CHAP (Challenge-Handshake Authentication Protocol)

mi az a CHAP (Challenge-Handshake Authentication Protocol)?

FICKÓ (Kihívás-Kézfogás Hitelesítési Protokoll) egy kihívás-válasz hitelesítési módszer, hogy pont-Pont Protokoll (PPP) szerverek használata, hogy a személyazonosságát egy távoli felhasználó. A CHAP-hitelesítés akkor kezdődik, amikor a távoli felhasználó PPP-kapcsolatot kezdeményez.

a CHAP lehetővé teszi a távoli felhasználók számára, hogy azonosítsák magukat egy hitelesítő rendszerben, anélkül, hogy feltennék a jelszavukat. A CHAP segítségével a hitelesítő rendszerek megosztott titkot – a jelszót-használnak egy kriptográfiai hash létrehozásához az MD5 message digest algoritmus segítségével.

a CHAP háromirányú kézfogást használ a felhasználó identitásának ellenőrzésére és hitelesítésére, míg a Password Authentication Protocol (pap) kétirányú kézfogást használ a távoli felhasználó és a PPP szerver közötti hitelesítéshez.

úgy tervezték, hogy használható PPP hitelesítésére távoli felhasználók, CHAP alkalmazzák időszakosan egy távoli munkamenet során újra hitelesíteni a felhasználó. A PAP és a CHAP elsősorban telefonos vagy kapcsolt áramkörökön keresztüli távoli kapcsolatokra, valamint dedikált kapcsolatokra szolgál.

a PAP-ot és a CHAP-ot általában az internetszolgáltatóval való hálózati kapcsolat megtárgyalására használják. A CHAP-ot az 1994-es Megjegyzések iránti kérelem határozza meg.

hogyan működik a CHAP?

így működik a CHAP:

  1. a kapcsolat létrehozása után a kiszolgáló Kihívási üzenetet küld a kapcsolat kérelmezőjének.
  2. a kérelmező az MD5 néven ismert egyirányú hash függvény használatával kapott értékkel válaszol.
  3. a szerver ellenőrzi a választ, összehasonlítva azt a várt hash érték saját kiszámításával. Ha az értékek egyeznek, a hitelesítés nyugtázásra kerül; ellenkező esetben a kapcsolat általában megszakad.

a kiszolgáló véletlenszerűen küldhet új kihívást a kérelmezőnek a munkamenet során, hogy újra hitelesítse a kérelmezőt. Az 1-3. lépéseket ezután megismételjük.

a szerver bármikor kérheti a csatlakoztatott felet, hogy küldjön új Kihívási üzenetet. Mivel a CHAP azonosítók gyakran változnak, és a kiszolgáló bármikor kérheti a hitelesítést, a CHAP nagyobb biztonságot nyújt, mint a PAP.

CHAP háromirányú kézfogás
a CHAP háromirányú kézfogási protokollt használ a felhasználók hitelesítésére a PPP munkamenetek során.

a CHAP csomagok típusai

a PPP CHAP csomagokat hordoz a hitelesítő és a kérelmező között. A CHAP csomagok egy fejlécből állnak, amely a következőket tartalmazza:

  • Kódmező, amely egy nyolc bites kódot tartalmaz, amely azonosítja az elküldött CHAP csomag típusát — az érvényes értékek 1-4;
  • azonosító mező, amely egy tetszőleges nyolc bites azonosító, amely azonosítja a csomagot egy hitelesítési sorozathoz tartozóként;
  • Hosszmező, amely tartalmazza a CHAP csomagban lévő bájtok számát; és
  • adatmező, amely tartalmazza a kért adatokat vagy a beküldött értékek attól függően, hogy milyen típusú chap csomagot szállítanak.

a CHAP és a PAP voltak az első kísérletek a biztonságos távoli hozzáférés megvalósítására, és a CHAP és a PAP közötti különbségek megértése csak az első lépés.

a CHAP integrálódik a távoli hitelesítési telefonos felhasználói szolgáltatással vagy a RADIUS protokollal. A Kerberos egy kifinomultabb és biztonságosabb eszközt kínál a távoli felhasználói hitelesítéshez.

a CHAP és az Extensible Authentication Protocol, a Lightweight Extensible Authentication Protocol és a Wi-Fi Protected Access version 2 protokoll közötti különbségek megismerése segít az informatikai szakembereknek a legjobb döntés meghozatalában.

a CHAP négy különböző típusú csomaggal működik. Minden csomagot a Kódmező értéke azonosít, az alábbiak szerint:

  1. a hitelesítő rendszer-általában hálózati hozzáférési kiszolgáló vagy kapcsoló-CHAP Challenge csomagot küld a hitelesítési folyamat elindításához. A PPP-munkamenet megkezdése után a rendszer vagy a hálózat hozzáférése megkövetelheti a távoli felhasználó hitelesítését. A kihívás tartalmazza a hitelesítő gazdagép nevét.
  2. a távoli felhasználó rendszerének egy CHAP Válaszcsomagot kell küldenie egy kihívásra. A távoli rendszer biztonságos kivonatot küld a távoli felhasználó jelszava alapján a Válaszcsomagban. A hitelesítő összehasonlítja a felhasználó jelszavának kivonatát a várt értékkel. A távoli felhasználó hitelesítésre kerül, ha egyezik; ellenkező esetben a hitelesítés sikertelen.
  3. a hitelesítő rendszer-a hálózati hozzáférési kiszolgáló-egy Chap Sikercsomagot küld, ha a távoli felhasználó kivonata megegyezik a kiszolgáló által elvárt kivonattal.
  4. a hitelesítő rendszer CHAP Hibacsomagot küld, ha a távoli felhasználó jelszavának kivonata nem egyezik meg a felhasználó által küldött értékkel.

ha a távoli rendszer nem válaszol egy Kihívási csomagra, a hitelesítő megismételheti a folyamatot. A hitelesítő megszünteti a távoli felhasználó hozzáférését, ha nem tudja hitelesíteni.

fickó vs. PAP

a CHAP biztonságosabb eljárás a rendszerhez való csatlakozáshoz, mint a PAP.

a PAP és a CHAP hitelesítési sémákat eredetileg a PPP használatával hálózatokhoz vagy rendszerekhez csatlakozó távoli felhasználók hitelesítésére határozták meg. A CHAP háromirányú kézfogási protokollja erősebb védelmet nyújt a jelszó-találgatás és a lehallgatási támadások ellen, mint PAP kétirányú kézfogása.

CHAP vs.PAP
a CHAP és a PAP több szempontból is különböznek egymástól, leginkább az, hogy a CHAP biztonságosabb, mint a PAP.

a PAP használatával történő hitelesítéshez a távoli felhasználónak meg kell adnia felhasználónevét és jelszavát, majd a hitelesítő rendszer engedélyezi vagy megtagadja a felhasználói hozzáférést ezen hitelesítő adatok alapján.

PAP kétirányú kézfogás
a PAP egy egyszerű kétirányú kézfogás a távoli felhasználók hitelesítéséhez.

a CHAP egy kifinomultabb protokoll használatával biztosítja a hitelesítési folyamatot. A CHAP egy háromutas kézfogási protokollt valósít meg, amelyet azután kell használni, hogy a gazdagép PPP kapcsolatot létesít a távoli erőforrással.

a PAP kétirányú kézfogást határoz meg egy távoli felhasználó számára a távoli hozzáférés kezdeményezéséhez:

  1. a távoli rendszer felhasználónevet és jelszót küld, és megismétli az átvitelt, amíg a hálózati hozzáférési szerver válaszol.
  2. a hálózati hozzáférési kiszolgáló hitelesítési nyugtát küld, ha a hitelesítő adatok hitelesek. Ha a hitelesítő adatok nincsenek hitelesítve, a hálózati hozzáférési kiszolgáló negatív nyugtát küld.

míg a PAP használható minimális protokollként a távoli felhasználók számára a hálózati kapcsolat kezdeményezéséhez, a CHAP biztonságosabb hitelesítési protokollt biztosít.

Leave a Reply