В вычислениях протокол аутентификации « вызов-рукопожатие» ( CHAP ) аутентифицирует пользователя или сетевой хост для аутентифицирующего объекта. Этой организацией может быть, например, провайдер Интернет-услуг .
CHAP обеспечивает защиту от атак повторного воспроизведения со стороны однорангового узла за счет использования постепенно изменяющегося идентификатора и переменного значения вызова. CHAP требует, чтобы и клиент, и сервер знали открытый текст секрета, хотя он никогда не пересылается по сети. Таким образом, CHAP обеспечивает лучшую безопасность по сравнению с протоколом аутентификации пароля (PAP), который уязвим по обеим этим причинам. Вариант MS-CHAP не требует, чтобы какой-либо одноранговый узел знал открытый текст, и не передает его, но был нарушен. [1]
Рабочий цикл [ править ]
CHAP - это схема аутентификации, используемая серверами протокола точка-точка (PPP) для проверки подлинности удаленных клиентов. CHAP периодически проверяет личность клиента с помощью трехстороннего рукопожатия . Это происходит во время установления начального соединения (LCP) и может произойти снова в любое время после этого. Проверка основана на общем секрете (таком как пароль клиента). [2]
- После завершения фазы установления связи аутентификатор отправляет партнеру сообщение с вызовом.
- Одноранговый узел отвечает значением, вычисленным с использованием односторонней хеш-функции для объединенного запроса и секрета.
- Аутентификатор проверяет ответ по собственному расчету ожидаемого значения хеш-функции. Если значения совпадают, аутентификатор подтверждает аутентификацию; в противном случае он должен разорвать соединение.
- Через случайные промежутки времени аутентификатор отправляет новый запрос партнеру и повторяет шаги с 1 по 3.
Пакеты CHAP [ править ]
Описание | 1 байт | 1 байт | 2 байта | 1 байт | Переменная | Переменная |
---|---|---|---|---|---|---|
Испытание | Код = 1 | Я БЫ | Длина | Продолжительность испытания | Ценность задачи | Имя |
Ответ | Код = 2 | Я БЫ | Длина | Длина ответа | Значение ответа | Имя |
Успех | Код = 3 | Я БЫ | Длина | Сообщение | ||
Отказ | Код = 4 | Я БЫ | Длина | Сообщение |
ID, выбранный для случайного запроса, также используется в соответствующих пакетах ответа, успеха и отказа. Новая задача с новым идентификатором должна отличаться от последней задачи с другим идентификатором. Если успех или неудача потеряны, тот же ответ может быть отправлен снова, и он активирует ту же индикацию успеха или неудачи. Для MD5 в качестве хэша значение ответа равно MD5(ID||secret||challenge)
MD5 для объединения идентификатора, секрета и запроса. [3]
См. Также [ править ]
В Викиучебнике есть книга по темам: Сертификация Network Plus / Безопасность / Проверка подлинности пользователей. |
- Список протоколов аутентификации
- Протокол аутентификации пароля
- Аутентификация запрос – ответ
- Криптографическая хеш-функция
Ссылки [ править ]
- ^ «Разделяй и властвуй: взлом MS-CHAPv2 со 100% успехом» . Дэвид Халтон . 2012. Архивировано из оригинала 16 марта 2016 года . Проверено 10 марта 2013 .
- ^ Forouzan (2007). Передача данных и сети 4E Sie . McGraw-Hill Education (India) Pvt Limited. С. 352–. ISBN 978-0-07-063414-5. Проверено 24 ноября 2012 года .
- ^ «Понимание и настройка аутентификации PPP CHAP» . Техническая записка Cisco . 2005 . Проверено 14 августа 2011 .