CHƢƠNG 7: MỘT SỐ VẤN ĐỀ CHUYÊN SÂU Thời lượng: GV giảng: 3;Thảo luận: 3;Thực hành: 0;Bài tập: 3;Tự học: Mục đích, yêu cầu:  Mục đích: Giúp sinh viên nắn số vấn đề chuyên sâu mạng máy tính Bao gồm vấn đề quan trọng cấp bách an toàn bảo mật mạng máy tính Bên cạnh có hệ thống, công nghệ sử dụng nhiều công ty quan mạng riêng ảo Ngoài ra, sơ lược nội dung quản trị mạng ứng dụng khác đề cập chương CHƢƠNG 7: MỘT SỐ VẤN ĐỀ CHUYÊN SÂU  Yêu cầu: Học viên tham gia học tập đầy đủ Nghiên cứu trước nội dung có liên quan đến giảng (đã có http://http:/fit.mta.edu.vn/~thiennd/) Chuẩn bị thảo luận Chuẩn bị tập nhà làm lớp An toàn thông tin mạng Network Security Khái niệm an toàn Mô hình bảo vệ Các hình thức công mạng Các phương pháp bảo vệ thông tin Hạ tầng khóa công khai Khái niệm an toàn thông tin mạng Mạng máy tính ngày mở rộng phát triển, tài nguyên thông tin ngày chia sẻ cho người sử dụng, nhiên thực tế tồn thông tin cần phải bảo vệ chia sẻ cách có chọn lọc, cần phải có chế bảo đảm an toàn thông tin mạng Cơ chế an toàn thông tin mạng phải thoả mãn hai mục tiêu sau:  Bảo đảm điều kiện thuận lợi cho người sử dụng hợp pháp trình khai thác sử dụng tài nguyên mạng  Ngăn chặn có hiệu kẻ truy cập khai thác, phá hoại tài nguyên bất hợp pháp Về chất nguy vi phạm bất hợp pháp chia làm hai loại: vi phạm thụ động vi phạm chủ động Vi phạm thụ động vô tình không cố ý, vi phạm chủ động có mục đích phá hoại rõ ràng hậu khôn lường 2 Mô hình lớp bảo vệ thông tin mạng Fire wall - tƣờng lửa Physical protection Bảo vệ vật lý Data encryption - mã hoá Login Password- mật truy cập Right access - Quyền truy cập thông tin Database a Lớp quyền truy cập – Right Acces Nhằm kiểm soát tài nguyên thông tin mạng quyền hạn sử dụng tài nguyên Việc kiểm soát chi tiết tốt b Lớp đăng nhập tên/mật Login Password Nhằm kiểm soát quyền truy cập mức hệ thống Mỗi ngƣời sử dụng muốn vào đƣợc mạng để sử dụng tài nguyên phải đăng ký tên mật Ngƣời quản trị mạng có trách nhiệm lý, kiểm soát hoạt động mạng xác định quyền truy nhập ngƣời sử dụng khác tuỳ theo không gian thời gian c Lớp mã hoá thông tin Data Encryption Để bảo mật thông tin truyền mạng ngƣời ta sử dụng phƣơng pháp mã hoá thông tin đƣờng truyền Có hai phƣơng pháp bản: mã hoá đối xứng bất đối xứng, ngƣời ta xây dựng nhiều phƣơng pháp mã hoá khác d Lớp bảo vệ vật lý Physical Protection Thƣờng dùng biện pháp truyền thống nhƣ ngăn cấm tuyệt đối ngƣời không phận vào phòng đặt máy mạng, quy định chặt chẽ chế độ khai thác sử dụng mạng, e Lớp bảo vệ tƣờng lửa Để bảo vệ từ xa mạng máy tính cho mạng nội ngƣời ta dùng hệ thống đặc biệt tƣờng lửa để ngăn chặn thâm nhập trái phép, lọc bỏ gói tin không cho gửi nhận từ ngƣợc lại Các phương pháp mã hóa Mã hóa cổ điển  Phương pháp thay  Phương pháp dịch chuyển  Phương pháp hoán vị Mã hóa đối xứng (mã hóa bí mật)  DES  AES Mã hóa bất đối xứng (Mã hóa công khai)  Hệ mật RSA  Hệ mật Elgamal  Phương pháp ECC Các chức mật mã đại  Đảm bảo tính bí mật (confidentiality) – giải vấn đề bảo vệ thông tin chống lại tìm hiểu nội dung thông tin từ đối tượng quyền truy nhập chúng • Thuật ngữ bí mật (secrecy) riêng tư (privacy) đồng nghĩa với confidentiality 10/30/2012 (tiếp)  Đảm bảo tính toàn vẹn liệu (data integrity) – đảm bảo khả phát sửa đổi trái phép thông tin • Để đảm bảo toàn vẹn liệu, cần có phương pháp đơn giản tin cậy phát can thiệp không mong muốn vào liệu (các can thiệp chèn, xóa thay tin) • Đảm bảo tính sẵn sàng 10/30/2012 10 (tiếp)  Đảm bảo xác thực (authentication) – chức có liên hệ với định danh (identification) Vì thực xác thực thực thể (hai đối tượng phiên liên lạc định danh lẫn nhau) thân thông tin (thông tin truyền kênh truyền xác thực nguồn gốc, nội dung, thời gian gửi, ) • Vì vấn đề xác thực mật mã chia thành hai lớp – xác thực thực thể (identity authentication) xác thực nguồn gốc liệu (data origin authentication) 10/30/2012 11 (tiếp) • • Đảm bảo chống từ chối (non-repudiation) – chức ngăn ngừa thực thể từ chối (phủ nhận) cam kết hành động trước Khi xuất tranh chấp thực thể từ chối hành động chắn xảy ra, biện pháp giải cần thiết 10/30/2012 12 Nhận xét • Trong số chức trên, chức biết đến từ hàng ngàn năm trước, chức sau liên quan đến dịch vụ thông tin • Tuy nhiên, chức bảo vệ bí mật thông tin mang tính thời 10/30/2012 13 Mô hình mã hóa Các phƣơng pháp mã hoá thƣờng chia làm hai loại đối xứng bất đối xứng: thông tin gốc thông tin mã thông tin mã Giải mã khoá K Mã hoá khoá K thông tin gốc thông tin mã Mã hoá khoá KE thông tin gốc thông tin mã thông tin gốc Giải mã khoá KD 14 Mã hoá đối xứng Kỹ thuật mã hoá DES 56 bits dùng làm khoá bits dùng để kiểm soát lỗi Sơ đồ thuật toán nhƣ sau: Input T=t1t2 t64 Hoán vị khởi đầu (IP) T0=IP(T) 16 lần lặp Tính toán mã hoá Tạo khoá Ki (16 lựa chọn) Khoá K K=k1k2 k64 Hoán vị ngƣợc khởi đầu (IP) T=IP(Tn) Output T=t1t2 t64 Phƣơng pháp mã hoá công khai RSA ( Rivest, Shamir, Adleman) Năm 1978 Rivest, Shamir Adleman đề xuất phương pháp mã hoá RSA – mã Công khai Thuật toán RSA dựa nhận xét sau: dễ dàng sinh số nguyên tố lớn nhân chúng với nhau, khó phân tích hợp số thành số nguyên tố Thuật giải mô tả sau: 1- Chọn số nguyên tố lớn p q 2- Tính n= pxq ѱ(n)=(p-1)(q-1) 3- Chọn ngẫu nhiên D ( < D< ѱ(n)) cho USCLN(D, ѱ (n))=1 4- Chọn E cho ED Mod ѱ(n) =1 5- n E khoá công khai D khoá bí mật Giả sử văn gốc V ta biểu diễn V dạng số nguyên dương T gồm số nằm [1,n-1], văn mã tính sau: Mã hóa: W = TE Mod n Giải mã: T = W D Mod n Ví dụ RSA • • • • • Chọn hai số nguyên tố, chẳng hạn p = 11, q = 17 Tính tích: n = p  q = 11  17 = 187 Tính (n) = (p-1)  (q-1) =10 16 = 160 Chọn e số nguyên tố với (n) =160 phải nhỏ (n) Trong trường hợp chọn e = Xác định d để de = mod 160 d < 160 Giá trị phù hợp để chọn d = 23 , 23  = 161 = 1 160 + 10/30/2012 17 Trao đổi khóa Diffie – Hellman (DH) Tạo giá trị bí mật dùng chung mà sau dùng khoá chung cho thuật toán mã hoá khoá bí mật Tạo số ngẫu nhiên Văn gốc Tính toán khoá Tính toán khoá Văn mã Tạo số ngẫu nhiên Văn gốc Trao đổi khóa Diffie – Hellman (DH) Quy trình mã hóa thư điện tử 10 Quy trình mã hóa thư điện tử Hạ tâng khóa công khai PKI  Public key infrastructure, viết tắt (PKI) chế bên thứ (thường nhà cung cấp chứng thực số) cung cấp xác thực định danh bên tham gia vào trình trao đổi thông tin  Cơ chế cho phép gán cho người sử dụng hệ thống cặp Key public/private  Khái niệm hạ tầng khóa công khai (PKI) thường dùng để toàn hệ thống bao gồm nhà cung cấp chứng thực số (CA) chế liên quan đồng thời với toàn việc sử dụng thuật toán mật mã khoá công khai trao đổi thông tin 11 Quá trình ký chứng nhận Quá trình kiểm tra chứng nhận 12 Mô hình PKI Các pp công mạng Nghe thông tin Tấn công lỗ hổng (Tiêm mã SQL, chèn mã lệnh…) Tấn công từ chối dịch vụ Lan truyền virus, mã độc Chiến tranh thông tin mạng 13