深入浅出CHAP认证.docVIP

下载本文档

40
0
约1.28万字
约 11页
2019-03-19 发布于江苏
举报
版权申诉

深入浅出CHAP认证.doc

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

深入浅出CHAP认证一、CHAP协议定义： Challenge-Handshake Authentication Protocol The Challenge-Handshake Authentication Protocol (CHAP) is used to periodically verify the identity of the peer using a 3-way handshake.This is done upon initial link establishment, and MAY be repeated anytime after the link has been established. 1. After the Link Establishment phase is complete, the authenticator sends a challenge message to the peer. 2. The peer responds with a value calculated using a one-way hash function. 3. The authenticator checks the response against its own calculation of the expected hash value. If the values match, the authentication is acknowledged; otherwise the connection SHOULD be terminated. 4. At random intervals, the authenticator sends a new challenge to the peer, and repeats steps 1 to 3. 以上摘自《RFC 1994 PPP CHAP》二、CHAP协议的防火墙（路由器）实现： PPP（Point to Point Protocol）协议是在点到点链路上承载网络层数据包的一种链路层协议，由于它能够提供用户验证、易于扩充，并且支持同异步通信，因而获得广泛应用。 PPP定义了一整套的协议，包括链路控制协议（LCP）、网络层控制协议（NCP）和验证协议（PAP和CHAP）等。下面我们重点看一下CHAP协议在防火墙上的实现： CHAP认证过程图 CHAP（Challenge Handshake Authentication Protocol）验证为三次握手验证，口令为密文（密钥），CHAP验证过程如下：验证方向被验证方发送一些随机产生的报文（Challenge），并同时将本端的主机名附带上一起发送给被验证方；被验证方根据此报文中验证方的主机名和本端的用户表查找用户口令字，如找到用户表中与验证方主机名相同的用户，便利用报文ID、此用户的密钥（口令字）和MD5算法对该随机报文进行加密，将生成的密文和自己的主机名发回验证方（Response）；验证方用自己保存的被验证方口令字和MD5算法对原随机报文加密，比较二者的密文，根据比较结果返回不同的响应（Acknowledge or Not Acknowledge）。说明：CHAP认证协议的上述实现方式各个设备厂商应该是共同遵循的，否则在进行设备间的互相认证时将出现兼容性问题。下面通过实际测试用例进行分析说明：三、华赛USG2130与H3C AR28路由器E1对接测试实例分析测试组网图场景一：CHAP单向认证（其中USG2130作为主验证方）配置方法1：(推荐使用) USG2130主要配置(作为主验证方)： # interface Serial2/0/0:1 link-protocol ppp ppp authentication-mode chap //设置本端PPP协议对对端的验证方式为CHAP ppp chap user huasan //用来配置CHAP验证时的本端用户名 ip address # aaa local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!! local-user admin level 3 local-user admin ftp-directory flash:/ local-user huawei password simple huawei123 //在AAA视图下增加一个本地用户 authentication-scheme default # AR28路由器主要配置： # local-user adm