University of Information Technology
University of Information Technology
TRƯỜNG ĐẠI HỌC
TRƯỜNG ĐẠI HỌC
CNTT
CNTT
KHOA MMT&TT01
KHOA MMT&TT01
Nhóm: MMT1.5(8)
Nhóm: MMT1.5(8)
Nguyễn Đào Viên
Nguyễn Đào Viên
06520563
06520563
Nguyễn Thị Thúy
Nguyễn Thị Thúy
06520473
06520473
Lê Quang
Lê Quang
06520367
06520367
Lê Trọng Nghĩa
Lê Trọng Nghĩa
06520314
06520314
Đinh Văn Phượng
Đinh Văn Phượng
06520362
06520362
Nguyễn Tiến Nghĩa

x
ác thực
ác thực:
:
2.1 Giao thức
2.1 Giao thức
xác thực
xác thực
PAP
PAP
(
(
Password Authentication Protoco
Password Authentication Protoco
)
)
2.2 Giao thức Xác thực CHAP (Challenge Handshake
2.2 Giao thức Xác thực CHAP (Challenge Handshake Authentication Protocol)
Authentication Protocol)
2.3 Giao thức
2.3 Giao thức
xác thực EAP(Extensible Authentication Protocol)
xác thực EAP(Extensible Authentication Protocol)
2.4 Giao thức xác thực Kerberos

University of Information Technology
1.2
1.2Các nhân tố dùng cho xác thực
Các nhân tố dùng cho xác thực

Something you have
Something you have
Something you know
Something you know
Something you are
Something you areUniversity of Information Technology
University of Information Technology
II.Các giao thức xác thực
II.Các giao thức xác thực
(Authentication protocol)
(Authentication protocol)
University of Information Technology
University of Information Technology

Cơ chế này dễ bị các sniffer bắt
Cơ chế này dễ bị các sniffer bắt
University of Information Technology
University of Information Technology
Password Authentication Protocol
Password Authentication ProtocolPAP authentication-request message
University of Information Technology
University of Information Technology2.2 Giao thức Xác thực CHAP (Challenge
2.2 Giao thức Xác thực CHAP (Challenge
Handshake Authentication Protocol)
Handshake Authentication Protocol)

User gởi username(plaintext) đến CHAP sever. Sever
User gởi username(plaintext) đến CHAP sever. Sever
responds trở lại user 1 id ,1 random string characters.
responds trở lại user 1 id ,1 random string characters.
University of Information Technology
University of Information Technology

User sử dụng random string characters
User sử dụng random string characterskết hợp

Server
dựa vào id để tìm kiếm chuỗi hash của mình có
dựa vào id để tìm kiếm chuỗi hash của mình có
cùng id với chuỗi hash của client
cùng id với chuỗi hash của clientUniversity of Information Technology
University of Information Technology

Sever CHAP tiến hành so sánh 2 chuỗi hash
Sever CHAP tiến hành so sánh 2 chuỗi hash

Nếu 2 chuỗi là giống nhau thì quá trình chứng thực
Nếu 2 chuỗi là giống nhau thì quá trình chứng thực
CHAP đã thành công và các gói Type 3 được gửi đến
CHAP đã thành công và các gói Type 3 được gửi đến
user
user
chứa ID. Điều này có nghĩa là kết nối đã được
chứa ID. Điều này có nghĩa là kết nối đã được
chứng thực hợp lệ.
chứng thực hợp lệ.
University of Information Technology
University of Information Technology
•
Nếu chứng thực CHAP thất bại, một gói tin Type 4 sẽ được
Nếu chứng thực CHAP thất bại, một gói tin Type 4 sẽ được
gửi đến
gửi đến

University of Information Technology
University of Information Technology

Thông qua EAP method sẽ kết nối plug-in giữa
Thông qua EAP method sẽ kết nối plug-in giữa
EAP peer và Authentication Sever.
EAP peer và Authentication Sever.

EAP peer và the EAP authenticator send EAP
EAP peer và the EAP authenticator send EAP
message sử dụng supplicant-a software để
message sử dụng supplicant-a software để
authenticate network access bởi data link layer
authenticate network access bởi data link layer
transport protocol such as PPP or IEEE 802.1X .
transport protocol such as PPP or IEEE 802.1X .

EAP authenticator and the authentication server
EAP authenticator and the authentication server
send EAP messages using RADIUS
send EAP messages using RADIUS

Kết quả EAP messges được gởi giữa client và
Kết quả EAP messges được gởi giữa client và
sever thông qua EAP authenticator.
sever thông qua EAP authenticator.University of Information Technology
University of Information Technology


Kerberos là một cơ chế chứng thực mạnh cho
Kerberos là một cơ chế chứng thực mạnh cho
các ứng dụng client/server trên môi trường
các ứng dụng client/server trên môi trường
mạng phân tán.
mạng phân tán.
Nó đảm bảo tính toàn vẹn và tính mật cho
Nó đảm bảo tính toàn vẹn và tính mật cho
thông tin truyền đi, sử dụng mã hoá bí mật như
thông tin truyền đi, sử dụng mã hoá bí mật như
DES, triple DES. chống nghe lén hay tấn công
DES, triple DES. chống nghe lén hay tấn công
dùng lại trên mạng
dùng lại trên mạng
University of Information Technology
University of Information Technology
Kerberos hoạt động dựa trên một máy chủ
Kerberos hoạt động dựa trên một máy chủ
chứng thực tập trung KDC (Ke
chứng thực tập trung KDC (Ke
y
y
Distribution Centre) KDC gồm:
Distribution Centre) KDC gồm:

Máy chủ chứng thực AS (Authentication

Kết nối với AS để lấy về vé xin truy nhập TGS,
Kết nối với AS để lấy về vé xin truy nhập TGS,
ticket-granting-ticket
ticket-granting-ticket
(TGT)
(TGT)
1.
1.
Người dùng C đăng nhập vào hệ thống nhập
Người dùng C đăng nhập vào hệ thống nhập
USER/PASS
USER/PASS
.
.
Client sẽ chuyển đổi mật khẩu thành khoá mật của C. Sau đó,
Client sẽ chuyển đổi mật khẩu thành khoá mật của C. Sau đó,
client Request xin cấp TGT tới AS
client Request xin cấp TGT tới AS
2.
2.
AS sẽ truy lục trong cơ sở dữ liệu, lấy khoá bí mật của C, giải
AS sẽ truy lục trong cơ sở dữ liệu, lấy khoá bí mật của C, giải
mã phần dữ liệu tiền chứng thực, kiểm tra có hợp lệ không.
mã phần dữ liệu tiền chứng thực, kiểm tra có hợp lệ không.
3.
3.
Cuối cùng AS xác minh được định danh của C, AS sẽ
Cuối cùng AS xác minh được định danh của C, AS sẽ
Response (KRB_AS_REP) có chứa vé TGT bao gồm :
Response (KRB_AS_REP) có chứa vé TGT bao gồm :

tem thời gian. Authenticator chỉ sử dụng một lần và có
tem thời gian. Authenticator chỉ sử dụng một lần và có
hiệu lực trong một thời gian cực ngắn
hiệu lực trong một thời gian cực ngắn
b. TGS dùng khoá mật của mình giải mã TGT, lấy ra SK1 để
b. TGS dùng khoá mật của mình giải mã TGT, lấy ra SK1 để
giải mã authenticator, kiểm tra tính hợp lệ. Nếu hợp lệ,
giải mã authenticator, kiểm tra tính hợp lệ. Nếu hợp lệ,
TGS sẽ sinh ra khoá phiên mới SK2 chung cho client và
TGS sẽ sinh ra khoá phiên mới SK2 chung cho client và
máy chủ V. Hai bản sao của khoá phiên này được gửi về
máy chủ V. Hai bản sao của khoá phiên này được gửi về
cho C bằng thông điệp Kerberos Ticket Granting Service
cho C bằng thông điệp Kerberos Ticket Granting Service
Response (KRB_TGS_REP) gồm:
Response (KRB_TGS_REP) gồm:

Một bản sao khoá phiên SK2 được mã hoá bằng khoá
Một bản sao khoá phiên SK2 được mã hoá bằng khoá
phiên của C.
phiên của C.

Bản kia được mã hóa bằng khoá mật của V đảm bảo chỉ
Bản kia được mã hóa bằng khoá mật của V đảm bảo chỉ
V mới mở được.
V mới mở được.
University of Information Technology
University of Information Technology
Pha thứ ba:
Pha thứ ba:

cho C bằng thông điệp KRB_AP_REP.
c. C giải mã thông điệp bằng khoá phiên dùng chung với V,
c. C giải mã thông điệp bằng khoá phiên dùng chung với V,
xác minh thời gian trong đó có đúng như khi gửi cho V
xác minh thời gian trong đó có đúng như khi gửi cho V
không. Nếu hợp lệ, kết nối truyền thông sẽ được thực
không. Nếu hợp lệ, kết nối truyền thông sẽ được thực
hiện.
hiện.
University of Information Technology
University of Information Technology
III. Mô Hình Xác Thực
III. Mô Hình Xác Thực
WEB
WEB
University of Information Technology
University of Information Technology
3.
3.
1
1
Hệ thống đăng nhập một lần
Hệ thống đăng nhập một lần
Single sign-on (SSO)
Single sign-on (SSO)

SSO (Single Sign On) là cơ chế quản lý
SSO (Single Sign On) là cơ chế quản lý
truy cập xác thực một lần và cho phép truy
truy cập xác thực một lần và cho phép truy