BÁO CÁO BÀI TẬP LỚN MÔN HỌC BẢO MẬT THÔNG TIN TRÊN MẠNG MÁY TÍNH , Chủ đề số 07, XÂY DỰNG HỆ THỐNG MINH HỌA TẤN CÔNG PADDINGORACLE LÊN CHẾ ĐỘ CBC CỦA MÃ KHỐI, HỌC VIỆN MẬT MÃ

BÁO CÁO BÀI TẬP LỚN,MÔN HỌC BẢO MẬT,THÔNG TIN TRÊN MẠNG MÁY TÍNH , Chủ đề số 07, XÂY DỰNG HỆ THỐNG ,MINH HỌA TẤN CÔNG ,PADDINGORACLE LÊN CHẾ ĐỘ, CBC CỦA MÃ KHỐI, HỌC VIỆN MẬT MÃ

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA MẬT MÃ



BÁO CÁO BÀI TẬP LỚN MÔN HỌC

BẢO MẬT THÔNG TIN TRÊN MẠNG MÁY TÍNH

Chủ đề số 07

XÂY DỰNG HỆ THỐNG MINH HỌA TẤN CÔNG PADDING

ORACLE LÊN CHẾ ĐỘ CBC CỦA MÃ KHỐI

Giảng viên: KS Nguyễn Văn Nghị

Thực hiện: Sinh viên lớp AT8B

1 Nguyễn Văn A

2 Trần Thị B

HÀ NỘI, 2015

Ý KIẾN CỦA GIẢNG VIÊN

MỤC LỤC

Danh mục kí hiệu và từ viết tắt 1

Danh mục CÁC BẢNG 2

DANH MỤC CÁC HÌNH VẼ 3

Lời nói đầu 4

Chương 1 Tổng quan về kiểm soát truy cập tài nguyên website 6

1.1 Khái niệm tài nguyên của website 6

1.2 Kiểm soát truy cập tài nguyên của website 6

Chương 2 Phân tích cơ chế kiểm soát truy cập tài nguyên của website 7

2.1 Cơ chế định danh người dùng 7

2.2 Mô hình kiểm soát truy cập 7

Kết luận 8

Tài liệu tham khảo 10

DANH MỤC KÍ HIỆU VÀ TỪ VIẾT TẮT

Các từ viết tắt phải được liệt kê theo thứ tự trong bảng chữ cái Các từ viết tắt tiếng Việt liệt kê trước, các từ viết tắt tiếng nước ngoài liệt kê sau

ABAC Attribute Based Access Control

ACL Access Control List

ACM Access Control Matrix

CGI Common Gateway Interface

CSV Comma Separated Value

DAC Discretionary Access Control

HMAC Hash-based Message Authentication Code

HTTP HyperText Transfer Protocol

IANA Internet Assigned Numbers Authority

ISP Internet Service Provider

MAC Mandatory Access Control

MIME Multipurpose Internet Mail Extensions

PBAC Policy-based Access Control

QoS Quality of Service

RBAC Role-based Access Control

RIR Regional Internet Registry

RAdAC Risk-adaptive Access Control

SEO Search Engine Optimization

DANH MỤC CÁC BẢNG

Bảng 1.1: Bảng biểu diễn ………5 (danh mục làm tự động giống mục lục)

Xây dựng hệ thống minh họa tấn công Padding Oracle lên chế độ CBC của mã khối Tr.2

DANH MỤC CÁC HÌNH VẼ

Hình 1.1: Hình biểu diễn ………5 (danh mục làm tự động giống mục lục)

LỜI NÓI ĐẦU

Trong thời đại công nghệ thông tin, khả năng truy cập, tiếp cận thông tin một cách nhanh chóng, kịp thời sẽ quyết định sự thành bại của nhiều hoạt động, từ hoạt động kinh doanh đến hoạt động quân sự Trong nghiên cứu khoa học, sự thuận tiện trong tìm kiếm, tra cứu thông tin sẽ giúp nhà khoa học rút ngắn thời gian nghiên cứu, sớm đạt được kết quả

Ngày nay, khi mạng Internet đã phát triển một cách vượt bậc, khi những thành tựu của công nghệ thông tin đã cho phép lưu trữ thông tin với lượng lớn hơn, truyền thông tin với tốc độ cao hơn, thì nhu cầu chia sẻ và được chia sẻ thông tin là tất yếu Trong lĩnh vực đào tạo và nghiên cứu khoa học thì nhu cầu này càng thể hiện rõ Thế nhưng, mọi tài nguyên đề có giới hạn Dù công nghệ phát triển nhưng khả năng xử lý của máy tính, băng thông của đường truyền vẫn thường không đáp ứng đủ nhu cầu của người dùng Vì thế, vấn đề đặt ra là phải thực hiện việc chia sẻ thông tin như thế nào để đảm bảo hệ thống hoạt động ổn định, người dùng được phục vụ tốt nhất trong điều kiện hữu hạn về tài nguyên

Có lẽ sẽ không có ai bàn cãi nếu kết luận rằng cách thức hiệu quả nhất hiện nay để chia sẻ thông tin cho một lượng lớn người dùng trên một không gian địa lí rộng lớn là sử dụng công nghệ web Đến nay trên Internet đã có nhiều website chia

sẻ dữ liệu hoạt động ổn định qua nhiều năm, ví dụ như www.rapidshare.com, www.4share.com, Tin rằng những kỹ thuật được áp dụng trên đó sẽ hữu ích cho việc xây dựng một hệ thống tương tự nhằm mục đích chia sẻ thông tin trong Học viện Kỹ thuật mật mã Nhận thức được vấn đề đó, chúng tôi đã quyết định chọn đề tài nghiên cứu khoa học cấp cơ sở là "Nghiên cứ giải pháp kiểm soát truy cập tài nguyên của website và đề xuất ứng dụng" Mục tiêu đặt ra khi thực hiện đề tài này gồm:

 Tìm hiểu tổng quan về việc kiểm soát tài nguyên được thực hiện trên các website trên Internet

 Phân tích, làm rõ cơ chế thực hiện việc kiểm soát truy cập tài nguyên trên các website đó

 Đề xuất một giải pháp kiểm soát truy cập tài nguyên phù hợp với việc chia

sẻ thông tin trong môi trường Học viện

 Xây dựng một hệ thống để minh họa việc ứng dụng giải pháp đã đề xuất trên đây vào việc kiểm soát truy cập tài nguyên

Xây dựng hệ thống minh họa tấn công Padding Oracle lên chế độ CBC của mã khối Tr.4

Mục đích mà chúng tôi hướng đến khi đặt ra mục tiêu nghiên cứu như vậy là tìm kiếm một giải pháp hiệu quả để thực hiện việc kiểm soát tài nguyên khi thực hiện chia sẻ thông tin nhằm duy trì sự ổn định của hệ thống và phục vụ tốt nhất người dùng trong điều kiện hạn chế về tài nguyên tính toán và tài nguyên mạng

Hiện nay trên thị trường có rất nhiều tài liệu về xây dựng ứng dụng web, từ thiết kế đến viết chương trình, nhưng lại không thấy có tài liệu nào trình bày một cách hệ thống về các giải pháp kiểm soát truy cập tài nguyên khi chia sẻ thông tin qua website Đó là một khó khăn lớn cho chúng tôi khi thực hiện đề tài này Chúng tôi đã phải vận dụng những kiến thức về lý thuyết kiểm soát truy cập, về giao thức HTTP, về web server, về ngôn ngữ lập trình web để phân tích, tìm ra cơ chế kiểm soát truy cập được sử dụng trên các website trên Internet, từ đó đạt tới mục tiêu đề ra

Với cách tiếp cận mang nặng tính kinh nghiệm như thế, chắc chắn chúng tôi không thể tránh khỏi những thiếu sót Rất mong nhận được ý kiến đóng góp của đồng nghiệp và các chuyên gia khác có quan tâm để chúng tôi có thể hoàn thiện kết quả nghiên cứu của mình

CHƯƠNG 1 TỔNG QUAN VỀ KIỂM SOÁT TRUY CẬP TÀI NGUYÊN

WEBSITE 1.1 Khái niệm tài nguyên của website

Chúng tôi đã phân tích và đi đến quyết định chỉ giới hạn phạm vi xem xét là những website được xây dựng để cho phép người dùng tải về (download) các tài liệu điện tử Các tài liệu đó có thể là sách điện tử, phần mềm, phim, nhạc hoặc các dạng tài liệu khác mà mục đích của chúng là cho phép người dùng web tải về để sử dụng mà không phải để hiển thị trên webpage

1.2 Kiểm soát truy cập tài nguyên của website

Kiểm soát truy cập tài nguyên của website được hiểu là việc áp dụng các chính sách khác nhau đối với các nhóm người dùng khác nhau khi người dùng thực hiện truy cập tài nguyên của website nhằm đảm bảo website hoạt động ổn định, hiệu quả, đúng thiết kế ban đầu

Trong Sách da cam ("Orange book") và các tài liệu truyền thống về an toàn thông tin [1], có 2 mô hình kiểm soát truy cập thường được xem xét là: Mô hình kiểm soát truy cập tùy chọn (DAC – Discretionary Access Control), Mô hình kiểm soát truy cập bắt buộc (MAC – Mandatory Access Control) Còn Viện Tiêu chuẩn

và công nghệ quốc gia Hoa Kì (NIST: National Institute of Standards and Technology) [4] xem xét một tập hợp phong phú hơn các mô hình kiểm soát truy cập: Mô hình danh sách kiểm soát truy cập (ACL – Access Control List), Mô hình kiểm soát truy cập theo vai (RBAC –Role-based Access Control), Mô hình kiểm soát truy cập theo thuộc tính (ABAC – Attribute Based Access Control), Mô hình kiểm soát truy cập theo chính sách (PBAC – Policy-based Access Control), Mô hình kiểm soát truy cập thích ứng rủi ro (RAdAC – Risk-adaptive Access Control)

Xây dựng hệ thống minh họa tấn công Padding Oracle lên chế độ CBC của mã khối Tr.6

CHƯƠNG 2 PHÂN TÍCH CƠ CHẾ KIỂM SOÁT TRUY CẬP TÀI

NGUYÊN CỦA WEBSITE 1.3 Cơ chế định danh người dùng

Nhóm đề tài đã khảo sát các website trên Internet và chỉ ra các phương án định danh người dùng, bao gồm:

 Định danh người dùng bằng tài khoản

 Định danh người dùng bằng phiên làm việc

 Định danh người dùng bằng địa chỉ IP

 Định danh người dùng bằng vị trí địa lý

Nhóm cũng đã chỉ ra cơ chế để thực hiện các phương án định danh người dùng trên đây

1.4 Mô hình kiểm soát truy cập

Phần này đã xem xét các mô hình kiểm soát truy cập gồm:

 Mô hình kiểm soát truy cập tùy chọn (DAC),

 Mô hình kiểm soát truy cập bắt buộc (MAC)

 Mô hình danh sách kiểm soát truy cập (ACL),

 Mô hình kiểm soát truy cập theo vai (RBAC),

 Mô hình kiểm soát truy cập theo thuộc tính (ABAC),

 Mô hình kiểm soát truy cập theo chính sách (PBAC),

 Mô hình kiểm soát truy cập thích ứng rủi ro (RAdAC)

Chúng tôi đã phân tích và chỉ ra những mô hình kiểm soát truy cập có thể cân nhắc lựa chọn khi xây dựng ứng dụng web là: MAC, RBAC và ABAC

KẾT LUẬN Sau gần một năm nghiên cứu, thử nghiệm, nhóm đề tài đã đạt được tất cả các mục tiêu đề ra Cụ thể:

Trong chương 1, nhóm đề tài đã chỉ ra giới hạn đối với đối tượng nghiên cứu

là những website được xây dựng nhằm mục đích lưu trữ và chia sẻ dữ liệu, tức là những website thuộc nhóm 50 trong bảng phân loại của TrendMicro Nhóm đã chỉ

rõ ý nghĩa của hai khái niệm căn bản nhất trong đề tài này, đó là "tài nguyên của website", "kiểm soát truy cập tài nguyên của website" Và trong phần cuối của chương 1, nhóm đề tài đã chỉ ra những hình thức kiểm soát truy cập tài nguyên được áp dụng trên các website trên Internet

Trong chương 2, nhóm đề tài đã phân tích, làm rõ một số cơ chế kiểm soát truy cập tài nguyên được sử dụng trên các website trên Internet và đã được chỉ ra trong chương 1

Trong chương 3, trên cơ sở kết quả thu được ở chương 2, căn cứ vào việc phân tích đánh giá đặc điểm của hệ thống chia sẻ thông tin tiềm năng phục vụ nhu cầu của Học viện, nhóm đề tài đã đề xuất được giải pháp kiểm soát truy cập tài nguyên cho hệ thống đó Giải pháp đó bao gồm: cách thức định danh và phân nhóm người dùng, mô hình kiểm soát truy cập, chính sách truy cập và cách thức thực thi chính sách truy cập

Trong chương 4 nhóm đã trình bày chi tiết về hệ thống cung cấp tài liệu điện

tử có kiểm soát được xây dựng để minh họa cho việc ứng dụng một phần giải pháp kiểm soát truy cập tài nguyên đã được đề xuất ở chương 3 Hệ thống này tuy đơn giản nhưng đã cho thấy tính khả thi của giải pháp kiểm soát truy cập nêu trên

Kết quả nghiên cứu đề tài có thể được ứng dụng theo hai hướng chính.

Thứ nhất là ứng dụng vào việc giảng dạy học phần "Xây dựng ứng dụng web an toàn" trong chương trình đào tạo kĩ sư chuyên ngành An toàn thông tin tại Học viện Thứ hai là ứng dụng vào việc xây dựng một hệ thống cung cấp tài liệu điện tử

có kiểm soát để sử dụng cho Học viện nhằm đáp ứng nhu cầu tiếp cận thông tin của học viên, sinh viên và cán bộ, giảng viên Học viện

Dù nhóm đề tài đã có sự nỗ lực trong nghiên cứu, nhưng vẫn còn tồn tại hạn chế trong kết quả nghiên cứu Các thông số trong giải pháp được đề xuất trong

chương 3 chỉ mang tính chất định tính, nhóm đề tài chưa đủ khả năng để thực hiện nghiên cứu định lượng các thông số đó

Xây dựng hệ thống minh họa tấn công Padding Oracle lên chế độ CBC của mã khối Tr.8

Như thế, hướng phát triển của đề tài là nghiên cứu, đánh giá các thông số của hệ thống cung cấp tài liệu điện tử tiềm năng của Học viên như: cơ sở hạ tầng mạng, cấu hình phần cứng máy chủ, số lượng người dùng từng nhóm, tập hợp tài nguyên được chia sẻ, mức độ ưu tiên giữa các nhóm người dùng, yêu cầu về tốc độ tối thiểu đối với từng nhóm người dùng Trên cơ sở đó thực hiện thí nghiệm, phân tích đánh giá để đưa ra các thông số định lượng cho giải pháp đã đề xuất

TÀI LIỆU THAM KHẢO

[1] Nguyễn Đình Vinh, Trần Đức Sự, Vũ Thị Vân, Giáo trình Cơ sở an toàn

thông tin, Học viện Kỹ thuật mật mã, 2013

[2] Goyvaerts and Steven Levithan, Regular Expressions Cookbook, Second

Edition, ISBN: 978-1-449-31943-4, 612pp., O'Reilly, 2012

[3] Jeffrey E F Friedl, Mastering Regular Expressions, Third Edition, ISBN:

978-0-59-652812-6, 542pp., O'Reilly, 2006

[4] NIST, A survey of access control models,

http://csrc.nist.gov/news_events/privilege-management-workshop/PvM-Model-Survey-Aug26-2009.pdf

Xây dựng hệ thống minh họa tấn công Padding Oracle lên chế độ CBC của mã khối Tr.10