CHAP (Challenge-Handshake Authentication Protocol)
Hvad er CHAP (Challenge-Handshake Authentication Protocol)?
CHAP (Challenge-Handshake Authentication Protocol) er en udfordrings-og responsgodkendelsesmetode, som PPP-servere (Point-to-Point Protocol) bruger til at verificere identiteten af en fjernbruger. CHAP-godkendelse begynder, når fjernbrugeren initierer et PPP-link.
CHAP gør det muligt for fjernbrugere at identificere sig med et autentificeringssystem uden at udsætte deres adgangskode. Med CHAP bruger autentificeringssystemer en delt hemmelighed-adgangskoden-til at oprette en kryptografisk hash ved hjælp af MD5 message digest-algoritmen.
CHAP bruger et trevejs håndtryk til at verificere og godkende brugerens identitet, mens Adgangskodegodkendelsesprotokollen (PAP) bruger et tovejs håndtryk til godkendelse mellem fjernbrugeren og PPP-serveren.
designet til at blive brugt sammen med PPP til godkendelse af fjernbrugere, anvendes CHAP periodisk under en fjernsession for at godkende brugeren igen. PAP og CHAP er primært beregnet til fjernforbindelser via opkaldslinjer eller koblede kredsløb såvel som til dedikerede links.
PAP og CHAP bruges ofte til at forhandle en netværksforbindelse til en internetudbyder. Kap er specificeret i Anmodning om Kommentarer 1994.
Hvordan virker CHAP?
Sådan fungerer CHAP:
- når linket er oprettet, sender serveren en udfordringsmeddelelse til forbindelsesanmoderen.
- anmoderen reagerer med en værdi opnået ved hjælp af en envejs hash-funktion kendt som MD5.
- serveren kontrollerer svaret ved at sammenligne det med sin egen beregning af den forventede hashværdi. Hvis værdierne stemmer overens, anerkendes godkendelsen; ellers afsluttes forbindelsen normalt.
serveren kan sende en ny udfordring til anmoderen tilfældigt under sessionen for at godkende anmoderen igen. Trin 1 til 3 gentages derefter.
serveren kan til enhver tid anmode den tilsluttede part om at sende en ny udfordringsmeddelelse. Da CHAP-identifikatorer ændres ofte, og serveren til enhver tid kan anmode om godkendelse, giver CHAP mere sikkerhed end PAP.
typer af CHAP-pakker
PPP bærer CHAP-pakker mellem autentificatoren og anmoderen. CHAP-pakker består af en overskrift, som indeholder følgende:
- Kodefelt, som indeholder en otte-bit kode, der identificerer typen af CHAP-pakke, der sendes-gyldige værdier er 1 til 4;
- Identifikatorfelt, som er et vilkårligt otte-bit ID, der identificerer pakken som tilhørende en godkendelsessekvens;
- Længdefelt, som indeholder antallet af bytes i CHAP-pakken; og
- datafelt, som inkluderer alle data, der anmodes om eller indsendt og værdier afhængigt af typen af Kap-pakke, den transporteres i.
yderligere læsning
CHAP og PAP var blandt de første forsøg på at implementere sikker fjernadgang, og at forstå forskellene mellem CHAP og PAP er kun det første skridt.
CHAP integreres med Remote Authentication Dial-In bruger service, eller RADIUS, protokol. Kerberos tilbyder et mere sofistikeret og sikkert værktøj til fjernbrugergodkendelse.
at lære forskellene mellem CHAP og udvidelig godkendelsesprotokol, letvægts udvidelig godkendelsesprotokol og trådløs beskyttet adgang version 2-protokol hjælper IT-professionelle med at træffe den bedste beslutning.
CHAP arbejder med fire forskellige typer pakker. Hver pakke identificeres ved værdien af dens Kodefelt som følger:
- autentificeringssystemet-normalt en netværksadgangsserver eller-kontakt-sender en CHAP-Udfordringspakke for at starte godkendelsesprocessen. Når en PPP-session er startet, kan systemet eller netværket, der er adgang til, kræve, at fjernbrugeren autentificerer. Udfordringen inkluderer autentificatorens værtsnavn.
- fjernbrugerens system skal sende en chap-Responspakke som svar på en udfordring. Fjernsystemet sender en sikker hash baseret på fjernbrugerens adgangskode i Svarpakken. Autentificatoren sammenligner hash af brugerens adgangskode med den forventede værdi. Fjernbrugeren godkendes, hvis de matcher; ellers mislykkes godkendelsen.
- autentificeringssystemet-netværksadgangsserveren-sender en CHAP-Succespakke, hvis fjernbrugerens hash matcher den hash, som serveren forventer.
- godkendelsessystemet sender en chap-Fejlpakke, hvis fjernbrugerens adgangskodehash ikke svarer til den værdi, som brugeren har sendt.
hvis fjernsystemet ikke reagerer på en Udfordringspakke, kan autentificatoren gentage processen. Autentificering afslutter fjernbrugerens adgang, hvis de ikke kan godkende.
Kap vs. PAP
CHAP er en mere sikker procedure for tilslutning til et system end PAP.
PAP-og CHAP-godkendelsesordningerne blev begge oprindeligt specificeret til godkendelse af fjernbrugere, der forbinder til netværk eller systemer, der bruger PPP. Chaps trevejs håndtryksprotokol giver stærkere beskyttelse mod adgangskodegættende og aflyttende angreb end PAPS tovejs håndtryk.
godkendelse med PAP kræver, at fjernbrugeren indsender deres brugernavn og adgangskode, og godkendelsessystemet tillader eller nægter derefter brugeradgangen baseret på disse legitimationsoplysninger.
CHAP sikrer godkendelsesprocessen ved hjælp af en mere sofistikeret protokol. CHAP implementerer en trevejs håndtryksprotokol, der skal bruges, når værten opretter en PPP-forbindelse med den eksterne ressource.
PAP definerer et tovejs håndtryk for en fjernbruger til at starte fjernadgang:
- fjernsystemet sender et brugernavn og en adgangskode, der gentager transmissionen, indtil netværksadgangsserveren reagerer.
- netværksadgangsserveren sender en godkendelsesbekræftelse, hvis legitimationsoplysningerne er godkendt. Hvis legitimationsoplysningerne ikke godkendes, sender netværksadgangsserveren en negativ bekræftelse.
mens PAP kan bruges som en minimumsprotokol for at gøre det muligt for en fjernbruger at starte en netværksforbindelse, giver CHAP en mere sikker godkendelsesprotokol.
Leave a Reply