1.CHAP(Challenge Handshake Authentication Protocol)
PPPで利用できる認証プロトコル
チャレンジレスポンス方式で認証を受ける方式
パスワードを原文(平文)のまま送るのではなく、ハッシュ化して送る
パスワードをそのまま伝送すると第三者が傍受することができる
CHAPでは送られるのはハッシュ値であるため、
パスワードを逆算することは困難となる
認証情報をやり取りするが、
アカウンティング情報に関しては規定されていない
<手順>
・サーバ側からクライアント側へ
「チャレンジ」と呼ばれるランダムな短いデータを送信する
・クライアント側は
パスワードとチャレンジを組み合わせたデータを元に、
「ハッシュ関数」により「ハッシュ値」をサーバに送り返す
・サーバ側は
手元に保管されているその利用者のパスワードとチャレンジから
同じ手順でハッシュ値を算出する
クライアントから送られてきたハッシュ値と一致すれば、
確かにクライアントは同じパスワードを知っていることが確認でき
認証成功となる
・接続確立後も新しいチャレンジを生成して何度もこの手順を繰り返す
毎回異なるチャレンジ値によってハッシュ値も毎回変わる
2.PAP(Password Authentication Protocol)
PPPで利用できる認証プロトコル
IDとパスワードを平文で送って認証を受ける方式
RFC 1334の中で定義されており、最も仕様が簡潔な認証プロトコル
CHAPと同様に認証情報をやり取りするが、
アカウンティング情報に関しては規定されていない
<手順>
・接続したいクライアント側から
サーバへIDとパスワードを送信する
・サーバ側は
接続の可否を判断し応答する
3.PPTP(Point-to-Point Tunneling Protocol)
PPPパケットをIPデータグラムでカプセル化してVPNを作り出す技術
TCP/IPネットワーク上のある機器から任意のアドレスの別の機器まで
仮想的な伝送路を構築し、データを送受信するためのプロトコル
インターネットなど信用できない経路を通るネットワーク上で
保護された抜け道(トンネル)を作り出し、VPNを構築する
リンク層のプロトコルであるPPP(Point-to-Point Protocol)のフレームを
GRE(Generic Routing Encapsulation)によりカプセル化することで
IPネットワーク上を通過できるようにしたもの
米マイクロソフト社の提案を元にRFC 2637として標準化される
4.RADIUS(Remote Authentication Dial In User Service)
認証および利用ログ(権限付与、利用状況)の記録を単一のサーバに一元化し
サービス提供者側設備で認証とアカウンティングを実現するプロトコル
サービス提供者とは
インターネット接続サービス、コンテンツ提供サービス
大規模なネットワーク認証システムの構築に用いられる
インターネット接続事業者(ISP)などが
契約者の認証システムのために内部的に利用している
企業内LANなどでIEEE 802.1Xと組み合わせて端末認証に利用している
サーバとクライアントの間の通信方式を規定したもので
利用者の情報はRADIUSサーバが一元的に管理し、
クライアントからの要求に応じて認証や資源アクセスの可否を通知する
クライアントとは
末端の利用者からの接続を受け付けるルータや
無線LANアクセスポイント、リモートアクセスサーバ、
ダイヤルアップサーバなど
利用者との間でPAP、CHAP、EAPなどのプロトコルでやりとりする
<手順>
・User PCがNetwork Switchに接続を試みる
具体的には、Network Switch AにLANケーブルを接続する
・Network Switchは、
RADIUS Serverに対して、User PCへの認証処理を要求する
・RADIUS ServerはUser PCに対してユーザ名とパスワードを要求し、
正しければ認証成功となる
正しくない場合は認証失敗となる