University of Information Technology University of Information Technology TRƯỜNG ĐẠI HỌC TRƯỜNG ĐẠI HỌC CNTT CNTT KHOA MMT&TT01 KHOA MMT&TT01 Nhóm: MMT1.5(8) Nhóm: MMT1.5(8) Nguyễn Đào Viên Nguyễn Đào Viên 06520563 06520563 Nguyễn Thị Thúy Nguyễn Thị Thúy 06520473 06520473 Lê Quang Lê Quang 06520367 06520367 Lê Trọng Nghĩa Lê Trọng Nghĩa 06520314 06520314 Đinh Văn Phượng Đinh Văn Phượng 06520362 06520362 Nguyễn Tiến Nghĩa Nguyễn Tiến Nghĩa 06520316 06520316 Liêu Đức Hùng Liêu Đức Hùng 06520187 06520187 University of Information Technology University of Information Technology AUTHENTICATION AUTHENTICATION I.Giới thiệu authentication I.Giới thiệu authentication 1 1 .1 .1 Authentication là gì? Authentication là gì? 1 1 . . 2 2 Các nhân tố cho xác thực Các nhân tố cho xác thực II.Các giao thức nền tảng cho II.Các giao thức nền tảng cho x x ác thực ác thực : : 2.1 Giao thức 2.1 Giao thức xác thực xác thực PAP PAP ( ( Password Authentication Protoco Password Authentication Protoco ) ) 2.2 Giao thức Xác thực CHAP (Challenge Handshake 2.2 Giao thức Xác thực CHAP (Challenge Handshake Authentication Protocol) Authentication Protocol) 2.3 Giao thức 2.3 Giao thức xác thực EAP(Extensible Authentication Protocol) xác thực EAP(Extensible Authentication Protocol) 2.4 Giao thức xác thực Kerberos 2.4 Giao thức xác thực Kerberos III. III. Mô hình xác thực web: Mô hình xác thực web: 1 1 . Hệ thống đăng nhập một lần Single sign-on (SSO) . Hệ thống đăng nhập một lần Single sign-on (SSO) 2 2 . . Mô hình WebSSO Mô hình WebSSO 3. Phân tích sơ đồ Yahoo authentication 3. Phân tích sơ đồ Yahoo authentication University of Information Technology University of Information Technology 1.1 Authentication là gì? 1.1 Authentication là gì? Xác thực Xác thực (Authentication) là một hành động nhằm thiết lập (Authentication) là một hành động nhằm thiết lập hoặc chứng thực một cái gì đó (hoặc một người nào đó) hoặc chứng thực một cái gì đó (hoặc một người nào đó) đáng tin cậy đáng tin cậy University of Information Technology University of Information Technology 1.2 1.2 Các nhân tố dùng cho xác thực Các nhân tố dùng cho xác thực  Something you have Something you have  Something you know Something you know  Something you are Something you are University of Information Technology University of Information Technology II.Các giao thức xác thực II.Các giao thức xác thực (Authentication protocol) (Authentication protocol) University of Information Technology University of Information Technology 2.1 .Giao thức PAP(Password 2.1 .Giao thức PAP(Password Authentication Protocol Authentication Protocol ) )  PAP là mô hình xác thực chung,sử dụng 1 PAP là mô hình xác thực chung,sử dụng 1 username và password username và password  The remote access client software gởi The remote access client software gởi username/password đến sever dưới dạng username/password đến sever dưới dạng plaintext plaintext mà không được mã hóa gì cả và mà không được mã hóa gì cả và được đóng gói trong các gói dữ liệu của PPP được đóng gói trong các gói dữ liệu của PPP  Server sau đó sẽ quyết định chấp nhận hay Server sau đó sẽ quyết định chấp nhận hay từ chối việc thiết lập kết nối.Đây là cơ chế từ chối việc thiết lập kết nối.Đây là cơ chế PAP một chiều giữa một client và một server. PAP một chiều giữa một client và một server.  Cơ chế này dễ bị các sniffer bắt Cơ chế này dễ bị các sniffer bắt University of Information Technology University of Information Technology Password Authentication Protocol Password Authentication Protocol PAP authentication-request message University of Information Technology University of Information Technology 2.2 Giao thức Xác thực CHAP (Challenge 2.2 Giao thức Xác thực CHAP (Challenge Handshake Authentication Protocol) Handshake Authentication Protocol)  User gởi username(plaintext) đến CHAP sever. Sever User gởi username(plaintext) đến CHAP sever. Sever responds trở lại user 1 id ,1 random string characters. responds trở lại user 1 id ,1 random string characters. University of Information Technology University of Information Technology  User sử dụng random string characters User sử dụng random string characters kết hợp kết hợp với password của mình đưa vào thuật toán với password của mình đưa vào thuật toán MD5(message Disgest –RFC 1321) để tính toán MD5(message Disgest –RFC 1321) để tính toán ra 1 giá trị hash. Tương tự ở sever cũng có quá ra 1 giá trị hash. Tương tự ở sever cũng có quá trình này ,sever cũng có giá trị hash. trình này ,sever cũng có giá trị hash. University of Information Technology University of Information Technology  Giá trị Giá trị hash hash được gửi trả lại cho Access server được gửi trả lại cho Access server trong một gói CHAP Response (Type 2) chứa trong một gói CHAP Response (Type 2) chứa chuỗi hash chuỗi hash , id , id [...]... client/server trên môi trường mạng phân tán Nó đảm bảo tính toàn vẹn và tính mật cho thông tin truyền đi, sử dụng mã hoá bí mật như DES, triple DES chống nghe lén hay tấn công dùng lại trên mạng University of Information Technology Kerberos hoạt động dựa trên một máy chủ chứng thực tập trung KDC (Key Distribution Centre) KDC gồm:  Máy chủ chứng thực AS (Authentication Server) biết khoá mật của tất cả người... đăng nhập vào tài kh an tại url của dịch vụ SSO Authentication Service Ví dụ https://login.yahoo.com Sau khi đăng nhập thành công -> bước 2 Bước 2: Authentication Service sẽ thực hiện việc sinh ra Authentication Token Đây là một string chứa thông tin chứng thực (không chứa password) và thông thường được mã hóa bằng DES( Data encryption standard) hoặc RSA(Responsible Service of Alcohol) Bước 3: Authentication. .. người dùng C, IP của client và tem thời gian Authenticator chỉ sử dụng một lần và có hiệu lực trong một thời gian cực ngắn b TGS dùng khoá mật của mình giải mã TGT, lấy ra SK1 để giải mã authenticator, kiểm tra tính hợp lệ Nếu hợp lệ, TGS sẽ sinh ra khoá phiên mới SK2 chung cho client và máy chủ V Hai bản sao của khoá phiên này được gửi về cho C bằng thông điệp Kerberos Ticket Granting Service Response... hóa SSL) giữa ứng dụng web (partner) và Authentication Service Trên mỗi ứng dụng web sẽ có một SSOAgent, có nhiệm vụ xử lý Authentication Token và kiểm tra việc chứng thực Trong quá trình này session cookie sẽ được tạo tại trình duyệt của người dùng nếu SSOAgent kiểm tra Authentication Token thành công Bước 4: [Sign Out]: Khi chứng thực tự động vào một partner, Authentication Service sẽ lưu lại thông... khoá mật của C Sau đó, client Request xin cấp TGT tới AS AS sẽ truy lục trong cơ sở dữ liệu, lấy khoá bí mật của C, giải mã phần dữ liệu tiền chứng thực, kiểm tra có hợp lệ không Cuối cùng AS xác minh được định danh của C, AS sẽ Response (KRB_AS_REP) có chứa vé TGT bao gồm : • Một khoá phiên SK1 được mã hoá bằng khoá mật của C đảm bảo chỉ có C mới giải mã được • Bản sao của SK1 được mã hoá bằng khoá mật. .. (Ticket Granting Server) cung cấp vé dịch vụ cho phép người dùng truy nhập vào các máy chủ trên mạng Giao thức Kerberos hoạt động khá phức tạp, chia làm ba pha University of Information Technology University of Information Technology Pha thứ nhất: Kết nối với AS để lấy về vé xin truy nhập TGS, ticket-granting-ticket (TGT) 1 2 3 Người dùng C đăng nhập vào hệ thống nhập USER/PASS Client sẽ chuyển đổi mật khẩu... mật của TGS đảm bảo chỉ TGS đọc được University of Information Technology Pha thứ hai: Truyền thông với máy chủ cấp vé dịch vụ TGS, lấy về service ticket truy nhập máy chủ V a C gửi cho TGS một thông điệp Kerberos Ticket Granting Service Request (KRB_TGS_REQ) có chứa :  Vé TGT và Định danh dịch vụ yêu cầu V  Bộ dữ liệu chứng thực gọi là Authenticator được mã hoá bằng SK1 gồm định danh người dùng C,... thực EAP (Extensible Authentication Protocol) RFC 2284  Phần mở rộng của giao thức PPP.Tất cả các computer đều có cài đặt 1 vài PPP mặc định  Được các ISP sử dụng để thực hiện những remote access đến những user University of Information Technology University of Information Technology     Thông qua EAP method sẽ kết nối plug-in giữa EAP peer và Authentication Sever EAP peer và the EAP authenticator... Authentication Sever EAP peer và the EAP authenticator send EAP message sử dụng supplicant-a software để authenticate network access bởi data link layer transport protocol such as PPP or IEEE 802.1X EAP authenticator and the authentication server send EAP messages using RADIUS Kết quả EAP messges được gởi giữa client và sever thông qua EAP authenticator University of Information Technology Type of Network... site-to-site connections EAP-MD5 CHAP, EAP-TLS 802.1X authentication to an authenticating switch (wired) EAP-MD5 CHAP, PEAP-MS-CHAP v2, EAP-TLS, PEAP-TLS 802.1X authentication to a wireless AP PEAP-MS-CHAP v2, EAP-TLS, PEAPTLS University of Information Technology 2.4 Giao thức Kerberos    Kerberos là một giao thức chứng thực mạng được phát triển trong dự án Athena của học viện công nghệ Massachusetts (MIT) . trên môi trường mạng phân tán. mạng phân tán.  Nó đảm bảo tính toàn vẹn và tính mật cho Nó đảm bảo tính toàn vẹn và tính mật cho thông tin truyền đi, sử dụng mã hoá bí mật như thông tin. EAP peer và Authentication Sever. EAP peer và Authentication Sever.  EAP peer và the EAP authenticator send EAP EAP peer và the EAP authenticator send EAP message sử dụng supplicant-a software. Phân tích sơ đồ Yahoo authentication 3. Phân tích sơ đồ Yahoo authentication University of Information Technology University of Information Technology 1.1 Authentication là gì? 1.1 Authentication