Khoá luận Bảo đảm ATTT kiểm soát truy nhập LỜI NÓI ĐẦU Khoá luận trình bày bảo đảm ATTT kiểm soát truy nhập Khoá luận tập trung vào số phương pháp kiểm soát truy nhập, số sách truy cập, số kĩ thuật kiểm soát truy nhập Nội dung khoá luận gồm: Chương 1: Tập trung vào trình bày số khái niệm liên quan đến ATTT như: hệ mã hoá, chữ kí điện tử, hàm băm Ngoài ra, trình bày cách tổng quan vấn đề ATTT như: yêu cầu giải pháp bảo đảm ATTT Đồng thời nêu toán ATTT Chương 2: Cho hiểu biết chung vấn đề kiểm soát truy nhập Phần này, tập trung vào trình bày số phương pháp kiểm soát truy nhập, sách truy nhập, kĩ thuật kiểm soát truy nhập Trình bày phương pháp thường sử dụng kiểm soát truy nhập, kiểm soát truy nhập “trực tiếp” kiểm soát truy nhập “tự động” Trình bày số sách kiểm soát truy nhập Ở phần này, cho nhìn tổng quan sách kiểm soát truy nhập Tiếp theo, khoá luận trình bày kĩ thuật kiểm soát truy nhập Đó là, hệ thống nhận dạng xác thực, tường lửa, mạng riêng ảo, hệ thống phát ngăn chặn xâm nhập, tường lửa ứng dụng web Ở phần này, việc cho có khái niệm bản, ưu nhược điểm kĩ thuật Trong trình hoàn thành đồ án tốt nghiệp, người viết không tránh khỏi thiếu sót Rất mong nhận đóng góp ý kiến thấy cô bạn Bảng danh mục từ, thuật ngữ ACL (Access Control List) Danh sách kiểm soát truy cập ATTT An toàn thông tin CA (Certificate Authourity) Tổ chức cấp chứng Cisco ACL Danh sách kiểm soát truy cập Cisco CSDL Cơ sở liệu DAC (Discretionary Access Control) Kiểm soát truy cập tuỳ quyền DDoS (Distrubuted DoS) Từ chối dịch vụ phân tán DES (Data Encrytion Standard) DoS ( Denial of Service) Từ chối dịch vụ DSS (Digital Signature Standard) FTP (File Transfer Protocol) Giao thức truyền file gcd (greatest common divion) Ước số chung lớn HIDS (Host IDS) HTTP (Hypertext Transfer Protocol) ICMP (Internet Control Giao thức truyền siêu văn Message Giao thức kiểm soát thông điệp mạng Protocol) IDS (Intrustion Detect System) IETF (Internet Engineering Hệ thống phát xâm nhập Task Force) IPS (Intrustion Prevent System) Hệ thống ngăn chặn xâm nhập ISP (Internet Service Providers) Nhà quản lí thiết bị mạng LBAC (Lattice Based Access Control) Kiểm soát truy cập dùng lưới MAC (Mandatory Access Control) Kiểm soát truy cập bắt buộc NIC (Network Interface Card) Card giao tiếp mạng NIDS (Network base IDS) PIN (Personal Identification Number ) Số định danh cá nhân PKI (Public Key Infrastructure) Hạ tầng sở khoá công khai RBAC (Role Base Access Control) Kiểm soát truy cập sở vai trò SNMP (Simple Network Managerment Giao thức quản lí mạng Protocol) SSL (Secure Socket Layer) Khe cắm an toàn SYN (Synchronize) Đồng TA (Trusted Authority) Cơ quan uỷ thác cấp chứng thực TCP (Transmission Control Protocol) TCP/ IP (Transfer Control Protocol/ Internet Protocol) UDP (User Datagram Protocol) URL (Uniform Resource Locator) WAF (Web Application Firewall) Tường lửa ứng dụng web CHƯƠNG 1: MỘT SỐ KHÁI NIỆM CƠ SỞ 1.1 KHÁI NIỆM MÃ HOÁ 1.1.1 Hệ mã hóa Hệ mã hóa gồm thành phần (P, C, K, E, D) đó: P (Plaintext): tập hữu hạn rõ C (Ciphertext): tập hữu hạn mã K (Key): tập hữu hạn khóa E (Encrytion): tập hàm lập mã D (Decrytion): tập hàm giải mã Với k ∈ K, có hàm lập mã ek ∈ E, ek : P → C hàm giải mã dk∈ D, dk: C → P cho dk(ek(x)) = x , ∀ x ∈ P Mã hóa cho ta mã ek(P)= C Giải mã cho ta rõ dk(C)= P 1.1.2 Một số hệ mã hóa thường dùng Hệ mã hóa đối xứng hệ mã mà ta biết khóa lập mã, “dễ” tính khóa giải mã ngược lại Trong nhiều trường hợp khóa lập mã giải mã giống Hệ mã hóa đối xứng yêu cầu người nhận gửi phải thỏa thuận khóa trước thông tin gửi Khóa phải giữ bí mật, độ an toàn hệ phụ thuộc vào khóa Nếu khóa bị lộ dễ giải mã Một số hệ mã hóa đối xứng: DES, RC2, RC4, RC5, IDEA, Hệ mã hóa phi đối xứng hệ mã mà biết khóa lập mã, khó” tính khoá giải mã ngược lại Hệ gọi hệ mã hóa khóa công khai khóa để mã hóa công khai Ta dùng khóa công khai để mã hóa thông điệp, người có khóa giải mã đọc thông điệp Một số hệ mã hoá phi đối xứng: RSA, Elgamal, Ví dụ: Hệ mã RSA (Rivest, Shamir, Adleman ) Mã RSA đề xuất năm 1977, toán dựa tính “khó giải” toán phân tích số thừa số nguyên tố Để xây dựng hệ mật mã khoá công khai RSA, ta chọn trước số nguyên n = p.q, với p q số nguyên tố lớn Chọn số a nguyên tố với Ф(n), với Ф(n) = (p-1) (q-1) Tính b cho b.a ≡ mod Ф(n) Sơ đồ mã hoá RSA : thành phần (P, C, K, E, D), kí hiệu mục 1.1.1 Mỗi khoá k = (k’, k’’), k’ khoá công khai dành cho việc lập mã, k’’ khoá bí mật dành cho việc giải mã Chọn n = p.q với p, q số nguyên tố lớn Đặt P = C = Zn Chọn a nguyên tố với Ф(n) = (p-1)(q-1) Ta định nghĩa k = {(n, b, a): a.b ≡ mod Ф(n)} k (k’, k’’) với k’ = (n, b ) công khai, k’’ = a bí mật x ∈ P, y ∈ C, định nghĩa: Hàm mã hoá: ek’(x) = xa mod n Hàm giải mã: dk ‘’(y) = yb mod n 1.2 SƠ ĐỒ CHỮ KÍ ĐIỆN TỬ Chữ kí điện tử thông tin kèm theo tài liệu khác văn bản, hình ảnh, nhằm mục đích xác định người chủ liệu đảm bảo tính toàn vẹn liệu Đồng thời cung cấp chức chống chối bỏ người gửi thông tin Sơ đồ kí điện tử gồm thành phần (P, A, K, S, V) đó: P tập hữu hạn văn A tập hữu hạn chữ kí K tập hữu hạn khóa Với k ∈ K, k = (k’, k’’), k’ khoá bí mật để kí, k’’ khoá công khai để kiểm thử chữ kí S tập thuật toán kí V tập thuật toán kiểm thử Với k ∈ K, có thuật toán ký sig k’ ∈ S, sig k: P → A thuật toán kiểm thử ver k’’ ∈ V, ver k’’: P x A → {đúng, sai}, thoả mãn điều kiện sau với x ∈ P, y ∈ A: ver k’’ (x,y) = đúng, y = sig k’(x) sai, y ≠ sig k’(x) Một số chữ kí điện tử: RSA, Elgamal, DSS, 1.3 HÀM BĂM (HASH FUNCTION) Giả sử D tập văn X tập văn tóm lược (đại diện) Việc tìm cho văn tóm lược tương ứng xác định hàm h: D→ X Hàm h gọi hàm băm Hàm băm hàm với đầu vào văn có độ dài thay đổi, đầu văn tóm lược có độ dài cố định đủ nhỏ Hàm băm thường phải thỏa mãn điều kiện sau: + Hàm băm phải hàm không va chạm mạnh: Không có thuật toán tính thời gian đa thức để tìm x1, x2 ∈D cho x1 ≠ x2 h(x1 ) = h(x2 ) Tức tìm văn khác có đại diện “khó” + Hàm băm hàm phía: Tức cho x tính z = h(x) “dễ”, biết z tính x “khó” + Hàm băm phải hàm không va chạm yếu: Tức cho x ∈ D, khó tìm x’ ∈ D, x’ ≠ x h(x) = h(x’) 1.4 TỔNG QUAN VỀ ATTT 1.4.1 Một số khái niệm Hacker: kẻ xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu thành phần truy nhập hệ thống Masquerader: kẻ giả mạo thông tin mạng Một số hình thức giả mạo giả mạo địa IP, tên miền Eavesdropping: đối tượng nghe trộm thông tin mạng, chúng sử dụng công cụ sniffer, sau dùng công cụ phân tích debug để lấy thông tin có giá trị Sniffer: Trong bảo mật hệ thống sniffer hiểu công cụ (có thể phần mềm phấn cứng) “bắt” thông tin lưu chuyển mạng Dùng thông tin thu được, để “đánh hơi” lấy thông tin có giá trị trao đổi mạng Hoạt động sniffer giống chương trình “bắt” thông tin gõ từ bàn phím (key capture) Tuy nhiên, tiện ích key capture thực trạm làm việc cụ thể Còn sniffer “bắt” thông tin trao đổi nhiều trạm làm việc với 1.4.2 Một số toán ATTT Bài toán bảo mật: giữ bí mật người thẩm quyền Bài toán toàn vẹn liệu: kiểm chứng tính toàn vẹn thông tin Bài toán xác nhận thực thể: xác định danh tính chủ thể Bài toán chữ kí: dùng để gắn thông tin với chủ thể xác định Bài toán không chối bỏ: ngăn ngừa việc chối bỏ trách nhiệm cam kết có 1.4.3 Các yêu cầu đảm bảo ATTT 1) Yêu cầu bảo mật thông tin Theo tổ chức quốc tế chuẩn (International Organization for Standardization – IOS) tính bí mật thông tin phép truy nhập người có quyền truy nhập Đây ba đặc tính quan trọng ATTT Tính bí mật mục tiêu hệ mã hoá Ví dụ: Hệ thống bán hàng qua mạng phải đảm bảo bí mật thông tin tài khoản khách hàng 2) Yêu cầu bảo toàn thông tin Trong lĩnh vực ATTT, tính bảo toàn (toàn vẹn) bảo đảm mục tiêu sau: ngăn ngừa việc thay đổi thông tin trái phép người dùng thẩm quyền, ngăn ngừa việc vô ý thay đổi thông tin người dùng có thẩm quyền, trì tính quán thông tin Ví dụ: Bảng báo giá hay thông tin số chứng khoán không cần tính bí mật cần xác quản lí chặt chẽ thay đổi thông tin 3) Yêu cầu sẵn sàng Tính sẵn sàng thể thông tin đưa đến người dùng kịp thời, không bị gián đoạn Mọi hành vi làm gián đoạn trình truyền thông tin, khiến thông tin không đến người dùng, công vào tính sẵn sàng hệ thống Ví dụ: Hệ thống phòng thủ tên lửa đạn đạo Mỹ phải đảm bảo tính sẵn sàng, để ngăn chặn công 4) Yêu cầu xác thực