Протокол аутентификации Challenge-Handshake - Challenge-Handshake Authentication Protocol
В вычисление, то Протокол аутентификации Challenge-Handshake (ГЛАВА) удостоверяет подлинность пользователь или сетевой хост для аутентифицирующего объекта. Этот объект может быть, например, интернет-провайдер.
CHAP обеспечивает защиту от повторные атаки одноранговым узлом посредством использования постепенно изменяющегося идентификатора и переменного значения вызова. CHAP требует, чтобы и клиент, и сервер знали открытый текст секрета, хотя он никогда не передается по сети. Таким образом, CHAP обеспечивает лучшую безопасность по сравнению с Протокол аутентификации пароля (PAP), который уязвим по обеим этим причинам. В MS-CHAP Вариант не требует, чтобы ни один из партнеров знал открытый текст и не передает его, но был нарушен.[1]
Рабочий цикл
CHAP - это схема аутентификации, используемая Протокол точка-точка (PPP) серверы для проверки личности удаленных клиентов. CHAP периодически проверяет подлинность клиент используя трехстороннее рукопожатие. Это происходит во время установления первоначального ссылка (LCP), и может повториться в любое время после этого. Проверка основана на поделился секретом (например, пароль клиента).[2]
- После завершения фазы установления связи аутентификатор отправляет партнеру сообщение «запрос».
- Партнер отвечает значением, рассчитанным с использованием односторонняя хеш-функция о вызове и секрете вместе взятых.
- Аутентификатор проверяет ответ по собственному расчету ожидаемого хэш-значения. Если значения совпадают, аутентификатор подтверждает аутентификацию; в противном случае он должен разорвать соединение.
- Через случайные промежутки времени аутентификатор отправляет новый запрос партнеру и повторяет шаги с 1 по 3.
Пакеты CHAP
Описание | 1 байт | 1 байт | 2 байта | 1 байт | Переменная | Переменная |
---|---|---|---|---|---|---|
Испытание | Код = 1 | Я БЫ | Длина | Продолжительность испытания | Ценность задачи | Имя |
Ответ | Код = 2 | Я БЫ | Длина | Длина ответа | Значение ответа | Имя |
Успех | Код = 3 | Я БЫ | Длина | Сообщение | ||
Отказ | Код = 4 | Я БЫ | Длина | Сообщение |
ID, выбранный для случайного запроса, также используется в соответствующих пакетах ответа, успеха и отказа. Новая задача с новым идентификатором должна отличаться от последней задачи с другим идентификатором. Если успех или неудача потеряны, тот же ответ может быть отправлен снова, и он запускает ту же индикацию успеха или неудачи. За MD5 в качестве хеша значение ответа MD5 (ID || секрет || вызов)
, MD5 для объединения идентификатора, секрета и запроса.[3]
Смотрите также
- Список протоколов аутентификации
- Протокол аутентификации пароля
- Аутентификация запрос – ответ
- Криптографическая хеш-функция
Рекомендации
- ^ «Разделяй и властвуй: взлом MS-CHAPv2 со 100% вероятностью успеха». Дэвид Халтон. 2012. Архивировано с оригинал 16 марта 2016 г.. Получено 2013-03-10.
- ^ Форузан (2007). Передача данных и сети 4E Sie. McGraw-Hill Education (India) Pvt Limited. С. 352–. ISBN 978-0-07-063414-5. Получено 24 ноября 2012.
- ^ «Понимание и настройка аутентификации PPP CHAP». Техническая записка Cisco. 2005. Получено 2011-08-14.