C) Hoạt động của AH và ESP trong các chế độ (mode)
c) Giao thức xác thực yêucầu bắt tay CHAP
Giao thức xác thực mật khẩu yêu cầu bắt tay CHAP (Challenge Handshake Authentication Protocol) được thiết kế cho việc sử dụng tương tự như PAP nhưng là một phương pháp bảo mật tốt hơn đối với xác thực các kết nối PPP.
Hình 4.1: Hệ thống đáp ứng thách đố người dùng
CHAP là một giao thức bắt tay ba chiều bởi vì nó bao gồm ba bước để thực hiện kiểm tra một kết nối, sau khi kết nối được khởi tạo đầu tiên hay tại bất kỳ thời điểm nào sau khi kết nối được thiết lập. Thay vì dùng một mật khẩu hay tiến trình chấp nhận giống như trong PAP, CHAP sử dụng một hàm băm một chiều (one-way hashing function).
1. Máy tính xác thực gửi một bản tin thách đố (challenge massage) đến máy tính ngang cấp (peer).
2. Máy tính ngang cấp tính toán một giá trị sử dụng một hàm băm một chiều và gửi lại cho máy tính xác thực.
3. Máy tính xác thực có thể đáp ứng chấp nhận nếu giá trị gửi lại tương ứng với giá trị mong muốn.
Tiến trình này có thể lặp lại tại bất kỳ thời điểm nào trong suốt quá trình kết nối để đảm bảo rằng kết nối luôn được nắm quyền và không bị suy yếu trong mội trường hợp. Máy chủ điều khiển quá trình xác thực tại CHAP.
PAP và CHAP có nhược điểm giống nhau, đó là:
- Đều phụ thuộc vào một mật khẩu bí mật được lưu trữ trên máy tính của người dùng ở xa và máy tính nội bộ. Nếu bất kỳ một máy tính nào chịu sự điều khiển của một kẻ tấn công mạng và bị thay đổi mật khẩu bí mật thì không thể xác thực được.
- Không thể đăng ký chỉ định những đặc quyền truy cập mạng khác nhau đến những người dùng ở xa khác nhau sử dụng cùng một máy chủ.
CHAP là một phương pháp mạnh hơn PAP cho việc xác thực người dùng quay số nhưng CHAP không thể đáp ứng những yêu cầu mang tính mở rộng mạng. Cho dù khi không có bí mật nào truyền qua mạng thì phương pháp này vẫn yêu cầu một lượng lớn các bí mật dùng chung chạy qua hàm băm, nên yêu cầu băng thông lớn nhưng hiệu suất mạng lại thấp.