بروتوكول المصادقة

بروتوكول المصادقة هو نوع من أنواع بروتوكولات الاتصال الحاسوبي أو من أنواع بروتوكولات التشفير المصممة خصيصاً لنقل بيانات المصادقة بين كيانين (طرفين). يسمح الكيان المتلقي بمصادقة الكيان المتصل (على سبيل المثال، العميل الذي يتصل بخادم) وكذلك المصادقة على الكيان المتصل (الخادم إلى العميل) من خلال الإعلان عن نوع المعلومات المطلوبة للمصادقة وكذلك بناء وتركيب البيانات الرقمية المطلوبة.^[1] إن بروتوكول المصادقة هذا يعتبر في حقيقة الأمر طبقة الحماية الأكثر أهمية اللازمة للاتصال الآمن داخل شبكات الحاسب.

الغرض عدل

مع تزايد كمية المعلومات الجديرة بالثقة التي يمكن الوصول إليها عبر الشبكة، ظهرت الحاجة إلى منع الأشخاص غير المصرح لهم من الوصول إلى هذه البيانات. من السهل سرقة هوية شخص ما في عالم الحوسبة - لذا، لا بد من اختراع طرق تحقق خاصة لمعرفة ما إذا كان الشخص / الحاسب الذي يطلب البيانات هو الطرف الفعلي والحقيقي غير المزيف، وهو الطرف المطلوب للإتصال معه.^[2] تتمثل مهمة بروتوكول المصادقة في تحديد السلسلة الدقيقة من الخطوات اللازمة لتنفيذ عمليات المصادقة. لذلك، يجب أن تمتثل مبادئ البروتوكول الرئيسية، ويمكن اختصار هذه المبادئ بالشكل التالي:

يجب أن يشتمل ويتشارك البروتوكول مع طرفين أو أكثر ويجب على كل من يشارك في البروتوكول معرفة البروتوكول مسبقاً.
يجب على جميع الأطراف المدرجة اتباع عمليات البروتوكول.
يجب أن يكون البروتوكول لا لبس فيه - يجب تحديد كل خطوة بدقة.
يجب أن يكون البروتوكول كاملاً - يجب أن يتضمن إجراء محدداً لكل موقف ممكن.

رسم توضيحي للمصادقة المستندة إلى كلمة المرور باستخدام بروتوكول مصادقة بسيط:

أليس (Alice) (وهو افتراضياً كيان يرغب في التحقق منه) وبوب (Bob) (كيان يتحقق من هوية أليس) على حد سواء على علم بالبروتوكول الذي وافقوا على استخدامه. بوب لديه كلمة مرور أليس مخزنة في قاعدة بيانات للمقارنة.

ترسل أليس كلمة مرور بوب الخاصة بها في حزمة تمتثل لقواعد البروتوكول.
يقوم بوب بفحص كلمة المرور المستلمة مقابل كلمة المرور المخزنة في قاعدة بياناته. ثم يرسل حزمة يقول «المصادقة ناجحة» أو «فشل المصادقة» على أساس النتيجة.^[3]

هذا مثال على بروتوكول المصادقة الأساسي للغاية المعرض للعديد من التهديدات، مثل التنصت، أو إعادة الهجوم، أو هجمات الرجل في الوسط، أو هجمات القاموس، أو هجمات القوة الغاشمة. معظم بروتوكولات المصادقة أكثر تعقيداً حتى تكون قادرة على مواجهة هذه الهجمات.^[4]

الأنواع عدل

بروتوكولات المصادقة المتقدمة لبروتوكول PPP من نقطة إلى نقطة (Point-to-Point Protocol) عدل

يتم استخدام البروتوكولات بشكل أساسي بواسطة خوادم بروتوكول نقطة إلى نقطة (PPP) للتحقق من صحة هوية العملاء عن بُعد قبل منحهم حق الوصول إلى بيانات الخادم. يستخدم معظمهم كلمة المرور كحجر زاوية للمصادقة. في معظم الحالات، يجب مشاركة كلمة المرور بين الكيانات المتواصلة مسبقاً.^[5]

PAP 2 - طريقة المصافحة

PAP - بروتوكول مصادقة كلمة المرور عدل

يعد بروتوكول مصادقة كلمة المرور أحد أقدم بروتوكولات المصادقة. تتم تهيئة المصادقة عن طريق إرسال العميل حزمة مع بيانات الاعتماد (اسم المستخدم وكلمة المرور) في بداية الاتصال، مع تكرار العميل طلب المصادقة حتى يتم تلقي الإقرار.^[6] يعد هذا الأمر غير آمن للغاية نظراً لإرسال بيانات الاعتماد «بشكل واضح» وبشكل متكرر، مما يجعله عرضة حتى لأكثر الهجمات البسيطة مثل التنصت والهجمات التي تتم من خلال الوسط. على الرغم من دعمها على نطاق واسع، فإنه يتم تحديد أنه إذا كان التنفيذ يوفر طريقة مصادقة أقوى، فيجب تقديم هذه الطريقة قبل PAP. المصادقة المختلطة (مثل نفس العميل الذي يستخدم كل من PAP و CHAP) غير متوقع أيضاً، لأن مصادقة CHAP ستتعرض للخطر بسبب إرسال PAP لكلمة المرور بنص عادي وواضح غير مشفر.

CHAP - بروتوكول المصادقة بتحدي التصافح عدل

تتم تهيئة عملية المصادقة في هذا البروتوكول دائماً بواسطة الخادم / المضيف ويمكن تنفيذها في أي وقت أثناء الجلسة، وحتى بشكل متكرر. خادم يرسل سلسلة عشوائية (عادة تأتي بطول 128B). يستخدم العميل كلمة المرور والسلسلة المستلمة كمعلمات لوظيفة تجزئة MD5 ثم يرسل النتيجة مع اسم المستخدم في نص عادي. يستخدم الخادم اسم المستخدم لتطبيق نفس الوظيفة ويقارن التجزئة المحسوبة والمستلمة. المصادقة ستكون ناجحة أو غير ناجحة.

EAP - بروتوكول المصادقة القابل للتوسيع عدل

تم تطوير EAP في الأصل من أجل PPP (بروتوكول نقطة إلى نقطة) ولكن اليوم يستخدم على نطاق واسع في IEEE 802.3 أو IEEE 802.11 (WiFi) أو IEEE 802.16 كجزء من إطار المصادقة IEEE 802.1x . الإصدار الأحدث موحد في RFC 5247 . تتمثل ميزة EAP في أنها مجرد إطار مصادقة عام لمصادقة خادم العميل - يتم تحديد طريقة المصادقة المحددة في إصداراتها العديدة المسماة أساليب EAP. يوجد أكثر من 40 طريقة EAP ، والأكثر شيوعاً هي:

EAP-MD5
EAP-TLS
EAP-TTLS
EAP-FAST
EAP- PEAP

البروتوكولات المعمارية AAA (المصادقة، التفويض، المحاسبة) عدل

البروتوكولات المعقدة المستخدمة في الشبكات الأكبر للتحقق من المستخدم (المصادقة)، والتحكم في الوصول إلى بيانات الخادم (التخويل) ومراقبة موارد الشبكة والمعلومات اللازمة لفوترة الخدمات (المحاسبة).

TACACS ، XTACACS و TACACS + عدل

أقدم بروتوكول AAA يستخدم المصادقة المستندة إلى IP دون أي تشفير (تم نقل أسماء المستخدمين وكلمات المرور كنص عادي). أضاف الإصدار الأحدث XTACACS (Extended TACACS) التفويض والمحاسبة. تم استبدال كلا البروتوكولين لاحقاً بـ TACACS +. يفصل TACACS + بين مكونات AAA ، وبالتالي يمكن فصلها ومعالجتها على خوادم منفصلة (حتى يمكنها استخدام بروتوكول آخر على سبيل المثال التخويل). يستخدم TCP (بروتوكول التحكم في النقل) للنقل ويقوم بتشفير الحزمة بأكملها. TACACS + هي ملكية لشركة سيسكو الأمريكية للشبكات.

بروتوكول نصف القطر (RADIUS) عدل

خدمة المستخدم لمصادقة الاتصال عن بُعد (RADIUS) عبارة عن بروتوكول AAA كامل يشيع استخدامه من قِبل مزود خدمة الإنترنت. معظم بيانات الاعتماد تعتمد على تركيبة اسم المستخدم وكلمة المرور، وهي تستخدم بروتوكول NAS وUDP للنقل.^[7]

قطر الدائرة (DIAMETER) عدل

تم تطوير بروتوكول قطر الدائرة (DIAMETER) من RADIUS ويتضمن العديد من التحسينات مثل استخدام بروتوكول نقل TCP أو SCTP أكثر موثوقية وأمان أعلى بفضل TLS.^[8]

بروتوكولات أخرى عدل

مخطط مصادقة Kerberos

Kerberos (بروتوكول) عدل

Kerberos هو نظام مصادقة مركزي للشبكة تم تطويره في معهد ماساتشوستس للتكنولوجيا ومتاح كتطبيق مجاني من معهد ماساتشوستس للتكنولوجيا ولكن أيضاً متاح في العديد من المنتجات التجارية. إنها طريقة المصادقة الافتراضية في نظام التشغيل Windows 2000 والإصدارات الأحدث. عملية المصادقة نفسها أكثر تعقيداً مما كانت عليه في البروتوكولات السابقة - حيث يستخدم Kerberos تشفير المفتاح المتماثل، ويتطلب طرفاً موثوقاً به ويمكنه استخدام تشفير المفتاح العام أثناء مراحل معينة من المصادقة إذا لزم الأمر.^[9]^[10]^[11]

قائمة بروتوكولات المصادقة المختلفة عدل

AKA
المصادقة المستندة إلى CAVE
الإلزام MD5
استوعب
بروتوكول هوية المضيف (HIP)
مدير الشبكة المحلية
NTLM ، المعروف أيضاً باسم NT LAN Manager
بروتوكول OpenID
بروتوكولات اتفاقية مفتاح مصادقة بكلمة مرور
بروتوكول حمل المصادقة للوصول إلى الشبكة (PANA)
بروتوكول كلمة مرور آمنة عن بعد (SRP)
بروتوكولات مصادقة RFID
وو لام 92 (البروتوكول)
SAML

إنظر أيضاً عدل

مرسل الحزم

المراجع عدل

^ Duncan، Richard (23 أكتوبر 2001). "An Overview of Different Authentication Methods and Protocols". www.sans.org. SANS Institute. مؤرشف من الأصل في 2018-07-26. اطلع عليه بتاريخ 2015-10-31.
^ Shinder، Deb (28 أغسطس 2001). "Understanding and selecting authentication methods". www.techrepublic.com. مؤرشف من الأصل في 2018-07-17. اطلع عليه بتاريخ 2015-10-30.
^ van Tilborg، Henk C.A. (2000). Fundamentals of Cryptology. Massachusetts: Kluwer Academic Publishers. ص. 66–67. ISBN:0-7923-8675-2.
^ Smith، Richard E. (1997). Internet Cryptography. Massachusetts: Addison Wesley Longman. ص. 1–27. ISBN:0-201-92480-3.
^ Halevi، Shai. "Public-key cryptography and password protocols". citeseerx.ist.psu.edu. مؤرشف من الأصل في 2016-03-05. اطلع عليه بتاريخ 2015-10-31.
^ Vanek، Tomas. "Autentizacní telekomunikacních a datových sítích" (PDF). CVUT Prague. مؤرشف من الأصل (PDF) في 2016-03-04. اطلع عليه بتاريخ 2015-10-31.
^ "AAA protocols". www.cisco.com. CISCO. مؤرشف من الأصل في 2017-04-29. اطلع عليه بتاريخ 2015-10-31.
^ Liu، Jeffrey (24 يناير 2006). "Introduction to Diameter". www.ibm.com. IBM. مؤرشف من الأصل في 2017-07-05. اطلع عليه بتاريخ 2015-10-31.
^ "Kerberos: The Network Authentication Protocol". web.mit.edu. MIT Kerberos. 10 سبتمبر 2015. مؤرشف من الأصل في 2019-08-05. اطلع عليه بتاريخ 2015-10-31.
^ Schneier، Bruce (1997). Applied Cryptography. New York: John Wiley & Sons,Inc. ص. 52–74. ISBN:0-471-12845-7.
^ "Protocols of the Past". srp.stanford.edu. Stanford University. مؤرشف من الأصل في 2018-03-09. اطلع عليه بتاريخ 2015-10-31.

بروتوكول المصادقة في المشاريع الشقيقة:

صور وملفات صوتية من كومنز.

بوابة أمن المعلومات

[1] Duncan، Richard (23 أكتوبر 2001). "An Overview of Different Authentication Methods and Protocols". www.sans.org. SANS Institute. مؤرشف من الأصل في 2018-07-26. اطلع عليه بتاريخ 2015-10-31.

[2] Shinder، Deb (28 أغسطس 2001). "Understanding and selecting authentication methods". www.techrepublic.com. مؤرشف من الأصل في 2018-07-17. اطلع عليه بتاريخ 2015-10-30.

[3] van Tilborg، Henk C.A. (2000). Fundamentals of Cryptology. Massachusetts: Kluwer Academic Publishers. ص. 66–67. ISBN:0-7923-8675-2.

[4] Smith، Richard E. (1997). Internet Cryptography. Massachusetts: Addison Wesley Longman. ص. 1–27. ISBN:0-201-92480-3.

[5] Halevi، Shai. "Public-key cryptography and password protocols". citeseerx.ist.psu.edu. مؤرشف من الأصل في 2016-03-05. اطلع عليه بتاريخ 2015-10-31.

[6] Vanek، Tomas. "Autentizacní telekomunikacních a datových sítích" (PDF). CVUT Prague. مؤرشف من الأصل (PDF) في 2016-03-04. اطلع عليه بتاريخ 2015-10-31.

[7] "AAA protocols". www.cisco.com. CISCO. مؤرشف من الأصل في 2017-04-29. اطلع عليه بتاريخ 2015-10-31.

[8] Liu، Jeffrey (24 يناير 2006). "Introduction to Diameter". www.ibm.com. IBM. مؤرشف من الأصل في 2017-07-05. اطلع عليه بتاريخ 2015-10-31.

[9] "Kerberos: The Network Authentication Protocol". web.mit.edu. MIT Kerberos. 10 سبتمبر 2015. مؤرشف من الأصل في 2019-08-05. اطلع عليه بتاريخ 2015-10-31.

[10] Schneier، Bruce (1997). Applied Cryptography. New York: John Wiley & Sons,Inc. ص. 52–74. ISBN:0-471-12845-7.

[11] "Protocols of the Past". srp.stanford.edu. Stanford University. مؤرشف من الأصل في 2018-03-09. اطلع عليه بتاريخ 2015-10-31.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]