Jump to content

Протокол аутентификации

Протокол аутентификации — это тип протокола компьютерной связи или криптографического протокола, специально разработанного для передачи данных аутентификации между двумя объектами. Это позволяет принимающему объекту аутентифицировать подключающийся объект (например, Клиент, подключающийся к Серверу), а также аутентифицировать себя для подключающегося объекта (Сервер к клиенту), объявляя тип информации, необходимой для аутентификации, а также синтаксис. [1] Это наиболее важный уровень защиты, необходимый для безопасной связи внутри компьютерных сетей.

Цель [ править ]

С увеличением количества достоверной информации, доступной через сеть, возникла необходимость предотвращения доступа посторонних лиц к этим данным. В компьютерном мире украсть чью-либо личность легко — пришлось изобрести специальные методы проверки, чтобы выяснить, действительно ли человек/компьютер, запрашивающий данные, является тем, кем он себя называет. [2] Задача протокола аутентификации — указать точную последовательность шагов, необходимых для выполнения аутентификации. Он должен соответствовать основным принципам протокола:

  1. В протоколе должны участвовать две или более стороны, и все участники протокола должны знать протокол заранее.
  2. Все включенные стороны должны следовать протоколу.
  3. Протокол должен быть однозначным – каждый шаг должен быть точно определен.
  4. Протокол должен быть полным – должен включать в себя определенные действия для каждой возможной ситуации.

Иллюстрация аутентификации на основе пароля с использованием простого протокола аутентификации:

Алиса (субъект, желающий пройти проверку) и Боб (субъект, проверяющий личность Алисы) оба знают о протоколе, который они согласились использовать. Боб хранит пароль Алисы в базе данных для сравнения.

  1. Алиса отправляет Бобу свой пароль в пакете, соответствующем правилам протокола.
  2. Боб сверяет полученный пароль с паролем, хранящимся в его базе данных. Затем он отправляет пакет с сообщением «Аутентификация успешна» или «Аутентификация не удалась» в зависимости от результата. [3]

Это пример очень простого протокола аутентификации, уязвимого для многих угроз, таких как подслушивание , атака повторного воспроизведения , атаки «человек посередине» , атаки по словарю или атаки методом перебора . Большинство протоколов аутентификации более сложны, чтобы быть устойчивыми к этим атакам. [4]

Типы [ править ]

Протоколы аутентификации, разработанные для протокола PPP -точка точка » «

Протоколы используются в основном серверами протокола «точка-точка» (PPP) для проверки личности удаленных клиентов перед предоставлением им доступа к данным сервера. Большинство из них используют пароль в качестве краеугольного камня аутентификации. В большинстве случаев пароль необходимо заранее сообщить взаимодействующим объектам. [5]

Схема двухстороннего установления связи PAP

PAP — пароля протокол аутентификации

Протокол аутентификации по паролю — один из старейших протоколов аутентификации. Аутентификация инициализируется тем, что клиент отправляет пакет с учетными данными (имя пользователя и пароль) в начале соединения, при этом клиент повторяет запрос аутентификации до тех пор, пока не будет получено подтверждение. [6] Это крайне небезопасно, поскольку учетные данные передаются « в открытом виде » и неоднократно, что делает его уязвимым даже для самых простых атак, таких как подслушивание и атаки «человек посередине» . Несмотря на широкую поддержку, указано, что если реализация предлагает более строгий метод аутентификации, этот метод должен быть предложен до PAP. Смешанная аутентификация (например, один и тот же клиент поочередно использует PAP и CHAP) также не ожидается, поскольку аутентификация CHAP будет скомпрометирована, если PAP отправит пароль в виде открытого текста.

протокол аутентификации с вызовом рукопожатием и CHAP

Процесс аутентификации в этом протоколе всегда инициализируется сервером/хостом и может выполняться в любое время во время сеанса, даже неоднократно. Сервер отправляет случайную строку (обычно длиной 128 байт). Клиент использует пароль и строку, полученную в качестве параметров для хеш-функции MD5, а затем отправляет результат вместе с именем пользователя в виде обычного текста. Сервер использует имя пользователя для применения той же функции и сравнивает вычисленный и полученный хэш. Аутентификация успешна или неудачна.

— расширяемый аутентификации протокол EAP

EAP изначально был разработан для PPP (протокол «точка-точка»), но сегодня широко используется в IEEE 802.3 , IEEE 802.11 (WiFi) или IEEE 802.16 как часть структуры аутентификации IEEE 802.1x . Последняя версия стандартизирована в RFC 5247. Преимущество EAP заключается в том, что это всего лишь общая структура аутентификации для аутентификации клиент-сервер - конкретный способ аутентификации определен во многих его версиях, называемых EAP-методами. Существует более 40 EAP-методов, наиболее распространенными являются:

Протоколы архитектуры AAA (Аутентификация, Авторизация Учет , )

Сложные протоколы, используемые в более крупных сетях для проверки пользователя (Аутентификация), контроля доступа к данным сервера (Авторизация), а также мониторинга сетевых ресурсов и информации, необходимой для выставления счетов за услуги (Учет).

TACACS , XTACACS и TACACS+ [ править ]

Самый старый протокол AAA, использующий аутентификацию на основе IP без какого-либо шифрования (имена пользователей и пароли передавались в виде обычного текста). В более поздней версии XTACACS (Extended TACACS) добавлены авторизация и учет. Оба эти протокола позже были заменены TACACS+. TACACS+ разделяет компоненты AAA, поэтому их можно разделить и обрабатывать на отдельных серверах (он может даже использовать другой протокол, например, для авторизации). Он использует TCP (протокол управления передачей) для транспортировки и шифрует весь пакет. TACACS+ является собственностью Cisco.

РАДИУС [ править ]

Служба удаленной аутентификации пользователей с телефонным подключением (RADIUS) — это полный протокол AAA. обычно используется интернет-провайдерами . Учетные данные в основном основаны на комбинации имени пользователя и пароля, а для транспортировки используются протоколы NAS и UDP . [7]

ДИАМЕТР [ править ]

Diameter (протокол) произошел от RADIUS и включает в себя множество улучшений, таких как использование более надежного транспортного протокола TCP или SCTP и более высокая безопасность благодаря TLS . [8]

Другое [ править ]

Схема аутентификации Kerberos

Kerberos (протокол) [ править ]

Kerberos — это централизованная система сетевой аутентификации, разработанная в MIT и доступная в качестве бесплатной реализации в MIT, а также во многих коммерческих продуктах. Это метод аутентификации по умолчанию в Windows 2000 и более поздних версиях. Сам процесс аутентификации намного сложнее, чем в предыдущих протоколах — Kerberos использует криптографию с симметричным ключом , требует доверенной третьей стороны может использовать криптографию с открытым ключом на определенных этапах аутентификации. и при необходимости [9] [10] [11]

Список различных аутентификации протоколов других

Ссылки [ править ]

  1. ^ Дункан, Ричард (23 октября 2001 г.). «Обзор различных методов и протоколов аутентификации» . www.sans.org . Институт САНС . Проверено 31 октября 2015 г.
  2. ^ Шиндер, Деб (28 августа 2001 г.). «Понимание и выбор методов аутентификации» . www.techrepublic.com . Проверено 30 октября 2015 г.
  3. ^ ван Тилборг, Хенк, Калифорния (2000). Основы криптологии . Массачусетс: Kluwer Academic Publishers. стр. 66–67. ISBN  0-7923-8675-2 .
  4. ^ Смит, Ричард Э. (1997). Интернет-криптография . Массачусетс: Эддисон Уэсли Лонгман. стр. 1–27 . ISBN  0-201-92480-3 .
  5. ^ Халеви, Шай (1998). «Криптография с открытым ключом и протоколы паролей». стр. 230–268. CiteSeerX   10.1.1.45.6423 .
  6. ^ Ванек, Томас. «Аутентификация сетей телекоммуникаций и передачи данных» (PDF) . ЦВУТ Прага. Архивировано из оригинала (PDF) 4 марта 2016 года . Проверено 31 октября 2015 г.
  7. ^ «Протоколы ААА» . www.cisco.com . ЦИСКО . Проверено 31 октября 2015 г.
  8. ^ Лю, Джеффри (24 января 2006 г.). «Введение в диаметр» . www.ibm.com . ИБМ . Проверено 31 октября 2015 г.
  9. ^ «Керберос: протокол сетевой аутентификации» . web.mit.edu . МТИ Керберос. 10 сентября 2015 года . Проверено 31 октября 2015 г.
  10. ^ Шнайер, Брюс (1997). Прикладная криптография . Нью-Йорк: John Wiley & Sons, Inc., стр. 52–74. ISBN  0-471-12845-7 .
  11. ^ «Протоколы прошлого» . srp.stanford.edu . Стэнфордский университет . Проверено 31 октября 2015 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Authentication_protocol&oldid=1211559628"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 2652807e9e00db1725cd43bd3699181e__1709432220
URL1:https://arc.ask3.ru/arc/aa/26/1e/2652807e9e00db1725cd43bd3699181e.html
Заголовок, (Title) документа по адресу, URL1:
Authentication protocol - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)