CHAP (Challenge-Handshake Authentication Protocol)

co je CHAP (Challenge-Handshake Authentication Protocol)?

CHAP (Challenge-Handshake Authentication Protocol) je metoda ověřování výzev a odpovědí, kterou servery Point-to-Point Protocol (PPP) používají k ověření identity vzdáleného uživatele. Autentizace CHAP začíná poté, co vzdálený uživatel iniciuje odkaz PPP.

CHAP umožňuje vzdáleným uživatelům identifikovat se k autentizačnímu systému, aniž by odhalili své heslo. S CHAP používají ověřovací systémy sdílené tajemství-heslo – k vytvoření kryptografického hash pomocí algoritmu MD5 message digest.

CHAP používá trojcestný handshake k ověření a ověření totožnosti uživatele, zatímco protokol ověřování hesel (Pap) používá obousměrný handshake pro autentizaci mezi vzdáleným uživatelem a serverem PPP.

navrženo pro použití s PPP pro ověřování vzdálených uživatelů, CHAP je aplikován pravidelně během vzdálené relace k reauthenticate uživatele. PAP a CHAP jsou primárně určeny pro vzdálené připojení přes vytáčené linky nebo spínané obvody, jakož i pro vyhrazené odkazy.

PAP a CHAP se běžně používají pro vyjednávání síťového připojení k poskytovateli internetových služeb. Kap je uveden v žádosti o připomínky 1994.

jak funguje CHAP?

zde je návod, jak CHAP funguje:

  1. po vytvoření odkazu odešle server výzvu žadateli o připojení.
  2. žadatel odpovídá hodnotou získanou pomocí jednosměrné hašovací funkce známé jako MD5.
  3. server zkontroluje odpověď porovnáním s vlastním výpočtem očekávané hodnoty hash. Pokud se hodnoty shodují, ověření je potvrzeno; jinak je připojení obvykle ukončeno.

server může poslat novou výzvu žadateli náhodně během relace k reauthenticate žadatele. Kroky 1 až 3 se pak opakují.

server může kdykoli požádat připojenou stranu o odeslání nové výzvy. Protože identifikátory CHAP se často mění a server může kdykoli požádat o ověření, poskytuje CHAP větší zabezpečení než PAP.

CHAP třícestný handshake
CHAP používá třícestný handshake protokol k ověření uživatelů přes relace PPP.

typy CHAP paketů

PPP nese CHAP pakety mezi autentizátorem a žadatelem. Pakety CHAP se skládají z hlavičky, která obsahuje následující:

  • pole kódu, které obsahuje osmibitový kód identifikující Typ odeslaného paketu CHAP — platné hodnoty jsou 1 až 4;
  • pole identifikátoru, což je libovolné osmibitové ID identifikující paket jako příslušný k autentizační sekvenci;
  • pole délky, které obsahuje počet bajtů v paketu CHAP; a
  • Datové pole, které obsahuje všechna požadovaná nebo odeslaná data a hodnoty v závislosti na typu paketu CHAP, ve kterém je přenášen.

další čtení

CHAP a PAP byly mezi prvními pokusy o implementaci bezpečného vzdáleného přístupu a pochopení rozdílů mezi CHAP a PAP je jen prvním krokem.

CHAP se integruje s protokolem Remote Authentication Dial-In User Service nebo RADIUS. Kerberos nabízí sofistikovanější a bezpečnější nástroj pro vzdálené ověřování uživatelů.

učení rozdílů mezi CHAP a Extensible Authentication Protocol, Lightweight Extensible Authentication Protocol a Wi-Fi Protected Access verze 2 protocol pomůže IT profesionálům učinit nejlepší rozhodnutí.

CHAP pracuje se čtyřmi různými typy paketů. Každý paket je identifikován hodnotou jeho kódového pole následovně:

  1. ověřovací systém-obvykle síťový přístupový server nebo přepínač-odešle paket CHAP Challenge, aby zahájil proces ověřování. Po zahájení relace PPP může systém nebo síť, ke které se přistupuje, požadovat ověření vzdáleného uživatele. Výzva zahrnuje jméno hostitele autentizátora.
  2. systém vzdáleného uživatele musí v reakci na výzvu odeslat paket odezvy CHAP. Vzdálený systém odešle zabezpečený hash na základě hesla vzdáleného uživatele v paketu odezvy. Ověřovatel porovná hash hesla uživatele s očekávanou hodnotou. Vzdálený uživatel je ověřen, pokud se shodují; jinak se autentizace nezdaří.
  3. autentizační systém — server pro přístup k síti — odešle paket úspěchu CHAP, pokud hash vzdáleného uživatele odpovídá hash očekávanému serverem.
  4. ověřovací systém odešle paket selhání CHAP, pokud hash hesla vzdáleného uživatele neodpovídá hodnotě zaslané uživatelem.

pokud vzdálený systém nereaguje na Paket výzvy, autentizátor může proces opakovat. Ověřovatel ukončí přístup vzdáleného uživatele, pokud se nemůže ověřit.

KAP vs. PAP

CHAP je bezpečnější postup pro připojení k systému než PAP.

autentizační schémata PAP a CHAP byla původně určena pro ověřování vzdálených uživatelů, kteří se připojují k sítím nebo systémům pomocí PPP. CHAP ‘s three-way handshake protocol poskytuje silnější ochranu proti hádání hesel a odposlouchávání útoků než PAP’ s obousměrný handshake.

CHAP vs. PAP
CHAP a PAP se liší několika způsoby, zejména tím, že CHAP je bezpečnější než PAP.

ověření pomocí PAP vyžaduje, aby vzdálený uživatel předložil své uživatelské jméno a heslo, a ověřovací systém poté na základě těchto pověření povolí nebo odepře přístup uživatele.

PAP obousměrný handshake
PAP je jednoduchý obousměrný handshake pro ověřování vzdálených uživatelů.

CHAP zajišťuje proces ověřování pomocí sofistikovanějšího protokolu. CHAP implementuje třícestný handshake protokol, který má být použit poté, co hostitel vytvoří spojení PPP se vzdáleným zdrojem.

PAP definuje obousměrný handshake pro vzdáleného uživatele k zahájení vzdáleného přístupu:

  1. vzdálený systém odešle uživatelské jméno a heslo a opakuje přenos, dokud server pro přístup k síti neodpoví.
  2. síťový přístupový server odešle potvrzení o ověření, pokud jsou pověření ověřena. Pokud pověření nejsou ověřena, server pro přístup k síti odešle negativní potvrzení.

zatímco PAP může být použit jako minimální protokol umožňující vzdálenému uživateli zahájit síťové připojení, CHAP poskytuje bezpečnější autentizační protokol.

Leave a Reply