Néhány azonosítási technika Win rendszerekben

Az alábbiakban néhány, a Windows rendszerekben is alkalmazott azonosítási technikákat (authentication) ismertetünk, nem teljes részletességgel, inkább csak áttekintő jelleggel. A teljesebb megismeréshez a  lap alján találhatók referenciák.

1. Kihívás/Válasz (Challenge/Response vagy CHAP: Challenge Handshake Authentication Protocol)

Windows 2000 előtti operációs rendszerekben használt felhasználó-azonosítási protokoll a "kihívás/válasz". Csak egy gépre történő belépésnél (tehát tartománynál nem) alkalmazzák. A titkosításnál egyszer használatos (hash) kulcsot alkalmaznak a jelszó titkosítására, mégpedig a hash vagyis magyarul tördelő algoritmussal. Három kézfogásos protokollnak is nevezik, szemben az ún. két kézfogásos PAP (Password Authentification Protocol) protokollal.

A protokoll menete:

Munkaállomás                                           Szolgáltató 

                           -------------------------->
                           1. Be szeretnék jelentkezni
                           <--------------------------
                           2. Itt küldöm a hash kulcsot (Kihivás)
3. Jelszó titkosítása a kulccsal
                           -------------------------->
                           4. Azonosító, titkosított jelszó (Válasz)
                                                      5. Az azonosítóhoz kikeresi az
                                                         itt tárolt jelszót, titkosít-
                                                         ja a kulccsal és összehason-
                                                         lítja az átküldött adatokkal.  
                           <--------------------------
                           6. Elfogadva vagy elutasítva 
2. Azonosítók átadása (Pass thru)

Ezt a fajta azonosítást tartományok esetében alkalmazzák, amikor például az egyik munkaállomásról a másik munkaállomásra szeretne valaki bejelentkezni. A protokoll első 4 lépése azonos az előző autentikációval.

A protokoll menete:

Munkaállomás1                                           Munkaállomás2 

                           -------------------------->
                           1. Be szeretnék jelentkezni
                           <--------------------------
                           2. Itt küldöm a hash kulcsot 
3. Jelszó titkosítása a kulccsal
                           -------------------------->
                           4. Azonosító, titkosított jelszó (Válasz)
                                                      5. Az azonosító-jelszó párost keresi
                                                         az itt tárolt azonosító-jelszó
                                                         párosok között, de nem találja.


Tartományvezérlő                                        Munkaállomás2 

	      					      6. Összecsomagolja a kulcsot és a
                                                         "Munkaállomás1"-től kapott adatokat.   
                                                          
                           <--------------------------
                           7. Átküldi az adatokat. 

8. Ellenőrzi a Munkaállomás1 
-től kapott azonosítót, 
jelszót (kulcsot is megkapta,
tehát tudja olvasni)

                           -------------------------->
			   9. Elfogadva/elutasítva
Munkaállomás1                                           Munkaállomás2 

                           <--------------------------
                           10. Elfogadva/elutasítva 

3. Kerberos

Kerberos féle autentikáció lényege, hogy a felhasználó a Kerberos kiszolgálónál azonosítja magát, cserébe egy TGT-t, azaz egy azonosítási jegyet kap (TGT - Ticket Granting Ticket). Majd a felhasználó ezzel az azonosítási jeggyel kaphat további jegyeket a többi gép szolgáltatásainak igénybevételéhez.

A Kerberos 3 fő komponensből áll:

  • KDC (Key Distribution Center): a jegyek továbbításához szükséges titkosító kulcsok (session key, process key) generálását, karbantartását végzi,
  • AS (Authentication Service): a felhasználó kezdeti azonosítását végzi. Az azonosítás után kapja meg a felhasználó a TGT-t.
  • TGS (Ticket Granting Service): a TGT birtokában innen igényelhet további jegyeket a felhasználó a különböző szolgáltatásokhoz (sőt a saját gépéhez is!).

Titkosításhoz 3DES-t, azaz szimmetrikus kulcsot használnak. Ehhez a titkosításhoz a kulcsot mindkét félnek kell ismernie. Ez a kulcs pedig a felhasználó jelszava.

A protokoll röviden:

Munkaállomás                                          Kerberos AS

                    -------------------------->
                    1. Felhasználó felveszi a 
                       kapcsolatot az AS-sel,
                       titkosítva. A kulcs (K1) a 
                       felhasználó jelszava.
		                                    2. Ha a felhasználói jelszóval 
                                                       lehet dekódolni az átküldött
                                                       adatokat, akkor megy tovább
                                                       a folyamat.

Kerberos KDC                                          Kerberos AS
                    <-------------------------> 
                    3. Új kulcsot kér az AS a KDC-től
                       (K2)

Munkaállomás                                          Kerberos AS

                    <---------------------------
                    4. A felhasználó megkapja a TGT-t,
                       benne a K2 kulccsal. A küldés
                       során ez az üzenet K1-gyel van
                       titkosítva.
                         

Munkaállomás                                          Kerberos TGS

                    --------------------------->
                    5. A felhasználó a TGT birtokában
                       a TGS-tól igényel további je-
                       gyeket az egyes szolgáltatásokhoz,
                       pl. Munkaállomás2-höz (sőt! a saját
                       gépéhez is) 

Kerberos KDC                                          Kerberos TGS
                    <-------------------------> 
                    6. TGS új kulcsot kér a KDC-től, és 
                       meg is kapja (K3)

Munkaállomás                                          Kerberos TGS
                                                      (A kapott kulcsot a kérelmező és
                                                       a célgép - jelen esetben a 
                                                       Munkaállomás2 is megkapja)
                    <---------------------------
                    7. K3-t átküldi a TGS K2-vel kódolva

Munkaállomás                                          Kerberos TGS
		    <---------------------------
                    8. K3-t átküldi a Munkaállomás2-höz
                    (a Munkaállomás2 kulcsával) 

Munkaállomás                                          Munkaállomás2
		    <--------------------------->
                    9. Kommunikálhatnak a K3 kulccsal 

További információk: