CHAP là gì và nó hoạt động như thế nào?

Chap La Gi Va No Hoat Dong Nhu The Nao



“Một trong số ít các giao thức xác thực không gửi bí mật được chia sẻ giữa người dùng hoặc bên yêu cầu quyền truy cập và người xác thực là Xác thực bắt tay thử thách (CHAP). Đây là một Giao thức điểm-điểm (PPP) được phát triển bởi Lực lượng đặc nhiệm kỹ thuật Internet, IETF. Đáng chú ý, nó có ích trong quá trình khởi động liên kết ban đầu và kiểm tra định kỳ giao tiếp giữa bộ định tuyến và máy chủ.

Do đó, CHAP là một giao thức xác minh danh tính hoạt động mà không cần gửi bí mật được chia sẻ hoặc bí mật chung giữa người dùng (bên yêu cầu truy cập) và người xác thực (bên xác minh danh tính).





Mặc dù nó vẫn dựa trên bí mật được chia sẻ, trình xác thực sẽ gửi một thông báo thách thức đến người dùng yêu cầu quyền truy cập chứ không phải bí mật được chia sẻ. Bên yêu cầu quyền truy cập sẽ phản hồi với một giá trị thường được tính bằng giá trị băm một chiều. Bên xác minh danh tính sẽ kiểm tra phản hồi dựa trên tính toán của mình.



Việc xác thực sẽ chỉ thành công nếu các giá trị khớp nhau. Tuy nhiên, quá trình xác thực sẽ không thành công nếu bên yêu cầu quyền truy cập gửi một giá trị khác với giá trị của trình xác thực. Và ngay cả sau khi xác thực kết nối thành công, người xác thực có thể thỉnh thoảng gửi đến người dùng một thách thức để duy trì bảo mật bằng cách giới hạn thời gian tiếp xúc đối với các cuộc tấn công có thể xảy ra ”.



CHAP hoạt động như thế nào

CHAP hoạt động theo các bước sau:



1. Một máy khách thiết lập liên kết PPP tới một NAS (Máy chủ truy cập mạng) yêu cầu xác thực.

2. Người gửi gửi thử thách cho bên yêu cầu quyền truy cập.



3. Bên yêu cầu quyền truy cập phản hồi thử thách bằng cách sử dụng thuật toán băm một chiều MD5. Trong phản hồi, ứng dụng khách sẽ gửi tên người dùng, cùng với mã hóa thử thách, mật khẩu ứng dụng khách và ID phiên.

4. Máy chủ (trình xác thực) sẽ kiểm tra phản hồi bằng cách so sánh nó với giá trị băm mong đợi dựa trên thử thách của nó.

5. Máy chủ bắt đầu kết nối nếu các giá trị khớp. Tuy nhiên, nó sẽ chấm dứt kết nối nếu các giá trị không khớp. Ngay cả khi kết nối, máy chủ vẫn có thể yêu cầu máy khách gửi phản hồi cho các thông báo thách thức mới vì CHAP xác định thay đổi thường xuyên.

5 đặc điểm hàng đầu của CHAP

CHAP có một loạt các tính năng làm cho nó khác với các giao thức khác. Các tính năng bao gồm:

    • Không giống như TCP, CHAP sử dụng giao thức bắt tay 3 chiều. Trình xác thực gửi một thử thách đến máy khách và máy khách phản hồi bằng cách sử dụng hàm băm một chiều. Trình xác thực khớp với phản hồi dựa trên giá trị được tính toán của nó và cuối cùng cấp hoặc từ chối quyền truy cập.
    • Máy khách sử dụng hàm băm một chiều MD5.
    • Máy chủ kiểm tra kết nối theo thời gian và gửi các thử thách cho người dùng để đảm bảo an ninh và giảm thiểu các cuộc tấn công trong các phiên.
    • CHAP thường yêu cầu một bản rõ ràng của bí mật lẫn nhau.
    • Các biến thay đổi liên tục, mang lại cho mạng bảo mật hơn PAP.

4 gói CHAP khác nhau

Xác thực CHAP sử dụng các gói sau:

    • Gói thử thách- Đây là gói mà trình xác thực gửi đến máy khách hoặc bên yêu cầu quyền truy cập sau khi máy khách tạo liên kết PPP. Gói tin này bắt đầu ở phần đầu của giao thức bắt tay 3 bước. Nó chứa một giá trị định danh, một trường cho giá trị ngẫu nhiên và một trường cho tên của người xác thực.
    • Gói phản hồi- Đây là phản hồi mà bên yêu cầu quyền truy cập gửi lại cho trình xác thực. Nó có trường Giá trị chứa giá trị băm một chiều được tạo, trường tên và giá trị định danh. Máy khách sẽ tự động đặt trường tên của gói tin thành mật khẩu.
    • Gói thành công- Máy chủ sẽ gửi một gói thành công nếu phản hồi băm của người dùng khớp với các giá trị do máy chủ tính toán. Sau khi máy chủ gửi một gói tin thành công, hệ thống sẽ thiết lập kết nối.
    • Gói lỗi - Máy chủ gửi một gói lỗi nếu giá trị được tạo ra khác nhau. Điều này cũng ngụ ý rằng sẽ không có kết nối.

Định cấu hình CHAP trên Máy xác thực và Máy người dùng

Các bước sau là cần thiết khi định cấu hình CHAP:

một. Bắt đầu các lệnh bên dưới trên cả máy chủ / máy xác thực và máy người dùng. Thông thường, đây sẽ luôn là những máy ngang hàng.

b. Thay đổi tên máy chủ của cả hai máy bằng lệnh dưới đây. Nhập lệnh vào từng máy ngang hàng.

c. Cuối cùng, cung cấp tên người dùng và mật khẩu cho mỗi máy bằng lệnh dưới đây.

Sự kết luận

Đáng chú ý, các nhà phát triển của CHAP đã phát triển CHAP đã thiết kế giao thức này để bảo vệ hệ thống chống lại các cuộc tấn công phát lại bằng cách đảm bảo rằng bên yêu cầu truy cập sử dụng một biến và mã định danh thay đổi dần. Bên cạnh đó, trình xác thực kiểm soát thời gian và tần suất gửi các thử thách đến người dùng hoặc bên yêu cầu quyền truy cập.

Khác

Thể LoạI

Bài ViếT Phổ BiếN

Hàm Write() trong ngôn ngữ C

Cách giải quyết lỗi: Đã phát hiện phiên bản mới hơn của Microsoft Visual C++ 2010 có thể phân phối lại

Cách cài đặt ExifTool trên Raspberry Pi

Cách thực hiện phát hiện thủ công với các biện pháp bảo vệ trong Node.js

Tạo Bash Script Return với các mã trả lại khác nhau khi thoát

Docker Vaultwarden

Cách cài đặt và cấu hình Hamachi trên Linux

“createInterface()” hoạt động như thế nào trong Node.js?

Cách lấy tên lớp trong JavaScript

Cách tăng tốc trang web WordPress của bạn: Mẹo hiệu suất hàng đầu

Cách viết mã Arduino - Hướng dẫn cho người mới bắt đầu

Cách sử dụng các lớp lưu trữ Kubernetes

Cách tùy chỉnh Windows File Explorer

Cách đưa Git về mặc định cho SSH và không phải HTTPS cho các kho lưu trữ mới

Cách thả một cột khỏi bảng SQLite

hàm getch trong C++

Cách sử dụng chú thích bảng trong Tailwind

Làm cách nào để khởi động lại Docker mà không dừng container?

Cách gỡ cài đặt trình duyệt Microsoft Edge nếu quá trình gỡ cài đặt bị chuyển sang màu xám

Hiểu quyền của tệp Linux: Cách bảo mật hệ thống của bạn