An toàn thông tin mạng (phần 3) Cập nhật ngày: 14/05/2008 Cổng vòng (circuit-Level Gateway) Cổng vòng chức đặc biệt thực đươc cổng ứng dụng Cổng vòng đơn giản chuyển tiếp (relay) kết nối TCP mà không thực hành động xử lý hay lọc packet Hình 2.2 minh hoạ hành động sử dụng nối telnet qua cổng vòng Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực kiểm tra, lọc hay điều khiển thủ tục Telnet nào.Cổng vòng làm việc sợi dây,sao chép byte kết nối bên (inside connection) kết nối bên (outside connection) Tuy nhiên, kết nối xuất từ hệ thống firewall, che dấu thông tin mạng nội Cổng vòng thường sử dụng cho kết nối ngoài, nơi mà quản trị mạng thật tin tưởng người dùng bên Ưu điểm lớn bastion host cấu hỗn hợp cung cấp Cổng ứng dụng cho kết nối đến, cổng vòng cho kết nối Điều làm cho hệ thống tường lửa dễ dàng sử dụng cho người mạng nội muốn trực tiếp truy nhập tới dịch vụ Internet, cung cấp chức tường lửa để bảo vệ mạng nội từ công bên ngoài.1.1.2 Những hạn chế firewall Firewall không đủ thông minh người để đọc hiểu loại thông tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa Firewall ngăn chặn công công không `đi qua` Một cách cụ thể, firewall chống lại công từ đường dial-up, dò rỉ thông tin liệu bị chép bất hợp pháp lên đĩa mềm Firewall chống lại công liệu (data-driven attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua firewall vào mạng bảo vệ bắt đầu hoạt động Một ví dụ virus máy tính Firewall làm nhiệm vụ rà quét virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, thoát khỏi khả kiểm soát firewall.1.1.3 Các ví dụ firewall 1.1.3.1 Packet-Filtering Router (Bộ trung chuyển có lọc gói) Hệ thống Internet firewall phổ biến bao gồm packetfiltering router đặt mạng nội Internet (Hình 2.3) Một packet-filtering router có hai chức năng: chuyển tiếp truyền thông hai mạng sử dụng quy luật lọc gói phép hay từ chối truyền thông Căn bản, quy luật lọc đựơc định nghĩa cho host mạng nội quyền truy nhập trực tiếp tới Internet, host Internet có số giới hạn truy nhập vào máy tính mạng nội Tư tưởng mô cấu trúc firewall tất không rõ ràng cho phép có nghĩa bị từ chối Hình 2.3 Packet-filtering router Ưu điểm: giá thành thấp (vì cấu hình đơn giản) suốt người sử dụng Hạn chế: Có tất hạn chế packet-filtering router, dễ bị công vào lọc mà cấu hình đặt không hoàn hảo, bị công ngầm dịch vụ phép Bởi packet trao đổi trực tiếp hai mạng thông qua router , nguy bị công định số lượng host dịch vụ phép Điều dẫn đến host phép truy nhập trực tiếp vào Internet cần phải cung cấp hệ thống xác thực phức tạp, thường xuyên kiểm tra người quản trị mạng xem có dấu hiệu công không Nếu packet-filtering router cố ngừng hoạt động, tất hệ thống mạng nội bị công 1.1.3.2 Screened Host Firewall Hệ thống bao gồm packet-filtering router bastion host (hình 2.4) Hệ thống cung cấp độ bảo mật cao hệ thống trên, thực bảo mật tầng network( packet-filtering ) tầng ứng dụng (application level) Đồng thời, kẻ công phải phá vỡ hai tầng bảo mật để công vào mạng nội Hình 2.4 Screened host firewall (Single- Homed Bastion Host) Trong hệ thống này, bastion host cấu hình mạng nội Qui luật filtering packet-filtering router định nghĩa cho tất hệ thống bên truy nhập bastion host; Việc truyền thông tới tất hệ thống bên bị khoá Bởi hệ thống nội bastion host mạng, sách bảo mật tổ chức định xem hệ thống nội phép truy nhập trực tiếp vào bastion Internet chúng phải sử dụng dịch vụ proxy bastion host Việc bắt buộc user nội thực cách đặt cấu hình lọc router cho chấp nhận truyền thông nội xuất phát từ bastion host Ưu điểm: Máy chủ cung cấp thông tin công cộng qua dịch vụ Web FTP đặt packet-filtering router bastion Trong trường hợp yêu cầu độ an toàn cao nhất, bastion host chạy dịch vụ proxy yêu cầu tất user truy nhập qua bastion host trước nối với máy chủ Trường hợp không yêu cầu độ an toàn cao máy nội nối thẳng với máy chủ Nếu cần độ bảo mật cao dùng hệ thống firewall dual-home (hai chiều) bastion host (hình 2.5) Một hệ thống bastion host có giao diện mạng (network interface), khả truyền thông trực tiếp hai giao diện qua dịch vụ proxy bị cấm Hình 2.5 Screened host firewall (Dual- Homed Bastion Host) Bởi bastion host hệ thống bên truy nhập từ Internet, công giới hạn đến bastion host mà Tuy nhiên, người dùng truy nhập vào bastion host họ dễ dàng truy nhập toàn mạng nội Vì cần phải cấm không cho người dùng truy nhập vào bastion host.1.1.3.3 Demilitarized Zone (DMZ - khu vực phi quân sự) hay Screened-subnet Firewall Hệ thống bao gồm hai packet-filtering router bastion host (hình 2.6) Hệ thống firewall có độ an toàn cao cung cấp mức bảo mật : network application định nghĩa mạng “phi quân sự” Mạng DMZ đóng vai trò mạng nhỏ, cô lập đặt Internet mạng nội Cơ bản, DMZ cấu hình cho hệ thống Internet mạng nội truy nhập số giới hạn hệ thống mạng DMZ, truyền trực tiếp qua mạng DMZ Với thông tin đến, router chống lại công chuẩn (như giả mạo địa IP), điều khiển truy nhập tới DMZ Nó cho phép hệ thống bên truy nhập bastion host, information server Router cung cấp bảo vệ thứ hai cách điều khiển DMZ truy nhập mạng nội với truyền thông bastion host Với thông tin đi, router điều khiển mạng nội truy nhập tới DMZ Nó cho phép hệ thống bên truy nhập bastion host information server Quy luật filtering router yêu cầu sử dung dich vụ proxy cách cho phép thông tin bắt nguồn từ bastion host Ưu điểm: Kẻ công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host router Bởi router quảng cáo DMZ network tới Internet, hệ thống mạng nội nhìn thấy (invisible) Chỉ có số hệ thống chọn DMZ biết đến Internet qua routing table DNS information exchange (Domain Name Server) Bởi router quảng cáo DMZ network tới mạng nội bộ, hệ thống mạng nội truy nhập trực tiếp vào Internet Điều đảm bảo user bên bắt buộc phải truy nhập Internet qua dịch vụ proxy Hình 2.6 Screened-Subnet Firewall An toàn thông tin mạng (phần 2) Cập nhật ngày: 14/05/2008 1.1.1.1 Vô hiệu hoá chức hệ thống (denial of service) Đây kểu công nhằm tê liệt hệ thống, không cho thực chức mà thiết kế Kiểu công ngăn chặn được, phương tiện tổ chức công phương tiện để làm việc truy nhập thông tin mạng Ví dụ sử dụng lệnh ping với tốc độ cao có thể, buộc hệ thống tiêu hao toàn tốc độ tính toán khả mạng để trả lời lệnh này, không tài nguyên để thực công việc có ích khác.1.1.1.2 Lỗi người quản trị hệ thống Đây kiểu công kẻ đột nhập, nhiên lỗi người quản trị hệ thống thường tạo lỗ hổng cho phép kẻ công sử dụng để truy nhập vào mạng nội bộ.1.1.1.3 Tấn công vào yếu tố người Kẻ công liên lạc với người quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phương pháp công khác Với kiểu công không thiết bị ngăn chặn cách hữu hiệu, có cách giáo dục người sử dụng mạng nội yêu cầu bảo mật để đề cao cảnh giác với tượng đáng nghi Nói chung yếu tố người điểm yếu hệ thống bảo vệ nào, có giáo dục cộng với tinh thần hợp tác từ phía người sử dụng nâng cao độ an toàn hệ thống bảo vệ.1.1.2 Phân loại kẻ công Có nhiều kẻ công mạng toàn cầu - Internet phân loại chúng cách xác, phân loại kiểu nên xem giới thiệu cách nhìn rập khuôn.1.1.2.1 Người qua đường Người qua đường kẻ buồn chán với công việc thường ngày, họ muốn tìm trò giải trí Họ đột nhập vào máy tính bạn họ nghĩ bạn có liệu hay, họ cảm thấy thích thú sử dụng máy tính người khác, đơn giản họ không tìm việc hay để làm Họ người tò mò không chủ định làm hại bạn Tuy nhiên, họ thường gây hư hỏng hệ thống đột nhập hay xoá bỏ dấu vết họ.1.1.2.2 Kẻ phá hoại Kẻ phá hoại chủ định phá hoại hệ thống bạn, họ không thích bạn, họ bạn họ tìm thấy niềm vui phá hoại Thông thường, Internet kẻ phá hoại Mọi người không thích họ Nhiều người thích tìm chặn đứng kẻ phá hoại Tuy kẻ phá hoại thường gây hỏng trầm trọng cho hệ thống bạn xoá toàn liệu, phá hỏng thiết bị máy tính bạn 1.1.2.3 Kẻ ghi điểm Rất nhiều kẻ qua đường bị hút vào việc đột nhập, phá hoại Họ muốn khẳng định thông qua số lượng kiểu hệ thống mà họ đột nhập qua Đột nhập vào nơi tiếng, nơi phòng bị chặt chẽ, nơi thiết kế tinh xảo có giá trị nhiều điểm họ Tuy nhiên họ công tất nơi họ có thể, với mục đích số lượng mục đích chất lượng Những người không quan tâm đến thông tin bạn có hay đặc tính khác tài nguyên bạn Tuy nhiên để đạt mục đích đột nhập, vô tình hay hữu ý họ làm hư hỏng hệ thống bạn 1.1.2.4 Gián điệp Hiện có nhiều thông tin quan trọng lưu trữ máy tính thông tin quân sự, kinh tế Gián điệp máy tính vấn đề phức tạp khó phát Thực tế, phần lớn tổ chức phòng thủ kiểu công cách hiệu bạn đường liên kết với Internet đường dễ để gián điệp thu lượm thông tin.1.2 Vậy Internet Firewall gì? 1.2.1 Định nghĩa Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thống số thông tin khác không mong muốn Cũng hiểu Firewall chế để bảo vệ mạng tin tưởng (trusted network) khỏi mạng không tin tưởng (untrusted network) Internet Firewall thiết bị (phần cứng+phần mềm) mạng tổ chức, công ty, hay quốc gia (Intranet) Internet Nó thực vai trò bảo mật thông tin Intranet từ giới Internet bên ngoài.1.2.2 Chức Internet Firewall (từ sau gọi tắt firewall) thành phần đặt Intranet Internet để kiểm soát tất việc lưu thông truy cập chúng với bao gồm: Firewall định dịch vụ từ bên phép truy cập từ bên ngoài, người từ bên phép truy cập đến dịch vụ bên trong, dịch vụ bên phép truy cập người bên Để firewall làm việc hiệu quả, tất trao đổi thông tin từ ngược lại phải thực thông qua Firewall Chỉ có trao đổi phép chế độ an ninh hệ thống mạng nội quyền lưu thông qua Firewall Sơ đồ chức hệ thống firewall mô tả hình 2.1 Hình 2.1 Sơ đồ chức hệ thống firewall1.2.3 Cấu trúc Firewall bao gồm: Một nhiều hệ thống máy chủ kết nối với định tuyến (router) có chức router Các phần mềm quản lý an ninh chạy hệ thống máy chủ Thông thường hệ quản trị xác thực (Authentication), cấp quyền (Authorization) kế toán (Accounting) Chúng ta đề cập kỹ hoạt động hệ phần sau 1.2.4 Các thành phần Firewall chế hoạt động Một Firewall chuẩn bao gồm hay nhiều thành phần sau đây: Bộ lọc packet ( packet-filtering router ) Cổng ứng dụng (application-level gateway hay proxy server ) Cổng mạch (circuite level gateway) 1.2.4.1 Bộ lọc gói tin (Packet filtering router) 1.2.4.1.1 Nguyên lý: Khi nói đến việc lưu thông liệu mạng với thông qua Firewall điều có nghĩa Firewall hoạt động chặt chẽ với giao thức liên mạng TCP/IP Vì giao thức làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành gói liệu (data packets) gán cho packet địa để nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến packet số địa chúng Bộ lọc packet cho phép hay từ chối packet mà nhận Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thoả mãn số luật lệ lọc packet hay không Các luật lệ lọc packet dựa thông tin đầu packet (packet header), dùng phép truyền packet mạng Đó là: Địa IP nơi xuất phát ( IP Source address) Địa IP nơi nhận (IP Destination address) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destination port) Dạng thông báo ICMP ( ICMP message type) giao diện packet đến ( incomming interface of packet) giao diện packet ( outcomming interface of packet) Nếu luật lệ lọc packet thoả mãn packet chuyển qua firewall Nếu không packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác định, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Hơn nữa, việc kiểm soát cổng làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ (Telnet, SMTP, FTP ) phép chạy hệ thống mạng cục 1.2.4.1.2 Ưu điểm Đa số hệ thống firewall sử dụng lọc packet Một ưu điểm phương pháp dùng lọc packet chi phí thấp chế lọc packet bao gồm phần mềm router Ngoài ra, lọc packet suốt người sử dụng ứng dụng, không yêu cầu huấn luyện đặc biệt 1.2.4.1.3 Hạn chế: Việc định nghĩa chế độ lọc packet việc phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể dịch vụ Internet, dạng packet header, giá trị cụ thể mà họ nhận trường Khi đòi hỏi vể lọc lớn, luật lệ vể lọc trở nên dài phức tạp, khó để quản lý điều khiển Do làm việc dựa header packet, rõ ràng lọc packet không kiểm soát nội dung thông tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu 1.2.4.2 Cổng ứng dụng (application-level gateway) 1.2.4.2.1 Nguyên lý Đây loại Firewall thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi Proxy service (dịch vụ đại diện) Proxy service chương trình đặc biệt cài đặt gateway cho ứng dụng Nếu người quản trị mạng không cài đặt chương trình proxy cho ứng dụng đó, dịch vụ tương ứng không cung cấp chuyển thông tin qua firewall Ngoài ra, proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà ngưòi quản trị mạng cho chấp nhận từ chối đặc điểm khác Một cổng ứng dụng thường coi pháo đài (bastion host), thiết kế đặt biệt để chống lại công từ bên Những biện pháp đảm bảo an ninh bastion host là: Bastion host chạy version an toàn (secure version) phần mềm hệ thống (Operating system) Các version an toàn thiết kế chuyên cho mục đích chống lại công vào Operating System, đảm bảo tích hợp firewall Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt bastion host, đơn giản dịch vụ không cài đặt, bị công Thông thường, số giới hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host Bastion host yêu cầu nhiều mức độ xác thực khác nhau, ví dụ user password hay smart card Mỗi proxy đặt cấu hình phép truy nhập sồ máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống Mỗi proxy trì nhật ký ghi chép lại toàn chi tiết giao thông qua nó, kết nối, khoảng thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại Mỗi proxy độc lập với proxies khác bastion host Điều cho phép dễ dàng trình cài đặt proxy mới, hay tháo gỡ môt proxy có vấn để Ví dụ: Telnet Proxy Ví dụ người (gọi outside client) muốn sử dụng dịch vụ TELNET để kết nối vào hệ thống mạng qua môt bastion host có Telnet proxy Quá trình xảy sau: Outside client telnets đến bastion host Bastion host kiểm tra password, hợp lệ outside client phép vào giao diện Telnet proxy Telnet proxy cho phép tập nhỏ lệnh Telnet, định máy chủ nội outside client phép truy nhập Outside client máy chủ đích Telnet proxy tạo kết nối riêng tới máy chủ bên trong, chuyển lệnh tới máy chủ uỷ quyền outside client Outside client tin Telnet proxy máy chủ thật bên trong, máy chủ bên tin Telnet proxy client thật 1.2.4.2.2 Ưu điểm: Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy chủ truy nhập dịch vụ Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ cho phép, vắng mặt proxy cho dịch vụ tương ứng có nghĩa dịch vụ bị khoá Cổng ứng dụng cho phép kiểm tra độ xác thực tốt, có nhật ký ghi chép lại thông tin truy nhập hệ thống Luật lệ filltering (lọc) cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc packet 1.2.4.2.3 Hạn chế: Yêu cầu users biến đổi (modìy) thao tác, modìy phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy Ví dụ, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước đê nối với máy chủ bước Tuy nhiên, có số phần mềm client cho phép ứng dụng cổng ứng dụng suốt, cách cho phép user máy đích cổng ứng dụng lệnh Telnet Hệ thống an ninh liệu - giải pháp an toàn mạng Cập nhật ngày: 01/01/1900 Trong kinh tế sổ, sử dụng thông tin hiệu quả, nhanh chóng an toàn trở thành ước mơ nỗ lực tổ chức cá nhân nói chung Tại đơn vị, dịch vụ có hàm lương ứng dụng CNTT nhiều, công tác bảo đảm an ninh liệu đặc biệt coi trọng Việc quản lý, khai thác sử dụng xử lý nguồn thông tin tổ chức cá nhân đặt trước toán lớn: bảo vệ chống việc truy cập bất hợp pháp thông tin truyền tải tên mạng truyền liệu công cộng cho phép người uỷ nhiệm sử dụng nguồn thông tin mà họ cấp quyền; Đó yêu cầu giải pháp hệ,thống an ninh cho hệ thống mạng hay gọi hệ thông an ninh liệu Phát triển hệ thống an ninh liệu - nhu cầu cấp thiết Cùng với phát triển siêu xa lộ thông tin Intemet xu hướng hội nhập toàn cầu, môi trường thông tin cá nhân, tổ chức quốc gia mở rộng Thông tin, liệu truyền tải đường truyền công cộng ngày nhiêu, kéo theo nguy bị cắp liệu ngày lớn; cần phải xây dựng phát triển hệ thống an ninh để báo vệ toàn vẹn thông tin Ngày nhiều ``Tin tặc`` (Hacker) có trình độ cao cộ gắng truy cập thông tin từ mạng nội bợ, có vô thức nhằm mục đích đùa vui, nghiêm trọng việc ăn cắp thông tin riêng, phá hỏng hệ thống sở liệu quan trọng Hiện giới nạn tin tặc phát triển Các mạng thông tin thường bị các,Hacker xâm nhập thông tin bị thất thoát Đây vấn đề đáng lo ngại giới Nhất lình vực Thương mại điện tử Ngân hàng điện tử (e-bạnking); Trên đường truyền mạng, Hacker kết nối mạng truy cập thông tin giải pháp Security thích hợp Hacker ăn cắp thông tin cách tạo virus để xâm nhập vào máy Server user từ đọc user passwơrd máy đó, sau gửi thông tin vê cho máy chủ Hacker theo điều kiện tiêu chuẩn Hacker truy cập vào mạng thông tin qua mạng thoại công cộng.Thông lĩnh vực Thương mại điện điện tử, an toàn bảo mật thông tin cần thiết lnên quan tới việc mua bán toán qua mạng Internet thẻ Nếu việc Security cho không an toàn khách hàng không dám thực việc mua bán mạng Trong lĩnh vực E-BANKING, an toàn bảo mật thông tin tối cần thiệt liên quan tới việc toán điện tử chuyển khoản điện tử thông qua mạng ngân,hàng Thỉnh thoảng nghe việc ăn, cắp tiền mạng ngân hàng giới Nếu thực không bảo đảm an toàn gây thiệt hại cho người gửi tiền gây thiệt hại cho ngân hàng ĐĂC biệt, với việc Chính phủ chấp nhận sử dụng chữ ký điện tử để thực việc toán qua mạng việc an toàn liệu đòi hỏi cao Công nghệ an toàn bảo mật thông tin CNTT ngày phát triền, đòi hỏi việc bảo mật cho thông tin phải ngày an toàn tinh xảo để không bị đánh lừa phá hoại công nghệ tiên tiến khác, lại phải tiện dụng người sử dụng bình thường để không trở thành nỗi ám ảnh bảo mật Giải pháp bảo mật phải tuân theo chuẩn quốc tế để bảo đảm độ an toàn tổ chức, cá nhân kiểm tra tính an toàn giải thuật muốn Nhờ tuân theo chuẩn mở kiểm nghiệm chặt chẽ nên câu trúc phương thức hoạt động sản sẩm tìm hiểu công bố rõ ràng Sau chuyển giao công nghệ toàn khoá bí mật người sử dụng nắm, người sản xuất xâm nhập Ngoài với phát triển không ngừng công nghệ bùng nổ cấu trúc mạng giải pháp bảo mật phải đáp ứng, loạt yêu cầu có tính vận hành liên kết (interoperability), dễ bổ sung giải pháp an ninh liệu mật hệ thống có, chi phí thấp, dễ quản lý theo nhiều phân cấp Mã hoá đường truyền (encryption) Đặc điểm: Xử lý việc mã hoá liệu thiết bị phần cứng; Mã hoá tầng đường truyền; Độc lập với việc định dạn liệu; Độc lập với giao thức truyền thông; Tại điểm đầu cuối đường truyền; ứng dụng điểm nối điểm; ứng dụng mạch chuyền gói X.25; ứng dụng đường truyền liên kết E1; ứng dụng mạch chuyển gói khung Frame Relay Sử dụng thuật toàn mã hoá liệu đường truyền đại mang lại khả an toàn liệu cao phải truyền thông tin qua môi trường truyền công cộng Sự đời tiêu chuẩn mã khoá DES, Tri-DES đem đến cho người dùng truyền tải tin môi trường công cộng cảm thấy an toàn liệu của, Nhưng năm gần đây, ,tiên vượt bậc ngành CNTT mạng đến cho giới bước,tiến nhảy vọt đồng thời cũrlg mang đến bất cập cho ngành an ninh đừ liệu Cụ thể ngày có nhiều thủ thuật giải mã, thông tin ăn cắp có khả truy cập bất hợp pháp vào khu vực người khác để phá hoại Đối phó với vấn đề trên, ngày cỏ nhiều phương cách phát triển công nghệ mã hoá đem lại mức độ ngày cao giải thuật toán Các công nghệ sử dụng khoá mã tiên tiến mang nhiều tính khó giải KEK, DEK thủ thuật trao đổi khoá hai thiết bị riêng với dẫn đến giới hạn tình trạng ăn cắp thông tin với công nghệ tiên tiến nhiều Phương thức trao đổi khoá cách tự động làm cho khả xâm nhập giải mã từ kẻ phi pháp khó thực Ngoài ra, làm tăng số lượng khoá mã dùng để trao đổi hai thiết bị thông qua Quản trị khoá đem đến phong phú đa dạng mã khoá Việc cho phép người dùng tự tạo khoá mã riêng nạp vào thiết bị làm cho khả nắng chống thông tin cao Phương thức trao đổi khoá công cộng DIFFIE HELLMAN Diffle Hellman giải thuật khoá công cộng phát triển Nó phổ biến rộng rải đại chúng ứng dụng chất lượng cao trao đổi khoá mã Nó đem !ai lợi ích thông qua RSA, nhiều người khắp nơi dùng giải thuật khoá công cộng Diffe Hellman phương thức trao đổi khoá công cộng phát sinh RSA khoá phát sinh master/slave Các phần công cộng Dl.tre Hellman là: Modulus : m Integer = g Giả sử có hai nơi A B, muốn phát sinh khoá mà có họ biết với nhau, tạo sau: A phát sinh số ngẫu nhiên lớn tính toán theo X=gbamod m B phát sinh số lớn ngẫu nhiên tính toán theo Y=gbmod m A gửi sang B B tính toán khoá 1=Xbmod m B gửi Y sang A A tính toán khoá 2=Yamod m Cả hai khoá bình đẳng gabmod m Không A B biết giá trị phát sinh này, có vài người biết a hay b có phát sinh khoá Vì Vậy, khoá công cộng Diffie Hellman trung gian cho hai nơi mà họ không gặp để biết khoá phát sinh thông qua kênh trao,đổi công cộng Vấn đề bảo mật khoá Diffe Hellman xung quanh việc chọn thông số công cộng m n Mudulus m lớn vấn đề` bảo mật có liên quan đến việc tìm giải thuật rời rạc phạm vi kích thước m Phương thức trao đổi khoá công cộng Diffe Hellman nâng cao với X.509 Certificates Diffle Hellman nâng cao với X.509 Certificates cộng thêm vào phương thức trao đổi khoá công cộng Diffle Hellman có tác dụng trở nên Diffle Helman đôi Các phần Diffe Hellman: Modulus = m Integer = g Giả sử có hai nơi A B, muốn phát sinh khoá mà có họ biết với nhau, tạo sau: A gởi X.509 certificate họ đến B, bao gồm thông số ký hiệu khoá công cộng Xcert = gacertmod m B gởi X.509 certificate họ đến A bao gồm thông số ký hiệu khoá công cộng Ycert = gbcertmod m A B kiểm tra,giá trị pháp lý phần khác X509 certificate cách sử dụng khoá công cộng A phát sinh số ngẫu nhiên lớn tính toán theo X=ga mod m B phát sinh số lớn ngẫu nhiên tính toán theo Y=gb mod m A gửi X sang B B tính toán Key l = X*XCERT(b=bcert) mod m B gởi Y đến A A tính toán Key =Y*YCERT(a=acert) mod m Cả hai khoá khoá bình đẳng g+a*b+acert+bcert mod m Khoá mã EDE (Encryp/Decrupt/Encrypt) Khoá mã EDE dùng để mã DEK (Data Encrypt Key) gửi từ đơn vị đến đơn vị khác EDE sử dụng khoá DES có chiếu dài gấp đôi KEK đến Triple DES hay 128-bit DES ... để thực việc toán qua mạng việc an toàn liệu đòi hỏi cao Công nghệ an toàn bảo mật thông tin CNTT ngày phát triền, đòi hỏi việc bảo mật cho thông tin phải ngày an toàn tinh xảo để không bị đánh... sau gửi thông tin vê cho máy chủ Hacker theo điều kiện tiêu chuẩn Hacker truy cập vào mạng thông tin qua mạng thoại công cộng .Thông lĩnh vực Thương mại điện điện tử, an toàn bảo mật thông tin cần... thiết lnên quan tới việc mua bán toán qua mạng Internet thẻ Nếu việc Security cho không an toàn khách hàng không dám thực việc mua bán mạng Trong lĩnh vực E-BANKING, an toàn bảo mật thông tin tối