CHAP验证过程

chap 的安全认证-回复【chap 的安全认证】在计算机网络通信中，安全认证是一项至关重要的技术，它能够确保通信过程中的数据安全和身份验证。

Chap（Challenge-Handshake Authentication Protocol）是一种广泛应用于网络安全认证的协议，它使用了一种比较简单和高效的身份验证机制。

在本文中，我们将一步一步地解析chap的安全认证过程，并探讨其在实际应用中的重要性。

首先，让我们了解Chap的基本工作原理。

Chap是一种基于密码散列的挑战-握手认证协议。

在通信开始之前，客户端和服务器之间通过网络发送一系列挑战和响应消息进行握手。

Chap使用了一种称为单向散列函数（One-Way Hash Function）的密码学算法来生成和验证挑战-响应对。

这种算法可以确保在不传输明文密码的情况下，通过比对散列值来实现身份验证。

在Chap的安全认证过程中，首先，服务器将发送一个挑战给客户端。

这个挑战是一个随机生成的字符串，用于增加被攻击者猜测答案的难度。

客户端接收到挑战后，使用事先共享的密钥和密码散列函数来计算一个响应值，并将其返回给服务器。

在第二步中，服务器将使用相同的密钥和密码散列函数来计算预期的响应值。

然后，服务器将比对客户端发送的响应值和计算出的预期响应值。

如果两者相等，那么服务器将认为客户端是合法的，并允许其继续通信。

否则，将拒绝客户端的认证请求。

Chap的安全认证机制通过引入挑战和响应的方式，增加了破解者破解密码的难度。

即使在网络被攻击者截获的情况下，破解者也无法获得明文密码，因为挑战和响应都是通过密码散列函数计算得到的。

这种单向散列函数的特性，使得Chap成为一种相对安全的认证协议。

现在让我们探讨一下Chap在实际应用中的重要性。

Chap广泛应用于各种网络通信场景，例如拨号连接、虚拟专用网（VPN）、局域网（LAN）和广域网（WAN）等。

通过使用Chap的安全认证机制，网络管理员可以确保只有合法用户可以访问网络资源，从而提高网络的安全性和保密性。

chap认证的流程
Chap认证的流程
Chap认证是一种网络安全协议，用于在客户端和服务器之间建立安全连接。

它使用了挑战-响应机制来验证客户端身份，并确保数据传输的机密性和完整性。

下面将介绍Chap认证的详细流程。

第一步：建立连接
在进行Chap认证之前，客户端和服务器必须先建立连接。

这个过程通常是通过PPP协议完成的，其中包括了协议版本、最大传输单元、压缩方式等信息的交换。

第二步：发起挑战
一旦连接建立成功，服务器会向客户端发送一个随机数作为挑战。

这个随机数通常是一个128位或256位的数字，用于确保每次认证都是独一无二的。

第三步：响应挑战
客户端收到服务器发送的挑战后，使用自己保存的密码或密钥来计算出一个响应值。

这个响应值通常也是一个128位或256位的数字，可以通过MD5或SHA等加密算法生成。

第四步：发送响应
客户端将计算出来的响应值发送给服务器进行验证。

如果服务器收到了正确的响应值，则说明客户端身份合法，并且可以开始进行数据传输。

第五步：确认连接
一旦Chap认证通过，服务器会向客户端发送一个确认消息，表示连接已经建立成功。

此时客户端和服务器之间的通信就可以开始了。

总结
Chap认证是一种简单而有效的网络安全协议，它使用挑战-响应机制来验证客户端身份，并确保数据传输的机密性和完整性。

在进行Chap 认证之前，客户端和服务器必须先建立连接，并且需要使用密码或密钥来计算出响应值。

如果响应值正确，则认证通过，否则连接将被拒绝。

Chap认证可以用于各种网络环境中，例如拨号连接、虚拟专用网等。

CHAPCHAP全称是PPP（点对点协议）询问握手认证协议（Challenge Handshake Authentication Protocol）。

该协议可通过三次握手周期性的校验对端的身份，可在初始链路建立时完成时，在链路建立之后重复进行。

通过递增改变的标识符和可变的询问值，可防止来自端点的重放攻击，限制暴露于单个攻击的时间。

目录简述询问握手认证协议（CHAP）通过三次握手周期性的校验对端的身份，在初始链路建立时完成，可以在链路建立之后的任何时候重复进行。

1. 链路建立阶段结束之后，认证者向对端点发送“challenge”消息。

2. 对端点用经过单向哈希函数计算出来的值做应答。

3. 认证者根据它自己计算的哈希值来检查应答，如果值匹配，认证得到承认；否则，连接应该终止。

4. 经过一定的随机间隔，认证者发送一个新的 challenge 给端点，重复步骤 1 到 3 。

通过递增改变的标识符和可变的询问值，CHAP 防止了来自端点的重放攻击，使用重复校验可以限制暴露于单个攻击的时间。

认证者控制验证频度和时间。

特性该认证方法依赖于只有认证者和对端共享的密钥，密钥不是通过该链路发送的。

虽然该认证是单向的，但是在两个方向都进行 CHAP 协商，同一密钥可以很容易的实现相互认证。

由于CHAP 可以用在许多不同的系统认证中，因此可以用NAME 字段作为索引，以便在一张大型密钥表中查找正确的密钥，这样也可以在一个系统中支持多个 NAME/ 密钥对，并可以在会话中随时改变密钥。

CHAP 要求密钥以明文形式存在，无法使用通常的不可回复加密口令数据库。

CHAP 在大型网络中不适用，因为每个可能的密钥由链路的两端共同维护。

协议结构CHAP 帧格式CHAP 的配置选项格式如下：8 16 32 40 bitType Length Authentication-Protocol AlgorithmType ― 3Length ― 5Authentication-Protocol ― 对于CHAP，为 C223（Hex）。

PPP CHAP验证详解Version 1.2 Update：2014-11-10 By：鲍中帅一、概述 (2)二、实现 (2)2.1、实现目标 (2)2.2、实现步骤 (2)2.3、效果查看 (3)2.4、分析过程 (4)A、debug分析过程(R1为例) (4)B、抓包分析过程 (5)三、补充 (6)一、概述在广域网中，PPP因其具备地址协商、身份验证等特性，得到了较多的使用，本章，主要讲解PPP中较为安全的一款身份验证方式：CHAP；CHAP相对于PAP，弥补了PAP直接传递口令的缺陷，实现了在不直接传递口令的前提下对身份的确认；CHAP具体的验证过程主要有以下几步：A、当链路UP后，主验证方会触发发送挑战报文，报文类型为challenge，在报文中，用1来表示；挑战报文主要携带的内容为：报文ID、挑战的随机数以及本接口下配置的用户名；B、当被验证方收到对方发送过来的挑战报文后，会提取出报文中的报文ID、随机数、以及用户名，此后先查找本接口下是否配置了相应的chap password，若接口下没有配置，则提取出主验证方发送过来的报文中的用户名查找本设备的aaa用户账户数据库，找到用户名所对应的密码，并将对端发送过来报文的报文ID、随机数以及刚刚查找到的密码在一起进行hash运算；得到hash值；C、之后，被验证方将刚刚运算得到的值加上主验证方之前发送过来的报文ID以及本设备接口下配置的用户名，一并发送给对端；此时报文类型为response，用2来表示；D、对端也就是主验证方收到后，提取出其中的用户名，查找用户账户数据库，若找到相应的password，则用报文ID、之前发送过去的随机数以及刚刚查找到的password，进行hash运算，得到一个值，将这个值与刚刚被验证方发送过来的值做比较，若一致，则认为两端的密码一致，口令验证正确；主验证方将会发送一个验证通过的报文给被验证方，提示验证通过，此报文类型用3来表示；反之，则会发送一个验证失败的报文，报文类型用4来表示；E、这里可以看出，在会话中，两端的报文ID需要是一样的(自动生成)，同时，两端的密码也要求是一样的(手工配置)，否则将会出现验证错误；二、实现主验证方被验证方R1R22.1、实现目标在两台路由器之间连接了一根串行链路，为了保证安全性，使用了CHAP验证，R1作为主验证方，R2作为被验证方，要求仅仅只能访问验证通过的设备；验证失败的设备不能够互相访问；2.2、实现步骤#首先配置主验证方R1：[R1]local-user r1 class network//红色部分，是V7平台需要注意的，V5没有；[R1-luser-network-r1]password simple admin[R1-luser-network-r1]service-type ppp#以上是创建本地用户账户数据库；[R1]interface Serial 1/0[R1-Serial1/0]ip address 10.1.12.1 255.255.255.0[R1-Serial1/0] ppp authentication-mode chap//设置本端为主验证方，并开启chap验证；[R1-Serial1/0] ppp chap user r2 //设置验证对端的用户名；#以上是在接口下开启验证以及设置连通性相关参数；这里需要提到，主验证方的接口下如果不配置用户名，即：ppp chap user r2这条命令，那么在H3C的设备上会用本设备的hostname来填充发起的challenge中的相关字段；具体的说，在本例中，如果主验证方R1的接口下不配置这个验证的user为r2，那么它仍然可以发起挑战，挑战报文中的用户字段填充的为主验证方设备的hostname，即：R1；#再配置被验证方R2：[R2]local-user r2 class network//红色部分，是V7平台需要注意的，V5没有；[R2-luser-network-r2]password simple admin[R2-luser-network-r2]service-type ppp#以上是创建本地用户账户数据库；[R2]interface Serial 1/0[R2-Serial1/0]ip address 10.1.12.2 255.255.255.0[R2-Serial1/0] ppp chap user r1 //设置验证对端的用户名；#以上是在接口下开启验证以及设置连通性相关参数；被验证方接口下必须要配置验证用户，否则无法建立验证会话；2.3、效果查看在配置完成后，需要将接口shutdown/undo shutdown后方可生效！切记！本质原因是因为验证阶段是在LCP协商阶段发现的，而端口一旦完成LCP协商后，验证参数将不会被再次协商，所以需要触发LCP 协商，而shutdown就可以触发；[R1]ping 10.1.12.2Ping 10.1.12.2 (10.1.12.2): 56 data bytes, press CTRL_C to break56 bytes from 10.1.12.2: icmp_seq=0 ttl=255 time=1.801 ms56 bytes from 10.1.12.2: icmp_seq=1 ttl=255 time=0.893 ms56 bytes from 10.1.12.2: icmp_seq=2 ttl=255 time=0.926 ms56 bytes from 10.1.12.2: icmp_seq=3 ttl=255 time=0.915 ms56 bytes from 10.1.12.2: icmp_seq=4 ttl=255 time=1.040 ms--- Ping statistics for 10.1.12.2 ---#验证通过，并且可以访问对端；2.4、分析过程过程分析主要是建立在报文分析之上，但如果现实条件不具备，可以通过debug来分析，效果类似；我们这里先通过debug来分析，之后再通过wireshark抓包来分析过程；A、debug分析过程(R1为例)在欲开启debug的设备上执行debug操作：命令为：<R1>terminal monitor<R1>terminal debugging<R1>debugging ppp chap all //可以根据需要开启相应的输出；%Sep 10 08:47:39:018 2014 R1 IFNET/5/LINK_UPDOWN: Line protocol state on the interface Serial1/0 changed to up .*Sep 10 08:47:39:018 2014 R1 PPP/7/CHAP_EVENT_0:PPP Event:Serial1/0 CHAP Initial EventState Initial*Sep 10 08:47:39:019 2014 R1 PPP/7/CHAP_EVENT_0:PPP Event:Serial1/0 CHAP Server Lower Up EventState Initial*Sep 10 08:47:39:019 2014 R1 PPP/7/CHAP_PACKET_0:PPP Packet:Serial1/0 Output CHAP(c223) Pkt, Len 27State Initial, code Challenge(01), id 1(报文ID), Len 23Value_Size: 16 Value:d4 50 18 40 41 c9 05 f5 83 93 76 74 9d 44 18 01(随机数)Name: r2(接口下配置的用户名)*Sep 10 08:47:39:020 2014 R1 PPP/7/CHAP_STATE_0:PPP State Change:Serial1/0 CHAP: Initial --> SendChallenge#以上是第一个过程，由主验证方发起的挑战报文；当主验证方检测到链路层UP后，将PPP状态机切换至initial，之后会发送一个挑战报文给被验证方；然后再将状态机由initial切换至SendChallenge；意味着挑战报文已经发送成功；*Sep 10 08:47:39:024 2014 R1 PPP/7/CHAP_PACKET_0:PPP Packet:Serial1/0 Input CHAP(c223) Pkt, Len 27State SendChallenge, code Response(02), id 1, Len 23Value_Size: 16 Value:d7 26 af 8f da 41 94 86 34 3a c0 87 fb 13 70 76Name: r1*Sep 10 08:47:39:024 2014 R1 PPP/7/CHAP_EVENT_0:PPP Event:Serial1/0 CHAP Receive Response EventState SendChallenge*Sep 10 08:47:39:024 2014 R1 PPP/7/CHAP_STATE_0:PPP State Change:Serial1/0 CHAP: SendChallenge --> WaitingAAA#R1作为主验证方收到了被验证方返回的关于挑战报文的回应包，即：response；这个报文是被验证方发送过来的，里面携带了相关参数；此时主验证方将提取出其中的用户名、报文ID以及自己之前保存的随机数，同本地的密码一起进行hash运算，得到一个值，将这个值与这里收到的值进行一次与运算，若结果一致，则认为验证通过，若不一致，则验证失败；这里的WaitingAAA状态便是在进行等待AAA计算结果；下面就是计算结束的状态了；*Sep 10 08:47:39:030 2014 R1 PPP/7/CHAP_EVENT_0:PPP Event:Serial1/0 CHAP AAA Result EventState WaitingAAA*Sep 10 08:47:39:030 2014 R1 PPP/7/CHAP_STATE_0:PPP State Change:Serial1/0 CHAP: WaitingAAA --> ServerSuccess*Sep 10 08:47:39:030 2014 R1 PPP/7/CHAP_PACKET_0:PPP Packet:Serial1/0 Output CHAP(c223) Pkt, Len 22State ServerSuccess, code SUCCESS(03), id 1, Len 18Message: Welcome to r2.#计算结束，将状态机从WaitingAAA切换至ServerSuccess；同时，会发送一个验证成功报文给被验证方；至此，验证结束；#若验证失败，则如下；*Sep 10 09:44:56:308 2014 R1 PPP/7/AUTH_ERROR_0:PPP Error:Serial1/0 CHAP: Server authentication failed No. 1 !*Sep 10 09:44:56:308 2014 R1 PPP/7/CHAP_STATE_0:PPP State Change:Serial1/0 CHAP: WaitingAAA --> ServerFailed*Sep 10 09:44:56:309 2014 R1 PPP/7/CHAP_PACKET_0:PPP Packet:Serial1/0 Output CHAP(c223) Pkt, Len 33State ServerFailed, code FAILURE(04), id 1, Len 29Message: Illegal user or password.B、抓包分析过程#这是主验证方发送的第一个报文，挑战包，可以看到详细的参数；包括报文ID、随机数以及用户名；#这是被验证发送的Response报文，其中的相关参数也很明确，需要注意的是，这里的Value并不是随机数，而是hash值，用来给主验证方做比较用的；只有Challenge报文中的Value值才是随机数；#验证成功后，由R1主验证方发送出来的报文；#若验证失败，则如下：三、补充3.1、CHAP验证的过程中，以上示例均是在本地的Local-user中完成用户账户数据验证的，其实也可以在接口下直接创建password，在H3C以及华为的设备中，若被验证方在接口下以及本地账户中均存在相应的Password，则优先选择接口下的password；3.2、以上示例演示的是单向验证，CHAP也支持双向验证，过程和单向验证一致，只是再重复一次罢了；。

cisco CHAP验证详解为了保证网络环境的安全性，我们需要在网络环境中设置验证机制，也就是说当某个用户的设备想要和你的设备实现通讯时，必须得经过你的身份验证。

今天我们来看一下广域网协议PPP的身份验证。

PPP的身份验证方式分为两种，一种为PAP验证，PAP验证有一个缺点，就是在验证用户身份时信息以明文传输，这样在验证过程中很有可能第三方会窃取验证信息，因而安全性较差。

一种为CHAP验证，这种身份验证最大优点就是在验证过程中为加密验证，所以在网络中大多都采用的CHAP验证，因为它能够更好的保证网络的安全。

今天我们就来一起开一下CHAP配置和验证过程CHAP验证过程：①、A向B发起PPP连接请求②、B向A声明，要求对A进行CHAP验证③、A向B声明，同意验证④、路由器B把“用户ID，随机数”发给路由器A⑤、路由器A用收到的“用户ID和随机数”与“自己的密码”做散列运算⑥、路由器A把“用户ID、随机数、散列结果”发给B⑦、路由器B用收到的“用户ID、随机数”与“自己的密码”做散列运算，把散列运算结果与“A发过来的散列运算结果”进行比较，结果一样，验证成功；结果不一样，验证失败。

下面我们开始配置CHAP验证，试验环境如上图一、搭建基本环境配置A路由器A(config)#int lo0 启用一个回环端口Lo0，代表A路由器内部网络A(config-if)#ip address 192.168.10.1 255.255.255.0A(config-if)#exitA(config)#int s1/0 配置广域网端口s1/1A(config-if)#ip address 202.110.100.1 255.255.255.0A(config-if)#encap ppp 封装广域网协议为PPPA(config-if)#clock rate 64000 A、B路由器由A路由器的S1/1提供时钟频率A(config-if)#no shut 激活广域网端口A(config-if)#exitA(config)#router rip 配置路由协议RIP第二个人版本A(config-router)#version 2A(config-router)#net 192.168.10.0A(config-router)#net 202.110.100.0配置B路由器B(config)#int s1/0 配置B路由器S1/0端口B(config-if)#ip address 202.110.100.2 255.255.255.0B(config-if)#encap ppp 封装广域网协议PPPB(config-if)#no shut 激活S1/0端口B(config-if)#exitB(config)#router rip 配置RIP协议的第二个版本B(config-router)#ver 2B(config-router)#net 202.110.100.0在配置完基本的框架后此时A、B路由器就可以相互通讯了，我们可是使用show ip route 命令分别查看一下A、B路由器的路由表为了能够更好的看出下面的试验效果，我们还要看一下端口的状态，使用show interface 端口号查看端口状态。

实验十二 PPP协议的CHAP验证一、实验目的1、了解PPP协议的基本概念和原理2、掌握PPP配置方法二、原理概述PPP（Point-to-Point Protocol,点到点协议）是用于在点到点线路上（拨号或专线）传输数据的数据链路层协议，具备用户验证能力，支持多种网络协议和地址自动分配，是目前广域网上应用最广泛的协议之一。

PPP解决了链路建立、维护、拆除、上层协议协商、认证等问题。

协议包括：一个将IP数据报封装到串行链路的方法;链路控制协议LCP;一套网络控制协议NCP;CHAP质询握手验证协议。

PPP身份验证协议：PAP或CHAP，一般说来CHAP是首选的验证协议。

PAP （密码验证协议）通过使用两次握手机制，为建立远程节点的验证提供了一个简单的方法。

特点：身份验证时密码以明文传送; 而且由于验证重试的频率和次数由远程发起者控制，因此不能防止回放攻击和重复的尝试攻击。

CHAP质询握手验证协议使用三次握手机制来启动一条链路和周期性的验证远程节点。

（回应数值是由单向哈希函数基于密码和挑战消息计算得出）远程路由器(Santa Cruz)主机名：santacruz 密码：boardwalk主机名：santacruz密码：boardwalk中心节点路由器(HQ)质询（Challenge）回应接受或拒绝三、实验内容1、配置两台路由器之间的PPP 连接。

2、 配置PPP 用户。

3、测试。

四、 实验环境主机两台，Cisco 路由器两台（R1，R2），各类线缆若干。

实验拓扑：五、实验步骤：1、连接：按上图所示用串行接口线缆连接路由器R1和R2。

2、配置路由器R1,R2R1router#conf trouter(config)#hostname r1r1(config)#username r2 password 2007r1(config)#int s0/0/0r1(config-if)#encapsulation pppr1(config-if)#clock rate 56000r1(config-if)#ppp authentication chapr1(config-if)#ip add 192.168.1.1 255.255.255.0r1(config-if)#no shS0 192.168.1.1 S1 192.168.1.2R2router#Conf trouter (config)#Hostname r2r2(config)#Username r1 passoword 2007r2(config)#int s0/0/1r2(config-if)#encapsulation pppr2(config-if)#no shutr2(config-if)#ppp authentication chapr2(config-if)#ip add 192.168.1.2 255.255.255.0 r2(config-if)#Exitr2#ping 192.168.1.13、显示CHAP验证过程：R1#ping 192.168.1.2R2#conf tR2(config)#int s0/0/1R2(config-if)#shR2(config-if)#no shR2(config-if)#^zR2#debug ppp authentication*Dec 11 08:46:15.191: Se0/0/1 PPP: Using default call direction*Dec 11 08:46:15.191: Se0/0/1 PPP: Treating connection as a dedicated line*Dec 11 08:46:15.191: Se0/0/1 PPP: Session handle[95000003] Session id[3]*Dec 11 08:46:15.191: Se0/0/1 PPP: Authorization required*Dec 11 08:46:15.199: Se0/0/1 CHAP: O CHALLENGE id 3 len 23 from "r2"*Dec 11 08:46:15.203: Se0/0/1 CHAP: I CHALLENGE id 3 len 23 from "r1"*Dec 11 08:46:15.203: Se0/0/1 CHAP: Using hostname from unknown source*Dec 11 08:46:15.203: Se0/0/1 CHAP: Using password from AAA*Dec 11 08:46:15.203: Se0/0/1 CHAP: O RESPONSE id 3 len 23 from "r2"*Dec 11 08:46:15.211: Se0/0/1 CHAP: I RESPONSE id 3 len 23 from "r1"*Dec 11 08:46:15.211: Se0/0/1 PPP: Sent CHAP LOGIN Request*Dec 11 08:46:15.211: Se0/0/1 PPP: Received LOGIN Response PASS*Dec 11 08:46:15.211: Se0/0/1 PPP: Sent LCP AUTHOR Request*Dec 11 08:46:15.211: Se0/0/1 PPP: Sent IPCP AUTHOR Request*Dec 11 08:46:15.211: Se0/0/1 LCP: Received AAA AUTHOR Response PASS*Dec 11 08:46:15.215: Se0/0/1 IPCP: Received AAA AUTHOR Response PASS*Dec 11 08:46:15.215: Se0/0/1 CHAP: O SUCCESS id 3 len 4*Dec 11 08:46:15.215: Se0/0/1 CHAP: I SUCCESS id 3 len 4*Dec 11 08:46:15.215: Se0/0/1 PPP: Sent CDPCP AUTHOR Request*Dec 11 08:46:15.215: Se0/0/1 CDPCP: Received AAA AUTHOR Response PASS*Dec 11 08:46:15.219: Se0/0/1 PPP: Sent IPCP AUTHOR Request*Dec 11 08:46:16.215: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/ 1, changed state to up五、实验报告要求1、描述PPP配置过程2、记录CHAP验证过程【思考题】1、说明CHAP验证的原理。