PAP全称为：Password Authentication Protocol（口令认证协议），是PPP中的基本认证协议。PAP就是普通的口令认证，要求将密钥信息在通信信道中明文传输，因此容易被sniffer监听而泄漏。

CHAP全称为：Challenge Handshake Authentication Protocol(挑战握手认证协议)，主要就是针对PPP的，除了在拨号开始时使用外，还可以在连接建立后的任何时刻使用。

CHAP协议基本过程是认证者先发送一个随机挑战信息给对方，接收方根据此挑战信息和共享的密钥信息，使用单向HASH函数计算出响应值，然后发送给认证者，认证者也进行相同的计算，验证自己的计算结果和接收到的结果是否一致，一致则认证通过，否则认证失败。这种认证方法的优点即在于密钥信息不需要在通信信道中发送，而且每次认证所交换的信息都不一样，可以很有效地避免监听攻击。

CHAP缺点：密钥必须是明文信息进行保存，而且不能防止中间人攻击。使用CHAP的安全性除了本地密钥的安全性外，网络上的安全性在于挑战信息的长度、随机性和单向HASH算法的可靠性。

常用的chap几个chap认证方式（chap,mschap-v1,maschap-v2）的区别：

mschap-v1

微软版本的CHAP，和CHAP基本上一样。认证后支持MPPE，安全性要较CHAP好一点。

maschap-v2

微软版本的CHAP第二版，它提供了双向身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。

优点：双向加密、双向认证、安全性高。

VPN身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP) .

2010-01-10 17:11 624人阅读 评论(0) 收藏 举报 

身份认证技术是VPN网络安全的第一道关卡。对于身份认证，是由身份认证协议来完成的。首先让大家对VPN的身份认证协议有一个感观的认知，把实践和理论结合起来。

        1、PAP：密码认证协议

客户端直接发送包含用户名/口令的认证请求，服务器端处理并作回应。

优点：简单。

缺点：明文传送，极容易被窃听。

2、SPAP：Shiva密码验证协议

Shiva公司开发，是一种受Shiva远程访问服务器支持的简单加密密码的身份验证协议。

优点：安全性较PAP好。

缺点：单向加密、单向认证，虽然是对密码进行加密，但还是会被破解，安全性差，通过认证后不支持Microsoft点对点加密(MPPE)。

3、CHAP：挑战握手协议

先由服务器端给客户端发送一个随机码challenge，客户端根据challenge，对自己掌握的口令、challenge、会话ID进行单向散例,即md5(password1,challenge,ppp_id)，然后把这个结果发送给服务器端。服务器端从数据库中取出库存口令password2,进行同样的算法，即md5(password2,challenge,ppp_id),最后，比较加密的结果是否相同。如相同,则认证通过。

优点：安全性较SPAP有了很大改进，不用将密码发送到网络上。

缺点：安全性还不够强健，但也不错、单向加密、单向认证、通过认证后不支持Microsoft点对点加密(MPPE)。

4、MS-CHAP

微软版本的CHAP，和CHAP基本上一样，区别我也不太清楚。认证后支持MPPE，安全性要较CHAP好一点。

5、MS-CHAP V2

微软版本的CHAP第二版，它提供了双向身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。

优点：双向加密、双向认证、安全性相当高。

缺点：不太清楚。

6、EAP：可扩展的认证协议

EAP可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。最安全的认证方法就是和智能卡一起使用的“可扩展身份验证协议—传输层安全协议”，即EAP-TLS认证。

优点：安全性最好。

缺点：需要PKI（公钥基础设施）支持。（目前PKI还没有真正建立起来）

总结：协议是一个非常复杂的内容，不是三言两语就能说清楚。但是，只要知道了这些基本内容了，就足够我们在搭建VPN时使用了。如果想了解更多内容，请查看RFC。下载本文