'أحد بروتوكولات المصادقة القليلة التي لا ترسل سرًا مشتركًا بين المستخدم أو الطرف الطالب للوصول والمصدق هو مصادقة تعارض الارتياب (CHAP). إنه بروتوكول من نقطة إلى نقطة (PPP) تم تطويره بواسطة فريق هندسة الإنترنت IETF. والجدير بالذكر أنه يكون مفيدًا أثناء بدء تشغيل الارتباط الأولي والفحوصات الدورية للاتصال بين جهاز التوجيه والمضيف.
لذلك ، فإن CHAP عبارة عن بروتوكول للتحقق من الهوية يعمل بدون إرسال سر مشترك أو سر مشترك بين المستخدم (الطرف الطالب للوصول) والمصدق (جهة التحقق من الهوية).
بينما لا يزال يعتمد على سر مشترك ، يرسل المصدق رسالة تحدي إلى المستخدم يطلب الوصول وليس سرًا مشتركًا. سيستجيب الطرف الطالب للوصول بقيمة تُحسب عادةً باستخدام قيمة التجزئة أحادية الاتجاه. سيتحقق الطرف المدقق من الهوية من الرد بناءً على حساباته.
لن تنجح المصادقة إلا إذا تطابقت القيم. ومع ذلك ، ستفشل عملية المصادقة إذا أرسل الطرف الطالب للوصول قيمة مختلفة عن تلك الخاصة بالمصدق. وحتى بعد نجاح مصادقة الاتصال ، قد يرسل المصدق تحديًا للمستخدم من وقت لآخر للحفاظ على الأمان عن طريق الحد من وقت التعرض للهجمات المحتملة. '
كيف يعمل CHAP
تعمل CHAP في الخطوات التالية:
1. ينشئ العميل ارتباط PPP إلى NAS (خادم الوصول إلى الشبكة) يطلب المصادقة.
2. يرسل المرسل تحديًا للطرف الطالب للوصول.
3. يستجيب الطرف الطالب للوصول إلى التحدي باستخدام خوارزمية MD5 أحادية الاتجاه. في الرد ، سيرسل العميل اسم مستخدم إلى جانب تشفير التحدي وكلمة مرور العميل ومعرف الجلسة.
4. سيقوم الخادم (المصدق) بفحص الاستجابة من خلال مقارنتها بقيمة التجزئة المتوقعة بناءً على التحدي الخاص بها.
5. يبدأ الخادم الاتصال إذا تطابقت القيم. ومع ذلك ، سيتم إنهاء الاتصال إذا لم تتطابق القيم. حتى عند الاتصال ، لا يزال بإمكان الخادم أن يطلب من العميل إرسال استجابة لرسائل التحدي الجديدة نظرًا لأن CHAP تحدد التغيير بشكل متكرر.
أعلى 5 خصائص CHAP
يحتوي CHAP على مجموعة من الميزات التي تجعله مختلفًا عن البروتوكولات الأخرى. الميزات تشمل:
-
- بخلاف TCP ، تستخدم CHAP بروتوكول مصافحة ثلاثي الاتجاهات. يرسل المصدق تحديًا إلى العميل ، ويستجيب العميل باستخدام وظيفة تجزئة أحادية الاتجاه. يطابق المصدق الاستجابة بناءً على قيمته المحسوبة وأخيراً يمنح أو يرفض الوصول.
- يستخدم العميل دالة MD5 أحادية الاتجاه.
- يتحقق الخادم من الاتصال من وقت لآخر ويرسل تحديات للمستخدم لضمان الأمان وتقليل الهجمات أثناء الجلسات.
- غالبًا ما يطلب CHAP نصًا عاديًا من السر المتبادل.
- تتغير المتغيرات باستمرار ، مما يمنح الشبكات أمانًا أكثر من PAP.
4 حزم CHAP مختلفة
تستخدم مصادقة CHAP الحزم التالية:
-
- حزمة التحدي- هذه هي الحزمة التي يرسلها المصدق إلى العميل أو الطرف الذي يطلب الوصول بمجرد قيام العميل بإنشاء ارتباط PPP. تبدأ هذه الحزمة في بداية بروتوكول المصافحة ثلاثي الاتجاهات. يحتوي على قيمة معرف وحقل للقيمة العشوائية وحقل لاسم المصدق.
- حزمة الاستجابة- هذا هو الرد الذي يرسله طالب الوصول إلى المصدق. يحتوي على حقل القيمة الذي يحتوي على قيمة التجزئة أحادية الاتجاه التي تم إنشاؤها ، وحقل الاسم ، وقيمة المعرف. سيقوم جهاز العميل تلقائيًا بتعيين حقل الاسم الخاص بالحزمة على كلمة المرور.
- حزمة النجاح- سيرسل الخادم حزمة نجاح إذا تطابق استجابة تجزئة المستخدم مع القيم التي يحسبها الخادم. بمجرد أن يرسل الخادم حزمة نجاح ، سيقوم النظام بإنشاء اتصال.
- حزمة الفشل - يرسل الخادم حزمة فشل في حالة اختلاف القيمة المولدة. هذا يعني أيضًا أنه لن يكون هناك اتصال.
تكوين CHAP على المصادقة وأجهزة المستخدم
الخطوات التالية ضرورية عند تكوين CHAP:
أ. ابدأ الأوامر أدناه على كل من الخادم / المصادقة وأجهزة المستخدم. عادة ، ستكون هذه دائمًا آلات نظير.
ب. قم بتغيير أسماء المضيفين في كلا الجهازين باستخدام الأمر أدناه. اكتب الأمر في كل جهاز من أجهزة النظير.
ج. أخيرًا ، قم بتوفير اسم مستخدم وكلمة مرور لكل جهاز باستخدام الأمر أدناه.
استنتاج
والجدير بالذكر أن مطوري CHAP طوروا CHAP صمموا هذا البروتوكول لحماية الأنظمة من هجمات التشغيل من خلال التأكد من أن الطرف الذي يطلب الوصول يستخدم متغيرًا ومعرفًا متغيرًا بشكل متزايد. إلى جانب ذلك ، يتحكم المصدق في توقيت وتكرار إرسال التحديات إلى مستخدم أو طرف طالب الوصول.