Mục Lục CHƯƠNG I: MỞ ĐẦU 1.1 Các khái niệm bản: 1.1.1 Lịch sử mạng máy tính: 1.1.2 Định nghĩa mạng máy tính: 1.1.3 Các yếu tố mạng máy tính: 1.1.4 Phân loại mạng máy tính: 14 1.2 Phần cứng mạng: 16 1.2.1 Các loại cáp truyền: 16 1.2.2 Các thiết bị ghép nối: 20 1.3 Công dụng mạng máy tính: 28 1.4 Các ứng dụng mạng máy tính: 28 1.5 Hệ điều hành mạng: 29 1.6 Nối kết mạng máy tính: 29 CHƯƠNG II: KIẾN TRÚC PHÂN TẦNG OSI 31 2.1 Cơ sở xuất kiến trúc đa tầng 31 2.1.1 Các tổ chức tiêu chuẩn 31 2.1.2 Mô hình kiến trúc đa tầng 32 2.1.3 Các quy tắc phân tầng 32 2.1.4 Nguyên tắc truyền thông đồng tầng 33 2.1.5 Giao diện tầng, quan hệ tầng kề dịch vụ 34 2.1.6 Dịch vụ chất lượng dịch vụ: 35 2.1.7 Các hàm dịch vụ nguyên thủy: 36 2.2 Kiến trúc phân tầng OSI (Open Systems Interconnection Reference Model): 38 2.2.1 Định nghĩa mô hình OSI: 38 2.2.2 Các giao thức mô hình OSI: 39 2.2.3 Vai trò tầng mô hình OSI: 39 2.2.4 Quá trình đóng gói liệu mô hình OSI: 45 CHƯƠNG 3: KIẾN TRÚC PHÂN TẦNG TCP/IP 48 3.1 Mô hình TCP/IP 48 3.1.1 Mô hình kiến trúc TCP/IP 48 3.1.2 Quá trình đóng gói liệu Encapsulation 49 3.1.3 Quá trình phân mảnh liệu Fragment 49 3.2 Tầng truy nhập mạng (Network Access Layer): 50 3.3 Tầng Internet (Internet Layer): 50 3.3.1 Giao thức mạng IP (Internet Protocol) 50 3.3.2 Giao thức thông báo điều khiển mạng ICMP(Internet Control Message Protocol) 55 3.3.3 Giao thức phân giải địa ARP (Address Resolution Protocol) 56 3.2.4 Giao thức phân giải địa ngược RARP (Reverse Address Resolution Protocol) 57 3.4 Tầng giao vận: 58 3.4.1 Giao thức gói tin người sử dụng UDP (User Datagram Protocol) 58 3.4.2 Giao thức điều khiển truyền TCP (Transmission Control Protocol) 59 3.5 Tầng ứng dụng: 65 3.6 IPv6 (Internet Protocol Version Number 6): 65 3.6.1 Nguyên nhân đời IPv6 65 3.6.2 Các đặc trưng IPv6 66 3.6.3 So sánh IPv4 IPv6 67 3.6.4 Các lớp địa IPv6 69 CHƯƠNG 4: KỸ THUẬT MẠNG CỤC BỘ 70 4.1 Giới thiệu: 70 4.2 Topology: 70 4.2.1 Mạng hình 71 4.2.2 Mạng hình tuyến (Bus) 72 4.2.3 Mạng dạng vòng 72 4.3 Các phương thức truy nhập đường truyền 75 4.3.1 Phương thức đa truy nhập sử dụng sóng mang có phát xung đột CSMA/CD (Carrier Sense Multiple Access with Collision Detection) 75 4.3.2 Token Bus: 76 4.3.3 Token ring 77 4.3.4 So sánh CSMA/CD với phương pháp dùng thẻ 78 4.4 Chuẩn hóa mạng cục bộ: 78 4.4.1 Chuẩn Ethernet: 79 4.4.2 Token Ring: 81 4.5 Đường truyền vật lý: 82 4.6 Mạng cục không dây (WIRELESS LAN): 84 4.6.1 Lợi ích mạng WLAN: 84 4.6.2 Nguyên tắc hoạt động mạng WLAN: 85 4.6.3 Các cấu hình mạng WLAN: 86 4.6.4 Chuẩn WLAN IEEE 802.11: 87 CHƯƠNG 5: LIÊN MẠNG VÀ INTERNET 90 5.1 Các vấn đề việc liên mạng: 90 5.2 Mạng tích hợp đa dịch vụ số ISDN (Integrated Service Digital Network): 91 5.2.1 ISDN 91 5.2.2 Các phần tử mạng ISDN 92 5.2.3 Các loại kênh mạng ISDN 93 5.2.4 Giao diện ISDN 93 5.2.5 Chức tầng kiến trúc ISDN: 94 5.3 Mạng băng rộng B_ISDN (Broadband ISDN): 97 5.3.1 Tổng quan đời B-isdn: 97 5.3.2 Đặc điểm dịch vụ B-ISDN 97 5.4 Mạng chuyển mạch gói X25 99 5.4.1 Khái quát kỹ thuật mạng X25 99 5.4.2 Giao thức X.25 100 5.4.3 Hoạt động giao thức X25 101 5.5 Mạng chuyển mạch khung Frame Relay 101 5.5.1 Giới thiệu chung 101 5.5.2 So sánh Frame Relay với X25 103 5.2.3 Frame Relay mô hình OSI 104 5.2.4 Điều khiển quản lý lưu lượng 104 5.2.5 Các dịch vụ Frame Relay 105 5.6 SMDS (Switched Multimegabit Data Service) 106 5.6.1 Giới thiệu chung 106 5.6.2 SMDS 106 5.6.3 Tổng quan SMDS 106 5.6.4 Tổng quan kỹ thuật SMDS 106 5.6.5 SMDS so với công nghệ ATM Frame Relay 109 5.7 Phương thức truyền dẫn không đồng ATM (Asynchronous Transfer Mode) 109 5.7.1 Giới thiệu chung 109 5.7.2 Kiến trúc phân tầng ATM 110 5.7.3 Liên kết ảo (Virtual Connections) 113 5.7.4 So sánh ATM với dịch vụ kỹ thuật khác 114 CHƯƠNG VI: AN TOÀN BẢO MẬT THÔNG TIN TRÊN MẠNG 117 6.1 Mở đầu: 117 6.2 Bảo vệ thông tin trình truyền thông tin mạng 117 6.2.1 Các loại hình công: 117 6.2.2 Yêu cầu hệ truyền thông tin an toàn bảo mật: 119 6.2.3 Các giao thức (protocol) thực bảo mật: 120 6.3 Bảo vệ hệ thống khỏi xâm nhập phá hoại từ bên ngoài: 121 6.4 Bảo vệ thông tin mật mã: 122 6.4.1 Mã hóa cổ điển (mã hóa đối xứng bản): 122 6.4.2 Mã hóa đối xứng đại: 124 6.4.3 Mã hóa công khai: 126 CHƯƠNG I: MỞ ĐẦU Nội dung chương trình bày khái niệm mạng máy tính, định nghĩa mạng máy tính, mục tiêu ứng dụng mạng, cấu trúc thành phần mạng máy tính Các thực thể mạng tham gia truyền thông với cần tuân theo tập phần mềm điều khiển hoạt động mạng, gọi chuẩn, hay gọi tập giao thức mạng (Protocols) Nội dung chương bao gồm phần sau: • Các khái niệm • Phần cứng mạng • Các ứng dụng mạng máy tính • Hệ điều hành mạng • Nối kết mạng máy tính • Chuẩn hóa mạng 1.1 Các khái niệm bản: 1.1.1 Lịch sử mạng máy tính: Internet bắt nguồn từ đề án ARPANET (Advanced Research Project Agency Network) khởi năm 1969 Bộ Quốc phòng Mỹ (American Department of Defense) Đề án ARPANET với tham gia số trung tâm nghiên cứu, đại học Mỹ (UCLA, Stanford, ) nhằm mục đích thiết kế mạng WAN (Wide Area Network) có khả tự bảo tồn chống lại phá hoại phân mạng chiến tranh nguyên tử Đề án dẫn tới đời nghi thức truyền IP (Internet Protocol) Theo nghi thức này, thông tin truyền đóng thành gói liệu truyền mạng theo nhiều đường khác từ người gửi tới nơi người nhận Một hệ thống máy tính nối mạng gọi Router làm nhiệm vụ tìm đường tối ưu cho gói liệu, tất máy tính mạng tham dự vào việc truyền liệu, nhờ phân mạng bị phá huỷ Router tìm đường khác để truyền thông tin tới người nhận Mạng ARPANET phát triển sử dụng trước hết trường đại học, quan nhà nước Mỹ, đó, trung tâm tính toán lớn, trung tâm truyền vô tuyến điện vệ tinh nối vào mạng… sở này, ARPANET nối với khắp vùng giới Tới năm 1983, trước thành công việc triển khai mạng ARPANET, Bộ quốc phòng Mỹ tách phân mạng giành riêng cho quân đội Mỹ (MILNET) Phần lại, gọi NSFnet, quản lý NSF (National Science Foundation) NSF dùng siêu máy tính để làm Router cho mạng, lập tổ chức không phủ để quản lý mạng, chủ yếu dùng cho đại học nghiên cứu toàn giới Tới năm 1987, NSFnet mở cửa cho cá nhân cho công ty tư nhân (BITnet), tới năm 1988 siêu mạng mang tên INTERNET Tuy nhiên năm 1988, việc sử dụng INTERNET hạn chế dịch vụ truyền mạng (FTP), thư điện tử(E-mail), truy nhập từ xa (TELNET) không thích ứng với nhu cầu kinh tế đời sống hàng ngày INTERNET chủ yếu dùng môi trường nghiên cứu khoa học giảng dạy đại học Trong năm 1988, trung tâm nghiên cứu nguyên tử Pháp CERN (Centre Européen de Recherche Nuclaire) đời đề án Mạng nhện giới WWW (World Wide Web) Đề án này, nhằm xây dựng phương thức sử dụng INTERNET, gọi phương thức Siêu văn (HyperText) Các tài liệu hình ảnh trình bày ngôn ngữ HTML (HyperText Markup Language) phát hành INTERNET qua hệ chủ làm việc với nghi thức HTTP (HyperText Transport Protocol) Từ năm 1992, phương thức làm việc đưa thử nghiệm INTERNET, nhanh chóng, công ty tư nhân tìm thấy qua phương thức cách sử dụng INTERNET kinh tế đời sống Vốn đầu tư vào INTERNET nhân lên hàng chục lần Từ năm 1994 INTERNET trở thành siêu mạng kinh doanh Số công ty sử dụng INTERNET vào việc kinh doanh quảng cáo lên gấp hàng nghìn lần kể từ năm 1995 Doanh số giao dịch thương mại qua mạng INTERNET lên hàng chục tỉ USD năm 1996 Với phương thức siêu văn bản, người sử dụng, qua phần mềm truy đọc (Navigator, Browser), tìm đọc tất tài liệu siêu văn công bố nơi giới (kể hình ảnh tiếng nói) Với công nghệ WWW, bước vào giai đoạn mà thông tin có bàn làm việc Mỗi công ty người sử dụng, phân phối trang cội nguồn (Home Page) hệ chủ HTTP Trang cội nguồn, siêu văn gốc, để tự tìm tới tất siêu văn khác mà người sử dụng muốn phát hành Địa trang cội nguồn tìm thấy từ khắp nơi giới Vì vậy, xí nghiệp, trang cội nguồn trở thành văn phòng đại diện điện tử INTERNET Từ khắp nơi, khách hàng xem quảng cáo liên hệ trực tiếp với xí nghiệp qua dòng siêu liên (HyperLink) siêu văn Tới năm 1994, điểm yếu INTERNET khả lập trình cục bộ, máy nối vào mạng không đồng không tương thích Thiếu khả này, INTERNET dùng việc phát hành truyền thông tin không dùng để xử lý thông tin Trong năm 1994, hãng máy tính SUN Corporation công bố ngôn ngữ mới, gọi JAVA (cafe), cho phép lập trình cục INTERNET, chương trình JAVA gọi thẳng từ siêu văn qua siêu liên (Applet) Vào mùa thu năm 1995, ngôn ngữ JAVA thức đời, đánh dấu bước tiến quan trọng việc sử dụng INTERNET Trước hết, chương trình JAVA, chạy máy khách (Workstation) máy chủ (Server) Điều cho phép sử dụng công suất tất máy khách vào việc xử lý số liệu Hàng triệu máy tính (hoặc vi tính) thực lúc chương trình ghi siêu văn máy chủ Việc lập trình INTERNET cho phép truy nhập từ trang siêu văn vào chương trình xử lý thông tin, đặc biệt chương trình điều hành quản lý thông tin xí nghiệp Phương thức làm việc này, gọi INTRANET Chỉ năm 1995-1996, hàng trăm nghìn dịch vụ phần mềm INTRANET phát triển Nhiều hãng máy tính phần mềm Microsoft, SUN, IBM, Oracle, Netscape, phát triển kinh doanh hàng loạt phần mềm hệ thống phần mềm để phát triển ứng dụng INTERNET / INTRANET 1.1.2 Định nghĩa mạng máy tính: Mạng máy tính: tập hợp máy tính đơn lẻ kết nối với phương tiện truyền vật lý (Transmission Medium) theo kiến trúc mạng xác định (Network Architecture) Mạng viễn thông mạng máy tính Các node chuyển mạch hệ thống máy tính kết nối với đường truyền dẫn hoạt động truyền thông tuân theo chuẩn mô hình tham chiếu OSI Hình 1.1 mô tả khái quát thành phần định nghĩa Các node mạng Terminal Printer Hình 1.1 Mạng máy tính 1.1.3 Các yếu tố mạng máy tính: Mạng máy tính tập hợp máy tính nối với đường truyền vật lý theo kiến trúc Vậy yếu tố mạng máy tính đường truyền vật lý kiến trúc mạng A Đường truyền: Là thành tố quan trọng mạng máy tính, phương tiện dùng để truyền tín hiệu điện tử máy tính Các tín hiệu điệu tử thông tin, liệu biểu thị dạng xung nhị phân (ON_OFF), tín hiệu truyền máy tính với thuộc sóng điện từ, tuỳ theo tần số mà ta dùng đường truyền vật lý khác Đặc trưng đường truyền giải thông biểu thị khả truyền tải tín hiệu đường truyền Khi xem xét, lựa chọn đường truyền vật lý, ta cần ý tới đặc trưng chúng dải thông, thông lượng, độ suy hao độ nhiễu từ: Dải thông(bandwidth): đường truyền độ đo phạm vi tần số mà đáp ứng Ví dụ: dải thông đường điện thoại 400 – 4000Hz, có nghĩa truyền tín hiệu với tần số nằm phạm vi tần số 400 đến 4000 chu kỳ/giây Thông lượng(throughput): tốc độ truyền liệu đường truyền, thường tính số lượng bit truyền giây (bps) Thông lượng đo đơn vị khác baud (lấy theo tên nhà bác học Baudot) Độ suy hao: độ đo yếu tín hiệu đường truyền Nó phụ thuộc vào độ dài cáp Độ nhiễu từ: gây điện từ bên làm ảnh hưởng đến tín hiệu đường truyền Thông thuờng người ta hay phân loại đường truyền theo hai loại: - Đường truyền hữu tuyến (các máy tính nối với dây cáp mạng) - Đường truyền vô tuyến: máy tính truyền tín hiệu với thông qua sóng vô tuyền với thiết bị điều chế/giải điều chế đầu mút a Đường truyền hữu tuyến Một số đường truyền hữu tuyến: - Cáp đồng trục (coaxial cable) - Cáp đôi xoắn (twisted – pair cable), gồm loại: có bọc kim không bọc kim - Cáp sợ quang (fiber – optic cable) b Đường truyền vô tuyến Một số đường truyền vô tuyến: - Sóng radio - Sóng cực ngắn ( viba) - Tia hồng ngoại (infrared) B Kiến trúc mạng( network architecture): Thể cách nối máy tính với tập hợp quy tắc, quy ước mà tất thực thể tham gia truyền thông mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt Cách nối máy tính gọi hình trạng mạng (network topology) hay thường gọi ngắn gọn topo mạng Tập hợp quy tắc, quy ước truyền thông gọi giao thức mạng (network protocol) a Hình trạng mạng (Topology) Có hai kiểu nối mạng chủ yếu : - Nối kiểu điểm - điểm (point - to - point) - Nối kiểu điểm - nhiều điểm (point - to - multipoint hay broadcast) Theo kiểu điểm - điểm: đường truyền nối cặp nút với nút có trách nhiệm lưu giữ tạm thời sau chuyển tiếp liệu đích Do cách làm việc nên mạng kiểu gọi mạng "lưu chuyển tiếp" (store and forward) Theo kiểu điểm - nhiều điểm: tất nút phân chia đường truyền vật lý chung Dữ liệu gửi từ nút tiếp nhận tất nút lại mạng, cần địa đích liệu để vào nút kiểm tra xem liệu có phải gửi cho không  Phân biệt kiểu topo mạng cục kiểu topo mạng diện rộng Topo mạng diện rộng thông thường nói đến liên kết mạng cục thông qua dẫn đường (router) Đối với mạng diện rộng topo mạng hình trạng hình học dẫn đường kênh viễn thông nói tới topo mạng cục người ta nói đến liên kết máy tính  Một số Topo mạng thường gặp:  Mạng hình Mạng hình có tất trạm kết nối với thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ trạm chuyển đến trạm đích Tuỳ theo yêu cầu truyền thông mạng mà thiết bị trung tâm chuyển mạch (switch), chọn đường (router) phân kênh (hub) Vai trò thiết bị trung tâm thực việc thiết lập liên kết điểm-điểm (point-to-point) trạm Ưu điểm: Thiết lập mạng đơn giản, dễ dàng cấu hình lại mạng (thêm, bớt trạm), dễ dàng kiểm soát khắc phục cố, tận dụng tối đa tốc độ truyền đường truyền vật lý Nhược điểm: Độ dài đường truyền nối trạm với thiết bị trung tâm bị hạn chế (trong vòng 100m, với công nghệ nay) Hình 1.2 Mạng hình  Mạng trục tuyến tính (Bus): Trong mạng trục tất trạm phân chia đường truyền chung (bus) Đường truyền giới hạn hai đầu hai đầu nối đặc biệt gọi terminator Mỗi trạm nối với trục qua đầu nối chữ T (Tconnector) thiết bị thu phát (transceiver) Khi trạm truyền liệu tín hiệu quảng bá hai chiều bus, tức trạm 10 Hình 5.11 Khái niệm kênh ảo đường dẫn ảo Công nghệ truyền dẫn không đồng ATM (Asynchronous Transfer Mode) đời tảng cho mạng tổ hợp đa dịch vụ số băng rộng B-ISDN ATM cho phép truyền 5.7.4 So sánh ATM với dịch vụ kỹ thuật khác ATM so sánh với Frame Relay: - ATM Frame Relay hai công nghệ chuyển mạch tốc độ nhanh Có thể nói ATM tương tự với Frame Relay Tuy nhiên, khung liệu (Frame) Frame Relay có kích thước thay đổi, ATM sử dụng gói tin cố định 53 bytes (được gọi tế bào – Cell) - Frame Relay cho phép vượt ngưỡng 64 Kb/s X25, thông lượng tối đa đạt tới Mb/s, thông lượng ATM đạt 155 Mb/s 622 Mb/s - ATM chèn tế bào có độ trễ truyền dẫn nhạy cảm, điều với Frame Relay, Frame Relay có khung liệu dài hơn, độ trễ lớn dự đoán độ trễ xử lý truyền thông tiếng nói hình ảnh Vì Frame Relay không phù hợp cho dịch vụ yêu cầu thời gian thực cao - Mặc dầu chưa đáp ứng yêu cầu truyền thông đa phương tiện, Frame Relay giải pháp độ lựa chọn chờ đợi kỹ thuật ATM đưa vào ứng dụng rộng rãi ATM SONET: - SONET đơn giản kỹ thuật truyền dẫn, hỗ trợ cho nhiều loại topo thay đỗi, bao gồm : điểm-điểm, hình sao, hình vòng - Khi phát triển ATM, thay phát triển lớp vật lý mới, nhà thiết kế ATM 114 sử dụng kỹ thuật liên kết liệu SONET sử dụng cho chuyển mạch ATM Hơn nữa, ATM Forum xác định tốc độ 622-Mbps ATM để chạy SONET Tóm lại SONET dịch vụ vận chuyển bit từ nguồn tới đích ATM kỹ thuật sử dụng SONET dịch vụ vận chuyển So Sánh ATM Ethernet Gigabit: - Tốc độFast Ethernet Ethernet Gigabit nhanh tốc độ ATM ỗây dựng ATM đắt Tuy nhiên ATM Forum phát triển ATM 2,5 Gbps cho LAN.Ethernet Gigabit có khả truyền liệu tiếng nói mức chấp nhận được, nhiên kỹ thuật VBR (tốc độ bit thay đỗi) gặp phải khó khăn mạng tắc nghẽn đòi hỏi truyền hình độ phân giải cao (HDTV) - Giao thức giữ trước nguồn tài nguyên RSVP (Resource Reservation Protocol) giao thức truyền dẫn thời gian thực RTP (Realtime Transport Protocol) phương thức lỗi chất lượng dịch vụ Ethernet Gigabit Cả hai giao thức cho phép ứng dụng bảo tồn tổng số riêng biệt giải thông truyền liệu So sánh Ethernet Gigabit với ATM: Khung Ethernet 802.3 có phân chia tốc độ không phù hợp, chiều dài thay đỗi từ 64 đến 1518 bytes Trong tế bào ATM phân chia tốc độ ổn định đảm bảo phân chia có thứ tự khung thời gian riêng biệt mà bit liệu đến theo thứ tự thời gian Trong Ethernet 802.3, khung xếp hàng node chuyển mạch sở vào trước-ra trước (FI-FO) Hơn trước chuyển mạch để truyền hàng khung ‘n’ toàn liệu chứa hàng khung ‘n-1’ phải truyền Theo chuyển mạch phát hàng khung liên tục theo thứ tự chúng đệm Sự xử lý ATM khác hẳn, node chuyển mạch ATM , hàng đợi khung không theo thứ tự chúng đệm, mà chuyển mạch ATM dựa vào ưu tiên để truyền dẫn: khung có độ ưu tiên cao truyền dẫn trước ngược lại Do ATM tạo đồng thời nhiều hàng dịch vụ độc lập với ưu tiên truyền dẫn khác dựa loại dịch vụ mà cung cấp tốc độ phân chia không đỗi Đây mạnh “thông minh” ATM Do mạng nhanh giải pháp cho nhiều vấn đề hội tụ Công nghệ ATM xuất với mạng diện rộng, đa dịch vụ băng rộng Phương thức truyền tải “Mạng mạng”, không đồng bộ, tích hợp chuyển mạch gói chuyển mạch 115 kênh Thông tin đặt gói có độ dài cố định ATM sử dụng kênh ảo nhóm kênh ảo tạo thành đường dẫn ảo Thích hợp với dịch vụ yêu cầu truyền thời gian thực, đa phương tiện 116 CHƯƠNG VI: AN TOÀN BẢO MẬT THÔNG TIN TRÊN MẠNG 6.1 Mở đầu: Trước công nghệ máy tính chưa phát triển, nói đến vấn đề an toàn bảo mật thông tin (Information Security), thường hay nghĩ đến biện pháp nhằm đảm bảo cho thông tin trao đổi hay cất giữ cách an toàn bí mật Chẳng hạn biện pháp như: • Đóng dấu ký niêm phong thư để biết thư có chuyển nguyên vẹn đến người nhận hay không • Dùng mật mã mã hóa thông điệp để có người gửi người nhận hiểu thông điệp Phương pháp thường sử dụng trị quân • Lưu giữ tài liệu mật két sắt có khóa, nơi bảo vệ nghiêm ngặt, có người cấp quyền xem tài liệu Với phát triển mạnh mẽ công nghệ thông tin, đặt biệt phát triển mạng Internet, ngày có nhiều thông tin lưu giữ máy vi tính gửi mạng Internet Và xuất nhu cầu an toàn bảo mật thông tin mạng máy tính Có thể phân loại mô hình an toàn bảo mật thông tin mạng máy tính theo hai hướng sau: 1) Bảo vệ thông tin trình truyền thông tin mạng (Network Security) 2) Bảo vệ hệ thống máy tính, mạng máy tính, khỏi xâm nhập phá hoại từ bên (System Security) 6.2 Bảo vệ thông tin trình truyền thông tin mạng 6.2.1 Các loại hình công: Để xem xét vấn đề bảo mật liên quan đến truyền thông mạng, lấy bối cảnh sau: có ba nhân vật tên Alice, Bob Trudy, Alice Bob thực trao đổi thông tin với nhau, Trudy kẻ xấu, đặt thiết bị can thiệp vào kênh truyền tin Alice Bob Sau loại hành động công Trudy mà ảnh hưởng đến trình truyền tin Alice Bob: 1) Xem trộm thông tin (Release of Message Content) Trong trường hợp Trudy chặn thông điệp Alice gửi cho Bob, xem nội dung thông điệp 117 Trudy Đọc nội dung thông điệp Alice Network Alice Bob Hình 6.1 Xem trộm thông điệp 2) Thay đổi thông điệp (Modification of Message) Trudy chặn thông điệp Alice gửi cho Bob ngăn không cho thông điệp đến đích Sau Trudy thay đổi nội dung thông điệp gửi tiếp cho Bob Bob nghĩ nhận thông điệp nguyên ban đầu Alice mà chúng bị sửa đổi Trudy Sửa thông điệp Alice gửi cho Bob Network Alice Bob Hình 6.2 Sửa thông điệp 3) Mạo danh (Masquerade) Trong trường hợp Trudy giả Alice gửi thông điệp cho Bob Bob điều nghĩ thông điệp Alice 118 Trudy Trudy giả Alice gởi thông điệp cho Bob Network Alice Bob Hình 6.3 Mạo danh 4) Phát lại thông điệp (Replay) Trudy chép lại thông điệp Alice gửi cho Bob Sau thời gian Trudy gửi chép cho Bob Bob tin thông điệp thứ hai từ Alice, nội dung hai thông điệp giống Thoạt đầu nghĩ việc phát lại vô hại, nhiên nhiều trường hợp gây tác hại không so với việc giả mạo thông điệp Xét tình sau: giả sử Bob ngân hàng Alice khách hàng Alice gửi thông điệp đề nghị Bob chuyển cho Trudy 1000$ Alice có áp dụng biện pháp chữ ký điện tử với mục đích không cho Trudy mạo danh sửa thông điệp Tuy nhiên Trudy chép phát lại thông điệp biện pháp bảo vệ ý nghĩa Bob tin Alice gửi tiếp thông điệp để chuyển thêm cho Trudy 1000$ Trudy Sao chép thông điệp Alice gửi lại sau cho Bob Network Alice Bob Hình 6.4 Phát lại thông điệp 6.2.2 Yêu cầu hệ truyền thông tin an toàn bảo mật: Phần trình bày hình thức công, hệ truyền tin gọi an toàn bảo 119 mật phải có khả chống lại hình thức công Như hệ truyền tin phải có đặt tính sau: - Tính bảo mật (Confidentiality): Ngăn chặn vấn đề xem trộm thông điệp, thông tin bị truy cập trái phép người thẩm quyền - Tính chứng thực (Authentication): Nhằm đảm bảo cho Bob thông điệp mà Bob nhận thực gửi từ Alice, không bị thay đổi (đảm bảo nguyên vẹn) trình truyền tin Như tính chứng thực ngăn chặn hình thức công sửa thông điệp, mạo danh, phát lại thông điệp - Tính sẵn sàng (Availability): Nhằm đảm bảo thông tin sẵn sang để đáp ứng sử dụng cho người có thẩm quyền - Tính không từ chối (Nonrepudiation): xét tình sau: Giả sử Bob nhân viên môi giới chứng khoán Alice Alice gởi thông điệp yêu cầu Bob mua cổ phiếu công ty Z Ngày hôm sau, giá cổ phiếu công ty giảm 50% Thấy bị thiệt hại, Alice nói Alice không gửi thông điệp quy trách nhiệm cho Bob Bob phải có chế để xác định Alice người gởi mà Alice từ chối trách nhiệm Khái niệm chữ ký giấy mà người sử dụng ngày chế để bảo đảm tính chứng thực tính không từ chối Và lĩnh vực máy tính, người ta thiết lập chế vậy, chế gọi chữ ký điện tử (chữ ký số) chuyển đổi liên quan đến an toàn Bên gửi chuyển đổi liên quan đến an toàn kênh thông tin thông tin bí mật thông tin bí mật Bên nhận Đối thủ Hình 6.5 Mô hình bảo mật truyền thông tin mạng 6.2.3 Các giao thức (protocol) thực bảo mật: Một số giao thức sử dụng bảo mật nay: 120  Keberos: giao thức dùng để chứng thực dựa mã hóa đối xứng  Chuẩn chứng thực X509: dùng mã hóa khóa công khai  Secure Socket Layer (SSL): giao thức bảo mật Web, sử dụng phổ biến Web thương mại điện tử  PGP S/MIME: bảo mật thư điện tử email 6.3 Bảo vệ hệ thống khỏi xâm nhập phá hoại từ bên ngoài: Ngày nay, mạng Internet kết nối máy tính khắp nơi giới lại với nhau, vấn đề bảo vệ máy tính khỏi thâm nhập phá hoại từ bên điều cần thiết Thông qua mạng Internet, hacker truy cập vào máy tính tổ chức (dùng telnet chẳng hạn), lấy trộm liệu quan trọng mật khẩu, thẻ tín dụng, tài liệu… Hoặc đơn giản phá hoại, gây trục trặc hệ thống mà tổ chức phải tốn nhiều chi phí để khôi phục lại tình trạng hoạt động bình thường Để thực việc bảo vệ này, người ta dùng khái niệm “kiểm soát truy cập” (Access Control) Khái niệm kiểm soát truy cập có hai yếu tố sau: • Chứng thực truy cập (Authentication): xác nhận đối tượng (con người hay chương trình máy tính) cấp phép truy cập vào hệ thống Ví dụ: để sử dụng máy tính trước tiên đối tượng phải logon vào máy tính username password Ngoài ra, có phương pháp chứng thực khác sinh trắc học (dấu vân tay, mống mắt…) hay dùng thẻ (thẻ ATM…) • Phân quyền (Authorization): hành động phép thực sau truy cập vào hệ thống Ví dụ: bạn cấp username password để logon vào hệ điều hành, nhiên bạn cấp quyền để đọc file Hoặc bạn có quyền đọc file mà quyền xóa file Với nguyên tắc máy tính mạng máy tính bảo vệ khỏi thâm nhập đối tượng không phép Tuy nhiên thực tế nghe nói đến vụ công phá hoại Để thực điều đó, kẻ phá hoại tìm cách phá bỏ chế Authentication Authorization cách thức sau: • Dùng đoạn mã phá hoại (Malware): virus, worm, trojan, backdoor… đoạn mã độc phát tán lan truyền từ máy tính qua máy tính khác dựa bất cẩn người sử dụng, hay dựa lỗi phần mềm Lợi dụng quyền cấp cho người sử dụng (chẳng hạn nhiều người login vào máy tính với quyền administrator), đoạn mã thực lệnh 121 phá hoại dò tìm password quản trị hệ thống để gửi cho hacker, cài đặt cổng hậu để hacker bên xâm nhập • Thực hành vi xâm phạm (Intrusion): việc thiết kế phần mềm có nhiểu lỗ hổng, dẫn đến hacker lợi dụng để thực lệnh phá hoại Những lệnh thường không phép người bên ngoài, lỗ hổng phần mềm dẫn đến phép Trong trường hợp đặc biệt, lỗ hổng phần mềm cho phép thực lệnh phá hoại mà người thiết kế chương trình không ngờ tới Hoặc hacker sử dụng cổng hậu backdoor tạo để xâm nhập Để khắc phục hành động phá hoại này, người ta dùng chương trình có chức gác cổng, phòng chống Những chương trình dò tìm virus dò tìm hành vi xâm phạm đển ngăn chặn chúng, không cho chúng thực xâm nhập Đó chương trình chống virus, chương trình firewall… Ngoài nhà phát triển phần mềm cần có quy trình xây dựng kiểm lỗi phần mềm nhằm hạn chế tối đa lỗ hổng bảo mật có 6.4 Bảo vệ thông tin mật mã: Mật mã hay mã hóa liệu (cryptography), công cụ thiết yếu bảo mật thông tin Mật mã đáp ứng nhu cầu tính bảo mật (confidentiality), tính chứng thực (authentication) tính không từ chối (non-repudiation) hệ truyền tin Nội dung phần giới thiệu số cách mã hóa sử dụng việc bảo vệ thông tin mật mã như: mã hóa cổ điển, mã hóa đối xứng đại, mã hóa bất đối xứng (mã hóa công khai),Những hệ mật mã cổ điển ngày sử dụng, chúng thể nguyên lý ứng dụng mật mã đại Dựa tảng đó, tìm hiểu mã hóa đối xứng mã hóa bất đối xứng, chúng đóng vai trò quan trọng mật mã đại 6.4.1 Mã hóa cổ điển (mã hóa đối xứng bản): Các phương pháp mã hóa cổ điển thường dựa hai phương thức Cách thứ dùng phương thức thay chữ rõ thành chữ khác mã (substitution) Các mã hóa dùng phương thức mã hóa Ceasar, mã hóa thay đơn bảng, đa bảng, onetime pad Cách thứ hai dùng phương thức hoán vị để thay đổi thứ tự ban đầu chữ rõ (permutation) Hai phương thức đóng vai trò quan trọng mã hóa đối xứng đại Về mặt khái niệm, phương pháp mã hóa đối xứng tổng quát biểu diễn 122 mô hình sau: sinh khóa kênh an toàn K nơi gởi P Mã hóa kênh thường Giải mã C P nơi nhận Phá mã Hình 6.6 Mô hình mã hóa đối xứng Mô hình gồm yếu tố:  Bản rõ P (plaintext)  Thuật toán mã hóa E (encrypt algorithm)  Khóa bí mật K (secret key)  Bản mã C (ciphertext)  Thuật toán giải mã D (decrypt algorithm) Trong đó: C = E P, K P = D (C, K) Thuật toán mã hóa giải mã sử dụng chung khóa, thuật toán giải mã phép toán ngược thuật toán mã hóa (trong mã hóa Ceasar, E phép cộng D phép trừ) Vì mô hình gọi phương pháp mã hóa đối xứng Bản mã C gởi kênh truyền Do mã C biến đổi so với rõ P, người thứ ba can thiệp vào kênh truyền để lấy mã C, không hiểu ý nghĩa mã Đây đặc điểm quan trọng mã hóa, cho phép đảm bảo tính bảo mật (confidentiality) hệ truyền tin đề cập 123 Một đặc tính quan trọng mã hóa đối xứng khóa phải giữ bí mật người gởi người nhận, hay nói cách khác khóa phải chuyển cách an toàn từ người gởi đến người nhận Có thể đặt câu hỏi có kênh an toàn để chuyển khóa không dùng kênh để chuyển tin, cần đến chuyện mã hóa? Câu trả lời nội dung tin dài, khóa thường ngắn Ngoài khóa áp dụng để truyền tin nhiều lần Do chuyển khóa kênh an toàn đỡ tốn chi phí Đặc tính quan trọng thứ hai hệ mã hóa đối xứng tính an toàn hệ mã Như thấy phần mã hóa Ceasar, từ mã dễ dàng suy rõ ban đầu mà không cần biết khóa bí mật Hành động tìm rõ từ mã mà không cần khóa gọi hành động phá mã (cryptanalysis) Do hệ mã hóa đối xứng gọi an toàn bị phá mã (điều kiện lý tưởng) thời gian phá mã bất khả thi Một số hệ mã đối xứng bản: Mã Ceasar, mã hóa thay đơn bảng, mã hóa thay đa ký tự (mã playfair, mã Hill), mã hóa thay đa bảng, mã hóa One – time Pad, mã hoán vị 6.4.2 Mã hóa đối xứng đại: Đối tượng phương pháp mã hóa cổ điển tin ngôn ngữ, đơn vị mã hóa chữ để áp dụng phương thức thay hay phương thức hoán vị Cùng với phát triển máy tính, thông tin ngày trở nên đa dạng, tin không đơn giản tin gồm chữ cái, mà gồm thông tin định dạng văn tài liệu HTML… Ngoài tin xuất loại hình khác hình ảnh, video, âm thanh… Tất tin biểu diễn máy vi tính dạng dãy số nhị phân Trong máy tính chữ biểu diễn mã ASCII Bản tin: attack Mã ASCII: 97 116 116 97 99 107 Biểu diễn nhị phân: 01100001 01110100 01110100 01100001 01100011 01101011 Và tương tự tin ngôn ngữ, tin nhị phân tồn số đặc tính thống kê mà người phá mã tận dụng để phá mã, mã tồn dạng nhị phân Mã hóa đại quan tâm đến vấn đề chống phá mã trường hợp biết trước rõ (known-plaintext), hay rõ lựa chọn (chosen-plaintext) Để minh họa cách thức thực mã hóa đối xứng đại, sử dụng rõ 124 chữ ngôn ngữ gồm có chữ A, B, C, D, E, F, G, H chữ biểu diễn bít Chữ Nhị phân A 000 B 001 C 010 D 011 E 100 F 101 G 110 H 111 Như có rõ ’head’ biểu diễn nhị phân tương ứng là: 111100000011 Giả sử dùng khóa K gồm bít 0101 để mã hóa rõ phép XOR: rõ: 1111 0000 0011 (head) khóa: 0101 0101 0101 mã: 1010 0101 0110 (FBCG) Trong phép mã hóa trên, đơn vị mã hóa chữ mà khối bít Để giải mã, lấy mã XOR lần với khóa có lại rõ ban đầu Tuy nhiên, mã hóa phép XOR đơn giản hai điểm: • Khóa lặp lại, điều bộc lộ điểm yếu giống mã hóa Vigenere Để khắc phục điều này, người ta dùng sinh số ngẫu nhiên để tạo khóa dài, giả lập mã hóa One-Time pad Đây sở thực mã dòng (stream cipher) • Một khối mã hóa phép XOR với khóa Điều không an toàn cần biết cặp khối rõ - mã (vd: 1111 1010), người phá mã dễ dàng tính khóa Để khắc phục điều này, người ta tìm phép mã hóa phức tạp phép XOR, sở đời mã khối (block cipher) 125 Một số phương pháp mã hóa đối xứng đại sử dụng: mã dòng, mã khối, mã TinyDes, mã Des… Dù mã hóa đối xứng đảm bảo tính bảo mật hệ truyền tin, nhiên mã hóa đối xứng lại không thực tính không từ chối Nguyên nhân tính bí mật khóa Vì khóa K bít mật có hai người biết, nên K bị tiết lộ sở để quy trách nhiệm cho Alice hay Bob làm lộ khóa Do Alice từ chối gửi tin Lấy lại ví dụ chứng khoán, giả sử Bob nhân viên môi giới chứng khoán Alice Alice gởi thông điệp yêu cầu Bob mua cổ phiếu công ty Z Thông điệp mã hóa Ngày hôm sau, giá cổ phiếu công ty giảm 50% Thấy bị thiệt hại, Alice nói Bob làm lộ khóa, Trudy có khóa gởi thông điệp Alice Bob bác bỏ lập luận Vì nhà nghiên cứu bắt đầu tìm kiếm phương án mã hóa khác, cho khóa bí mật có người biết mà Đó phương pháp mã hóa khóa công khai 6.4.3 Mã hóa công khai: Mã hóa đối xứng phát triển từ cổ điển đến đại, tồn hai điểm yếu sau: • Vấn đề trao đổi khóa người gửi người nhận: Cần phải có kênh an toàn để trao đổi khóa cho khóa phải giữ bí mật có người gửi người nhận biết Điều tỏ không hợp lý mà ngày nay, khối lượng thông tin luân chuyển khắp giới lớn Việc thiết lập kênh an toàn tốn mặt chi phí chậm trễ mặt thời gian • Tính bí mật khóa: sở quy trách nhiệm khóa bị tiết lộ Vào năm 1976 Whitfield Diffie Martin Hellman tìm phương pháp mã hóa khác mà giải hai vấn đề trên, mã hóa khóa công khai (public key cryptography) hay gọi mã hóa bất đối xứng (asymetric cryptography) Đây xem bước đột phá quan trọng lĩnh vực mã hóa Để khắc phục điểm yếu mã hóa đối xứng, người tập trung nghiên cứu theo hướng: có phương pháp để việc mã hóa giải mã dùng hai khóa khác nhau? Có nghĩa C = E P, K1 P = D C, K2 Nếu có phương án áp dụng: Phương án 1: người nhận (Bob) giữ bí mật khóa K2, khóa K1 công khai cho tất người biết Alice muốn gởi liệu cho Bob dùng khóa K1 để mã hóa Bob dùng K2 126 để giải mã Ở Trudy biết khóa K1, nhiên dùng K1 để giải mã mà phải dùng K2 Do có Bob giải mã Điều bảo đảm tính bảo mật trình truyền liệu Ưu điểm phương án không cần phải truyền khóa K1 kênh an toàn P = D C, K1) ( P = D C, K2 Phương án 2: người gửi (Alice) giữ bí mật khóa K1, khóa K2 công khai cho tất người biết Alice muốn gởi liệu cho Bob dùng khóa K1 để mã hóa Bob dùng K2 để giải mã Ở Trudy biết khóa K2 nên Trudy giải mã Do phương án không đảm bảo tính bảo mật Tuy nhiên lại có tính chất quan trọng đảm bảo tính chứng thực tính không từ chối Vì có Alice biết khóa K1, nên Bob dùng K2 để giải mã tin, điều có nghĩa Alice người gửi mã Nếu Trudy có khóa K1 để gửi mã Alice bị quy trách nhiệm làm lộ khóa K1 Trong phương án không cần phải truyền K2 kênh an toàn Vì kết hợp phương án phương án 2, mô hình đề xuất khắc phục nhược điểm mã hóa đối xứng Trong hai phương án, khóa giữ bí mật người biết, khóa công khai Do mô hình mã hóa gọi mã hóa khóa công khai (hay mã hóa bất đối xứng) Để thuận tiện ta quy ước lại ký hiệu sau: - Để tránh nhầm lẫn với khóa bí mật mã đối xứng, khóa bí mật mô hình gọi khóa riêng (private key) ký hiệu KR - Khóa công khai (public key) ký hiệu KU - Bản rõ ký hiệu M, mã giữ nguyên ký hiệu C - Phương án viết lại thành: C = E M, KU M = D C, KR - Phương án viết lại thành: 127 C = E M, KR M = D C, KU Vấn đề lại liệu có tồn mô hình mã hóa giải mã dùng hai khóa khác không? Dĩ nhiên hai khóa KU KR hoàn toàn độc lập với Phải có mối quan hệ KU KR tiến hành giải mã hóa giải mã Có nghĩa KR = f(KU) Tuy nhiên yêu cầu quan trọng việc tính KR = f(KU) phải bất khả thi mặt thời gian Nếu nguyên tắc bị vi phạm việc giữ bí mật khóa KR không ý nghĩa từ khóa công khai KU tính KR Để có cặp khóa KR KU trên, người ta thường dùng hàm chiều (oneway function) Các hàm chiều có tính chất hàm nghịch đảo chúng khó thực Sau ví dụ hàm chiều: việc sinh hai số nguyên tố lớn p, q tính tích N = pq thực dễ dàng Tuy nhiên cho trước N thực phân tích N để tìm lại hai số nguyên tố p, q việc hoàn toàn bất khả thi mặt thời gian Chúng ta xem cách thức áp dụng hàm chiều để tạo khóa KR KU phần mã hóa RSA Có nhiều phương pháp mã hóa thuộc loại mã hóa khóa công khai Đó phương pháp Knapsack, RSA, Elgaman, phương pháp đường cong elliptic ECC… Mỗi phương pháp có cách thức ứng dụng hàm chiều khác 128