Algoritmy autentizace v distribuovaných systémech

Podobné dokumenty
Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Uživatelská dokumentace

Dokumentace. k projektu Czech POINT. Popis použití komerčního a kvalifikovaného certifikátu

REGISTRACE A SPRÁVA UŽIVATELSKÉHO ÚČTU

SSL Secure Sockets Layer

Autentizace webových aplikací z pohledu NEbezpečnosti. Oldřich Válka Security

Bezpečnost internetového bankovnictví, bankomaty

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

POKYNY K REGISTRACI PROFILU ZADAVATELE

BI-VWS. Vybrané partie z administrace Webového Serveru Autetizace, autorizace a kontrola přístupu Apache httpd

.password xklima:$apr $l sbbajg$ruuy FCr urjfjsvlehsf/ Přídání hesla htpasswd.exe -c c:\www_root\vyuka\autentizace\apache\.

Jednotný identitní prostor Provozní dokumentace

Datové schránky. Technická specifikace. Vytvořeno dne: Aktualizováno: Verze: Software602, a.s.

Ing. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal. Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni

PHP a bezpečnost. nejen veřejná

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

Federativní přístup k autentizaci

[ 1 ] Ing. Tomáš Melen náměstek pro informatiku a ekonomiku 2009 Státní ústav pro kontrolu léčiv

Použití Single Sign On (SSO) v IBM Informix Serveru

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

Aktivace RSA ověření

1.1. Základní informace o aplikacích pro pacienta

IMPLEMENTACE AUTENTIZACE COSIGN V PHP

mbank.cz mtransfer Okamžitá notifikace o mtransferu Dokumentace pro externího partnera

Jednoduchý návod. Registrace klienta CERTIFIED SYSTEM ISO 9001:2000 ISO 14001:2004

IP telephony security overview

Registrace a aktivace uživatelského profilu k přístupu do systému erecept pro pacienta

Autorizační systém Uživatelská příručka pro Samoobslužnou aplikaci

KAPITOLA 22. Autentizace Windows

Technické řešení. Poskytování časových razítek. v. 1.0

Návrh a implementace bezpečnosti v podnikových aplikacích. Pavel Horal

Už ivatelska dokumentace

Západočeská univerzita v Plzni FAKULTA PEDAGOGICKÁ KATEDRA VÝPOČETNÍ A DIDAKTICKÉ TECHNIKY

Dokumentace. k projektu Czech POINT Provozní řád. Rychlý znalostní kvíz a doplnění informací

HTTP protokol. Zpracoval : Petr Novotný

Autorizační systém Uživatelská příručka pro Samoobslužnou aplikaci

Uživatelská dokumentace

INFORMAČNÍ SYSTÉMY NA WEBU

JSON API pro zjišťování cen MtG karet

Multichannel Entry Point. Technologický pohled na nové přístupy k autentizaci v přímých bankovních kanálech

Artlingua Translation API

Příručka uživatele. Registrace a přihlášení uživatele do portálu IS KP 14+ Aplikace MS2014+

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Mobilita a roaming Možnosti připojení

Manuál pro implementaci služby PLATBA 24. Datum: 17. prosince 2014 Verze: 1.49

Správa přístupu PS3-1

Přístup do cloudu ESO9 z OS Windows

Certifikáty pro autentizaci PKI-SILNA-AUTENTIZACE (např. vzdálený přístup, MNP, P2000 ) Aktivace a obnova uživatelem

Postup při registraci (autentizaci) OVM do informačního systému evidence přestupků (ISEP)

On-line dražební systém EDEN návod k použití

WWW technologie. HTTP protokol

Provozní dokumentace. Seznam orgánů veřejné moci. Přihlášení do Agendového informačního systému Registru práv a povinností

DATOVÉ STANDARDY PRO WEB 2.0. OpenID, OpenAuth, XFN, mikroformáty a další...

Digitální identita Moderní přístup k identifikaci klienta. Pavel Šiška, Štěpán Húsek, Deloitte Digital - Technology Services

Sdílení uživatelských identit. Petr Žabička, Moravská zemská knihovna v Brně

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

Testovací protokol. 1 Informace o testování. 2 Testovací prostředí. 3 Vlastnosti generátoru klíčů. Příloha č. 13

Instalační manuál aplikace

isource Představení pro dodavatele 3. březen, 2016

Informační systém pro e-learning manuál

BRICSCAD V15. Licencování

ERP-001, verze 2_10, platnost od

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů. Digitální důvěra. Jiří Smítka

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

Příručka nastavení funkcí snímání

Nastavení skenování do u Technický průvodce

PDS. Obsah. protokol LDAP. LDAP protokol obecně. Modely LDAP a jejich funkce LDIF. Software pro LDAP. Autor : Petr Štaif razzor_at

Použití čipových karet v IT úřadu

Výměna pokladních certifikátů pro evidenci tržeb

Centrální portál knihoven

Microsoft Windows Server System

Certifikáty a jejich použití

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Google Apps. Administrace

SMĚRNICE. Certifikační politika k certifikátu šifrování dat pro pracovníka PČS nebo externího uživatele PKI-PČS

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Elektronická podpora výuky předmětu Komprese dat

Provozní dokumentace. Seznam orgánů veřejné moci. Příručka pro běžného uživatele

SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE. Roman Pudil, SOITRON

Ekoškola - manuál pro správce školy

Certifikáty a jejich použití

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 2. Zadavatel: Název veřejné zakázky: Česká republika Ministerstvo zemědělství

Národní elektronický nástroj. Import profilu zadavatele do NEN

OAuth 2. Martin Kuba, ÚVT MU

STORK Secure Identity Across Borders Linked

On-line dražební systém EDEN návod k použití

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.


Provozní dokumentace. Seznam orgánů veřejné moci. Příručka pro běžného uživatele

API pro službu mobilem.cz, verze XML 5.04

Směry rozvoje v oblasti ochrany informací KS - 7

Dokumentace ke službě SMS Connect.

Uživatelská příručka MWA Modul Podpora vzdálených kalibrací dle ILAC

Reranking založený na metadatech

SMĚRNICE. Certifikační politika k certifikátu pro elektronický podpis a ověření pracovníka PČS nebo externího uživatele PKI-PČS Číselná řada: 5/2006

Technická specifikace Platební brána IBS

Transkript:

Názvosloví Známé / používané systémy Závěr ZČU / FAV / KIV 11. prosince 2009

Názvosloví Známé / používané systémy Závěr Obsah 1 Názvosloví 2 Známé / používané systémy OpenID Web-auth LDAP Kerberos 3 Závěr

Názvosloví Známé / používané systémy Závěr Obsah 1 Názvosloví 2 Známé / používané systémy OpenID Web-auth LDAP Kerberos 3 Závěr

Názvosloví Známé / používané systémy Závěr Definice pojmu Autentizace znamená ověřování pravosti, autentický znamená původní, pravý, hodnověrný. Autentizace patří k bezpečnostním opatřením a zajišt uje ochranu před falšováním identity (anglicky impersonation, maskarade), kdy se subjekt vydává za někoho, kým není. Rozlišujeme autentizaci entity (osoby, programu) a autentizaci zprávy.

Názvosloví Známé / používané systémy Závěr Varianty varianta původ stejná koncovka autentizace němčina absolutizace, aklimatizace,... autentikace angličtina implikace, indikace, intoxikace,... autentifikace francoužština diskvalifikace, falzifikace,...

Názvosloví Známé / používané systémy Závěr Autentizace vs. autorizace Pozor! Neplést autentizaci s pojmem autorizace! Definice autorizace Postup, vedoucí k poskytnutí nebo odmítnutí přístupu na základě práv přidělených autoritou. Zpravidla mu předchází autentizace, tedy ověření identity.

Názvosloví Známé / používané systémy Závěr Závěr Wikipedie se snaží propagovat autentizace. Na variantě nezáleží, důležité je používat v celém článku jednu variantu.

Obsah 1 Názvosloví 2 Známé / používané systémy OpenID Web-auth LDAP Kerberos 3 Závěr

Něco o OpenID K listopadu 2008, existovalo 500 millionů OpenID identit a přibližně 27,000 OpenID enabled stránek. Známí poskytovatelé - AOL, VeriSign, WordPress.com, myopenid.com, Yahoo!, SourceForge, Google, Facebok, seznam.cz Systémy využívající OpenID - Drupal, WordPress,...

1 Uživatel navštíví OpenID enabled stránku. Například: http://stackoveflow.com. Web zobrazí formulář požadující OpenID identitu.

2 Uživatel zadá svojí identitu. Například: picca.myopenid.com. Uživatel odešle formulář.

3 Server se koukne na URL, kterou zadal uživatel. Neboli na http://picca.myopenid.com.

4 Server zjistí umístění OpenID providera z meta tagů ve stránce: <link rel="openid.server"href="http://myopenid.com/server"/>

5 Webserver vyšle požadavek OpenID providerovi metodou POST. Stroje si vytvoří heslo na základě Deffie-Hellmanova algoritmu pro výměnu kĺıčů: openid.mode openid.assoc type openid.session type openid.dh consumer public openid.dh modulus openid.dh gen associate HMAC-SHA1 DH-SHA1 really big BASE64 number really big BASE64 number Ag==

6 Provider poskytne assoc handle a čas vypršení pro budoucí dotazy. Tyto dva nyní mají ustanoveno heslo, o kterém si povídali jen oni dva: assoc handle HMAC-SHA1 47b0ec92 5hMN8A== assoc type HMAC-SHA1 dh server public really big BASE64 number enc mac key big BASE64 number expires in 1209600 session type DH-SHA1

7 Webserver odpoví klientovi přesměrováním na OpenID providera. V tomto přesměrování také uvede položky, které ho zajímají. openid.mode openid.identity openid.return to openid.trust root openid.assoc handle openid.sreg.required openid.sreg.optional openid.sreg.policy url checkid setup http://picca.myopenid.com/ http://stackoverflow.com/cp/login.aspx? &nonce=vovudmla http://stackoverflow.com/cp HMAC-SHA1 47b0ec92 5hMN8A== gender,postcode,timezone email,country

8 Uživatel je nyní na webu OpenID peovidera a provede autentizaci na tomto serveru.

9 OpenID provider přesměruje uživatele zpět na původní webovou stránku. Webová stránka nyní má vše potřebné pro zalogování uživatele. nonce openid.assoc handle openid.identity openid.mode openid.op endpoint openid.response nonce openid.return to openid.sig openid.signed openid.sreg.country vovudmla HMAC-SHA1 47b0ec92 5hMN8A== http://picca.myopenid.com/ id res http://www.myopenid.com/server 2008-02-12T00:47:53ZyUUam3 http://stackoverflow.com/cp/login.aspx? nonce=vovudmla EpvWdJtxacv2WtCaZLbud85M84k= assoc handle, identity, mode, op endpoint, response nonce, return to, signed, sreg.country, sreg.email CZ

Zabezpečení assoc handle, který je vytvořen v krocích 5 a 6. openid.sig použitý v kroku 9 obsahuje digitální podpis parametrů openid.signed za pomocí vykomunikovaného hesla. nonce je možné použít pouze jednou, tudíž není možné jeden požadavek použít 2.

Co je WebAuth? WebAuth je nadstavba nad Kerberos autentizační mechanizmus v HTTP cookies. Implementuje single-sign-on. Návětěvník webových stránek je po jednom přihlášení přihlášen na všech webech v doméně SSO. Používá HTTP/SSL k ochraně dat v obou směrech. Jak mezi webserverem-uživatelem, tak mezi webserverem-webauth serverem.

První přístup na SSO

Neověřený uživatel přistupuje k webové aplikaci chráněné WebAuthem.

mod webauth detekuje, že uživatel dosud nevlastní aplikační token (neobdrží od něj aplikační cookie) a vytvoří tzv. request-token pro id-token. Request-token obsahuje informace jako jsou návratové (resp. původně dotazované) URL, požadovaný typ tokenu, atp. Request-token je zakryptován použitím AES session-kĺıčem sdíleným mezi aplikačním serverem a WebKDC (login-server) získaným z webkdc-service-tokenu.

mod webauth pak vytvoří redirekt na WebKDC, jenž obsahuje request-token v parametrech URL.

Redirekt způsobí přesměrování uživatelova prohĺıžeče na WebKDC spolu s vygenerovaným request-tokenem. Žádné cookie není zasláno na WebKDC (zatím žádné uživatel nemá).

WebKDC následně rozkryptuje request-token. Zkontroluje čas vytvoření, za účelem ověření, zda je dostatečně čerstvý a pošle zpět uživatelskému prohĺıžeči přihlašovací formulář. Request-token je uložen ve skryté položce tohoto formuláře.

Uživatel zadá své přihlašovací jméno a heslo a odešle data formuláře zpět ke zpracování na WebKDC.

WebKDC ověří zadané jméno a heslo a také skutečnost, zda aplikační server, který požaduje ověření uživatele má povolení vyžadovat id-token. Předpokládejme, že přihlašovací jméno a heslo jsou správná, pak WebKDC vytvoří cookie, do kterého uloží proxy-token a id-token (obsah cookie je kryptován privátním AES-kĺıčem WebKDC).Stránka s potvrzením, že ověření proběhlo v pořádku, je následně zaslána do uživatelského prohĺıžeče obsahující odkaz na původně požadovanou stránku.

Uživatelský prohĺıžeč znovu přistoupí na původně požadovanou stránku a v URL parametrech je předán také id-token (identita) uživatele.

mod webauth si z požadavku převezme id-token a následně zkontroluje, zda je čerstvý. Pokud je vše v pořádku, pak přepíše id-token na aplikační-token a uloží jej do cookie pro další použití. Nakonec je token odstraněn z URL (již není zapotřebí aplikace věří předkládanému cookie, které je kryptované jejím privátním AES kĺıčem).

Každý další server v rámci SSO

WebAuth prakticky Nastavení Apache WebAuthLoginURL https://webkdc.zcu.cz/login.fcgi WebAuthWebKdcURL https://webkdc.zcu.cz/webkdc-service/ WebAuthWebKdcPrincipal webkdc/webkdc WebAuthKeyring /etc/webauth/keyring WebAuthKeyringAutoUpdate on WebAuthKeyringKeyLifetime 30d WebauthKeytab /etc/webauth/keytab WebAuthServiceTokenCache /etc/webauth/service token.cache Úprava (PHP) aplikace $ SERV ER[ REMOT E USER ];

Anonymní autentizace Jednoduchá autentizace pomocí DN a hesla (atributu userpassword). Tuto autentizaci je možno provádět i na bezpečném kanále TLS/SSL. V tomto případě nejprve dojde k výměně certifikátů obou stran (serveru i klienta). Teprve po ověření těchto certifikátů dojde k otevření spojení a vyvolání operace bind. Proxy autentizace využívá existence definovaného uživatele, který má právo nahĺıžet na hesla ostatních uživatelů. PKI autentizace založená na principu PKI digitálních certifikátů, které jsou uloženy v definovaném atributu usercertificate. Při pokusu o autentizaci je uživatel požádán o zadání svého hesla a autentizován je po srovnání digitálních certifikátů na straně klieta a serveru. SASL mechanizmus disponuje množstvím zásuvných modulů, které můžeme využít pro autentizaci uživatele.

Autentizace v kerberu 1 Klient pošle plain-textovou zprávu uživatelského ID autentizačnímu serveru (AS). Tento vygeneruje hash uživatelova hesla, který má v databázi. Tento hash bude považován za secret key klienta. 2 AS pošle klientovi dvě zprávy: Session key zakódovaný pomocí secret key klienta. Ticket-Granting Ticket (ID klienta, IP klienta, dobu platnosti a Session key. To vše zakódovano kĺıčem Ticket Granting Serveru (TGS) 3 Klient může rozšifrovat pouze první zprávu, která mu slouží ke komunikaci s TGS.

Názvosloví Známé / používané systémy Závěr Obsah 1 Názvosloví 2 Známé / používané systémy OpenID Web-auth LDAP Kerberos 3 Závěr

Názvosloví Známé / používané systémy Závěr Těm co nespí, děkuji za pozornost.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář