1、CHAP:挑战-握手验证协议(Challenge Handshake Authentication Protocol,CHAP)
2、CHAP使用三次握手验证,这种验证可以在链路建立初始化时进行,也可以在链路建立后的信任时间内重复进行。
3、在链路建立完成后,验证者向对端发送一个challenge信息,对端使用一个one-way-hash(哈希)函数计算出的值响应这个信息。
4、验证者使用相同的单向函数计算自己这一端对应的hash值校验响应值。如果两个值匹配,则验收通过;否则连接终止。
5、CHAP 要求密钥以明文形式存在,无法使用通常的不可回复加密口令数据库。
6、CHAP 在大型网络中不适用,因为每个可能的密钥由链路的两端共同维护。

总结:CHAP通过三次握手验证被认证方的身份(密文),在初始链路建立时完成,为了提高安全性,在链路建立之后周期性进行验证,目前在企业网的远程接入环境中用的比较常见

chap协议原理:
a客户端在本地加密当前用户的密码成为密码散列
b客户端向服务器发送自己的帐号,帐号是明文发送
c.服务器产生一个16位的随机数给客户端作为一个challenge挑战
d.客户端用加密后的散列加密这个challenge,然后返回给服务器,作为响应response
e.服务器把用户名 challenge esponse发送给域控制器
f.服务器用这个用户名在sam密码管理库中找到她的密码散列,然后用这个密码散列来加密challenge
i域控制器比较两个challenge是否相同,以验收通过