MÃ HểA VÀ XÁC THỰC TRONG VPN 3.1 Giới thiệu
3.3.1.2. Giao thức xỏc thức yờu cầu bắt tay CHAP
Giao thức xỏc thực mật khẩu yờu cầu bắt tay CHAP (Challenge Handshake Authentication Protocol) được thiết kế cho việc sử dụng tương tự như PAP nhưng là một phương phỏp bảo mật tốt hơn đối với xỏc thực cỏc kết nối PPP.
Hỡnh 3.3: Hệ thống đỏp ứng thỏch đố người dựng
CHAP là một giao thức bắt tay ba chiều bởi vỡ nú bao gồm ba bước để thực hiện kiểm tra một kết nối, sau khi kết nối được khởi tạo đầu tiờn hay tại bất kỳ thời điểm nào sau khi kết nối được thiết lập. Thay vỡ dựng một mật khẩu hay tiến trỡnh chấp nhận giống như trong PAP, CHAP sử dụng một hàm băm một chiều (one-way hashing function).
1. Mỏy tớnh xỏc thực gửi một bản tin thỏch đố (challenge massage) đến mỏy tớnh ngang cấp (peer).
2. Mỏy tớnh ngang cấp tớnh toỏn một giỏ trị sử dụng một hàm băm một chiều và gửi lại cho mỏy tớnh xỏc thực.
3. Mỏy tớnh xỏc thực cú thể đỏp ứng chấp nhận nếu giỏ trị gửi lại tương ứng với giỏ trị mong muốn.
Tiến trỡnh này cú thể lặp lại tại bất kỳ thời điểm nào trong suốt quỏ trỡnh kết nối để đảm bảo rằng kết nối luụn được nắm quyền và khụng bị suy yếu trong mội trường hợp. Mỏy chủ điều khiển quỏ trỡnh xỏc thực tại CHAP.
- Đều phụ thuộc vào một mật khẩu bớ mật được lưu trữ trờn mỏy tớnh của người dựng ở xa và mỏy tớnh nội bộ. Nếu bất kỳ một mỏy tớnh nào chịu sự điều khiển của một kẻ tấn cụng mạng và bị thay đổi mật khẩu bớ mật thỡ khụng thể xỏc thực được.
- Khụng thể đăng ký chỉ định những đặc quyền truy cập mạng khỏc nhau đến những người dựng ở xa khỏc nhau sử dụng cựng một mỏy chủ.
CHAP là một phương phỏp mạnh hơn PAP cho việc xỏc thực người dựng quay số nhưng CHAP khụng thể đỏp ứng những yờu cầu mang tớnh mở rộng mạng. Cho dự khi khụng cú bớ mật nào truyền qua mạng thỡ phương phỏp này vẫn yờu cầu một lượng lớn cỏc bớ mật dựng chung chạy qua hàm băm, nờn yờu cầu băng thụng lớn nhưng hiệu suất mạng lại thấp.