Đang tải... (xem toàn văn)
Bài thi cuối kì môn ANM HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I TIỂU LUẬN CUỐIKÌ MÔN AN NINH MẠNG THÔNGTIN ĐỀ TÀI TÌM HIỂU VỀ CÁC PHƯƠNG PHÁP XÁC THỰC NGƯỜI DÙNG VÀ ỨNG DỤNG Giảng vi[.]
Bài thi cuối kì mơn ANM HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THƠNG I TIỂU LUẬN CUỐIKÌ MƠN AN NINH MẠNG THƠNGTIN ĐỀ TÀI: TÌM HIỂU VỀ CÁC PHƯƠNG PHÁP XÁC THỰC NGƯỜI DÙNG VÀ ỨNG DỤNG Giảng viên: Phạm Anh Thư Bài thi cuối kì mơn ANM Mục lục I TỔNG QUAN VỀ XÁC THỰC NGƯỜI SỬ DỤNG 1.1 Khái niệm xác thực 1.2 Giới thiệu định danh xác thực điều khiển truy cập II PHƯƠNG PHÁP ĐỊNH DANH VÀ XÁC THỰC 2.1 Phương pháp định danh 2.1.1 Định danh dựa thông tin người dùng tự nhập 2.1.2 Định danh sử dụng sinh trắc học 2.2 Phương pháp xác thực 2.2.1 Những bạn biết 2.2.2 Những bạn có 2.2.3 Những bạn III CÁC GIAO THỨC XÁC THỰC NGƯỜI SỬ DỤNG 10 3.1 Giao thưc xác thực đơngiản 10 3.2 Giao thưc xác thực challengeresponse 11 3.3 Giao thưc xác thực sử dụng khóa đối xứng 12 3.3.1 Giao thức xác thực xử dụng khóa đối xứng 12 3.3.2 Giao thức xác thực lẫn 12 3.3.3 Giao thức xác thực lẫn cải tiến 12 3.3.4 Giao thức xác thực lẫn cải tiến khác 13 3.4 Giao thưc xác thực sử dụng khóa công khai 14 3.5 Giao thưc xác thựcKERBEROS 15 IV ỨNG DỤNG 19 V KẾT LUẬN 22 Tài liệu tham khảo 22 Thuật ngữ viết tắt 23 Danh mục hình ảnh 23 Kiểm tra Doit(6%) 24 Bài thi cuối kì mơn ANM Lý chọn đề tài Nhận thức phát triển công nghệ thông tin nước giới, sống ngày phát triển theo phương hướng số Con người ngày mang nhiều hoạt động sống lên môi trường mạng mang lại nhiều tiện ích khơng thiếu ảnh hưởng tiêu cực việc an tồn an ninh mạng Do vấn đề xác thực người sử dụng trở thành vấn đề quan tâm lên việc tìm hiểu đề tài “ Các phương pháp xác thực người sử dụng ứng dụng” nâng cao hiểu biết xác thực an ninh mạng thông tin người I.TỔNG QUAN VỀ XÁC THỰC NGƯỜI SỬ DỤNG 1.1 Khái niệm xác thực người sử dụng Xác thực người dùng quy trình bảo mật bao gồm tất tương tác người với máy tính yêu cầu người sử dụng đăng ký đăng nhập Nói cách đơn giản hơn, xác thực đặt câu hỏi cho người sử dụng “bạn ai?” đợi phản ứng họ Khi người sử dụng đăng ký tài khoản, họ phải tạo ID mã khóa cho phép họ truy cập vào tài khoản sau Nói chung, tên người dùng mật sử dụng làm ID khóa, ngồi mã khóa dạng khóa khác coi chứng xác thực họ sử dụng Về bản, quy trình xác thực người sử dụng quy trình cung cấp cho người sử dụng quyền truy cập vào tài khoản họ chặn người dùng chưa xác thực có quyền truy cập Điều có nghĩa Người dùng A đăng nhập vào tài khoản họ, Người dùng B bị từ chối quyền truy cập Ngược lại, Người dùng B truy cập tài khoản họ, Người dùng A truy cập Xác thực người sử dụng quan trọng bước bắt buộc quy trình ngăn người dùng trái phép truy cập vào thơng tin nhạy cảm Quy trình xác thực tăng cường đảm bảo Người dùng A có quyền truy cập vào thơng tin họ cần xem thông tin nhạy cảm Người dùng B Tuy nhiên, xác thực người sử dụng bạn khơng an tồn, tội phạm mạng công hệ thống giành quyền truy cập, lấy thông tin mà người dùng phép truy cập Nhóm 12 Bài thi cuối kì mơn ANM Hình 1: Xác thực sử dụng mật 1.2 Giới thiệu định danh xác thực điều khiển truy nhập Định danh xác thực quy trình bắt buộc điều khiển truy nhập gồm hai bước nhằm xác minh người truy nhập vào hệ thống ∙ Định danh trình người dùng cung cấp cho hệ thống biết họ (Chẳng hạn dùng tên người dùng) ∙ Bộ phận định danh hệ thống điều khiển truy cập hoạt động đơn giản chủ yếu dựa hệ thống tên người dùng (username) danh người dùng (userID) ∙ Mục đích định danh để xác định tồn cung cấp quyền hạn cho người dùng ∙ Yêu cầu định danh ngưởi sử dụng ∙ Định danh người dùng phải định danh để nhận dạng người sử dụng ∙ Định danh người dùng không hỗ trợ để xác định vị trí hay tầm quan trọng người dùng công ty tổ chức ∙ Các bước định danh xác thực điều khiển truy nhập ∙ Định danh (Identification) Đây trình nhận dạng người sử dụng Người dùng phải cung cấp danh tính thông tin bắt buộc để hệ thống xác nhận nhận dạng ∙ Xác thực (Authentication) trình xác thực người sử dụng Người dùng cung cấp thông tin để nhận dạng, hệ thống tự dộng tiến hành kiểm tra thơng tin hay sai nhiều phương pháp khác ∙ Ủy quyền (Authorization) xác định thẩm quyền mà người sử dụng có sau hệ thống xác thực thơng tin người sử dụng ∙ Kế toán (Accounting) Hệ thống quản lý, giám sát thống kê trình sử dụng truy nhập người sử dụng vùng tài nguyên ∙ Những yếu tố cần thiết Nhóm 12 Bài thi cuối kì mơn ANM ∙ Đối tượng (Subjects) Tồn đối tượng gán quyền truy cập ∙ Tài nguyên sử dụng (Objects) ∙ Quyền truy cập (Access Permissions) sử dụng để gán quyền truy cập Tài nguyên sử dụng cho Các đối tượng (Ví dụ Người dùng Đối tượng, foder Object, Permission quyền gán cho Người dùng truy cập vào Dữ liệu) Bảng Access Permissions cho đối tượng gọi Access Control List (ACLs), ACL toàn hệ thống thống kê bảng Access Control Entries (ACEs) II PHƯƠNG PHÁP ĐỊNH DANH VÀ XÁC THỰC 2.1 Phương pháp định danh 2.1.1 Định danh dựa thông tin người dùng tự nhập Đinh danh dựa thông tin người dùng tự nhập thông qua ID mật mà người dùng nhập hệ thống Đây cách định danh phổ biến hệ thống Với phương pháp định danh này, cặp ID mật người sử dụng nhập vào hệ thống tự động sử dụng liệu lưu người sử dụng để đối chiếu xác nhận Sau hệ thống đối chiếu kiểm tra với liệu lưu, liệu nhập trùng khớp người sử dụng định danh xác thực, với trường hợp thông tin không khớp, hệ thống từ chối cấm truy cập với người sử dụng Phương pháp xác thực người dùng có độ bảo mật khơng cao yếu tố người dùng đăng nhập ID mật dạng văn nên dễ bị lộ q trình thơng tin tới hệ thống người sử dụng để lộ thông tin đặt ID mật đơn giản ngày tháng năm sinh, 1234, abcd,…… Kết lại, định danh dựa thơng tin tự nhập có nhiều điểm yếu không đủ để bảo vệ thông tin trực truyến 2.1.2 Danh định sinh trắc học Xác thực sinh trắc học trình bảo mật dựa đặc điểm sinh học cá nhân Dưới lợi việc sử dụng công nghệ xác thực sinh trắc học: Có thể dễ dàng so sánh đặc điểm sinh học với đặc điểm phép lưu sở liệu Xác thực sinh trắc học kiểm soát truy cập vật lý cài đặt cổng cửa vào Bạn thêm sinh trắc học vào quy trình xác thực đa yếu tố Cơng nghệ xác thực sinh trắc học sử dụng người tiêu dùng, phủ tập đoàn tư nhân bao gồm sân bay, quân biên giới quốc gia Các phương pháp xác thực sinh trắc học phổ biến bao gồm: Nhóm 12 Bài thi cuối kì mơn ANM Nhận dạng khuôn mặt — khớp với đặc điểm khuôn mặt khác cá nhân cố gắng truy cập vào khuôn mặt phê duyệt lưu trữ sở liệu Nhận dạng khn mặt khơng qn so sánh khn mặt góc độ khác so sánh người trông giống nhau, họ hàng gần Công nghệ liveness khuôn mặt ngăn chặn việc giả mạo Hình 2: Nhận dạng khn mặt Máy qt vân tay — khớp với mẫu dấu vân tay cá nhân Một số phiên máy qt vân tay chí đánh giá dạng mạch máu ngón tay người Máy quét vân tay công nghệ sinh trắc học phổ biến người tiêu dùng hàng ngày, chúng thường xuyên không xác Sự phổ biến iPhone Hình 3: Xác thực sửu dụng vân tay Nhận dạng giọng nói — kiểm tra mẫu giọng nói người nói để tạo hình Nhóm 12 Bài thi cuối kì mơn ANM dạng chất lượng âm cụ thể Một thiết bị bảo vệ giọng nói thường dựa vào từ chuẩn hóa để xác định người dùng, giống mật Hình 4: xác thực sử dụng giọng nói Máy quét mắt — bao gồm công nghệ nhận dạng mống mắt máy quét võng mạc Máy quét mống mắt chiếu luồng sáng phía mắt tìm kiếm mẫu độc đáo vịng màu xung quanh đồng tử mắt Sau đó, mẫu so sánh với thông tin phê duyệt lưu trữ sở liệu Xác thực dựa mắt khơng xác người đeo kính kính áp trịng Hình 5: Xác thực qt mống mắt Ngồi cịn có phương pháp định danh sử dụng danh định máy tính, người dùng sử dụng thông số từ thiết bị cá nhân để định danh tên máy tính, địa MAC, địa IP sử dụng danh định số chứng số hay thẻ thông minh 2.2 Phương pháp xác thực 2.2.1Những bạn biết (Something you know) Yếu tố bạn biết yếu tố phổ biến sử dụng mật số nhận dạng cá nhân đơn giản (PIN) Tuy nhiên, loại dễ đánh bại Khi sử dụng mật khẩu, điều quan trọng phải sử dụng mật mạnh Mật mạnh có kết hợp chữ hoa, chữ thường, số ký tự đặc biệt Trước đây, chuyên gia Nhóm 12 Bài thi cuối kì mơn ANM bảo mật khuyến nghị mật phải dài tám ký tự Tuy nhiên, với gia tăng sức mạnh trình bẻ khóa mật khẩu, người ta thường nghe thấy chuyên gia đề xuất mật dài Ví dụ: nhiều tổ chức yêu cầu mật quản trị viên phải dài 15 ký tự Mật dài khó nhớ trừ chúng đặt vào số loại thứ tự có ý nghĩa Ví dụ: cụm từ “Bảo mật tạo nên thành cơng” trở thành mật “S3curityBr33d $ Succ3 $$” Lưu ý từ bắt đầu chữ viết hoa, chữ viết thường “s” đổi thành $, chữ viết thường “e” đổi thành số khoảng trắng bị xóa Mật dễ nhớ phức tạp Tuy nhiên, người dùng yêu cầu phải nhớ mật dài mà khơng có ý nghĩa nào, chẳng hạn “1kqd9% lu @ 7cpw #”, họ có nhiều khả ghi mật xuống, làm suy yếu tính bảo mật Mật khơng bao gồm liệu cá nhân tên người dùng tên người dùng Ngồi ra, mật khơng nên từ tìm thấy từ điển Tấn công từ điển sử dụng sở liệu từ tương tự từ điển, thử tất từ sở liệu để tìm kết phù hợp Điều đáng nói kẻ cơng [md] có quyền truy cập vào từ điển ngơn ngữ khác Nói cách khác, mật sử dụng từ từ ngôn ngữ khác dễ bẻ khóa mật sử dụng ngôn ngữ mẹ đẻ bạn 2.2.2 Những bạn có (Something you have) Yếu tố bạn có liên quan đến mặt hàng thẻ thơng minh mã thông báo cầm tay Thẻ thông minh thẻ có kích thước thẻ tín dụng có chứng nhúng sử dụng để xác định chủ sở hữu Người dùng lắp thẻ vào đầu đọc thẻ thông minh để xác thực cá nhân Thẻ thông minh thường sử dụng với mã PIN cung cấp xác thực đa yếu tố Nói cách khác, người dùng phải có (thẻ thơng minh) biết (mã PIN) Mã thơng báo thiết bị cầm tay có đèn LED hiển thị số số đồng hóa với máy chủ xác thực Hãy xem xét Hình 1, cho thấy máy chủ xác thực người dùng có mã thông báo cầm tay Số hiển thị mã thông báo thay đổi thường xuyên, chẳng hạn sau 60 giây máy chủ xác thực biết số hiển thị Ví dụ: lúc 5:01 chiều, số hiển thị đèn LED 963147 đồng thời, máy chủ biết số 963147 Một phút sau, số hiển thị đèn LED 246813 xác thực máy chủ biết số Một cách phổ biến mà thẻ sử dụng để xác thực với trang web Người dùng nhập số hiển thị mã thông báo trang web Nếu người dùng nhập số mà máy chủ biết thời điểm đó, người dùng xác thực Thơng thường sử dụng xác thực đa yếu tố với xác thực dựa mã thơng báo Ngồi việc nhập Nhóm 12 Bài thi cuối kì mơn ANM số hiển thị mã thông báo, người dùng thường yêu cầu nhập tên người dùng mật Điều chứng tỏ họ có thứ (mã thơng báo) họ biết điều (mật họ) 2.2.3 Những bạn (Something you are) Các phương pháp sinh trắc học cung cấp thông tin bạn nhân tố xác thực Một số phương pháp sinh trắc học sử dụng dấu vân tay, hình học bàn tay, quét võng mạc mống mắt, chữ viết tay phân tích giọng nói Sinh trắc học dấu vân tay phương pháp sinh trắc học sử dụng rộng rãi Nhiều máy tính xách tay bao gồm đầu đọc dấu vân tay đầu đọc dấu vân tay có sẵn ổ đĩa flash USB Dấu tay sử dụng với nhiều cơng viên giải trí bán vé theo mùa vé nhiều ngày Mặc dù sinh trắc học cung cấp khả xác thực mạnh nhất, dễ bị lỗi Lỗi từ chối sai (còn gọi lỗi loại 1) xảy hệ thống từ chối sai người dùng biết cho biết người dùng Lỗi chấp nhận sai (còn gọi lỗi loại 2) xảy hệ thống xác định sai người dùng không xác định người dùng biết Hệ thống sinh trắc học thường điều chỉnh độ nhạy, độ nhạy ảnh hưởng đến độ xác Xác thực đa yếu tố Xác thực đa yếu tố (MFA) hệ thông bảo mật yêu cầu hai hay nhiều phương thức xác thực từ liệu mà hệ thống lưu độc lập với để xác minh người sử dụng đăng nhập Xác thực đa yếu tố kết hợp hai hay nhiều thông tin độc lập: thông tin người dùng biết (mật khẩu), thơng tin người dùng có (mã thông báo bảo mật) xác thực người dùng (xác minh sinh trắc học) Mục tiêu xác thực đa yếu tố để tạo lớp bảo vệ kiên cố khiến cho việc truy cập vào thơng tin mục tiêu vị trí địa lý, thiết bị máy tính, mạng sở liệu trở nên khó khăn cá nhân khơng phép Nếu yếu tố bị xâm phậm phá vỡ, kẻ cơng cịn rào cản nữa, thời gian hệ thống thông báo tới người sử dụng hoặt động đăng nhập trái phép, giúp người sử dụng tránh nguy đánh thơng tin liệu nhân Ví dụ bao gồm mã tạo từ điện thoại người dùng, kiểm tra Captcha, dấu vân tay nhận dạng khuôn mặt thử thách-bắt tay ( challenge-handshake authentication protocol) giao thức thường sử dụng giao thức kết nối PPP (Point to Point Protocol) số hệ thống khác Sau bước mơ tả q trình xác thực giao thức Challenge response: ∙ Bên gửi (Alice ) muốn thiết lập kết nối gửi thông điệp “Tôi Alice” đến bên nhận (Bob) ∙ Bên nhận nhận thông điệp gửi lại khối liệu thách thức (challenge), có chứa giá trị ngẫu nhiên bên nhận tạo mà ta gọi giá trị nonce ( ký hiệu :N) ∙ Bên gửi sau nhận giá trị nonce gán giá trị vào với mật 11 Nhóm 12 Bài thi cuối kì mơn ANM mình,sau thực hàm băm chiều lên khối giá trị vừa ghép trước sau gửi giá trị băm cho bên nhận ∙ Phía bên nhận thực trình tương tự so với bên gửi để so sánh kết với giá trị băm nhận từ bên gửi, hai giá trị khớp tức trình xác thực thành công Alice => Bob: “Tôi Alice” Bob => Alice: N Alice => Bob: H(PA,N) Hình 8: Giao thức xác thực challenge-response Ưu điểm giao thức sử dụng hàm băm chiều thông tin xác thực không gửi trực tiếp mạng lên tăng tính bảo mật hệ thống Một đặc điểm khác giao thức trình thử thách lặp lặp lại nhiều lần suốt thời gian hai bên kết nối, cần gói tin khơng hợp lệ kết nối bị ngắt tức thời Nhược điểm:bên nhận phải biết trước mật 3.3 Giao thức xác thực sử dụng khóa đối xứng 3.3.1 Giao thức xác thực xử dụng khóa đối xứng đơn giản Phương pháp dựa phương pháp bắt tay ( challenge-response) sử dụng số nonce Khi bên gửi( Alice ) gửi yêu cầu kết nối cho bên nhận (Bob) bên nhận gửi lại khối liệu thách thức chứa số nonce, sau bên gửi thực mã hóa giá trị nonce vừa nhận cách sử dụng khóa chung KAB Alice Bob gửi mã cho bên nhận.Bên nhận nhận mã thực giải mã để có rõ Bên nhận tiến hành so sánh rõ với giá trị nonce gửi trùng q trình xác thực thành cơng Alice => Bob: “Tôi Alice” Bob => Alice: N Alice => Bob: {N}KAB Hình 9: Giao thức xác thực sử dụng khóa đối xứng Nhược điểm giao thức xác thực có tính chiều Tức có Bob xác thực Alice mà Alice khơng biết bên nhận có phải Bob hay không 3.3.2 Xác thực lẫn Khi bên gửi (Alice) gửi thông điệp để kết nối với bên nhận ( Bob) bên Bob tạo giá trị ngẫu nhiên (giá trị nonce) thực mã hóa giá trị nonce sử dụng khóa cơng khai Alice Bob sau gửi mã cho bên gửi Bên gửi Alice nhận mã tiến hành giải mã để lấy giá trị nonce sau lặp lại q trình bên nhận vừa thực hiện, giá trị nhận trùng khớp q trình xác thực thành cơng 12 Nhóm 12 Bài thi cuối kì mơn ANM Alice => Bob: “Tôi Alice” Bob => Alice: {N}KAB Alice => Bob: {N}KAB Hình 10: Giao thức xác thực lẫn sử dụng khóa đối xứng Như hình vẽ ta thấy giao thức xác thực lẫn sử dụng khóa đối xứng, thơng điệp bước ba có lặp lại bước hai Ở giao thức có Alice xác thực Bob mà Bob xác thực người gửi Alice kẻ cơng lợi dụng kẽ hở chặn tin sau bước hai sau phát lại thơng điệp bước hai để mạo danh người gửi 3.3.3 Xác thực lẫn cải tiến Alice => Bob: “Tôi Alice”,NA Bob => Alice: NB,{NA}KAB Alice => Bob: {NB}KAB Hình 11: Giao thức xác thực lẫn cải tiến Ta mô tả giao thức xác thực sau: ∙ Khi bên gửi (Alice) muốn thiết lập kết nối với bên nhận (Bob) Đầu tiên bên gửi phải tạo giá trị nonce NA gửi kèm giá trị với yêu cầu xác nhận kết nối đến bên nhận ∙ Bên nhận tin sau thực mã hóa giá trị nonce NA sử dụng khóa cơng khai KAB trao đổi trước đồng thời tạo giá trị nonce NB Hai giá trị ghép lại với gửi trả cho bên nhận ∙ Bước bên gửi sau nhận tin thực mã hóa giá trị nonce NB sử dụng khóa chung KAB kết thúc q trình xác thực Ở giao thức tránh nhược điểm giao thức cách sử dụng đồng thời hai giá trị nonce NA NB hai bên trao đổi cho giá chị nonce giúp đảm bảo tin tin phát lại, bước hai bên nhận gửi lại khóa đối xứng cho bên gửi để xác thực người nhận bước bên gửi thực đảm bảo cách sử dụng khóa đối xứng đảm bảo cho bên nhận tin tươi sử dụng giá trị nonce NB Mặc dù thế, giao thức bị cơng cơng phát lại Giả sử kẻ công (Malice) theo dõi ghi lại nội dung tin xác thực kết nối trước đó, kẻ cơng mạo danh bên gửi lừa bên nhận sử dụng khóa cũ cách cơng phát lại khóa Nếu bên nhận khơng nhớ khóa sử dụng phiên trước khơng phát công phát lại Quan sát hình ta thấy kẻ cơng đánh chặn tin bước , gửi tin mạo danh để lừa lấy khóa xác 13 Nhóm 12 Bài thi cuối kì mơn ANM thực tin trước Nếu thành cơng kẻ cơng thực mạo danh bên gửi thực hành vi gây bất lợi cho hai bên 1.1 Alice => Bob: “Tôi Alice”,NA 1.2 Bob => Alice: NB,{NA}KAB 2.1 Alice => Bob: “Tôi Alice”,NB 2.2 Bob => Alice: NC,{NB}KAB Alice => Bob: {NB}KAB Hình12 :Tấn cơng giao thức xác thực lẫn cải tiến 3.3.4 Giao thức xác thực lẫn cải tiến khác Giao thức phát triển lên từ giao thức xác thực lẫn cải tiến ta vừa tìm hiểu Điểm khác thay mã hóa số nonce bên cịn lại bên thực ghép số nonce cộng với nhân dạng thực mã hóa chúng với khóa đối xứng Alice =>Bob: “Tôi Alice”,NA Bob => Alice: NB,{Bob,NA}KAB Alice => Bob: {Alice,NB}KAB Hình 13: Xác thực lẫn cải tiến khác Giao thức cung cấp cách hiệu phương tiện an toàn cho cho bên gửi bên nhận thiết lập phiên làm việc với Giả sử trường hợp kẻ công thực công phát lại phần bắt thông tin NA, NB, {Bob,NA}KAB Sau chặn đường truyền bước hai phát tin giả với số nonce NB kẻ công nhận phản hồi gồm NC,{Bob,NA}KAB Từ đầu đến cuối kẻ công khơng có nhận dạng Alice để thực công phát lại tin 3.4 Giao thức xác thực sử dụng khóa cơng khai Để thực xác thực người sử dụng dùng khóa cơng khai trước hết ta cần đến q trình tạo khóa, bên gửi tự tạo cặp khóa cơng khai bí mật, khóa cơng khai quảng bá lên mơi trường mạng cịn khóa bí mật giữ riêng cho bên gửi Khi bên gửi( Alice) muốn tạo kết nối với bên nhận( Bob) gửi thông điệp yêu cầu kết nối “Tôi Alice” bên nhận nhận yêu cầu thực tạo sô nonce ngâuc hiên thực mã hóa sử dụng khóa cơng khai Alice (PUA) Bên nhân nhận tin tiến hành giải mã sử dụng khóa bí mật bên gửi (PRA) sau gửi lại rõ cho bên nhận , hai giá trị trùng khớp q trình xác thực thành cơng Alice => Bob: “Tơi Alice” 14 Nhóm 12 Bài thi cuối kì mơn ANM Bob => Alice: {N}PUA Alice => Bob: N Hình 14: Giao thức xác thực dùng khóa cơng khai Ở giao thức ta xác thực người gửi Alice mà xác nhận người nhận có phải Bob hay khơng kẻ cơng dễ dàng mạo danh bên gửi cách tạo cặp khóa công khai đưa lên mạng Một phương pháp xác thực khác sử dụng khóa cơng khai xác thực sử dụng chữ kí số Sau bên gửi tạo thông điệp yêu cầu kết nối tới bên nhận, bên nhận tạo số nonce ngẫu nhiên gửi lại số cho bên gửi Bên gửi sử dụng chữ kí số kí lên giá trị nonce N sử dụng khóa bí mật bên gửi Alice => Bob: “Tôi Alice” Bob => Alice: {N}PUA Alice => Bob: N Hình 15:Giao thức xác thực dùng chữ kí số 3.5 Giao thức xác thực Kerberos Giới thiệu: Kerberos giao thức xác thực mạng sử dụng mã hóa khóa bí mật sử dụng bên thứ ba đáng tin cậy tham gia vào trình xác thực Đây giao thức nhận thực hai chiều thiết kế cho mơ hình client server Kerberos có khả chống nghe lến hay gửi lại gói tin cũ đảm bảo tính tồn vẹn liệu nên giao thức thường dùng cho mạng máy tính hoạt động vùng mạng khơng an tồn Kerberos thiết kế dựa giao thức Needham-Schroeder Kerberos sử dụng bên thứ ba tham gia vào trình nhận thực gọi "trung tâm phân phối khóa" ( key distribution center - KDC) KDC bao gồm hai chức năng: "máy chủ xác thực" (authentication server - AS) "máy chủ cung cấp vé" (ticket granting server - TGS) "Vé" hệ thống Kerberos chứng thực chứng minh nhân dạng người sử dụng Hình 16: Hệ thống xác thực Kerberos 15 Nhóm 12 Bài thi cuối kì mơn ANM Mỗi người sử dụng (cả máy chủ máy khách) hệ thống chia sẻ khóa chung với máy chủ Kerberos Việc sở hữu thơng tin khóa chứng để chứng minh nhân dạng người sử dụng Trong giao dịch hai người sử dụng hệ thống, máy chủ Kerberos tạo khố phiên dùng cho phiên giao dịch Giao thức xác thực Kerberos Hình 17: Giao thức xác thực Kerberos 16 Nhóm 12 Bài thi cuối kì mơn ANM Thủ tục xác thực kerberos mô tả sau: 1- Máy yêu cầu AS cung cấp thẻ xác nhận người dùng: C → AS: IDc + IDtgs + TS1 2- AS cung cấp thẻ xác nhận người dùng cho máy con: AS → C: E([Kc,tgs + IDtgs + TS2 + Lifetime2 + Tickettgs], Kc) Với Tickettgs = E([Kc,tgs + IDc + ADc + IDtgs + TS2 + Lifetime2], Ktgs) 3- Máy yêu cầu TS cung cấp thẻ truy xuất dịch vụ: C → TGS: IDv + Tickettgs + Authenticatorc 4- TGS cung cấp thẻ truy xuất dịch vụ cho máy con: TGS → C: E([Kc,v + IDv + TS4 + Ticketv], Kc,tgs) Với Tickettgs = E([Kc,tgs + IDC +ADC + IDtgs + TS2 + Lifetime2], Ktgs) Ticketv = E([Kc,v + IDC + ADC + IDv + TS4 + Lifetime4], Kv) Authenticatorc = E([IDC + ADC + TS3], Kc,tgs) 5- Máy yêu cầu dịch vụ: C → V: Ticketv + Authenticatorc Với Authenticatorc = E([IDc + ADC + TS5], Kc,v) 6- Server xác thực với máy (không bắt buộc): V → C: E([TS5 + 1], Kc,v) Với: Ticketv = E([Kc,v + IDc + ADc + IDv + TS4 + Lifetime4], Kv -Bản tin (1): Máy yêu cầu cấp thẻ xác nhận người dùng (Ticket-granting-Ticket): ∙ IDC: Nhận diện người dùng (do máy gởi đến cho AS, dựa thông tin đăng nhập người dùng) ∙ IDtgs: Nhận diện TGS, mục đích cho AS biết máy muốn truy xuất đến TGS ∙ TS1: Nhãn thời gian, mục đích để đồng thời gian AS máy -Bản tin (2): AS cung cấp thẻ xác nhận người dùng cho máy con: ∙ Kc: Dùng mật người dùng làm khố mật mã, vừa có mục đích bảo vệ thông tin vừa cho phép AS xác thực mật người dùng Nếu máy khơng có mật khơng giải mã tin ∙ Kc, tgs: khố bí mật dùng máy TGS AS tạo Khóa có tác dụng phiên làm việc (session key) ∙ IDtgs: Nhận diện TGS, dùng để xác nhận thẻ có tác dụng cho phép máy truy xuất đến TGS ∙ TS2: Nhãn thời gian, cho biết thời điểm thẻ tạo ∙ Lifetime2: Cho máy biết thời gian tồn thẻ ∙ Tickettgs: Máy dùng thẻ để truy xuất TGS -Bản tin (3): Máy yêu cầu thẻ truy xuất dịch vụ (Service Granting Ticket): 17 Nhóm 12 Bài thi cuối kì mơn ANM ∙ IDV: Nhận dạng máy chủ V, dùng để thông báo cho TGS máy muốn truy xuất đến dịch vụ máy chủ V ∙ Tickettgs: Thẻ cấp cho máy AS ∙ Authenticatorc: giá trị tạo máy để xác minh thẻ Bản in (4): TGS cung cấp thẻ truy xuất dịch vụ cho máy con: ∙ Kc, tgs: Khố bí mật dùng chung máy TGS để bảo vệ nội dung tin (4) ∙ Kc, v: Khố bí mật dùng máy máy chủ V TGS tạo Khố có giá trị phiên làm việc (session key) ∙ IDv: nhận diện máy chủ V, có chức xác nhận thẻ máy chủ V ∙ TS4: nhãn thời gian cho biết thời điểm thẻ tạo ∙ Ticketv: Thẻ máy dùng để truy xuất máy chủ V ∙ Tickettgs: Thẻ dùng lại để người dùng nhập lại mật muốn truy xuất dịch vụ khác ∙ Ktgs: Khóa bí mật dùng chung AS TGS ∙ Kc, tgs: Session key TGS dùng để giải mã authenticator Khoá dùng chung máy TGS ∙ IDC: Nhận diện máy con, cho biết chủ sở hữu thẻ ∙ ADC: Địa mạng máy con, dùng để ngăn chặn trường hợp máy khác lấy cắp thẻ để yêu cầu dịch vụ ∙ IDtgs: nhận diện TGS, để xác nhận thẻ giải mã thành công ∙ TS2: nhãn thời gian cho biết thời điểm tạo thẻ ∙ Lifetime2: Thời gian tồn thẻ, nhằm ngăn chặn việc sử dụng lại thẻ (replay) ∙ Authenticatorc: Thông tin xác thực máy ∙ Kc, tgs: Khố bí mật dùng chung máy TGS, dùng để mã hố thơng tin xác thực máy ∙ IDc: nhận dạng máy con, phải trùng với ID thẻ ∙ ADc: địa mạng máy con, phải trùng với địa thẻ ∙ TS3: Nhãn thời gian, cho biết thời điểm mà authenticator tạo Bản tin (5): Máy yêu cầu truy xuất dịch vụ: ∙ Ticketv: Thẻ cho biết máycon xác thực AS ∙ Authenticatorc: Thông tin xác thực thẻ máy ... việc tìm hiểu đề tài “ Các phương pháp xác thực người sử dụng ứng dụng? ?? nâng cao hiểu biết xác thực an ninh mạng thông tin người I.TỔNG QUAN VỀ XÁC THỰC NGƯỜI SỬ DỤNG 1.1 Khái niệm xác thực người. .. TỔNG QUAN VỀ XÁC THỰC NGƯỜI SỬ DỤNG 1.1 Khái niệm xác thực 1.2 Giới thiệu định danh xác thực điều khiển truy cập II PHƯƠNG PHÁP ĐỊNH DANH VÀ XÁC THỰC 2.1 Phương pháp định... khóa khác coi chứng xác thực họ sử dụng Về bản, quy trình xác thực người sử dụng quy trình cung cấp cho người sử dụng quyền truy cập vào tài khoản họ chặn người dùng chưa xác thực có quyền truy