MỤC LỤC MỤC LỤC LỜI CÁM ƠN LỜI NÓI ĐẦU CHƯƠNG 1: MỘT SỐ KHÁI NIỆM CƠ SỞ 1.1 KHÁI NIỆM MÃ HOÁ 1.1.1 Hệ mã hóa .7 1.1.2 Một số hệ mã hóa thường dùng 1.2 SƠ ĐỒ CHỮ KÍ ĐIỆN TỬ 1.3 HÀM BĂM (HASH FUNCTION) 10 1.4 TỔNG QUAN VỀ ATTT 11 1.4.1 Một số khái niệm 11 1.4.2 Một số toán ATTT 11 1.4.3 Các yêu cầu đảm bảo ATTT .12 1.4.4 Một số giải pháp chung bảo đảm ATTT 13 CHƯƠNG 2: VẤN ĐỀ KIỂM SOÁT TRUY NHẬP 14 2.1 MỘT SỐ PHƯƠNG PHÁP KIỂM SOÁT TRUY NHẬP .14 2.1.1 Kiểm soát truy cập trực tiếp 14 2.1.1.1 Hệ thống kiểm soát truy cập trực tiếp 14 2.1.1.2 Mật .16 2.2.2 Kiểm soát truy nhập “tự động” 21 2.2 MỘT SỐ CHÍNH SÁCH TRUY CẬP .22 2.2.1 Kiểm soát truy cập tuỳ quyền 22 2.2.3 Kiểm soát truy cập bắt buộc .24 2.3 MỘT SỐ KĨ THUẬT KIỂM SOÁT TRUY NHẬP 25 2.3.1 Hệ thống nhận dạng xác thực 25 2.3.2 Tường lửa (Firewall) 27 2.3.2.1 Khái niệm tường lửa 27 2.3.2.2 Phân loại tường lửa 27 2.3.2.3 Nhận dạng tường lửa 27 2.3.2.4 Những hạn chế Firewall 31 2.3.3 Mạng riêng ảo (Virtual Private Network - VPN) .32 2.3.3.1 Khái niệm mạng riêng ảo 32 2.3.3.2 Các mơ hình VPN 32 2.3.4 Hệ thống phát ngăn chặn xâm nhập 33 2.3.4.1 Hệ thống phát xâm nhập (Intrusion Detect System - IDS) 33 2.3.4.2 Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS) .36 2.3.4.3 Những hạn chế IDS /IPS .40 2.3.5 Tường lửa ứng dụng Web (Web Application Firewall - WAF) 41 2.3.5.1 Khái niệm WAF 41 2.3.5.2 Các tính WAF .42 2.4 VẤN ĐỀ PHÂN QUYỀN TRUY NHẬP 45 2.4.1 Kiểm soát truy nhập 45 2.4.2 Cơ chế kiểm soát truy nhập .48 KẾT LUẬN 49 TÀI LIỆU THAM KHẢO 50 LỜI CÁM ƠN Em xin chân thành cám ơn PGS TS Trịnh Nhật Tiến tận tình hướng dẫn, giúp đỡ trình hồn thành đồ án, thầy khoa CNTT trường ĐHDL Hải Phịng ln tạo điều kiện cho chúng em hoàn thành tốt nhiệm vụ giao Em cám ơn gia đình nhà trường tạo điều kiện thuận lợi cho em suốt q trình học tập Hải phịng 21 tháng năm 2007 Sinh viên Đồn Trọng Hiệp LỜI NĨI ĐẦU Khố luận trình bày bảo đảm ATTT kiểm soát truy nhập Khoá luận tập trung vào số phương pháp kiểm sốt truy nhập, số sách truy cập, số kĩ thuật kiểm soát truy nhập Nội dung khoá luận gồm: Chương 1: Tập trung vào trình bày số khái niệm liên quan đến ATTT như: hệ mã hố, chữ kí điện tử, hàm băm Ngồi ra, trình bày cách tổng quan vấn đề ATTT như: yêu cầu giải pháp bảo đảm ATTT Đồng thời nêu toán ATTT Chương 2: Cho hiểu biết chung vấn đề kiểm soát truy nhập Phần này, tập trung vào trình bày số phương pháp kiểm sốt truy nhập, sách truy nhập, kĩ thuật kiểm sốt truy nhập Trình bày phương pháp thường sử dụng kiểm soát truy nhập, kiểm sốt truy nhập “trực tiếp” kiểm sốt truy nhập “tự động” Trình bày số sách kiểm sốt truy nhập Ở phần này, cho nhìn tổng quan sách kiểm sốt truy nhập Tiếp theo, khố luận trình bày kĩ thuật kiểm sốt truy nhập Đó là, hệ thống nhận dạng xác thực, tường lửa, mạng riêng ảo, hệ thống phát ngăn chặn xâm nhập, tường lửa ứng dụng web Ở phần này, ngồi việc cho có khái niệm bản, ưu nhược điểm kĩ thuật Trong q trình hồn thành đồ án tốt nghiệp, người viết khơng tránh khỏi thiếu sót Rất mong nhận đóng góp ý kiến thấy bạn Bảng danh mục từ, thuật ngữ ACL (Access Control List) ATTT CA (Certificate Authourity) Cisco ACL Danh sách kiểm sốt truy cập An tồn thơng tin Tổ chức cấp chứng Danh sách kiểm soát truy cập CSDL DAC (Discretionary Access Control) DDoS (Distrubuted DoS) DES (Data Encrytion Standard) DoS ( Denial of Service) DSS (Digital Signature Standard) FTP (File Transfer Protocol) gcd (greatest common divion) HIDS (Host IDS) HTTP (Hypertext Transfer Protocol) ICMP (Internet Control Message Protocol) IDS (Intrustion Detect System) IETF (Internet Engineering Cisco Cơ sở liệu Kiểm soát truy cập tuỳ quyền Từ chối dịch vụ phân tán Từ chối dịch vụ Giao thức truyền file Ước số chung lớn Giao thức truyền siêu văn Giao thức kiểm sốt thơng điệp mạng Hệ thống phát xâm nhập Task Force) IPS (Intrustion Prevent System) ISP (Internet Service Providers) LBAC (Lattice Based Access Control) MAC (Mandatory Access Control) NIC (Network Interface Card) NIDS (Network base IDS) PIN (Personal Identification Number ) PKI (Public Key Infrastructure) RBAC (Role Base Access Control) SNMP (Simple Network Managerment Hệ thống ngăn chặn xâm nhập Nhà quản lí thiết bị mạng Kiểm sốt truy cập dùng lưới Kiểm soát truy cập bắt buộc Card giao tiếp mạng Số định danh cá nhân Hạ tầng sở khố cơng khai Kiểm sốt truy cập sở vai trị Giao thức quản lí mạng Protocol) SSL (Secure Socket Layer) Khe cắm an toàn SYN (Synchronize) Đồng TA (Trusted Authority) Cơ quan uỷ thác cấp chứng thực TCP (Transmission Control Protocol) TCP/ IP (Transfer Control Protocol/ Internet Protocol) UDP (User Datagram Protocol) URL (Uniform Resource Locator) WAF (Web Application Firewall) Tường lửa ứng dụng web CHƯƠNG 1: MỘT SỐ KHÁI NIỆM CƠ SỞ 1.1 KHÁI NIỆM MÃ HỐ 1.1.1 Hệ mã hóa Hệ mã hóa gồm thành phần (P, C, K, E, D) đó: P (Plaintext): tập hữu hạn rõ C (Ciphertext): tập hữu hạn mã K (Key): tập hữu hạn khóa E (Encrytion): tập hàm lập mã D (Decrytion): tập hàm giải mã Với k  K, có hàm lập mã ek  E, ek : P  C hàm giải mã dk D, dk: C  P cho dk(ek(x)) = x ,  x  P Mã hóa cho ta mã ek(P)= C Giải mã cho ta rõ dk(C)= P 1.1.2 Một số hệ mã hóa thường dùng Hệ mã hóa đối xứng hệ mã mà ta biết khóa lập mã, “dễ” tính khóa giải mã ngược lại Trong nhiều trường hợp khóa lập mã giải mã giống Hệ mã hóa đối xứng yêu cầu người nhận gửi phải thỏa thuận khóa trước thơng tin gửi Khóa phải giữ bí mật, độ an tồn hệ phụ thuộc vào khóa Nếu khóa bị lộ dễ giải mã Một số hệ mã hóa đối xứng: DES, RC2, RC4, RC5, IDEA, Hệ mã hóa phi đối xứng hệ mã mà biết khóa lập mã, khó” tính khố giải mã ngược lại Hệ gọi hệ mã hóa khóa cơng khai khóa để mã hóa cơng khai Ta dùng khóa cơng khai để mã hóa thơng điệp, người có khóa giải mã đọc thơng điệp Một số hệ mã hoá phi đối xứng: RSA, Elgamal, Ví dụ: Hệ mã RSA (Rivest, Shamir, Adleman ) Mã RSA đề xuất năm 1977, toán dựa tính “khó giải” tốn phân tích số thừa số nguyên tố Để xây dựng hệ mật mã khố cơng khai RSA, ta chọn trước số nguyên n = p.q, với p q số nguyên tố lớn Chọn số a nguyên tố với Ф(n), với Ф(n) = (p-1) (q-1) Tính b cho b.a ≡ mod Ф(n) Sơ đồ mã hoá RSA : thành phần (P, C, K, E, D), kí hiệu mục 1.1.1 Mỗi khố k = (k’, k’’), k’ khố cơng khai dành cho việc lập mã, k’’ khố bí mật dành cho việc giải mã Chọn n = p.q với p, q số nguyên tố lớn Đặt P = C = Zn Chọn a nguyên tố với Ф(n) = (p-1)(q-1) Ta định nghĩa k = {(n, b, a): a.b  mod Ф(n)} k (k’, k’’) với k’ = (n, b ) cơng khai, k’’ = a bí mật x  P, y  C, định nghĩa: Hàm mã hoá: ek’(x) = xa mod n Hàm giải mã: dk ‘’(y) = yb mod n 1.2 SƠ ĐỒ CHỮ KÍ ĐIỆN TỬ Chữ kí điện tử thơng tin kèm theo tài liệu khác văn bản, hình ảnh, nhằm mục đích xác định người chủ liệu đảm bảo tính tồn vẹn liệu Đồng thời cịn cung cấp chức chống chối bỏ người gửi thông tin Sơ đồ kí điện tử gồm thành phần (P, A, K, S, V) đó: P tập hữu hạn văn A tập hữu hạn chữ kí K tập hữu hạn khóa Với k  K, k = (k’, k’’), k’ khố bí mật để kí, k’’ khố cơng khai để kiểm thử chữ kí S tập thuật tốn kí V tập thuật toán kiểm thử Với k  K, có thuật tốn ký sig k’  S, sig k: P  A thuật toán kiểm thử ver k’’  V, ver k’’: P x A  {đúng, sai}, thoả mãn điều kiện sau với x  P, y  A: ver k’’ (x,y) = đúng, y = sig k’(x) sai, y  sig k’(x) Một số chữ kí điện tử: RSA, Elgamal, DSS, 1.3 HÀM BĂM (HASH FUNCTION) Giả sử D tập văn X tập văn tóm lược (đại diện) Việc tìm cho văn tóm lược tương ứng xác định hàm h: D X Hàm h gọi hàm băm Hàm băm hàm với đầu vào văn có độ dài thay đổi, đầu văn tóm lược có độ dài cố định đủ nhỏ Hàm băm thường phải thỏa mãn điều kiện sau: + Hàm băm phải hàm không va chạm mạnh: Khơng có thuật tốn tính thời gian đa thức để tìm x 1, x2 D cho x1  x2 h(x1 ) = h(x2 ) Tức tìm văn khác có đại diện “khó” + Hàm băm hàm phía: Tức cho x tính z = h(x) “dễ”, biết z tính x “khó” + Hàm băm phải hàm không va chạm yếu: Tức cho x  D, khó tìm x’  D, x’  x h(x) = h(x’) 1.4 TỔNG QUAN VỀ ATTT 1.4.1 Một số khái niệm Hacker: kẻ xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu thành phần truy nhập hệ thống Masquerader: kẻ giả mạo thông tin mạng Một số hình thức giả mạo giả mạo địa IP, tên miền Eavesdropping: đối tượng nghe trộm thông tin mạng, chúng sử dụng cơng cụ sniffer, sau dùng cơng cụ phân tích debug để lấy thơng tin có giá trị Sniffer: Trong bảo mật hệ thống sniffer hiểu cơng cụ (có thể phần mềm phấn cứng) “bắt” thông tin lưu chuyển mạng Dùng thông tin thu 10