配置协调阶段 可选的验证阶段,选择 PAP 或者 CHAP 网络层协议配置协商阶段 会话建立大体需要以下三...
pap和chap认证_图文.doc
pap和chap认证 - 云南师范大学信息学院 实验报告 学号:14432050
点对点协议(PPP)-PAP CHAP_图文.ppt
点对点协议(PPP)-PAP CHAP - 学习情境三:广域网的接入与安全控制 子情境一 点对点协议(PPP) 项目准备:分组 实施流程 学习情境 用户需求 需求分析 培养目标 知....
PPP-CHAP原理与配置.doc
PPP-CHAP原理与配置 - 1 点到点协议(Point to Point P
chap 认证过程.doc
chap 认证过程 - PPP 中的 CHAP 认证过程详解 PPP 为 point to point protocol,点对点协议。 是在串行链路上的一种封装方式。 整个过程有一个重要阶段, ...