4. Những nội dung nghiên cứu chính
2.3.2 Các giao thức xác thực trong mô hình điểm điểm
Một thực thể bên ngoài hệ thống thông tin muốn truy xuất hệ thống như một chủ thể của thệ thống thì phải cung cấp các thông tin để hệ thống xác thực nhận dạng của chủ thể. Các thông tin này thường là mật khẩu, thẻ xác thực, dấu vân tay, … Quá trình xác thực một thực thể bao gồm việc lấy thông tin mà thực thể cung cấp, phân tích và xác định xem thông tin có liên kết với thực thể đó hay không.
Có hai mô hình thực tế của một hệ thống xác thực là xác thực tại chỗ (Local Authentication) và xác thực từ xa (Remote Authentication) thông qua môi trường mạng. Mô hình thứ nhất được sử dụng khi người sử dụng đăng nhập trực tiếp vào một thống nội bộ (Local Logon), thông tin xác thực (tên người dùng và mật khẩu) được cung cấp trực tiếp cho hệ thống xác thực (server). Trong mô hình thứ hai, người sử dụng đăng nhập vào một hệ thống ở xa. Tình huống này bắt buộc các thông tin xác thực phải được gửi đi trên mạng và do đó, nguy cơ bị nghe lén thông tin là rất cao. Các giao thức xác thực được thiết kế để giảm thiểu các nguy cơ này.
Trong các hệ thống cổ điển, kết nối từ xa thường được thực hiện bằng các giao thức điểm – điểm như SLIP (Serial Line Internet Protocol) hoặc PPP (Point to Point Protocol). Các thủ tục xác thực đều là một chiều, tức là chỉ có máy chủ xác thực người sử dụng chứ không có thủ tục ngược lại. Hai giao thức xác thực thường được dùng trong các hệ thống này là PAP và CHAP
PAP (Password Authentication Protocol) là giao thức xác thực đơn giản nhất và do đó kém an toàn nhất. Để xác thực với một hệ thống Server ở xa, người sử dụng chỉ gửi tên đăng nhập và mật khẩu một cách trực tiếp (Clear Text) cho Server trong gói tin yêu cầu xác thực (Authenticate Request Packet). Server sẽ kiểm tra thông tin xác thực chứa trong gói dữ liệu này, nếu trùng với thông tin đã lưu trữ trong cơ sở dữ liệu thì sẽ trả lời bằng một gói tin xác nhận (Authenticate Ack Packet) và quá trình xác thực thành công. Ngược lại, nếu thông tin xác thực không đúng, Server trả lời bằng gói từ chối (Authenticate Nak Packet).
Hình 2.11: Giao thức xác thực PAP
CHAP (Challenge-Handshake Authentication Protocol) là giao thức xác thực phức tạp hơn, được dùng trong giao thức kết nối PPP (Point to Point Protocol) và một số hệ thống khác. CHAP bảo mật hơn PAP, vì dùng các hàm băm một chiều và thông tin xác thực không được gửi đi trực tiếp trên mạng. Quá trình xác thực bằng giao thức CHAP gồm các bước sau đây (gọi là quá trình Challenge Response):
− Sau khi thiết lập kết nối PPP, để xác định xem người sử dụng có quyền truy xuất hay không, Server sẽ gửi cho người sử dụng một khối dữ liệu thách thức (Challenge), trong đó có chứa một giá trị ngẫu nhiên do Server tạo ra.
− Người sử dụng sau khi nhận được khối Challenge sẽ gắn thêm tên đăng nhập và mật khẩu, sau đó thực hiện hàm băm một chiều (ví dụ MD5) lên khối thông tin đó và gửi mã băm lại cho Server.
− Phía Server cũng thực hiện một quá trình tương tự và so sánh với kết quả nhận được từ người sử dụng để xác định quá trình xác thực có thành công hay không.
Một đặc điểm nữa của giao thức này làm tăng tính an toàn của kết nối là quá trình Challenge Rresponse được lặp lại nhiều lần trong suốt thời gian duy trì kết nối. Nếu gói tin trả lời của người dùng không hợp lệ, kết nối sẽ bị giải giải phóng, ngắt kết nối Hình 2.12: Giao thức xác thực CHAP Người sử dụng Server Authenticate request (User-name + Password) Authenticate ack hoặc Authenticate nak Người sử dụng Server Challenge User-name + H(user-name + password + challenge) Success / Failure