Метод «запрос-ответ» используется в OC Windows при удаленной аутентификации пользователя, подключающегося к сетевым ресурсам общего пользования, с более старых ОС. При этом используется аутентификация с помощью хэша LANMAN. Схема данного метода представлена на рис. 6.4.
КЛИЕНТ |
СЕРВЕР |
(2)
(3)
(4)
Рис. 6.4. Реализация метода «запрос-ответ» в OC Windows
Шаг 1. Клиент запрашивает разрешение у сервера на подключение к
сетевому ресурсу общего пользования.
Шаг 2. Сервер отвечает случайным восьмибайтовым числом.
Шаг 3. У клиента открывается окно для ввода идентификатора и пароля.
Шаг 4. Клиент формирует 24-байтный ответ серверу на основе
следующего алгоритма:
Алгоритм формирования ответа
1. Пароль, введенный пользователем, хэшируется на стороне клиента с
помощью алгоритма хэширования LANMAN. В результате этого
формируется 16-байтовая свертка пароля.
2. Полученный 16-байтовый хэш разбивается на 3 блока по 56 бит.
Последний блок до 56 бит дополняется нулями.
F7 03 60 B3 34 CD 62 E5 – 17 94 A3 9B 8D 56 0A 25 |
F7 03 60 B3 34 CD 62 |
E5 17 94 A3 9B 8D 56 |
0A 25 00 00 00 00 00 |
Рис. 6.5. Разбивка хэша LANMAN на три блока
3. Пришедший от сервера 8-байтовый ответ шифруется 3 раза с помощью
трех ключей шифрования (представляющих собой три полученных на
шаге 2 блока хэша LANMAN) по алгоритму DES. В результате этого
формируется 24-байтный ответ, отправляемый серверу (рис. 6.6).
F7 03 60 B3 34 CD 62 |
0A 25 00 00 00 00 00 |
E5 17 94 A3 9B 8D 56 |
ключ ключ ключ
АЛГОРИТМ ШИФРОВАНИЯ DES |
8-байтовый запрос сервера 95 B6 2A D8 9C 38 21 67 |
4B 82 A7 D3 85 BE 04 17 – D9 F3 43 E8 62 B8 7A 36 – D7 13 5A F8 E4 9A B5 36 |
ОТВЕТ СЕРВЕРУ
Рис. 6.6. Алгоритм формирования ответа серверу
Шаг 5. Сервер, получив ответ от клиента, может проверить его корректность, а по результатам проверки подтвердить либо отклонить аутентификацию.
Кроме рассмотренных выше протоколов безопасной удаленной аутентификации пользователей, широкое распространение получил также протокол аутентификации Kerberos.
Защита от разрушающих программных воздействий