Идентификация Аутентификация
Авторизация Администрирование информационных
систем 7Лекция
Идентификация - установление ( . identifico - личности субъекта лат
)отождествлять
Аутентификация - подтверждение ( . authentication)подлинности субъекта англ
Авторизация - проверка прав доступа ( . authorization)субъекта к ресурсам англ
Основныепонятия
Идентификация — процесс распознавания субъекта в компьютерной - ( системе или на веб ресурсе при помощи анализа его идентификатора имени
/ , и или пароля либо любой другой информации о пользователе которая ).воспринимается системой или ресурсом
Идентификация является начальной стадией процедуры предоставления . доступа к информационным ресурсам системы После идентификации
, .происходит аутентификация а затем авторизация
, В качестве субъектов идентификации могут выступать пользователи, , процессы которые выполняются от имени пользователя а также другие
- .аппаратно программные компоненты
Объектами идентификации являются информация и любые другие .информационные ресурсы системы
В процессе идентификации субъект сообщает свое имя посредством , предоставления уникального параметра который называется
. ( идентификатором Идентификатором может быть логин и пароль или ), . другие данные известные обеим сторонам процесса Далее идет сравнение
, . идентификатора на соответствие информации которая известна системе В .случае успешной идентификации происходит аутентификация
Идентификация
Аутентификация ( . англ authentication, . — , ) — от греч реальный истинный процесс проверки принадлежности субъекту прав доступа к информационным ресурсам
- ; системы или веб сайта в соответствии с предъявленным им идентификатором ( ) .подтверждение установление подлинности субъекта
:Процедура аутентификации включает в себя определенный набор элементов субъект, ( );который проходит аутентификацию авторизированный пользователь характеристика субъекта ( , идентификатор который он предъявляет для
);проверки подлинности владелец системы аутентификации ( хозяин информационного ресурса или
- );веб сайта механизм аутентификации ( , ПО которое проверяет подлинность
);предъявленного идентификатора механизм авторизации ( предоставление или лишение субъекта прав доступа
).после успешной или безуспешной аутентификации
Методы аутентификации делятся на четыре основные группы в зависимости от . , , используемых в процессе проверки подлинности средств Так различают методы
:основанные на , ( ).Знаниях которыми владеет субъект парольные методы , ( ).Предметах которые принадлежат субъекту комбинированные ( ).Свойствах данных субъекта биометрические , .Информации которая имеет непосредственное отношение к субъекту
Аутентификация
Парольныеметоды
, Наиболее распространенные методы аутентификации основанные на секретных характеристиках — . субъектов паролях В процессе проверки подлинности система сравнивает указный пользователем
, . пароль с эталонным паролем который хранится в ее БД в зашифрованном виде Для аутентификации ( , посредством данного метода могут использоваться постоянные многоразовые неизменные для
) ( , ) .каждой сессии или динамические одноразовые постоянно меняющиеся для каждой сессии пароли
Комбинированныеметоды
Сущность данного метода заключается в использовании для подтверждения подлинности субъекта ( , - , ) помимо пароля дополнительных предметов мобильных телефонов смарт карт токенов или атрибутов
( ). криптографических сертификатов Авторизация при помощи предметов и атрибутов субъекта , происходит только при наличии специального устройства которое может считывать информацию с
.перечисленных идентификаторов
Биометрическиеметоды
Для аутентификации посредством биометрического метода субъекты должны пройти сканирование и ( , , анализ одного или нескольких физиологических отпечатки пальцев радужная оболочка глаза
, , ) ( , , сетчатка глаза кисть руки черты лица или поведенческих характеристик подпись тембр голоса ). , , клавиатурный почерк Данный метод как правило используется только на особо важных объектах и
, .системах так как требует наличия специальной дорогостоящей техники и оборудования
, Методы основанные на информации о субъекте
: Данная группа методов относится к новейшиммеханизмам аутентификации в основе лежит GPS. использование спутниковой системы навигации Основным идентификатором подлинности
.субъекта является его местонахождение
МетодыАутентификации
. , В основе классификации механизмов аутентификации лежит ряд определенных критериев Так по :степени доверия и направленности процесса различают следующие виды
Односторонняя ( проверка подлинности субъект доказывает владельцу системы свои права доступа - ).к информационным ресурсам или интернет сайту
Двусторонняя ( , аутентификация обоюдная проверка и установление подлинности как субъекта так ).и владельца системы
В зависимости от возможностей средств аутентификации и уровня информационной безопасности :можно выделить такие виды
Статическая ( , аутентификация защищает от несанкционированного доступа злоумышленников которые могут завладеть данными об идентификаторе пользователя во время его работы с
). , информационным ресурсом или сайтом Как правило в основе статической аутентификации лежит .парольныйметод
Устойчивая ( служит для предотвращения перехвата идентификатора с целью использования его в , , следующих сеансах работы но не защищает от активных атак во время которых злоумышленник
). успевает быстро завладеть идентификатором и модифицировать его Механизм устойчивой , аутентификации основан на использовании динамических идентификаторов которые меняются
.перед каждым сеансом Постоянная ( защищает субъекта от несанкционированной кражи и модификации его
).идентификатора на любом этапе работы с информацией
, , :По количеству методов которые используются в процессе аутентификации различают следующие виды Однофакторная ( , или слабая проверка доступа например применение только парольного или
).только биометрического метода Многофакторная ( ).или сильная аутентификация использование двух или более методов
Классификация и виды аутентификации
Процедура проверки подлинности требует использования , специальных криптографических протоколов аутентификации
которые служат для защиты субъекта и владельца системы от .несанкционированных действий злоумышленников
В зависимости от принципа работы все протоколы можно :условно разделить на три типа
Протоколы доступа к паролю ( PAP — Password напримерAuthentication Protocol). .Самые простые протоколы
, « -Протоколы которые работают по принципу вызов»ответ ( CHAP — Challenge-Handshake Authentication например
Protocol). Протоколы взаимной аутентификации ( например
Kerberos).
Протоколы аутентификации
PAP ( . англ Password Authentication Protocol) — протокол , простой проверки подлинности
предусматривающий отправку имени пользователя и пароля на сервер удалённого доступа открытым
( ). PAP текстом без шифрования Протокол крайне, ненадёжен поскольку пересылаемые пароли можно
PPP ( . легко читать в пакетах англ Point-to-Point Protocol), которыми обмениваются стороны в ходе проверки
. PAP подлинности Обычно используется только при подключении к старым серверам удалённого
UNIX, доступа на базе которые не поддерживают .никакие другие протоколы проверки подлинности
Протокол PAP
CHAP ( . англ Challenge Handshake Authentication Protocol) — широко , распространённый алгоритм проверки подлинности
, предусматривающий передачу не самого пароля пользователя а . CHAP косвенных сведений о нём При использовании сервер удалённого
. доступа отправляет клиенту строку запроса На основе этой строки и - MD5 ( . пароля пользователя клиент вычисляет хеш код англ Message Digest-5)
. - и передаёт его серверу Хеш функция является алгоритмом ( ) ( ), одностороннего необратимого шифрования преобразования
- , поскольку значение хеш функции для блока данных вычислить легко а - определить исходный блок по хеш коду с математической точки зрения . , невозможно за приемлемое время Сервер которому доступен пароль
, пользователя выполняет те же самые вычисления и сравнивает - , . результат с хеш кодом полученным от клиента В случае совпадения
. учётные данные клиента удалённого доступа считаются подлинными CHAP- Наиболее важной особенностью алгоритма аутентификации
, .является то что пароль никогда не пересылается по каналу
Протокол CHAP
Kerberos — , сетевой протокол аутентификации позволяющий передавать данные . через незащищённые сети для безопасной идентификации Он ориентирован в первую
- — очередь на клиент сервернуюмодель и обеспечивает взаимную аутентификацию . оба пользователя через сервер подтверждают личности друг друга Данная модель
- - является одним из вариантовНидхем Шрёдер протокола аутентификации на основе , Denning Sacco.доверенной третьей стороны и его модификациях предложенных и
1983 В году при поддержке консорциума производителей компьютеров был « ». создан проект Афина Его основной целью являлась разработка плана по внедрению
MIT . компьютеров в учебный процесс и сопутствующего этому ПО Хотя проект был, , образовательным конечный результат включал несколько программных продуктов
( , X Window System).которыешироко используются и сегодня например Стандартные протоколы удаленного входа того времени отправляли свои
. , , доверительные данные по сети в открытом виде Кроме того ПО сервера такое Rlogin . , как вслепую доверяло идентификационным данным Таким образом
недобросовестные пользователи могли без проблем получить доступ к чужой. , информации Очевидно что возможность потери своего пароля или кражи научной
.работы была недопустима для академической среды Для решения этих проблем проектом Афина и был разработан специальный — Kerberos. , протокол По аналогии с древнегреческой мифологией этот протокол был
, назван в честь трёхголового пса который защищал вход в царство Аида, — Цербера, .или более точноКербера
Протокол Kerberos
Kerberos (c 1 3) IT Ранние версии по были созданы внутриМ и использовались в целях. тестирования Эти реализации содержали существенные ограничения и были полезны только для
, .изучения новых идей и выявления проблем которые могли возникнуть во время разработки
Kerberos 4Kerberos 4 24 1989 . впервые была опубликована января года Она стала первой версией
MIT, , распространяемой за пределами подготовленной для нескольких производителей которые . , включили её в свои операционные системы Кроме того другие крупные проекты по
( AFS) Kerberos 4 распределенным системам например использовали идеи для своих систем. (Steve Miller) аутентификации Основными разработчиками данной версии были Стив Миллер
(Clifford Neuman).и КлиффордНьюман , Kerberos 4 , Основы того что должно было стать были описаны в техническом плане Афина а
окончательный вариант был закреплен в исходном коде эталонной реализации опубликованнойMIT.
, - Однако из за ограничений на экспорт программного обеспечения использующего, , Kerberos 4 шифрование наложенное американским правительством не мог быть распространен за
. Kerberos 4 DES , пределами Соединенных Штатов Так как использовал шифрование организации за . пределами США не могли по закону использовать данное программное обеспечение В ответ на
, MIT Kerberos 4, это команда разработчиков из создала специальную версию исключив из нее весь . .код касающийсяшифрования Данныемеры позволили обойти ограничение на экспорт
2006 Kerberos 4В году было объявлено о прекращении поддержки
Развитие протокола
С целью преодоления проблем безопасности предыдущей версии Джоном (Коулом John Kohl) (и Клиффордом Ньюманом Clifford Neuman) 5 была разработана
, 1993 версия протокола которая в году была опубликована в RFC 1510. По , 2005 прошествии времени в спецификацией начала заниматься IETF Kerberos work
group. :Опубликованные ими документы включают в себя (Характеристикишифрования и контрольной суммы RFC 3961) Продвинутый стандартшифрования Advanced Encryption Standard (AES) (RFC 3962) Kerberos 5 «The Kerberos Network Authentication Service (V5)» (RFC 4120), уточняет
некоторые аспекты RFC 1510, и намерен использоваться для более подробного и .четкого описания
Новое издание GSS-API «спецификации The Kerberos Version 5 Generic Security Service Application Program Interface (GSS-API) Mechanism: Version 2.» (RFC 4121)
2006 В июне года был представлен RFC 4556 описывающий расширение для пятой версии под названием PKINIT (Public Key Cryptography for Initial Authentication in
Kerberos). Данный RFC , описывал как использовать асимметричное .шифрование на этапе аутентификации клиента
(2007) На следующий год MIT сформировали Kerberos (Консорциум Kerberos Consortium) .по содействию дальнейшему развитию
Kerberos 5
Kerberos 4 -в значительной степени основан на протоколе Нидхема, :Шредера но с двумя существенными изменениями
Первое изменение протокола уменьшало количество сообщений .пересылаемых между клиентом и сервером аутентификации
, Второе более существенное изменение базового протокола TGT (Ticket Granting Ticket — заключается в ведении билет для получения
) , билета концепции позволяющей пользователям аутентифицироваться на несколько сервисов используя свои
.верительные данные только один раз
, Kerberos 4 Как результат протокол содержит два логических: компонента Сервер аутентификации ( ) СА и сервер выдачи
билетов (TGS — Ticket Granting Server). Обычно эти компоненты поставляются , как единая программа которая запускается на центре распределения
( — / ключей ЦРК содержит базу данных логинов паролей для Kerberos).пользователей и сервисов использующих
Принцип работы Kerberos 4
: Сервер аутентификации выполняет одну функцию получает запрос содержащий имя клиента TGT. запрашивающего аутентификацию и возвращает ему зашифрованный Затем
TGT, пользователь может использовать этот для запроса дальнейших билетов на другие. Kerberos TGT 8-10 . сервисы В большинстве реализаций времяжизни часов После этого клиент
.снова должен запросить его у СА , — , Первое сообщение отправляемое центру распределения ключей запрос к СА также
AS_REQ. известен как Это сообщение отправляется открытым текстом и содержит , идентификационные данные клиента метку времени клиента и идентификатор сервера
(TGS).предоставляющего билет AS_REQ , , , , КогдаЦРК получает сообщение он проверяет что клиент от которого пришел запрос
, ( ± 5 ). существует и его метка времени близка к локальному времениЦРК обычно минут ( Данная проверка производится не для защиты от повторов сообщение посылается
), . открытым текстом а для проверки соответствия времени Если хотя бы одна из проверок не, , .проходит то клиенту отправляется сообщение об ошибке и он не аутентифицируется
, В случае удачной проверки СА генерирует случайный сеансовый ключ который будет TGS ( совместно использоваться клиентом и данный ключ защищает дальнейшие запросы
TGS ). 2 : билетов у на другие сервисы ЦРК создает копии сессионного ключа одну для клиента TGS.и одну для
(AS_REP) ЗатемЦРК отвечает клиенту сообщением сервера аутентификации зашифрованным . TGT TGS (TGT долгосрочным ключом клиента Которое включает зашифрованный ключом
: TGS, , , содержит копию сессионного ключа для идентификатор клиента времяжизни билета , IP ), , метку времениЦРК адрес клиента копию сессионного ключа для клиента времяжизни
TGS.билета и идентификатор
, Когда пользователь захочет получить доступ к сервису он подготовит TGS (TGS_REQ) 3 : сообщение для содержащее части идентификатор
, TGT сервиса копию полученную ранее и аутентификатор( Аутентификатор состоит из метки времени зашифрованной
сессионным ключом полученным от СА и служит для защиты от).повторов
, При получении запроса билета от клиента ЦРКформирует новый / . сессионный ключ для взаимодействия клиент сервис Затем
(TGS_REP) отправляет ответное сообщение зашифрованное . сессионным ключом полученным от СА Это сообщение содержит
, (Service ticket : новый сеансовый ключ билет сервиса содержит копию , , нового сессионного ключа идентификатор клиента времяжизни, , IP ) билета локальное времяЦРК клиента зашифрованный
, долговременным ключом сервиса идентификатор сервиса и время .жизни билета
— Детали последнегошага отправки билета службы серверу Kerberos 4, приложений не стандартизировались поэтому его
.реализация полностью зависит от приложения
Этап аутентификацииклиента
TGSЭтап авторизации клиента на
Kerberos 5 , является развитием четвертой версии включает всю предыдущую функциональность и . , , Kerberos 5 содержит множество расширений Однако с точки зрения реализации является абсолютно
.новым протоколом
. , Основной причиной появления пятой версии являлась невозможность расширения Со временем атака DES Kerberos 4 , полным перебором на используемом в стала актуальна но используемые поля в
сообщениях имели фиксированный размер и использовать более стойкий алгоритм шифрования не .представлялось возможным
Для решения данной проблемы было решено создать расширяемый протокол с возможностью ASN.1. использования на различных платформах на основе технологии Это позволило использовать в
. транзакциях различные типы шифрования Благодаря этому была реализована совместимость с . предыдущей версией Кроме того у ЦРК появляется возможность выбирать наиболее безопасный
.протоколшифрования поддерживаемый участвующими сторонами
Kerberos 4 . Кроме того оригинальный протокол подвержен перебору по словарю Данная уязвимость , TGT . связана с тем что ЦРК выдает по требованию зашифрованный любому клиенту Важность данной
, .проблемы также подчеркивает то что пользователи обычно выбирают простые пароли
, Kerberos 5 Чтобы усложнить проведение данной атаки в было введено предварительное установление. , , подлинности На данном этапе ЦРК требует чтобы пользователь удостоверил свою личность прежде
.чем ему будет выдан билет
, , За предварительную аутентификацию отвечает политика ЦРК если она требуется то пользователь при KRB_ERROR. , первом запросе к СА получит сообщение Это сообщение скажет клиенту что необходимо
AS_REQ . , отправлять запрос со своими данными для установления подлинности Если ЦРК не опознает их KRB_ERROR, TGT .то пользователь получит другое сообщение сообщающее об ошибке и не будет выдан
Принцип работы Kerberos 5
Kerberos 5 Схема работы в настоящее время :происходит следующим образом
:Вход пользователя в систему Пользователь вводит имя и пароль на
.клиентской машине Клиентская машина выполняет над
паролем одностороннююфункцию( ), обычно хэш и результат становится
секретным ключом/ .клиента пользователя
Подробное описание принципафункционирования
:Аутентификацияклиента (AS_REQ) Клиент отсылает запрос на СА для получения аутентификационных верительных
TGS ( данных и последующего их предоставления серверу впоследствии он будет их использовать для получения билетов без дополнительных запросов на применение
.) :секретного ключа пользователя Данный запрос содержит◦ , .Идентификатор клиента его метка времени и идентификатор сервера
, Если политика ЦРК требует предварительной аутентификации то пользователь получает KRB_ERROR, , сообщение в ответ на которое посылает повторный запрос но с уже данными для
.установления подлинности , . , СА проверяет есть ли такой клиент в базе Если есть то назад СА отправляет сообщение
(AS_REP) :включающее◦ /TGS, TGS Сессионный ключ клиент идентификатор и время жизни билета зашифрованные секретным
.ключом клиента
◦ TGT ( , , который включает идентификатор и сетевой адрес клиента метку времени ЦРК период действия /TGS), TGS.билета и сессионный ключ Клиент зашифрованный секретным ключом
, , .Еслиже нет то клиент получает новое сообщение говорящее о произошедшей ошибке , Получив сообщение клиент расшифровывает свою часть для получения Сессионного Ключа
/TGS. TGS. Клиент Этот сессионный ключ используется для дальнейшего обмена с сервером( : TGT, Важно Клиент не может расшифровать так как оно зашифровано секретным ключомTGS) , TGS.В этот момент у пользователя достаточно данных чтобы авторизоваться на
Подробное описание принципафункционирования
TGS:Авторизация клиента на TGS (TGS_REQ) Для запроса сервиса клиент формирует запрос на
:содержащий следующие данные◦ TGT, .полученный ранее и идентификатор сервиса
◦ Аутентификатор ( ID ), составленный из клиента и временного штампа /TGS.зашифрованный на СессионномКлюче Клиент
TGS_REQ, TGS TGT После получения извлекает из него и расшифровывает TGS. его используя секретный ключ Это дает ему Сессионный Ключ
/TGS. . Клиент Им он расшифровывает аутентификатор Затем он / генерирует сессионный ключ клиент сервис и посылает ответ
(TGS_REP) :включающий◦ ( ID , , Билет сервиса который содержит клиента сетевой адрес клиента метку
, / ) времени ЦРК время действия билета и Сессионный Ключ клиент сервис .зашифрованный секретным ключом сервиса
◦ / , Сессионный ключ клиент сервис идентификатор сервиса и время жизни, Client/TGS.билета зашифрованные на СессионномКлюче
Подробное описание принципафункционирования
:Запрос сервиса клиентом TGS_REP, После получения у клиента достаточно информации для авторизации на
. :сервисе Клиент соединяется с ним и посылает сообщение содержащее◦ Зашифрованный билет сервиса .полученный ранее
◦ Новый аутентификатор, / , зашифрованный на сессионном ключе клиент сервис и ID .включающий клиента и метку времени
Сервис расшифровывает билет используя свой секретный ключ и получает / . , сессионный ключ клиент сервис Используя новый ключ он расшифровывает
аутентификатор и посылает клиенту следующее сообщение для подтверждения , , готовности обслужить клиента и показать что сервер действительно является тем
:за кого себя выдает◦ Метку времени, указанную клиентом + 1, зашифрованную на сессионном ключе
/ .клиент сервис
, Клиент расшифровывает подтверждение используя сессионный ключ/ , клиент сервис и проверяет действительно ли метка времени корректно
. , обновлена Если это так то клиент может доверять серверу и может начать .посылать запросы на сервер
.Сервер предоставляет клиенту требуемый сервис
Подробное описание принципафункционирования
PKINIT
PKINIT . Расширение затронуло этап предварительной аутентификации клиента После чего она :стала происходить следующим образом
.Пользователь идентифицируется в системе и предъявляет свой закрытый ключ (AS_REQ), , Клиентская машина формирует запрос на СА в котором указывает что будет
. , использоваться асимметричное шифрование Отличие данного запроса заключается в том что он подписывается ( )с помощью закрытого ключа клиента и кроме стандартной
.информации содержит сертификат открытого ключа пользователя , , Получив запрос ЦРК сначала проверяет достоверность сертификата пользователя а затем
электронную подпись ( )используя полученный открытый ключ пользователя . После , этогоЦРК проверяет локальное время присланное в запросе ( )для защиты от повторов .
, (AS_REP), Удостоверившись в подлинности клиента ЦРК формирует ответ в котором в , отличие от стандартной версии сеансовый ключ зашифровывается открытым ключом
. пользователя Кроме того ответ содержит сертификат ЦРК и подписывается его закрытым ключом ( )аналогично запросу клиента .
, Получив ответ пользователь проверяет подпись ЦРК и расшифровывает свой сеансовый ключ ( )используя свой закрытый
Kerberos V5.Дальнейшие этапы происходят согласно стандартному описанию
Подробное описание принципафункционирования
АлгоритмKerberos
Алгоритм
Авторизация — процесс проверки прав пользователя на осуществление определенных действий в компьютерной системе
- , или на веб ресурсе результатом которого может быть ; разрешение или отказ в проведении запрашиваемых операций
предоставление пользователю возможностей в соответствии с, правами которые гарантированы ему компьютерной системой
- .или веб ресурсом
:Авторизация проходит в два последовательных этапа определение возможности доступа пользователя в
компьютерную систему посредством идентификации и;аутентификации
одобрение или отклонение запроса .на доступ
Главным образом авторизация необходима для сохранения .конфиденциальности и целостности информации в системе
Авторизация