Идентификация Аутентификация

Авторизация Администрирование информационных

систем 7Лекция

Идентификация - установление  ( . identifico - личности субъекта лат

)отождествлять

Аутентификация - подтверждение  ( . authentication)подлинности субъекта англ

Авторизация - проверка прав доступа  ( . authorization)субъекта к ресурсам англ

Основныепонятия

Идентификация — процесс распознавания субъекта в компьютерной - ( системе или на веб ресурсе при помощи анализа его идентификатора имени

/ , и или пароля либо любой другой информации о пользователе которая ).воспринимается системой или ресурсом

Идентификация является начальной стадией процедуры предоставления . доступа к информационным ресурсам системы После идентификации

,   .происходит аутентификация а затем авторизация

, В качестве субъектов идентификации могут выступать пользователи, , процессы которые выполняются от имени пользователя а также другие

- .аппаратно программные компоненты

Объектами идентификации являются информация и любые другие .информационные ресурсы системы

В процессе идентификации субъект сообщает свое имя посредством , предоставления уникального параметра который называется

. ( идентификатором Идентификатором может быть логин и пароль или ), . другие данные известные обеим сторонам процесса Далее идет сравнение

, . идентификатора на соответствие информации которая известна системе В .случае успешной идентификации происходит аутентификация

Идентификация

Аутентификация ( . англ authentication, . — , ) — от греч реальный истинный процесс проверки принадлежности субъекту прав доступа к информационным ресурсам

- ; системы или веб сайта в соответствии с предъявленным им идентификатором ( ) .подтверждение установление подлинности субъекта

:Процедура аутентификации включает в себя определенный набор элементов субъект, ( );который проходит аутентификацию авторизированный пользователь характеристика субъекта ( , идентификатор который он предъявляет для

);проверки подлинности владелец системы аутентификации ( хозяин информационного ресурса или

- );веб сайта механизм аутентификации ( , ПО которое проверяет подлинность

);предъявленного идентификатора механизм авторизации ( предоставление или лишение субъекта прав доступа

).после успешной или безуспешной аутентификации

Методы аутентификации делятся на четыре основные группы в зависимости от . , , используемых в процессе проверки подлинности средств Так различают методы

:основанные на , ( ).Знаниях которыми владеет субъект парольные методы , ( ).Предметах которые принадлежат субъекту комбинированные ( ).Свойствах данных субъекта биометрические , .Информации которая имеет непосредственное отношение к субъекту

Аутентификация

Парольныеметоды

, Наиболее распространенные методы аутентификации основанные на секретных характеристиках — . субъектов паролях В процессе проверки подлинности система сравнивает указный пользователем

, . пароль с эталонным паролем который хранится в ее БД в зашифрованном виде Для аутентификации ( , посредством данного метода могут использоваться постоянные многоразовые неизменные для

) ( , ) .каждой сессии или динамические одноразовые постоянно меняющиеся для каждой сессии пароли

Комбинированныеметоды

Сущность данного метода заключается в использовании для подтверждения подлинности субъекта ( , - , ) помимо пароля дополнительных предметов мобильных телефонов смарт карт токенов или атрибутов

( ). криптографических сертификатов Авторизация при помощи предметов и атрибутов субъекта , происходит только при наличии специального устройства которое может считывать информацию с

.перечисленных идентификаторов

Биометрическиеметоды

Для аутентификации посредством биометрического метода субъекты должны пройти сканирование и ( , , анализ одного или нескольких физиологических отпечатки пальцев радужная оболочка глаза

, , ) ( , , сетчатка глаза кисть руки черты лица или поведенческих характеристик подпись тембр голоса ). , , клавиатурный почерк Данный метод как правило используется только на особо важных объектах и

, .системах так как требует наличия специальной дорогостоящей техники и оборудования

, Методы основанные на информации о субъекте

: Данная группа методов относится к новейшиммеханизмам аутентификации в основе лежит GPS. использование спутниковой системы навигации Основным идентификатором подлинности

.субъекта является его местонахождение

МетодыАутентификации

. , В основе классификации механизмов аутентификации лежит ряд определенных критериев Так по :степени доверия и направленности процесса различают следующие виды

Односторонняя  ( проверка подлинности субъект доказывает владельцу системы свои права доступа - ).к информационным ресурсам или интернет сайту

Двусторонняя  ( , аутентификация обоюдная проверка и установление подлинности как субъекта так ).и владельца системы

В зависимости от возможностей средств аутентификации и уровня информационной безопасности :можно выделить такие виды

Статическая  ( , аутентификация защищает от несанкционированного доступа злоумышленников которые могут завладеть данными об идентификаторе пользователя во время его работы с

). , информационным ресурсом или сайтом Как правило в основе статической аутентификации лежит .парольныйметод

Устойчивая ( служит для предотвращения перехвата идентификатора с целью использования его в , , следующих сеансах работы но не защищает от активных атак во время которых злоумышленник

). успевает быстро завладеть идентификатором и модифицировать его Механизм устойчивой , аутентификации основан на использовании динамических идентификаторов которые меняются

.перед каждым сеансом Постоянная ( защищает субъекта от несанкционированной кражи и модификации его

).идентификатора на любом этапе работы с информацией

, , :По количеству методов которые используются в процессе аутентификации различают следующие виды Однофакторная  ( , или слабая проверка доступа например применение только парольного или

).только биометрического метода Многофакторная  ( ).или сильная аутентификация использование двух или более методов

Классификация и виды аутентификации

Процедура проверки подлинности требует использования , специальных криптографических протоколов аутентификации

которые служат для защиты субъекта и владельца системы от .несанкционированных действий злоумышленников

В зависимости от принципа работы все протоколы можно :условно разделить на три типа

Протоколы доступа к паролю ( PAP — Password напримерAuthentication Protocol). .Самые простые протоколы

, « -Протоколы которые работают по принципу вызов»ответ  ( CHAP — Challenge-Handshake Authentication например

Protocol). Протоколы взаимной аутентификации ( например

Kerberos).

Протоколы аутентификации

PAP ( . англ Password Authentication Protocol) — протокол , простой проверки подлинности

предусматривающий отправку имени пользователя и пароля на сервер удалённого доступа открытым

( ). PAP текстом без шифрования Протокол крайне, ненадёжен поскольку пересылаемые пароли можно

 PPP ( . легко читать в пакетах англ Point-to-Point Protocol), которыми обмениваются стороны в ходе проверки

. PAP подлинности Обычно используется только при подключении к старым серверам удалённого

 UNIX, доступа на базе которые не поддерживают .никакие другие протоколы проверки подлинности

Протокол PAP

CHAP ( . англ Challenge Handshake Authentication Protocol) — широко , распространённый алгоритм проверки подлинности

, предусматривающий передачу не самого пароля пользователя а . CHAP  косвенных сведений о нём При использовании сервер удалённого

  . доступа отправляет клиенту строку запроса На основе этой строки и   -  MD5 ( . пароля пользователя клиент вычисляет хеш код англ Message Digest-5)

.  -   и передаёт его серверу Хеш функция является алгоритмом ( ) ( ), одностороннего необратимого шифрования преобразования

- , поскольку значение хеш функции для блока данных вычислить легко а - определить исходный блок по хеш коду с математической точки зрения . , невозможно за приемлемое время Сервер которому доступен пароль

, пользователя выполняет те же самые вычисления и сравнивает - , . результат с хеш кодом полученным от клиента В случае совпадения

. учётные данные клиента удалённого доступа считаются подлинными CHAP- Наиболее важной особенностью алгоритма аутентификации

, .является то что пароль никогда не пересылается по каналу

Протокол CHAP

Kerberos  —    , сетевой протокол аутентификации позволяющий передавать данные     . через незащищённые сети для безопасной идентификации Он ориентирован в первую

  -      — очередь на клиент сервернуюмодель и обеспечивает взаимную аутентификацию . оба пользователя через сервер подтверждают личности друг друга Данная модель

  - -   является одним из вариантовНидхем Шрёдер протокола аутентификации на основе , Denning Sacco.доверенной третьей стороны и его модификациях предложенных и

1983 В году при поддержке консорциума производителей компьютеров был  « ». создан проект Афина Его основной целью являлась разработка плана по внедрению

MIT . компьютеров в учебный процесс и сопутствующего этому ПО Хотя проект был, , образовательным конечный результат включал несколько программных продуктов

( , X Window System).которыешироко используются и сегодня например Стандартные протоколы удаленного входа того времени отправляли свои

. , , доверительные данные по сети в открытом виде Кроме того ПО сервера такое Rlogin . , как вслепую доверяло идентификационным данным Таким образом

недобросовестные пользователи могли без проблем получить доступ к чужой. , информации Очевидно что возможность потери своего пароля или кражи научной

.работы была недопустима для академической среды Для решения этих проблем проектом Афина и был разработан специальный — Kerberos. , протокол По аналогии с древнегреческой мифологией этот протокол был

,  назван в честь трёхголового пса который защищал вход в царство Аида, — Цербера, .или более точноКербера

Протокол Kerberos

Kerberos (c 1 3)   IT  Ранние версии по были созданы внутриМ и использовались в целях. тестирования Эти реализации содержали существенные ограничения и были полезны только для

, .изучения новых идей и выявления проблем которые могли возникнуть во время разработки

Kerberos 4Kerberos 4 24 1989 . впервые была опубликована января года Она стала первой версией

MIT, , распространяемой за пределами подготовленной для нескольких производителей которые . , включили её в свои операционные системы Кроме того другие крупные проекты по

(  AFS) Kerberos 4 распределенным системам например использовали идеи для своих систем.    (Steve Miller) аутентификации Основными разработчиками данной версии были Стив Миллер

   (Clifford Neuman).и КлиффордНьюман , Kerberos 4 , Основы того что должно было стать были описаны в техническом плане Афина а

окончательный вариант был закреплен в исходном коде эталонной реализации опубликованнойMIT.

, - Однако из за ограничений на экспорт программного обеспечения использующего, , Kerberos 4 шифрование наложенное американским правительством не мог быть распространен за

. Kerberos 4  DES  , пределами Соединенных Штатов Так как использовал шифрование организации за . пределами США не могли по закону использовать данное программное обеспечение В ответ на

, MIT Kerberos 4, это команда разработчиков из создала специальную версию исключив из нее весь . .код касающийсяшифрования Данныемеры позволили обойти ограничение на экспорт

2006 Kerberos 4В году было объявлено о прекращении поддержки

Развитие протокола

С целью преодоления проблем безопасности предыдущей версии Джоном (Коулом John Kohl)    (и Клиффордом Ньюманом Clifford Neuman) 5 была разработана

, 1993  версия протокола которая в году была опубликована в RFC 1510. По , 2005 прошествии времени в спецификацией начала заниматься IETF Kerberos work

group. :Опубликованные ими документы включают в себя (Характеристикишифрования и контрольной суммы RFC 3961) Продвинутый стандартшифрования Advanced Encryption Standard (AES) (RFC 3962) Kerberos 5 «The Kerberos Network Authentication Service (V5)» (RFC 4120), уточняет

 некоторые аспекты RFC 1510, и намерен использоваться для более подробного и .четкого описания

 Новое издание GSS-API  «спецификации The Kerberos Version 5 Generic Security Service Application Program Interface (GSS-API) Mechanism: Version 2.» (RFC 4121)

2006  В июне года был представлен RFC 4556  описывающий расширение для пятой версии под названием PKINIT (Public Key Cryptography for Initial Authentication in

Kerberos). Данный RFC ,   описывал как использовать асимметричное  .шифрование на этапе аутентификации клиента

(2007) На следующий год MIT сформировали Kerberos (Консорциум Kerberos Consortium) .по содействию дальнейшему развитию

Kerberos 5

Kerberos 4 -в значительной степени основан на протоколе Нидхема, :Шредера но с двумя существенными изменениями

Первое изменение протокола уменьшало количество сообщений .пересылаемых между клиентом и сервером аутентификации

, Второе более существенное изменение базового протокола TGT (Ticket Granting Ticket — заключается в ведении билет для получения

) , билета концепции позволяющей пользователям аутентифицироваться на несколько сервисов используя свои

.верительные данные только один раз

, Kerberos 4 Как результат протокол содержит два логических: компонента Сервер аутентификации ( )  СА и сервер выдачи

билетов (TGS — Ticket Granting Server). Обычно эти компоненты поставляются , как единая программа которая запускается на центре распределения

(  — / ключей ЦРК содержит базу данных логинов паролей для Kerberos).пользователей и сервисов использующих

Принцип работы Kerberos 4

: Сервер аутентификации выполняет одну функцию получает запрос содержащий имя клиента TGT. запрашивающего аутентификацию и возвращает ему зашифрованный Затем

TGT, пользователь может использовать этот для запроса дальнейших билетов на другие. Kerberos TGT 8-10 . сервисы В большинстве реализаций времяжизни часов После этого клиент

.снова должен запросить его у СА ,  — , Первое сообщение отправляемое центру распределения ключей запрос к СА также

AS_REQ. известен как Это сообщение отправляется открытым текстом и содержит , идентификационные данные клиента метку времени клиента и идентификатор сервера

(TGS).предоставляющего билет AS_REQ , , , , КогдаЦРК получает сообщение он проверяет что клиент от которого пришел запрос

, ( ± 5 ). существует и его метка времени близка к локальному времениЦРК обычно минут    ( Данная проверка производится не для защиты от повторов сообщение посылается

), . открытым текстом а для проверки соответствия времени Если хотя бы одна из проверок не, , .проходит то клиенту отправляется сообщение об ошибке и он не аутентифицируется

, В случае удачной проверки СА генерирует случайный сеансовый ключ который будет TGS ( совместно использоваться клиентом и данный ключ защищает дальнейшие запросы

TGS ). 2 : билетов у на другие сервисы ЦРК создает копии сессионного ключа одну для клиента TGS.и одну для

(AS_REP) ЗатемЦРК отвечает клиенту сообщением сервера аутентификации зашифрованным . TGT TGS (TGT долгосрочным ключом клиента Которое включает зашифрованный ключом

: TGS, , , содержит копию сессионного ключа для идентификатор клиента времяжизни билета , IP ), , метку времениЦРК адрес клиента копию сессионного ключа для клиента времяжизни

TGS.билета и идентификатор

, Когда пользователь захочет получить доступ к сервису он подготовит TGS (TGS_REQ) 3 : сообщение для содержащее части идентификатор

, TGT сервиса копию полученную ранее и аутентификатор( Аутентификатор состоит из метки времени зашифрованной

сессионным ключом полученным от СА и служит для защиты от).повторов

, При получении запроса билета от клиента ЦРКформирует новый / . сессионный ключ для взаимодействия клиент сервис Затем

(TGS_REP) отправляет ответное сообщение зашифрованное . сессионным ключом полученным от СА Это сообщение содержит

, (Service ticket : новый сеансовый ключ билет сервиса содержит копию , , нового сессионного ключа идентификатор клиента времяжизни, , IP ) билета локальное времяЦРК клиента зашифрованный

, долговременным ключом сервиса идентификатор сервиса и время .жизни билета

 — Детали последнегошага отправки билета службы серверу Kerberos 4, приложений не стандартизировались поэтому его

.реализация полностью зависит от приложения

Этап аутентификацииклиента

TGSЭтап авторизации клиента на

Kerberos 5 , является развитием четвертой версии включает всю предыдущую функциональность и . , , Kerberos 5 содержит множество расширений Однако с точки зрения реализации является абсолютно

.новым протоколом

. ,  Основной причиной появления пятой версии являлась невозможность расширения Со временем атака   DES Kerberos 4 , полным перебором на используемом в стала актуальна но используемые поля в

сообщениях имели фиксированный размер и использовать более стойкий алгоритм шифрования не .представлялось возможным

Для решения данной проблемы было решено создать расширяемый протокол с возможностью ASN.1. использования на различных платформах на основе технологии Это позволило использовать в

. транзакциях различные типы шифрования Благодаря этому была реализована совместимость с . предыдущей версией Кроме того у ЦРК появляется возможность выбирать наиболее безопасный

.протоколшифрования поддерживаемый участвующими сторонами

Kerberos 4 . Кроме того оригинальный протокол подвержен перебору по словарю Данная уязвимость , TGT . связана с тем что ЦРК выдает по требованию зашифрованный любому клиенту Важность данной

, .проблемы также подчеркивает то что пользователи обычно выбирают простые пароли

, Kerberos 5 Чтобы усложнить проведение данной атаки в было введено предварительное установление. , , подлинности На данном этапе ЦРК требует чтобы пользователь удостоверил свою личность прежде

.чем ему будет выдан билет

, , За предварительную аутентификацию отвечает политика ЦРК если она требуется то пользователь при KRB_ERROR. , первом запросе к СА получит сообщение Это сообщение скажет клиенту что необходимо

AS_REQ . , отправлять запрос со своими данными для установления подлинности Если ЦРК не опознает их KRB_ERROR, TGT .то пользователь получит другое сообщение сообщающее об ошибке и не будет выдан

Принцип работы Kerberos 5

Kerberos 5 Схема работы в настоящее время :происходит следующим образом

:Вход пользователя в систему Пользователь вводит имя и пароль на

.клиентской машине Клиентская машина выполняет над

паролем одностороннююфункцию( ), обычно хэш и результат становится

секретным ключом/ .клиента пользователя

Подробное описание принципафункционирования

:Аутентификацияклиента (AS_REQ) Клиент отсылает запрос на СА для получения аутентификационных верительных

TGS ( данных и последующего их предоставления серверу впоследствии он будет их использовать для получения билетов без дополнительных запросов на применение

.) :секретного ключа пользователя Данный запрос содержит◦ , .Идентификатор клиента его метка времени и идентификатор сервера

, Если политика ЦРК требует предварительной аутентификации то пользователь получает KRB_ERROR, , сообщение в ответ на которое посылает повторный запрос но с уже данными для

.установления подлинности , . , СА проверяет есть ли такой клиент в базе Если есть то назад СА отправляет сообщение

(AS_REP) :включающее◦ /TGS, TGS Сессионный ключ клиент идентификатор и время жизни билета зашифрованные секретным

.ключом клиента

◦ TGT ( , , который включает идентификатор и сетевой адрес клиента метку времени ЦРК период действия /TGS), TGS.билета и сессионный ключ Клиент зашифрованный секретным ключом

, , .Еслиже нет то клиент получает новое сообщение говорящее о произошедшей ошибке , Получив сообщение клиент расшифровывает свою часть для получения Сессионного Ключа

/TGS. TGS. Клиент Этот сессионный ключ используется для дальнейшего обмена с сервером( : TGT, Важно Клиент не может расшифровать так как оно зашифровано секретным ключомTGS) , TGS.В этот момент у пользователя достаточно данных чтобы авторизоваться на

Подробное описание принципафункционирования

TGS:Авторизация клиента на TGS (TGS_REQ) Для запроса сервиса клиент формирует запрос на

:содержащий следующие данные◦ TGT, .полученный ранее и идентификатор сервиса

◦ Аутентификатор ( ID ), составленный из клиента и временного штампа /TGS.зашифрованный на СессионномКлюче Клиент

TGS_REQ, TGS TGT После получения извлекает из него и расшифровывает TGS. его используя секретный ключ Это дает ему Сессионный Ключ

/TGS. . Клиент Им он расшифровывает аутентификатор Затем он / генерирует сессионный ключ клиент сервис и посылает ответ

(TGS_REP) :включающий◦ ( ID , , Билет сервиса который содержит клиента сетевой адрес клиента метку

, / ) времени ЦРК время действия билета и Сессионный Ключ клиент сервис .зашифрованный секретным ключом сервиса

◦ / , Сессионный ключ клиент сервис идентификатор сервиса и время жизни, Client/TGS.билета зашифрованные на СессионномКлюче

Подробное описание принципафункционирования

:Запрос сервиса клиентом TGS_REP, После получения у клиента достаточно информации для авторизации на

. :сервисе Клиент соединяется с ним и посылает сообщение содержащее◦  Зашифрованный билет сервиса  .полученный ранее

◦ Новый аутентификатор, / , зашифрованный на сессионном ключе клиент сервис и ID .включающий клиента и метку времени

Сервис расшифровывает билет используя свой секретный ключ и получает / . , сессионный ключ клиент сервис Используя новый ключ он расшифровывает

аутентификатор и посылает клиенту следующее сообщение для подтверждения , , готовности обслужить клиента и показать что сервер действительно является тем

:за кого себя выдает◦ Метку времени,  указанную клиентом + 1, зашифрованную на сессионном ключе

/ .клиент сервис

, Клиент расшифровывает подтверждение используя сессионный ключ/ , клиент сервис и проверяет действительно ли метка времени корректно

. , обновлена Если это так то клиент может доверять серверу и может начать .посылать запросы на сервер

.Сервер предоставляет клиенту требуемый сервис

Подробное описание принципафункционирования

PKINIT

PKINIT . Расширение затронуло этап предварительной аутентификации клиента После чего она :стала происходить следующим образом

.Пользователь идентифицируется в системе и предъявляет свой закрытый ключ (AS_REQ), , Клиентская машина формирует запрос на СА в котором указывает что будет

. , использоваться асимметричное шифрование Отличие данного запроса заключается в том  что он подписывается ( )с помощью закрытого ключа клиента   и кроме стандартной

.информации содержит сертификат открытого ключа пользователя , , Получив запрос ЦРК сначала проверяет достоверность сертификата пользователя а затем

 электронную подпись ( )используя полученный открытый ключ пользователя . После ,  этогоЦРК проверяет локальное время присланное в запросе ( )для защиты от повторов .

, (AS_REP), Удостоверившись в подлинности клиента ЦРК формирует ответ в котором в , отличие от стандартной версии сеансовый ключ зашифровывается открытым ключом

. пользователя Кроме того ответ содержит сертификат ЦРК и подписывается его закрытым ключом ( )аналогично запросу клиента .

, Получив ответ пользователь проверяет подпись ЦРК и расшифровывает свой сеансовый ключ ( )используя свой закрытый

Kerberos V5.Дальнейшие этапы происходят согласно стандартному описанию

Подробное описание принципафункционирования

АлгоритмKerberos

Алгоритм

Авторизация — процесс проверки прав пользователя на осуществление определенных действий в компьютерной системе

- , или на веб ресурсе результатом которого может быть ; разрешение или отказ в проведении запрашиваемых операций

предоставление пользователю возможностей в соответствии с, правами которые гарантированы ему компьютерной системой

- .или веб ресурсом

:Авторизация проходит в два последовательных этапа определение возможности доступа  пользователя в

компьютерную систему посредством идентификации и;аутентификации

одобрение или отклонение запроса  .на доступ

Главным образом авторизация необходима для сохранения .конфиденциальности и целостности информации в системе

Авторизация