Протокол CHAP (Challenge Handshake Authentication Protocol)
Протокол CHAP (Challenge Handshake Authentication Protocol)
|
||||||
|
Сайт является частным собранием материалов и представляет собой любительский информационно-образовательный ресурс. Вся информация получена из открытых источников. Администрация не претендует на авторство использованных материалов. Все права принадлежат их правообладателям |
seomg.ru
Иллюстрированный самоучитель по Microsoft Windows 2003 › Коммуникационные службы › Протоколы MS-CHAP и MS-CHAP v2 [страница — 445] | Самоучители по операционным системам
Протоколы MS-CHAP и MS-CHAP v2
Протокол MS-CHAP (Microsoft Challenge Handshake Protocol) представляет собой реализацию протокола CHAP, предложенную компанией Microsoft. В отличие от CHAP, для хэширования паролей применяется алгоритм MD4. Существует две версии протокола MS-CHAP. Вторая версия протокола MS-CHAP (MS-CHAP v2) предлагает более эффективный механизм аутентификации (табл. 14.1).В частности, реализован механизм взаимной аутентификации. Сервер удаленного доступа по окончании процедуры аутентификации клиента удаленного доступа предоставляет ему информацию о собственных полномочиях. Соединение не считается установленным до тех пор, пока клиент не удостоверится в подлинности сервера удаленного доступа.
Таблица 14.1. Сравнение протоколов MS-CHAP версий 1 и 2.
Проблемы MS-CHAP версии 1 | Решение в MS-CHAP версии 2 |
---|---|
Кодирование ответа по схеме LAN Manager, которое используется для обратной совместимости со старыми клиентами Microsoft удаленного доступа, использует слабое шисррование | MS-CHAP v2 более не поддерживает ответы, закодированные по схеме LAN Manager |
Кодирование пароля по схеме LAN Manager использует слабое шифрование | MS-CHAP v2 более не поддерживает передачу изменений паролей, закодированных по схеме LAN Manager |
Возможна только однонаправленная проверка подлинности. Клиент удаленного доступа не может проверить, соединился он с подлинным или с ложным (подставным) сервером удаленного доступа | MS-CHAP v2 поддерживает двустороннюю проверку подлинности, также называемую взаимной проверкой подлинности. Клиент удаленного доступа проверяет, к тому ли серверу удаленного доступа он подключился |
При 40-разрядном шифровании ключ шифрования основывается на пароле пользователя. Каждый раз, когда пользователь подключается с тем же самым паролем, будет сгенерирован тот же самый ключ | При использовании MS-CHAP v2 ключ шифрования основывается на пароле пользователя и произвольной строке запроса. Каждый раз, когда пользователь подключается с тем же самым паролем, используется другой ключ |
Используется единый ключ шифрования для данных, передаваемых в обоих направлениях соединения | Используются отдельные ключи шифрования, которые генерируются для передаваемых и получаемых данных |
samoychiteli.ru
протокол chap — с английского на русский
CHAP — (англ. Challenge Handshake Authentication Protocol) широко распространённый алгоритм проверки подлинности, предусматривающий передачу не самого пароля пользователя, а косвенных сведений о нём. При использовании CHAP сервер удалённого доступа … Википедия
протокол аутентификации с квитированием вызова — Протокол, определяющий процедуру аутентификации пользователя при установлении соединения типа “точка точка” в сети Internet. Аутентификация обычно осуществляется с использованием алгоритма MD5 (см. message digest). Протокол определен в стандартах … Справочник технического переводчика
протокол аутентификации при установлении вызова — (МСЭ Т Н.610). [http://www.iks media.ru/glossary/index.html?glossid=2400324] Тематики электросвязь, основные понятия EN challenge handshake authentication protocolCHAP … Справочник технического переводчика
протокол аутентификации типа вызов-рукопожатие корпорации «Майкрософт» — протокол аутентификации типа вызов рукопожатие корпорации «Майкрософт» — [[http://www.rfcmd.ru/glossword/1.8/index.php?a=index d=23]] Тематики защита информации EN CHAP MCMicrosoft challenge handshake authentication protocol … Справочник технического переводчика
PPP (сетевой протокол) — У этого термина существуют и другие значения, см. PPP. PPP (англ. Point to Point Protocol) двухточечный протокол канального уровня (Data Link) сетевой модели OSI. Обычно используется для установления прямой связи между двумя узлами сети,… … Википедия
MS-CHAP — (англ. Microsoft Challenge Handshake Authentication Protocol) протокол, разработанный корпорацией Microsoft для выполнения процедур проверки подлинности удалённых рабочих станций Windows. Протокол поддерживает функциональные… … Википедия
Аутентификация — (англ. Authentication) процедура проверки подлинности … Википедия
Point-to-Point Protocol — PPP (англ. Point to Point Protocol) протокол точка точка канального уровня (Data Link) сетевой модели OSI. Обычно используется для установления прямой связи между двумя узлами сети, причем он может обеспечить аутентификацию соединения,… … Википедия
L2TP — Название: Layer 2 Tunneling Protocol Уровень (по модели OSI): Канальный Семейство: TCP/IP Создан в: 1999 г. Порт/ID: 1701/TCP, 1701/UDP Назначение протокола: построение VPN Спецификация … Википедия
Таблица сетевых протоколов по функциональному назначению — Таблица сетевых протоколов по функциональному назначению содержит список всех существующих (а также существовавших в прошлом) протоколов, имеющих отношение к компьютерным сетям (сетевые протоколы). Сетевой протокол набор правил,… … Википедия
Multi-link PPP daemon — MPD Multi link PPP daemon for FreeBSD MPD intergared web server Тип клиент и сервер 7 типов связи Разработчик … Википедия
translate.academic.ru
Протокол CHAP — Протокол CHAP — Стек PPP — Каталог статей
RFC 1334Протокол аутентификации CHAP (Challenge Handshake Authentication Protocol) используется для периодической проверки узлов одного уровня, использующих трехстороннюю процедуру согласования (handshake). Процедура проверки выполняется при организации соединения и может повторяться в любой момент в процессе использования канала.
В информационное поле пакетов PPP с полем протокола 0xc223 инкапсулируется единственный пакет CHAP. Структура пакетов CHAP показана на рисунке.
Код | Идентификатор | Размер | Данные |
1 байт | 1 байт | 2 байта | Переменный размер |
Структура пакетов CHAP
Код
Код идентифицирует тип пакета CHAP и может принимать одно из перечисленных ниже значений:
1 Challenge (вызов, проверка)
2 Response (отклик)
3 Success (успех)
4 Failure (отказ)
Идентификатор
Дополнительная идентификация в зависимости от типа пакета.
Размер
Размер пакета CHAP с учетом всех полей.
Данные
Поле, содержащее данные в формате, определяемом полем кода. Формат данных для пакетов Challenge и Response показан ниже.
Размер значения | Значение | Имя |
1 байт | 1 байт |
Структура поля данных для пакетов CHAP Challenge и Response
Размер значения
Это поле определяет размер поля значения.
Значение
Значение Challenge представляет собой поток октетов, который должен изменяться при каждом повторении вызова.
Значение Response представляет собой результат расчета на основе потока октетов, содержащего Идентификатор, «Секрет» и значение Challenge.
Имя
Идентификатор системы, передающей пакет.
Для пакетов Success и Failure поле данных имеет переменную длину, а содержащаяся в нем информация зависит от реализации протокола.
protocol.my1.ru
протокол CHAP — это… Что такое протокол CHAP?
CHAP — (англ. Challenge Handshake Authentication Protocol) широко распространённый алгоритм проверки подлинности, предусматривающий передачу не самого пароля пользователя, а косвенных сведений о нём. При использовании CHAP сервер удалённого доступа … Википедия
протокол аутентификации с квитированием вызова — Протокол, определяющий процедуру аутентификации пользователя при установлении соединения типа “точка точка” в сети Internet. Аутентификация обычно осуществляется с использованием алгоритма MD5 (см. message digest). Протокол определен в стандартах … Справочник технического переводчика
протокол аутентификации при установлении вызова — (МСЭ Т Н.610). [http://www.iks media.ru/glossary/index.html?glossid=2400324] Тематики электросвязь, основные понятия EN challenge handshake authentication protocolCHAP … Справочник технического переводчика
протокол аутентификации типа вызов-рукопожатие корпорации «Майкрософт» — протокол аутентификации типа вызов рукопожатие корпорации «Майкрософт» — [[http://www.rfcmd.ru/glossword/1.8/index.php?a=index d=23]] Тематики защита информации EN CHAP MCMicrosoft challenge handshake authentication protocol … Справочник технического переводчика
PPP (сетевой протокол) — У этого термина существуют и другие значения, см. PPP. PPP (англ. Point to Point Protocol) двухточечный протокол канального уровня (Data Link) сетевой модели OSI. Обычно используется для установления прямой связи между двумя узлами сети,… … Википедия
MS-CHAP — (англ. Microsoft Challenge Handshake Authentication Protocol) протокол, разработанный корпорацией Microsoft для выполнения процедур проверки подлинности удалённых рабочих станций Windows. Протокол поддерживает функциональные… … Википедия
Аутентификация — (англ. Authentication) процедура проверки подлинности … Википедия
Point-to-Point Protocol — PPP (англ. Point to Point Protocol) протокол точка точка канального уровня (Data Link) сетевой модели OSI. Обычно используется для установления прямой связи между двумя узлами сети, причем он может обеспечить аутентификацию соединения,… … Википедия
L2TP — Название: Layer 2 Tunneling Protocol Уровень (по модели OSI): Канальный Семейство: TCP/IP Создан в: 1999 г. Порт/ID: 1701/TCP, 1701/UDP Назначение протокола: построение VPN Спецификация … Википедия
Таблица сетевых протоколов по функциональному назначению — Таблица сетевых протоколов по функциональному назначению содержит список всех существующих (а также существовавших в прошлом) протоколов, имеющих отношение к компьютерным сетям (сетевые протоколы). Сетевой протокол набор правил,… … Википедия
Multi-link PPP daemon — MPD Multi link PPP daemon for FreeBSD MPD intergared web server Тип клиент и сервер 7 типов связи Разработчик … Википедия
universal_ru_en.academic.ru
3.5.2. Протокол chap
CHAP – Challenge Handshake Authentication Protocol (протоколаутентификациинаосновемоделирукопожатия).
Обозначения:
U – пользователь, C – клиент, S – сервер, N – случайное число.
Аутентификация:
SC:пакетвызова(challenge) (IDS, N, length(N))
UC: IDU, P
CS: пакет отклика (IDU, h), h = H(IDS, N, P)
S: извлечение по IDU из БД H(IDS, N, P), H == H
SC: пакет подтверждения/отказа
Ключевой момент протокола CHAP – выбор N. Требования;
уникальность,
непредсказуемость (алгоритм не м.б. полностью выявлен).
На практике N разбито на 2 части:
текущая дата и время,
случайное число (аппаратный или программный датчик).
Недостатки:
плохая масштабируемость относительно числа серверов,
сложность администрирования.
Аналогичные недостатки и у S/Key.
3.5.3. Протокол Kerberos
обозначения
общая схема взаимодействия
получение клиентом TGT
получение клиентомST
взаимная аутентификация клиента и сервера
Основа – использование мандатов (ticket).
Обозначения:
C – клиент
S – сервер
AS – Authentication Server, сервераутентификации
TGS – Ticket Grant Server, сервервыдачимандатов
TGT – ticket grant ticket, предварительныймандат
ST – session ticket, сеансовыймандат
TS – time stamp, время отправки пакета
T – time, срок жизни пакета
Схема взаимодействия:
Клиент получает мандат на доступ к серверу. Сервер «доверяет» мандату, выданному TGS. Достоинство: нет постоянного обращения к AS при обращении к S.
Доверие основано на том, что серверы имеют ключи шифрования, которым доверяют. Первоначальная ключевая информация д.б. распределена каким-то образом.
Обозначения:
KTGS – ключ шифрования TGS (очевидно, есть у всех серверов)
KS – ключ шифрования сервера S (есть у самого сервера и у TGS)
KA,B – временный ключ для взаимодействия A и B
ADC – адрес клиента
PC – пароль клиента
Получение клиентом TGT:
CAS: IDC, IDTGS, TS1 (C хочет получить доступ к TGS)
AS: TGT = EKTGS(KC,TGS, IDC, ADC, IDTGS, TS2, T2)
ASC: EPC(KC,TGS, IDTGS, TS2, T2, TGT)
Получение клиентом ST:
C: AC:= EKC,TGS(IDC, ADC, TS3)
CTGS: IDS, TGT, AC (кто хочет получить доступ и к кому)
TGS: расшифрование TGT (для получения KC,TGS), расшифрование AC
TGS: ST := EKS(KC,S, IDC, ADC, IDS, TS4, T4)
TGSC: EKC,TGS(KC,S, IDS, TS4, T4, ST)
Цель шифрование AC – проверка, тот ли клиент запрашивает доступ, что указан в TGT (на случай, если клиент украл TGT).
Взаимная аутентификация клиента и сервера:
C: AC2= EKC,S(IDC, ADC, TS5)
CS: ST, AC2
S: расшифрование ST (для получения KC,S), расшифрование AC2
S: проверка, совпадает ли запрашивающий клиент с клиентом, указанным в мандате
SC: EKC,S(TS5+1) – отклик клиенту, подтверждение подлинности сервера
3.5.4. Программно-аппаратная защита от удаленного нсд
схема сети
возможности нарушителя
crypto router
схема передачи пакета
масштабирование относительно числа подсетей
Возможности нарушителя:
знает топологию всей сети;
знает IP-адреса подсетей;
имеет образцы программно-аппаратного обеспечения сети;
имеет информацию об ошибках в ПО, об оставленной отладочной информации, мастер-ключах;
не имеет локального доступа;
не может иметь сеансовых/базовых ключей шифрования.
CR – Crypto Router – программно-аппаратное средство, обладающее следующими возможностями:
внутренние (связь внутри ЛВС) и внешние интерфейсы (связь с Интернет) разделены,
шифрование всей исходящей изнутри информации и расшифрование всей входящей из Интернета информации.
CR использует расширенную таблицу маршрутизации. Таблица маршрутизации для CR1 содержит имя рабочей станции X, ее маршрутизатор CR2, ключ связи с этим маршрутизатором K12, интерфейс связи I(CR2).
Передача пакета от A к X:
ACR1: пакет P = (ADA, ADX, данные)
CR1: по X находит CR2, по CR2 находит I(CR2) и K12
P= (ADCR1, ADCR2, EK12(P))
CR1CR2: P
CR2: в таблице маршрутизации CR1 находит K12, P = DK12(P)
CR2X: P
Эта схема прозрачна для любого сетевого ПО, работающего по TCP/IP. Надежность определяется криптоалгоритмом.
Когда число подсетей большое, то нужен еще один объект – криптомаршрутизатор с функциями центра распределения ключей – KDC (Key Distribution Center). KDC распространяет таблицы маршрутизации.
studfiles.net
протокол chap — с русского на английский
CHAP — (англ. Challenge Handshake Authentication Protocol) широко распространённый алгоритм проверки подлинности, предусматривающий передачу не самого пароля пользователя, а косвенных сведений о нём. При использовании CHAP сервер удалённого доступа … Википедия
протокол аутентификации с квитированием вызова — Протокол, определяющий процедуру аутентификации пользователя при установлении соединения типа “точка точка” в сети Internet. Аутентификация обычно осуществляется с использованием алгоритма MD5 (см. message digest). Протокол определен в стандартах … Справочник технического переводчика
протокол аутентификации при установлении вызова — (МСЭ Т Н.610). [http://www.iks media.ru/glossary/index.html?glossid=2400324] Тематики электросвязь, основные понятия EN challenge handshake authentication protocolCHAP … Справочник технического переводчика
протокол аутентификации типа вызов-рукопожатие корпорации «Майкрософт» — протокол аутентификации типа вызов рукопожатие корпорации «Майкрософт» — [[http://www.rfcmd.ru/glossword/1.8/index.php?a=index d=23]] Тематики защита информации EN CHAP MCMicrosoft challenge handshake authentication protocol … Справочник технического переводчика
PPP (сетевой протокол) — У этого термина существуют и другие значения, см. PPP. PPP (англ. Point to Point Protocol) двухточечный протокол канального уровня (Data Link) сетевой модели OSI. Обычно используется для установления прямой связи между двумя узлами сети,… … Википедия
MS-CHAP — (англ. Microsoft Challenge Handshake Authentication Protocol) протокол, разработанный корпорацией Microsoft для выполнения процедур проверки подлинности удалённых рабочих станций Windows. Протокол поддерживает функциональные… … Википедия
Аутентификация — (англ. Authentication) процедура проверки подлинности … Википедия
Point-to-Point Protocol — PPP (англ. Point to Point Protocol) протокол точка точка канального уровня (Data Link) сетевой модели OSI. Обычно используется для установления прямой связи между двумя узлами сети, причем он может обеспечить аутентификацию соединения,… … Википедия
L2TP — Название: Layer 2 Tunneling Protocol Уровень (по модели OSI): Канальный Семейство: TCP/IP Создан в: 1999 г. Порт/ID: 1701/TCP, 1701/UDP Назначение протокола: построение VPN Спецификация … Википедия
Таблица сетевых протоколов по функциональному назначению — Таблица сетевых протоколов по функциональному назначению содержит список всех существующих (а также существовавших в прошлом) протоколов, имеющих отношение к компьютерным сетям (сетевые протоколы). Сетевой протокол набор правил,… … Википедия
Multi-link PPP daemon — MPD Multi link PPP daemon for FreeBSD MPD intergared web server Тип клиент и сервер 7 типов связи Разработчик … Википедия
translate.academic.ru