Протокол аутентификации - Authentication protocol

An протокол аутентификации это тип компьютера протокол связи или же криптографический протокол специально разработан для передачи аутентификация данные между двумя объектами. Это позволяет принимающему объекту аутентифицировать подключающийся объект (например, клиент, подключающийся к серверу), а также аутентифицировать себя для подключающегося объекта (от сервера к клиенту), объявляя тип информации, необходимой для аутентификации, а также синтаксис.[1] Это самый важный уровень защиты, необходимый для безопасной связи в компьютерных сетях.

Цель

С увеличением количества достоверной информации, доступной по сети, возникла потребность в ограничении доступа посторонних лиц к этим данным. В компьютерном мире украсть чью-либо личность легко - пришлось изобрести специальные методы проверки, чтобы выяснить, действительно ли человек / компьютер, запрашивающий данные, является тем, кем он себя называет.[2] Задача протокола аутентификации - указать точную серию шагов, необходимых для выполнения аутентификации. Он должен соответствовать основным принципам протокола:

  1. Протокол должен включать двух или более сторон, и каждый, кто участвует в протоколе, должен знать протокол заранее.
  2. Все вовлеченные стороны должны соблюдать протокол.
  3. Протокол должен быть однозначным - каждый шаг должен быть точно определен.
  4. Протокол должен быть полным - в нем должно быть указано действие для каждой возможной ситуации.

Иллюстрация аутентификации на основе пароля с использованием простого протокола аутентификации:

Алиса (объект, желающий быть проверенным) и Боб (объект, удостоверяющий личность Алисы) знают о протоколе, который они договорились использовать. Боб хранит пароль Алисы в базе данных для сравнения.

  1. Алиса отправляет Бобу свой пароль в пакете, соблюдая правила протокола.
  2. Боб сравнивает полученный пароль с паролем, хранящимся в его базе данных. Затем он отправляет пакет с сообщением «Аутентификация прошла успешно» или «Аутентификация не удалась» в зависимости от результата.[3]

Это пример очень простого протокола аутентификации, уязвимого для многих угроз, таких как подслушивание, повторная атака, человек посередине атаки, атаки по словарю или атаки методом перебора. Большинство протоколов аутентификации более сложны, чтобы противостоять этим атакам.[4]

Типы

Протоколы аутентификации, разработанные для PPP Протокол точка-точка

Протоколы используются в основном Протокол точка-точка (PPP) для проверки личности удаленных клиентов перед предоставлением им доступа к данным сервера. Большинство из них используют пароль как краеугольный камень аутентификации. В большинстве случаев пароль должен быть сообщен между взаимодействующими объектами заранее.[5]

Схема двустороннего рукопожатия PAP

PAP - протокол аутентификации пароля

Протокол аутентификации пароля - один из самых старых протоколов аутентификации. Аутентификация инициализируется клиентом, отправляющим пакет с реквизиты для входа (имя пользователя и пароль) в начале соединения, при этом клиент повторяет запрос аутентификации до тех пор, пока не будет получено подтверждение.[6] Это очень небезопасно, потому что отправляются учетные данные "в ясном "и неоднократно, что делает его уязвимым даже для самых простых атак, таких как подслушивание и человек посередине основанные атаки. Несмотря на широкую поддержку, указано, что если реализация предлагает более надежный метод аутентификации, этот метод должен быть предложенным перед PAP. Смешанная аутентификация (например, один и тот же клиент, поочередно использующий PAP и CHAP) также не ожидается, поскольку аутентификация CHAP будет скомпрометирована PAP, отправившим пароль в виде обычного текста.

CHAP - Протокол аутентификации вызов-рукопожатие

Процесс аутентификации в этом протоколе всегда инициализируется сервером / хостом и может выполняться в любое время в течение сеанса, даже повторно. Сервер отправляет случайную строку (обычно длиной 128 Б). Клиент использует пароль и строку, полученные в качестве параметров для хеш-функции MD5, а затем отправляет результат вместе с именем пользователя в виде обычного текста. Сервер использует имя пользователя для применения той же функции и сравнивает вычисленный и полученный хэш. Аутентификация прошла успешно или неудачно.

EAP - расширяемый протокол аутентификации

Первоначально EAP был разработан для PPP (Point-to-Point Protocol), но сегодня широко используется в IEEE 802.3, IEEE 802.11 (WiFi) или IEEE 802.16 как часть IEEE 802.1x структура аутентификации. Последняя версия стандартизирована в RFC 5247. Преимущество EAP заключается в том, что это всего лишь общая структура аутентификации для аутентификации клиент-сервер - конкретный способ аутентификации определен во многих его версиях, называемых EAP-методами. Существует более 40 EAP-методов, наиболее распространенными из которых являются:

Протоколы архитектуры AAA (аутентификация, авторизация, учет)

Сложные протоколы, используемые в более крупных сетях для проверки пользователя (аутентификация), управления доступом к данным сервера (авторизация) и мониторинга сетевых ресурсов и информации, необходимой для выставления счетов за услуги (учет).

TACACS, XTACACS и TACACS +

Самый старый протокол AAA, использующий аутентификацию на основе IP без какого-либо шифрования (имена пользователей и пароли передавались в виде простого текста). В более поздней версии XTACACS (Extended TACACS) добавлены авторизация и учет. Позднее оба этих протокола были заменены на TACACS +. TACACS + разделяет компоненты AAA, поэтому они могут быть разделены и обрабатываться на отдельных серверах (он даже может использовать другой протокол, например, для авторизации). Оно использует TCP (Протокол управления передачей) для транспорта и шифрует весь пакет. TACACS + является собственностью Cisco.

РАДИУС

Служба удаленной аутентификации пользователей с телефонным подключением (РАДИУС) - это полный Протокол AAA обычно используется Интернет-провайдер. Учетные данные в основном основаны на комбинации имени пользователя и пароля, он использует NAS и UDP протокол для транспорта.[7]

ДИАМЕТР

Диаметр (протокол) произошел от RADIUS и включает в себя множество улучшений, таких как использование более надежного транспортного протокола TCP или SCTP и более высокий уровень безопасности благодаря TLS.[8]

Другой

Схема аутентификации Kerberos

Kerberos (протокол)

Kerberos - это централизованная система сетевой аутентификации, разработанная в Массачусетский технологический институт и доступен как бесплатная реализация от MIT, а также во многих коммерческих продуктах. Это метод аутентификации по умолчанию в Windows 2000 и позже. Сам процесс аутентификации намного сложнее, чем в предыдущих протоколах - Kerberos использует криптография с симметричным ключом, требует доверенная третья сторона и может использовать криптография с открытым ключом на определенных этапах аутентификации, если это необходимо.[9][10][11]

Список различных других протоколов аутентификации

Рекомендации

  1. ^ Дункан, Ричард (23 октября 2001 г.). «Обзор различных методов и протоколов аутентификации». www.sans.org. Институт SANS. Получено 31 октября 2015.
  2. ^ Шиндер, Деб (28 августа 2001 г.). «Понимание и выбор методов аутентификации». www.techrepublic.com. Получено 30 октября 2015.
  3. ^ ван Тилборг, Хенк С.А. (2000). Основы криптологии. Массачусетс: Kluwer Academic Publishers. С. 66–67. ISBN  0-7923-8675-2.
  4. ^ Смит, Ричард Э. (1997). Интернет-криптография. Массачусетс: Эддисон Уэсли Лонгман. стр.1–27. ISBN  0-201-92480-3.
  5. ^ Халеви, Шай. «Протоколы шифрования с открытым ключом и паролей». CiteSeerX  10.1.1.45.6423. Цитировать журнал требует | журнал = (помощь)
  6. ^ Ванек, Томаш. "Autentizacní telekomunikacních a datových sítích" (PDF). CVUT Прага. Архивировано из оригинал (PDF) 4 марта 2016 г.. Получено 31 октября 2015.
  7. ^ «Протоколы ААА». www.cisco.com. CISCO. Получено 31 октября 2015.
  8. ^ Лю, Джеффри (24 января 2006 г.). «Введение в диаметр». www.ibm.com. IBM. Получено 31 октября 2015.
  9. ^ «Kerberos: протокол сетевой аутентификации». web.mit.edu. MIT Kerberos. 10 сентября 2015 г.. Получено 31 октября 2015.
  10. ^ Шнайер, Брюс (1997). Прикладная криптография. Нью-Йорк: John Wiley & Sons, Inc., стр. 52–74. ISBN  0-471-12845-7.
  11. ^ «Протоколы прошлого». srp.stanford.edu. Стэндфордский Университет. Получено 31 октября 2015.