Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và sự phát triển của mạng internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ trên mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội. Các thông tin trên Internet cũng đa dạng về nội dung và hình thức, trong đó có rất nhiều thông tin cần được bảo mật cao hơn bởi tính kinh tế, tính chính xác và tính tin cậy của nó.Sự ra đời của các công nghệ An ninh – Bảo mật Mạng nhằm bảo vệ mạng của bạn trước việc đánh cắp và sử dụng sai mục đích thông tin bí mật và chống lại tấn công bằng mã độc từ vi rút và sâu máy tính trên mạng Internet. Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn. Do đó đối với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết. Xuất phát từ những thực tế đó, tôi đã tìm hiểu về đề tài “Các bài toán liên quan tới an ninh hệ thống thông tin, hệ thống web, dịch vụ web, rà soát lỗ hổng hệ thống, tìm mã độc.”.
LỜI CẢM ƠN Cùng với phát triển công nghệ thơng tin, cơng nghệ mạng máy tính phát triển mạng internet ngày phát triển đa dạng phong phú Các dịch vụ mạng thâm nhập vào hầu hết lĩnh vực đời sống xã hội Các thông tin Internet đa dạng nội dung hình thức, có nhiều thông tin cần bảo mật cao tính kinh tế, tính xác tính tin cậy Sự đời cơng nghệ An ninh – Bảo mật Mạng nhằm bảo vệ mạng bạn trước việc đánh cắp sử dụng sai mục đích thơng tin bí mật chống lại công mã độc từ vi rút sâu máy tính mạng Internet Bên cạnh đó, hình thức phá hoại mạng trở nên tinh vi phức tạp Do hệ thống, nhiệm vụ bảo mật đặt cho người quản trị mạng quan trọng cần thiết Xuất phát từ thực tế đó, nhóm chúng em tìm hiểu đề tài “Các tốn liên quan tới an ninh hệ thống thông tin, hệ thống web, dịch vụ web, rà sốt lỗ hổng hệ thống, tìm mã độc.” Với hướng dẫn tận tình thầy TS Hồ Ngọc Vinh – Trưởng khoa công nghệ thông tin nhóm em hồn thành báo cáo Tuy cố gắng tìm hiểu, phân tích khơng tránh khỏi thiếu sót Nhóm em mong nhận thơng cảm góp ý q Thầy Nhóm em xin chân thành cảm ơn! MỤC LỤC LỜI CẢM ƠN MỤC LỤC DANH MỤC CÁC BẢNG BIỂU, HÌNH ẢNH DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT 12 MỞ ĐẦU 14 Chương TỔNG QUAN VỀ AN NINH MẠNG .1 1.1 An ninh mạng gì? 1.2 Các yếu tố cần bảo vệ hệ thống thông tin, hệ thống web 1.3 Các yếu tố đảm bảo an tồn thơng tin hệ thống thơng tin, hệ thống web Hình 1.1: Quá trình đánh giá nguy hệ thống .3 1.3.1 Xác định lỗ hổng hệ thống 1.3.2 Xác định mối đe đoạ 1.3.3 Các biện pháp an toàn hệ thống Chương CÁC LỔ HỎNG BẢO MẬT VÀ CÁC ĐIỂM YẾU CỦA HỆ THỐNG THÔNG TIN, HỆ THỐNG WEB .4 2.1 Các lổ hỏng bảo mật 2.1.1 Lổ hỏng loại C 2.1.2 Lổ hỏng loại B 2.1.3 Lổ hỏng loại A 2.2 Các kiểu công 2.3 Tấn công trực tiếp .6 2.3.1 Kỹ thuật đánh lừa: (Social Engineering) 2.3.2 Kỹ thuật công vào vùng ẩn 2.3.3 Tấn công vào lổ hỏng bảo mật 2.3.4 Khai thác tình trạng tràn nhớ đệm 2.3.5 Nghe trộm 2.3.6 Kỹ thuật giả mạo địa 2.3.7 Kỹ thuật chèn mã lệnh 2.3.8 Tấn công vào cấu hình khơng an tồn 2.3.9 Tấn công dùng Cooke .9 2.3.10 Can thiệp tham số URL 2.3.11 Vơ hiệu hóa dịch vụ 2.3.12 Một số kiểu công khác 10 2.4 Các biện pháp phát công 10 2.5 Các biện pháp phòng ngừa 12 2.5.1 Mã hóa, nhận dạng, chứng thực người dùng phân quyền sử dụng 12 Hình 2.1 Quá trình mã hoá 12 Hình 2.2: Chứng thực user password 13 Hình 2.3: Hoạt động CHAP 14 Hình 2.4: Mã hóa Kerberos 15 2.5.2 Bảo mật máy trạm 15 2.5.3 Bảo mật máy trạm truyền thống 16 Hình 2.5: Bảo mật FTP 16 2.6 Các công nghệ kỹ thuât bảo mật 17 Hình 2.6: Mơ hình tổng qt firewall 17 Hình 2.7: Bảo mật VPN .18 Hình 2.8: Hệ thống chống xâm nhập IDS .18 CHƯƠNG KỸ THUẬT MÃ HÓA 19 3.1 Khái niệm bảo mật học 19 3.2 Các thành phần hệ mật mã 19 3.3 Phân loại hệ mật mã 20 3.4 Một số phương pháp mã hóa 21 3.4.1 3.5 Mã hóa cổ điển: 21 Thuật tốn mã hóa cơng khai 27 3.5.1 Hệ mật RSA .27 3.5.2 Hệ mật Elgamal 28 3.6 So sánh mã hóa bí mật(đại diện mã hóa đối xứng) mã hóa cơng khai 29 CHƯƠNG CHỮ KÝ ĐIỆN TỬ 31 5.1 Giới thiệu 31 5.2 Một số khái niệm 32 5.3 Phân loại chữ ký số 32 Hình 4.1 : Phân loại chữ ký số 33 5.4 Mơ hình chữ ký số thực tế 33 Hình 4.2 : Sơ đồ tổng quan chữ ký số thực tế .33 5.5 Thuật toán băm bảo mật SHA 34 5.5.1 Giới thiệu 34 5.5.2 Tính chất hàm băm 34 Hàm băm MD5 .36 Hình 4.3: Sơ đồ vịng lặp MD5 37 Chương AN TOÀN IP – WEB .41 5.1 An toàn IP 41 5.1.1 IPSec .41 5.1.2 Kiến trúc an toàn IP 41 5.1.2.1 Dịch vụ IPSec 41 5.1.2.2 Liên kết an toàn 41 5.1.2.3 Phần đầu xác thực (Authentication Header - AH) 42 5.1.2.4 Tải trọng an tồn đóng gói (ESP) .42 5.1.2.5 Chế độ vận chuyển chế độ ống ESP 42 5.1.2.6 Kết hớp liên kết an toàn 43 5.1.2.7 Quản trị khóa .43 5.1.2.8 Oakley 43 5.1.2.9 ISAKMP 43 5.2 An toàn WEB 44 5.2.1 Khái niệm .44 5.2.2 SSL(Secure Socket Layer) 44 5.2.3 Kiến trúc SSL .44 44 Hình 5.1: Kiến trúc SSL 44 5.2.3.1 Dịch vụ thủ tục ghi SSL .45 5.2.3.2 Thủ tục thay đổi đặc tả mã SSL (SSL Change Cipher Spec Protocol) .45 5.2.3.3 Thủ tục nhắc nhở SSL (SSL Alert Protocol) 45 5.2.3.4 Thủ tục bắt tay SSL (SSL HandShake Protocol) .46 Hình 5.2: Thủ tục bắt tay .46 5.2.3.5 5.3 5.3.1 An toàn tầng vận chuyển 46 Thanh toán điện tử 49 Yêu cầu 49 Hình 5.3: Các thành phần tốn điện tử .50 5.3.2 Thanh toán điện tử an toàn 50 5.3.3 Chữ kỳ kép 50 5.3.4 Yêu cầu trả tiền 51 5.3.5 Yêu cầu trả tiền – người mua .52 52 Hình 5.4: Mơ yêu cầu trả tiền người mua 52 5.3.6 Yêu cầu trả tiền - người bán 52 52 Hình 5.5: Mơ mơ hình trả tiền người bán 52 5.3.7 Giấy phép cổng trả tiền 53 5.3.8 Nhận trả tiền 53 5.4 An toàn thư điện tử 53 5.5 Dịch vụ PGP 53 Hình 5.6: Thao tác PGP – Bảo mật xác thực 55 Hình 5.7: PGP Message Format 56 Hình 5.8: Sơ đồ nhận mẩu tin PGP .57 Hình 5.9: Sơ đồ giải mã, kiểm chứng mẩu tin 57 KẾT LUẬN 60 DANH MỤC TÀI LIỆU THAM KHẢO 61 DANH MỤC CÁC BẢNG BIỂU, HÌNH ẢNH LỜI CẢM ƠN MỤC LỤC DANH MỤC CÁC BẢNG BIỂU, HÌNH ẢNH DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT 12 MỞ ĐẦU 14 Chương TỔNG QUAN VỀ AN NINH MẠNG .1 1.1 An ninh mạng gì? 1.2 Các yếu tố cần bảo vệ hệ thống thông tin, hệ thống web 1.3 Các yếu tố đảm bảo an tồn thơng tin hệ thống thông tin, hệ thống web Hình 1.1: Quá trình đánh giá nguy hệ thống .3 1.3.1 Xác định lỗ hổng hệ thống 1.3.2 Xác định mối đe đoạ 1.3.3 Các biện pháp an toàn hệ thống Chương CÁC LỔ HỎNG BẢO MẬT VÀ CÁC ĐIỂM YẾU CỦA HỆ THỐNG THÔNG TIN, HỆ THỐNG WEB .4 2.1 Các lổ hỏng bảo mật 2.1.1 Lổ hỏng loại C 2.1.2 Lổ hỏng loại B 2.1.3 Lổ hỏng loại A 2.2 Các kiểu công 2.3 Tấn công trực tiếp .6 2.3.1 Kỹ thuật đánh lừa: (Social Engineering) 2.3.2 Kỹ thuật công vào vùng ẩn 2.3.3 Tấn công vào lổ hỏng bảo mật 2.3.4 Khai thác tình trạng tràn nhớ đệm 2.3.5 Nghe trộm 2.3.6 Kỹ thuật giả mạo địa 2.3.7 Kỹ thuật chèn mã lệnh 2.3.8 Tấn cơng vào cấu hình khơng an toàn 2.3.9 Tấn công dùng Cooke .9 2.3.10 Can thiệp tham số URL 2.3.11 Vơ hiệu hóa dịch vụ 2.3.12 Một số kiểu công khác 10 2.4 Các biện pháp phát công 10 2.5 Các biện pháp phòng ngừa 12 2.5.1 Mã hóa, nhận dạng, chứng thực người dùng phân quyền sử dụng 12 Hình 2.1 Q trình mã hố 12 Hình 2.2: Chứng thực user password 13 Hình 2.3: Hoạt động CHAP 14 Hình 2.4: Mã hóa Kerberos 15 2.5.2 Bảo mật máy trạm 15 2.5.3 Bảo mật máy trạm truyền thống 16 Hình 2.5: Bảo mật FTP 16 2.6 Các công nghệ kỹ thuât bảo mật 17 Hình 2.6: Mơ hình tổng qt firewall 17 Hình 2.7: Bảo mật VPN .18 Hình 2.8: Hệ thống chống xâm nhập IDS .18 CHƯƠNG KỸ THUẬT MÃ HÓA 19 3.1 Khái niệm bảo mật học 19 3.2 Các thành phần hệ mật mã 19 3.3 Phân loại hệ mật mã 20 3.4 Một số phương pháp mã hóa 21 3.4.1 3.5 Mã hóa cổ điển: 21 Thuật toán mã hóa cơng khai 27 3.5.1 Hệ mật RSA .27 3.5.2 Hệ mật Elgamal 28 3.6 So sánh mã hóa bí mật(đại diện mã hóa đối xứng) mã hóa cơng khai 29 CHƯƠNG CHỮ KÝ ĐIỆN TỬ 31 5.1 Giới thiệu 31 5.2 Một số khái niệm 32 5.3 Phân loại chữ ký số 32 Hình 4.1 : Phân loại chữ ký số 33 5.4 Mơ hình chữ ký số thực tế 33 Hình 4.2 : Sơ đồ tổng quan chữ ký số thực tế .33 5.5 Thuật toán băm bảo mật SHA 34 5.5.1 Giới thiệu 34 5.5.2 Tính chất hàm băm 34 Hàm băm MD5 .36 Hình 4.3: Sơ đồ vịng lặp MD5 37 Chương AN TOÀN IP – WEB .41 5.1 An toàn IP 41 5.1.1 IPSec .41 5.1.2 Kiến trúc an toàn IP 41 5.1.2.1 Dịch vụ IPSec 41 5.1.2.2 Liên kết an toàn 41 5.1.2.3 Phần đầu xác thực (Authentication Header - AH) 42 5.1.2.4 Tải trọng an tồn đóng gói (ESP) .42 5.1.2.5 Chế độ vận chuyển chế độ ống ESP 42 5.1.2.6 Kết hớp liên kết an toàn 43 5.1.2.7 Quản trị khóa .43 5.1.2.8 Oakley 43 5.1.2.9 ISAKMP 43 5.2 An toàn WEB 44 5.2.1 Khái niệm .44 5.2.2 SSL(Secure Socket Layer) 44 5.2.3 Kiến trúc SSL .44 44 Hình 5.1: Kiến trúc SSL 44 5.2.3.1 Dịch vụ thủ tục ghi SSL .45 5.2.3.2 Thủ tục thay đổi đặc tả mã SSL (SSL Change Cipher Spec Protocol) .45 5.2.3.3 Thủ tục nhắc nhở SSL (SSL Alert Protocol) 45 5.2.3.4 Thủ tục bắt tay SSL (SSL HandShake Protocol) .46 Hình 5.2: Thủ tục bắt tay .46 5.2.3.5 5.3 5.3.1 An toàn tầng vận chuyển 46 Thanh toán điện tử 49 Yêu cầu 49 Hình 5.3: Các thành phần toán điện tử .50 5.3.2 Thanh tốn điện tử an tồn 50 5.3.3 Chữ kỳ kép 50 5.3.4 Yêu cầu trả tiền 51 5.3.5 Yêu cầu trả tiền – người mua .52 52 Hình 5.4: Mơ u cầu trả tiền người mua 52 5.3.6 Yêu cầu trả tiền - người bán 52 52 Chương AN TOÀN IP – WEB 5.1 An tồn IP - Có nhiều chế an toàn ứng dụng chuyên biệt như: S/MIME, PGP, Kerberos, SSL/HTTPS Tuy nhiên có chế an tồn mà xun suốt nhiều tầng ứng dụng chế an toàn IP cài đặt mạng cho ứng dụng 5.1.1 IPSec - IPSec chế an toàn IP tổng quan Nó cung cấp: xác thực, bảo mật quản trị khoá IPSec dùng mạng LAN, mạng WAN riêng chung mạng Internet Lợi ích IPSec - IPSec tường lửa/router cung cấp an toàn mạnh cho việc truyền qua vành đai Nó chống lại việc vịng qua tường lửa/router - IPSec nằm tầng vận chuyển bên nên suốt với ứng dụng suốt với người sử dụng đầu cuối Nó cung cấp an tồn cho người sử dụng riêng biệt bảo vệ kiến trúc rẽ nhánh 5.1.2 Kiến trúc an toàn IP - Đặc tả an toàn IP phức tạp, định nghĩa qua số chuẩn (RFC): bao gồm RFC 2401/2402/2406/2408 có nhiều chuẩn khác nhóm theo loại Điều bắt buộc IP6 tuỳ chọn với IP4 Có hai mở rộng an toàn cho phần đầu: - Phần đầu xác thực (AH – Authentication Header) - Tải trọng an tồn đóng gói (ESP – Encapsulating Security Payload) 5.1.2.1 - Dịch vụ IPSec IPSec nhằm đạt mục đích sau: kiểm sốt truy cập, tồn vẹn khơng kết nối, xác thực nguồn gốc liệu, từ chối tải lại gói (đây dạng tồn vẹn liên kết phần), bảo mật (mã hoá), bảo mật luồng vận chuyển có giới hạn 5.1.2.2 - Liên kết an tồn Quan hệ chiều người gửi người nhận mà cung cấp an toàn cho luồng vận chuyển xác định tham số • 41 Chỉ số tham số an tồn - • Địa IP đích • Tên thủ tục an tồn Ngồi có số tham số khác như: số dãy (sequence number), thông tin phần đầu xác thực phần đầu mở rộng AH & EH, thời gian sống Có lưu trữ sở liệu liên kết an toàn 5.1.2.3 Phần đầu xác thực (Authentication Header - AH) - AH cung cấp hỗ trợ cho an toàn liệu xác thực gói IP: - Hệ thống đầu cuối/chuyển mạch xác thực người sử dụng/ứng dụng - Ngăn công theo dõi địa việc theo dõi số dãy - AH dựa sử dụng MAC: HMAC–MD5–96 HMAC – SHA -1-96 - Muốn bên cần chia sẻ khoá mật 5.1.2.4 - Tải trọng an tồn đóng gói (ESP) ESP đảm bảo bảo mật nội dung mẩu tin luồng vận chuyển giới hạn, có lựa chọn cung cấp dịch vụ xác thực hỗ trợ phạm vi rộng mã, chế độ mã, đệm • Bao gồm DES, Triple DES, RC5, IDEA, CAST,… • CBC chế độ khác • Bộ đệm cần thiết để lấp đầy kích thước khối, trường cho luồng vận chuyển 5.1.2.5 - Chế độ vận chuyển chế độ ống ESP ESP sử dụng với chế độ: vận chuyển ống Trong chế độ ống không cần giữ tường minh địa đích - Chế độ vận tải sử dụng để mã tuỳ chọn xác thực liệu IP: • Dữ liệu bảo vệ phần đầu để rõ để biết địa • Có thể phân tích vận chuyển cách hiệu • Tốt ESP máy chủ vận chuyển tới máy chủ • Chế độ ống mã tồn gói IP • Bổ sung phần đầu cho bước nhảy tiếp đích 42 • Tốt cho mạng riêng ảo VPN (Virtual Private Network), cổng đến cổng an toàn 5.1.2.6 - Kết hớp liên kết an tồn Các liên kết an tồn cài đặt qua AH ESP Để cài đặt hai cần kết hợp liên kết an toàn • Tạo nên bó liên kết an tồn • Có thể kết thúc điểm cuối khác • Kết hợp kề vận chuyển ống lặp 5.1.2.7 - Quản trị khóa Quản lý sinh khoá phân phối khoá bên trao đổi thơng tin, thơng thường cần hai cặp khố, khoá hướng cho AH ESP - Trong chế Quản trị khố thủ cơng, người quản trị hệ thống thiết lập cấu hình cho hệ thống - Trong chế Quản trị khố tự động: • Hệ thống tự động dựa vào yêu cầu khoá cho liên kết an toàn hệ thống lớn • Có thành phần thủ tục trao đổi khóa Oakley liên kết an tồn mạng ISAKMP 5.1.2.8 - Oakley Oakley thủ tục trao đổi khoá, dựa trao đổi khoá Diffie-Hellman Ở bổ sung đặc trưng để khắc phục điểm yếu Cookies, nhóm (tham số tổng thể), số đặc trưng (nonces), trao đổi khoá Diffie Hellman với việc xác thực Có thể sử dụng số học trường số nguyên tố đường cong elip 5.1.2.9 - ISAKMP ISAKMP liên kết an toàn Internet thủ tục quản trị khố Nó cung cấp khung để quản lý khố, xác định thủ tục định dạng gói để thiết lập, thỏa thuận, điều chỉnh xoá liên kết an toàn (SA – Secure Associations) ISAKMP độc lập với thủ tục trao đổi khoá, thuật toán mã hoá phương pháp xác thực Trao đổi tải trọng ISAKMP - Có số kiểu tải trọng ISAKMP: an tồn, đề xuất, dạng vận chuyển, khố, định danh, chứng nhận, hash, chữ ký, nonce xoá 43 - ISAKMP có khung cho kiểu trao đổi mẩu tin:cơ sở, bảo vệ định danh, xác thực, tích cực thơng tin 5.2 An tồn WEB 5.2.1 Khái niệm - Web ngày sử dụng rộng rãi cơng ty, phủ cá nhân, Internet Web có lỗ hổng lớn có nhiều mối đe doạ an tồn như: - • Tính tồn vẹn • Bảo mật • Từ chối dịch vụ • Xác thực Như cần bổ sung chế bảo mật cho Web 5.2.2 SSL(Secure Socket Layer) - SSL dịch vụ an toàn tầng vận chuyển, ban đầu phát triển Netscape Sau phiên thiết kế cho đầu vào cơng cộng trở thành chuẩn Internet, biết đến an toàn tầng vận chuyển TLS (Transport Layer Security) - SSL sử dụng giao thức TCP để cung cấp dịch vụ đầu cuối đến cuối tin cậy có tầng thủ tục 5.2.3 Kiến trúc SSL Hình 5.1: Kiến trúc SSL - 44 Ở kết nối SSL là: • Tạm thời, đầu cuối đến đầu cuối, liên kết trao đổi • Gắn chặt với phiên SSL Và phiên SSL: • Liên kết người sử dụng máy chủ • Được tạo thủ tục HandShake Protocol • Xác định tập tham số mã hố • Có thể chia sẻ kết nối SSL lặp 5.2.3.1 - Dịch vụ thủ tục ghi SSL Dịch vụ thủ tục ghi SSL đảm bảo tính tồn vẹn tin: • Sử dụng MAC với khố mật chia sẻ • Giống HMAC với đệm khác cung cấp bảo • Sử dụng mã đối xứng với khố chung xác định thủ tục • IDEA, RC2-40, DES-40, DES, 3DES, Fortezza, RC4-40, RC4- • Bản tin nén trước mã mật: HandShake 128 5.2.3.2 Thủ tục thay đổi đặc tả mã SSL (SSL Change Cipher Spec Protocol) - Đây giao thức chuyên biệt SSL sử dụng thủ tục ghi SSL Đây mẩu tin đơn, buộc trạng thái treo trở thành thời cập nhật mã dùng 5.2.3.3 - Thủ tục nhắc nhở SSL (SSL Alert Protocol) Truyền lời nhắc SSL liên quan cho thành viên Nghiêm khắc: nhắc nhở cảnh báo - Nhắc nhở đặc biệt: • Cảnh báo: mẩu tin khơng chờ đợi, ghi MAC tồi, lỗi giải nén, lỗi Handshake, tham số khơng hợp lệ • Nhắc nhở: đóng ghi chú, không chứng nhận, chứng nhận tồi, chứng nhận không hỗ trợ, chứng nhận bị thu hồi, chứng nhận hạn, chứng nhận đến - 45 Nén mã liệu SSL 5.2.3.4 - - Thủ tục bắt tay SSL (SSL HandShake Protocol) Thủ tục cho phép máy chủ máy trạm: • Xác thực • Thỏa thuận thuật toán mã hố MAC • Thỏa thuận khố mã dùng Nó bao gồm loạt thơng tin: • Thiết lập khả an tồn • Xác thực máy chủ trao đổi khố • Xác thực máy trạm trao đổi khố • Kết thúc Hình 5.2: Thủ tục bắt tay 5.2.3.5 - An toàn tầng vận chuyển IETF chuẩn RFC 2246 giống SSLv3 - Với khác biệt nhỏ: • • 46 Số ký hiệu kích thước ghi • Sử dụng HMAC thay cho MAC • • Hàm giả ngẫu nhiên tăng độ mật • • Có mã ghi bổ sung • • Có số thay đổi hỗ trợ mã • • Thay đổi kiểu chứng nhận thỏa thuận • • Thay đổi đệm tính tốn mã Sau ta xem xét chi tiết giao thức xác thực người dùng RADIUS giao thức SSL: Giao thức RADIUS - RADIUS là một dịch vụ dành cho việc xác nhận và cho phép người dùng truy cập từ xa qua thiết bị môdem, DSL, cáp mạng thiết bị không dây khác Một site thông thường có một máy chủ truy cập được kết nối vào modem Một máy chủ dịch vụ RADIUS được kết nối vào mạng một dịch vụ xác nhận Những người dùng từ xa gọi vào máy chủ truy cập, máy chủ sẽ yêu cầu những dịch vụ xác nhận từ máy chủ dịch vụ RADIUS Máy chủ dịch vụ RADIUS sẽ xác nhận người dùng và cho phép họ truy cập tài nguyên.Những nhà quản trị mạng tạo những hồ sơ về người dùng ở máy chủ RADIUS,xác định các quyền hạn cấp cho người dùng từ xa Những giao thức hỏi đáp được sử dụng suốt quá trình người dùng vào mạng Giao thức SSL - Được phát triển Netscape, giao thức SSL sử dụng rộng rãi mạng Internet việc xác thực mã hố thơng tin máy trạm máy chủ Trong SSL sử dụng để hỗ trợ giao dịch an toàn cho nhiều ứng 47 dụng khác Internet SSL giao thức đơn lẻ, mà tập thủ tục chuẩn hoá để thực nhiệm vụ bảo mật sau: • Xác thực máy chủ: Cho phép người sử dụng xác thực máy chủ muốn kết nối Lúc này, phía browser sử dụng kỹ thuật mã hố cơng khai để chắn chứng khố cơng cộng máy chủ có giá trị cấp phát CA danh sách CA đáng tin cậy máy trạm • Xác thực máy trạm: Cho phép phía máy chủ xác thực người sử dụng muốn kết nối Phía máy chủ sử dụng kỹ thuật mã hố cơng khai để kiểm tra xem chứng khố cơng cộng máy chủ có giá trị hay không cấp phát CA danh sách CA đáng tin cậy khơng • Mã hố kết nối: Tất thơng tin trao đổi máy trạm máy chủ mã hoá đường truyền nhằm nâng cao khả bảo mật Hoạt động SSL - Giao thức SSL hoạt động dựa hai nhóm giao thức giao thức “bắt tay” giao thức “bản ghi” Giao thức bắt tay xác định tham số giao dịch hai đối tượng có nhu cầu trao đổi thơng tin liệu, cịn giao thức ghi xác định khn dạng cho tiến hành mã hoá truyền tin hai chiều hai đối tượng đó.Giao thức SSL “bắt tay” sử dụng SSL “bản ghi” để trao đổi số thông tin máy chủ máy trạm vào lần thiết lập kết nối SSL - Một giao dịch SSL thường bắt đầu trình “bắt tay” hai bên Các bước trình “bắt tay” sau: • Máy trạm gửi cho máy chủ số phiên SSL dùng, tham số thuật toán mã hoá, liệu tạo ngẫu nhiên (chữ ký số) số thông tin khác mà máy chủ cần để thiết lập kết nối với máy trạm • Máy chủ gửi cho máy trạm số phiên SSL dùng, tham số thuật toán mã hoá, liệu tạo ngẫu nhiên số thông tin khác mà máy trạm cần để thiết lập kết nối với máy chủ Ngoài máy chủ gửi chứng đến máy trạm yêu cầu chứng máy trạm cần • Máy trạm sử dụng số thông tin mà máy chủ gửi đến để xác thực máy chủ Nếu máy chủ không xác thực người sử dụng 48 cảnh báo kết nối khơng thiết lập Cịn xác thực máy chủ phía máy trạm thực tiếp bước • Sử dụng tất thông tin tạo giai đoạn bắt tay trên, máy trạm (cùng với cộng tác máy chủ phụ thuộc vào thuật toán sử dụng) tạo premaster secret cho phiên làm việc, mã hố khố cơng khai mà máy chủ gửi đến chứng bước 2, gửi đến máy chủ • Nếu máy chủ có u cầu xác thực máy trạm, phía máy trạm đánh dấu vào phần thông tin riêng liên quan đến trình “bắt tay” mà hai bên biết Trong trường hợp này, máy trạm gửi thông tin đánh dấu chứng với premaster secret mã hoá tới máy chủ • Máy chủ xác thực máy trạm Trường hợp máy trạm không xác thực, phiên làm việc bị ngắt Còn máy trạm xác thực thành cơng, máy chủ sử dụng khố bí mật để giải mã premaster secret, sau thực số bước để tạo master secret • Máy trạm máy chủ sử dụng master secret để tạo khố phiên , khố đối xứng sử dụng để mã hoá giải mã thông tin phiên làm việc kiểm tra tính tồn vẹn liệu • Máy trạm gửi lời nhắn đến máy chủ thông báo thơng điệp mã hố khố phiên Sau gửi lời nhắn mã hố để thơng báo phía máy trạm kết thúc giai đoạn “bắt tay” • Máy chủ gửi lời nhắn đến máy trạm thông báo thơng điệp mã hố khố phiên Sau gửi lời nhắn mã hố để thơng báo máy chủ kết thúc giai đoạn “bắt tay” • Lúc giai đoạn “bắt tay” hoàn thành, phiên làm việc SSL bắt đầu Cả hai phía máy trạm máy chủ sử dụng khoá phiên để mã hoá giải mã thông tin trao đổi hai bên, kiểm tra tính tồn vẹn liệu 5.3 Thanh toán điện tử 5.3.1 - Yêu cầu Đây mã mở đặc tả an toàn nhằm bảo vệ tốn thẻ tín dụng Internet Nó phát triển năm 1996 Master, Visa Card hệ 49 thống trả tiền Thanh tốn điện tử an tồn tập giao thức định dạng an toàn dùng để • Trao đổi an tồn đối tác • Tin tưởng sử dụng X509v3 • Riêng biệt hạn chế thơng tin cho người cần Các thành phần Thanh tốn điện tử Hình 5.3: Các thành phần toán điện tử 5.3.2 Thanh toán điện tử an toàn - Người mua mở tài khoản - Người mua nhận chứng nhận - Người bán có chứng nhận họ - Người mua đặt hàng - Người bán kiểm chứng - Đơn đặt hàng trả tiền gửi - Người bán yêu cầu giấy phép trả tiền - Người bán duyệt đơn đặt hàng - Người bán cung cấp hàng dịch vụ - Người bán yêu cầu trả tiền 5.3.3 - - Chữ kỳ kép Người mua tạo chữ ký kép • Thơng tin đơn đặt OI cho người bán • Thơng tin trả tiền PI cho ngân hàng Không bên biết chi tiết người khác Nhưng cần phải biết họ kết nối với Sử dụng chữ ký kép cho mục đích • 50 Ký ghép OI PI 5.3.4 - 51 Yêu cầu trả tiền Trao đổi yêu cầu trả tiền gồm mẩu tin sau • Khởi tạo yêu cầu - nhận chứng nhận • Khởi tạo trả lời – ký trả lời • Yêu cầu trả tiền - OI PI • Trả lời trả tiền – đơn phúc đáp 5.3.5 Yêu cầu trả tiền – người mua Hình 5.4: Mô yêu cầu trả tiền người mua 5.3.6 Yêu cầu trả tiền - người bán Hình 5.5: Mơ mơ hình trả tiền người bán - Kiểm tra chứng nhận người giữ thẻ chữ ký CA - Kiểm tra chữ ký kép cách sử dụng khoá chữ ký công khai người mua để tin tưởng đơn không bị giả mạo truyền ký sử dụng chữ ký khoá riêng người giữ thẻ 52 - Xử lý đơn đặt gửi tiếp thông tin trả tiền cho cổng trả tiền để xác thực (mô tả sau) - Gửi phản hồi trả tiền cho người giữ thẻ 5.3.7 Giấy phép cổng trả tiền - Kiểm chứng chứng nhận - Giải mã phong bì điện tử khối giấy phép nhận khố đối xứng, sau giải mã khối giấy phép - Kiểm tra chữ ký người bán khối giấy phép - Giải mã phong bì điện tử khối trả tiền, nhận khố đối xứng, sau giải mã khối trả tiền - Kiểm tra chữ ký kép khối trả tiền - Kiểm tra rằng, toán ID nhận từ người bán phù hợp với danh tính PI nhận (khơng trực tiếp) từ người bán - Yêu cầu nhận giấy phép từ nơi phát hành - Gửi trả lời giấy phép cho người bán 5.3.8 - Nhận trả tiền Người bán gửi cho cổng trả tiền yêu cầu nhận trả tiền Cổng kiểm tra yêu cầu Sau yêu cầu chuyển tiền đến tài khoản người bán Thông báo cho người bán chờ trả lời việc nhận 5.4 An toàn thư điện tử - Thư điện tử dịch vụ mạng coi trọng ứng dụng rộng rãi Đồng thời nội dung mẩu tin khơng an tồn Có thể bị quan sát đường truyền người có thẩm quyền thích hợp hệ thống đầu cuối - Nâng cao an tồn thư điện tử mục đích quan trọng hệ thống trao đổi thư Ở phải đảm bảo yêu cầu sau: tính bảo mật nội dung tin gửi, xác thực người gửi mẩu tin, tính tồn vẹn mẩu tin, bảo vệ khỏi bị sửa, tính chống từ chối gốc, chống từ chối người gửi 5.5 Dịch vụ PGP - PGP (Pretty Good Privacy) dịch vụ bảo mật xác thực sử dụng rộng rãi cho chuẩn an toàn thư điện tử PGP phát triển Phil 53 Zimmermann Ở lựa chọn thuật toán mã hoá tốt để dùng, tích hợp thành chương trình thống nhất, chạy Unix, PC, Macintosh hệ thống khác Ban đầu miĩen phí, có phiên thương mại Sau xem xét hoạt động PGP Thao tác PGP – xác thực - Người gửi tạo mẩu tin, sử dụng SHA-1 để sinh Hash 160 bit mẩu tin, ký hash với RSA sử dụng khoá riêng người gửi đính kèm vào mẩu tin - Người nhận sử dụng RSA với khố cơng khai người gửi để giải mã khôi phục hash Người nhận kiểm tra mẩu tin nhận sử dụng hash so sánh với hash giải mã Thao tác PGP – bảo mật - Người gửi tạo mẩu tin số ngẫu nhiên 128 bit khố phiên cho nó, mã hố mẩu tin sử dụng CAST-128/IDEA /3DES chế độ CBC với khoá phiien Khố phiên mã sử dụng RSA với khố cơng khai người nhận đính kèm với mẩu tin - Người nhận sử dụng RSA với khoá riêng để giải mã khơi phục khố phiên Khố phiên sử dụng để giải mã mẩu tin Thao tác PGP - Bảo mật xác thực - Có thể sử dụng hai dịch vụ mẩu tin Tạo chữ ký đính vào mẩu tin, sau mã mẩu tin chữ ký Đính khoá phiên mã hoá RSA/ElGamal Thao tác PGP – nén - Theo mặc định PGP nén mẩu tin sau ký trước mã Như cần lưu mẩu tin chưa nén chữ ký để kiểm chứng sau Vì nén khơng Ở sử dụng thuật toán nén ZIP - Thao tác PGP – tương thích thư điện tử - Khi sử dụng PGP có liệu nhị phân để gửi (mẩu tin mã) Tuy nhiên thư điện tử thiết kế cho văn Vì PGP cần mã liệu nhị phân thô vào ký tự ASCII in Sau sử dụng thuật toán Radix 64, ánh xạ byte vào ký tự in bổ sung kiểm tra thừa quay vòng CRC để phát lỗi truyền PGP chia đoạn mẩu tin lớn 54 Tóm lại, cần có khố phiên cho mẩu tin, có kích thước khác nhau: 56 bit – DES, 128 bit CAST IDEA, 168 bit Triple – DES, sinh sử dụng liệu đầu vào ngẫu nhiên lấy từ sử dụng trước thời gian gõ bàn phím người sử dụng Hình 5.6: Thao tác PGP – Bảo mật xác thực Khoá riêng cơng khai PGP - Vì có nhiều khố riêng khố cơng khai sử dụng, nên cần phải xác định rõ dùng để mã khố phiên mẩu tin Có thể gửi khố công khai đầy đủ với mẩu tin Nhưng khơng đủ, cần phải nêu rõ danh tính người gửi Do sử dụng định danh khố để xác định người gửi Có 64 bit có ý nghĩa khố nhất, sử dụng định danh khố chữ ký 55