チャレンジハンドシェーク認証プロトコル (CHAP)

チャレンジハンドシェーク認証プロトコル (CHAP) は、3 ウェイハンドシェークメカニズムに基づいたパスワード認証をリンク確立時に行います。この認証では、認証側とその同位者だけが知っている、リンク上で送信されない CHAP シークレットが使用されます。

リンクの 1 つのエンドポイントが CHAP 認証を要求するときには、CHAP シークレットに基づいて算出されるチャレンジ値が含まれるチャレンジメッセージを生成します。このチャレンジメッセージに対し、もう 1 つのエンドポイントは、受信したチャレンジ値に基づいて算出した応答値と共通シークレットを返す必要があります。このエンドポイントが応答に失敗した場合や、認証側の要求した値が返されなかった場合は、リンクが切断されます。

CHAP は PAP よりも強力な認証方法です。CHAP では、シークレットがリンクを通して送信されることはなく、リンクしている間は侵略から保護されます。したがって、PAP と CHAP の両方の認証を使用する場合は、CHAP 認証が最初に行われます。

CHAP 認証は、2 つのリンクエンドポイントのいずれかが要求するか、または両方が同時に要求します。両方が CHAP 認証を要求した場合は、どちらもチャレンジメッセージと応答メッセージを交換します。両方のエンドポイントで認証が成功しないかぎり、リンクは切断されます。