پروتکل های احراز هویت

ساده‌ ترین و البته پرکاربرد ترین روش احراز هویت استفاده از نام کاربری و رمز عبور یا همان Username و Password می باشد. احراز هویت با رمز عبور به عنوان ضعیف‌ ترین شکل حفاظت محسوب می شود. رمزهای عبور ممکن است افشا شوند و به همین دلیل بایستی از آنها محافظت شود.

مراحل احراز هویت

در بعضی موارد وسیله‌ای برای احراز هویت وجود دارد، که این وسیله معمولاً بعنوان Smartcard، در قالب قفل ها یا Token های USB و یا سایر مواردی از این قبیل می باشد. کاربر برای احراز هویت حتماً باید این وسیله را همراه خود داشته باشد. برای احراز هویت شدن در چنین روشی کاربر می بایست Smartcard یا Token خود را در دستگاهی که ویژه احراز هویت طراحی شده است وارد کند.

Token

توکِن امنیتی یا نشانه امنیتی (Security Token) سخت‌افزاری کوچک است که برای ورود کاربر یک سرویس رایانه‌ای به سامانه به‌کار می‌رود. به عبارت دیگر، این دستگاه، یک دستگاه فیزیکی است که در اختیار کاربران مجاز قرار می‌گیرد تا به راحتی هنگام استفاده از یک سیستم کامپیوتری هویت آن‌ها تشخیص داده شود. معمولا با روش دیگری، مانند کلمه عبور همزمان مورد استفاده قرار می گیرند. (Multi factor Authentication)

انواع توکن

1. توکن‌های رمز عبور ایستا
2. توکن‌های رمزهای عبور پویای همگام
3. توکن‌های رمزهای عبور پویای ناهمگام

پروتکل های احراز هویت

۱- LDAP یا Lightweight Directory Access Protocol
LDAP روش استانداردی برای دسترسی و به روزرسانی فهرست های (دایرکتوری‌ های) توزیع شده (Distributed) ارائه می‌دهد.

۲- PAP یا PasswordAuthenticationProtocol
این پروتکل به عنوان راهکاری جایگزین به جای پروتکل Serial Line Interface Protocol یا SLIP ایجاد شد تا سرورهای ریموت مثل ISP ها به شیوه ای بهتر اتصال پیدا کنند. هرچند که یک ضعف بزرگ در PAP وجود دارد و آن ارسال پسوردها یا PIN ها در شبکه به صورت متن ساده می باشد. اگر شخصی بسته های ارسالی و دریافتی را در مسیر شنود کند بدون هیچ تلاشی می تواند پسوردها را استخراج نماید.

۳- SPAP یا Shiva Password Authentication Protocol
در این روش، رمزنگاری کلمه عبور انجام می شود و از این رو توسط نرم افزارهای شنود قابل مشاهده نیست. ولی راهکاری برای حملات Reply Attack ارائه نمی دهد.

۴-CHAP
۵-One-Time Passwords
۶-SAML
۷-Open ID
۸-Kerberos
یک پروتکل امنیتی برای احراز هویت در شبکه است که برای کاربران مجاز امکان ورود به شبکه پس از تایید هویت را فراهم می آورد. کاربران تیکت یا بلیط هایی را از مرکز توزیع کربروس (KDC) دریافت می کنند. پس از آن هنگامی که ارتباط با شبکه فراهم شد کاربران این بلیط ها را به سرور ارائه می کنند و در صورت تایید، مجوز ورود به شبکه فراهم می شود. بلیط های کربروس اعتبار کاربران شبکه را نشان می دهند.

۹-RADIUS
این پروتکل به طور متمرکز وظایف AAA را برای کاربران هنگام دسترسی به سرویس ها و منابع شبکه انجام می دهد. مورد استفاده در مدیریت کاربران از راه دور (VPN Users) است.

مدل های اصلی کنترل دسترسی

کنترل دسترسی اجباری (Mandatory Access Control): مدلی است ایستا که از یک سری سطوح دسترسی از پیش تعریف شده به فایل های روی سیستم تشکیل شده است و فقط Administrator مجوز تعیین سطح دسترسی را دارد.

کنترل های دسترسی احتیاطی (Discretionary Access Control): در این نوع مدل مالک منبع است که برای دیگران سطوح دسترسی را تعیین می کند.

کنترل های دسترسی بر اساس نقش (Role-Based Access Control): این نوع بر اساس نقش به کاربر این اجازه را می دهند که بر اساس یک سری سطوح دسترسی از پیش تعیین شده برای یک نقش در سازمان بتواند به منابع دسترسی داشته باشد. در این حالت هر شخص بر اساس نقشی که در یک سازمان ایفا می کند دسترسی های لازم را بدست خواهد آورد.

Attribute-based access control: در این روش می توان از مشخصات مختلف (مانند: Department, Location و .. ) در تعیین سطح دسترسی استفاده کرد.

SSO یا Single Sing On

قابلیت Single Sign On یا SSO برای برطرف کردن مشکل ورود کاربر با نامهای کاربری و رمزهای عبور متعدد به سیستم های مختلف برای دسترسی به منابع را برطرف می کند. یک کاربر برای پیدا کردن دسترسی به منابع مختلف در شبکه مجبور است تعداد زیادی رمز عبور را حفظ باشد و یا آنها را در جایی یادداشت کند که این رمز ها فراموش نشوند ، معمولا همین رمز ها هستند که توسط مهاجمین مورد سوء استفاده قرار می گیرند .

در ساختار SSO کاربر صرفا یک نام کاربری و رمز عبور یکتا در شبکه دارد که بلافاصله بعد از اینکه وارد یک سیستم در ساختار SSO شود می تواند از تمامی منابعی که برای او در شبکه تعریف شده است استفاده کند ، بدون نیاز به اینکه برای هر منبع اطلاعات نام کاربری و رمز عبور جدیدی وارد کند .