Протокол аутентификации запроса-рукопожатия

редактировать

В вычислениях, Аутентификация запроса-рукопожатия Протокол (CHAP ) аутентифицирует пользователя или сетевой хост для аутентифицирующего объекта. Этим объектом может быть, например, интернет-провайдер.

CHAP, обеспечивающий защиту от атак повторного воспроизведения со стороны однорангового узла посредством использования постепенно изменяющегося идентификатора и переменного значения вызова. CHAP требует, чтобы и клиент, и сервер знали открытый текст секрета, хотя он никогда не передается по сети. Таким образом, CHAP обеспечивает лучшую безопасность по сравнению с протоколом аутентификации пароля (PAP), который уязвим по обеим этим причинам. Вариант MS-CHAP не требует, чтобы какой-либо одноранговый узел знал открытый текст, и не передает его, но был нарушен.

Содержание

1 Рабочий цикл
2 пакета CHAP
3 См. Также
4 Ссылки
5 Внешние ссылки

Рабочий цикл

CHAP - это схема аутентификации, используемая серверами Point-to-Point Protocol (PPP) для проверки личность удаленных клиентов. CHAP периодически проверяет идентичность клиента, используя трехстороннее рукопожатие. Это происходит во время установления начального канала (LCP) и может повториться в любое время после этого. Проверка основана на совместно используемом секрете (таком как пароль клиента).

После завершения фазы установления связи аутентификатор отправляет одноранговому узлу сообщение с запросом.
Одноранговый узел отвечает значением, вычисленным с использованием односторонней хэш-функции для объединенного запроса и секрета.
Аутентификатор проверяет ответ по своему собственному вычислению ожидаемого хеш-значения. Если значения совпадают, аутентификатор подтверждает аутентификацию; в противном случае он должен разорвать соединение.
Через случайные промежутки времени аутентификатор отправляет новый запрос партнеру и повторяет шаги с 1 по 3.

Пакеты CHAP

Описание	1 байт	1 байт	2 байта	1 байт	Переменная	переменная
Запрос	Код = 1	ID	Длина	Длина запроса	Значение запроса	Имя
Ответ	Код = 2	ID	Длина	Длина ответа	Значение ответа	Имя
Успех	Код = 3	ID	Длина		Сообщение
Ошибка	Код = 4	ID	Длина		Сообщение

ID, выбранный для случайного запроса, также используется в соответствующих пакетах ответа, успеха и отказа. Новая задача с новым идентификатором должна отличаться от последней задачи с другим идентификатором. Если успех или неудача потеряны, тот же ответ может быть отправлен снова, и он запускает ту же индикацию успеха или неудачи. Для MD5 в качестве хеша значение ответа - MD5 (ID || secret || проблема), MD5 для объединения идентификатора, секрета и запроса.

См. Также

В Викиучебнике есть книга по темам: Сертификация Network Plus / Безопасность / Аутентификация пользователя

Ссылки

Внешние ссылки

RFC 1994 Протокол аутентификации с подтверждением установления связи PPP (CHAP)
RFC 2865 Служба удаленной аутентификации с телефонным подключением (RADIUS ): использует PAP или CHAP
RFC 3748 Extensible Authentication Protocol (EAP ): обсуждает CHAP