Home

Page 78
Page 78
background image

считаться   выполненным;   в   противном   случае   он   должен   быть   отвергнут. 
Заметим, что сервер может потребовать дополнительные аутентификации после 
успешного завершения данной аутентификации.

Алгоритмы   открытого   ключа   определены   в   спецификации   транспортного 

уровня.   Любой   алгоритм   открытого   ключа   из   данного   списка   может 
использоваться   для   аутентификации.   Подобный   список   не   является 
обязательным при переговорах об обмене ключа, но он влияет на то, для каких 
алгоритмов   сервер   имеет   открытый   ключ.   Если   сервер   не   поддерживает 
некоторый алгоритм, он должен просто отвергнуть запрос.

Для того чтобы пройти аутентификацию, клиент должен послать подпись, 

созданную   с  использованием   своего  закрытого  ключа.  Когда  сервер  получает 
данное сообщение, он должен убедиться, что предложенный ключ принимается 
для   аутентификации,   и   после   этого   проверить   корректность   подписи.   Если 
проверка   проходит,   то   данный   метод   считается   успешным.   При   этом   сервер 
может потребовать дополнительную аутентификацию.

Метод аутентификации с использованием пароля: password
При аутентификации с использованием пароля сервер посылает запрос на 

ввод имени и пароля пользователя. Сервер может потребовать от пользователя 
изменить   пароль.   Все   реализации   должны   поддерживать   аутентификацию 
паролем.

Для   пароля   применяется   кодировка   UTF-8.   Сервер   сам   решает,   как 

интерпретировать   пароль,   и   как   проверять   его   законность   в   базе   данных 
паролей.   Однако   если   пользователь   вводит   пароль   в   некоторой   другой 
кодировке,   клиентское   программное   обеспечение   должно   перед   пересылкой 
преобразовать   пароль   в   кодировку   UTF-8,   а   сервер   должен   преобразовать 
пароль в кодировку, используемую в данной системе для хранения паролей.

Пароль   передается   в   пакете   в   незашифрованном   виде,   но   весь   пакет 

шифруется   на   транспортном   уровне,   тем   самым   пароль   защищен   от 
просматривания   и   модификации.   И   сервер,   и   клиент   должны   проверять, 
обеспечивает   ли   нижний   транспортный   уровень   конфиденциальность,   т.е. 
используется   ли   шифрование.   Если   конфиденциальность   не   обеспечивается 
(шифрование   типа  none),   аутентификация   паролем   должна   быть   запрещена. 
Если нет конфиденциальности или МАС (контроля аутентичности), то изменение 
пароля должно быть запрещено.

Метод аутентификации на основе адреса хоста: hostbased
Некоторые   серверы   могут   разрешить   аутентификацию   на   основе   адреса 

хоста, с которого вошел пользователь, или на основании имени пользователя на 
удаленном   хосте.   Хотя   такая   форма   аутентификации   не   приемлема   для 
серверов, требующих высокой степени безопасности, это может оказаться очень 
удобно в изначально защищённой среде (сети). Данная форма аутентификации 
не является обязательной.

Клиент запрашивает данную форму аутентификации, посылая сообщение, 

аналогично UNIX способам аутентификации rhosts и hosts.equiv. Отличие от этих 
способов   аутентификации   состоит   в   том,   что   идентификация   хоста   клиента 
выполняется более строго.

Данный   метод   выполняется   следующим   образом:   клиент   посылает 

подпись, созданную закрытым ключом хоста клиента, которую сервер проверяет 
с помощью открытого ключа хоста клиента.

Сервер должен убедиться, что ключ хоста клиента принадлежит клиенту

хоста,   указанному   в   сообщении,   что   данному   пользователю   на   данном   хосте 
разрешен вход, и что подпись является действительной. При этом, сервер может 


Copyright © 2019 Файлообменник files.d-lan.dp.ua

Использование любых материалов сайта возможно только с разрешения автора.