Đồ án an toàn và bảo mật mạng AUTHENTICATION

University of Information TechnologyII.Các giao thức xác thực Authentication protocol... University of Information Technology2.1 .Giao thức PAPPassword Authentication Protocol  PAP là

Trang 1

University of Information Technology

Trang 2

AUTHENTICATION

I.Giới thiệu authentication

1.1 Authentication là gì?

1.2 Các nhân tố cho xác thực

II.Các giao thức nền tảng cho xác thực

2.1 Giao thức xác thực PAP (Password Authentication Protoco)

2.2 Giao thức Xác thực CHAP (Challenge Handshake Authentication Protocol)

2.3 Giao thức xác thực EAP(Extensible Authentication Protocol)

Trang 3

1.1 Authentication là gì?

Xác thực (Authentication) là một hành động nhằm thiết lập hoặc chứng thực một cái gì đó (hoặc một người nào đó) đáng tin cậy

Trang 4

1.2 Các nhân tố dùng cho xác thực

 Something you have

 Something you know

 Something you are

Trang 5

II.Các giao thức xác thực (Authentication protocol)

Trang 6

2.1 Giao thức PAP(Password

Authentication Protocol )

 PAP là mô hình xác thực chung,sử dụng 1 username và password

 The remote access client software gởi

username/password đến sever dưới dạng

plaintext mà không được mã hóa gì cả và

được đóng gói trong các gói dữ liệu của PPP

 Server sau đó sẽ quyết định chấp nhận hay

từ chối việc thiết lập kết nối.Đây là cơ chế

PAP một chiều giữa một client và một server.

 Cơ chế này dễ bị các sniffer bắt

Trang 7

Password Authentication Protocol

PAP authentication-request message

Trang 8

2.2 Giao thức Xác thực CHAP (Challenge Handshake Authentication Protocol)

 User gởi username(plaintext) đến CHAP sever Sever

responds trở lại user 1 id ,1 random string characters

Trang 9

với password của mình đưa vào thuật toán

MD5(message Disgest –RFC 1321) để tính toán

ra 1 giá trị hash Tương tự ở sever cũng có quá trình này ,sever cũng có giá trị hash.

Trang 10

trong một gói CHAP Response (Type 2) chứa

chuỗi hash, id

Trang 11

 Khi nhận được gói Response Type 2, Server

dựa vào id để tìm kiếm chuỗi hash của mình có cùng id với chuỗi hash của client

Trang 12

 Sever CHAP tiến hành so sánh 2 chuỗi hash

 Nếu 2 chuỗi là giống nhau thì quá trình chứng thực

CHAP đã thành công và các gói Type 3 được gửi đến

user chứa ID Điều này có nghĩa là kết nối đã được

chứng thực hợp lệ

Trang 13

• Nếu chứng thực CHAP thất bại, một gói tin Type 4 sẽ được gửi đến User trong đó chứa original ID, xác nhận quá trình chứng thực là không thành công

Trang 14

2.3 Giao thức xác thực EAP (Extensible

Trang 15

Trang 16

 Thông qua EAP method sẽ kết nối plug-in giữa EAP peer và Authentication Sever.

message sử dụng supplicant-a software để

authenticate network access bởi data link layer transport protocol such as PPP or IEEE 802.1X

send EAP messages using RADIUS

sever thông qua EAP authenticator.

Trang 17

Dial-up remote access or site-to-site

Virtual private network remote

Virtual private network site-to-site

Trang 18

2.4 Giao thức Kerberos

được phát triển trong dự án Athena của học viện công nghệ Massachusetts (MIT)

các ứng dụng client/server trên môi trường

mạng phân tán.

thông tin truyền đi, sử dụng mã hoá bí mật như DES, triple DES chống nghe lén hay tấn công

dùng lại trên mạng

Trang 19

Kerberos hoạt động dựa trên một máy chủ

chứng thực tập trung KDC (Key

Distribution Centre) KDC gồm:

 Máy chủ chứng thực AS (Authentication

Server) biết khoá mật của tất cả người

dùng được lưu giữ trên một cơ sở dữ liệu tập trung.

 Máy chủ cấp khoá TGS (Ticket Granting

Server) cung cấp vé dịch vụ cho phép

người dùng truy nhập vào các máy chủ

trên mạng

Giao thức Kerberos hoạt động khá phức

tạp, chia làm ba pha

Trang 20

Trang 21

Pha thứ nhất: Kết nối với AS để lấy về vé xin truy nhập TGS,

ticket-granting-ticket (TGT)

1. Người dùng C đăng nhập vào hệ thống nhập USER/PASS

Client sẽ chuyển đổi mật khẩu thành khoá mật của C Sau đó, client Request xin cấp TGT tới AS

2. AS sẽ truy lục trong cơ sở dữ liệu, lấy khoá bí mật của C, giải

mã phần dữ liệu tiền chứng thực, kiểm tra có hợp lệ không

3. Cuối cùng AS xác minh được định danh của C, AS sẽ

Response (KRB_AS_REP) có chứa vé TGT bao gồm :

• Một khoá phiên SK1 được mã hoá bằng khoá mật của C

đảm bảo chỉ có C mới giải mã được

• Bản sao của SK1 được mã hoá bằng khoá mật của TGS

đảm bảo chỉ TGS đọc được

Trang 22

Pha thứ hai: Truyền thông với máy chủ cấp vé dịch vụ TGS,

lấy về service ticket truy nhập máy chủ V

a C gửi cho TGS một thông điệp Kerberos Ticket Granting

Service Request (KRB_TGS_REQ) có chứa :

 Vé TGT và Định danh dịch vụ yêu cầu V

 Bộ dữ liệu chứng thực gọi là Authenticator được mã hoá

bằng SK1 gồm định danh người dùng C, IP của client và tem thời gian Authenticator chỉ sử dụng một lần và có hiệu lực trong một thời gian cực ngắn

b TGS dùng khoá mật của mình giải mã TGT, lấy ra SK1 để

giải mã authenticator, kiểm tra tính hợp lệ Nếu hợp lệ, TGS sẽ sinh ra khoá phiên mới SK2 chung cho client và máy chủ V Hai bản sao của khoá phiên này được gửi về cho C bằng thông điệp Kerberos Ticket Granting Service Response (KRB_TGS_REP) gồm:

 Một bản sao khoá phiên SK2 được mã hoá bằng khoá

phiên của C

 Bản kia được mã hóa bằng khoá mật của V đảm bảo chỉ

V mới mở được

Trang 23

client/server, trao đổi dữ liệu

a Bây giờ thì client sẵn sàng chứng thực với máy chủ V

Client gửi cho V một thông điệp Kerberos Aplication

Request (KRB_AP_REQ) có chứa :

• Authenticator mã hoá bởi khoá phiên SK2

• Service ticket mã hoá bởi khoá mật của V.

• Cờ xác định client có yêu cầu chứng thực lẫn nhau

không

b V giải mã service ticket, lấy ra SK2 giải mã authenticator, xác minh tính hợp lệ Nếu hợp lệ, B xem giá trị cờ yêu

cầu chứng thực lẫn nhau Nếu cờ được thiết lập, V sử

dụng SK2 mã hoá thời gian từ authenticator và gửi về

cho C bằng thông điệp KRB_AP_REP

c C giải mã thông điệp bằng khoá phiên dùng chung với V, xác minh thời gian trong đó có đúng như khi gửi cho V

không Nếu hợp lệ, kết nối truyền thông sẽ được thực

hiện

Trang 24

III Mô Hình Xác Thực

WEB

Trang 25

3.1 Hệ thống đăng nhập một lần

Single sign-on (SSO)

 SSO (Single Sign On) là cơ chế quản lý

truy cập xác thực một lần và cho phép truy cập tài nguyên từ nhiều hê thống phần

mềm khác nhau Nó giúp tránh phải xác

Trang 26

Tổng quan

 Các Web SSO khá quen thuộc và nổi tiếng là Microsoft Passport ( Windows Live ID), Google Authentication, Yahoo Authentication Các hệ thống SSO là yêu cầu bắt buộc của các hãng cung cấp dịch vụ trực tuyến, các viện và trường đại học lớn

 WebSSO là một dịch vụ chứng thực cho các ứng dụng web vận hành trên các platform khác nhau Mục đích của

WebSSO là đăng nhập một lần cho các ứng dụng web sử

dụng một dịch vụ chứng thực tập trung (Central

Authentication Service)

3.2 Mô Hình WEBSSO

Trang 27

Basic web authentication process

Trang 28

 Đăng nhập một lần với một tài khoản duy

 Phải sử dụng SSL(Secure Sockets Layer ) và các

phương thức mã hóa bất đối xứng

 Đăng xuất toàn bộ hệ thống SSO khi click vào button

[Sign Out] hoặc tự động SignOut khi tắt trình duyệt

Đặc điểm của WebSSO

Trang 29

Nguyên lý hoạt động của WebSSO cơ bản:

SSO Authentication Service Ví dụ https://login.yahoo.com Sau khi đăng nhập thành công -> bước 2

Authentication Token Đây là một string chứa thông tin chứng thực (không chứa password) và thông thường được mã hóa bằng

DES( Data encryption standard) hoặc RSA(Responsible Service of Alcohol).

mã hóa SSL) giữa ứng dụng web (partner) và Authentication

Service Trên mỗi ứng dụng web sẽ có một SSOAgent, có nhiệm vụ

xử lý Authentication Token và kiểm tra việc chứng thực Trong quá trình này session cookie sẽ được tạo tại trình duyệt của người dùng nếu SSOAgent kiểm tra Authentication Token thành công.

Authentication Service sẽ lưu lại thông tin partner này, khi người

dùng click [Sign Out] thì Authentication Service sẽ lần lượt Sign Out (xóa toàn bộ session cookie của partners)

Trang 30

Yahoo Browser-Based Authentication

Trang 31

-THE

Định dạng
Số trang	31
Dung lượng	1,38 MB