Trường Đại Học Khoa Học Tự Nhiên Tp HCM - Khoa Công Nghệ Thông Tin LOGO Cao học Hệ thống thơng tin khóa 17 Kỹ thuật chứng thực định danh người dùng GVHD: TS Đặng Trần Khánh SVTH: Lê Ngô Thục Vi Nguyễn Thị Bảo Chi 17/03/2009 NỘI DUNG Khái niệm chung Giao thức Kerberos Trust Negotiation Khái niệm chung Chứng thực (authentication):  Trong an ninh máy tính: quy trình nhằm cố gắng xác minh nhận dạng số (digital identity) phần truyền gửi thông tin (sender) liên lạc  Trong mạng lưới tín nhiệm: cách để đảm bảo người dùng người mà họ nói, người dùng thi hành chức hệ thống người ủy quyền để làm việc Khái niệm chung Authentication vs Authorization  Authentication (chứng thực): quy trình dùng để xác minh nhận dạng người dùng  Authorization (ủy quyền): quy trình nhằm xác minh người dùng biết trước, có quyền lực để thao tác q trình hoạt động hay khơng  Authentication phải thực trước Authorization NỘI DUNG Khái niệm chung Giao thức Kerberos Trust Negotiation KERBEROS Lịch sử phát triển Khái niệm Nguyên tắc hoạt động Mô tả giao thức Hoạt động Đánh giá Lịch sử phát triển  Được học viện Massachusetts phát triển với mục đích bảo vệ dịch vụ mạng cung cấp dự án Athena  Được phát triển nhiều phiên bản, phiên từ đến dùng nội MIT  Steve Miller Clifford Neuman xuất phiên công chúng vào cuối thập niên 1980  Phiên John Kohl Clifford Neuman thiết kế vào năm 1993 với mục đích sửa lỗi phiên Khái niệm Kerberos giao thức mật mã dùng để xác thực mạng máy tính hoạt động đường truyền khơng an tồn Giao thức xây dựng dựa mã hóa khóa đối xứng cần đến bên thứ ba mà hai phía tham gia giao dịch tin tưởng Mục tiêu: nhằm vào mơ hình client-server mơi trường mạng phân tán đảm bảo nhận thực cho hai chiều Khái niệm Tại sao? Công dụng: nguy sử dụng dịch vụ server: Cho phép thực thể truyền thông Người dùng giả dạng thành ngườiđảm bảo mạng chứng thực lẫn mà khác an toàn Người dùng thay đổi địa máy làm Chống nghe Chống công replay attack (gửi lại việc gói tin cũ) Người dùng nghe trao đổi sử Đảm bảo tính tồn vẹn tính mật cho dụng replay attack thơng tin truyền Nguyên tắc hoạt động Thiết kế dựa giao thức Needham-Schroeder      A → S: A, B, NA S → A: {NA, KAB, B, [KAB, A] KBS} KAS A → B: {KAB, A} KBS B → A: {NB} KAB A → B: {NB – 1} KAB (A: Alice, S: máy chủ, B: Bob) 10 Nâng cao tính bảo mật Trust-X cải tiến  Chia miền thông tin tài liệu chứng thực C R E D E N T IA L H EADER (p la in ) C R E D E N T IA L C O N TEN T (b lin d e d a t fir s t r e le a s e ) TYPE ISSUER French Thông tin quan trọng Chữ ký xác nhận CREDENTIAL HEADER IS USED AS A CREDENTIAL PROOF: particular state of a privacy enhanced credential, where the header is plain and the content is hidden, while the signature over the whole document can be verified 42 Nâng cao tính bảo mật Trust-X cải tiến  Sử dụng biểu thức điều kiện  P() C loại tài liệu chứng thực tập điều kiện Biểu thức điều khoản TERM R←P (c), P (c) Điều khoản dùng đối chiếu 43 P(C) Yêu cầu cần chứng thực 43 Nâng cao tính bảo mật Trust-X cải tiến  Khái niệm ngữ cảnh việc cơng bố sách • Chính sách cơng bố đầu tiên? • Các sách trình thương lượng? ngữ cảnh việc cơng bố sách 44 44 TRUST-X CẢI TiẾN Giới thiệu Nâng cao tính bảo mật tín khoản Chính sách bảo mật Chiến lược mơ hình Trust-X Kiến trúc hệ thống Đánh giá 45 Chính sách bảo mật Giai đoạn mở đầu Giai đoạn trao đổi điều khoản Giai đoạn trao đổi tài liệu chứng thực điện tử Cung cấp dịch vụ 46 Chính sách bảo mật 47 TRUST-X CẢI TiẾN Giới thiệu Nâng cao tính bảo mật tín khoản Chính sách bảo mật Chiến lược mơ hình Trust-X Kiến trúc hệ thống Đánh giá 48 Chiến lược mơ hình Trust-X  Hiện tại,người ta chia mục đích chiến lược khác tượng trưng cho cách tiếp cận với mô hình trust negotiation :  Standard  Suspicious  Strongly suspicious  Trusting  Mixed Strategy 49 TRUST-X CẢI TiẾN Giới thiệu Nâng cao tính bảo mật tín khoản Chính sách bảo mật Chiến lược mơ hình Trust-X Kiến trúc hệ thống Đánh giá 50 Kiến trúc hệ thống 51 Kiến trúc hệ thống  Ví dụ: 52 TRUST-X CẢI TiẾN Giới thiệu Nâng cao tính bảo mật tín khoản Chính sách bảo mật Chiến lược mơ hình Trust-X Kiến trúc hệ thống Đánh giá 53 Đánh giá Trust-X hệ thống hiệu bảo mật tốt giao dịch tin cậy (trust negotiation)  Chọn lựa thuộc tính/thơng tin thật cần thiết để trao đổi  Có hỗ trợ sách bảo mật thơng tin nhạy cảm điều khoản tài liệu chứng thực  Trust-X hệ thống trust negotiation triển khai dựa tảng P3P 54 Reference [1] Giới thiệu Trust Negotiation  http://en.wikipedia.org/wiki/Trust_negotiation [2] Automatic Trust Negotiation  http://crypto.stanford.edu/~ninghui/abstracts/atn_poli cy02.html [3] PP-Trust-X: A system for privacy preserving trust negotiation :A Squicciarini , E Bertino , E Ferrari , F Paci , B Thuraisingham LOGO 56 ... đảm bảo người dùng người mà họ nói, người dùng thi hành chức hệ thống người ủy quyền để làm việc Khái niệm chung Authentication vs Authorization  Authentication (chứng thực) : quy trình dùng để... tin tưởng (tức sau bước chứng nhận sách người dùng thực làm rõ hơn, bước cuối người dùng có tồn quyền với sách mà u cầu)  Tính song song (Bilateral): Người dùng u cầu chứng nhận từ hệ thống trước... nhận thực cho hai chiều Khái niệm Tại sao? Công dụng: nguy sử dụng dịch vụ server: Cho phép thực thể truyền thông ? ?Người dùng giả dạng thành người? ?ảm bảo mạng chứng thực lẫn mà khác an toàn Người