CHAP (Challenge-Handshake Authentication Protocol)
Vad är CHAP (Challenge-Handshake Authentication Protocol)?
Chap (Challenge-Handshake Authentication Protocol) är en utmanings-och svarsautentiseringsmetod som PPP-servrar (Point-to-Point Protocol) använder för att verifiera identiteten hos en fjärranvändare. CHAP-autentisering börjar efter att fjärranvändaren initierar en PPP-länk.
CHAP gör det möjligt för fjärranvändare att identifiera sig till ett autentiseringssystem utan att avslöja sitt lösenord. Med CHAP använder autentiseringssystem en delad hemlighet-lösenordet – för att skapa en kryptografisk hash med MD5 message digest-algoritmen.
CHAP använder en trevägs handskakning för att verifiera och autentisera användarens identitet, medan Password Authentication Protocol (Pap) använder en tvåvägs handskakning för autentisering mellan fjärranvändaren och PPP-servern.
designad för att användas med PPP för autentisering av fjärranvändare, används CHAP regelbundet under en fjärrsession för att återautentisera användaren. PAP och CHAP är främst avsedda för fjärranslutningar över uppringda linjer eller omkopplade kretsar, liksom för dedikerade länkar.
PAP och CHAP används ofta för att förhandla om en nätverksanslutning till en Internetleverantör. CHAP specificeras i Begäran om kommentarer 1994.
hur fungerar CHAP?
så här fungerar CHAP:
- när länken är gjord skickar servern ett utmaningsmeddelande till anslutningsförfrågaren.
- förfrågaren svarar med ett värde som erhålls genom att använda en enkelriktad hash-funktion som kallas MD5.
- servern kontrollerar svaret genom att jämföra det med sin egen beräkning av det förväntade hashvärdet. Om värdena matchar bekräftas autentiseringen; annars avslutas anslutningen vanligtvis.
servern kan skicka en ny utmaning till begäraren slumpmässigt under sessionen för att återautentisera begäraren. Steg 1 till 3 upprepas sedan.
när som helst kan servern begära att den anslutna parten skickar ett nytt utmaningsmeddelande. Eftersom CHAP-identifierare ändras ofta och autentisering kan begäras av servern när som helst, ger CHAP mer säkerhet än PAP.
typer av CHAP-paket
PPP bär CHAP-paket mellan autentiseraren och begäraren. CHAP-paket består av en rubrik, som innehåller följande:
- Kodfält, som innehåller en åtta-bitars kod som identifierar typen av CHAP-paket som skickas-giltiga värden är 1 till 4;
- Identifieringsfält, vilket är ett godtyckligt åtta-bitars ID som identifierar paketet som tillhör en autentiseringssekvens;
- Längdfält, som innehåller antalet byte i CHAP-paketet; och
- datafält, som inkluderar alla data som begärs eller inlämnad och värden beroende på vilken typ av Chap-paket det transporteras in.
Vidare läsning
CHAP och PAP var bland de första försöken att implementera säker fjärråtkomst, och att förstå skillnaderna mellan CHAP och PAP är bara det första steget.
CHAP integreras med Fjärrautentisering uppringd användartjänst, eller RADIUS, protokoll. Kerberos erbjuder ett mer sofistikerat och säkert verktyg för fjärranvändarautentisering.
att lära sig skillnaderna mellan CHAP och Extensible Authentication Protocol, Lightweight Extensible Authentication Protocol och Wi-Fi Protected Access version 2-protokollet hjälper IT-proffs att fatta det bästa beslutet.
CHAP arbetar med fyra olika typer av paket. Varje paket identifieras med värdet på dess Kodfält enligt följande:
- autentiseringssystemet-vanligtvis en nätverksåtkomstserver eller switch-skickar ett CHAP Challenge-paket för att starta autentiseringsprocessen. Efter att en PPP-session har initierats kan systemet eller nätverket som nås kräva att fjärranvändaren autentiserar. Utmaningen inkluderar autentiserarens värdnamn.
- fjärranvändarens system måste skicka ett CHAP-svarspaket som svar på en utmaning. Fjärrsystemet skickar en säker hash baserat på fjärranvändarens lösenord i Svarspaketet. Autentiseraren jämför hash för användarens lösenord med det förväntade värdet. Fjärranvändaren autentiseras om de matchar; annars misslyckas autentiseringen.
- autentiseringssystemet – nätverksåtkomstservern-skickar ett Chap-Framgångspaket om fjärranvändarens hash matchar hash som förväntas av servern.
- autentiseringssystemet skickar ett CHAP-Felpaket om fjärranvändarens lösenordshash inte matchar det värde som skickas av användaren.
om fjärrsystemet inte svarar på ett Utmaningspaket kan autentiseraren upprepa processen. Autentiseraren avslutar fjärranvändarens åtkomst om de inte kan autentisera.
CHAP vs. PAP
CHAP är en säkrare procedur för anslutning till ett system än PAP.
PAP-och CHAP-autentiseringsscheman var båda ursprungligen specificerade för autentisering av fjärranvändare som ansluter till nätverk eller system med PPP. CHAP trevägs handskakning protokoll ger starkare skydd mot lösenord gissa och avlyssning attacker än PAP tvåvägs handskakning.
autentisering med PAP kräver att fjärranvändaren skickar in sitt användarnamn och lösenord, och autentiseringssystemet tillåter eller nekar användaråtkomst baserat på dessa referenser.
CHAP säkrar autentiseringsprocessen genom att använda ett mer sofistikerat protokoll. CHAP implementerar ett trevägs handskakningsprotokoll som ska användas efter att värden har upprättat en PPP-anslutning med fjärrresursen.
Pap definierar en tvåvägs handskakning för en fjärranvändare att initiera fjärråtkomst:
- fjärrsystemet skickar ett användarnamn och lösenord och upprepar överföringen tills nätverksåtkomstservern svarar.
- nätverksåtkomstservern sänder en autentiseringsbekräftelse om autentiseringsuppgifterna är autentiserade. Om autentiseringsuppgifterna inte autentiseras skickar nätverksåtkomstservern en negativ bekräftelse.
medan PAP kan användas som ett minimum protokoll för att göra det möjligt för en fjärranvändare att initiera en nätverksanslutning, ger CHAP ett säkrare autentiseringsprotokoll.
Leave a Reply