الرئيسيةعريقبحث

بروتوكول المصادقة


☰ جدول المحتويات


بروتوكول المصادقة هو نوع من أنواع بروتوكولات الاتصال الحاسوبي أو من أنواع بروتوكولات التشفير المصممة خصيصاً لنقل بيانات المصادقة بين كيانين (طرفين). يسمح الكيان المتلقي بمصادقة الكيان المتصل (على سبيل المثال، العميل الذي يتصل بخادم) وكذلك المصادقة على الكيان المتصل (الخادم إلى العميل) من خلال الإعلان عن نوع المعلومات المطلوبة للمصادقة وكذلك بناء وتركيب البيانات الرقمية المطلوبة. [1] إن بروتوكول المصادقة هذا يعتبر في حقيقة الأمر طبقة الحماية الأكثر أهمية اللازمة للاتصال الآمن داخل شبكات الحاسب.

الغرض

مع تزايد كمية المعلومات الجديرة بالثقة التي يمكن الوصول إليها عبر الشبكة، ظهرت الحاجة إلى منع الأشخاص غير المصرح لهم من الوصول إلى هذه البيانات. من السهل سرقة هوية شخص ما في عالم الحوسبة - لذا، لابد من اختراع طرق تحقق خاصة لمعرفة ما إذا كان الشخص / الحاسب الذي يطلب البيانات هو الطرف الفعلي والحقيقي غير المزيف، وهو الطرف المطلوب للإتصال معه. [2] تتمثل مهمة بروتوكول المصادقة في تحديد السلسلة الدقيقة من الخطوات اللازمة لتنفيذ عمليات المصادقة. لذلك، يجب أن تمتثل مبادئ البروتوكول الرئيسية، ويمكن اختصار هذه المبادئ بالشكل التالي:

  1. يجب أن يشتمل ويتشارك البروتوكول مع طرفين أو أكثر ويجب على كل من يشارك في البروتوكول معرفة البروتوكول مسبقاً.
  2. يجب على جميع الأطراف المدرجة اتباع عمليات البروتوكول.
  3. يجب أن يكون البروتوكول لا لبس فيه - يجب تحديد كل خطوة بدقة.
  4. يجب أن يكون البروتوكول كاملاً - يجب أن يتضمن إجراء محدداً لكل موقف ممكن.

رسم توضيحي للمصادقة المستندة إلى كلمة المرور باستخدام بروتوكول مصادقة بسيط:

أليس (Alice) (وهو افتراضياً كيان يرغب في التحقق منه) وبوب (Bob) (كيان يتحقق من هوية أليس) على حد سواء على علم بالبروتوكول الذي وافقوا على استخدامه. بوب لديه كلمة مرور أليس مخزنة في قاعدة بيانات للمقارنة.

  1. ترسل أليس كلمة مرور بوب الخاصة بها في حزمة تمتثل لقواعد البروتوكول.
  2. يقوم بوب بفحص كلمة المرور المستلمة مقابل كلمة المرور المخزنة في قاعدة بياناته. ثم يرسل حزمة يقول "المصادقة ناجحة" أو "فشل المصادقة" على أساس النتيجة. [3]

هذا مثال على بروتوكول المصادقة الأساسي للغاية المعرض للعديد من التهديدات، مثل التنصت ، أو إعادة الهجوم ، أو هجمات الرجل في الوسط ، أو هجمات القاموس، أو هجمات القوة الغاشمة. معظم بروتوكولات المصادقة أكثر تعقيداً حتى تكون قادرة على مواجهة هذه الهجمات. [4]

الأنواع

بروتوكولات المصادقة المتقدمة لبروتوكول PPP من نقطة إلى نقطة (Point-to-Point Protocol)

يتم استخدام البروتوكولات بشكل أساسي بواسطة خوادم بروتوكول نقطة إلى نقطة (PPP) للتحقق من صحة هوية العملاء عن بُعد قبل منحهم حق الوصول إلى بيانات الخادم. يستخدم معظمهم كلمة المرور كحجر زاوية للمصادقة. في معظم الحالات، يجب مشاركة كلمة المرور بين الكيانات المتواصلة مسبقاً. [5]

PAP 2 - طريقة المصافحة

PAP - بروتوكول مصادقة كلمة المرور

يعد بروتوكول مصادقة كلمة المرور أحد أقدم بروتوكولات المصادقة. تتم تهيئة المصادقة عن طريق إرسال العميل حزمة مع بيانات الاعتماد (اسم المستخدم وكلمة المرور) في بداية الاتصال، مع تكرار العميل طلب المصادقة حتى يتم تلقي الإقرار. [6] يعد هذا الأمر غير آمن للغاية نظراً لإرسال بيانات الاعتماد "بشكل واضح " وبشكل متكرر، مما يجعله عرضة حتى لأكثر الهجمات البسيطة مثل التنصت والهجمات التي تتم من خلال الوسط . على الرغم من دعمها على نطاق واسع، فإنه يتم تحديد أنه إذا كان التنفيذ يوفر طريقة مصادقة أقوى، فيجب تقديم هذه الطريقة قبل PAP. المصادقة المختلطة (مثل نفس العميل الذي يستخدم كل من PAP و CHAP) غير متوقع أيضاً، لأن مصادقة CHAP ستتعرض للخطر بسبب إرسال PAP لكلمة المرور بنص عادي وواضح غير مشفر.

CHAP - بروتوكول المصادقة بتحدي التصافح

تتم تهيئة عملية المصادقة في هذا البروتوكول دائماً بواسطة الخادم / المضيف ويمكن تنفيذها في أي وقت أثناء الجلسة، وحتى بشكل متكرر. خادم يرسل سلسلة عشوائية (عادة تأتي بطول 128B). يستخدم العميل كلمة المرور والسلسلة المستلمة كمعلمات لوظيفة تجزئة MD5 ثم يرسل النتيجة مع اسم المستخدم في نص عادي. يستخدم الخادم اسم المستخدم لتطبيق نفس الوظيفة ويقارن التجزئة المحسوبة والمستلمة. المصادقة ستكون ناجحة أو غير ناجحة.

EAP - بروتوكول المصادقة القابل للتوسيع

تم تطوير EAP في الأصل من أجل PPP (بروتوكول نقطة إلى نقطة) ولكن اليوم يستخدم على نطاق واسع في IEEE 802.3 أو IEEE 802.11 (WiFi) أو IEEE 802.16 كجزء من إطار المصادقة IEEE 802.1x . الإصدار الأحدث موحد في RFC 5247 . تتمثل ميزة EAP في أنها مجرد إطار مصادقة عام لمصادقة خادم العميل - يتم تحديد طريقة المصادقة المحددة في إصداراتها العديدة المسماة أساليب EAP. يوجد أكثر من 40 طريقة EAP ، والأكثر شيوعاً هي:

  • EAP-MD5
  • EAP-TLS
  • EAP-TTLS
  • EAP-FAST
  • EAP- PEAP

البروتوكولات المعمارية AAA (المصادقة، التفويض، المحاسبة)

البروتوكولات المعقدة المستخدمة في الشبكات الأكبر للتحقق من المستخدم (المصادقة) ، والتحكم في الوصول إلى بيانات الخادم (التخويل) ومراقبة موارد الشبكة والمعلومات اللازمة لفوترة الخدمات (المحاسبة).

TACACS ، XTACACS و TACACS +

أقدم بروتوكول AAA يستخدم المصادقة المستندة إلى IP دون أي تشفير (تم نقل أسماء المستخدمين وكلمات المرور كنص عادي). أضاف الإصدار الأحدث XTACACS (Extended TACACS) التفويض والمحاسبة. تم استبدال كلا البروتوكولين لاحقاً بـ TACACS +. يفصل TACACS + بين مكونات AAA ، وبالتالي يمكن فصلها ومعالجتها على خوادم منفصلة (حتى يمكنها استخدام بروتوكول آخر على سبيل المثال التخويل). يستخدم TCP (بروتوكول التحكم في النقل) للنقل ويقوم بتشفير الحزمة بأكملها. TACACS + هي ملكية لشركة سيسكو الأمريكية للشبكات.

بروتوكول نصف القطر (RADIUS)

خدمة المستخدم لمصادقة الاتصال عن بُعد (RADIUS) عبارة عن بروتوكول AAA كامل يشيع استخدامه من قِبل مزود خدمة الإنترنت . معظم بيانات الاعتماد تعتمد على تركيبة اسم المستخدم وكلمة المرور، وهي تستخدم بروتوكول NAS و UDP للنقل. [7]

قطر الدائرة (DIAMETER)

تم تطوير بروتوكول قطر الدائرة (DIAMETER) من RADIUS ويتضمن العديد من التحسينات مثل استخدام بروتوكول نقل TCP أو SCTP أكثر موثوقية وأمان أعلى بفضل TLS . [8]

بروتوكولات أخرى

مخطط مصادقة Kerberos

Kerberos (بروتوكول)

Kerberos هو نظام مصادقة مركزي للشبكة تم تطويره في معهد ماساتشوستس للتكنولوجيا ومتاح كتطبيق مجاني من معهد ماساتشوستس للتكنولوجيا ولكن أيضاً متاح في العديد من المنتجات التجارية. إنها طريقة المصادقة الافتراضية في نظام التشغيل Windows 2000 والإصدارات الأحدث. عملية المصادقة نفسها أكثر تعقيداً مما كانت عليه في البروتوكولات السابقة - حيث يستخدم Kerberos تشفير المفتاح المتماثل ، ويتطلب طرفاً موثوقاً به ويمكنه استخدام تشفير المفتاح العام أثناء مراحل معينة من المصادقة إذا لزم الأمر. [9] [10] [11]

قائمة بروتوكولات المصادقة المختلفة

  • AKA
  • المصادقة المستندة إلى CAVE
  • الإلزام MD5
  • استوعب
  • بروتوكول هوية المضيف (HIP)
  • مدير الشبكة المحلية
  • NTLM ، المعروف أيضاً باسم NT LAN Manager
  • بروتوكول OpenID
  • بروتوكولات اتفاقية مفتاح مصادقة بكلمة مرور
  • بروتوكول حمل المصادقة للوصول إلى الشبكة (PANA)
  • بروتوكول كلمة مرور آمنة عن بعد (SRP)
  • بروتوكولات مصادقة RFID
  • وو لام 92 (البروتوكول)
  • SAML


إنظر أيضاً


المراجع

  1. Duncan, Richard (23 October 2001). "An Overview of Different Authentication Methods and Protocols". www.sans.org. SANS Institute. مؤرشف من الأصل في 26 يوليو 201831 أكتوبر 2015.
  2. Shinder, Deb (28 August 2001). "Understanding and selecting authentication methods". www.techrepublic.com. مؤرشف من الأصل في 17 يوليو 201830 أكتوبر 2015.
  3. van Tilborg, Henk C.A. (2000). Fundamentals of Cryptology. Massachusetts: Kluwer Academic Publishers. صفحات 66–67.  .
  4. Smith, Richard E. (1997). Internet Cryptography. Massachusetts: Addison Wesley Longman. صفحات 1–27.  .
  5. Halevi, Shai. "Public-key cryptography and password protocols". citeseerx.ist.psu.edu. مؤرشف من الأصل في 5 مارس 201631 أكتوبر 2015.
  6. Vanek, Tomas. "Autentizacní telekomunikacních a datových sítích" ( كتاب إلكتروني PDF ). CVUT Prague. مؤرشف من الأصل ( كتاب إلكتروني PDF ) في 4 مارس 201631 أكتوبر 2015.
  7. "AAA protocols". www.cisco.com. CISCO. مؤرشف من الأصل في 29 أبريل 201731 أكتوبر 2015.
  8. Liu, Jeffrey (24 January 2006). "Introduction to Diameter". www.ibm.com. IBM. مؤرشف من الأصل في 5 يوليو 201731 أكتوبر 2015.
  9. "Kerberos: The Network Authentication Protocol". web.mit.edu. MIT Kerberos. 10 September 2015. مؤرشف من الأصل في 5 أغسطس 201931 أكتوبر 2015.
  10. Schneier, Bruce (1997). Applied Cryptography. New York: John Wiley & Sons,Inc. صفحات 52–74.  .
  11. "Protocols of the Past". srp.stanford.edu. Stanford University. مؤرشف من الأصل في 9 مارس 201831 أكتوبر 2015.

موسوعات ذات صلة :