Challenge-handshake authentication protocol

Από τη Βικιπαίδεια, την ελεύθερη εγκυκλοπαίδεια
Μετάβαση σε: πλοήγηση, αναζήτηση


Το Challenge-Handshake Authentication Protocol (CHAP) είναι πρωτόκολλο το οποίο πιστοποιεί ένα χρήστη ή host δίκτυου σε μια οντότητα πιστοποίησης που μπορεί να είναι πχ. ένας πάροχος πρόσβασης στο Διαδίκτυο. Το πρωτόκολλο προσδιορίζεται από το το RFC 1994: PPP Challenge Handshake Authentication Protocol (CHAP).

Το CHAP είναι ένα σχήμα αυθεντικοποίησης που χρησιμοποιείται από servers Point to Point Protocol (PPP) για να πιστοποιήσει την ταυτότητα των απομακρυσμένων χρηστών. Το CHAP περιοδικά επιβεβαιώνει την ταυτότητα του πελάτη με τη χρήση χειραψίας τριών δρόμων (three-way handshake). Αυτό πραγματοποιείται κατά τη διάρκεια εγκατάστασης (establishing) της αρχικής σύνδεσης και μπορεί να επαναληφθεί οποιαδήποτε άλλη στιγμή μετέπειτα. Η επιβεβαίωση βασίζεται σε ένα κοινό μυστικό (όπως για παράδειγμα ο κωδικός πρόσβασης του πελάτη).

  1. έπειτα από την ολοκλήρωση της φάσης εγκαθίδρυσης σύνδεσης (link establishment phase), ο authenticator αποστέλει ενα "challenge" μήνυμα στον αποδέκτη (αλλο άκρο) peer.
  2. Ο peer απαντά με μία τιμή που υπολογίζεται από μία κρυπτογραφική συνάρτηση κατατεμαχισμού (hash), όπως το MD5.
  3. Ο authenticator ελέγχει την απάντηση μέσω του δικού του υπολογισμού της αναμενόμενης τιμής hash . Αν οι τιμές ταιριάζουν, ο authenticator αναγνωρίζει την πιστοποίηση , αλλιώς τερματίζει τη σύνδεση.
  4. κατα τυχαία χρονικά διαστήματα ο authenticator αποστέλει νεο challenge στο peer και επαναλαμβάνει τα βηματα 1 εώς 3.

Το πρωτόκολλο CHAP παρέχει προστασία ενάντια σε επιθέσεις playback attack από το peer μέσω της χρήσης ενός incrementally changing identifier και μιας μεταβλητής challenge-value. Επίσης απαιτείται και ο πελάτης και ο server να γνωρίζουν το κείμενο του μυστικού παρ' ολο που δεν αποστέλλεται ποτέ μέσω δικτύου.

Η Microsoft έχει διμιουργήσει μια παραλλαγή του CHAP, που την ονομάζει MS-CHAP, και δεν απαιτεί κανένας από τα peer να γνωρίζει το κείμενο του μυστικού

Κυκλος εργασιών[Επεξεργασία | επεξεργασία κώδικα]

  • Challenge Packet (Συστημα στο Χρήστη)
  • Response Packet (Χρήστης στο Συστημα)
  • Success or failure packet (Συστημα στο Χρήστη)

CHAP Packets[Επεξεργασία | επεξεργασία κώδικα]

Περιγραφή 1 byte 1 byte 2 bytes 1 byte Μεταβλητή Μεταβλητή
Challenge Code = 1 ID Length Challenge length Challenge value Name
Response Code = 2 ID Length Response Length Response value Name
Success Code = 3 ID Length Message
Failure Code = 4 ID Length Message

Τα πακέτα CHAP είνα ενθυλακωμένα σε ένα PPP frame. Το πεδίο του πρώτοκόλλου έχει τιμή C223(hex)

Flag Address Control Protocol (C223(hex)) Payload (table above) FCS Flag

Δείτε επίσης[Επεξεργασία | επεξεργασία κώδικα]

Αναφορές[Επεξεργασία | επεξεργασία κώδικα]