챌린지-핸드셰이크 인증 규약
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
챌린지-핸드셰이크 인증 규약(CHAP)은 점대점 프로토콜(PPP) 서버에서 원격 클라이언트의 신원을 확인하기 위해 사용되는 인증 방식이다. 3단계 핸드셰이크를 통해 클라이언트의 신원을 주기적으로 확인하며, 초기 링크 제어 프로토콜(LCP) 설정 시 발생하고 이후 언제든지 다시 발생할 수 있다. CHAP는 챌린지, 응답, 성공, 실패의 네 가지 유형의 패킷을 사용하며, PPP 프레임에 포함되어 전송된다. CHAP는 암호를 일반 텍스트로 전송하지 않아 PAP보다 안전하지만, 인증 서버는 암호를 일반 텍스트로 저장해야 한다.
더 읽어볼만한 페이지
- 인증 프로토콜 - 확장 가능 인증 프로토콜
확장 가능 인증 프로토콜(EAP)은 다양한 인증 방식을 지원하며, IEEE 802.1X 등 여러 프로토콜에서 캡슐화되어 LAN, 특히 무선 LAN 환경에서 사용자 인증에 활용된다. - 인증 프로토콜 - 다이어미터 (프로토콜)
다이어미터 프로토콜은 RADIUS 프로토콜의 단점을 개선한 AAA 프레임워크 프로토콜로, TCP 또는 SCTP를 사용해 더 큰 주소 공간, 신뢰성, 확장성, 보안, 로밍 지원을 제공하며, RFC 6733에 정의되어 3GPP IMS 등 다양한 애플리케이션에서 활용된다. - 인터넷 프로토콜 - IPTV
IPTV는 인터넷 프로토콜을 사용하여 실시간 방송, VOD 등 다양한 콘텐츠를 제공하는 텔레비전 서비스이며, 고속통신망과의 통합, 양방향 서비스 등의 장점을 가지지만 망 사업자 제한 등의 제한 사항도 존재한다. - 인터넷 프로토콜 - DNSSEC
DNSSEC는 DNS의 보안 취약점을 개선하기 위해 도메인 정보에 디지털 서명을 추가하여 응답 레코드의 무결성을 보장하고 DNS 위장 공격을 막는 기술로, RRSIG, DNSKEY 등 다양한 리소스 레코드 유형을 사용하여 인증 체인을 구성하며 공개 키 암호 방식을 활용한다.
| 챌린지-핸드셰이크 인증 규약 | |
|---|---|
| 일반 정보 | |
| 프로토콜 유형 | 인증 프로토콜 |
| 약칭 | CHAP |
| 개발 | IETF |
| 첫 출시 | 1996년 8월 |
| 상태 | 폐기됨 |
| 상세 정보 | |
| 기반 프로토콜 | PPP |
| 보안 | MD5 해시 공유 비밀 |
| 관련 프로토콜 | PAP EAP MS-CHAP |
2. 작동 방식
CHAP는 점대점 프로토콜(PPP) 서버에서 원격 클라이언트의 신원을 확인하기 위해 사용되는 인증 방식이다. CHAP는 3방향 핸드셰이크를 사용하여 클라이언트의 신원을 주기적으로 확인한다. 이는 초기 링크 (LCP)를 설정할 때 발생하며, 이후 언제든지 다시 발생할 수 있다. 이 확인은 공유 비밀 (클라이언트의 암호와 같은)을 기반으로 한다.[1]
인증 과정은 다음과 같이 요약할 수 있다.
- 챌린지(Challenge) 패킷 (시스템에서 사용자)
- 응답(Response) 패킷 (사용자에서 시스템)
- 성공(Success) / 실패(Failure) 패킷 (시스템에서 사용자)
2. 1. 3단계 인증 과정
점대점 프로토콜(PPP) 서버는 원격 클라이언트의 신원을 확인하기 위해 챌린지-핸드셰이크 인증 규약(CHAP) 인증 방식을 사용한다. CHAP는 3방향 핸드셰이크를 통해 클라이언트의 신원을 주기적으로 확인한다. 이는 초기 링크 (LCP) 설정 시 발생하며, 이후 언제든지 다시 발생할 수 있다. 이 확인은 공유 비밀(클라이언트의 암호 등)을 기반으로 한다.[1]3단계 인증 과정은 다음과 같다.
1. 링크 설정 단계 완료 후, 인증자는 피어에게 "챌린지" 메시지를 보낸다.
2. 피어는 챌린지와 비밀을 결합하여 단방향 해시 함수로 계산된 값으로 응답한다.
3. 인증자는 자신이 계산한 예상 해시 값과 응답을 비교한다. 값이 일치하면 인증을 승인하고, 그렇지 않으면 연결을 종료한다.
점대점 프로토콜(PPP)에서 인증자는 임의의 간격으로 피어에게 새로운 챌린지를 보내 1~3단계를 반복할 수 있다. 그러나 CHAP가 대부분의 상황(RADIUS 등)에서 사용될 때는 이 단계가 수행되지 않는다.
3단계 인증 과정은 다음과 같이 요약할 수 있다.
- 챌린지(Challenge) 패킷 (시스템에서 사용자)
- 응답(Response) 패킷 (사용자에서 시스템)
- 성공(Success) / 실패(Failure) 패킷 (시스템에서 사용자)
2. 2. 주기적 확인
CHAP는 3방향 핸드셰이크를 사용하여 클라이언트의 신원을 주기적으로 확인한다. 이는 초기 링크 제어 프로토콜(LCP) 설정 시 발생하며, 이후 언제든지 다시 발생할 수 있다.[1]PPP에서 인증자는 임의의 간격으로 새로운 챌린지를 피어에게 보낼 수 있으며, 이 경우 챌린지-응답-확인 단계를 반복한다. 그러나 RADIUS와 같은 대부분의 환경에서는 이 단계가 수행되지 않는다.[1]
3. CHAP 패킷
챌린지-핸드셰이크 인증 규약(CHAP)은 챌린지, 응답, 성공, 실패 네 가지 유형의 패킷을 사용한다. 무작위 챌린지에 대해 선택된 ID는 해당 응답, 성공 및 실패 패킷에서도 사용된다. 새로운 ID를 가진 새로운 챌린지는 다른 ID를 가진 마지막 챌린지와 달라야 한다. 성공 또는 실패가 손실된 경우 동일한 응답을 다시 보낼 수 있으며, 이는 동일한 성공 또는 실패 표시를 트리거한다. MD5를 해시로 사용하는 경우, 응답 값은 `MD5(ID||비밀||챌린지)`이며, 이는 ID, 비밀 및 챌린지를 연결한 값에 대한 MD5 해시이다.[2]
3. 1. 패킷 구조
CHAP (챌린지-핸드셰이크 인증 규약) 패킷은 다음과 같은 구조를 갖는다.| 설명 | 1 바이트 | 1 바이트 | 2 바이트 | 1 바이트 | 가변 길이 | 가변 길이 |
|---|---|---|---|---|---|---|
| 챌린지 | 코드 = 1 | ID | 길이 | 챌린지 길이 | 챌린지 값 | 이름 |
| 응답 | 코드 = 2 | ID | 길이 | 응답 길이 | 응답 값 | 이름 |
| 성공 | 코드 = 3 | ID | 길이 | 메시지 | ||
| 실패 | 코드 = 4 | ID | 길이 | 메시지 |
무작위 챌린지에 대해 선택된 ID는 해당 응답, 성공 및 실패 패킷에서도 사용된다. 새로운 ID를 가진 새로운 챌린지는 다른 ID를 가진 마지막 챌린지와 달라야 한다. 성공 또는 실패가 손실된 경우 동일한 응답을 다시 보낼 수 있으며, 이는 동일한 성공 또는 실패 표시를 트리거한다. MD5를 해시로 사용하는 경우, 응답 값은 `MD5(ID||비밀||챌린지)`이며, 이는 ID, 비밀 및 챌린지의 연결에 대한 MD5이다.[2]
CHAP 패킷은 PPP 프레임에 포함된다. 프로토콜 필드 값은 C223(16진수)이다.
| 플래그 | 주소 | 제어 | 프로토콜 (C223(16진수)) | Payload (위의 표) | FCS | 플래그 |
|---|
3. 2. PPP 프레임 내 CHAP 패킷
CHAP 패킷은 PPP 프레임에 포함되며, 프로토콜 필드 값은 16진수로 C223이다.[2]| 플래그 | 주소 | 제어 | 프로토콜 (C223 (16진수)) | Payload (위의 표) | FCS | 플래그 |
|---|
4. 변형
MS-CHAP는 CHAP과 유사하지만 다른 해시 알고리즘을 사용하며 각 당사자가 서로를 인증할 수 있도록 한다.
5. 보안 고려 사항
챌린지-핸드셰이크 인증 규약(CHAP)은 인증 서버가 암호를 일반 텍스트로 저장해야 하므로, 공격자가 암호 데이터베이스를 탈취하면 모든 암호가 노출될 위험이 있다.[1]
5. 1. 장점
CHAP는 암호를 일반 텍스트로 전송하지 않으므로 PAP보다 안전하다. 인증 서버는 암호를 일반 텍스트로 저장해야 하는데, 이는 저장된 암호에 대해 다른 형식을 사용할 수 없음을 의미한다. 공격자가 암호 데이터베이스를 훔치는 경우, 암호가 모두 "일반 텍스트"로 노출될 수 있다는 단점이 있지만, PPP 링크를 통해 사용할 때는 PAP보다 더 안전하다.[1]5. 2. 단점
인증 서버는 암호를 일반 텍스트로 저장해야 하므로, 저장된 암호에 대해 다른 형식을 사용할 수 없다. 공격자가 암호 데이터베이스를 탈취하면 모든 암호가 노출될 위험이 있다.[1]결과적으로 챌린지-핸드셰이크 인증 규약(CHAP)은 PPP 링크를 통해 사용할 때 PAP보다 더 안전하지만, PAP와 같은 다른 방식에 비해 "저장 시" 보안은 취약하다.[1]
참조
[1]
서적
Data Communications & Networking 4E Sie
https://books.google[...]
McGraw-Hill Education (India) Pvt Limited
2012-11-24
[2]
웹사이트
Understanding and Configuring PPP CHAP Authentication
http://www.cisco.com[...]
Cisco tech note
2011-08-14
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com