Trờng ĐH Bách khoa Hà Nội Báo cáo đề tài nhánh Thuộc đề tài: Nghiên cứu xây dựng hệ thống kiểm soát trung cập mạng an ninh thông tin dựa sinh trắc học sử dụng công nghệ nhúng Chủ nhiệm đề tài: Nguyễn Thị Hoàng Lan 8600-3 Hà Nội - 2010 B KHOA HC V CễNG NGH B GIO DC V O TO Trng i hc Bỏch khoa HN CHNG TRèNH KHCN CP NH NC KC.01/06-10 BO CO NHNH KT QU KHOA HC CễNG NGH TI Nghiờn cu xõy dng h thng kim soỏt truy cp mng v an ninh thụng tin da trờn sinh trc hc s dng cụng ngh nhỳng Mó s ti: KC.01.11/06-10 C quan ch trỡ ti: i hc Bỏch khoa H Ni Ch nhim ti: PGS TS Nguyn Th Hong Lan H Ni - 11/2010 MC LC DANH MC CC T VIT TT DANH MC HèNH V DANH MC BNG Chng NGHIấN CU KHO ST CC GII PHP KIM SOT TRUY CP TI NGUYấN C S D LIU 1.1 Yờu cu kim soỏt truy cp v phõn loi 1.1.1 Quỏ trỡnh xỏc thc (Authentication) 11 1.1.2 Quỏ trỡnh y quyn (Authorization) 12 1.1.3 Quỏ trỡnh kim toỏn (Accounting) 13 1.1.4 Phõn loi kim soỏt truy cp .14 1.2 Mt s gii phỏp cụng ngh kim soỏt truy cp 15 1.2.1 K thut nhn dng v xỏc thc (Identification and Authentication techniques) 15 1.2.2 K thut phõn quyn (Authorization techniques) .23 1.3 Nghiờn cu kho sỏt cỏc gii phỏp kim soỏt bo v truy cp CSDL trờn mng da trờn sinh trc hc .26 1.3.1 Th sinh trc ca BioStikTM 26 1.3.2 Gii phỏp Biometric PKI ca Smartcon .29 1.4 Xỏc nh yờu cu kim soỏt truy cp CSDL qua mng thc t ti B Cụng An 31 1.4.1 Bo mt phõn h To lp CSDL, quột nhp, mó hoỏ v cp nht ch bn 10 ngún vo CSDL .36 1.4.2 Bo mt phõn h Biờn v kim tra cht lng 38 1.4.3 Bo mt phõn h T chc c s d liu 39 1.4.4 Phõn h Tra tỡm, i sỏnh .39 1.4.5 Bo mt phõn h Tip nhn, X lý v Tr li cỏc yờu cu .41 1.5 Xõy dng kch bn v lp trỡnh th nghim gii phỏp i sỏnh thm nh sinh trc hc võn tay trc tuyn (võn tay sng) kim soỏt truy cp mng 41 1.5.1 Bi toỏn truy cp mng .41 1.5.2 Phõn tớch, thit k ng dng kim soỏt truy cp mng .48 1.5.3 Biu Usecase v biu tun t quỏ trỡnh kim soỏt truy cp mng 50 1.5.4 Ci t ng dng kim soỏt truy cp mng trờn nn h thng BioPKI 60 1.5.5 Kch bn th nghim v kt qu 66 Chng H NHN DNG VN TAY T NG C@FRIS V XY DNG GII PHP BO MT DA TRấN SINH TRC HC TRấN NN H THNG BioPKI 72 2.1 Nghiờn cu gii phỏp v lp trỡnh ci t th nghim h truy cp mng da trờn s kt hp a sinh trc võn tay v võn lũng bn tay 72 2.1.1 Gii thiu m u 72 2.1.2 S nguyờn lý chung ca h KSTC 74 2.1.3 V mt s b cụng c nhn dng ng võn trờn th gii 77 2.1.4 Mc tiờu, yờu cu xõy dng h kim soỏt truy cp (KSTC) 81 2.1.5 Phõn tớch thit k v lp trỡnh xõy dng h kim soỏt truy cp 84 2.1.6 Ci t phn mm v trin khai ng dng 90 2.1.7 Kt qu th nghim v ỏnh giỏ 92 2.1.8 B cụng c phn mm KSTC ng dng cụng ngh nhn dng võn ngún tay v võn lũng bn tay 95 2.2 Phõn tớch thit k, lp trỡnh th nghim ng dng cụng ngh BioPKI 2.0 bo v kim soỏt truy cp h nhn dng võn tay t ng C@FRIS 108 2.2.1 M u 108 2.2.2 Kt qu nghiờn cu lý thuyt, thut toỏn, phỏt trin cụng ngh nhn dng v xõy dng h nhn dng võn tay t ng C@FRIS 109 2.2.3 Gii thiu khỏi quỏt v h nhn dng võn tay t ng C@FRIS .114 2.2.4 Gii phỏp BioPKI trờn mng (BioPKI network solution) 126 Chng TRIN KHAI THIT K V CI T NG DNG TH NGHIM BO MT BioPKI KIM SOT TRUY CP H C@FRIS ANG DNG QUN Lí CN CC CAN PHM 136 3.1 Bo mt phõn h To lp CSDL, quột nhp, mó hoỏ v cp nht ch bn 10 ngún vo CSDL 137 3.2 Bo mt phõn h Mó hoỏ c im chi tit 140 3.3 Bo mt phõn h Biờn v kim tra cht lng 143 3.4 Bo mt phõn h T chc c s d liu 144 3.5 Phõn h Tra tỡm, i sỏnh 145 3.5.1 Bo mt phõn h tip nhn, phõn phi yờu cu ng 146 3.5.2 Phõn h phõn hoch CSDL ng 149 3.5.3 Phõn h i sỏnh trờn cỏc nỳt .149 3.5.4 Phõn h Qun lý (qun lý CSDL y/c, quỏ trỡnh x lý v trng thỏi h thng) 150 3.6 Bo mt phõn h Tip nhn, x lý v tr li cỏc yờu cu .152 Chng TH NGHIM V NH GI 153 4.1 Th nghim ng dng kim soỏt truy cp mng phũng thớ nghim 153 4.1.1 Mụ hỡnh th nghim 153 4.1.2 Ni dung v kt qu th nghim 153 4.1.3 Kt qu ỏnh giỏ 154 4.1.4 ỏnh giỏ chung: 155 4.2 Th nghim ng dng C@FRIS c tớch hp thờm cỏc lp bo mt ca h thng BioPKI 155 4.2.1 Mụ hỡnh th nghim 155 4.2.2 Ni dung v kt qu th nghim 157 4.3 ỏnh giỏ chung 162 KT LUN 164 TI LIU THAM KHO 167 DANH MC CC T VIT TT AFIS: Automated Fingerprint Identification System CCCD/CCCP: Cn Cc Cụng Dõn/ Cn Cc Can Phm CSDL: C S D Liu KSTC: Kim Soỏt Truy Cp PTN MP&THHT: Phũng Thớ Nghim Mụ Phng v Tớch Hp H Thng DANH MC HèNH V Hỡnh 1.1 H thng kim soỏt truy cp 10 Hỡnh 1.2 Xỏc thc ngi dựng s dng password .16 Hỡnh 1.3 Challenge Handshake Authentication Protocol 17 Hỡnh 1.4 Xỏc thc ngi dựng da trờn th tokens .18 Hỡnh 1.5 Kerberos authentication system 20 Hỡnh 1.7 Xỏc thc a nhõn t 22 Hỡnh 1.8 Role-Based Access Control - RBAC 25 Hỡnh 1.9: Tớch hp th BioStik vo h thng kim soỏt truy cp 27 Hỡnh 1.10: Tớch hp th BioStik vo h thng PKI 28 Hỡnh 1.11 Tt c cỏc bn ghi CSDL u c kớ sinh trc bi ngi nhp/biờn 37 Hỡnh 1.12 Biờn c im chi tit v kớ sinh trc vo bn ghi trc lu vo CSDL 38 Hỡnh 1.13 Kt qu Tra tỡm, i sỏnh TP-TP c kớ sinh trc, lu vo CSDL kt qu tra cu 40 Hỡnh 1.15 Truy cp v tra cu t xa trờn mng 41 Hỡnh 1.16 Mụ hỡnh truy cp mng thụng thng 42 Hỡnh 1.17 Mụ hỡnh ng dng kim soỏt truy cp CSDL .46 Hỡnh 1.18 Biu phõn cp chc nng ng dng kim soỏt truy cp mng .48 Hỡnh 1.19 Biu usecase ng dng kim soỏt truy cp mng 51 Hỡnh 1.20 S giao dch quỏ trỡnh kim soỏt truy cp mng 53 Hỡnh 1.21 Biu tun t quỏ trỡnh ng nhp vo ng dng mỏy Client 54 Hỡnh 1.22 Biu tun t quỏ trỡnh phõn phi khúa phiờn .56 Hỡnh 1.23 Biu tun t quỏ trỡnh ng nhp CSDL 58 Hỡnh 1.24 Biu tun t quỏ trỡnh kim soỏt truy cp mng 59 Hỡnh 1.25 Giao din chớnh ng dng phớa mỏy Client .67 Hỡnh 1.26 Giao din xỏc thc võn tay ngi dựng 68 Hỡnh 1.27 Giao din ngi dựng ng nhp CSDL thnh cụng 68 Hỡnh 1.28 Giao din ngi dựng thc hin truy CSDL 69 Hỡnh 1.29 Giao din thit lp cỏc thụng s ban u cho RA Application Server 69 Hỡnh 1.30 Giao din chớnh khi ng ng dng RA Application Server 70 Hỡnh 1.31 Giao din chớnh ca RA Application Server lng nghe cỏc yờu cu 70 Hỡnh 1.32 Giao din chớnh ca ng dng qun lý truy cp DBServer .71 Hỡnh 2.1 S nguyờn lý h kim soỏt truy cp ng dng k thut nhn dng ng võn 75 Hỡnh 2.2 Mn hỡnh tiờu biu ca cụng c Trớch chn c im ch bn lũng bn tay .79 Hỡnh 2.3 Mn hỡnh tiờu biu ca cụng c i sỏnh ch bn lũng bn tay 79 Hỡnh 2.4 Mn hỡnh tiờu biu ca cụng c Thu nhn ch bn lũng bn tay .87 Hỡnh 2.5 Mn hỡnh hin th CSDL ch bn lũng bn tay 87 Hỡnh 2.6 CSDL c t chc theo lụ, mi lụ khong 500 ch bn 88 Hỡnh 2.7 Mn hỡnh hin th cỏc bng CSDL ch bn gc sau chuyn i s húa 91 Hỡnh 2.8 Mn hỡnh ng nhp h thng .97 Hỡnh 2.9 Mn hỡnh to bng mi 97 Hỡnh 2.10 Mn hỡnh m file nh võn tay v võn lũng bn tay cú sn trờn mỏy ch 99 Hỡnh 2.11 Mn hỡnh tra tỡm, i sỏnh t ng võn lũng bn tay .102 Hỡnh 2.12 Mn hỡnh cu hỡnh tham s cho chng trỡnh 102 Hỡnh 2.13 Mn hỡnh cu hỡnh tham s cho chng trỡnh 105 Hỡnh 2.14 Bng c s d liu yờu cu tra cu võn lũng bn tay y 105 Hỡnh 2.15 Bng c s d liu yờu cu tra cu võn lũng bn tay y 106 Hỡnh 2.16 Mn hỡnh tra cu hng lot (theo lụ) 107 Hỡnh 2.17 Mn hỡnh Hin th v thm nh kt qu cn kim tra 108 Hỡnh 2.18 Kt qu x lý phõn on nh, tỏch nột t nh 256 cp xỏm .112 Hỡnh 2.19 Nguyờn lý hot ng ca h C@FRIS 117 Hỡnh 2.21 B duyt CSDL (BROWSER) ca Phõn h nhp v chuyn i s húa ch bn 119 Hỡnh 2.22 Mn hỡnh chớnh ca Phõn h Biờn 120 Hỡnh 2.23 Mn hỡnh BROWSER ca Phõn h Biờn 121 Hỡnh 2.24 Phõn h C s d liu .122 Hỡnh 2.25 Mn hỡnh Tra tỡm, i sỏnh TP-TP 124 Hỡnh 2.26 Mụ hỡnh gii phỏp bo mt ng dng BioPKI trờn mng .127 Hỡnh 2.27 Tt c cỏc bn ghi CSDL u c kớ sinh trc bi ngi nhp/biờn 132 Hỡnh 2.28 Biờn c im chi tit v kớ sinh trc vo bn ghi trc lu vo CSDL 133 Hỡnh 3.1 Mn hỡnh biờn CSDL thuc tớnh, ho 139 Hỡnh 3.2 Mn hỡnh lm vic C@FRIS vi CSDL mi c to 147 Hỡnh 3.3 Mn hỡnh phõn h tỡm v i sỏnh (a) 148 Hỡnh 3.4 Mn hỡnh phõn h tỡm v i sỏnh (b) 150 Hỡnh 3.5 Mn hỡnh trng thỏi cỏc mỏy client 151 DANH MC BNG Bng 2.1 Bng trớch on t kt qu tra cu th 200 yờu cu 94 Bng 2.2 Bng d liu thuc tớnh 98 Bng 2.3 Bng d liu nh 98 Bng 2.4 Bng ch s 101 Bng 2.5 Bng c s d liu lu cỏc yờu cu 104 Bng 3.1 Bng ỏnh giỏ so sỏnh cỏc tớnh nng t c, tớnh nng ang nõng cp ca phõn h to lp CSDL 140 Bng 3.2 Bng ỏnh giỏ so sỏnh cỏc tớnh nng t c, tớnh nng ang nõng cp ca phõn mó hoỏ c im chi tit t ng sau a vo th nghim thc t 142 Bng 3.3 Bng ỏnh giỏ so sỏnh cỏc tớnh nng t c ca phõn h Biờn v kim tra cht lngqua quỏ trỡnh ỏnh giỏ th nghim thc t 144 Bng 3.4 bng ỏnh giỏ so sỏnh cỏc tớnh nng t c ca phõn h T chc c s d liu qua quỏ trỡnh ỏnh giỏ th nghim thc t 145 Bng 3.5 Bng ỏnh giỏ so sỏnh cỏc tớnh nng t c, tớnh nng ang nõng cp ca phõn h Tra tỡm, i sỏnh 151 Bng 3.6 Bng ỏnh giỏ so sỏnh cỏc tớnh nng t c, tớnh nng ang nõng cp ca phõn h Tip nhn, x lý v tr li cỏc yờu cu .152 Chng NGHIấN CU KHO ST CC GII PHP KIM SOT TRUY CP TI NGUYấN C S D LIU 1.1 Yờu cu kim soỏt truy cp v phõn loi Nh chỳng ta ó bit, mi h thng thụng tin an ton thỡ yờu cu t i vi cỏc ti nguyờn thụng tin ca t chc v cỏ nhõn ú l phi m bo c tớnh mt, tớnh ton vn, tớnh xỏc thc v tớnh sn sng [7] - Tớnh mt cú ngha l thụng tin ch c phộp truy cp bi ngi cú quyn truy cp - Tớnh ton m bo cỏc mc tiờu sau: Ngn nga vic thay i thụng tin trỏi phộp ca ngi dựng khụng cú thm quyn, ngn nga vic vụ ý thay i thụng tin ca ngi dựng cú thm quyn, trỡ tớnh nht quỏn cho thụng tin - Tớnh xỏc thc l m bo thụng tin cn c xỏc thc ngun gc Tớnh xỏc thc thng i kốm vi tớnh chng chi b, mo nhn v gi mo - Tớnh sn sng c th hin l thụng tin c a n ngi dựng kp thi, khụng b giỏn on Mi hnh vi lm giỏn oỏn quỏ trỡnh truyn thụng tin, khin thụng tin khụng n c ngi dựng, chớnh l ang tn cụng vo tớnh sn sng ca h thng õy thc s l iu khụng d dng, bi l trờn thc t thỡ cỏc ti nguyờn thụng tin ny thng xuyờn c s dng nhiu hon cnh, tỡnh rt a dng v thng cha ng nhiu ri ro Chng hn nh cỏc h thng giao dch ca ngõn hng cn phi bo mt thụng tin ca mi ngi dựng h thng Cỏc thụng tin ny cú th b l thúi quen s dng thụng tin ca ngi dựng (t mt khu liờn quan n cỏc thụng tin cỏ nhõn s thớch, ngy sinh, quờ quỏn) hay l b tin tc tn cụng trờn ng truyn hay trc tip vo h Chng TH NGHIM V NH GI 4.1 Th nghim ng dng kim soỏt truy cp mng phũng thớ nghim 4.1.1 Mụ hỡnh th nghim ng dng c th nghim ti phũng thớ nghim liờn mng - Vin Cụng ngh thụng tin v Truyn thụng, H Bỏch khoa HN Mụ hỡnh mng th nghim c b trớ ging nh mụ hỡnh xut chng 1, hỡnh 1.17 gm: Database Server chy mt CSDL trờn MySQL server 5.0, õy l CSDL cn bo v truy cp Cu hỡnh server ny nh sau: Mỏy ch IBM XSERIES, chip Intel Xeon 2.0 GHz (4CPU), 2GB RAM chy Windows Server 2003 RA Application Server cú cu hỡnh: mỏy ch IBM XSERIES, chip Intel Xeon 2.0 GHz (4CPU), 2GB RAM chy Windows Server 2003 Cỏc mỏy Client: L cỏc mỏy PC chy h iu hnh Windows XP SP2 4.1.2 Ni dung v kt qu th nghim STT Ni dung th nghim Test module c th Test module xỏc thc võn tay Test module thit lp kờnh mt SSL Test module xỏc thc lũng bn tay Test module xỏc thc khuụn mt Test module mó húa v gii mó i xng Test module lm vic vi CSDL 153 Kt qu Module c th chy n nh, ly c chớnh xỏc ni dung lu th Module cho kt qu xỏc thc vi tin cy cao, 99% Module chy n nh mụi trng mng cc b, m bo d liu c truyn bo mt mụi trng mng khụng an ton Module chy n nh, chớnh xỏc 98% Trong iu kin ỏnh sỏng hp lý ( khụng quỏ sỏng) module cú chớnh xỏc cao, khong 99% Hiu sut cao, tc nhanh, m bo tớnh bo mt ca d liu Module lm vic n nh, m bo vic truy cp CSDL vi hiu 10 11 12 13 ng nhp vi username hoc password sai ng nhp vi username v password ỳng nhng võn tay khụng hp l (ngng quỏ thp, 0.1 v ngng0.1 v ngng[...]... Người sử dụng phải nhập vào thông tin xác thực dưới dạng PIN trước khi truy cập đến các ứng dụng của hệ thống PKI Lựa chọn này được cung cấp để tương thích ngược với hệ thống và cũng đồng nghĩa với việc không sử dụng các template về sinh trắc học Các ưu thế của công nghệ match-on-card 30 Công nghệ match-on-card có nhiều các ưu thế khi so sánh với các công nghệ sinh trắc học khác dựa trên các công nghệ. .. tổ chức với hạ tầng cơ sở công nghệ thông tin không đồng nhất là vô cùng phức tạp 1 .3 Nghiên cứu khảo sát các giải pháp kiểm soát bảo vệ truy cập CSDL trên mạng dựa trên sinh trắc học 1 .3. 1 Thẻ sinh trắc của BioStikTM BioStik™ cung cấp một thiết bị thẻ sinh trắc di động kết hợp với các công nghệ an toàn nhất về quét vân tay sinh trắc học Các thông tin nhạy cảm và bí mật, tập tin dữ liệu được mã hóa cho... truy cập như thế nào? - Và kết quả truy cập? Tất cả những thông tin trên sẽ được sử dụng để kiểm soát việc truy cập đến tài nguyên của mọi người dùng trong hệ thống, xác định rõ ràng rằng họ đã thực hiện gì trong hệ thống và để quy trách nhiệm, chống giả danh, mạo nhận và chối bỏ [5] 13 Nói cụ thể hơn, quá trình kiểm toán sẽ ghi lại trong nhật kí hệ thống mọi thông tin mà người dùng tương tác với hệ thống. .. có thể chia ra một số dạng kiểm soát truy cập điển hình [7]: • Kiểm soát truy cập phòng ngừa (Preventive access controls): Loại kiểm soát truy cập này sẽ dừng tất cả những hành vi không mong muốn hoặc trái phép xuất hiện trong hệ thống, tránh việc xảy ra những lỗi không đáng có trong hệ thống Kiểm soát truy cập phòng ngừa sử dụng công nghệ sinh trắc học, tường chắn (fences) và khóa; kỹ thuật phân loại... truy cập vào hệ thống đều tuân theo qui tắc, chính sách bảo vệ dữ liệu Hệ thống kiểm soát truy cập gồm 2 phần [7]: 9 - Tập chính sách và qui tắc truy nhập (Security Policies): đưa ra phương pháp và cách thức truy cập thông tin lưu trữ trong hệ thống - Tập các thủ tục kiểm soát (Control Procedures): kiểm tra yêu cầu truy nhập, cho phép hay từ chối yêu cầu truy cập tài nguyên của hệ thống Hình 1.1 Hệ thống. .. nào đó (tên gọi) theo một cách thống nhất, không có sự trùng lặp các định danh - Từ các chính sách an toàn an ninh của hệ thống chúng ta xây dựng các luật truy cập tài nguyên thông tin của hệ thống Quy định rõ những đối tượng hay nhóm đối tượng nào được phép truy cập hệ thống và được thực hiện những hành vi nào trong hệ thống Nếu xuất hiện hành vi truy cập trái phép vào hệ thống sẽ xử lý ra sao? Việc... mật của cơ quan tổ chức, các thông tin sử dụng trong giao dịch giữa cá nhân và tổ chức (thường được lưu ở các file, thư mục hay trong CSDL) và các tiến trình hay các ứng dụng Để bảo vệ các tài nguyên thông tin thì các hệ thống an toàn an ninh thông tin thường bao được xây dựng bao gồm 3 quá trình bảo mật cơ bản để thực hiện việc kiểm soát truy cập đến tài nguyên thông tin [5]: - Quá trình xác thực... chỉnh dựa trên công nghệ match-on-card™ theo thông tin xác thực sinh trắc học vân tay Cách thức hoạt động - Cũng như các chứng thư số và các khóa được lưu bảo mật, các ứng dụng của Smartcon PKI (chạy dựa trên MULTOS smart card) cũng có thể làm việc với các template sinh trắc học theo từng cá nhân Các template về sinh trắc học này được lưu một cách bảo mật trong các ứng dụng PKI kèm với các thông tin. .. người dùng đăng nhập hệ thống đến khi phiên làm việc của người dùng kết thúc 1.1.4 Phân loại kiểm soát truy cập Kiểm soát truy cập đảm bảo tính sẵn sàng, tính tin cậy và tính toàn vẹn của các đối tượng (thông tin, các tiến trình, và các tài nguyên khác) trong hệ thống Tùy thuộc vào tiêu chí sử dụng để phân loại ta có thể phân loại kiểm soát truy cập thành nhiều dạng khác nhau - Nếu dựa trên tiêu chí vị... chung là hệ thống căn cước (Identification system) Hiện nay, ta gọi hệ thống này là hệ chứng minh nhân dân nhưng về thực chất vẫn là hệ căn cước công dân, chỉ khác chút ít là ta tiến hành đăng kí CMND trước độ tuổi công dân 3 năm mà không chờ đến độ tuổi công dân 31 Để hiện đại hoá công nghệ xây dựng các hệ thống căn cước, Lãnh đạo Bộ Công an đã chủ trương đầu tư xây dựng Phòng Thí nghiệm Mô phỏng và Tích ... danh ca tin trỡnh (Process ID PID) iu kin: - nh danh phi l nht, khụng th cú mt nh danh cho ngi v mt ngi khụng th cú hai nh danh - Khụng c dựng nh danh xỏc nh v trớ hay tm quan trng ca ngi dựng. .. s c sinh da s kin hoc da trờn khong thi gian khụng xỏc nh Chng hn nh, khong thi gian sinh mt khu da trờn giỏ tr m b sinh s ngu nhiờn to hay thi gian m gúi tin n, hay khong thi gian m ngi dựng. .. s dng thụng tin ca ngi dựng (t mt khu liờn quan n cỏc thụng tin cỏ nhõn s thớch, ngy sinh, quờ quỏn) hay l b tin tc tn cụng trờn ng truyn hay trc tip vo h thng lu tr thụng tin ngi dựng ca ngõn