CHAP (Challenge-Handshake Authentication Protocol)
mikä on CHAP (Challenge-Handshake Authentication Protocol)?
CHAP (Challenge-Handshake Authentication Protocol) on haaste-ja vastaustodentamismenetelmä, jota Point-to-Point Protocol (PPP) – palvelimet käyttävät etäkäyttäjän henkilöllisyyden varmentamiseen. CHAP-todennus alkaa, kun etäkäyttäjä käynnistää PPP-linkin.
CHAP mahdollistaa etäkäyttäjien tunnistautumisen todennusjärjestelmään paljastamatta salasanaansa. Chapin avulla todennusjärjestelmät käyttävät jaettua salaisuutta — salasanaa — luodakseen kryptografisen hajautuksen käyttäen MD5 message digest-algoritmia.
CHAP käyttää kolmiosaista kädenpuristusta käyttäjän henkilöllisyyden todentamiseen ja todentamiseen, kun taas Pap (Password Authentication Protocol) käyttää kaksisuuntaista kädenpuristusta etäkäyttäjän ja PPP-palvelimen väliseen todennukseen.
suunniteltu käytettäväksi PPP: n kanssa etäkäyttäjien todentamiseen, CHAP: tä käytetään ajoittain etäistunnon aikana käyttäjän todentamiseksi. PAP ja CHAP on ensisijaisesti tarkoitettu etäyhteydet yli dial-up linjat tai kytkettyjen piirien, sekä omistettu linkkejä.
PAP: tä ja CHAP: ia käytetään yleisesti neuvottelemaan verkkoyhteydestä internet-palveluntarjoajan kanssa. CHAP on täsmennetty Huomautuspyynnössä 1994.
miten CHAP vaikuttaa?
näin CHAP toimii:
- kun linkki on tehty, palvelin lähettää haasteviestin yhteyden pyytäjälle.
- pyytäjä vastaa arvolla, joka saadaan käyttämällä MD5-nimistä yksisuuntaista hajautusfunktiota.
- palvelin tarkistaa vastauksen vertaamalla sitä omaan laskuunsa odotetusta hajautusarvosta. Jos arvot täsmäävät, tunnistautuminen kuitataan; muussa tapauksessa yhteys yleensä katkaistaan.
palvelin voi lähettää uuden haasteen pyytäjälle satunnaisesti istunnon aikana, jotta pyytäjä todennettaisiin uudelleen. Vaiheet 1-3 toistetaan sitten.
palvelin voi milloin tahansa pyytää liitettyä osapuolta lähettämään uuden haasteviestin. Koska CHAP-tunnisteita vaihdetaan usein ja palvelin voi pyytää todennusta milloin tahansa, CHAP tarjoaa enemmän tietoturvaa kuin PAP.
tyypit HAKAPAKETIT
PPP kuljettaa HAKAPAKETTEJA todentajan ja pyytäjän välillä. CHAP-paketit koostuvat otsikosta, joka sisältää seuraavat:
- Code field, joka sisältää kahdeksanbittisen koodin, joka tunnistaa lähetettävän paketin tyypin — validit ovat 1-4;
- Identifier field, joka on mielivaltainen kahdeksanbittinen ID, joka tunnistaa paketin kuuluvan autentikointisekvenssiin;
- Length field, joka sisältää KAPPALEPAKETIN tavujen määrän; ja
- tietokenttä, joka sisältää kaikki pyydetyt tiedot tai toimitettu ja arvot riippuen tyyppi chap paketti sitä kuljetetaan.
lisätietoja
CHAP ja PAP olivat ensimmäisiä yrityksiä toteuttaa turvallinen etäyhteys, ja Chapin ja PAP: n välisten erojen ymmärtäminen on vasta ensimmäinen askel.
CHAP integroituu Remote Authentication Dial-in User Service eli RADIUS-protokollaan. Kerberos tarjoaa kehittyneemmän ja turvallisemman työkalun käyttäjän etätodennukseen.
Chap: n ja Extensible Authentication Protocolin, Lightweight Extensible Authentication Protocolin ja Wi-Fi Protected Access version 2-protokollan välisten erojen oppiminen auttaa IT-ammattilaisia tekemään parhaan päätöksen.
CHAP toimii neljän eri paketin kanssa. Jokainen paketti yksilöidään sen Koodikentän arvon perusteella seuraavasti:
- todennusjärjestelmä – yleensä verkkoyhteyspalvelin tai kytkin-lähettää CHAP Challenge-paketin todennusprosessin käynnistämiseksi. Kun PPP-istunto on aloitettu, järjestelmä tai verkko, jota käytetään, voi vaatia etäkäyttäjää todentamaan. Haasteeseen kuuluu autentikaattorin isäntänimi.
- etäkäyttäjän järjestelmän on lähetettävä CHAP-Vastauspaketti vastauksena haasteeseen. Etäjärjestelmä lähettää suojatun hajautuksen, joka perustuu vastauspaketissa olevaan etäkäyttäjän salasanaan. Authenticator vertaa käyttäjän salasanan hasista odotusarvoon. Etäkäyttäjä todennetaan, jos ne täsmäävät; muussa tapauksessa todennus epäonnistuu.
- todennusjärjestelmä — network access server– lähettää CHAP-Onnistumispaketin, jos etäkäyttäjän hajautuspaketti vastaa palvelimen odottamaa hajautuspakettia.
- todennusjärjestelmä lähettää CHAP-Vikapaketin, jos etäkäyttäjän salasana hash ei vastaa käyttäjän lähettämää arvoa.
jos Etäjärjestelmä ei vastaa Haastepakettiin, todentaja voi toistaa prosessin. Authenticator lopettaa etäkäyttäjän pääsyn, jos hän ei voi todentaa.
CHAP vs. Papa
CHAP on Papa: ta varmempi tapa liittää järjestelmä.
PAP-ja CHAP-autentikointijärjestelmät määriteltiin alun perin verkkoihin tai järjestelmiin PPP: tä käyttävien etäkäyttäjien todentamiseksi. Chapin kolmiosainen kättelyprotokolla tarjoaa vahvemman suojan salasanojen arvailua ja salakuunteluhyökkäyksiä vastaan kuin PAP: n kaksisuuntainen kädenpuristus.
todennus PAP: llä edellyttää, että etäkäyttäjä antaa käyttäjätunnuksensa ja salasanansa, ja todennusjärjestelmä joko sallii tai estää käyttäjän pääsyn näihin tunnuksiin perustuen.
CHAP turvaa autentikointiprosessin kehittyneemmän protokollan avulla. CHAP toteuttaa kolmiosaisen kättelyprotokollan, jota käytetään sen jälkeen, kun isäntä on luonut PPP-yhteyden etäresurssiin.
PAP määrittelee etäkäyttäjälle kaksisuuntaisen kädenpuristuksen etäkäytön aloittamiseksi:
- Etäjärjestelmä lähettää käyttäjätunnuksen ja salasanan, toistaen lähetyksen, kunnes verkkoyhteyspalvelin vastaa.
- network access-palvelin lähettää tunnistusvahvistuksen, jos tunnistetiedot on todennettu. Jos tunnistetiedot eivät ole todennettuja, network access server lähettää negatiivisen kuittauksen.
vaikka PAP-protokollaa voidaan käyttää minimiprotokollana, jotta etäkäyttäjä voi aloittaa verkkoyhteyden, chap tarjoaa turvallisemman todennusprotokollan.
Leave a Reply