Đang tải... (xem toàn văn)
Nội dung của đồ án: I.Giới thiệu authentication1.Authentication là gì?2.Các nhân tố cho xác thựcII.Các giao thức nền tảng cho Xác thực:2.1. Giao thức PAP Password Authentication Protocol (PAP)2.2. Giao thức Xác thực CHAP (Challenge Handshake Authentication Protocol)2.3. Giao thức TCACS và RADIUS2.4. Giao thức xác thực Kerberos2.5 Giao thức Xác thực LDAP(Light Weight Access Protocol)III.Một số mô hình xác thực: 1. Mô hình userpassword 2. Hệ thống đăng nhập một lần Single signon (SSO)3. Mô hình PKI (Public Key Infrastructure )
AUTHENTICATION I.Giới thiệu authentication 1.Authentication là gì? 2.Các nhân tố cho xác thực II.Các giao thức nền tảng cho Xác thực: 2.1. Giao thức PAP Password Authentication Protocol (PAP) 2.2. Giao thức Xác thực CHAP (Challenge Handshake Authentication Protocol) 2.3. Giao thức TCACS và RADIUS 2.4. Giao thức xác thực Kerberos 2.5 Giao thức Xác thực LDAP(Light Weight Access Protocol) III.Một số mô hình xác thực: 1. Mô hình user/password 2. Hệ thống đăng nhập một lần Single sign-on (SSO) 3. Mô hình PKI (Public Key Infrastructure ) Nhóm MMT1.5 I.Giới thiệu Authentication: 1.1.Authentication là gì? Xác thực (Authentication) là một hành động nhằm thiết lập hoặc chứng thực một cái gì đó (hoặc một người nào đó) đáng tin cậy, có nghĩa là, những lời khai báo do người đó đưa ra hoặc về vật đó là sự thật. Xác thực một đối tượng còn có nghĩa là công nhận nguồn gốc (provenance) của đối tượng, trong khi, xác thực một người thường bao gồm việc thẩm tra nhận dạng của họ. Việc xác thực thường phụ thuộc vào một hoặc nhiều nhân tố xác thực (authentication factors) để minh chứng cụ thể. 1.2.Các nhân tố dung cho xác thực: Trong an ninh máy tính (computer security) thường dùng nhận dạng số (digital identity) Trong các lĩnh vực khác thường dùng các nhân tố nhận dạng đặc điểm con người(vân tay, chứng minh nhân dân,hình…),vật(tên gọi ,số hiệu…) Đôi khi xác thưc chỉ dùng 1 nhân tố xác thực hoặc kết hợp nhiều nhân tố lại với nhau II.Các giao thức xác thực 2.1 .Giao thức PAP(Password Authentication Protocol (PAP) Đồ án an toàn và bảo mật mạng Page 1 Giao thức này thường thấy trong các modem adsl,cac router dung để xác thực khi vào mạng các nhà cung cấp mạng(isp) cũng dung giao thức này để xác thực các kết nối từ clien tới sever. Khi một kết nối PPP được yêu cầu bởi client và PAP(point-to-point protocol) được chọn dùng, access server sẽ ra lệnh cho client sử dụng PAP. Client sau đó sẽ phải gửi bộ username và password của mình, các thông tin này đều được truyền dưới dạng clear text mà không được mã hóa gì cả và được đóng gói trong các gói dữ liệu của PPP. Server sau đó sẽ quyết định chấp nhận hay từ chối việc thiết lập kết nối.Đây là cơ chế PAP một chiều giữa một client và một server. Nếu hai router nói chuyện với nhau thì Two-way PAP (PAP hai chiều) sẽ được sử dụng trong đó mỗi router sẽ gửi username và password, như vậy mỗi router sẽ chứng thực lẫn nhau. 2.2 Giao thức Xác thực CHAP (Challenge Handshake Authentication Protocol) CHAP được sử dụng phổ biến hơn PAP, do nó có khả năng mã hóa mật khẩu cũng như dữ liệu. Giả sử một user A(remote) quay số truy cập vào access server B • Giả sử một user A quay số truy cập vào access server B. • Access server sẽ gửi qua đường truyền một gói tin khởi tạo chứng thực Type 1 gọi là gói tin Challenge. Gói tin Challenge này chứa một số được sinh ngẫu nhiên, một số ID sequence number để xác định challenge và tên chứng thực của challenager Đồ án an toàn và bảo mật mạng Page 2 • Bên gọi sẽ lấy ra chuỗi authentication name, và tìm trong dữ liệu của mình chuỗi mã mật CHAP ứng với user name nhận được. • Caller sẽ nhập mã mật của CHAP, số ID sequence number và một giá trị số được sinh ngẫu nhiên vào thuật toán băm Message Digest 5 (MD5). • Giá trị kết quả sau khi tính toán hàm băm được gửi trả lại cho Challenger (Access server) trong một gói CHAP Response (Type 2) chứa chuỗi băm, tên chứng thực của caller và cuối cùng là ID (Sequence Number) được lấy từ gói Challenge. Đồ án an toàn và bảo mật mạng Page 3 • Khi nhận được gói Response Type 2, Challenger sẽ sử dụng ID để tìm gói Challenge nguyên thủy. • username của caller (A) được sử dụng để tìm kiếm mã mật CHAP từ một local database, hay một RADIUS server hoặc một TACACS+ server. • ID, giá trị Challande gốc được sinh ngẫn nhiên và giá trị CHAP ngẫu nhiên ban đầu và mã mật của được đưa vào xử lỷ bởi hàm băm MD5. • Chuỗi băm kết quả sau khi tính toán sau đó được so sánh với giá trị nhận được trong gói Response. • Nếu 2 chuỗi là giống nhau thì quá trình chứng thực CHAP đã thành công và các gói Type 3 được gửi đến caller chứa ID. Điều này có nghĩa là kết nối đã được chứng thực hợp lệ. • Nếu chứng thực CHAP thất bại, một gói tin Type 4 sẽ được gửi đến caller trong đó chứa original ID, xác nhận quá trình chứng thực là không thành công. RFC1994 http://www.ietf.org/rfc/rfc1994.txt Đồ án an toàn và bảo mật mạng Page 4 2.3 Giao thức TCACS và RADIUS Tổng quan về TACACS TACACS là giao thức được chuẩn hóa sử dụng giao thức hướng kết nối (connection-oriented) là TCP trên port 49. TACACS có các ưu điểm sau: •Với khả năng nhận gói reset (RST) trong TCP, một thiết bị có thể lập tức báo cho đầu cuối khác biết rằng đã có hỏng hóc trong quá trình truyền. •TCP là giao thức mở rộng vì có khả năng xây dựng cơ chế phục hồi lỗi. Nó có thể tương thích để phát triển cũng như làm tắc nghẽn mạng với việc sử dụng sequence number để truyền lại. •Toàn bộ payload được mã hóa với TACACS+ bằng cách sử dụng một khóa bí mật chung (shared secret key). TACACS+ đánh dấu một trường trong header để xác định xem thử có mã hóa hay không. •TACACS+ mã hóa toàn bộ gói bằng việc sử dụng khóa bí mật chung nhưng bỏ qua header TACACS chuẩn. Cùng với header là một trường xác định body có được mã hóa hay không. Thường thì trong toàn bộ thao tác, body của một gói được mã hóa hoàn toàn để truyền thông an toàn. •TACACS+ được chia làm ba phần: xác thực (authentication), cấp quyền (authorization) và tính cước (accounting). Với cách tiếp cận theo module, ta có thể sử dụng các dạng khác của xác thực và vẫn sử dụng TACACS+ để cấp quyền và tính cước. Chẳng hạn như, việc sử dụng phương thức xác thực Kerberos cùng với việc cấp quyền và tính cước bằng TACACS+ là rất phổ biến. •TACACS+ hỗ trợ nhiều giao thức. •Với TACACS+, ta có thể dùng hai phương pháp để điều khiển việc cấp quyền thực thi các dòng lệnh của một user hay một nhóm nhiều user: oPhương pháp thứ nhất là tạo một mức phân quyền (privilege) với một số câu lệnh giới hạn và user đã xác thực bởi router và TACACS server rồi thì sẽ được cấp cho mức đặc quyền xác định nói trên. oPhương pháp thứ hai đó là tạo một danh sách các dòng lệnh xác định trên TACACS+ server để cho phép một user hay một nhóm sử dụng. •TACACS thường được dùng trong môi trường enterprise. Nó có nhiều ưu điểm và làm việc tốt đáp ứng yêu cầu quản lý mạng hàng ngày. Tổng quan về RADIUS RADIUS là giao thức bảo mật mạng dựa theo mô hình client-server. Nó dùng giao thức UDP. RADIUS server thường chạy trên máy tính. Client là các dạng thiết bị có thể truyền thông tin đến RADIUS server được chỉ định trước và sau đó đóng vai trò phúc đáp mà nó trả về. Giao tiếp giữa client và RADIUS server được xác thực thông qua việc sử dụng khóa bí mật chung không được truyền qua mạng. Một số ưu điểm của RADIUS là: Đồ án an toàn và bảo mật mạng Page 5 •RADIUS có phần overhead ít hơn so với TACACS vì nó sử dụng UDP, trong phần overhead không có địa chỉ đích, port đích. •Với cách thức phân phối dạng source code, RADIUS là dạng giao thức hoàn toàn mở rộng. Người dùng có thể thay đổi nó để làm việc với bất kì hệ thống bảo mật hiện có. •RADIUS yêu cầu chức năng tính cước (accounting) mở rộng. RADIUS thường được dùng để tính cước dựa trên tài nguyên đã sử dụng. Ví dụ như ISP sẽ tính cước cho người dùng về chi phí kết nối. Ta có thể cài đặt RADIUS Accounting mà không cần sử dụng RADIUS để xác thực và cấp quyền. Với chức năng accounting mở rộng, RADIUS cho phép dữ liệu được gửi từ các thiết bị xuất phát cũng như là thiết bị đích, từ đó giúp ta theo dõi việc sử dụng tài nguyên (thời gian, số lượng các gói tin, số lượng byte, ) trong suốt phiên làm việc. Hoat động: Giao thức Remote Authentication Dial In User Service (RADIUS) được định nghĩa trong RFC 2865 được đưa ra với định nghĩa: Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization, và Access Control – AAA) cho các phiên làm việc với SLIP và PPP Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet. Nó cần thiết trong tất cả các Network Access Server (NAS) để làm việc với danh sách các username và password cho việc cấp phép, RADIUS Access-Request sẽ chuyển các thông tin tới một Authentication Server, thông thường nó là một AAA Server (AAA – Authentication, Authoriztion, và Accounting). Trong kiến trúc cua hệ thống nó tạo ra khả năng tập trung các dữ thông tin của người dùng, các điều kiện truy cập trên một điểm duy nhất (single point), trong khi có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NASs. Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access-Request tới máy chủ AAA Server, chuyển các thông tin như username và password, thông qua một port xác định, NAS identify, và một message Authenticator. Sau khi nhận được các thông tin máy chủ AAA sử dụng các gói tin được cung cấp như, NAS identify, và Authenticator thẩm định lại việc NAS đó có được phép gửi các yêu cầu đó không. Nếu có khả năng, máy chủ AAA sẽ tìm kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong cơ sở dữ lệu. Nếu quá trình kiểm tra là đúng thì nó sẽ mang một thông tin trong Access-Request quyết định quá trình truy cập của user đó là được chấp nhận. Khi quá trình xác thực bắt đầu được sử dụng, máy chủ AAA có thể sẽ trả về một RADIUS Access-Challenge mang một số ngẫu nhiên. NAS sẽ chuyển thông tin Đồ án an toàn và bảo mật mạng Page 6 đến người dùng từ xa (với ví dụ này sử dụng CHAP). Khi đó người dùng sẽ phải trả lời đúng các yêu cầu xác nhận (trong ví dụ này, đưa ra lời đề nghị mã hoá password), sau đó NAS sẽ chuyển tới máy chủ AAA một message RADIUS Access-Request. Nếu máy chủ AAA sau khi kiểm tra các thông tin của người dùng hoàn toàn thoả mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-Accept. Nếu không thoả mãn máy chủ AAA sẽ trả về một tin RADIUS Access-Reject và NAS sẽ ngắt kết nối với user. Khi một gói tin Access-Accept được nhận và RADIUS Accounting đã được thiết lập, NAS sẽ gửi mộtgói tin RADIUS Accounting-Request (Start) tới máy chủ AAA. Máy chủ sẽ thêm các thông tin vào file Log của nó, với việc NAS sẽ cho phép phiên làm việc với user bắt đầu khi nào, và kết thúc khi nào, RADIUS Accouting làm nhiệm vụ ghi lại quá trình xác thực của user vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi một thông tin RADIUS Accounting-Request (stop). 2.4Giao thức Kerberos: Kerberos là một giao thức chứng thực mạng được phát triển trong dự án Athena của học viện công nghệ Massachusetts (MIT). Kerberos là một cơ chế chứng thực mạnh cho các ứng dụng client/server trên môi trường mạng phân tán; nó cho phép các thực thể truyền thông trong mạng chứng thực lẫn nhau mà vẫn đảm bảo an toàn, chống nghe lén hay tấn công dùng lại trên mạng. Nó cũng đảm bảo tính toàn vẹn và tính mật cho thông tin truyền đi, sử dụng mã hoá bí mật như DES, triple DES. Nội dung Kerberos không xây dựng các giao thức chứng thực phức tạp cho mỗi máy chủ mà hoạt động dựa trên một máy chủ chứng thực tập trung KDC (Key Distribution Centre). KDC cung cấp vé cho việc chứng thực người dùng và bảo mật truyền thông bởi khoá phiên trong vé. KDC gồm: Đồ án an toàn và bảo mật mạng Page 7 - Máy chủ chứng thực AS (Authentication Server) biết khoá mật của tất cả người dùng được lưu giữ trên một cơ sở dữ liệu tập trung. - Máy chủ cấp khoá TGS (Ticket Granting Server) cung cấp vé dịch vụ cho phép người dùng truy nhập vào các máy chủ trên mạng. Giao thức Kerberos hoạt động khá phức tạp, về cơ bản được thực hiện qua ba giai đoạn, hay ba pha. Trong kịch bản này, người dùng C đăng nhập vào máy trạm client và yêu cầu truy nhập tới máy chủ V. Pha thứ nhất: Kết nối với AS để lấy về vé xin truy nhập TGS, ticket-granting- ticket (TGT) Truyền thông với AS thường là giai đoạn khởi đầu của phiên đăng nhập, nhằm lấy về dữ liệu chứng thực (TGT) cho TGS, để sau đó lấy về chứng thực cho các máy chủ khác mà không phải nhập lại khoá bí mật của client. Khoá bí mật của client được sử dụng cho cả việc mã hoá và giải mã. a. Người dùng C đăng nhập vào hệ thống, nhập định danh và mật khẩu. Client sẽ chuyển đổi mật khẩu thành khoá mật của C, lưu trữ trong biến của chương trình. Sau đó, client gửi yêu cầu xin cấp TGT tới AS bằng thông điệp Kerberos Authentication Service Request (KRB_AS_REQ) gồm 2 phần : - Định danh người dùng, định danh TGS nhằm chỉ định sử dụng dịch vụ TGS dưới dạng bản rõ. Đồ án an toàn và bảo mật mạng Page 8 - Dữ liệu tiền chứng thực (pre-authentication data) chứng minh rằng người dùng có đúng mật khẩu của anh ta. Phần này được mã hoá bằng khoá sinh ra từ mật khẩu người dùng. b. AS sẽ truy lục trong cơ sở dữ liệu, lấy khoá bí mật của C, giải mã phần dữ liệu tiền chứng thực, kiểm tra có hợp lệ không. Nếu có, AS có thể bảo đảm dữ liệu tiền chứng thực được mã hoá đúng bằng khoá bí mật của C, không bị tấn công dùng lại. c. Cuối cùng thì AS cũng đã xác minh được định danh của C, AS sẽ phản hồi bằng một thông điệp Kerberos Authentication Service Response (KRB_AS_REP) có chứa vé TGT bao gồm : - Một khoá phiên SK1 dùng cho truyền thông giữa client và TGS ở pha thứ hai, được mã hoá bằng khoá mật của C đảm bảo chỉ có C mới giải mã được. - Bản sao của SK1 được mã hoá bằng khoá mật của TGS đảm bảo chỉ TGS đọc được. Pha thứ hai: Truyền thông với máy chủ cấp vé dịch vụ TGS, lấy về service ticket truy nhập máy chủ V a. Có vé TGT và khóa phiên SK1, C đã sẵn sàng để truy nhập vào TGS. Đầu tiên C gửi cho TGS một thông điệp Kerberos Ticket Granting Service Request (KRB_TGS_REQ) có chứa : - Vé TGT và Định danh dịch vụ yêu cầu V. Bộ dữ liệu chứng thực gọi là Authenticator được mã hoá bằng SK1 gồm định danh người dùng C, IP của client và tem thời gian. Authenticator chỉ sử dụng một lần và có hiệu lực trong một thời gian cực ngắn b. TGS dùng khoá mật của mình giải mã TGT, lấy ra SK1 để giải mã authenticator, kiểm tra tính hợp lệ. Nếu hợp lệ, TGS được đảm bảo chắc chắn rằng người gửi chiếc vé chính là chủ nhân thực sự của nó. Khi đó, TGS sẽ sinh ra khoá phiên mới SK2 chung cho client và máy chủ V. Hai bản sao của khoá phiên này được gửi về cho C bằng thông điệp Kerberos Ticket Granting Service Response (KRB_TGS_REP) gồm: - Một bản sao khoá phiên SK2 được mã hoá bằng khoá phiên của C. - Bản kia được mã hóa bằng khoá mật của V đảm bảo chỉ V mới mở được. Đồ án an toàn và bảo mật mạng Page 9 Pha thứ ba: Truyền thông trong chứng thực client/server, trao đổi dữ liệu a. Bây giờ thì client sẵn sàng chứng thực với máy chủ V. Client gửi cho V một thông điệp Kerberos Aplication Request (KRB_AP_REQ) có chứa : - Authenticator mã hoá bởi khoá phiên SK2. - Service ticket mã hoá bởi khoá mật của V. - Cờ xác định client có yêu cầu chứng thực lẫn nhau không. b. V giải mã service ticket, lấy ra SK2 giải mã authenticator, xác minh tính hợp lệ. Nếu hợp lệ, B xem giá trị cờ yêu cầu chứng thực lẫn nhau. Nếu cờ được thiết lập, V sử dụng SK2 mã hoá thời gian từ authenticator và gửi về cho C bằng thông điệp KRB_AP_REP. c. C giải mã thông điệp bằng khoá phiên dùng chung với V, xác minh thời gian trong đó có đúng như khi gửi cho V không. Nếu hợp lệ, kết nối truyền thông sẽ được thực hiện. Như vậy, khoá phiên đã được chuyển tới server V và client một cách an toàn, được sử dụng cho việc bảo mật truyền thông giữa client và server về sau. Hơn nữa, cả client và server đều được chứng thực lẫn nhau, không xảy ra trường hợp giả mạo một trong hai bên tham gia truyền thông. 5.Giao thức LDAP LDAP là gì? LDAP ( Lightweight Directory Access Protocol) được hiểu như là một giao thức truy nhập nhanh dịch vụ thư mục. Chúng ta sẽ phân tích rõ vì sao nó lại được gọi như vậy.(Phiên bản cuối cùng hiện đến Version3.) 1. Lightweight Tại sao LDAP được coi là lightweight? Lightweight được so sánh với cái gì? Đó là những câu hỏi khi bạn muốn tìn hiểu chi tiết hơn về LDAP. Để trả lời những câu hỏi này, bạn cần tìm hiểu nguồn gốc của LDAP. Bản chất của LDAP là một phần của dịch vụ thư mục X.500. LDAP thực chất được thiết kế như một giao thức nhẹ nhàng, dùng như gateway trả lời những yêu Đồ án an toàn và bảo mật mạng Page 10 [...]... - Công cụ an toàn, bảo mật và xác thực hợp pháp cho các hệ thống hoạt động thương mại điện tử: các web site giao dịch B2B, các web site bán hàng, hệ thống thanh toán trực tuyến Sử dụng chứng thực số giúp cho bảo đảm an toàn các giao dịch điện tử Tránh được các nguy cơ, giả mạo thông tin, lộ các thông tin nhậy cảm, mạo danh, xuyên tạc và thay đổi nội dung thông tin Đồ án an toàn và bảo mật mạng Page... số cơ chế xác nhận cho khách hàng: - Xác thực một người dùng chưa xác định - Xác thực đơn giản - Xác thực đơn giản qua SSL / TLS - Xác thực đơn giản và Bảo mật lớp (SASL) 1 Xác thực người dùng chưa xác định (Anonymous Authentication) Xác thực người dùng chưa xác định là một xử lý ràng buộc đăng nhập vào directory với một tên đăng nhập và mật khẩu là rỗng Cách đăng nhập này rất thông dụng và đuợc thường... dùng và mật khẩu khi bạn đăng nhập vào hệ thống Khi xác nhận một khách hàng của LDAP, tên người dùng được xác định như là một DN, như ví dụ sau, cn = Gerald Carter, hoặc = People, dc = plainjoe, dc = org và mật khẩu tuơng ứng với DN đó Việc Đồ án an toàn và bảo mật mạng Page 17 các credentials được sử dụng để xác thực entry được dựa vào giá trị của thuộc tính userPassword Các kỹ thuật LDAPv3 xác định... thực , nhằm nâng cao tính bảo mật của hệ thống Việc ứng dụng và thiết kế thêm các hệ thống ứng dụng giao thức koberos ,Chap ,LDAP… sẽ tăng cường cao tính xác thực USER/Pass 3.2 Hệ thống đăng nhập một lần Single sign-on (SSO) SSO (Single Sign On) là cơ chế quản lý truy cập xác thực một lần và cho phép truy cập tài nguyên từ nhiều hê thống phần mềm khác nhau Nó giúp tránh phải xác thực nhiều lần SSO (Single... usename/password Xác thực bằng password là cách xác thực đơn giản và cổ điển nhất Hiện nay, khi bạn Log In vào 1 máy tính, or 1 trang web thì cách phổ biến nhất đó là bạn gõ username và password Đó là bạn đã thực hiện 1 quá trình xác thực bằng password Nói rõ ra là, trang web đó, or máy tính đó đã có lưu 1 danh sách các user và password tương ứng với từng user Khi bạn gõ vào username và password, trang web... Đồ án an toàn và bảo mật mạng Page 14 Quá trình kết nối giữa LDAP server và client: LDAP client và server thực hiện theo các bước sau: Client mở một kết nối TCP đến LDAP server và thực hiện một thao tác bind Thao tác bind bao gồm tên của một directory entry và uỷ nhiệm thư sẽ được sử dụng trong quá trình xác thực, uỷ nhiệm thư thông thường là pasword nhưng cũng có thể là chứng chỉ điện tử dùng để xác. .. nữa khi vào msn.com • Web SSO yêu cầu một hệ thống network ổn định và đảm bảo vận hành xuyên suốt • Phải sử dụng SSL và các phương thức mã hóa bất đối xứng Nếu một dịch vụ chứng thực mà không dùng SSL cho các phiên chứng thực thì đều bị coi là không an toàn Và đây cũng là một mục tiêu quan trọng của một ứng dụng web khi dùng dịch vụ chứng thực tập trung • Đăng xuất toàn bộ hệ thống SSO khi click vào button... hoá), máy chủ sẽ sử dụng hàm băm tuơng ứng để biến đối mật khẩu đưa vài và so sánh với giá trị đó với giá trị mật khẩu đã mã hoá từ trước Nếu cả hai mật khẩu trùng nhau, việc xác thực client sẽ thành công 3 Xác thực đơn giản qua SSL/TLS Nếu việc gửi username và mật khẩu của bạn qua mạng khiến bạn không cảm thấy yên tâm về tính bảo mật, sẽ là an toàn hơn khi truyền thông tin trong một lớp truyền tải... Mọi file HTML và file đồ họa sẽ được lưu trữ trong các directory và có thể được truy vấn bằng nhiều máy chủ web Sau đó, máy chủ web sẽ đưa ra một file chỉ đọc và gửi chúng cho client và bản thân những file đó phải Đồ án an toàn và bảo mật mạng Page 12 những file ít có sự thay đổi Một LDAP directory có thể không là một nơi tốt cho việc lưu trữ các spooled file khi chúng được đưa đến máy in, và khi việc... kiến xung quanh topic này là Web SSO Các Web SSO khá quen thuộc và nổi tiếng là Microsoft Passport ( Windows Live ID), Google Authentication, Yahoo Authentication Các hệ thống SSO là yêu cầu bắt buộc của các hãng cung cấp dịch vụ trực tuyến, các viện và trường đại học lớn Đồ án an toàn và bảo mật mạng Page 19 WebSSO là một dịch vụ chứng thực cho các ứng dụng web vận hành trên các platform khác nhau . hàng: - Xác thực một người dùng chưa xác định - Xác thực đơn giản - Xác thực đơn giản qua SSL / TLS - Xác thực đơn giản và Bảo mật lớp (SASL) 1. Xác thực người dùng chưa xác định (Anonymous. việc chứng thực người dùng và bảo mật truyền thông bởi khoá phiên trong vé. KDC gồm: Đồ án an toàn và bảo mật mạng Page 7 - Máy chủ chứng thực AS (Authentication Server) biết khoá mật của tất. khi xác thưc chỉ dùng 1 nhân tố xác thực hoặc kết hợp nhiều nhân tố lại với nhau II.Các giao thức xác thực 2.1 .Giao thức PAP(Password Authentication Protocol (PAP) Đồ án an toàn và bảo mật mạng