1、CHAP:挑戰-握手驗證協議(Challenge Handshake Authentication Protocol,CHAP)
2、CHAP使用三次握手驗證,這種驗證可以在鏈路建立初始化時進行,也可以在鏈路建立後的信任時間內重複進行。
3、在鏈路建立完成後,驗證者向對端發送一個challenge信息,對端使用一個one-way-hash(哈希)函數計算出的值響應這個信息。
4、驗證者使用相同的單向函數計算自己這一端對應的hash值校驗響應值。如果兩個值匹配,則驗收通過;否則連接終止。
5、CHAP 要求密鑰以明文形式存在,無法使用通常的不可回覆加密口令數據庫。
6、CHAP 在大型網絡中不適用,因爲每個可能的密鑰由鏈路的兩端共同維護。
總結:CHAP通過三次握手驗證被認證方的身份(密文),在初始鏈路建立時完成,爲了提高安全性,在鏈路建立之後週期性進行驗證,目前在企業網的遠程接入環境中用的比較常見
chap協議原理:
a客戶端在本地加密當前用戶的密碼成爲密碼散列
b客戶端向服務器發送自己的帳號,帳號是明文發送
c.服務器產生一個16位的隨機數給客戶端作爲一個challenge挑戰
d.客戶端用加密後的散列加密這個challenge,然後返回給服務器,作爲響應response
e.服務器把用戶名 challenge esponse發送給域控制器
f.服務器用這個用戶名在sam密碼管理庫中找到她的密碼散列,然後用這個密碼散列來加密challenge
i域控制器比較兩個challenge是否相同,以驗收通過