代碼
2 Authenticate-Ack;
3 Authenticate-Nak
標(biāo)識符
標(biāo)識符域是一個字節(jié)，用于匹配請求和回應(yīng) 。此域必須從引起這次回應(yīng)的
Authenticate-Request包標(biāo)識符域復(fù)制過來的 。
Msg-Length
Msg-Length域是一個字節(jié)，代表Message域的長度 。
Message
Message域是零個或者多個字節(jié)，并且它的內(nèi)容依靠于實現(xiàn)者 。它是可讀的，不得影響
協(xié)議的操作 。建議在Message中包含可顯示的ASCII字符（32－126） 。擴(kuò)展字符集的機(jī)
制是進(jìn)一步研究的主題 。
3Challenge-HandshakeAuthenticationProtocol
CHAP用于使用3次握手周期性的驗證對端 。在鏈路建立初始化時這樣做，也可以在鏈
路建立后任何時間重復(fù)驗證 。
在鏈路建立完成后，驗證者向?qū)Χ税l(fā)送一個“challenge”信息 。對端使用一個
“one-way-hash”函數(shù)計算出的值響應(yīng)這個信息 。驗證者使用自己計算的hash值校驗響應(yīng)值 。
假如兩個值匹配，則驗證是承認(rèn)得，否則連接應(yīng)該終止 。
CHAP通過使用遞增的標(biāo)識符和可變得挑戰(zhàn)值提供了防止回送攻擊的保護(hù) 。使用重復(fù)挑
戰(zhàn)目的是任一個攻擊的暴露時間 。驗證者控制著挑戰(zhàn)的頻率和時間 。這種驗證方法依靠只有
驗證者和對端知道的秘密（secret） 。這個秘密（secret）不在鏈路上傳播 。這種方法最可能用
的地方是相同的秘密輕易訪問鏈路的兩端 。
實現(xiàn)注重：CHAP要求秘密是明文形式的 。為了避免在網(wǎng)絡(luò)的其他鏈路上發(fā)送秘密，建
議在中心服務(wù)器上檢查challenge和respone值，而不是在每一個網(wǎng)絡(luò)訪問服務(wù)器上檢查 。另
外，秘密應(yīng)該以可逆轉(zhuǎn)的加密形式發(fā)送到服務(wù)器上 。
CHAP算法要求秘密的長度必須至少一個字節(jié) 。秘密至少應(yīng)該和選擇好的密碼一樣大小
和不可猜 。比較好的是秘密應(yīng)該至少是選擇的哈希算法的哈希值的長度（對于MD5是16個
字節(jié)） 。這樣保證了足夠大的范圍使得秘密提供了防止窮盡搜索攻擊的保護(hù)措施 。
選擇one-way哈希算法使得要想從已知的challenge和response值得出秘密的計算是不可
行的 。
Challenge值應(yīng)該符合兩個標(biāo)準(zhǔn)：唯一性和不可猜測性 。每一個challenge值應(yīng)該是唯一
的，因為使用與相同秘密聯(lián)系的challenge執(zhí)的副本可以讓攻擊者利用前一個截獲得響應(yīng)包響
應(yīng) 。由于希望可以使用相同的秘密在不同區(qū)域中驗證服務(wù)器，challenge應(yīng)該具有全局和暫時
的唯一性 。每一個challenge值也應(yīng)該是不可猜測的，否則攻擊者欺騙對端響應(yīng)一個可猜測的
未來challenge，然后用這個響應(yīng)偽裝成對端欺騙驗證者 。盡管象CHAP這樣的協(xié)議不能夠防
止實時的竊聽攻擊，但是使用唯一的和不可猜測的challenge可以防止一定范圍的能動攻擊 。
關(guān)于唯一性來源和產(chǎn)生分歧概率的討論包含在Magic-Number配置選項中 。
3.1配置選項格式
下面是Challenge-Handshake驗證協(xié)議使用的Authentication-Protocol配置選項格式的總
結(jié) 。各個域由左到右傳輸 。
0123
01234567890123456789012345678901
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
TypeLengthAuthentication-Protocol
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Algorithm
- - - - - - - -
類型
3
長度
5
Authentication-Protocol
c223Challenge-ProtocolAuthenticationProtocol
算法
算法域是一個字節(jié)，代表所使用的one-way哈希算法 。CHAP算法域的最新值在最近的
“AssignedNumbers”RFC[2]中有具體說明 。當(dāng)前的值分配如下：
0-4 unused(保留)
5 MD5[3]
3.2包格式

推薦閱讀

• 

  諾基亞 6233 官方網(wǎng)刷5.43
• 

  褲子30碼是m還是l 褲子30碼是m嗎
• 

  聚脲能做樓頂防水嗎？ 聚脲能做樓頂防水嗎
• 

  k11防水材料是什么
• 

  鱈魚在火鍋里涮會胖嗎
• 

  高速超速10%以下如何處罰?
• 

  抖音世界上有很多的東西你生不帶來死不帶去是什么歌 抖音多想在平庸的生活擁抱你歌詞
• 

  四鳥繞日的含義
• 

  使用倩碧黃油應(yīng)該注意什么
• 

  天津津南區(qū)公租房在哪登記？附登記入口
• 

  善變的妹妹400字作文
• 

  淘寶分身版下載安裝哪個好用 淘寶應(yīng)用分身大師怎么用
• 

  哪些名酒是糧食酒 哪些酒是糧食酒
• 

  怎樣向顧客介紹你的產(chǎn)品
• 

  我來教你Win7使用RivaTuner提示“無法載入Rivatuner64.sys驅(qū)動”怎么辦
• 

  華為圖標(biāo)怎么換樣式

• AAL5多協(xié)議封裝
• 歐洲有多少個國家
• PPP會話終結(jié)
• PPP用戶認(rèn)證和IP地址分配
• PPPOE流程
• PPP鏈路工作過程
• PPPOE協(xié)議簡介
• PPP幀格式
• SMTP協(xié)議通訊模型
• PPP鏈路操作