Nhóm dịch hệ phân tán - Lớp MTT- K50 - DHBKHN Chương 9: An toàn-An ninh (Security) 1.1 Đặt vấn đề 1.1.1 Các mối đe dọa, sách chế an toàn, an ninh a Các mối đe dọa Hệ thống máy tính ln bị đe dọa nguy an tồn Một cơng việc để bảo vệ hệ thống giúp hệ thống tránh khỏi nguy Có loại mối đe dọa an toàn: Interception (chặn bắt): thành phần khơng phép truy cập đến dịch vụ hay liệu, “nghe trộm” thông tin truyền Interruption (đứt đoạn): mối đe dọa mà làm cho dịch vụ hay liệu bị mát, bị hỏng, dùng Modification (thay đối): Là tượng thay đổi liệu hay can thiệp vào dịch vụ làm cho chúng khơng giữ đặc tính ban đầu Fabrication (giả mạo): tượng thêm vào liệu ban đầu liệu hay hoạt động đặc biệt mà nhận biết để ăn cắp liệu hệ thống b Các chế an tồn, an ninh Có chế an tồn, an ninh đưa ra: Mật mã (Cryptography): việc thực chuyển đổi liệu theo quy tắc thành dạng mà kẻ cơng khơng nhận biết Xác thực (Authentication): thao tác đề nhận dạng người dùng, nhận dạng client hay server ủy quyền (Authorization).: việc phân định quyền hạn cho mẵỉ thành phần đãng nhập thành công vào hệ thống Quyền hạn quyền sử dụng dịch vị, truy cập liệu Kiểm toán (Auditing): phương pháp để xác định client truy cập đến liệu cách 1.1.2 Các vấn đề thiết kế a Điều khiển (focus of control) Có ba cách tiếp cận: Chống thao tác bất hợp lệ: việc thực cách bảo đảm tồn vẹn chỉnh liệu mà khơng quan tâm đến việc phân tích hợp lệ thao tác Data is protected against wrong or invalid operations Chống triệu gọi thao tác không ủy quyền.: khơng bảo đảm tồn vẹn liệu mầ tập trung vào thao tác Thao tác bất hợp lệ bị hủy bỏ Data is protected against LI n a LI th orized i nvocatio ns Hình Chống triệu gọi thao tác khơng ủy quyền Chống người sử dụng không ủy quyền: cách tiếp cận lại tập trung vào quản lý người dùng Xác định người dùng vai trò họ hệ thống khơng quan tâm đến đảm bảo liệu hay quân lý thao tác người dùng checking the role of invoker Hình Chống người sử dụng không ủy quyền b Phân tầng chế an toàn (Layer of security mechanism) Một vấn đề quan trọng việc thiết kế hệ thống an toàn đỉnh xem chế an toàn an ninh đặt tầng Việc xác đinh vị trí đặt phụ thuộc nhiều vào yêu cầu client dịch vụ an toàn, an ninh củã tầng Trong hệ phân tán, chế an toàn, an ninh đặt tầng middleware c Phân tán chế an toàn (Distribution of security mechanism) Xét khái niệm TCB (Trusted Computing Base): tập hợp tất chế an toàn, an ninh hệ phân tán, chế nầy phải tuân theo ràng buộc an toàn 1.1.3 Mật mã (Cryptography) Một chế an tồn, an ninh hệ phân tán mã mật Tư tưởng là: bên gửi mã hóa tin cần truyền, truyền tin mã hóa đi, bên nhận giải mã tin nhận thành tin ban đầu Gọi: Bản tin ban đầu p Khóa mã hóa ỉầ Ek Đản tin mã hóa theo khóa Ek C: C=Ek(P) Khóa giải mã Dk Đản tin giải mã theo khóa giải mã: P=Dk(C) Page I2 Nhóm dịch hệ phân tán - Lớp MTT- K50 - DHBKHN Có hai loại hệ thống mật mã: mật mã đối xứng (symmetric cryptosystem) mật mã bất đối xứng (asymmetric cryptosystem) a Mật mã đốỉ xứng: dùng khóa bí mật« Với mật mã đếỉ xứng: khóa mã hóa khóa giải mã giống Ta có: P=Dk(Ek( p ) ) Cả hên nhận hên gửỉ phải có khóa trên, khóa phải đuợc giữ hỉ mật Nguyên lý chung giải thuật DES (Data Encryption Standard): Hình nguyên lý chung DES Thực ưên khối liệu 64 bit Mỗi khối mã hóa qua 16 vòng lặp, vòng có khóa mã hóa 48 hit riêng 16 khóa nầy sinh từ 56 hit khóa Đầu vào vòng lặp mã hóa thứ ỉ liệu mã hóa vòng lặp thứ (ỉ-1) 64 hit liệu qua vòng lặp chia thảnh hai phần nhau: Li-1 Ri-1, 32 hit Phần liệu hên phải Ri-1 lấy lầm phần hên trái liệu cho vòng sau: Rị.i= Li Hàm f với đầu vào Ri -1 khóa Ki sinh khối 32 bit XOR với Li-1 để sinh Ri Used for next round 48-bỉt key Hình Một vòng mã hóa Phương pháp sinh khóa giải thuật DES: Hình Sinh khóa theo giải thuật DES Mỗi khóa 48 bit cho vòng lặp sinh từ khóa chỉnh 56 bit sau: hốn vị khóa chỉnh, chia đơi thành hai phần 28 bit Tại vòng, nửa quay trái hai bit, sau lẩy 24 bit kết hợp với 24 bit nửa lại tạo khóa b Mật mã bất đối xứng: dùng khóa cơng khai Mật mã bất đối xứng: khóa mã hóa vầ khóa giải mã ỉầ khác Ta có: P=DkD(Ekn ( p )) Trong hệ thống nầy, khóa giữ bỉ mật khóa công khai Xét giải thuật RAS (được đặt theo tên nhà phát minh nó:Rỉvest, Shamir, Adleman) : Page I4 Nhóm dịch hệ phân tán - Lớp MTT- K50 - DHBKHN Cách sinh khóa giả thuật RAS: thực theo bước: Chọn số lớn: p,q - Tínhn = p.(|vàz = (p-l).(^-l) - Chọn sổ d liên quan đến z - Tính toán e cho e.d =1 mod z Như d dùng để giải mã e dùng để mã hóa Ta cơng khai hai số này, tùy thuật toán Nguyên lý chung giải ihuệí RAS: Coi tin truyền dãy số nhị phân Chia tin m thành khối có kích thước cố định mi cho 0