Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Протоколы установления подлинности. Парольные системы разграничения доступа.протокол рукопожатия.

Читайте также:
  1. I. Формирование системы военной психологии в России.
  2. II Системы счисления
  3. IV. Различение системы и мира 65
  4. IV. Различение системы и мира 67
  5. IV. Различение системы и мира 69
  6. IV. Различение системы и мира 71
  7. IV. Различение системы и мира 73

Аутентификация (authentication) — процесс определения подлинности пользователя или компьютера. Обычно аутентичность пользователя доказывается знанием имени и пароля, которые проверяются системой, но существует также много других методов аутентификации (например, смарт-карты, сканирование сетчатки, опознавание голоса и др.).

Методы аутентификации можно разделить на односторонние и двусторонние. При использовании односторонних методов одна сторона аутентифицирует другую. При использовании двусторонних методов обе стороны, участвующие в обмене, взаимно проверяют подлинность друг друга.

Kerberos — защищенный протокол аутентификации, применяемый в локальных сетях. В настоящее время используется пятая версия этого протокола (Kerberos v5). Поддержка протокола Kerberos включена во многие операционные системы — Windows 2000/2003, SunSolaris, Linux, FreeBSD и другие. Kerberos является двусторонним протоколом аутентификации, его описание приведено в RFC 1510 и 1964.

Основными компонентами системы Kerberos являются:

§ KeyDistributionCenter (KDC);

§ Ticket-grantingticket (TGT);

§ Serviceticket (ST).

KDC является посредником между клиентом и сервером. При первоначальной аутентификации после проверки имени и пароля клиент получает специальный билет (ticket), дающий возможность обращаться к службе KDC за сервисными билетами. Этот билет носит название ticket-grantingticket (TGT). В дальнейшем, когда клиенту нужно получить билет на доступ к серверу, он обращается к KDC, предъявляя свой TGT. Протоколы аутентификации РАР и CHAP

Протоколы аутентификации РАР (PasswordAuthenticationProtocol) и CHAP (ChallengeHandshakeAuthenticationProtocol) применяются в сценариях удаленного доступа для аутентификации клиентов. Они поддерживаются практически всеми клиентами и серверами удаленного доступа. РАР и CHAP — односторонние протоколы.

Протокол РАР — незащищенный протокол, передающий имя и пароль пользователя в открытом виде.

Протокол CHAP описан в RFC 1994. Он использует механизм вызов-ответ (challenge-response) для передачи серверу MDS-хэшаидентификатора вызова, самого вызова (8 случайных байт) и пароля пользователя.

Расширяемый протокол аутентификации (ExtensibleAuthenticationProtocol, ЕАР) Достигается это за счет того, что ЕАР определяет лишь общие черты процесса аутентификации и форматы пактов, в то время как реальная аутентификация производится дополнительным модулем, «подключаемым» к ЕАР. Изначально ЕАР был разработан для аутентификации протокола РРР, но в дальнейшем был адаптирован и для сетей Ethernet (EAfOL). Пакет протокола ЕАР содержит поле Туре, определяющее реальный механизм аутентификации. Использование различных механизмов аутентификации совместно с ЕАР определено в различных документах RFC. Например, если поле Туре=4 (RFC 3748), то это значит, что применяется механизм аутентификации MD5-Challenge (аналогичен CHAP). Если же Туре=13 (RFC 2716), то используется аутентификация с помощью смарт-карт или сертификатов.

Дата добавления: 2015-12-01; просмотров: 39 | Нарушение авторских прав

mybiblioteka.su - 2015-2024 год. (0.007 сек.)