Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 20 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
20
Dung lượng
1,61 MB
Nội dung
Bài 7: Một số chủ đề an ninh mạng M BÀI 7: MỘTMMỘ SỐ CHỦ ĐỀ VỀ AN NINH MẠNG Nội dung Mục tiêu Nắm kiến trúc an ninh mạng IPsec với hai thành phần AH ESP Hiểu vai trị liên kết an tồn SA hỗ trợ phân phối khóa Nắm giao thức tầng vận chuyển SSL thủ tục Xem xét quy trình tốn điện tử an tồn IT201_Bai 7_2011.02.09.10.00_v0.1 An toàn IP, kiến trúc an ninh mạng Ipsec o Tiêu đề xác thực AH o Bao bọc tải trọng bảo mật ESP o Liên kết an toàn SA An ninh Web – Dịch vụ an toàn tầng vận chuyển SSL o Thủ tục bắt tay o Thủ tục ghi Thanh tốn điện tử an tồn SET Thời lượng học tiết 117 Bài 7: Một số chủ đề an ninh mạng TÌNH HUỐNG DẪN NHẬP Tình Có giao thức bảo mật dùng cho nhiều ứng dụng suốt với người sử dụng khơng? Trên mạng Internet có nhiều tin tặc khó bảo vệ việc trao đổi thơng tin cách an tồn Có giải pháp hỗ trợ cách hiệu không? Muốn chống việc phá hoại Website công ty cần sử dụng giao thức bảo mật nào? Câu hỏi Khi cơng tác tơi vào mạng cục công ty để xem cập nhật thông tin cách an tồn khơng? Dịch vụ an ninh Web cung cấp khả an ninh nào? Khi mua hàng mạng thẻ, liệu người bán có biết thơng tin tài khoản mật không? 118 IT201_Bai 7_2011.02.09.10.00_v0.1 Bài 7: Một số chủ đề an ninh mạng 7.1 An toàn IP Có nhiều ứng dụng an ninh chuyên biệt như: S/MIME, PGP, Kerberos, SSL/HTTPS Tuy nhiên có chế an ninh mà xuyên suốt nhiều tầng ứng dụng chế an ninh IP cài đặt mạng cho ứng dụng Chẳng hạn doanh nghiệp sử dụng mạng TCP/IP riêng không cho phép liên kết với trang khơng tin cậy, mã hóa gói tin gửi xác thực gói tin đến An toàn mức IP thực ba chức chính: xác thực, bảo mật quản trị khóa 7.1.1 IPSec IPSec chế an ninh IP tổng quan Nó cung cấp: xác thực, bảo mật quản trị khoá IPSec dùng mạng LAN, mạng WAN riêng chung mạng Internet Lợi ích IPSec: Khi IPSec cài đặt tường lửa/router, cung cấp an tồn mạnh cho việc truyền tin qua vành đai IPSec tường lửa chống luồng tin từ bên vào qua IPSec nằm tầng vận chuyển nên suốt với ứng dụng Không cần thiết phải thay đổi phần mềm hệ thống máy chủ người sử dụng IPSec suốt với người sử dụng đầu cuối Nó cung cấp an toàn cho người sử dụng riêng biệt, họ truy cập từ xa đến mạng công ty hay cần thiết lập mạng ảo an tồn cơng ty cho số ứng dụng quan trọng 7.1.2 Kiến trúc an ninh IP Đặc tả an ninh IP phức tạp, định nghĩa qua số chuẩn (RFC): bao gồm RFC 2401/2402/2406/2408 có nhiều chuẩn khác nhóm theo loại Hỗ trợ đặc tính bắt buộc IP6 tuỳ chọn với IP4 Trong hai trường hợp đặc tính bảo mật cài đặt phần mở rộng tiêu đề nối tiếp tiêu đề IP chính: Tiêu đề xác thực (AH – Authentication Header) tiêu đề mở rộng dùng cho xác thực Bao bọc tải trọng bảo mật (ESP – Encapsulating Security Payload) tiêu đề mở rộng dùng cho mã hóa 7.1.2.1 Dịch vụ IPSec IPSec nhằm đạt mục đích sau: kiểm sốt truy cập, tồn vẹn khơng kết nối, xác thực nguồn gốc liệu, từ chối tải lại gói (đây dạng toàn vẹn liên kết phần), bảo mật (mã hố), bảo mật dịng lưu lượng giới hạn 7.1.2.2 Liên kết an tồn Khái niệm khóa xuất hai chế xác thực bảo mật cho IP liên kết an toàn Đây quan hệ chiều người gửi người nhận mà cung cấp dịch vụ an ninh cho luồng vận chuyển xác định tham số: Chỉ số tham số bảo mật (SPI): xâu bit gắn với liên kết, cho phép hệ thống nhận tin lựa chọn liên kết để xử lý Địa IP đích Định danh giao thức bảo mật: rõ liên kết AH hay ESP IT201_Bai 7_2011.02.09.10.00_v0.1 119 Bài 7: Một số chủ đề an ninh mạng Ngoài có số tham số khác như: số dãy (sequence number), thông tin tiêu đề xác thực tiêu đề mở rộng AH & EH, thời gian sống Có lưu trữ sở liệu liên kết an toàn Kiến trúc IPSec 7.1.2.3 Tiêu đề xác thực (Authentication Header - AH) AH cung cấp hỗ trợ cho toàn vẹn liệu xác thực gói IP: Hệ thống đầu cuối/chuyển mạch xác thực người sử dụng/ứng dụng Ngăn công theo dõi địa việc theo dõi số dãy chống công tải lại AH dựa sử dụng MAC: HMAC–MD5–96 HMAC – SHA -1-96 Tiêu đề xác thực Next Header - Tiêu đề (8 bit): xác định kiểu tiêu đề tiêu đề 120 IT201_Bai 7_2011.02.09.10.00_v0.1 Bài 7: Một số chủ đề an ninh mạng Payload Length - Độ dài tải trọng (8 bit): chiều dài tiêu đề xác thực dạng từ 32 bit, trừ Ví dụ chiều dài mặc định trường liệu xác thực 96 bit tức từ 32 bit Cộng với phần cố định từ tiêu đề, có tổng cộng từ tiêu đề trường độ dài tải trọng sau trừ có giá trị Reserved - để dành (16 bit) sử dụng sau SPI - số tham số bảo mật xác định liên kết bảo mật Sequence Number – dãy số (32 bit): giá trị dãy đếm đơn điệu tăng, dùng để phát việc gửi lại gói tin Authentication Data – giá trị dùng để kiểm tra tính tồn vẹn gói liệu nhận Trong hình vẽ sau hai cách mà dịch vụ IPSec xác thực dùng IPv4 IPv4 Orig IP hdr Orig IP hdr TCP Data Extension headers TCP (if present) Data Trước áp dụng IPSec Trường hợp đầu, xác thực cung cấp trực tiếp hai trạm server client Hai bên chia sẻ khóa mật, sử dụng SA dạng vận chuyển Authenticated except for mutable fields IPv4 Orig IP hdr TCP Data Authenticated except for mutable fields IPv4 Orig IP hdr Extension headers TCP (if present) Data Chế độ vận chuyển cho xác thực tiêu đề Đối với AH chế độ vận chuyển sử dụng IP4, AH chèn sau tiêu đề IP gốc Còn với IP6, AH xem tải trọng đầu cuối, tức không bị kiểm tra xử lý chuyển mạch trung gian Xác thực bao trùm toàn gói, trừ trường thay đổi đặt để tính MAC Authenticated except for mutable fields in the new IP header IPv4 New IP hdr AH Orig IP hdr TCP Data Authenticated except for mutable fields in the new IP header Ipv6 New IP hdr Ext headers AH Orig IP Ext headers TCP Data Chế độ đường hầm cho xác thực tiêu đề IT201_Bai 7_2011.02.09.10.00_v0.1 121 Bài 7: Một số chủ đề an ninh mạng Đối với AH chế độ đường hầm, tồn gói tin IP gốc xác thực AH chèn tiêu đề IP gốc tiêu đề IP (là địa tường lửa cổng an tồn đó) 7.1.2.4 Bao bọc tải trọng bảo mật (ESP) ESP đảm bảo bảo mật nội dung mẩu tin luồng vận chuyển giới hạn, có lựa chọn cung cấp dịch vụ xác thực AH hỗ trợ phạm vi rộng mã, chế độ mã đệm, bao gồm: DES, Triple DES, RC5, IDEA, CAST,… CBC chế độ khác Bộ đệm cần thiết để lấp đầy kích thước khối, trường cho luồng vận chuyển Chỉ số tham số bảo mật (SPI): xác định liên kết an toàn Sequence Number - dãy số (32 bit): giá trị đếm đơn điệu tăng, dùng để phát việc gửi lại gói tin Payload Data – liệu tải trọng gói tin (trong chế độ vận chuyển) gói IP (trong chế độ đường hầm) mã hóa Padding – đệm dùng để bổ sung vào rõ trước kho mã hóa Độ dài đệm Tiêu đề Dữ liệu xác thực trường có độ dài thay đổi chứa giá trị kiểm tra tính tồn vẹn tính dựa vào tồn ESP trừ trường liệu xác thực 7.1.2.5 Chế độ vận chuyển chế độ ống (đường hầm) cho ESP ESP sử dụng với chế độ: vận chuyển ống Trong chế độ ống không cần giữ tường minh địa đích Chế độ vận tải sử dụng để mã tuỳ chọn xác thực liệu IP: 122 IT201_Bai 7_2011.02.09.10.00_v0.1 Bài 7: Một số chủ đề an ninh mạng Dữ liệu bảo vệ phần đầu để rõ để biết địa đích Nếu lựa chọn xác thực có thêm ESP Authentication Data Kẻ phá hoại phân tích vận chuyển cách hiệu Là lựa chọn tốt ESP máy chủ vận chuyển tới máy chủ Chế độ ống mã tồn gói IP: Bổ sung tiêu đề mới, thêm phần xác thực lựa chọn Tại cổng chuyển tiếp trung gian kiểm tra xử lý tiêu đề IP phần rõ, giữ nguyên phần mã hóa Tốt cho mạng riêng ảo VPN (Virtual Private Network), cổng đến cổng an toàn 7.1.2.6 Kết hợp liên kết an toàn (SA – Secure Association) Các liên kết an tồn cài đặt qua AH ESP Để cài đặt hai cần kết hợp liên kết an tồn Tạo nên bó liên kết an tồn Có thể kết thúc điểm cuối khác Kết hợp chế độ vận chuyển kề ống lặp Tài liệu kiến trúc IPSec đưa bốn ví dụ kết hợp SA: Trường hợp 1: bảo mật cho hệ thống đầu cuối cài đặt IPSec chia sẻ khóa mật thích hợp Các liên kết có sau: AH chế độ vận chuyển ESP chế độ vận chuyển AH ESP chế độ vận chuyển Bất kỳ a, b c AH ESP chế độ đường hầm Trường hợp 2: bảo mật cổng (chuyển mạch, tường lửa,…) máy chủ không cài đặt IPSec Trường hợp mô tả mạng riêng ảo đơn giản Ở cần SA đường hầm với AH, ESP ESP với lựa chọn xác thực Không cần đường hầm lồng IT201_Bai 7_2011.02.09.10.00_v0.1 123 Bài 7: Một số chủ đề an ninh mạng Trường hợp 3: dựa trường hợp bổ sung bảo mật đầu cuối Liên kết bảo mật trường hợp 1, dùng Đường hầm từ cổng đến cổng cung cấp xác thực bảo mật hai cho luồng liệu hai đầu cuối Các máy chủ cài đặt IPSec với SA đầu cuối đến đầu cuối Trường hợp 4: hỗ trợ máy chủ xa sử dụng Internet tiếp cận tường lửa công ty để truy cập máy chủ Chỉ cần có đường hầm máy chủ từ xa tường lửa Có thể kết hợp số SA 7.1.2.7 Quản trị khoá Quản lý sinh khóa phân phối khóa bên trao đổi thơng tin, thơng thường cần hai cặp khố, khóa hướng cho AH ESP Trong chế Quản trị khóa thủ cơng, người quản trị hệ thống thiết lập cấu hình cho hệ thống Trong chế Quản trị khóa tự động: Hệ thống tự động dựa vào yêu cầu khóa cho liên kết an toàn hệ thống lớn Có thành phần thủ tục trao đổi khóa Oakley liên kết an toàn mạng ISAKMP 7.1.2.8 Oakley Oakley thủ tục trao đổi khoá, dựa trao đổi khóa Diffie-Hellman Ở bổ sung đặc trưng để khắc phục điểm yếu Cookies, nhóm (tham số tổng thể), số đặc trưng (Nonces), kết hợp trao đổi khóa Diffie Hellman với việc xác thực Có thể sử dụng số học trường số nguyên tố đường cong elip 7.1.2.9 ISAKMP ISAKMP liên kết an toàn Internet thủ tục quản trị khố Nó cung cấp khung để quản lý khố, xác định thủ tục định dạng gói để thiết lập, thỏa thuận, điều chỉnh xoá liên kết an toàn (SA – Secure Associations) ISAKMP độc lập với thủ tục trao đổi khố, thuật tốn mã hóa phương pháp xác thực Trao đổi tải trọng ISAKMP Có số kiểu tải trọng ISAKMP: an tồn, đề xuất, dạng vận chuyển, khoá, định danh, chứng nhận, hash, chữ ký, nonce xố ISAKMP có khung cho kiểu trao đổi mẩu tin: sở, bảo vệ định danh, xác thực, tích cực thơng tin 7.2 An ninh Web 7.2.1 Khái niệm Web ngày sử dụng rộng rãi cơng ty, phủ cá nhân, Internet Web có lỗ hổng lớn có nhiều mối đe dọa an tồn như: Tính tồn vẹn: sửa đổi liệu, ngựa thành Toroa, thay đổi nhớ Bảo mật: theo dõi mạng, thám từ máy chủ hay trạm, theo dõi luồng thông tin xem máy trạm liên hệ với máy chủ 124 IT201_Bai 7_2011.02.09.10.00_v0.1 Bài 7: Một số chủ đề an ninh mạng Từ chối dịch vụ: xóa luồng người sử dụng, làm tràn máy với đe dọa, làm tràn nhớ, cô lập máy để từ chối dịch vụ Xác thực: giả mạo người dùng hợp pháp, giả mạo liệu Như cần bổ sung chế bảo mật cho Web 7.2.2 SSL (Secure Socket Layer) SSL dịch vụ an toàn tầng vận chuyển, ban đầu phát triển Netscape Sau phiên thiết kế cho đầu vào công cộng trở thành chuẩn Internet, biết đến an toàn tầng vận chuyển TLS (Transport Layer Security) SSL sử dụng giao thức TCP để cung cấp dịch vụ đầu cuối đến đầu cuối tin cậy có tầng thủ tục Được phát triển Netscape, giao thức SSL sử dụng rộng rãi mạng Internet việc xác thực mã hóa thơng tin máy trạm máy chủ SSL sử dụng để hỗ trợ giao dịch an toàn cho nhiều ứng dụng khác Internet SSL giao thức đơn lẻ, mà tập thủ tục chuẩn hóa để thực nhiệm vụ bảo mật sau: Xác thực máy chủ: Cho phép người sử dụng xác thực máy chủ muốn kết nối Lúc này, phía browser sử dụng kỹ thuật mã hóa cơng khai để chắn chứng khóa cơng cộng máy chủ có giá trị cấp phát CA danh sách CA đáng tin cậy máy trạm Xác thực máy trạm: Cho phép phía máy chủ xác thực người sử dụng muốn kết nối Phía máy chủ sử dụng kỹ thuật mã hóa cơng khai để kiểm tra xem chứng khóa cơng cộng máy chủ có giá trị hay khơng cấp phát CA danh sách CA đáng tin cậy khơng Mã hóa kết nối: Tất thông tin trao đổi máy trạm máy chủ mã hóa đường truyền nhằm nâng cao khả bảo mật Hoạt động SSL Giao thức SSL hoạt động dựa hai nhóm giao thức giao thức “bắt tay” giao thức “bản ghi” Giao thức “bắt tay” xác định tham số giao dịch hai đối tượng có nhu cầu trao đổi thơng tin liệu, cịn giao thức “bản ghi” xác định khn dạng cho tiến hành mã hóa truyền tin hai chiều hai đối tượng Giao thức SSL “bắt tay” sử dụng SSL “bản ghi” để trao đổi số thông tin máy chủ máy trạm vào lần thiết lập kết nối SSL Một giao dịch SSL thường bắt đầu trình “bắt tay” hai bên Các bước q trình “bắt tay” sau: Máy trạm gửi cho máy chủ số phiên SSL dùng, tham số thuật toán mã hoá, liệu tạo ngẫu nhiên số thông tin khác mà máy chủ cần để thiết lập kết nối với máy trạm Máy chủ gửi cho máy trạm số phiên SSL dùng, tham số thuật toán mã hoá, liệu tạo ngẫu nhiên số thông tin khác mà máy trạm cần để thiết lập kết nối với máy chủ Ngoài máy chủ gửi chứng đến máy trạm yêu cầu chứng máy trạm cần Máy trạm sử dụng số thông tin mà máy chủ gửi đến để xác thực máy chủ Nếu máy chủ không xác thực người sử dụng cảnh báo kết nối IT201_Bai 7_2011.02.09.10.00_v0.1 125 Bài 7: Một số chủ đề an ninh mạng không thiết lập Cịn xác thực máy chủ phía máy trạm thực tiếp bước Sử dụng tất thông tin tạo giai đoạn bắt tay trên, máy trạm (cùng với cộng tác máy chủ phụ thuộc vào thuật toán sử dụng) tạo premaster secret cho phiên làm việc, mã hóa khóa cơng khai mà máy chủ gửi đến chứng bước gửi đến máy chủ Nếu máy chủ có u cầu xác thực máy trạm, phía máy trạm đánh dấu vào phần thông tin riêng liên quan đến trình “bắt tay” mà hai bên biết Trong trường hợp này, máy trạm gửi thông tin đánh dấu chứng với premaster secret mã hóa tới máy chủ Máy chủ xác thực máy trạm Trường hợp máy trạm không xác thực, phiên làm việc bị ngắt Còn máy trạm xác thực thành cơng, máy chủ sử dụng khóa bí mật để giải mã premaster secret, sau thực số bước để tạo master secret Máy trạm máy chủ sử dụng master secret để tạo khóa phiên, khóa đối xứng sử dụng để mã hóa giải mã thông tin phiên làm việc kiểm tra tính tồn vẹn liệu Máy trạm gửi lời nhắn đến máy chủ thông báo thơng điệp mã hóa khóa phiên Sau gửi lời nhắn mã hóa để thơng báo phía máy trạm kết thúc giai đoạn “bắt tay” Máy chủ gửi lời nhắn đến máy trạm thông báo thông điệp mã hóa khóa phiên Sau gửi lời nhắn mã hóa để thơng báo máy chủ kết thúc giai đoạn “bắt tay” Lúc giai đoạn “bắt tay” hoàn thành phiên làm việc SSL bắt đầu Cả hai phía máy trạm máy chủ sử dụng khóa phiên để mã hóa giải mã thơng tin trao đổi hai bên kiểm tra tính tồn vẹn liệu 7.2.3 Kiến trúc SSL SSL thiết kế để dùng TCP cung cấp dịch vụ an tồn đầu cuối Nó khơng phải thủ tục nhất, mà có hai lớp thủ tục Ở kết nối SSL là: Tạm thời, đầu cuối đến đầu cuối, liên kết trao đổi Gắn chặt với phiên SSL 126 IT201_Bai 7_2011.02.09.10.00_v0.1 Bài 7: Một số chủ đề an ninh mạng Và phiên SSL: Liên kết người sử dụng máy chủ Được tạo thủ tục HandShake Protocol Xác định tập tham số mã hoá: định danh phiên, giấy chứng nhận X509, phương pháp nén, thuật tốn mã hóa, khóa mật,… Có thể chia sẻ kết nối SSL lặp 7.2.3.1 Dịch vụ thủ tục ghi SSL Dịch vụ thủ tục ghi SSL đảm bảo tính tồn vẹn tin: Sử dụng MAC với khóa mật chia sẻ Giống HMAC với đệm khác cung cấp bảo mật Sử dụng mã đối xứng với khóa chung xác định thủ tục HandShake IDEA, RC2-40, DES-40, DES, 3DES, Fortezza, RC4-40, RC4-128 Bản tin nén trước mã Bước chia gói, sau nén lại Tiếp theo tính MAC nén đính kèm, khóa mật chung sử dụng Rồi mã hóa bổ sung tiêu đề SSL 7.2.3.2 Thủ tục thay đổi đặc tả mã SSL (SSL Change Cipher Spec Protocol) Đây giao thức chuyên biệt SSL Đây mẩu tin đơn gồm bit với giá trị 1, buộc trạng thái treo trở thành thời cập nhật mã dùng 7.2.3.3 Thủ tục nhắc nhở SSL (SSL Alert Protocol) Truyền lời nhắc SSL liên quan cho thành viên gồm byte Byte đầu rõ giá trị nhắc nhở cảnh báo Byte thứ hai nêu cảnh báo nhắc nhở cụ thể Nhắc nhở đặc biệt: Cảnh báo: mẩu tin không chờ đợi, ghi MAC tồi, lỗi giải nén, lỗi Handshake, tham số không hợp lệ Nhắc nhở: đóng ghi chú, khơng chứng nhận, chứng nhận tồi, chứng nhận không hỗ trợ, chứng nhận bị thu hồi, chứng nhận hạn, chứng nhận đến Mẩu tin nhắc nhở nén mã liệu SSL IT201_Bai 7_2011.02.09.10.00_v0.1 127 Bài 7: Một số chủ đề an ninh mạng 7.2.3.4 Thủ tục bắt tay SSL (SSL HandShake Protocol) Phần phức tạp SSL thủ tục bắt tay Thủ tục cho phép máy chủ máy trạm: Xác thực Thỏa thuận thuật tốn mã hóa MAC Thỏa thuận khóa mã dùng Nó bao gồm bốn giai đoạn trao đổi loạt thông tin: Thiết lập khả bảo mật Xác thực máy chủ trao đổi khoá Xác thực máy trạm trao đổi khoá Kết thúc việc trao đổi 7.2.3.5 An toàn tầng vận chuyển (TLS) TLS sáng kiến từ IETF chuẩn với mục đích tạo SSL chuẩn TLS định nghĩa tài liệu RFC 2246 giống SSLv3 Với số khác biệt nhỏ: Số ký hiệu kích thước ghi Sử dụng HMAC thay cho MAC Hàm giả ngẫu nhiên tăng độ mật Có mã ghi bổ sung Có số thay đổi hỗ trợ mã Thay đổi kiểu chứng nhận thỏa thuận Thay đổi đệm tính tốn mã 128 IT201_Bai 7_2011.02.09.10.00_v0.1 Bài 7: Một số chủ đề an ninh mạng 7.3 Thanh tốn điện tử an tồn 7.3.1 u cầu Đây mã mở đặc tả an toàn nhằm bảo vệ tốn thẻ tín dụng Internet Nó phát triển năm 1996 Master, Visa Card khơng phải hệ thống trả tiền Thanh tốn điện tử an toàn tập giao thức định dạng an toàn dùng để Trao đổi an toàn đối tác Tin tưởng sử dụng giấy chứng nhận X509v3 Riêng biệt hạn chế thơng tin vừa đủ cho người tham gia giao dịch Các thành phần tham gia Thanh toán điện tử: Người giữ thẻ: người mua chủ sở hữu thẻ toán hợp pháp Ngân hàng cấp Người bán: tổ chức cung cấp dịch vụ bán hàng mạng Nơi cấp thẻ tổ chức tài ngân hàng cung cấp thẻ toán Tổ chức tốn: tổ chức tài thực việc chuyển tiền từ thẻ toán người mua sang tài khoản người bán Thông thường người bán chấp nhận nhiều loại thẻ nhiều ngân hàng khác Tổ chức toán trung gian ngân hàng người bán ủy quyền Cổng toán: chức Tổ chức toán dùng để xử lý hóa đơn trả tiền Nơi cấp giấy chứng nhận: tổ chức tin cậy có trách nhiệm cấp giấy chứng nhận X509 cho khóa cơng khai chủ thẻ, người bán cổng toán 7.3.2 Thanh tốn điện tử an tồn Ta mơ tả trình tự bước giao dịch toán điện tử: Người mua mở tài khoản Người mua nhận chứng nhận Người bán có chứng nhận họ Người mua đặt hàng Người bán kiểm chứng Đơn đặt hàng trả tiền gửi Người bán yêu cầu giấy phép trả tiền IT201_Bai 7_2011.02.09.10.00_v0.1 129 Bài 7: Một số chủ đề an ninh mạng Người bán duyệt đơn đặt hàng Người bán cung cấp hàng dịch vụ Người bán yêu cầu trả tiền 7.3.3 Chữ ký kép Chúng ta có hai thơng tin liên quan chặt chẽ với đơn mua hàng hóa đơn toán lại gửi cho hai đối tác khác người bán Tổ chức toán mà lại không cho bên biết thông tin không cần thiết, người bán thông tin thẻ tốn, Tổ chức tốn khơng biết thơng tin hàng hóa mua Để giải vấn đề người ta tạo chữ ký kép Người mua tạo chữ ký kép Thông tin đơn đặt OI cho người bán Thông tin trả tiền PI cho ngân hàng Không bên biết chi tiết người khác Nhưng cần phải biết họ kết nối với Sử dụng chữ ký kép cho mục đích Ký ghép OI PI, H hàm băm, KRC khóa riêng chủ thẻ: DS E KR [H(H(PI) || H(OI))] 7.3.4 Yêu cầu trả tiền Trao đổi yêu cầu trả tiền gồm mẩu tin sau: Khởi tạo yêu cầu – nhận chứng nhận Khởi tạo trả lời – ký trả lời Yêu cầu trả tiền – OI PI Trả lời trả tiền – đơn phúc đáp Yêu cầu trả tiền – người mua 130 IT201_Bai 7_2011.02.09.10.00_v0.1 Bài 7: Một số chủ đề an ninh mạng Trong thông tin yêu cầu người mua bao gồm phần gửi cho người bán phần thông qua người bán chuyển tiếp cho cổng trả tiền Phần gửi cho người bán có đơn mua hàng, chữ ký kép, giấy chứng nhận chủ thẻ băm hóa đơn trả tiền Phần gửi chuyển cho cổng trả tiền gồm mã khóa phiên mã khóa cơng khai ngân hàng mã hóa đơn trả tiền mã khóa phiên Yêu cầu trả tiền – người bán Kiểm tra chứng nhận người giữ thẻ chữ ký CA Kiểm tra chữ ký kép cách sử dụng khóa chữ ký cơng khai người mua để tin tưởng đơn không bị giả mạo truyền ký sử dụng chữ ký khóa riêng người giữ thẻ Xử lý đơn đặt gửi tiếp thông tin trả tiền cho cổng trả tiền để xác thực (mô tả sau) Gửi phản hồi trả tiền cho người giữ thẻ Giấy phép cổng trả tiền Kiểm chứng chứng nhận Giải mã phong bì điện tử khối giấy phép nhận khóa đối xứng, sau giải mã khối giấy phép Kiểm tra chữ ký người bán khối giấy phép Giải mã phong bì điện tử khối trả tiền, nhận khóa đối xứng, sau giải mã khối trả tiền Kiểm tra chữ ký kép khối trả tiền Kiểm tra rằng, toán ID nhận từ người bán phù hợp với danh tính PI nhận (khơng trực tiếp) từ người bán Yêu cầu nhận giấy phép từ nơi phát hành Gửi trả lời giấy phép cho người bán Nhận trả tiền Người bán gửi cho cổng trả tiền yêu cầu nhận trả tiền Cổng kiểm tra yêu cầu Sau yêu cầu chuyển tiền đến tài khoản người bán Thông báo cho người bán chờ trả lời việc nhận IT201_Bai 7_2011.02.09.10.00_v0.1 131 Bài 7: Một số chủ đề an ninh mạng TÓM LƯỢC CUỐI BÀI Chúng ta xem xét vấn đề sau học xong học này: An ninh IP giao thức bảo mật Interrnet IPsec An ninh Web giao thức bảo mật tầng vận chuyển SSL Chuẩn toán điện tử an toàn SET 132 IT201_Bai 7_2011.02.09.10.00_v0.1 Bài 7: Một số chủ đề an ninh mạng CÂU HỎI TỰ LUẬN Nêu số ứng dụng IPsec? Lợi ích dùng IPsec? Nêu kiến trúc IPsec? Các dịch vụ mà IPsec cung cấp tầng IP gì? Liên kết SA định danh ba thuộc tính nào? Liệt kê tham số SA? Nêu trường Tiêu đề xác thực AH? Nêu định dạng gói tin IP4 IP6 trước sau áp dụng AH chế độ vận chuyển? Nêu định dạng gói tin IP4 IP6 trước sau áp dụng AH chế độ đường hầm? Nêu định dạng giao thức Bao bọc tải trọng bảo mật ESP? Mô tả chế độ vận chuyển đường hầm ESP? 10 Mô tả trường hợp kết hợp an ninh bản? 11 Nêu mối đe dọa an ninh Web? 12 Nhiệm vụ an ninh SSL gì? 13 Nêu kiến trúc SSL? 14 Mơ tả thủ tục Bản ghi SSL? 15 Mô tả thủ tục Bắt tay SSL? 16 Nêu yêu cầu an ninh Thanh tốn điện tử an tồn SET? 17 Nêu trình tự kiện Thanh tốn điện tử? 18 Mô tả chữ ký kép SET? 19 Nêu sơ đồ người mua gửi yêu cầu trả tiền? 20 Nêu sơ đồ chứng nhận trả tiền? BÀI TẬP TRẮC NGHIỆM Ví dụ khơng việc IPsec cung cấp truyền thơng an tồn mạng? (A) Kết nối an toàn với chi nhánh công ty Internet; (B) Truy cập từ xa an toàn Internet; (C) Thiêt lập kết nối mạng nội với nhau; (D) Hỗ trợ bảo mật xác thực mạng hàng ngang An ninh tầng IP không đảm bảo chức nào? (A) Xác thực; (B) Chống từ chối dịch vụ; (C) Bảo mật; (D) Quản trị khóa Đâu khơng phải lợi ích dùng Ipsec? (A) Khi cài tường lửa router cung cấp an ninh cho đường truyền qua lại mà sử dụng IP; (B) IPsec xử lí vấn đề an ninh đường truyền nội cơng ty nhóm người công ty; IT201_Bai 7_2011.02.09.10.00_v0.1 133 Bài 7: Một số chủ đề an ninh mạng (C) IPsec nằm tầng vận chuyển, nên suốt với ứng dụng - không cần thay đổi phần mềm người sử dụng; (D) IPsec cung cấp an ninh cho người sử dụng đơn lẻ, truy cập từ xa vào mạng công ty IPsec cung cấp dịch vụ nào? (A) Kiểm soát truy cập; (B) Tồn vẹn khơng kết nối; (C) Xác thực liệu gốc; (D) Chống từ chối người gửi AH không cung cấp dịch vụ nào? (A) Bảo mật luồng truyền; (B) Xác thực liệu gốc; (C) Kiểm soát truy cập; (D) Từ chối gói tin bị làm trễ ESP bảo mật không cung cấp dịch vụ nào? (A) Bảo mật; (B) Xác thực liệu gốc; (C) Kiểm soát truy cập; (D) Bảo mật luồng truyền ESP bảo mật xác thực không cung cấp dịch vụ nào? (A) Bảo mật; (B) Xác thực liệu gốc; (C) Kiểm sốt truy cập; (D) Tính sẵn sàng Trường khơng tham gia thuộc tính liên kết an ninh SA? (A) Chỉ số tham số an ninh SPI; (B) Số đếm dãy số; (C) Địa IP đích; (D) Định danh giao thức an ninh AH ESP Tiêu đề xác thực AH không chứa trường nào? (A) Next header Payload length; (B) Reserved; (C) Pad length; (D) SPI Sequence number 10 Chế độ vận chuyển AH trường IP4? (A) Tiêu đề IP gốc; (B) AH bổ sung; (C) TCP; 134 IT201_Bai 7_2011.02.09.10.00_v0.1 Bài 7: Một số chủ đề an ninh mạng (D) IP thêm vào 11 Chế độ đường hầm AH khơng có trường IP4? (A) Tiêu đề IP gốc; (B) Tiêu đề mở rộng; (C) TCP; (D) IP thêm vào 12 Bao bọc tải trọng bảo mật ESP không chứa trường nào? (A) Next header Payload length; (B) SPI; (C) Sequence number; (D) Dữ liệu tải trọng liệu xác thực 13 Quản trị khóa phần IPsec bao gồm xác định phân phối khóa mật giành cho trao đổi nhận gửi AH ESP Thông thường có số khóa là: (A) 2; (B) ; (C) ; (D) 14 Kiến trúc SSL không bao gồm thành phần (A) Giao thức TCP IP; (B) Giao thức ghi SSL; (C) Giao thức Bắt tay, HTTP; (D) Giao thức xác thực 15 Giao thức ghi SSL không bao gồm bước sau đây? (A) Phân đoạn liệu, nén bổ sung Mac; (B) Bổ sung băm hash; (C) Mã hóa; (D) Bổ sung tiêu đề ghi SSL 16 Mục tiêu giao thức Bắt tay không gồm phần nào? (A) Xác thực nhau; (B) Thỏa thuận thuật toán mã hóa MAC; (C) Thỏa thuận khóa mã dùng; (D) Thỏa thuận hàm băm dùng 17 Giao thức bắt tay SSL không bao gồm bước nào? (A) Thiết lập khả bảo mật; (B) Mã hóa thơng tin trao đổi; (C) Xác thực máy chủ trao đổi khoá; (D) Xác thực máy trạm trao đổi khoá IT201_Bai 7_2011.02.09.10.00_v0.1 135 Bài 7: Một số chủ đề an ninh mạng 18 Mục không thuộc yêu cầu Thanh tốn điện tử an tồn? (A) Cung cấp bảo mật thông tin đặt hàng trả tiền; (B) Tin tưởng toàn vẹn liệu truyền; (C) Cung cấp xác thực người giữ thẻ người sử dụng tài khoản thẻ hợp pháp; (D) Đảm bảo cho bên bán biết thông tin tài khoản người mua 19 Mục khơng thuộc trình tự kiện Thanh tốn điện tử an tồn? (A) Người mua mở tài khoản nhận Giấy chứng nhận Người bán có Giấy chứng nhận; (B) Người mua đặt hàng người bán kiểm chứng; (C) Lệnh mua hàng trả tiền gửi Người bán yêu cầu chứng thực trả tiền duyệt đơn; (D) Người bán duyệt lệnh trả tiền đơn mua hàng 20 Chữ ký điện tử kép không bao gồm giai đoạn nào? (A) Bản băm thông tin đặt hàng OIMD; (B) Bản băm thông tin trả tiền PIMD; (C) Mã hai băm OIMD PIMD khóa riêng người mua; (D) Ghép hai băm OIMD PIMD băm tiếp thành POMD mã khóa riêng người mua 136 IT201_Bai 7_2011.02.09.10.00_v0.1 ... nào? Khi mua hàng mạng thẻ, liệu người bán có biết thơng tin tài khoản mật không? 118 IT201_Bai 7_2011.02 .09.1 0.00_v0.1 Bài 7: Một số chủ đề an ninh mạng 7.1 An tồn IP Có nhiều ứng dụng an ninh... liên kết để xử lý Địa IP đích Định danh giao thức bảo mật: rõ liên kết AH hay ESP IT201_Bai 7_2011.02 .09.1 0.00_v0.1 119 Bài 7: Một số chủ đề an ninh mạng Ngồi có số tham số khác như: số dãy... -1-96 Tiêu đề xác thực Next Header - Tiêu đề (8 bit): xác định kiểu tiêu đề tiêu đề 120 IT201_Bai 7_2011.02 .09.1 0.00_v0.1 Bài 7: Một số chủ đề an ninh mạng Payload Length - Độ dài tải trọng (8