Đang tải... (xem toàn văn)
Nghiên cứu các giải pháp bảo mật trong điện toán đám mây (tt)Nghiên cứu các giải pháp bảo mật trong điện toán đám mây (tt)Nghiên cứu các giải pháp bảo mật trong điện toán đám mây (tt)Nghiên cứu các giải pháp bảo mật trong điện toán đám mây (tt)Nghiên cứu các giải pháp bảo mật trong điện toán đám mây (tt)Nghiên cứu các giải pháp bảo mật trong điện toán đám mây (tt)Nghiên cứu các giải pháp bảo mật trong điện toán đám mây (tt)Nghiên cứu các giải pháp bảo mật trong điện toán đám mây (tt)Nghiên cứu các giải pháp bảo mật trong điện toán đám mây (tt)Nghiên cứu các giải pháp bảo mật trong điện toán đám mây (tt)Nghiên cứu các giải pháp bảo mật trong điện toán đám mây (tt)Nghiên cứu các giải pháp bảo mật trong điện toán đám mây (tt)Nghiên cứu các giải pháp bảo mật trong điện toán đám mây (tt)Nghiên cứu các giải pháp bảo mật trong điện toán đám mây (tt)Nghiên cứu các giải pháp bảo mật trong điện toán đám mây (tt)
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG - Mẫn Hồng Dƣơng NGHIÊN CỨU CÁC GIẢI PHÁP BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY Chuyên ngành: Hệ thống Thông tin Mã số: 60.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2017 Luận văn hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: PGS.TS Lê Hữu Lập Phản biện 1: ………………………………………………………………………… Phản biện 2: ………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thông LỜI NÓI ĐẦU Thuật ngữ Điện toán đám mây (Cloud Computing) xuất khoảng chục năm gần Giữa năm 2007, Amazon đẩy mạnh nghiên cứu triển khai Cloud Computing Ngay sau đó, với tham gia công ty lớn Microsoft, Google, IBM hay Amazon thúc đẩy Cloud Computing phát triển ngày mạnh mẽ Điện toán đám mây xem giải pháp giúp khách hàng tiết kiệm nhiều chi phí đầu tư công sức quản lý vận hành hệ thống Tuy vậy, tính chất phân tán trực tuyến, tích hợp nhiều tầng dịch vụ với nhiều công nghệ đặc thù, giải pháp đồng thời bộc lộ nhiều nguy an toàn bảo mật Năm 2009, tổ chức khảo sát phân tích thị trường International Data Corporation (IDC) tiến hành khảo sát ý kiến giám đốc công nghệ thông tin CHIEF INFORMATION OFFICER (CIO) từ nhiều công ty hàng đầu trở ngại việc chuyển đổi sang mô hình điện toán đám mây Kết cho thấy vấn đề an toàn bảo mật lo lắng hàng đầu tổ chức công nghệ thông tin Các vấn đề bảo mật không ngăn bùng nổ công nghệ ưa chuông điện toán đám mây khả giải đáp ứng nhu cầu thiết kinh doanh Để đảm bảo an toàn cho điện toán đám mây, cần nắm vai trò phát triển công nghệ nắm nguy an toàn biện pháp đảm bảo an toàn cho điện toán đám mây Với lý trên, học viên lựa chọn đề tài ―Nghiên cứu giải pháp bảo mật điện toán đám mây‖ 1.Mục đích nghiên cứu - Tìm hiểu tổng quan điện toán đám mây, xác định thuận lợi thách thức triển khai điện toán đám mây - Nghiên cứu giải pháp đảm bảo an ninh đám mây dựa kiến trúc điện toán đám mây - Nghiên cứu giải pháp để quản lý đảm bảo an toàn cho hệ thống điện toán đám mây - Đi sâu tìm hiểu giải pháp bảo mật liệu người dùng - Phân tích đánh giá công cụ thực thử nghiệm mã hóa liệu người dùng - Đánh giá kết đạt Đối tƣợng phạm vi nghiên cứu Luận văn thuộc định hướng nghiên cứu ứng dụng, học viên sâu vào vấn đề sau: - Nghiên cứu giải pháp đảm bảo an toàn bảo mật điện toán đám mây cho nhà phát triển, nhà cung cấp, người dùng điện toán đám mây - Phân tích đánh giá, lựa chọn công cụ thực thử nghiệm bảo mật liệu người dùng điện toán đám mây Nội dung luận văn: Đƣợc trình bày làm chƣơng Chƣơng 1: Điện toán đám mây vấn đề an toàn anh ninh điện toán đám mây Chương trình bày tổng quan, giới thiệu điện toán đám mây, thuận lợi thách thức, dịch vụ bản, mô hình triển khai đặc trưng điện đoán đám mây Chƣơng 2: Giải pháp đảm bảo an toàn an ninh điện toán đám mây Nghiên cứu giải pháp đảm bảo an toàn an ninh điện toán đám mây: Giải pháp an ninh dựa thiết kế kiến trúc; giải pháp quản lý an toàn hệ thống điện toán đám mây; giải pháp bảo mật liệu người dùng điện toán đám mây, sâu giải pháp mã hõa liệu theo mô hình bảo mật dựa Encryption Proxy Chƣơng 3: Thử nghiệm chƣơng trình bảo mật liệu ngƣời dùng Phân tích công cụ bảo mật; tìm hiểu nguyên lý bảo mật, tính công cụ BoxCryptor; thử nghiệm chương trình đánh giá kết CHƢƠNG - ĐIỆN TOÁN ĐÁM MÂY VÀ VẤN ĐỀ AN TOÀN AN NINH TRÊN ĐIỆN TOÁN ĐÁM MÂY Trong chương này, học viên tìm hiểu điện toán đám mây khái niệm, dịch vụ, mô hình triển khai đặc trưng mô hình điệm toán đám mây; Nghiên cứu thuận lợi thách thức rủi ro triển khai điện toán đám mây 1.1 Giới thiệu điện toán đám mây 1.1.1 Khái niệm 1.1.2 Các dịch vụ điện toán đám mây Điện toán đám mây cung cấp mô hình dịch vụ bản: dịch vụ hạ tầng (IaaS), dịch vụ tảng (PaaS) dịch vụ phần mềm (SaaS), với số đặc trưng chính: thuê bao theo yêu cầu, nhiều thuê bao, dùng trả nhiêu 1.1.3 Các mô hình triển khai điện toán đám mây Có bốn mô hình để triển khai điện toán đám mây - Public Cloud - Private Cloud - Community Cloud - Hybrid Cloud 1.1.4 Đặc trƣng điện toán đám mây Điện toán đám mây có đặc trưng quan trọng: - Khả co giãn (scalability) - Khả quản trị vận hành (manageability) - Khả truy cập (accessibility) - Hiệu cao tối ưu hóa (performance and Optimization) - Khả sẵn dùng với độ tin cậy cao (availability) 1.1.5 Thuận lợi - Tốc độ xử lý nhanh - Chi phí đầu tư ban đầu thấp - Loại bỏ yếu tố vật lý địa lý - Phù hợp với nhiều mô hình công việc, áp dụng cho nhiều lĩnh vực kinh doanh - Khả mở rộng thu hẹp nhanh chóng - Các ứng dụng triển khai tảng điện toán đám mây dễ dàng để sửa chữa cải thiện tính 1.2 Vấn đề an toàn an ninh triển khai điện toán đám mây [9][3] a) Rò rỉ liệu b) Mất mật c) Giao diện API bị công d) Những lỗ hổng đƣợc phát e) Lừa đảo tài khoản f) Mã độc bên g) Ký sinh APT h) Mất liệu tạm thời i) Thiếu kỹ j) Lợi dụng dịch vụ đám mây k) Tấn công DoS l) Chia sẻ công nghệ, chia sẻ nguy hiểm Kết chƣơng Vừa qua tìm hiểu chung an toàn bảo mật điện toán đám mây Có điều phủ nhận, sử dụng điện toán đám mây mang lại nhiều lợi ích Dịch vụ điện toán đám mây giúp cắt giảm chi phí mua sắm thiết bị phần cứng (PaaS) phần mềm (SaaS) chi phí nâng cấp thời gian để triển khai Tuy vậy, để triển khai hệ thống điện toán đám mây đặt nhiều thách thức rủi ro an toàn điện toán đám mây, cần phải tiếp tục nghiên cứu triển khai giải pháp bảo mật thực tiễn Chương luận văn trình bày số giải pháp đảm bảo an toàn an ninh điện toán đám mây CHƢƠNG – GIẢI PHÁP ĐẢM BẢO AN TOÀN AN NINH ĐIỆN TOÁN ĐÁM MÂY Vấn đề an toàn bảo mật điện toán đám mây quan trọng nên cần nghiên cứu áp dụng giải pháp đảm bảo an toàn an ninh điện toán đám mây Trong chương 2, học viên tập trung nghiên cứu giải pháp nhằm đảm bảo an toàn an ninh điện toán đám mây, lưu ý thiết kế kiến trúc điện toán đám mây, biện pháp cho nhà quản lý hệ thống cung cấp dịch vụ điện toán đám mây, giải pháp đảm bảo an toàn liệu cho người sử dụng 2.1 An ninh đám mây dựa thiết kế kiến trúc điện toán đám mây 2.1.1.An ninh mức hạ tầng 2.1.2 An ninh mức dịch vụ tảng 2.1.3.An ninh mức dịch vụ phần mềm 2.1.4 Một số kiến trúc điện toán đám mây điển hình a) Kiến trúc đám mây cung cấp dịch vụ PaaS Trong kiến trúc này, người sử dụng thông thường truy nhập vào dịch vụ hệ thống thông qua mạng công cộng Bên cạnh đó, hệ thống cung cấp mạng riêng biệt – mạng OOB (out-of-band) nhằm phục vụ công tác quản trị Việc kiểm soát truy nhập vào mạng OOB thực thông qua danh sách IP trắng – IP quản trị viên hệ thống Thêm vào đó, quản trị viên cần thực xác thực thao tác Cơ chế xác thực hai bước (token pin) giúp hệ thống trở nên an toàn Đây ví dụ việc áp dụng chế phòng ngự chiều sâu Hệ thống mạng cục chia làm ba mạng chính: - Mạng OOB: sử dụng để quản trị thành phần khác hệ thống - Mạng lõi: sử dụng để cung cấp dịch vụ - Mạng kết nối với sở liệu: bao gồm nhiều kết nối đảm bảo tính sẵn sàng Các thành phần hệ thống thiết kế để cô lập dịch vụ khác hệ thống dịch vụ sở liệu dịch vụ định danh Một thành phần quản trị cấu hình (CMDB - Configuration Management Database) đưa vào kiến trúc nhằm quản lý cấu hình tài nguyên cung cấp hệ thống b) Kiến trúc đám mây cung cấp kho lƣu trữ dịch vụ tính toán Trong kiến trúc này, hệ thống đám mây cung cấp số lượng lớn tài nguyên tính toán ảo hóa máy chủ, kho lưu trữ thiết bị SAN Hơn nữa, kiến trúc hỗ trợ tính sẵn sàng cao cho người sử dụng thông qua việc tạo lập dư thừa cho mạng kết nối công cộng mạng OOB Để đảm bảo tính sẵn sàng cho việc truy nhập vào kho lưu trữ SAN, mạng SAN thiết lập với kết nối kho lưu trữ SAN máy chủ tính toán Để đảm bảo tính sẵn sàng cao, thân máy chủ kho lưu trữ SAN thiết kế dư thừa Ở áp dụng số chiến lược khác để cân đối chi phí đầu tư tính sẵn sàng hệ thống Vừa học viên trình bày giải pháp an ninh dựa thiết kế kiến trúc hệ thống điện toán đám mây Các giải pháp tập trung vào mô hình thiết kế lớp dịch vụ điện toán đám mây để nhà thiết kế kiến trúc hệ thống đảm bảo an toàn an ninh Tuy nhiên, vấn đề quản lý an toàn hệ thống điện toán đám mây nhà quản lý, cung cấp dịch vụ điện toán đám mây quan trọng Tiếp theo học viên nghiên cứu số giải pháp để quản lý an toàn hệ thống điện toán đám mây 2.2 Giải pháp quản lý an toàn hệ thống điện toán đám mây 2.2.1 Quy trình quản lý rủi ro Để đảm bảo an toàn bảo mật cho hệ thống đám mây, nhà quản lý dịch vụ đám mây cần chiến lược quy trình hoàn chỉnh thay áp dụng kỹ thuật ứng phó đơn lẻ, rời rạc Các bước thực quy trình bao gồm: Bước Lập kế hoạch: Mục tiêu bước nhận định nguy an toàn bảo mật; xác định chế kiểm soát an toàn bảo mật (security controls) hiệu nhằm giải nguy cơ; lên kế hoạch cho việc thực chế kiểm soát an toàn bảo mật Bước Triển khai: Bao gồm việc cài đặt cấu hình cho chế kiểm soát an toàn bảo mật Bước Đánh giá: Đánh giá tính hiệu chế kiểm soát định kỳ xem xét tính đầy đủ chế kiểm soát Bước Duy trì: Khi hệ thống chế kiểm soát vận hành, cần thường xuyên cập nhật thông tin nguy an toàn bảo mật 2.2.2 Các biện pháp quản lý truy nhập Các biện pháp kỹ thuật kiểm soát đối tượng truy nhập vào đám mây Dĩ nhiên điều cần thiết, thiếu nó, tin tặc truy nhập vào máy chủ người sử dụng, đánh cắp thông tin sử dụng chúng cho mục đích xấu Cách thức kiểm soát truy nhập Amazon WebServices (cũng tương tự với số đám mây khác) cần thiết để đảm bảo kiểm soát giao dịch/truy cập hợp pháp Cách thức kiểm soát thức qua nhiều bước, thường bắt đầu với thông tin thẻ tín dụng khách hàng a) Xác nhận hóa đơn toán b) Kiểm tra định danh qua điện thoại c) Giấy phép truy nhập d) Khóa truy nhập e) Giấy phép X.509 g) Cặp khóa Trong phần 2.2 học viên nghiên cứu số quy trình, biện pháp quản lý hệ thống điện toán đám mây Vấn đề quản lý hệ thống cần chặt chẽ để phòng tránh đối tượng xâm nhập trái phép, xâm nhập vào hạ tầng, 12 λ(n) Vì φ(n) bội λ(n) nên số d thỏa mãn de ≡ (mod φ(n)) thỏa mãn d ≡ 1/e (mod λ(n)) Tuy nhiên, số tác dụng phụ việc d thường trở nên lớn mức cần thiết Bƣớc 3: Mã hóa Nếu có rõ M, cần chuyển thành số tự nhiên m khoảng (0, n) cho m, nnguyên tố Việc dễ dàng thực cách thêm kỹ thuật padding Tiếp theo, mã hóa m, thành c sau: Sau giá trị c chuyển cho người nhận Bƣớc 4: Giải mã Ở phía người nhận, họ giải mã từ c để lấy m sau: Từ m lấy lại tin cách đảo ngược padding Việc bảo mật liệu mạng nên dùng chế bảo mật hỗn hợp kết hợp mật mã đối xứng mật mã bất đối xứng, tức giải mã dùng mật mã đối xứng, truyền đưa khoá mật mã dùng mật mã bất đỗi xứng Như tức giải khó khăn việc quản lý khoá mật mã, vừa lại giải vấn đề tốc độ giải mã Không hoài nghi nữa, phương pháp tương đối tốt để giải vấn đề an toàn thông tin truyền đưa mạng 2.3.3 Chuẩn mã hóa nâng cao AES a) Quá trình thay DES AES b) Đặc điểm kỹ thuật 13 Chuẩn mã nâng cao AES thuật toán mã hóa khối đối xứng thiết kế Rijmen – Daemen Bỉ, có đặc trưng sau: - Độ dài khối liệu quy định 128 bit - Độ dài khóa 128, 192 256 bit nên thường gọi AES-128, AES-192, AES-256 - Các phép toán thực trường hữu hạn AES chia liệu thành tứng khối liệu 4x4 byte - Xử lý khối liệu 128 bit nhóm byte: 128 = 4*4*8 bit Mỗi nhóm nằm hàng Ma trận hàng, cột với phần tử byte coi trạng thái xử lý qua vòng mã hoá giải mã - Khoá mở rộng thành mảng gồm 44 từ 32 bit w[i] Vòng lặp AES thực hàm sau: SubBytes(), ShiftRows(), MixColumns() AddRoundKey() Ba hàm đầu vòng AES thiết kế để ngăn chặn phân tích mã phương thức ―mập mờ― (confusion) phương thức ―khuếch tán― (diffusion), hàm thứ tư thực thiết kế để mã hóa liệu Trong ―khuếch tán― có nghĩa kiểu mẫu rõ (Dữ liệu đầu vào phép mã hóa liệu đầu phép giải mã) phân tán mã (Dữ liệu đầu phép mã hóa liệu đầu vào phép giải mã), ―mập mờ― nghĩa mối quan hệ rõ mã bị che khuất Một cách đơn giản để xem thứ tự hàm AES là: Trộn byte (SubBytes), trộn hàng (ShiftRows), trộn cột (MixColumns) mã hóa (AddRoundKey) c) Đặc tả thuật toán Đối với thuật toán AES, độ dài khối đầu vào, khối đầu trạng thái 128 bít, số cột (các từ có độ dài 32 bít) tạo nên trạng thái Nb = Trong thuật toán AES, độ dài khóa mã K 128, 192 hay 256 bít Độ dài khóa biểu diễn Nk = 4, thể số lượng từ 32 bít (số cột) khóa mã 14 Đối với thuật toán AES, số vòng thay đổi trình thực thuật toán phụ thuộc vào kích cỡ khóa Số vòng ký hiệu Nr Nr = 10 Nk = 4, Nr = 12 Nk = Nr = 14 Nk = i) Mã hóa Quá trình mã hóa bao gồm bước sau: Bước 1: Khởi động vòng lặp AddRoundKey — Mỗi cột trạng thái kết hợp với khóa theo thứ tự từ đầu dãy khóa Bước 2: Vòng lặp - SubBytes — phép (phi tuyến) byte trạng thái byte khác theo bảng tra (Rijndael Sbox) - ShiftRows — dịch chuyển, hàng trạng thái dịch vòng theo số bước khác - MixColumns — trình trộn làm việc theo cột khối theo phép biến đổi tuyến tính - AddRoundKey Bước 3: Vòng lặp cuối - SubBytes - ShiftRows - AddRoundKey Tại chu trình cuối bước MixColumns không thực Các phép biến đổi thuật toán mã hóa AES sau: - Bước SubBytes (Phép Byte) Trong bước SubBytes, byte thay byte theo bảng tra, S; bij = S(aij) Các byte thông qua bảng tra S-box Đây trình phi tuyến thuật toán Hộp S-box tạo từ phép biến đổi khả nghịch 15 trường hữu hạn có tính chất phi tuyến Để chống lại công dựa đặc tính đại số, hộp S-box tạo nên cách kết hợp phép nghịch đảo với phép biến đổi affine khả nghịch Hộp S-box chọn để tránh điểm bất động (fixed point) - Bước ShiftRows ( Phép dịch hàng) Trong bước ShiftRows, byte hàng dịch vòng trái Số vị trí dịch chuyển tùy thuộc hàng Dịch hàng vòng quanh hàng o Hàng không đổi o Hàng dịch vòng quanh byte sang trái o Hàng dịch vòng quanh byte sang trái o Hàng dịch vòng quanh byte sang trái - Bước MixColumns (Phép trộn cột) Trong bước MixColumns, cột nhân với hệ số cố định c(x) o Mỗi cột xử lý riêng biệt o Mỗi byte thay giá trị phụ thuộc vào tất byte cột o Mỗi cột xem đa thức trường hữu hạn nhân với đa thức - Bước AddRoundKey Trong bước AddRoundKey, byte kết hợp với byte khóa chu trình sử dụng phép toán XOR Tại bước này, khóa kết hợp với khối Khóa chu trình tạo từ khóa với trình tạo khóa con; khóa có độ dài giống khối Quá trình kết hợp thực cách XOR bít khóa với khối liệu Hình 2.11 mô tả hoạt động bước AddRoundKey Thuật toán mã hóa 16 INPUT: M 128 bit, w[Nb*(Nr+1)] - w mảng khoá , M khối liệu rõ OUTPUT: Y 128 bit Khối liệu mã hoá TIẾN TRÌNH XỬ LÝ: State:=in; AddRoundKey(State,w[0,Nb-1]); for i in Nr-1 loop SubByte(state); ShiftRows(state); MixColums(state); AddRoundKey(state,w[i*Nb],(i+1)*Nb-1); end loop; SubByte(state); ShiftRows(state); AddRoundKey(state,w[i*Nb],(i+1)*Nb-1); Y:=state; ii) Giải mã Thuật toán giải mã sử dụng biến đổi có biến đổi AddRoundKey biến đổi đảo ngược - Biến đổi InvShiftRows(): tương tự biến đổi ShiftRows thay dịch trái biến đổi dịch phải - Bước InvSubBytes(): Phép biến đổi tương tự SubBytes() thay dùng S-box sử dụng InvS-box - Bước InvMixColums(): Tương tự phép MixColums thay a XOR với c(x) a−1 XOR c(x) Thuật toán giải mã INPUT: M 128 bit, w[Nb*(Nr+1)] - w mảng khoá , M mã 17 OUTPUT: Y 128 bit Khối liệu giải mã TIẾN TRÌNH XỬ LÝ: state = M AddRoundKey(state, w[Nr*Nb, (Nr+1)*Nb-1]) for round = Nr-1 step -1 downto InvShiftRows(state) InvSubBytes(state) AddRoundKey(state, w[round*Nb, (round+1)*Nb-1]) InvMixColumns(state) end for InvShiftRows(state) InvSubBytes(state) AddRoundKey(state, w[0, Nb-1]) Y = state d) Vấn đề thực khóa Yêu cầu độ dài khóa: việc thực khóa thuật toán AES hỗ trợ ba độ dài khóa 128 bít, 192 bít 256 bít Việc thực khóa tùy chọn hỗ trợ hai ba độ dài khóa, nhằm tăng thêm tính tương tác cho thực thuật toán Tham số hóa độ dài khóa, kích thước khối số vòng AES quy định cụ thể giá trị phép dùng cho chiều dài khóa, kích thước khối số vòng Tuy nhiên, giá trị thay đổi tương lai Do đó, nhà triển khai thuật toán AES lựa chọn thiết kế linh hoạt với mong muốn họ e) Ứng dụng Thuật toán AES cho phép thực hiệu phần mềm phần cứng Thông thường với ứng dụng không yêu cầu cao hiệu tốc độ AES thực dạng phần mềm Với việc thực phần mềm, thuật toán AES viết nhiều ngôn ngữ lập trình Assembler, C/C++, Visual Basic, Java, C# vận hành nhiều hệ điều hành Windows, Linux/Unix, Solaris Khi thực phần cứng, thuật toán AES hỗ trợ thực hai dòng: dòng thiết bị thứ dựa vào hệ vi xử lý phụ kết hợp 18 với hệ vi xử lý máy tính, dòng thiết bị thứ hai thường thiết kế dạng thẻ thông minh (smart card) thiết bị cắm qua cổng USB (Universal Serial Bus) Trong Thông tư số 01/2011/TT-BTTTT ngày 04/01/2011 Bộ Thông tin Truyền thông Công bố Danh mục tiêu chuẩn kỹ thuật ứng dụng công nghệ thông tin quan nhà nước quy định Khuyến nghị áp dụng tiêu chuẩn AES xếp vào nhóm Tiêu chuẩn an toàn thông tin Kết chƣơng Chương trình bày giải pháp đảm bảo an toàn bảo mật cho dịch vụ điện toán đám mây Các giải pháp nghiên cứu lưu ý, phương pháp để nhà cung cấp người dùng lựa chọn hay kết hợp nhiều giải pháp trình thiết kế, vận hành sử dụng điện toán đám mây Học viên nghiên cứu giải pháp đảm bảo an toàn cho nhà cung cấp dịch vụ điện toán đám mây, cho bên thứ ba cung cấp dịch vụ phần mềm; đặc biệt sâu nghiên cứu giải pháp mã hóa liệu dựa mô hình Encryption Proxy chuẩn mã hóa đánh giá an toàn AES-256 Chương học viên tìm hiểu chương trình mã hóa liệu thử nghiệm chương trình áp dụng giải pháp mã hóa liệu dựa mô hình Encryption Proxy, mã hóa chuẩn AES 19 CHƢƠNG – THỬ NGHIỆM CHƢƠNG TRÌNH BẢO MẬT DỮ LIỆU NGƢỜI DÙNG Trong chương này, học viên tìm hiểu công cụ bảo mật dựa áp dụng giải pháp bảo mật liệu người dùng Các công cụ bảo mật liệu người dùng lớp bảo vệ mà người dùng điện toán đám mây hoàn toàn chủ động trang bị cài đặt để sử dụng Tuy nhiên, công cụ bảo mật cần đáp ứng mặt đảm bảo mã hóa an toàn, tốc độ cao dễ dàng sử dụng 3.1 Lựa chọn công cụ bảo mật BoxCryptor cho phép mã hóa liệu lưu trữ chúng đám mây Chương trình tương thích với nhà cung cấp điện toán đám mây phổ biến Dropbox, Box, Google Drive, SkyDrive… Hiện nay, BoxCryptor hỗ trợ 24 nhà cung cấp điện toán đám mây Ứng dụng BoxCryptor giải pháp bảo mật liệu người dùng theo mô hình bảo mật dựa Encryption Proxy cho phép mã hóa theo tiêu chuẩn AES-256 trình bày chương Vì vậy, học viên lựa chọn công cụ BoxCryptor làm chương trình để thử nghiệm khả mã hóa bảo mật liệu 3.2 Giới thiệu công cụ BoxCryptor Công cụ BoxCryptor sử dụng kết hợp AES RSA Việc phải tính toán số nguyên lớn làm cho tốc độ thuật toán RSA chậm đáng kể so với thuật toán mã hóa khóa đối xứng (như DES, AES) lý người ta thường không sử dụng thuật toán RSA để xử lý (mã hóa giải mã) trực tiếp thông điệp dài Thuật toán RSA thường sử dụng kết hợp với thuật toán mã hóa đối xứng 20 Hình 3.1: Sơ đồ kết hợp RSA AES Một số khái niệm trình mã hóa BoxCryptor - Khóa tệp: Khoá mã hóa AES sử dụng để mã hóa giải mã tệp Mỗi tập tin có khóa riêng khóa tập tin ngẫu nhiên - Khóa người dùng: Mỗi người dùng có cặp RSA-4096 riêng (riêng công cộng) khóa AES-256 bổ sung - Mật khẩu: Khóa mã hoá AES lấy từ mật cách sử dụng khóa kéo dài tăng cường chức PBKDF2 với HMACSHA512, 10.000 lần lặp - Khóa nhóm: Tương tự người dùng, nhóm có cặp RSA- 4096 riêng (riêng công cộng) khóa AES-256 bổ sung Hơn nữa, nhóm có khóa thành viên riêng tạo ngẫu nhiên - Khóa công ty: Một công ty có cặp chìa khóa RSA-4096 riêng (riêng công cộng) trường hợp sách sử dụng 21 - Ma trận trạng thái (State Matrix): Thuật toán AES bao gồm tập toán tử thực thi làm thay đổi ma trận hai chiều gọi ma trận trạng thái Ma trận trạng thái ma trận cỡ 4x4 chứa 16 byte - Hộp thay S – Box InvS – BoxB: Bảng giá trị xác định sử dụng trình mã hoá giải mã AES 3.3 Nguyên lý bảo mật công cụ BoxCryptor Mật khóa tập tin không rời khỏi thiết bị người dùng không chuyển đến nơi cho Mặt khác, khóa người dùng, khóa nhóm khóa công ty lưu trữ máy chủ khóa Boxcryptor dạng mã hóa Tất thông tin nhạy cảm (ví dụ khoá RSA khóa cá nhân) mã hoá sử dụng khóa không gửi tới máy chủ khóa Boxcryptor (như mật cá nhân) Điểm khởi đầu cho trình giải mã mật người dùng Điều cần thiết để mở khóa cá nhân khóa wrapping mà sau yêu cầu để mở khóa tất khóa khác hệ thống (khóa AES, tập khóa, khóa thành viên, nhóm khóa , ) Tuy nhiên, khóa mật không rời khỏi thiết bị người dùng Vì Boxcryptor Key Server lưu khóa cho tất người dùng, Boxcryptor nhà cung cấp dịch vụ không tri thức khóa nhạy cảm nhận từ người dùng dạng mã hóa Các loại khóa lưu trữ liệu thô Boxcryptor Key Server khóa công khai không chứa thông tin nhạy cảm nào, thông tin công khai, không cần phải bảo mật Boxcryptor thực quy trình mã hóa kết hợp dựa RSA bất đối xứng mã hóa AES đối xứng Mỗi tập tin có mật tập tin ngẫu nhiên riêng tạo tập tin tạo Khóa tệp sử dụng để mã hóa giải mã nội dung tệp sau: 22 3.3.1 Mã hóa - Tạo khóa an toàn cho tệp tin ngẫu nhiên - Mã hóa liệu văn thô sử dụng khóa tập tin - Mã hóa khóa tập tin với khoá công khai người dùng - Lưu khóa tập tin mã hóa bên cạnh liệu mã hóa tệp mã hóa - Nếu nhiều người dùng có quyền truy cập vào tệp tin, khóa tệp mã hóa nhiều lần với khóa công khai người dùng khác kết lưu trữ tệp mã hóa 3.3.2 Giải mã - Giải mã khóa tập tin mã hóa khóa cá nhân người dùng - Giải mã liệu mật mã khóa tệp 3.4 Những tính công cụ BoxCryptor - Sử dụng thuật toán mã hóa AES 256bit mạnh mẽ - Cho phép lưu liệu mã hóa lên công cụ điện toán đám mây - Cho phép mã hóa tên tập tin thư mục - Cho phép tạo đĩa ảo an toàn - Tự động tái mã hóa có chỉnh sửa - Tương thích tốt với nhiều hệ điều hành - Cho phép chia sẻ tập tin mã hóa theo nhóm công ty - Xuất khóa: 3.5 Thử nghiệm công cụ BoxCryptor 3.5.1 Download Có phiên BoxCryptor tải từ trang chủ https://www.boxcryptor.com Phiên miễn phí cho phép mã hóa 2GB liệu 23 Phiên Unlimited cho phép mã hóa liệu không hạn chế dung lượng, với giá cho phiên 48$ Phiên Unlimited Business giá 96$, với nhiều hỗ trợ nâng cao cho việc mã hóa Học viên sử dụng phiên miễn phí để cài đặt thử nghiệm máy tính hệ điều hành window 3.5.2 Sử dụng BoxCryptor 3.5.3 Kết thử nghiệm Kết thu sau thực thử nghiệm : - Chương trình BoxCryptor tự động mã hóa liệu đồng liệu lên đám mây nhanh - Quá trình giải mã nhanh tự động - Giả sử người dùng lưu trữ liệu đám mây bị công đánh cắp liệu liệu an toàn kẻ công giải mã liệu mã hóa theo chuẩn AES-256 bit 3.6 Đánh giá kết thực nghiệm Các khóa người dùng tạo thiết bị người dùng trình thiết lập tạo tài khoản Trước khóa gửi đến Boxcryptor Key Server, thông tin nhạy cảm mã hóa để có người dùng truy cập vào Kết chƣơng Chương tìm hiểu số công cụ bảo mật dựa giải pháp mã hóa liệu người dùng; lựa chọn công cụ BoxCryptor nghiên cứu nguyên lý hoạt động thử nghiệm mã hóa bảo mật liệu người dùng điện toán đám mây Kết việc thử nghiệm cho thấy phần mềm mã hóa giải mã nhanh, tương thích tốt với môi trường điện toán đám mây, công cụ mã hóa tuân theo chuẩn mã hóa nâng cao AES-256 đảm bảo an toàn 24 KẾT LUẬN Những đóng góp luận văn Nội dung luận văn tập trung nghiên cứu bảo mật điện toán đám mây; giải pháp đảm bảo an toàn an ninh điện toán đám mây; thử nghiệm chương trình bảo mật, đặc biệt sâu nghiên cứu phương pháp mã hóa liệu theo mô hình bảo mật dựa Encryptor Proxy công cụ ứng dụng cho phương pháp Cụ thể kết đạt sau: - Luận văn nghiên cứu bảo mật điện toán đám mây, mô hình , dịch vụ thuận lợi, thách thức triển khai điện toán đám mây; nghiên cứu giải pháp đảm bảo an toàn an ninh điện toán đám mây cho nhân tố tham gia vào môi trường điện toán đám mây bao gồm đối tượng: nhà thiết phát triển hệ thống; nhà cung cấp dịch vụ điện toán đám mây; khách hàng doanh nghiệp người sử dụng - Luận văn sâu nghiên cứu giải pháp bảo mật dựa giải pháp mã hóa liệu người dùng điện toán đám mây theo mô hình Encryptor Proxy; nghiên cứu hệ mã hóa bất đối xứng RSA chuẩn mã hóa nâng cao AES có kết hợp giải pháp mã hóa thực nhanh độ an toàn cao - Luận văn thử nghiệm đánh giá sử dụng công cụ BoxCryptor để mã hóa giải mã liệu lưu trữ đám mây Việc nghiên cứu đề tài luận văn, học viên có hiểu biết tương đối hệ thống việc đảm bảo an ninh an toàn điện toán đám mây Từ có nhìn nhận nhân tố tham gia môi trường điện toán đám mây cần có giải pháp cho phù hợp để thiết kế, cung cấp, vận hành sử dụng điện toán đám mây an toàn hiệu Hƣớng phát triển Luận văn sử dụng nghiên cứu phương pháp tổng quát, công cụ thử nghiệm nhằm bảo mật cho người sử dụng điện toán đám mây đảm bảo an toàn Tuy nhiên, 25 giải pháp quản lý an toàn hệ thống điện toán đám mây giải pháp quan trọng để đảm bảo phòng chống công phá hoại, đánh cắp liệu khách hàng sử dụng điện toán đám mây Vì hướng nghiên cứu tìm hiểu sâu giải pháp quản lý an toàn hệ thống điện toán đám mây Do kiến thức thân em hạn chế, kiến thức an toàn an ninh điện toán đám mây tương đối rộng lớn, nguồn tài liệu học tập, nghiên cứu hạn hẹp, nên luận văn không tránh khỏi hạn chế thiếu sót, em mong nhận bảo, giúp đỡ tận tình Thầy Cô giáo Học viện, bạn bè người quan tâm tới đề tài để luận văn em hoàn thiện Em xin chân thành cảm ơn! 26 DANH MỤC CÁC TÀI LIỆU THAM KHẢO [1]Trần Cao Đệ, Tạp chí Khoa học Trường Đại học Cần Thơ, ―Tổng quan an ninh điện toán đám mây‖, Số chuyên đề: Công nghệ Thông tin (2013): 39-46 [2]TS Trần Văn Dũng, Chuẩn mã nâng cao (AES) [3]Pathak et al., International Journal of Advanced Research in Computer Science and Software Engineering 5(4) April- 2015, pp 1394-1398 [4]Peter Mell, Timothy Grance, The NIST Definition of Cloud Computing, National Institute of Standards and Technology, Special Publication 800-145, September 2011 [5]S Subashini, ,Kavitha, V., "A survey on security issues in service delivery models of cloud computing," Journal of Network and Computer Applications, Vol 34, 2011 [6]Security guidance for Critical Areas of Focus In Cloud Computing V3.0,Cloud Security Alliance 2011 [7]Wentao Liu,"Research on cloud computing security problem strategy ", IEEE, ISBN 978-1-4577-1415-3112 [8]https://vi.wikipedia.org/wiki/AES [9]http://clouds360.com/iaas.php [10]http://en.wikipedia.org/wiki/Cloud_computing [11]https://vi.wikipedia.org/wiki/DES_(mã_ hóa) [12]https://www.boxcryptor.com/en/technical-overview/ [13]http://aita.gov.vn [14]https://manhhomienbienthuy.bitbucket.io [15]http://www.stu.edu.vn/vi/272/book/6795 [16]http://antoanthongtin.vn ... ninh điện toán đám mây Nghiên cứu giải pháp đảm bảo an toàn an ninh điện toán đám mây: Giải pháp an ninh dựa thiết kế kiến trúc; giải pháp quản lý an toàn hệ thống điện toán đám mây; giải pháp bảo. .. giải pháp bảo mật điện toán đám mây 1.Mục đích nghiên cứu - Tìm hiểu tổng quan điện toán đám mây, xác định thuận lợi thách thức triển khai điện toán đám mây - Nghiên cứu giải pháp đảm bảo an... trung nghiên cứu bảo mật điện toán đám mây; giải pháp đảm bảo an toàn an ninh điện toán đám mây; thử nghiệm chương trình bảo mật, đặc biệt sâu nghiên cứu phương pháp mã hóa liệu theo mô hình bảo mật