Interested Article - CHAP
- 2020-09-13
- 1
CHAP ( англ. Challenge Handshake Authentication Protocol ) — протокол аутентификации с косвенным согласованием. Является алгоритмом проверки подлинности и предусматривает передачу не самого пароля пользователя, а косвенных сведений о нём. Аутентификация узла выполняется путём трехэтапной процедуры согласования . Протокол CHAP широко используется различными поставщиками серверов и клиентов сетевого доступа . Определён в .
Принцип работы
Можно выделить цикл, который состоит из трёх основных частей :
- После установления PPP -соединения и одобрения обеих сторон на подключение по CHAP-протоколу аутентификатор отправляет на узел пакет CHAP, имеющий тип Сhallenge (вызов), который содержит в себе открытый ключ .
- Узел на основе полученного открытого ключа и своего секрета , вычисляет хеш с помощью алгоритма хеширования MD5 и отправляет пакет CHAP, имеющий тип Response (отклик), содержащий в себе вычисленный хеш.
- Аутентификатор сравнивает полученное значение хеша со своим расчётом ожидаемого значения хеша. Если значения совпадают, то проверка подлинности считается успешной. При отличающихся значениях происходит разрыв соединения.
Через различные промежутки времени аутентификатор посылает новый запрос узлу, и шаги 1-3 повторяются .
Структура пакетов CHAP
В информационное поле пакетов PPP с полем протокола 0xc223 инкапсулируется единственный пакет CHAP, который содержит следующие поля :
- Code (Код). Поле Code длиной один октет идентифицирует тип пакета CHAP и может принимать одно из следующих значений:
- Сhallenge (вызов, проверка);
- Response (отклик);
- Success (успех);
- Failure (отказ).
- Identifier (Идентификатор). Поле Identifier длиной один октет позволяет провести дополнительную идентификацию в зависимости от типа пакета. Участвует в согласовании запроса, ответа и подтверждения.
- Length (Длина). Поле Length длиной два октета определяет длину пакета CHAP, включая все поля (код, идентификатор, длина и данные).
- Data (Данные). Длина поля Data равна нулю или более октетов. Содержит данные в формате, определяемом полем кода.
Требования к архитектуре
- Длина секрета должна быть не менее 1 октета. Предпочтительно, чтобы секрет был примерно той же длины, что и значение хеша используемой хеш-функции (16 октетов для MD5 ). Это необходимо, чтобы обеспечить достаточно большой диапазон для секрета, в целях защиты от атак повторного воспроизведения .
- Каждое значение запроса должно иметь глобальную и временную уникальность и быть полностью непредсказуемым, чтобы злоумышленник не смог обмануть узел предугаданным будущим запросом и отправить ответ аутентификатору .
Преимущества
- CHAP обеспечивает защиту от атак повторного воспроизведения. Достигается подобная защита из-за возрастающего значения идентификатора и переменного значения открытого ключа .
- Метод проверки подлинности основан на том, что аутентификатору и узлу известен секрет , который никогда не посылается по каналу. Именно поэтому CHAP обеспечивает лучшую защиту по сравнению с PAP .
- Несмотря на то, что проверка подлинности производится только в одну сторону, CHAP-переговоры можно вести в обоих направлениях c помощью того же секрета, обеспечивая взаимную аутентификацию .
Недостатки
- CHAP требует, чтобы секрет был доступен в открытом (незашифрованном) виде. Необратимо зашифрованные базы паролей не могут использоваться .
- Плохо применим для крупных проектов с большим количеством участников, так как каждый секрет должен храниться на обоих концах канала .
См. также
Примечания
- ↑ Nitish Dalal, Jenny Shah, Khushboo Hisaria, Devesh Jinwala. (англ.) . — 2010. — P. 785 . 23 сентября 2017 года.
- ↑ (англ.) . 24 декабря 2017 года.
- (англ.) . 24 декабря 2017 года.
- W. Simpson. (англ.) . — 1996. — P. 2 . 8 марта 2021 года.
- M. W. Youssef, Hazem El-Gendy. (англ.) // Advanced Computing: An International Journal. — 2012. — March. — P. 11 . 24 декабря 2017 года.
- W. Simpson. (англ.) . — 1996. — P. 6 . 8 марта 2021 года.
- M. W. Youssef, Hazem El-Gendy. (англ.) // Advanced Computing: An International Journal. — 2012. — March. — P. 12 . 24 декабря 2017 года.
- ↑ W. Simpson. (англ.) . — 1996. — P. 4 . 8 марта 2021 года.
- ↑ W. Simpson. (англ.) . — 1996. — P. 3 . 8 марта 2021 года.
- (англ.) . 24 декабря 2017 года.
- Guy Leduc. (англ.) . — 1999. — February. — P. 1 . 24 декабря 2017 года.
Литература
- Nitish Dalal, Jenny Shah, Khushboo Hisaria, Devesh Jinwala. (англ.) . . International Journal of Communications, Network and System Sciences (октябрь 2010).
- W. Simpson. (англ.) . (август 1996).
- Guy Leduc. (англ.) . . Annals of Telecommunications (февраль 1999).
- 2020-09-13
- 1