Filter
Top Products
8
Протокол аутентификации CHAP
При использовании проверки прав доступа протокола CHAP сервер доступа после
установления канала РРР посылает сообщение-запрос, содержащее случайную строку на
удаленный узел. Удаленный узел отвечает значением, вычисленным на основе пароля и
значения запроса с использованием односторонней хеш-функции (обычно с помощью
алгоритма MD5). Результат отправляется серверу доступа в виде ответного сообщения вместе
с CHAP-именем удаленного узла. Сервер доступа считывает из ответного сообщение имя
узла, находит пароль для этого имени в локальной базе данных или на сервере RADIUS и
подает пароль и первоначальное случайное значение запроса на хеш-генератор MD5.
Вычисленное значение сравнивается с полученным значением и если величины совпадают,
то аутентификация считается успешно завершенной. В противном случае соединение
немедленно прерывается.
Метод CHAP обеспечивает защиту от попытки несанкционированного доступа посредством
использования переменного значения запроса (challenge), который является уникальным и
трудно предсказуемым. Использование повторных запросов каждые две минуты в сеансе
CHAP предназначено для того, чтобы ограничить время возможности организации
вторжений при любой попытке несанкционированного доступа. Сервер доступа управляет
частотой и синхронизацией запросов.
Внимание: пароли CHAP на обеих сторонах линии связи должны быть идентичными.
Протокол аутентификации MS-CHAPv1
Протокол MS-CHAP v1 является механизмом аутентификации с использованием
шифрования, подобным протоколу CHAP. Как и в протоколе CHAP, сервер доступа посылает
удаленному клиенту случайное значение (challenge). Удаленный клиент должен отправить
ответ, содержащий имя пользователя и хеш, вычисленный на основе значения запроса,
идентификатора сессии и хешированного с помощью хеш-генератора MD4 пароля.
При использовании MS-CHAP v1 совместно с МРРЕ, общие ключи шифрования (secret)
будут генерироваться каждым узлом РРР. Также протокол MS-CHAP v1 обеспечивает набор
сообщений, которые позволяют пользователю изменять пароль во время процесса
аутентификации.
Протокол аутентификации MS-CHAPv2
Протокол MS-CHAP v2 обеспечивает повышенный уровень безопасности для удаленных
клиентов. По сравнению с MS-CHAP v1 протокол MS-CHAP v2 предоставляет следующие
дополнительные функции безопасности:
Взаимная аутентификация между удаленным клиентом и сервером доступа
Отдельные ключи шифрования, генерируемые для передаваемых и принимаемых данных
Различные ключи шифрования, основанные на пароле пользователя и случайном значении
(challenge).