Professional Documents
Culture Documents
Bài 2.2. Giao TH C Xác TH C (23.04.2020, Lư NG)
Bài 2.2. Giao TH C Xác TH C (23.04.2020, Lư NG)
5
Thuật ngữ tiếng Anh
Supplicant (hoặc Peer) Bên được xác thực
Authenticator: Bên xác thực
Authentication Server (AS): Máy chủ xác thực
Network Access Server (NAS): Máy chủ truy cập
7
1 Giao thức PAP, CHAP
10
Giao thức PAP
11
Three PPP PAP Frame Types
12
PPP PAP Authentication Request
13
Giao thức PAP: 2 bước xác thực
14
PPP PAP Authentication Request
15
Giao thức PAP: Auth Ack
16
Giao thức PAP: Vấn đề an toàn
• Mật khẩu truyền ở dạng rõ
• Có thể bị chặn thu trên đường truyền
Router 2
17
Giao thức CHAP
• CHAP = Challenge Handshake
Authentication Protocol
• Là giao thức bắt tay 3 bước (3-way)
• Xác thực sử dụng mật khẩu
• Không truyền mật khẩu dạng rõ (nhưng
vẫn lưu mật khẩu dạng rõ)
18
Giao thức CHAP
Logon request
1 2
e
al l eng
Ch
3
Enter Compare
password hash value
Client
4 5
H(password, challenge) Server
19
Giao thức CHAP
20
Giao thức CHAP: Xác thực 3 bước, 2 chiều
21
Giao thức CHAP: Challenge
24
1 Giao thức PAP, CHAP
1. A S: Alice, Bob, NA
2. S A: {TS, L, K, Bob,
{TS, L, K, Alice}KBS}KAS
4. B A: {TA+1}K
30
Giao thức Kerberos
AS TGS
KDC
Service
Client Server
32
Giao thức Kerberos: Nguyên lý chung
AS TGS
KDC
1
Service
Client Server
Client yêu cầu truy
cập 33
Giao thức Kerberos: Nguyên lý chung
AS TGS
KDC
1 2
Service
Client Server
KDC cấp một phiếu truy
cập (TGT) 34
Giao thức Kerberos: Nguyên lý chung
AS TGS
KDC
1 2 3
Service
Client Server
Sử dụng TGT để yêu cầu
truy cập một dịch vụ cụ thể 35
Giao thức Kerberos: Nguyên lý chung
AS TGS
KDC
1 2 3
4
Service
Client Server
Cấp phiếu truy cập dịch vụ
(ST) 36
Giao thức Kerberos: Nguyên lý chung
AS TGS
KDC
1 2 3
4
5
Service
Client Server
Sử dụng ST để yêu
cầu phục vụ 37
Giao thức Kerberos: Nguyên lý chung
AS TGS
KDC
1 2 3
4
6 Service
Client Server
AS TGS
KDC
Client
Service
Server
39
Giao thức Kerberos: Các thông điệp
AS TGS
KDC
0
Client
Service
Server
User: Enter username, password
Client: Kc = PBKDF(password)
40
Giao thức Kerberos: Các thông điệp
AS TGS
KDC
1
0
Client
Service
Server
Client yêu cầu truy cập
CAS: IDC, IDTGS
41
Giao thức Kerberos: Các thông điệp
AS TGS
KDC
2
1
0
Client
Service
Cấp vé TGT Server
ASC: {{TGT}KAS_TGS, KC_TGS}KC
TGT = {IDC, IDTGS, t1, p1, KC_TGS} 42
Giao thức Kerberos: Các thông điệp
AS TGS
KDC
2
1 3
0
Client
Service
Yêu cầu một dịch vụ cụ thể Server
CTGS: {TGT}KAS_TGS, {Aut1: IDC, t2}KC_TGS, IDSS
TGT = {IDC, IDTGS, t1, p1, KC_TGS} 43
Giao thức Kerberos: Các thông điệp
AS TGS
KDC
2
1 3
4
0
Client
Service
Cấp vé truy cập dịch vụ Server
TGSC: {{ST}KTGS_SS, KC_SS} KC_TGS
ST = {IDC, IDSS, t3, p2, KC_SS} 44
Giao thức Kerberos: Các thông điệp
AS TGS
KDC
2
1 3
4
0
5
Client
Service
Yêu cầu truy cập Server
CSS: {ST}KTGS_SS, {Aut2: IDC, t4}KC_SS
ST = {IDC, IDSS, t3, p2, KC_SS} 45
Giao thức Kerberos: Các thông điệp
AS TGS
KDC
2
1 3
4
0
5
Client
6 Service
Server
48
"Extensible"
• Không cố định phương thức xác thực
• Phương thức xác thực được xác lập trong
quá trình xác thực (khi đã bắt đầu pha xác
thực)
• Cho phép tùy chọn phương thức xác thực
phù hợp với yêu cầu về an toàn.
• Cho phép thay đổi phương thức xác thực
với sự thay đổi tối thiểu trong phần cứng,
phần mềm. 49
Extensible Authentication Protocol
53
PPP Extensible Authentication Protocol
Xác định
phương thức
xác thực
CÓ THỂ yêu
cầu phương
thức khác
54
PPP EAP 2-way Authentication
55
PPP Configuration Request for EAP
56
Request, Identity
57
Response, Identity
58
Request, MD5-Challenge
61
Kiến trúc phân tầng của EAP
62
EAP với RADIUS và 802.1x
EAP
RADIUS 802.1X
63
802.1X
802
802: IEEE standards for networking protocols
802.11: wireless LAN protocols and standard
802.1: general concepts relating to
LANs/WANs
“802.1X” (not 802.11X): standards for LANs
802.1X là chuẩn quy định sử dụng EAP
qua môi trường LAN (ở tầng MAC)
802.1X = EAPOL
64
RADIUS
• RADIUS = Remote Authentication Dial-In
User Service
• RFCs: 2865, 2866, 3579...
• Được thiết kế theo kiến trúc AAA
(Authentication-Authorization-Accouting)
• Xác thực: EAP, PAP, CHAP...
65
EAP trong 802.1X và RADIUS
Authentication
Supplicant Server
66
EAP trong 802.1X và RADIUS
Supplicant Authenticator Authentication Server
EAPOL-Start
EAP-Request/Identity
68
69
Sinh viên tự nghiên cứu
70