Советы и лайфхаки

Протокол chap – Иллюстрированный самоучитель по Microsoft Windows 2003 › Коммуникационные службы › Протокол CHAP. Протокол SPAP. [страница — 444] | Самоучители по операционным системам

Содержание

Протокол CHAP (Challenge Handshake Authentication Protocol)

Протокол CHAP (Challenge Handshake Authentication Protocol)

CHAP (Challenge Handshake Authentication Protocol) — это широко распространенный алгоритм проверки подлинности, предусматривающий передачу не самого пароля пользователя, а косвенных сведений о нем. При использовании CHAP сервер удаленного доступа отправляет клиенту строку запроса. На основе этой строки и пароля пользователя клиент удаленного доступа вычисляет хеш-код MD5 (Message Digest-5). Хеш-функция является алгоритмом одностороннего (необратимого) шифрования, поскольку значение хеш-функции для блока данных вычислить легко, а определить исходный блок по хеш-коду с математической точки зрения невозможно. Хеш-код MD5 передается серверу удаленного доступа. Сервер, которому доступен пароль пользователя, выполняет те же самые вычисления и сравнивает результат с хеш-кодом, полученным от клиента. В случае совпадения учетные данные клиента удаленного доступа считаются подлинными.

 

Примечание

  • Если подлинность подключения проверяется по протоколу CHAP, использовать алгоритм шифрования MPPE (Microsoft Point-to-Point Encryption) нельзя.
  • Если протокол CHAP используется при подключении к серверу удаленного доступа, на котором работает операционная система Windows 2000 и служба маршрутизации и удаленного доступа, учетная запись пользователя, инициирующая подключение клиента, должна разрешать хранение пароля в обратимо зашифрованном виде. Дополнительные сведения содержатся в справке Windows 2000 Server. 

Отправить сообщение об ошибке
Если нашли ошибку в тексте выделите ее мышкой и нажмите сочетание клавиш Ctrl+ENTER, укажите правильный текст без ошибки.
BACK NEXT TOP

Сайт является частным собранием материалов и представляет собой любительский информационно-образовательный ресурс. Вся информация получена из открытых источников. Администрация не претендует на авторство использованных материалов. Все права принадлежат их правообладателям

seomg.ru

Иллюстрированный самоучитель по Microsoft Windows 2003 › Коммуникационные службы › Протоколы MS-CHAP и MS-CHAP v2 [страница — 445] | Самоучители по операционным системам

Протоколы MS-CHAP и MS-CHAP v2

Протокол MS-CHAP (Microsoft Challenge Handshake Protocol) представляет собой реализацию протокола CHAP, предложенную компанией Microsoft. В отличие от CHAP, для хэширования паролей применяется алгоритм MD4. Существует две версии протокола MS-CHAP. Вторая версия протокола MS-CHAP (MS-CHAP v2) предлагает более эффективный механизм аутентификации (табл. 14.1).

В частности, реализован механизм взаимной аутентификации. Сервер удаленного доступа по окончании процедуры аутентификации клиента удаленного доступа предоставляет ему информацию о собственных полномочиях. Соединение не считается установленным до тех пор, пока клиент не удостоверится в подлинности сервера удаленного доступа.

Таблица 14.1. Сравнение протоколов MS-CHAP версий 1 и 2.

Проблемы MS-CHAP версии 1Решение в MS-CHAP версии 2
Кодирование ответа по схеме LAN Manager, которое используется для обратной совместимости со старыми клиентами Microsoft удаленного доступа, использует слабое шисррованиеMS-CHAP v2 более не поддерживает ответы, закодированные по схеме LAN Manager
Кодирование пароля по схеме LAN Manager использует слабое шифрованиеMS-CHAP v2 более не поддерживает передачу изменений паролей, закодированных по схеме LAN Manager
Возможна только однонаправленная проверка подлинности. Клиент удаленного доступа не может проверить, соединился он с подлинным или с ложным (подставным) сервером удаленного доступаMS-CHAP v2 поддерживает двустороннюю проверку подлинности, также называемую взаимной проверкой подлинности. Клиент удаленного доступа проверяет, к тому ли серверу удаленного доступа он подключился
При 40-разрядном шифровании ключ шифрования основывается на пароле пользователя. Каждый раз, когда пользователь подключается с тем же самым паролем, будет сгенерирован тот же самый ключПри использовании MS-CHAP v2 ключ шифрования основывается на пароле пользователя и произвольной строке запроса. Каждый раз, когда пользователь подключается с тем же самым паролем, используется другой ключ
Используется единый ключ шифрования для данных, передаваемых в обоих направлениях соединенияИспользуются отдельные ключи шифрования, которые генерируются для передаваемых и получаемых данных

samoychiteli.ru

протокол chap — с английского на русский

  • CHAP — (англ. Challenge Handshake Authentication Protocol) широко распространённый алгоритм проверки подлинности, предусматривающий передачу не самого пароля пользователя, а косвенных сведений о нём. При использовании CHAP сервер удалённого доступа …   Википедия

  • протокол аутентификации с квитированием вызова — Протокол, определяющий процедуру аутентификации пользователя при установлении соединения типа “точка точка” в сети Internet. Аутентификация обычно осуществляется с использованием алгоритма MD5 (см. message digest). Протокол определен в стандартах …   Справочник технического переводчика

  • протокол аутентификации при установлении вызова — (МСЭ Т Н.610). [http://www.iks media.ru/glossary/index.html?glossid=2400324] Тематики электросвязь, основные понятия EN challenge handshake authentication protocolCHAP …   Справочник технического переводчика

  • протокол аутентификации типа вызов-рукопожатие корпорации «Майкрософт» — протокол аутентификации типа вызов рукопожатие корпорации «Майкрософт» — [[http://www.rfcmd.ru/glossword/1.8/index.php?a=index d=23]] Тематики защита информации EN CHAP MCMicrosoft challenge handshake authentication protocol …   Справочник технического переводчика

  • PPP (сетевой протокол) — У этого термина существуют и другие значения, см. PPP. PPP (англ. Point to Point Protocol)  двухточечный протокол канального уровня (Data Link) сетевой модели OSI. Обычно используется для установления прямой связи между двумя узлами сети,… …   Википедия

  • MS-CHAP — (англ. Microsoft Challenge Handshake Authentication Protocol)  протокол, разработанный корпорацией Microsoft для выполнения процедур проверки подлинности удалённых рабочих станций Windows. Протокол поддерживает функциональные… …   Википедия

  • Аутентификация — (англ. Authentication)  процедура проверки подлинности …   Википедия

  • Point-to-Point Protocol — PPP (англ. Point to Point Protocol)  протокол точка точка канального уровня (Data Link) сетевой модели OSI. Обычно используется для установления прямой связи между двумя узлами сети, причем он может обеспечить аутентификацию соединения,… …   Википедия

  • L2TP — Название: Layer 2 Tunneling Protocol Уровень (по модели OSI): Канальный Семейство: TCP/IP Создан в: 1999 г. Порт/ID: 1701/TCP, 1701/UDP Назначение протокола: построение VPN Спецификация …   Википедия

  • Таблица сетевых протоколов по функциональному назначению — Таблица сетевых протоколов по функциональному назначению  содержит список всех существующих (а также существовавших в прошлом) протоколов, имеющих отношение к компьютерным сетям (сетевые протоколы). Сетевой протокол  набор правил,… …   Википедия

  • Multi-link PPP daemon — MPD Multi link PPP daemon for FreeBSD MPD intergared web server Тип клиент и сервер 7 типов связи Разработчик …   Википедия

    • translate.academic.ru

    Протокол CHAP — Протокол CHAP — Стек PPP — Каталог статей

    RFC 1334

    Протокол аутентификации CHAP (Challenge Handshake Authentication Protocol) используется для периодической проверки узлов одного уровня, использующих трехстороннюю процедуру согласования (handshake). Процедура проверки выполняется при организации соединения и может повторяться в любой момент в процессе использования канала.


    В информационное поле пакетов PPP с полем протокола 0xc223 инкапсулируется единственный пакет CHAP. Структура пакетов CHAP показана на рисунке.

    Код

    Идентификатор

    Размер

    Данные

    1 байт

    1 байт

    2 байта

    Переменный размер

    Структура пакетов CHAP

    Код

    Код идентифицирует тип пакета CHAP и может принимать одно из перечисленных ниже значений:

    1 Challenge (вызов, проверка)

    2 Response (отклик)

    3 Success (успех)

    4 Failure (отказ)

    Идентификатор

    Дополнительная идентификация в зависимости от типа пакета.

    Размер

    Размер пакета CHAP с учетом всех полей.

    Данные

    Поле, содержащее данные в формате, определяемом полем кода. Формат данных для пакетов Challenge и Response показан ниже.

    Размер значения

    Значение

    Имя

    1 байт

    1 байт

    Структура поля данных для пакетов CHAP Challenge и Response

    Размер значения

    Это поле определяет размер поля значения.

    Значение

    Значение Challenge представляет собой поток октетов, который должен изменяться при каждом повторении вызова.

    Значение Response представляет собой результат расчета на основе потока октетов, содержащего Идентификатор, «Секрет» и значение Challenge.

    Имя

    Идентификатор системы, передающей пакет.

    Для пакетов Success и Failure поле данных имеет переменную длину, а содержащаяся в нем информация зависит от реализации протокола.

    protocol.my1.ru

    протокол CHAP — это… Что такое протокол CHAP?

  • CHAP — (англ. Challenge Handshake Authentication Protocol) широко распространённый алгоритм проверки подлинности, предусматривающий передачу не самого пароля пользователя, а косвенных сведений о нём. При использовании CHAP сервер удалённого доступа …   Википедия

  • протокол аутентификации с квитированием вызова — Протокол, определяющий процедуру аутентификации пользователя при установлении соединения типа “точка точка” в сети Internet. Аутентификация обычно осуществляется с использованием алгоритма MD5 (см. message digest). Протокол определен в стандартах …   Справочник технического переводчика

  • протокол аутентификации при установлении вызова — (МСЭ Т Н.610). [http://www.iks media.ru/glossary/index.html?glossid=2400324] Тематики электросвязь, основные понятия EN challenge handshake authentication protocolCHAP …   Справочник технического переводчика

  • протокол аутентификации типа вызов-рукопожатие корпорации «Майкрософт» — протокол аутентификации типа вызов рукопожатие корпорации «Майкрософт» — [[http://www.rfcmd.ru/glossword/1.8/index.php?a=index d=23]] Тематики защита информации EN CHAP MCMicrosoft challenge handshake authentication protocol …   Справочник технического переводчика

  • PPP (сетевой протокол) — У этого термина существуют и другие значения, см. PPP. PPP (англ. Point to Point Protocol)  двухточечный протокол канального уровня (Data Link) сетевой модели OSI. Обычно используется для установления прямой связи между двумя узлами сети,… …   Википедия

  • MS-CHAP — (англ. Microsoft Challenge Handshake Authentication Protocol)  протокол, разработанный корпорацией Microsoft для выполнения процедур проверки подлинности удалённых рабочих станций Windows. Протокол поддерживает функциональные… …   Википедия

  • Аутентификация — (англ. Authentication)  процедура проверки подлинности …   Википедия

  • Point-to-Point Protocol — PPP (англ. Point to Point Protocol)  протокол точка точка канального уровня (Data Link) сетевой модели OSI. Обычно используется для установления прямой связи между двумя узлами сети, причем он может обеспечить аутентификацию соединения,… …   Википедия

  • L2TP — Название: Layer 2 Tunneling Protocol Уровень (по модели OSI): Канальный Семейство: TCP/IP Создан в: 1999 г. Порт/ID: 1701/TCP, 1701/UDP Назначение протокола: построение VPN Спецификация …   Википедия

  • Таблица сетевых протоколов по функциональному назначению — Таблица сетевых протоколов по функциональному назначению  содержит список всех существующих (а также существовавших в прошлом) протоколов, имеющих отношение к компьютерным сетям (сетевые протоколы). Сетевой протокол  набор правил,… …   Википедия

  • Multi-link PPP daemon — MPD Multi link PPP daemon for FreeBSD MPD intergared web server Тип клиент и сервер 7 типов связи Разработчик …   Википедия

    • universal_ru_en.academic.ru

    3.5.2. Протокол chap

    CHAP – Challenge Handshake Authentication Protocol (протоколаутентификациинаосновемоделирукопожатия).

    Обозначения:

    U – пользователь, C – клиент, S – сервер, N – случайное число.

    Аутентификация:

    1. SC:пакетвызова(challenge) (IDS, N, length(N))

    2. UC: IDU, P

    3. CS: пакет отклика (IDU, h), h = H(IDS, N, P)

    4. S: извлечение по IDU из БД H(IDS, N, P), H == H

    5. SC: пакет подтверждения/отказа

    Ключевой момент протокола CHAP – выбор N. Требования;

    • уникальность,

    • непредсказуемость (алгоритм не м.б. полностью выявлен).

    На практике N разбито на 2 части:

    • текущая дата и время,

    • случайное число (аппаратный или программный датчик).

    Недостатки:

    • плохая масштабируемость относительно числа серверов,

    • сложность администрирования.

    Аналогичные недостатки и у S/Key.

    3.5.3. Протокол Kerberos

    • обозначения

    • общая схема взаимодействия

    • получение клиентом TGT

    • получение клиентомST

    • взаимная аутентификация клиента и сервера

    Основа – использование мандатов (ticket).

    Обозначения:

    C – клиент

    S – сервер

    AS – Authentication Server, сервераутентификации

    TGS – Ticket Grant Server, сервервыдачимандатов

    TGT – ticket grant ticket, предварительныймандат

    ST – session ticket, сеансовыймандат

    TS – time stamp, время отправки пакета

    T – time, срок жизни пакета

    Схема взаимодействия:

    Клиент получает мандат на доступ к серверу. Сервер «доверяет» мандату, выданному TGS. Достоинство: нет постоянного обращения к AS при обращении к S.

    Доверие основано на том, что серверы имеют ключи шифрования, которым доверяют. Первоначальная ключевая информация д.б. распределена каким-то образом.

    Обозначения:

    KTGS – ключ шифрования TGS (очевидно, есть у всех серверов)

    KS – ключ шифрования сервера S (есть у самого сервера и у TGS)

    KA,B – временный ключ для взаимодействия A и B

    ADC – адрес клиента

    PC – пароль клиента

    Получение клиентом TGT:

    1. CAS: IDC, IDTGS, TS1 (C хочет получить доступ к TGS)

    2. AS: TGT = EKTGS(KC,TGS, IDC, ADC, IDTGS, TS2, T2)

    3. ASC: EPC(KC,TGS, IDTGS, TS2, T2, TGT)

    Получение клиентом ST:

    1. C: AC:= EKC,TGS(IDC, ADC, TS3)

    2. CTGS: IDS, TGT, AC (кто хочет получить доступ и к кому)

    3. TGS: расшифрование TGT (для получения KC,TGS), расшифрование AC

    4. TGS: ST := EKS(KC,S, IDC, ADC, IDS, TS4, T4)

    5. TGSC: EKC,TGS(KC,S, IDS, TS4, T4, ST)

    Цель шифрование AC – проверка, тот ли клиент запрашивает доступ, что указан в TGT (на случай, если клиент украл TGT).

    Взаимная аутентификация клиента и сервера:

    1. C: AC2= EKC,S(IDC, ADC, TS5)

    2. CS: ST, AC2

    3. S: расшифрование ST (для получения KC,S), расшифрование AC2

    4. S: проверка, совпадает ли запрашивающий клиент с клиентом, указанным в мандате

    5. SC: EKC,S(TS5+1) – отклик клиенту, подтверждение подлинности сервера

    3.5.4. Программно-аппаратная защита от удаленного нсд

    • схема сети

    • возможности нарушителя

    • crypto router

    • схема передачи пакета

    • масштабирование относительно числа подсетей

    Возможности нарушителя:

    • знает топологию всей сети;

    • знает IP-адреса подсетей;

    • имеет образцы программно-аппаратного обеспечения сети;

    • имеет информацию об ошибках в ПО, об оставленной отладочной информации, мастер-ключах;

    • не имеет локального доступа;

    • не может иметь сеансовых/базовых ключей шифрования.

    CR – Crypto Router – программно-аппаратное средство, обладающее следующими возможностями:

    • внутренние (связь внутри ЛВС) и внешние интерфейсы (связь с Интернет) разделены,

    • шифрование всей исходящей изнутри информации и расшифрование всей входящей из Интернета информации.

    CR использует расширенную таблицу маршрутизации. Таблица маршрутизации для CR1 содержит имя рабочей станции X, ее маршрутизатор CR2, ключ связи с этим маршрутизатором K12, интерфейс связи I(CR2).

    Передача пакета от A к X:

    1. ACR1: пакет P = (ADA, ADX, данные)

    2. CR1: по X находит CR2, по CR2 находит I(CR2) и K12

    3. P= (ADCR1, ADCR2, EK12(P))

    4. CR1CR2: P

    5. CR2: в таблице маршрутизации CR1 находит K12, P = DK12(P)

    6. CR2X: P

    Эта схема прозрачна для любого сетевого ПО, работающего по TCP/IP. Надежность определяется криптоалгоритмом.

    Когда число подсетей большое, то нужен еще один объект – криптомаршрутизатор с функциями центра распределения ключей – KDC (Key Distribution Center). KDC распространяет таблицы маршрутизации.

    studfiles.net

    протокол chap — с русского на английский

  • CHAP — (англ. Challenge Handshake Authentication Protocol) широко распространённый алгоритм проверки подлинности, предусматривающий передачу не самого пароля пользователя, а косвенных сведений о нём. При использовании CHAP сервер удалённого доступа …   Википедия

  • протокол аутентификации с квитированием вызова — Протокол, определяющий процедуру аутентификации пользователя при установлении соединения типа “точка точка” в сети Internet. Аутентификация обычно осуществляется с использованием алгоритма MD5 (см. message digest). Протокол определен в стандартах …   Справочник технического переводчика

  • протокол аутентификации при установлении вызова — (МСЭ Т Н.610). [http://www.iks media.ru/glossary/index.html?glossid=2400324] Тематики электросвязь, основные понятия EN challenge handshake authentication protocolCHAP …   Справочник технического переводчика

  • протокол аутентификации типа вызов-рукопожатие корпорации «Майкрософт» — протокол аутентификации типа вызов рукопожатие корпорации «Майкрософт» — [[http://www.rfcmd.ru/glossword/1.8/index.php?a=index d=23]] Тематики защита информации EN CHAP MCMicrosoft challenge handshake authentication protocol …   Справочник технического переводчика

  • PPP (сетевой протокол) — У этого термина существуют и другие значения, см. PPP. PPP (англ. Point to Point Protocol)  двухточечный протокол канального уровня (Data Link) сетевой модели OSI. Обычно используется для установления прямой связи между двумя узлами сети,… …   Википедия

  • MS-CHAP — (англ. Microsoft Challenge Handshake Authentication Protocol)  протокол, разработанный корпорацией Microsoft для выполнения процедур проверки подлинности удалённых рабочих станций Windows. Протокол поддерживает функциональные… …   Википедия

  • Аутентификация — (англ. Authentication)  процедура проверки подлинности …   Википедия

  • Point-to-Point Protocol — PPP (англ. Point to Point Protocol)  протокол точка точка канального уровня (Data Link) сетевой модели OSI. Обычно используется для установления прямой связи между двумя узлами сети, причем он может обеспечить аутентификацию соединения,… …   Википедия

  • L2TP — Название: Layer 2 Tunneling Protocol Уровень (по модели OSI): Канальный Семейство: TCP/IP Создан в: 1999 г. Порт/ID: 1701/TCP, 1701/UDP Назначение протокола: построение VPN Спецификация …   Википедия

  • Таблица сетевых протоколов по функциональному назначению — Таблица сетевых протоколов по функциональному назначению  содержит список всех существующих (а также существовавших в прошлом) протоколов, имеющих отношение к компьютерным сетям (сетевые протоколы). Сетевой протокол  набор правил,… …   Википедия

  • Multi-link PPP daemon — MPD Multi link PPP daemon for FreeBSD MPD intergared web server Тип клиент и сервер 7 типов связи Разработчик …   Википедия

    • translate.academic.ru

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *