Протокол аутентификации - Authentication protocol

Протокол аутентификации представляет собой тип компьютерного протокола связи или криптографического протокола , специально предназначенные для передачи аутентификационных данных между двумя объектами. Это позволяет принимающему объекту аутентифицировать подключающийся объект (например, клиент, подключающийся к серверу), а также аутентифицировать себя для подключающегося объекта (от сервера к клиенту) путем объявления типа информации, необходимой для аутентификации, а также синтаксиса. Это наиболее важный уровень защиты, необходимый для безопасного обмена данными в компьютерных сетях.

Цель

С увеличением количества достоверной информации, доступной по сети, возникла потребность в ограничении доступа посторонних лиц к этим данным. В компьютерном мире украсть чью-то личность легко - пришлось изобрести специальные методы проверки, чтобы выяснить, действительно ли человек / компьютер, запрашивающий данные, является тем, кем он себя называет. Задача протокола аутентификации - указать точную последовательность шагов, необходимых для выполнения аутентификации. Он должен соответствовать основным принципам протокола:

1. Протокол должен включать двух или более сторон, и все участники протокола должны знать протокол заранее.
2. Все вовлеченные стороны должны соблюдать протокол.
3. Протокол должен быть однозначным - каждый шаг должен быть точно определен.
4. Протокол должен быть полным - в нем должно быть указано действие для каждой возможной ситуации.

Иллюстрация аутентификации на основе пароля с использованием простого протокола аутентификации:

Алиса (объект, желающий быть проверенным) и Боб (объект, удостоверяющий личность Алисы) оба знают о протоколе, который они договорились использовать. Боб хранит пароль Алисы в базе данных для сравнения.

1. Алиса отправляет Бобу свой пароль в пакете, соблюдая правила протокола.
2. Боб сравнивает полученный пароль с паролем, хранящимся в его базе данных. Затем он отправляет пакет с сообщением «Аутентификация прошла успешно» или «Аутентификация не удалась» в зависимости от результата.

Это пример очень простого протокола аутентификации, уязвимого для многих угроз, таких как подслушивание , повторная атака , атаки типа « злоумышленник в середине», атаки по словарю или атаки методом перебора . Большинство протоколов аутентификации более сложны, чтобы противостоять этим атакам.

Типы

Протоколы аутентификации, разработанные для протокола точка-точка PPP

Протоколы используются в основном серверами двухточечного протокола (PPP) для проверки подлинности удаленных клиентов перед предоставлением им доступа к данным сервера. Большинство из них используют пароль как краеугольный камень аутентификации. В большинстве случаев пароль должен быть передан между взаимодействующими объектами заранее.

PAP - протокол аутентификации пароля

Протокол аутентификации по паролю - один из самых старых протоколов аутентификации. Аутентификация инициализируется клиентом, отправляющим пакет с учетными данными (имя пользователя и пароль) в начале соединения, при этом клиент повторяет запрос аутентификации до тех пор, пока не будет получено подтверждение. Это крайне небезопасно, потому что учетные данные пересылаются « в открытом виде » и неоднократно, что делает его уязвимым даже для самых простых атак, таких как подслушивание и атаки типа « злоумышленник в середине» . Несмотря на широкую поддержку, указано, что если реализация предлагает более строгий метод аутентификации, этот метод должен быть предложен до PAP. Смешанная аутентификация (например, один и тот же клиент, поочередно использующий PAP и CHAP) также не ожидается, поскольку аутентификация CHAP будет скомпрометирована PAP, отправившим пароль в виде обычного текста.

CHAP - протокол аутентификации запрос -рукопожатие

Процесс аутентификации в этом протоколе всегда инициализируется сервером / хостом и может выполняться в любое время в течение сеанса, даже повторно. Сервер отправляет случайную строку (обычно длиной 128 Б). Клиент использует пароль и строку, полученные в качестве параметров для хеш-функции MD5, а затем отправляет результат вместе с именем пользователя в виде обычного текста. Сервер использует имя пользователя для применения той же функции и сравнивает вычисленный и полученный хэш. Аутентификация успешна или неудачна.

EAP - расширяемый протокол аутентификации

Первоначально EAP был разработан для PPP (протокол точка-точка), но сегодня широко используется в IEEE 802.3 , IEEE 802.11 (WiFi) или IEEE 802.16 как часть структуры аутентификации IEEE 802.1x . Последняя версия стандартизирована в RFC 5247. Преимущество EAP состоит в том, что это только общая структура аутентификации для аутентификации клиент-сервер - конкретный способ аутентификации определен во многих его версиях, называемых EAP-методами. Существует более 40 EAP-методов, наиболее распространенными из которых являются:

• EAP-MD5
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP- PEAP

Протоколы архитектуры AAA (аутентификация, авторизация, учет)

Сложные протоколы, используемые в более крупных сетях для проверки пользователя (аутентификация), управления доступом к данным сервера (авторизация) и мониторинга сетевых ресурсов и информации, необходимой для выставления счетов за услуги (учет).

TACACS , XTACACS и TACACS +

Самый старый протокол AAA, использующий аутентификацию на основе IP без какого-либо шифрования (имена пользователей и пароли передавались в виде простого текста). В более поздней версии XTACACS (Extended TACACS) добавлены авторизация и учет. Оба эти протокола позже были заменены на TACACS +. TACACS + разделяет компоненты AAA, поэтому они могут быть отделены и обрабатываться на отдельных серверах (он даже может использовать другой протокол, например, для авторизации). Он использует TCP (протокол управления передачей) для транспортировки и шифрует весь пакет. TACACS + является собственностью Cisco.

РАДИУС

Служба удаленной аутентификации пользователей с телефонным подключением (RADIUS) - это полный протокол AAA, обычно используемый интернет-провайдером . Учетные данные в основном основаны на комбинации имени пользователя и пароля, для транспорта используются протоколы NAS и UDP .

ДИАМЕТР

Диаметр (протокол) произошел от RADIUS и включает в себя множество улучшений, таких как использование более надежного транспортного протокола TCP или SCTP и более высокий уровень безопасности благодаря TLS .

Другой

Kerberos (протокол)

Kerberos - это централизованная система сетевой аутентификации, разработанная в Массачусетском технологическом институте и доступная как бесплатная реализация от Массачусетского технологического института, а также во многих коммерческих продуктах. Это метод проверки подлинности по умолчанию в Windows 2000 и более поздних версиях. Сам процесс аутентификации намного сложнее, чем в предыдущих протоколах - Kerberos использует криптографию с симметричным ключом , требует доверенной третьей стороны и может использовать криптографию с открытым ключом на определенных этапах аутентификации, если это необходимо.

Список различных других протоколов аутентификации

• AKA
• Базовая аутентификация доступа
• CAVE-аутентификация
• CRAM-MD5
• Дайджест
• Протокол идентификации хоста (HIP)
• LAN менеджер
• NTLM , также известный как NT LAN Manager
• Протокол OpenID
• Протоколы согласования ключей с аутентификацией паролем
• Протокол аутентификации для доступа к сети (PANA)
• Протокол защищенного удаленного пароля (SRP)
• Протоколы RFID-аутентификации
• Woo Lam 92 (протокол)
• SAML

использованная литература