- Протокол аутентификации — Authentication protocol
- Цель
- Типы
- Протоколы аутентификации, разработанные для PPP Протокол точка-точка
- PAP — Протокол аутентификации пароля
- CHAP — Протокол аутентификации запрос-рукопожатие
- EAP — Extensible Authentication Protocol
- AAA протоколы архитектуры (Аутентификация, Авторизация, Учет)
- TACACS, XTACACS и TACACS+
- RADIUS
- DIAMETER
- Другое
- Kerberos (протокол)
- Список различных других протоколов аутентификации
Протокол аутентификации — Authentication protocol
Протокол аутентификации — это тип компьютера протокол связи или криптографический протокол, специально разработанный для передачи данных аутентификации между двумя объектами. Он позволяет принимающему объекту аутентифицировать подключающийся объект (например, клиент, подключающийся к серверу), а также аутентифицировать себя для подключающегося объекта (сервер к клиенту) путем объявления типа информации, необходимой для аутентификации, а также синтаксиса. Это самый важный уровень защиты, необходимый для безопасной связи в компьютерных сетях.
- 1 Назначение
- 2 Типа
- 2.1 Протоколы аутентификации, разработанные для протокола PPP Point-to-Point
- 2.1.1 PAP — Протокол аутентификации пароля
- 2.1.2 CHAP — Challenge- протокол аутентификации с установлением связи
- 2.1.3 EAP — Extensible Authentication Protocol
- 2.2.1 TACACS, XTACACS и TACACS +
- 2.2.2 RADIUS
- 2.2.3 ДИАМЕТР
- 2.3.1 Kerberos (протокол)
Цель
С увеличением количества достоверной информации будучи доступным по сети, возникла необходимость удерживать посторонних от доступа к этим данным. В компьютерном мире украсть чью-либо личность легко — пришлось изобрести специальные методы проверки, чтобы выяснить, действительно ли человек / компьютер, запрашивающий данные, является тем, кем он себя называет. Задача протокола аутентификации — указать точную серию шагов, необходимых для выполнения аутентификации. Он должен соответствовать основным принципам протокола:
- Протокол должен включать двух или более сторон, и каждый, кто участвует в протоколе, должен знать протокол заранее.
- Все включенные стороны должны следовать протоколу.
- Протокол должен быть недвусмысленным — каждый шаг должен быть определен точно.
- Протокол должен быть полным — должен включать в себя определенное действие для каждой возможной ситуации.
Иллюстрация пароля — аутентификация на основе простого протокола аутентификации:
Алиса (объект, желающий быть проверенным) и Боб (объект, удостоверяющий личность Алисы) оба знают о протоколе, который они договорились использовать. Боб хранит пароль Алисы в базе данных для сравнения.
- Алиса отправляет Бобу свой пароль в пакете в соответствии с правилами протокола.
- Боб сравнивает полученный пароль с тем, который хранится в его базе данных. Затем он отправляет пакет с сообщением «Аутентификация прошла успешно» или «Аутентификация не удалась» в зависимости от результата.
Это пример очень простого протокола аутентификации, уязвимого для многих угроз, таких как подслушивание, повторная атака, атаки типа «человек посередине», атаки по словарю или атаки методом перебора. Большинство протоколов аутентификации более сложны, чтобы противостоять этим атакам.
Типы
Протоколы аутентификации, разработанные для PPP Протокол точка-точка
Протоколы используется в основном серверами Point-to-Point Protocol (PPP) для проверки подлинности удаленных клиентов перед предоставлением им доступа к данным сервера. Большинство из них используют пароль как краеугольный камень аутентификации. В большинстве случаев пароль должен быть передан между взаимодействующими объектами заранее.
Схема двустороннего подтверждения PAP
PAP — Протокол аутентификации пароля
Протокол аутентификации пароля — один из самых старых протоколов аутентификации. Аутентификация инициализируется клиентом, отправляющим пакет с учетными данными (имя пользователя и пароль) в начале соединения, при этом клиент повторяет запрос аутентификации до тех пор, пока не будет получено подтверждение. Это очень небезопасно, потому что учетные данные отправляются «в открытом виде » и неоднократно, что делает его уязвимым даже для самых простых атак, таких как подслушивание и человек посередине. атаки на основе. Несмотря на широкую поддержку, указывается, что если реализация предлагает более надежный метод аутентификации, этот метод должен быть предложен до PAP. Смешанная аутентификация (например, один и тот же клиент, поочередно использующий PAP и CHAP) также не ожидается, поскольку аутентификация CHAP будет скомпрометирована PAP, отправившим пароль в виде обычного текста.
CHAP — Протокол аутентификации запрос-рукопожатие
Процесс аутентификации в этом протоколе всегда инициализируется сервером / хостом и может выполняться в любое время в течение сеанса, даже повторно. Сервер отправляет случайную строку (обычно длиной 128 Б). Клиент использует пароль и строку, полученные в качестве параметров для хеш-функции MD5, а затем отправляет результат вместе с именем пользователя в виде обычного текста. Сервер использует имя пользователя для применения той же функции и сравнивает вычисленный и полученный хэш. Аутентификация прошла успешно или неудачно.
EAP — Extensible Authentication Protocol
Первоначально EAP был разработан для PPP (протокол точка-точка), но сегодня широко используется в IEEE 802.3, IEEE 802.11 (WiFi) или IEEE 802.16 как часть структуры аутентификации IEEE 802.1x. Последняя версия стандартизирована в RFC 5247. Преимущество EAP состоит в том, что это всего лишь общая структура аутентификации для аутентификации клиент-сервер — конкретный способ аутентификации определен во многих его версиях, называемых EAP-методами. Существует более 40 EAP-методов, самые распространенные:
AAA протоколы архитектуры (Аутентификация, Авторизация, Учет)
Сложные протоколы, используемые в больших сетях для проверки пользователя (Аутентификация), управления доступом к данным сервера (Авторизация) и мониторинга сетевых ресурсов и информации, необходимой для выставления счетов за услуги (Учет).
TACACS, XTACACS и TACACS+
Самый старый протокол AAA, использующий аутентификацию на основе IP без какого-либо шифрования (имена пользователей и пароли передавались в виде простого текста). В более поздней версии XTACACS (Extended TACACS) добавлены авторизация и учет. Оба эти протокола позже были заменены на TACACS +. TACACS + разделяет компоненты AAA, поэтому они могут быть отделены и обрабатываться на отдельных серверах (он даже может использовать другой протокол, например, для авторизации). Он использует TCP (протокол управления передачей) для транспортировки и шифрует весь пакет. TACACS + является собственностью Cisco.
RADIUS
Служба удаленной аутентификации пользователей с телефонным подключением (RADIUS) — это полный протокол AAA, обычно используемый ISP. Учетные данные в основном основаны на комбинации имени пользователя и пароля, для транспорта используются протоколы NAS и UDP.
DIAMETER
Diameter (протокол) произошел от RADIUS и включает в себя множество такие улучшения, как использование более надежного транспортного протокола TCP или SCTP и повышенная безопасность благодаря TLS.
Другое
Схема аутентификации Kerberos
Kerberos (протокол)
Kerberos — это централизованная сетевая аутентификация Система разработана в MIT и доступна в виде бесплатной реализации MIT, а также во многих коммерческих продуктах. Это метод аутентификации по умолчанию в Windows 2000 и более поздних версиях. Сам процесс аутентификации намного сложнее, чем в предыдущих протоколах — Kerberos использует криптографию с симметричным ключом, требует доверенной третьей стороны и может использовать криптографию с открытым ключом на определенных этапах аутентификации, если это необходимо.
Список различных других протоколов аутентификации
- AKA
- аутентификация на основе CAVE
- CRAM-MD5
- Digest
- Host Identity Protocol (HIP)
- LAN Manager
- NTLM, также известный как NT LAN Manager
- OpenID протокол
- согласование ключей с аутентификацией паролем протоколы
- Протокол для проведения аутентификации для доступа к сети (PANA)
- Протокол защищенного удаленного пароля (SRP)
- Woo Lam 92 (протокол)
- SAML
- 2.1 Протоколы аутентификации, разработанные для протокола PPP Point-to-Point