Đang tải... (xem toàn văn)
Giáo trình An toàn và bảo mật thông tin (Nghề: Quản trị mạng máy tính - Cao đẳng) kết cấu gồm 7 chương, cung cấp cho học viên những kiến thức về: tổng quan an toàn và bảo mật thông tin; các phương pháp mã hóa cổ điển; hệ thống mã với khóa công khai; chữ ký điện tử và hàm băm; chuẩn mã dữ liệu DES; phát hiện xâm nhập và tường lửa; an toàn IP và Web;... Mời các bạn cùng tham khảo!
BỘ NÔNG NGHIỆP VÀ PHÁT TRIỂN NÔNG THÔN TRƢỜNG CAO ĐẲNG CƠ ĐIỆN XÂY DỰNG VIỆT XÔ KHOA CÔNG NGHỆ THƠNG TIN VÀ NGOẠI NGỮ GIÁO TRÌNH MƠN HỌC: AN TỒN VÀ BẢO MẬT THƠNG TIN NGHỀ: QUẢN TRỊ MẠNG MÁY TÍNH TRÌNH ĐỘ CAO ĐẲNG TUN BỐ BẢN QUYỀN: Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin đƣợc phép dùng ngun trích dùng cho mục đích đào tạo tham khảo Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm MÃ MÔN HỌC: MH24 Xin chân thành cảm ơn! Tam Điệp, ngày tháng năm 2019 Biên soạn Phạm Thị Quỳnh Hƣơng LỜI GIỚI THIỆU Gần đây, mơn học “An tồn bảo mật thông tin” đƣợc đƣa vào giảng dạy hầu hết Khoa Công nghệ Thông tin trƣờng đại học cao đẳng Do ứng dụng mạng internet ngày phát triển mở rộng, nên an tồn thơng tin mạng trở thành nhu cầu bắt buộc cho hệ thống ứng dụng Giáo trình gồm chƣơng: Chƣơng 1: Tổng quan an tồn bảo mật thơng tin Chƣơng 2: Các phƣơng pháp mã hóa cổ điển Chƣơng 3: Hệ thống mã với khố cơng khai Chƣơng 4: Chữ ký điện tử hàm băm Chƣơng 5: Chuẩn mã liệu DES Chƣơng 6: Phát xâm nhập tƣờng lửa Chƣơng 7: An toàn IP Web MỤC LỤC TUYÊN BỐ BẢN QUYỀN: MÃ MÔN HỌC: MH24 LỜI GIỚI THIỆU MỤC LỤC CHƢƠNG TỔNG QUAN VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN 11 Nội dung an tồn bảo mật thơng tin 11 Các chiến lƣợt an toàn hệ thống 12 2.1 Giới hạn quyền hạn tối thiểu (Last Privilege) 12 2.2 Bảo vệ theo chiều sâu (Defence In Depth) 12 2.3 Nút thắt (Choke Point) 12 2.4 Điểm nối yếu (Weakest Link) 12 2.5 Tính tồn cục 12 2.6 Tính đa dạng bảo vệ 12 Các mức bảo vệ mạng 12 3.1 Quyền truy nhập 13 3.2 Đăng ký tên mật 13 3.3 Mã hoá liệu 13 3.4 Bảo vệ vật lý 13 3.5 Tường lửa 13 3.6 Quản trị mạng 14 An tồn thơng tin mật mã 14 Vai trò hệ mật mã 15 Phân loại hệ mật mã 16 Tiêu chuẩn đánh giá hệ mật mã 16 7.1 Độ an toàn 16 7.2 Tốc độ mã giải mã 16 7.3 Phân phối khóa 16 CHƢƠNG CÁC PHƢƠNG PHÁP MÃ HÓA CỔ ĐIỂN 18 Các hệ mật mã cổ điển 18 1.1 Mã dịch vòng ( shift cipher) 18 1.2 Mã thay 20 1.3 Mã Affine 21 1.4 Mã Vigenère 23 1.5 Mật mã Hill 24 Mã thám hệ mã cổ điển 25 2.1 Thám hệ mã Affine 27 2.2 Thám hệ mã thay 28 2.3 Thám hệ mã Vigenère 30 CHƢƠNG HỆ THỐNG MÃ VỚI KHỐ CƠNG KHAI 32 Khái niệm hệ mã mật khoá công khai 32 1.1 Đặc trƣng ứng dụng hệ mã khố cơng khai 32 1.2 Ngun tắc cấu tạo hệmãmật khóa cơng khai 33 Giới thiệu số giải thuật 34 2.1 Hệ mã RSA 34 2.2 Hệ mã ElGamal 36 CHƢƠNG 40 CHỮ KÝ ĐIỆN TỬ VÀ HÀM BĂM 40 Chữ ký điện tử 40 1.1.Các định nghĩa 40 1.2 Ứng dụng chữ ký điện tử 41 Giới thiệu số hệ chữ ký điện tử 42 2.1 Hệ chữ ký điện tử RSA 42 2.2 Hệ chữ ký điện tử ELGAMAL 42 2.3 Chuẩn chữ kí số 43 2.3.1 Thuật toán chữ ký điện tử (Digital Signature Algorithm) 43 2.3.2 Chuẩn chữ ký điện tử 44 Hàm băm 45 3.1 Định nghĩa 45 3.2 Đặc tính hàm Băm 46 Một số hàm băm thông dụng 47 4.1 Hàm băm MD5 47 4.2 Hàm băm SHA1 50 CHƢƠNG CHUẨN MÃ DỮ LIỆU DES 53 Giới thiệu chung DES 53 Sơ đồ mã DES 54 Mơ tả thuật tốn 54 Hoán vị khởi đầu 55 Khoá chuyển đổi 55 Hoán vị mở rộng 56 Hộp thay S 57 Hộp hoán vị P 60 Hoán vị cuối 60 Giải mã DES 61 CHƢƠNG PHÁT HIỆN XÂM NHẬP VÀ TƢỜNG LỬA 62 Kẻ xâm nhập 62 1.1 Khái niệm 62 1.2 Các kỹ thuật xâm phạm 62 1.3 Đoán mật 62 1.4 Phát xâm nhập 63 1.5 Quản trị mật 65 Phần mềm có hại 66 2.1 Các kiểu phần mềm có hại khác ngồi Virus 66 2.2 Cửa sau cửa sập 66 2.3 Bom logic 66 2.4 Ngựa thành Tơ roa 66 2.5 Zombie 66 Virus 66 Các kiểu Virus 67 3.1 Macro Virus 67 3.2 Virus email 67 Bức tƣờng lửa 68 4.1 Mở đầu 68 4.2 Bức tường lửa – lọc gói 68 4.3 Bức tường lửa – cổng giao tiếp tầng ứng dụng (hoặc proxy) 69 4.4 Bức tường lửa - cổng giao tiếp mức mạch vòng 69 4.5 Máy chủ Bastion 69 4.6 Kiểm soát truy cập 69 4.7 Các hệ thống máy tính tin cậy 69 4.8 Mơ hình Bell LaPadula 70 4.9 Tiêu chuẩn chung 70 CHƢƠNG AN TOÀN IP VÀ BẢO MẬT WEB 72 An toàn IP 72 1.1 IPSec 72 1.2 Kiến trúc an toàn IP 73 An toàn Web 76 2.1 SSL (Secure Socket Layer) 77 2.2 Xác thực người dùng RADIUS 79 Thanh tốn điện tử an tồn 80 3.1 Yêu cầu 80 3.2 Thanh toán điện tử an toàn 81 3.3 Chữ ký kép 81 3.4 Yêu cầu trả tiền 81 3.5 Giấy phép cổng trả tiền 81 3.6 Nhận trả tiền 82 An toàn thƣ điện tử 82 4.1 Dịch vụ PGP 82 4.2 Mở rộng thư Internet đa mục đích/an tồn S/MIME 84 CÁC THUẬT NGỮ CHUYÊN MÔN 86 TÀI LIỆU THAM KHẢO 87 GIÁO TRÌNH MƠN HỌC: AN TỒN VÀ BẢO MẬT THƠNG TIN Mã mơn học: MH24 Vị trí, tính chất, ý nghĩa vai trị mơn học: Vị trí mơn học: Mơn học đƣợc bố trí sau sinh viên học xong mơn, mơ đun: Mạng máy tính Quản trị mạng Tính chất mơn học: Là môn học chuyên môn nghề Mục tiêu môn học: - Về kiến thức: + Trình bày đƣợc nguy liệu, phƣơng pháp đảm bảo an toàn liệu + Ghi nhớ kiến thức mật mã, mã hóa, bảo mật liệu (khái niệm, yêu cầu, dẫn, dịch vụ, kỹ thuật, thuật tốn, ) + Trình bày đƣợc quy trình khóa chứng thực (khóa sở liệu / thƣ mục,chữ ký số, định danh, ) + Trình bày chức an ninh mạng, trình bày đƣợc quy trình bảo mật thƣ điện tử mã hóa thơng điệp + Trình bày đƣợc kiến thức hệ thống thƣơng mại điện tử (thanh toán tự động, đặt chỗ tự động, mơ hình giao dịch mạng, bảo mật giao dịch điện tử ) - Về kỹ năng: Sử dụng thành thạo cách mã hóa thơng tin - Về lực tự chủ trách nhiệm: + Cần cù, chủ động học tập, đảm bảo an toàn học tập + Thể thái độ tích cực, ham học hỏi u q ngành nghề học Nội dung mơn học: Số TT Tên chƣơng mục Tổng số Chƣơng 1: Tổng quan an tồn bảo mật thơng tin Nội dung an tồn bảo mật thơng tin Các chiến lƣợt an toàn hệ thống 2.1 Giới hạn quyền hạn tối thiểu (Last Privilege) 2.2 Bảo vệ theo chiều sâu (Defence In Depth) 2.3 Nút thắt (Choke Point) 2.4 Điểm nối yếu (Weakest Link) 2.5 Tính tồn cục 2.6 Tính đa dạng bảo vệ Các mức bảo vệ mạng 3.1 Quyền truy nhập Thời gian Lý Thực hành, Kiểm thuyết Bài tập Tra 4 0.5 0.5 0.5 0.5 Số TT Tên chƣơng mục 3.2 Đăng ký tên /mật 3.3 Mã hoá liệu 3.4 Bảo vệ vật lý 3.5 Tƣờng lửa 3.6 Quản trị mạng An tồn thơng tin mật mã Vai trị hệ mật mã Phân loại hệ mật mã Tiêu chuẩn đánh giá hệ mật mã 7.1 Độ an toàn 7.2 Tốc độ mã giải mã 7.3 Phân phối khóa Chƣơng 2: Các phƣơng pháp mã hóa cổ điển Các hệ mật mã cổ điển 1.1 Mã dịch vòng 1.2 Mã thay 1.3 Mã Affine 1.4 Mã Vigenere 1.5 Mã Hill Mã hoá thám mã hệ mã cổ điển 2.1 Thám mã Affine 2.2 Thám hệ mã thay 2.3 Thám hệ mã Vigenere Chƣơng 3: Hệ thống mã với khố cơng khai Khái niệm khố cơng khai 1.1 Đặc trƣng ứng dụng hệ mã khố cơng khai 1.2 Ngun tắc cấu tạo hệ khố cơng khai Giới thiệu số giải thuật 2.1 Hệ mã RSA 2.2 Hệ mã ElGamal Chƣơng 4: Chữ ký điện tử hàm băm Chữ ký điện tử 1.1.Các định nghĩa 1.2 Ứng dụng chữ ký điện tử Giới thiệu số hệ chữ ký điện tử 2.1 Hệ chữ ký điện tử RSA Tổng số Thời gian Lý Thực hành, Kiểm thuyết Bài tập Tra 0.25 0.25 0.25 0.5 0.25 0.5 12 2 1.5 1.5 3 0.5 0.5 0.5 0.5 0.5 1.5 1 0.5 1.5 0.5 0.5 1 0.5 0.5 2 1 Số TT 5 Tên chƣơng mục Tổng số 2.2 Hệ chữ ký điện tử ElGamal 2.3 Chuẩn chữ ký điện tử DSA Hàm băm 3.1 Định nghĩa 3.2 Sinh chữ ký điện tử với hàm băm Một số hàm băm thông dụng 4.1 Hàm băm MD5 4.2 Hàm băm SHA1 Chƣơng 5: Chuẩn mã liệu DES Giới thiệu chung DES Mơ tả thuật tốn Hốn vị khởi đầu Khóa chuyển đổi Hốn vị mở rộng Hộp thay S Hộp hoán vị P Hoán vị cuối Giải mã DES Chƣơng 6: Phát xâm nhập tƣờng lửa Kẻ xâm nhập 1.1 Khái niệm 1.2 Các kỹ thuật xâm phạm 1.3 Đoán mật 1.4 Phát xâm nhập 1.5 Quản trị mật Phần mềm có hại 2.1 Các kiểu phần mềm có hại khác ngồi Virus 2.2 Cửa sau cửa sập 2.3.Bom logic 2.4 Ngựa thành Tơ roa 2.5 Zombie 3.Virus 3.1 Marco Virus 3.2 Virus email Bức tƣờng lửa 4.1 Mở đầu 4.2 Bức tƣờng lửa – lọc gói 4.3 Bức tƣờng lửa – cổng giao tiếp 0.5 Thời gian Lý Thực hành, Kiểm thuyết Bài tập Tra 0.5 0.5 1 0.5 0.5 0.5 0.5 2.5 0.5 0.5 0.5 0.5 0.5 0.5 0.25 0.25 0.25 0.25 0.5 0.5 0.5 0.25 0.25 0.25 0.25 0.5 1 2.5 0.5 2.5 0.5 0.5 0.5 0.5 0.5 1 2.5 0.5 0.5 0.5 0.5 1.5 0.5 0.5 1 1 1 Số TT Tên chƣơng mục Tổng số tầng ứng dụng (hoặc proxy) 4.4 Bức tƣờng lửa - cổng giao tiếp mức mạch vịng 4.5 Máy chủ Bastion 4.6 Kiểm sốt truy cập 4.7 Các hệ thống máy tính tin cậy 4.8 Mơ hình Bell LaPadula 4.9 Tiêu chuẩn chung Bài tập Chƣơng 7: An toàn IP Web An toàn IP 1.1 IPec 1.2 Kiến trúc an toàn IP An tồn Web Thanh tốn điện tử an tồn 3.1 u cầu 3.2 Thanh tốn điện tử an toàn 3.3 Chữ ký kép 3.4 Yêu cầu trả tiền 3.5 Giấy phép cổng trả tiền 3.6 Nhận trả tiền An toàn thƣ điện tử 4.1.Dịch vụ PGP 4.2 Mở rộng thƣ Internet đa mục đích/an tồn S/ MIME 4.3 Bài tập Cộng 10 Thời gian Lý Thực hành, Kiểm thuyết Bài tập Tra 12 0.5 0.5 0.5 0.5 60 30 26 Lợi ích IPSec Tại tƣờng lửa định tuyến, IPSec đảm bảo an tồn cho luồng thơng tin vƣợt biên Tại tƣờng lửa, IPSec ngăn chặn thâm nhập trái phép từ Internet vào IPSec nằm dƣới tầng giao vận, suốt với ứng dụng IPSec suốt với ngƣời dùng cuối IPSec áp dụng cho ngƣời dùng đơn lẻ IPSec bảo vệ an toàn kiến trúc định tuyến 1.2 Kiến trúc an toàn IP Đặc tả an toàn IP phức tạp, đƣợc định nghĩa qua số chuẩn (RFC): bao gồm RFC 2401/2402/2406/2408 có nhiều chuẩn khác đƣợc nhóm theo loại Điều bắt buộc IPv6 tuỳ chọn với IPv4 Có hai mở rộng an tồn cho phần đầu: Phần đầu xác thực (AH – Authentication Header) Tải trọng an tồn đóng gói (ESP – Encapsulating Security Payload) a.Dịch vụ IPSec 73 Bao gồm + Điều khiển truy nhập + Toàn vẹn phi kết nối + Xác thực nguồn gốc liệu + Từ chối gói tin lặp :Một hình thức tồn vẹn thứ tự phận + Bảo mật (mã hóa) + Bảo mật luồng tin hữu hạn Sử dụng hai giao thức + Giao thức xác thực (ứng với AH) + Giao thức xác thực/mã hóa (ứng với ESP) b.Liên kết an toàn Khái niệm liên kết an toàn (SA) :Là quan hệ chiều bên gửi bên nhận, cho biết dịch vụ an toàn luồng tin lƣu chuyển Mỗi SA đƣợc xác định tham số + Chỉ mục tham số an tồn (SPI) + Địa IP đích + Định danh giao thức an toàn Các tham số khác lƣu CSDL SA (SAD) :Số thứ tự, thông tin AH ESP, thời hạn, CSDL sách an tồn (SPD) cho phép điều chỉnh mức độ áp dụng IPSec c.Phần đầu xác thực (Authentication Header - AH) AH cung cấp hỗ trợ cho an tồn liệu xác thực gói IP: - Hệ thống đầu cuối/chuyển mạch xác thực ngƣời sử dụng/ứng dụng - Ngăn công theo dõi địa việc theo dõi số dãy AH dựa sử dụng MAC: HMAC–MD5–96 HMAC – SHA -1-96 Muốn bên cần chia sẻ khoá mật Khn dạng AH d.Tải trọng an tồn đóng gói (ESP) ESP đảm bảo bảo mật nội dung mẫu tin luồng vận chuyển giới hạn, có lựa chọn cung cấp dịch vụ xác thực hỗ trợ phạm vi rộng mã, chế độ mã, đệm - Bao gồm DES, Triple DES, RC5, IDEA, CAST,… 74 - CBC chế độ khác - Bộ đệm cần thiết để lấp đầy kích thƣớc khối, trƣờng cho luồng vận chuyển Khuôn dạng ESP e.Chế độ vận chuyển chế độ ống ESP ESP đƣợc sử dụng với chế độ: vận chuyển ống Trong chế độ ống khơng cần giữ tƣờng minh địa đích Chế độ vận tải đƣợc sử dụng để mã tuỳ chọn xác thực liệu IP: - Dữ liệu đƣợc bảo vệ nhƣng phần đầu để rõ để biết địa đích - Có thể phân tích vận chuyển cách hiệu - Tốt ESP máy chủ vận chuyển tới máy chủ Chế độ ống mã tồn gói IP - Bổ sung phần đầu cho bƣớc nhảy tiếp - Tốt cho mạng riêng ảo VPN (Virtual Private Network), cổng đến cổng an toàn f kết hợp liên kết an toàn Các liên kết an tồn cài đặt qua AH ESP Để cài đặt hai cần kết hợp liên kết an tồn - Tạo nên bó liên kết an tồn - Có thể kết thúc điểm cuối khác - Kết hợp kề vận chuyển ống lặp Cần bàn luận thứ tự xác thực mã hoá g Quản trị khoá Quản lý sinh khoá phân phối khoá bên trao đổi thông tin, thông thƣờng cần hai cặp khoá, khoá hƣớng cho AH ESP Trong chế Quản trị khố thủ cơng, ngƣời quản trị hệ thống thiết lập cấu hình cho hệ thống Trong chế Quản trị khoá tự động: - Hệ thống tự động dựa vào yêu cầu khố cho liên kết an tồn hệ thống lớn 75 - Có thành phần nhƣ thủ tục trao đổi khóa Oakley liên kết an tồn mạng ISAKMP h Oakley Oakley thủ tục trao đổi khoá, dựa trao đổi khoá Diffie-Hellman Ở bổ sung đặc trƣng để khắc phục điểm yếu nhƣ Cookies, nhóm (tham số tổng thể), số đặc trƣng (nonces), trao đổi khoá Diffie Hellman với việc xác thực Có thể sử dụng số học trƣờng số nguyên tố đƣờng cong elip i ISAKMP ISAKMP liên kết an toàn Internet thủ tục quản trị khố Nó cung cấp khung để quản lý khố, xác định thủ tục định dạng gói để thiết lập, thỏa thuận, điều chỉnh xoá liên kết an toàn (SA – Secure Associations) ISAKMP độc lập với thủ tục trao đổi khoá, thuật toán mã hoá phƣơng pháp xác thực Trao đổi tải trọng ISAKMP Có số kiểu tải trọng ISAKMP: an tồn, đề xuất, dạng vận chuyển, khố, định danh, chứng nhận, hash, chữ ký, nonce xố ISAKMP có khung cho kiểu trao đổi mẫu tin:cơ sở, bảo vệ định danh, xác thực, tích cực thơng tin An tồn Web Mục tiêu: Trình bày nguy dẫn đến an toàn bảo mật web • Web đƣợc sử dụng rộng rãi công ty, tổ chức, cá nhân • Các vấn đề đặc trƣng an toàn Web – Web dễ bị công theo hai chiều 76 – Tấn công Web server gây tổn hại đến danh tiếng tiền bạc công ty – Các phần mềm Web thƣờng chứa nhiều lỗi an toàn – Web server bị khai thác làm để cơng vào hệ thống máy tính tổ chức – Ngƣời dùng thiếu công cụ kiến thức để đối phó với hiểm họa an tồn • Các hiểm họa an tồn Web – Tính tồn vẹn – Tính bảo mật – Từ chối dịch vụ – Xác thực • Các biện pháp an tồn Web 2.1 SSL (Secure Socket Layer) SSL dịch vụ an toàn tầng vận chuyển, ban đầu đƣợc phát triển Netscape Sau phiên đƣợc thiết kế cho đầu vào công cộng trở thành chuẩn Internet, đƣợc biết đến nhƣ an toàn tầng vận chuyển TLS (Transport Layer Security) SSL sử dụng giao thức TCP để cung cấp dịch vụ đầu cuối đến cuối tin cậy có tầng thủ tục 6.2.3 Kiến trúc SSL Ở kết nối SSL là: - Tạm thời, đầu cuối đến đầu cuối, liên kết trao đổi - Gắn chặt với phiên SSL Và phiên SSL: - Liên kết ngƣời sử dụng máy chủ - Đƣợc tạo thủ tục HandShake Protocol 77 - Xác định tập tham số mã hoá - Có thể chia sẻ kết nối SSL lặp a Dịch vụ thủ tục ghi SSL Dịch vụ thủ tục ghi SSL đảm bảo tính tồn vẹn tin: - Sử dụng MAC với khoá mật chia sẻ - Giống nhƣ HMAC nhƣng với đệm khác cung cấp bảo mật: - Sử dụng mã đối xứng với khoá chung xác định thủ tục HandShake - IDEA, RC2-40, DES-40, DES, 3DES, Fortezza, RC4-40, RC4-128 - Bản tin đƣợc nén trƣớc mã b Thủ tục thay đổi đặc tả mã SSL (SSL Change Cipher Spec Protocol): Đây giao thức chuyên biệt SSL sử dụng thủ tục ghi SSL Đây mẫu tin đơn, buộc trạng thái treo trở thành thời cập nhật mã dùng c Thủ tục nhắc nhở SSL (SSL Alert Protocol) Truyền lời nhắc SSL liên quan cho thành viên Nghiêm khắc: nhắc nhở cảnh báo Nhắc nhở đặc biệt: - Cảnh báo: mẳu tin không chờ đợi, ghi MAC tồi, lỗi giải nén, lỗi Handshake, tham số không hợp lệ - Nhắc nhở: đóng ghi chú, khơng chứng nhận, chứng nhận tồi, chứng nhận không đƣợc hỗ trợ, chứng nhận bị thu hồi, chứng nhận hạn, chứng nhận không đƣợc biết đến Nén mã nhƣ liệu SSL d Thủ tục bắt tay SSL (SSL HandShake Protocol) Thủ tục cho phép máy chủ máy trạm: - Xác thực - Thỏa thuận thuật toán mã hoá MAC - Thỏa thuận khoá mã dùng Nó bao gồm loạt thơng tin: - Thiết lập khả an toàn - Xác thực máy chủ trao đổi khoá - Xác thực máy trạm trao đổi khoá - Kết thúc e An toàn tầng vận chuyển IETF chuẩn RFC 2246 giống nhƣ SSLv3 Với khác biệt nhỏ: - Số ký hiệu kích thƣớc ghi - Sử dụng HMAC thay cho MAC - Hàm giả ngẫu nhiên tăng độ mật - Có mã ghi bổ sung - Có số thay đổi hỗ trợ mã - Thay đổi kiểu chứng nhận thỏa thuận - Thay đổi đệm tính tốn mã 78 Sau ta xem xét chi tiết giao thức xác thực ngƣời dùng RADIUS giao thức SSL: 2.2 Xác thực người dùng RADIUS RADIUS dịch vụ dành cho việc xác nhận cho phép ngƣời dùng truy cập từ xa qua thiết bị nhƣ môdem, DSL, cáp mạng thiết bị khơng dây khác Một site thơng thƣờng có máy chủ truy cập đƣợc kết nối vào modem Một máy chủ dịch vụ RADIUS đƣợc kết nối vào mạng nhƣ dịch vụ xác nhận Những ngƣời dùng từ xa gọi vào máy chủ truy cập, máy chủ yêu cầu dịch vụ xác nhận từ máy chủ dịch vụ RADIUS Máy chủ dịch vụ RADIUS xác nhận ngƣời dùng cho phép họ truy cập tài nguyên.Những nhà quản trị mạng tạo hồ sơ ngƣời dùng máy chủ RADIUS,xác định quyền hạn cấp cho ngƣời dùng từ xa Những giao thức hỏi đáp đƣợc sử dụng suốt trình ngƣời dùng vào mạng Giao thức SSL Đƣợc phát triển Netscape, giao thức SSL đƣợc sử dụng rộng rãi mạng Internet việc xác thực mã hoá thông tin máy trạm máy chủ Trong SSL sử dụng để hỗ trợ giao dịch an toàn cho nhiều ứng dụng khác Internet SSL giao thức đơn lẻ, mà tập thủ tục đƣợc chuẩn hoá để thực nhiệm vụ bảo mật sau: • Xác thực máy chủ: Cho phép ngƣời sử dụng xác thực đƣợc máy chủ muốn kết nối Lúc này, phía browser sử dụng kỹ thuật mã hố cơng khai để chắn chứng khố cơng cộng máy chủ có giá trị đƣợc cấp phát CA danh sách CA đáng tin cậy máy trạm • Xác thực máy trạm: Cho phép phía máy chủ xác thực đƣợc ngƣời sử dụng muốn kết nối Phía máy chủ sử dụng kỹ thuật mã hố cơng khai để kiểm tra xem chứng khố cơng cộng máy chủ có giá trị hay khơng đƣợc cấp phát CA danh sách CA đáng tin cậy khơng • Mã hố kết nối: Tất thông tin trao đổi máy trạm máy chủ đƣợc mã hoá đƣờng truyền nhằm nâng cao khả bảo mật Hoạt động SSL Giao thức SSL hoạt động dựa hai nhóm giao thức giao thức “bắt tay” giao thức “bản ghi” Giao thức bắt tay xác định tham số giao dịch hai đối tƣợng có nhu cầu trao đổi thơng tin liệu, cịn giao thức ghi xác định khn dạng cho tiến hành mã hố truyền tin hai chiều hai đối tƣợng đó.Giao thức SSL “bắt tay” sử dụng SSL “bản ghi” để trao đổi số thông tin máy chủ máy trạm vào lần thiết lập kết nối SSL Một giao dịch SSL thƣờng bắt đầu trình “bắt tay” hai bên Các bƣớc trình “bắt tay” nhƣ sau: Máy trạm gửi cho máy chủ số phiên SSL dùng, tham số thuật toán mã hoá, liệu đƣợc tạo ngẫu nhiên (chữ ký số) số thông tin khác mà máy chủ cần để thiết lập kết nối với máy trạm 79 Máy chủ gửi cho máy trạm số phiên SSL dùng, tham số thuật toán mã hoá, liệu đƣợc tạo ngẫu nhiên số thông tin khác mà máy trạm cần để thiết lập kết nối với máy chủ Ngoài máy chủ gửi chứng đến máy trạm yêu cầu chứng máy trạm cần Máy trạm sử dụng số thông tin mà máy chủ gửi đến để xác thực máy chủ Nếu nhƣ máy chủ khơng đƣợc xác thực ngƣời sử dụng đƣợc cảnh báo kết nối khơng đƣợc thiết lập Cịn nhƣ xác thực đƣợc máy chủ phía máy trạm thực tiếp bƣớc 4 Sử dụng tất thông tin đƣợc tạo giai đoạn bắt tay trên, máy trạm (cùng với cộng tác máy chủ phụ thuộc vào thuật toán đƣợc sử dụng) tạo premaster secret cho phiên làm việc, mã hố khố cơng khai mà máy chủ gửi đến chứng bƣớc 2, gửi đến máy chủ Nếu máy chủ có u cầu xác thực máy trạm, phía máy trạm đánh dấu vào phần thông tin riêng liên quan đến trình “bắt tay” mà hai bên biết Trong trƣờng hợp này, máy trạm gửi thông tin đƣợc đánh dấu chứng với premaster secret đƣợc mã hố tới máy chủ Máy chủ xác thực máy trạm Trƣờng hợp máy trạm không đƣợc xác thực, phiên làm việc bị ngắt Còn máy trạm đƣợc xác thực thành cơng, máy chủ sử dụng khố bí mật để giải mã premaster secret, sau thực số bƣớc để tạo master secret Máy trạm máy chủ sử dụng master secret để tạo khố phiên, khố đối xứng đƣợc sử dụng để mã hoá giải mã thông tin phiên làm việc kiểm tra tính tồn vẹn liệu Máy trạm gửi lời nhắn đến máy chủ thông báo thơng điệp đƣợc mã hố khố phiên Sau gửi lời nhắn đƣợc mã hố để thơng báo phía máy trạm kết thúc giai đoạn “bắt tay” Máy chủ gửi lời nhắn đến máy trạm thông báo thơng điệp đƣợc mã hố khố phiên Sau gửi lời nhắn đƣợc mã hố để thơng báo máy chủ kết thúc giai đoạn “bắt tay” 10 Lúc giai đoạn “bắt tay” hoàn thành, phiên làm việc SSL bắt đầu Cả hai phía máy trạm máy chủ sử dụng khoá phiên để mã hố giải mã thơng tin trao đổi hai bên, kiểm tra tính tồn vẹn liệu Thanh tốn điện tử an tồn Mục tiêu: Trình bày quan trọng toán điện tử an tồn u cầu tốn điện tử an toàn 3.1 Yêu cầu Đây mã mở đặc tả an tồn nhằm bảo vệ tốn thẻ tín dụng Internet Nó đƣợc phát triển năm 1996 Master, Visa Card hệ thống trả tiền Thanh tốn điện tử an tồn tập giao thức định dạng an toàn dùng để: o Trao đổi an toàn đối tác o Tin tƣởng sử dụng X509v3 o Riêng biệt hạn chế thông tin cho ngƣời cần 80 Các thành phần toán điện tử 3.2 Thanh toán điện tử an toàn a Ngƣời mua mở tài khoản b Ngƣời mua nhận đƣợc chứng nhận c Ngƣời bán có chứng nhận họ d Ngƣời mua đặt hàng e Ngƣời bán đƣợc kiểm chứng f Đơn đặt hàng trả tiền đƣợc gửi g Ngƣời bán yêu cầu giấy phép trả tiền h Ngƣời bán duyệt đơn đặt hàng i Ngƣời bán cung cấp hàng dịch vụ j Ngƣời bán yêu cầu trả tiền 3.3 Chữ ký kép Ngƣời mua tạo chữ ký kép o Thông tin đơn đặt OI cho ngƣời bán o Thông tin trả tiền PI cho ngân hàng Không bên biết chi tiết ngƣời khác Nhƣng cần phải biết họ đƣợc kết nối với Sử dụng chữ ký kép cho mục đích o Ký ghép OI PI 3.4 Yêu cầu trả tiền Trao đổi yêu cầu trả tiền gồm mẫu tin sau Khởi tạo yêu cầu - nhận chứng nhận Khởi tạo trả lời – ký trả lời Yêu cầu trả tiền - OI PI Trả lời trả tiền – đơn phúc đáp 3.5 Giấy phép cổng trả tiền Kiểm chứng chứng nhận Giải mã phong bì điện tử khối giấy phép nhận đƣợc khoá đối xứng, sau giải mã khối giấy phép Kiểm tra chữ ký ngƣời bán khối giấy phép 81 Giải mã phong bì điện tử khối trả tiền, nhận đƣợc khố đối xứng, sau giải mã khối trả tiền Kiểm tra chữ ký kép khối trả tiền Kiểm tra rằng, toán ID nhận đƣợc từ ngƣời bán phù hợp với danh tính PI nhận đƣợc (khơng trực tiếp) từ ngƣời bán Yêu cầu nhận đƣợc giấy phép từ nơi phát hành Gửi trả lời giấy phép cho ngƣời bán 3.6 Nhận trả tiền Ngƣời bán gửi cho cổng trả tiền yêu cầu nhận trả tiền Cổng kiểm tra yêu cầu Sau yêu cầu chuyển tiền đến tài khoản ngƣời bán Thông báo cho ngƣời bán chờ trả lời việc nhận An toàn thƣ điện tử Mục tiêu: Trình bày quan trọng an toàn thư điện tử yêu cầu an toàn thư điện tử Thƣ điện tử dịch vụ mạng đƣợc coi trọng ứng dụng rộng rãi Đồng thời nội dung mẫu tin khơng an tồn Có thể bị quan sát đƣờng truyền ngƣời có thẩm quyền thích hợp hệ thống đầu cuối Nâng cao an tồn thƣ điện tử mục đích quan trọng hệ thống trao đổi thƣ Ở phải đảm bảo yêu cầu sau: tính bảo mật nội dung tin gửi, xác thực ngƣời gửi mẫu tin, tính toàn vẹn mẫu tin, bảo vệ khỏi bị sửa, tính chống từ chối gốc, chống từ chối ngƣời gửi 4.1 Dịch vụ PGP PGP (Pretty Good Privacy) dịch vụ bảo mật xác thực đƣợc sử dụng rộng rãi cho chuẩn an toàn thƣ điện tử PGP đƣợc phát triển Phil Zimmermann Ở lựa chọn thuật toán mã hoá tốt để dùng, tích hợp thành chƣơng trình thống nhất, chạy Unix, PC, Macintosh hệ thống khác Ban đầu miĩen phí, có phiên thƣơng mại Sau xem xét hoạt động PGP Thao tác PGP – xác thực Ngƣời gửi tạo mẫu tin, sử dụng SHA-1 để sinh Hash 160 bit mẫu tin, ký hash với RSA sử dụng khoá riêng ngƣời gửi đính kèm vào mẫu tin Ngƣời nhận sử dụng RSA với khố cơng khai ngƣời gửi để giải mã khôi phục hash Ngƣời nhận kiểm tra mẫu tin nhận sử dụng hash so sánh với hash đƣợc giải mã Thao tác PGP – bảo mật Ngƣời gửi tạo mẫu tin số ngẫu nhiên 128 bit nhƣ khố phiên cho nó, mã hoá mẫu tin sử dụng CAST-128/IDEA /3DES chế độ CBC với khố phiien Khố phiên đƣợc mã sử dụng RSA với khố cơng khai ngƣời nhận đính kèm với mẫu tin Ngƣời nhận sử dụng RSA với khố riêng để giải mã khơi phục khố phiên Khoá phiên đƣợc sử dụng để giải mã mẫu tin Thao tác PGP - Bảo mật xác thực 82 Có thể sử dụng hai dịch vụ mẫu tin Tạo chữ ký đính vào mẫu tin, sau mã mẫu tin chữ ký Đính khố phiên đƣợc mã hố RSA/ElGamal Thao tác PGP – nén Theo mặc định PGP nén mẫu tin sau ký nhƣng trƣớc mã Nhƣ cần lƣu mẫu tin chƣa nén chữ ký để kiểm chứng sau Vì nén khơng Ở sử dụng thuật toán nén ZIP Thao tác PGP – tương thích thư điện tử Khi sử dụng PGP có liệu nhị phân để gửi (mẫu tin đƣợc mã) Tuy nhiên thƣ điện tử thiết kế cho văn Vì PGP cần mã liệu nhị phân thô vào ký tự ASCII in đƣợc Sau sử dụng thuật tốn Radix 64, ánh xạ byte vào ký tự in đƣợc bổ sung kiểm tra thừa quay vòng CRC để phát lỗi truyền PGP chia đoạn mẫu tin lớn Tóm lại, cần có khố phiên cho mẫu tin, có kích thƣớc khác nhau: 56 bit – DES, 128 bit CAST IDEA, 168 bit Triple – DES, đƣợc sinh sử dụng liệu đầu vào ngẫu nhiên lấy từ sử dụng trƣớc thời gian gõ bàn phím ngƣời sử dụng Khố riêng cơng khai PGP Vì có nhiều khố riêng khố cơng khai đƣợc sử dụng, nên cần phải xác định rõ đƣợc dùng để mã khoá phiên mẫu tin Có thể gửi khố cơng khai đầy đủ với mẫu tin Nhƣng khơng đủ, cần phải nêu rõ danh tính ngƣời gửi Do sử dụng định danh khố để xác định ngƣời gửi Có 64 bit có ý nghĩa khố nhất, sử dụng định danh khoá chữ ký PGP Message Format Các chùm khố PGP Mỗi ngƣời sử dụng PGP có cặp chùm khố Chùm khố cơng khai chứa khố cơng khai ngƣời sử dụng PGP khác đƣợc ngƣời biết đƣợc đánh số định danh khoá (ID key) Chùm khoá riêng chứa cặp khố cơng khai/riêng ngƣời đƣợc đánh số định danh khoá mã khoá lấy từ giai đoạn duyệt hash An tồn khố cơng khai nhƣ phụ thuộc vào độ an toàn giai đoạn duyệt Sinh mẫu tin PGP Sơ đồ sau mô tả qui trình sinh mẫu tin PGP để gửi cho ngƣời nhận Nhận mẫu tin PGP Sơ đồ sau nêu cách ngƣời nhận giải mã, kiểm chứng thông tin để đọc mẫu tin Quản lý khoá PGP Tốt hết dựa vào chủ quyền chứng nhận Trong PGP ngƣời sử dụng có CA Có thể ký khố cho ngƣời sử dụng mà biết trực tiếp Tạo thành “Web niềm tin” Cần tin cậy khóa đƣợc ký, tin cậy khoá mà ngƣời khác ký dùng dây chuyền chữ ký đến Chùm khố chƣá dẫn tin cậy Ngƣời sử dụng thu hồi khố họ 83 4.2 Mở rộng thư Internet đa mục đích/an tồn S/MIME Tăng cƣờng an tồn cho thƣ điện tử đa mục đích mở rộng MIME (Multipurpose Internet Mail Extension) Thƣ điện tử Internet RFC822 gốc có văn bản, MIME cung cấp hỗ trợ cho nhiều kiểu nội dung mẫu tin có nhiều phần với mã hố liệu nhị phân thành dạng văn S/MIME tăng cƣờng tính an tồn, có hỗ trợ S/MIME nhiều tác nhân thƣ điện tử nhƣ MS Outlook, Mozilla, Mac Mail, … Các chức S/MIME Dữ liệu đóng phong bì, nội dung đƣợc mã hố liên kết khoá, liệu đƣợc ký, mẫu tin đƣợc mã ký sau nén, liệu rõ ràng đƣợc ký, mẫu tin tƣờng minh mã hoá ch ữ ký nén, liệu đóng phong bì ký, lồng th ực th ể ký mã Các thuật toán mã hoá S/MIME Các chữ ký điện tử DSS RSA, hàm hash: SHA-1 MD5, mã khoá phiên: Elgamal & RSA, mã mẫu tin: AES, Triple-DES, RC2/40, …;MAC: HMAC với SHA-1 Có q trình để đối thoại định sử dụng thuật toán Các mẫu tin S/MIME S/MIME bảo vệ thực thể MIME với chữ ký, mã hai tạo thành đối tƣợng đóng gói MIME Có phạm vi kiểu nội dung khác nhau: liệu đóng phong bì, liệu đƣợc ký, liệu rõ ràng đƣợc ký, yêu cầu đăng ký, chứng nhận mẫu tin Quá trình chứng nhận S/MIME S/MIME sử dụng chứng nhận X.509 phiên Quản trị việc sử dụng kết hợp sơ đồ phân cấp CA X.509 Web niềm tin PGP Mỗi client có danh sách giấy chứng nhận cho CA tin cậy có giấy chứng nhận cặp khố cơng khai/riêng Chứng nhận cần đƣợc ký CA tin cậy Chủ quyền chứng nhận CA (Certificate Authorities) Có số CA ngƣời biết Verisign CA đƣợc sử dụng rộng rãi Verisign xuất số kiểu định danh điện tử Tăng mức kiểm tra kéo theo độ tin cậy Bài tập Mục tiêu: Hệ thống lại kiến thức, áp dụng kiến thức vào tập để hình thành kỹ tư phân tích, tổng hợp kỹ thực hành máy tính Bài Nêu mục đích IPSec, tham số, AH ESP Bài Nêu mục đích SSL TLS Trình bày kiến trúc nhiệm vụ thành phần chúng Bài Thế toán điện tử an toàn Bài Nêu yêu cầu chữ ký kép chứng tỏ chữ ký kép toán điện tử an tồn đáp ứng u cầu Bài Nêu qui trình tốn điện tử an tồn, chứng tỏ đáp ứng đƣợc u cầu an toàn đề 84 Bài Nêu yêu cầu bảo mật, xác thực, chữ ký điện tử hệ thống thƣ địên tử Bài Trình bày giải pháp đề xuất PGP cho hệ thống thƣ điện tử Bài Tìm hiểu xác thực HTTP Internet Explorer 85 Thuật ngữ AH Code CPU Database DDoS Email ESP Firewall IP Key MAC MDV Password PGP Record SA SHA SSL User VPN CÁC THUẬT NGỮ CHUYÊN MƠN Giải thích Authentication Header Mã Central Processing Unit – Bộ xử lý trung tâm Cơ sở liệu Tấn công từ chối dịch vụ Thƣ điện tử Encapsulating Security Payload Tƣờng lửa Internet Protocal Khóa Message Authentication Code – Mã xác thực mẫu tin Mã dịch vòng Mật Pretty Good Privacy Bản ghi Secure Associations Secure Hash Algorithm- Thuật tốn Hast an tồn Secure Socket Layer Ngƣời sử dụng Virtual Private Network 86 TÀI LIỆU THAM KHẢO [1] Ths Ngơ Bá Hùng-Ks Phạm Thế Phi, Giáo trình mạng máy tính, Đại học Cần Thơ, năm 2005 [2 Đặng Xn Hà, An tồn mạng máy tính, NXB Giáo dục, năm 2005 [3 Nguyễn Anh Tuấn, Bài giảng Kỹ thuật an tồn mạng, Trung tâm TH-NN Trí Đức, 2010 [4 Nguyễn Văn Tảo, hà Thị Thanh, An tồn bảo mật thơng tin, Đại học Thái Ngun, năm 2009 [5 Th.S Trần Văn Dúng, An toàn bảo mật thông tin, Đại học Giao thông Vận tải, năm 2007 [6] Angus Wong, Alan Yeung, Network Infrastructure Security, Springer Science+Business Media, 2009 87 ... - - - - - - end - - - - - - - - - e - - - - ned- - - e - - - - - - - - YIFQFMZRWQFYVECFMDZPCVMRZWNMDZVEJBTXCDDUMJ - - - - - - - - e- - - - e - - - - - - - - n - - d - - - en - - - - e - - - -e... - e - - - n - - - - - n - - - - - - ed - - - e - - - - - - ne - nd- e- e - NZUCDRJXYYSMRTMEYIFZWDYVZVYFZUMRZCRWNZDZJJ - ed - - - - - n - - - - - - - - - - e - - - ed - - - - - - - d - - - e -. .. NDIFEFMDZCDMQZKCEYFCJMYRNCWJCSZREXCHZUNMXZ he - a - n- - - - - - n - - - - - - ed - - - e- - - e - - neandhe -e - NZUCDRJXYYSMRTMEYIFZWDYVZVYFZUMRZCRWNZDZJJ - ed - a - - -nh - - - - - - a- e - - - - ed - - - - -a -d - - he- -n XZWGCHSMRNMDHNCMFQCHZJMXJZWIEJYUCFWDJNZDIR