CHAP: различия между версиями

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
Интерактивная навигация по истории
(Показать все непатрулированные изменения)
[непроверенная версия][непроверенная версия]
← Предыдущая правкаСледующая правка →
Содержимое удалено Содержимое добавлено
ВизуальныйВики-текст
Нет описания правки
Строка 1: Строка 1:
'''CHAP''' ({{lang-en|Challenge Handshake Authentication Protocol}}) — протокол [[Аутентификация|аутентификации]] с косвенным согласованием, который является алгоритмом проверки подлинности и предусматривает передачу не самого пароля пользователя, а косвенных сведений о нём. Аутентификация [[Узел сети|узла]] выполняется путём трехэтапной процедуры согласования<ref name="CHAP">{{Статья|автор=Nitish Dalal, Jenny Shah, Khushboo Hisaria, Devesh Jinwala|заглавие=A Comparative Analysis of Tools for Verification of Security Protocols|ссылка=http://file.scirp.org/pdf/IJCNS20101000003_56216983.pdf|язык=|издание=|тип=|год=2010|месяц=|число=|том=|номер=|страницы=785|issn=}}</ref><ref>{{Cite web|title=Cisco - PPP CHAP|url=https://www.cisco.com/c/ru_ru/support/docs/wan/point-to-point-protocol-ppp/25647-understanding-ppp-chap.pdf|work=|date=|accessdate=|language=}}</ref>. Протокол CHAP широко используется различными поставщиками серверов и клиентов сетевого доступа<ref>{{Cite web|title=Microsoft Technet - CHAP|url=https://technet.microsoft.com/ru-ru/library/dd469797(v=ws.10).aspx|work=|date=|accessdate=|language=}}</ref>. Определён в RFC 1994.
'''CHAP''' ({{lang-en|Challenge Handshake Authentication Protocol}}) — широко распространённый алгоритм проверки подлинности, предусматривающий передачу не самого пароля пользователя, а косвенных сведений о нём. При использовании CHAP [[сервер удалённого доступа]] отправляет клиенту строку запроса. На основе этой строки и пароля пользователя клиент вычисляет [[хеш-код]] [[MD5]] ({{lang-en|Message Digest-5}}) и передаёт его серверу. Хеш вычисляется по следующим параметрам: MD5(idpasswordrand_bytes) [[Хеш-функция]] является алгоритмом одностороннего (необратимого) шифрования (преобразования), поскольку значение хеш-функции для блока данных вычислить легко, а определить исходный блок по хеш-коду с математической точки зрения невозможно за приемлемое время. Сервер, которому доступен пароль пользователя, выполняет те же самые вычисления и сравнивает результат с хеш-кодом, полученным от клиента. В случае совпадения учётные данные клиента удалённого доступа считаются подлинными. Наиболее важной особенностью алгоритма CHAP является то, что пароль никогда не пересылается по каналу, что значительно увеличивает безопасность процесса аутентификации по сравнению с использованием протокола [[Password Authentication Protocol|PAP]].
== Цикл работы ==
# После установления [[PPP (сетевой протокол)|PPP]]-соединения и одобрения обеих сторон на подключение по CHAP протоколу аутентификатор отправляет на одноранговый узел сообщение-запрос.
# Узел посылает ответ со значением, рассчитанным с помощью алгоритма хеширования [[MD5|MD5]].
# Аутентификатор сравнивает ответ, который посчитал узел, со своим расчетом ожидаемого значения [[Хеш-сумма|хеша]]. Если значения совпадают, то проверка подлинности считается успешной. При разных значениях происходит разрыв соединения.
Через различные промежутки времени аутентификатор посылает новое сообщение-запрос узлу и шаги 1-3 повторяются.<ref name="CHAP"></ref><ref>{{Статья|автор=W. Simpson|заглавие=PPP Challenge Handshake Authentication Protocol (CHAP)|ссылка=https://tools.ietf.org/html/rfc1994|язык=|издание=|тип=|год=1996|месяц=|число=|том=|номер=|страницы=2|issn=}}</ref>


== Документы RFC ==
== Особенности ==
* CHAP обеспечивает защиту от [[Атака повторного воспроизведения|атак повторного воспроизведения]]. Достигается подобная защита из-за возрастающего значения идентификатора и переменного значения сообщения-запроса.
Протокол CHAP определен в RFC 1994.
* Метод проверки подлинности основан на том, что аутентификатору и узлу известен "секрет", который никогда не посылается по каналу.
* Не смотря на то, что проверка подлинности производится только в одну сторону, CHAP-переговоры можно вести в обоих направлениях c помощью одного "секрета", обеспечивая взаимную аутентификацию.


== См. также ==
== См. также ==
Строка 8: Строка 15:
* [[Password Authentication Protocol|PAP]]
* [[Password Authentication Protocol|PAP]]
* [[MS-CHAP]]
* [[MS-CHAP]]
* [[Вызов-ответ (авторизация)|Вызов-ответ (Challenge-Response)]]


== Примечания ==
{{compu-net-stub}}
<references />

== Литература ==
* {{cite web
|url = http://file.scirp.org/pdf/IJCNS20101000003_56216983.pdf
|title = A Comparative Analysis of Tools for Verification of Security Protocols
|author = Nitish Dalal, Jenny Shah, Khushboo Hisaria, Devesh Jinwala
|date = October 2010
|website = http://www.scirp.org/
|publisher = International Journal of Communications, Network and System Sciences
|accessdate =
|lang = en
|ref = A Comparative Analysis of Tools for Verification of Security Protocols
}}

* {{cite web
|url = https://tools.ietf.org/html/rfc1994
|title = PPP Challenge Handshake Authentication Protocol (CHAP)
|author = W. Simpson
|date = August 1996
|website = https://www.ietf.org/
|publisher =
|accessdate =
|lang = en
|ref = PPP Challenge Handshake Authentication Protocol (CHAP)
}}

* {{cite web
|url = http://orbi.ulg.ac.be/bitstream/2268/23844/1/RUN-PP00-01.pdf
|title = Verification of two versions of the Challenge Handshake Authentication Protocol (CHAP)
|author = Guy Leduc
|date = February 1999
|website = http://orbi.ulg.ac.be/
|publisher = Annals of Telecommunications
|accessdate =
|lang = en
|ref = Verification of two versions of the Challenge Handshake Authentication Protocol (CHAP)
}}


[[Категория:Протоколы AAA]]
[[Категория:Интернет-протоколы]]
[[Категория:Интернет-протоколы]]
[[Категория:Аутентификация]]
[[Категория:Криптография]]

Версия от 00:26, 24 декабря 2017

CHAP (англ. Challenge Handshake Authentication Protocol) — протокол аутентификации с косвенным согласованием, который является алгоритмом проверки подлинности и предусматривает передачу не самого пароля пользователя, а косвенных сведений о нём. Аутентификация узла выполняется путём трехэтапной процедуры согласования[1][2]. Протокол CHAP широко используется различными поставщиками серверов и клиентов сетевого доступа[3]. Определён в RFC 1994.

Цикл работы

  1. После установления PPP-соединения и одобрения обеих сторон на подключение по CHAP протоколу аутентификатор отправляет на одноранговый узел сообщение-запрос.
  2. Узел посылает ответ со значением, рассчитанным с помощью алгоритма хеширования MD5.
  3. Аутентификатор сравнивает ответ, который посчитал узел, со своим расчетом ожидаемого значения хеша. Если значения совпадают, то проверка подлинности считается успешной. При разных значениях происходит разрыв соединения.

Через различные промежутки времени аутентификатор посылает новое сообщение-запрос узлу и шаги 1-3 повторяются.[1][4]

Особенности

  • CHAP обеспечивает защиту от атак повторного воспроизведения. Достигается подобная защита из-за возрастающего значения идентификатора и переменного значения сообщения-запроса.
  • Метод проверки подлинности основан на том, что аутентификатору и узлу известен "секрет", который никогда не посылается по каналу.
  • Не смотря на то, что проверка подлинности производится только в одну сторону, CHAP-переговоры можно вести в обоих направлениях c помощью одного "секрета", обеспечивая взаимную аутентификацию.

См. также

Примечания

  1. 1 2 Nitish Dalal, Jenny Shah, Khushboo Hisaria, Devesh Jinwala. A Comparative Analysis of Tools for Verification of Security Protocols. — 2010. — С. 785.
  2. Cisco - PPP CHAP.
  3. Microsoft Technet - CHAP.
  4. W. Simpson. PPP Challenge Handshake Authentication Protocol (CHAP). — 1996. — С. 2.

Литература

Источник — https://ru.wikipedia.org/w/index.php?title=CHAP&oldid=89827900