Challenge Handshake Authentication Protocol
PPPなどにおけるチャレンジ/レスポンスという方式を利用したユーザー認証方法。PAPと違って、ユーザー名やパスワード情報をそのまま流さないので、安全性が高い。
CHAP認証では、最初にPPPサーバがChallenge Valueという認証のたびに乱数を変更する数値をクライアントに渡し、PPPクライアント側でこの値とユーザー名、パスワードの組を基にして関数値を計算し(メッセージダイジェスト関数値)、それを返す。PPPサーバ側では、受け取ったメッセージダイジェスト関数値と、自分で計算した関数値を比較して同一ならば接続を許可する仕組み。
Challenge Value値は毎回異なるようになっているので、ユーザー名とパスワードが一致してもメッセージダイジェスト関数値は基本的には同じにならない(同じになる可能性もあり得る)、そのためたとえ通信回線を盗聴されても、不正利用される可能性は低い。また、接続中にも何度となく乱数文字列をサーバからクライアントに送信することで、「なりすまし」行為も防止することができる。しかしあくまで「可能性が低い」だけで、解読が不可能でない点には注意が必要である。
■PAP
Copyright © ITmedia, Inc. All Rights Reserved.