PPP身份验证方法简介

2025-09-30 理论教育版权反馈

【摘要】：PPP协议包含了通信双方身份验证的安全性协议，即在网络层协商IP地址之前，首先必须通过身份验证。PPP的身份验证有两种方式：PAP和CHAP。PAP的验证过程PAP协议是两次握手协议，它通过用户名及口令来进行用户的验证。

PPP协议包含了通信双方身份验证的安全性协议，即在网络层协商IP地址之前，首先必须通过身份验证。PPP的身份验证有两种方式：PAP和CHAP。

（1）PAP的验证过程

PAP（Password Authentication Protocol）协议是两次握手协议，它通过用户名及口令来进行用户的验证。其过程如下：在开始验证阶段，被验证方首先将自己的用户名及口令发送到验证方，验证方根据本端的用户数据库，查看是否有此用户、口令是否正确，如果正确则发送Ack报文通知对端进入下一阶段协商，否则发送Nak报文通知对端验证失败。如果验证失败，并不直接将链路关闭。只有当验证失败达到一定次数时才关闭链路，来防止因网络误传、网络干扰等因素造成不必要的LCP重新协商的过程。PAP是在网络上以明文的方式传送用户名及口令，所以安全性不高，其报文交互过程如图3-15所示。若被验证方路由器为RA，验证方路由器为RB，则验证配置为：

客户端（被验证方）：

RA（config）interface seril 1/2

RA（config-if） encapsulation ppp

RA（config-if）ppp pap sent-username ruijie password 0 123

服务端（验证方）：

RB（config）username ruijie password 123

RB（config）interface seril 1/2

RB（config-if） encapsulation ppp

RB（config-if）ppp authentication pap

pagenumber_ebook=78,pagenumber_book=73

图3-15　PAP验证过程

（2）CHAP的验证过程(https://www.chuimin.cn)

CHAP为三次握手协议，它只在网络上传用户名而不传口令，因此安全性比PAP高。其验证过程为：首先验证方向被验证方发送一些随机的报文，并加上自己的主机名；被验证方收到验证方的验证请求，通过收到的主机名和本端的用户数据库查找用户口令字（密钥），如果找到用户数据库中和验证方主机名相同的用户，便利用接收到的随机报文、此用户的密钥和报文ID，用Md5加密算法生成应答，随后将应答和自己的主机名送回；验证方收到此应答后，利用对端的用户名，在本端的用户数据库中查找本方保留的口令字，用本方保留的用户的口令字（密钥）、随机报文和报文ID用Md5加密算法生成结果，与被验证方的应答比较，相同则返回Ack，否则返回Nak。其报文交互过程如图3-16所示。

pagenumber_ebook=79,pagenumber_book=74

图3-16　CHAP验证过程

CHAP协议不仅在连接建立阶段进行，在以后的数据传输阶段也可以按随机间隔继续进行，但每次验证方和被验证方的随机数据都应不同，以防被第三方猜出密钥。如果验证方发现结果不一致，将立即切断线路。它的特点是只在网络上传输用户名，而并不传输用户口令，因此安全性要比PAP高。若被验证方路由器为RA，验证方路由器为RB，则验证配置为：

客户端（被验证方）：

RA（config）username RB password 123

RA（config）interface serial 1/2

RA（config-if）encapsulation ppp

服务端（验证方）：

RB（config）username RA password 123

RB（config）interface serial 1/2

RB（config-if）encapsulation ppp

RB（config-if）ppp authentication chap