描述CHAP协议并分析安全性
发布网友
发布时间:2022-05-02 14:32
共1个回答
热心网友
时间:2022-06-20 11:54
询问握手认证协议(CHAP)通过三次握手周期性的校验对端的身份,在初始链路建立时完成,可以在链路建立之后的任何时候重复进行。
1. 链路建立阶段结束之后,认证者向对端点发送“challenge”消息。
2. 对端点用经过单向哈希函数计算出来的值做应答。
3. 认证者根据它自己计算的哈希值来检查应答,如果值匹配,认证得到承认;否则,连接应该终止。
4. 经过一定的随机间隔,认证者发送一个新的 challenge 给端点,重复步骤 1 到 3 。
通过递增改变的标识符和可变的询问值,CHAP 防止了来自端点的重放攻击,使用重复校验可以*暴露于单个攻击的时间。认证者控制验证频度和时间。
安全性:CHAP安全性能分析
应更强大的记忆式密码认证系统的需要——能适用在公共网络中。Intemet Engineering Task Force公布了一个被称作“CHAP”的协议标准和使用指导。利用这一协议,专门设计的应用程序和网络设备就可以发出密码写成的询问/应答对话,来确定彼此的身份。
对用户来说,CHAP认证通常是自动的和一目了然的。事实上,CHAP的主要作用不是进行用户认证,而是主要用来帮助“黑匣子”进行信息传播。CHAP在现代网关装置中比较常见,例如路由器和一般服务器,它们在允许网络连接之前,都要询问和鉴定CHAP加密的记忆式密码。
CHAP认证几乎和所有的路由器以及一般服务器设备兼容,因此可以安装在几乎所有的Intemet网关上。它也与大部分的PPP客户端软件兼容,其中包括Microsoft Windows提供的一些主流PPP客户端。然而,它与大多数的“legacy”应用不能兼容,其中包括绝大多数的主机设备和微机的登录系统。
在Internet上传输时,CHAP表现出了足够强大的抗攻击能力。然而,当CHAP全自动 和透明时,它就不能够准确鉴别人类用户的身份了。即使要求输入记忆式密码而且这个密码还被CHAP加密,它也仍然存在被身后的人轻松窥视到的致命弱点。因 此,通常认可的计算机操作在承认记忆式密码的地方也允许使用CHAP认证,同时可以在单独使用记忆式密码不能满足网络暴露时使用CHAP认证。
然而,即使是最好的CHAP配置也不能够解决有关环境的物理安全和可接近性的所列问题,因为使用记忆式密码时通常是不能远离身边其他电脑工作者的。
我也是找的 而且很不好找 看看可以不
