MỤC LỤC Trang LỜI CAM ĐOAN MỤC LỤC DANH MỤC CÁC THUẬT NGỮ VIẾT TẮT DANH MỤC CÁC BẢNG BIỂU DANH MỤC CÁC HÌNH VẼ MỞ ĐẦU CHƢƠNG TỔNG QUAN VỀ AN TỒN THƠNG TIN 12 1.1 MẠNG VÀ AN TOÀN MẠNG 12 1.1.1 1.1.2 1.1.3 1.1.4 1.1.5 1.2 CẤU TRÚC CHUNG CỦA MẠNG 13 CÁC THIẾT BỊ MẠNG 14 ĐƢỜNG TRUYỀN VẬT LÝ: 14 PHẦN MỀM CỦA MẠNG 15 CÁC YẾU TỐ ĐẢM BẢO AN TOÀN MẠNG: 16 CHÍNH SÁCH AN TỒN THƠNG TIN 16 2.1 MỘT SỐ VẤN ĐỀ HOẠCH ĐỊNH CHÍNH SÁCH 16 1.2.2 MỤC TIÊU THIẾT KẾ HỆ THỐNG AN NINH THÔNG TIN 17 1.2.3 KIẾN TRÚC LOGIC CÁC MIỀN AN NINH 18 1.2.4 KIẾN TRÚC MẠNG 22 1.2.5 NGUY CƠ MẤT AN TỒN HỆ THỐNG THƠNG TIN 25 1.2.6 KỸ THUẬT VÀ DỊCH VỤ ĐẢM BẢO AN TỒN THƠNG TIN 29 1.3 AN TOÀN DỮ LIỆU: 39 1.3.1 MÃ HOÁ TIN TỨC 39 1.3.2 XÁC THỰC THÔNG TIN 39 1.4 KẾT LUẬN CHƢƠNG 2: 46 CHƢƠNG CƠ SỞ TOÁN HỌC CỦA MÃ XÁC THỰC ĐỐI TƢỢNG VÀ PHƢƠNG PHÁP MƠ PHỎNG SHA TRÊN MÁY TÍNH 47 2.1 NHỮNG VẤN ĐỀ CHUNG VỀ HÀM HASH VÀ HÀM HASH AN TOÀN: 47 2.1.1 HÀM HASH 47 2.1.2 ĐIỀU KIỆN AN TOÀN CHO HÀM HASH 48 2.1.3 TẠO HÀM HASH AN TOÀN SHA-1 53 2.2 GIẢI PHÁP TÓM LƢỢC BẢN TIN 58 2.2.1 CHÈN BÍT VÀO BẢN TIN 58 2.2.2 TÓM LƢỢC BẢN TIN 59 2.3 TÍNH TỐN TĨM LƢỢC BẢN TIN Ở HÀM HASH SHA-1 60 2.3.1 PHƢƠNG PHÁP TÍNH VỚI BẢN TIN CHÈN BÍT CĨ CHỈ CĨ MỘT KHỐI 60 2.3.2 PHƢƠNG PHÁP TÍNH VỚI BẢN TIN ĐƢỢC CHÈN BÍT GỒM NHIỀU KHỐI 62 2.4 XÂY DỰNG CHƢƠNG TRÌNH MƠ PHỎNG HÀM HASH SHA 66 2.5 KẾT LUẬN CHƢƠNG 67 CHƢƠNG HỆ MẬT MÃ KHỐ CƠNG KHAI VÀ TRIỂN KHAI GIẢI PHÁP XÁC THỰC RSA 68 3.1 TỔNG QUAN VỀ HỆ MẬT MÃ KHỐ CƠNG KHAI RSA 69 3.1.1 TỔNG QUAN 69 3.1.2 HỆ MẬT MÃ RSA 73 3.1.3 CÁC PHƢƠNG PHÁP PHÂN PHỐI KHỐ CƠNG KHAI 75 3.2 CHỮ KÝ SỐ ĐIỆN TỬ RSA 88 3.2.1 TỔNG QUÁT HOÁ VỀ CHỮ KÝ SỐ ĐIỆN TỬ RSA 88 3.2.2 THUẬT TOÁN TẠO CHỮ KÝ SỐ ĐIỆN TỬ RSA 91 3.3 TRIỂN KHAI GIẢI PHÁP XÁC THỰC NGƢỜI DÙNG SECURID AUTHENTICATION CỦA RSA TẠI CƠ QUAN XÍ NGHIỆP VỪA VÀ NHỎ 92 3.3.1 INTERNET VÀ MƠ HÌNH THƢƠNG MẠI ĐIỆN TỬ 92 3.3.2 GIẢI PHÁP XÁC THỰC BẰNG MẬT KHẨU 93 3.3.3 GIẢI PHÁP XÁC THỰC HAI YẾU TỐ SECURID CỦA RSA 95 3.4 KẾT LUẬN CHƢƠNG 104 KẾT LUẬN CHUNG 105 DANH MỤC CƠNG TRÌNH TÁC GIẢ 107 TÀI LIỆU THAM KHẢO 108 PHỤ LỤC DANH MỤC CÁC THUẬT NGỮ VIẾT TẮT ISDN Intergrated Service Digital Network DMZ Demilitarized Zone VLAN Mạng Lan ảo NAT Công nghệ biên dịch địa VPN Mạng riêng ảo MAC Kiểm soát truy nhập bắt buộc DAC Kiểm soát truy nhập tùy ý RBAC Kiểm soát truy nhập dựa vai trò CHAP Xác thực bắt tay thách thức MAC Message Authentication Code LAN Local Area Network WAN MAN Wide Area Network Metropolitan Area Network DANH MỤC CÁC BẢNG BIỂU Trang Bảng 2.1 Hàm Hash khơng an tồn .50 Bảng 2.2 Hàm Hash an tồn thơng số .50 Bảng 3.1 Chuyển đổi ký tự sang số thập phân .83 Bảng 3.2 Số liệu tính tốn cho việc phá khố RSA .84 DANH MỤC CÁC HÌNH VẼ Trang Hình 1.1 Sơ đồ mạng LAN đơn giản kết nối với Internet 11 Hình 1.2 Minh họa cấu mạng Intranet 19 Hình 1.3 Một kết nối Extranet hai tổ chức 18 Hình 1.4 Miền DMZ 20 Hình 1.5 Mạng VLAN 22 Hình 1.6 Một kết nối lên Internet điển hình(NAT) .23 Hình 1.7 Kết nối sử dụng giao thức Tunneling .24 Hình 1.8 Các mối đe dọa từ bên bên ngồi mạng tổ chức 26 Hình 1.9 Một sở hạ tầng mạng điển hình 29 Hình 1.10 Proxy Firewall ngăn chặn truy cập từ ngồi mạng 30 Hình 1.11 Một dual-homed Proxy 32 Hình 1.12 Router 33 Hình 1.13 Chuyển mạch hai hệ thống 34 Hình 1.14 Hai mạng Lan sử dụng kết nối VPN 35 Hình 1.15 Tên ngƣời dùng / mật 39 Hình 1.16 Sơ đồ xác thực sử dụng hàm Hash .41 Hình 1.17 Sơ đồ xác thực sử dụng hệ mật mã bí mật .42 Hình 1.18 Sơ đồ xác thực sử dụng sử dụng hệ mật mã khố cơng khai .43 Hình 1.19 Sơ đồ xác thực hàm Hash hệ mã khố cơng khai 44 Hình 2.1 Sơ đồ khối tổng quát hàm Hash .47 Hình 2.2 đồ Sơ khối hàm Hash an tồn 51 Hình 2.3 Sơ đồ khối xử lý lặp 55 Hình 2.4 Sơ đồ khối xử lý “Từ” vòng hàm Hash 56 Hình 2.5 Sơ đồ tạo từ Wt đầu vào với khối tin 56 Hình 3.1 Mơ hình thơng tin hệ mật mã 69 Hình 3.2 Mơ hình thơng tin hệ mật mã khố cơng khai 71 Hình 3.3 Sơ đồ thơng báo cơng khai khố 74 Hình 3.4 Sơ đồ phân phối khố công khai theo thƣ mục 76 Hình 3.5 Cấp phát khố cơng khai quan có thẩm quyền 78 Hình 3.6 Sơ đồ chứng nhận khố cơng khai 80 Hình 3.7 Sơ đồ chữ ký số kiểm tra chữ ký số 88 Hình 3.8 Sơ đồ chữ ký số kiểm tra chữ ký số sử dụng hàm Hash .89 Hình 3.9 Xác thực hai yếu tố 94 Hình 3.10 Mơ hình giải pháp xác thực hai yếu tố SecurID RSA 95 Hình 3.11 Giải pháp ba thành phần .96 Hình 3.12 Hoạt động RSA SecurID Authentication .98 MỞ ĐẦU Chúng ta sống thời đại mà thông tin nhu cầu thiếu đƣợc xã hội, nhƣ cá nhân Sự phổ biến rộng rãi tiện ích mạng viễn thơng (mạng máy tính, mạng thơng tin di động, mạng điện thoại ) phƣơng tiện truyền thông khác đáp ứng đƣợc nhu cầu đƣợc nhu cầu trao đổi thơng tin to lớn tồn xã hội Ngày nay, an tồn thơng tin vấn đề có tính thời liên quan đến vấn đề ổn định xã hội chủ quyền quốc gia Với phát triển nhanh ngành Công nghệ thông tin, đặc biệt kỹ thuật truyền thơng số hố mơi trƣờng Internet tạo hiệu cao cho trình trao đổi thông tin xu hợp tác, hội nhập quốc tế phát triển nhiều lĩnh vực Tuy nhiên nảy sinh hàng loạt vấn đề liên quan đến an tồn bảo mật thơng tin cho quốc gia Điều đặt đòi hỏi cấp thiết vấn đề lựa chọn giải pháp an tồn thơng tin hệ thống máy tính truyền thơng phạm vi quốc gia, nhƣ khu vực Chúng làm tăng hoạt động tội phạm đánh cắp, giả mạo, làm méo, gây nhiễu thông tin cuối gây an tồn thơng tin An tồn thơng tin lĩnh vực khoa học quan trọng, đƣợc nhiều nƣớc giới đầu tƣ quan tâm nghiên cứu Để tạo điều kiện hỗ trợ phát triển lĩnh vực khoa học này, tổ chức tiêu chuẩn hoá quốc tế (ISO) cho đời tiêu chuẩn phƣơng diện an toàn bảo mật tin tức nhƣ: ISO - 7498-2:1989, ISO/IEC 9796:1996, ISO/IEC 9798 - 1:1991, ISO/IEC 9798-2:1994 Các tiêu chuẩn đƣợc nhiều quốc gia sử dụng cho mục đích đảm bảo an tồn thơng tin dựa vào chúng để xây dựng nên tiêu chuẩn an toàn cho Riêng lịch vực quốc phịng an ninh, an tồn thơng tin lĩnh vực đƣợc quan tâm nghiên cứu đặc biệt Bởi vì, theo quan điểm chiến tranh đại, thông tin nguồn lực, vũ khí chiến kẻ nắm, xử lý thông tin tốt hơn, đồng thời kiềm chế (gây an tồn) thơng tin đối phƣơng kẻ chiến thắng Vì vậy, nghiên cứu an tồn thơng tin khơng có ý nghĩa việc đảm bảo thơng tin cho quốc gia mà cịn làm cho có khả gây tồn thơng tin cho đối phƣơng có chiến tranh xẩy ra, phục vụ tốt cho việc bảo vệ tổ quốc Với việc ứng dụng mạng máy tính (Internet) dùng cho phủ điện tử, thƣơng mại điện tử, nhƣ e-learning phạm vi tồn giới vai trị an tồn thơng tin trở nên cấp thiết quan trọng An toàn liệu (data sercurity) chiếm vị trí quan trọng an tồn thơng tin An tồn liệu đảm bảo tính bí mật, tính trọn vẹn tin (không bị giả mạo, không bị thay đổi) Các biện pháp kỹ thuật đảm bảo cho an tồn liệu bao gồm: mã hố tin tức (cryptogaphy), xác thực thiết lập hàng rào an ninh thông tin Để thực đƣợc vấn đề có nhiều biện pháp khác nhau, phải kể đến biện pháp sử dụng mật mã khố cơng khai, đặc biệt hệ mật mã RSA (do Rivest, Shamir Adleman phát minh) Hiện giới có nhiều dự án nghiên cứu giải pháp xác thực - mã hóa thơng tin nhƣ: NESSIE nƣớc Châu Âu, CRYPTREC Nhật Bản, nhƣ nhiều cơng trình khoa học, sản phẩm thƣơng mại tác giả Mỹ nƣớc khác Nƣớc ta có dự án nghiên cứu an tồn thông tin mạng Với kiến thức học tập đƣợc, tác giả luận văn xin trình bày đề tài “ Nghiên cứu mã hoá tin phƣơng pháp xác thực ngƣời dùng theo hệ mật mã khố cơng khai RSA” nhằm tổng quát hoá giải pháp triển khai ứng dụng hệ thống xác thực RSA dùng cho quan, xí nghiệp nhỏ nhu cầu cần thiết mang tính khả thi cao Bố cục luận văn tập trung giải vấn đề sau: Phần mở đầu Phần nội dung bao gồm: 10 Tổng quan an tồn thơng tin: - Mạng an tồn mạng - Chính sách an tồn thơng tin - An toàn liệu - Kết luận Cơ sở toán học mã xác thực đối tƣợng phƣơng pháp mơ SHA-1 máy tính: - Những vấn chung hàm hash Hash an toàn - Giải pháp tóm lƣợc tin - Tính tốn tóm lƣợc tin hàm Hash SHA - Xây dựng chƣơng trình mơ - Kết luận Hệ mật mã khố cơng khai triển khai giải pháp xác thực RSA: - Tổng quan hệ mật khố cơng khai RSA - Chữ ký số điện tử RSA - Triển khai giải pháp xác thực ngƣời dùng SercurID - Authentication RSA cho xí nghiệp vùa nhỏ: - Kết kuận Phần kết luận chung 11 hầu hết số ngƣời sử dụng quên mật khẩu, mật bị hết hạn sử dụng, Trƣớc phận hỗ trợ kỹ thuật giải đƣợc vấn đề, ngƣời sử dụng đăng nhập đƣợc vào hệ thống làm việc đƣợc dẫn đến giảm suất lao động Tất điều làm chi phí giải pháp xác thực mật thực tế cao Với tất nhƣợc điểm trên, thấy xác thực mật đảm bảo đƣợc an toàn độ tin cậy lĩnh vực nhậy cảm nhƣ ngành: ngân hàng, tài chính, bƣu điện, dịch vụ y tế, nơi mà thơng tin cần phải đƣợc giữ bí mật tuyệt đối 3.3.3 Giải pháp xác thực hai yếu tố SECURID RSA (Two - Factors Authentication) Với việc sử dụng giải pháp xác thực truyền thống không an toàn, ngƣời ta cần giải pháp xác thực tốt môi trƣờng kinh doanh Một giải pháp xác thực đƣợc gọi tốt mà đáp ứng đƣợc yêu cầu chủ yếu sau:  Chi phí thấp  Dễ dàng, thuận tiện cho ngƣời sử dụng sử dụng đƣợc nhiều hệ thống  Khả mở rộng tƣơng thích với hệ thống khác tốt Để đáp ứng đƣợc yêu cầu an ninh mạng nay, RSA đƣa giải pháp xác thực ngƣời dùng đƣợc gọi giải pháp xác thực dựa hai yếu tố SecurID Chúng ta xem xét ví dụ sau (Hình 1): muốn rút tiền từ máy ATM, anh/chị ta cần phải có đủ hai yếu tố sau: (a) thẻ ATM (ATM card) (b) mã số cá nhân hay đƣợc gọi PIN (Personal Identification Number) 95 Hình 3.9 Xác thực hai yếu tố õy, nu muốn rút đƣợc tiền ngƣời khác bắt buộc phải có đủ hai yếu tố thẻ ATM số PIN Nếu chủ sở hữu có bị thẻ ngƣời cầm thẻ khơng thể rút đƣợc tiền hay có đánh cắp đƣợc số PIN phải có thẻ ATM tiến hành rút tiền đƣợc Đây giải pháp xác thực ngƣời dùng hai yếu tố Hai yếu tố là: thẻ ATM (cái mà bạn có) số PIN (cái mà có bạn biết) Giải pháp xác thực hai yếu tố SecurID RSA hoạt động theo nguyên tắc trên: để đăng nhập vào hệ thống, bạn phải có đủ hai yếu tố: mà bạn biết mà bạn có 96 Hình 3.10 Mơ hình giải pháp xác thực hai yếu tố SecurID RSA Giải pháp RSA SecurID® gồm có ba thành phần sau:  RSA SecurID ® Authenticators: thiết bị đƣợc gắn với ngƣời sử dụng Chúng phần cứng phần mềm đƣợc gọi Token Nếu phần mềm, chúng đƣợc cài đặt lên máy tính xách tay thiết bị cầm tay nhƣ PDA, Wireless Phone, Các thiết bị tạo số khác khoảng thời gian định Khách hàng lựa chọn thiết bị phù hợp với nhu cầu 97 Hình 3.11 Giải pháp ba thành phần  RSA ACE/Agent Software: phần mềm đƣợc cài lên điểm truy cập vào mạng (Ví dụ: gateway, VPN, Remote Access Server, ), máy chủ (Server) tài nguyên thông tin cần đƣợc bảo vệ Nó hoạt động giống nhƣ ngƣời gác cửa Khi có yêu cầu đăng nhập ngƣời sử dụng gửi đến, tiếp nhận chuyển thơng tin đăng nhập tới máy chủ có thành phần RSA ACE/Server để thực xác thực Hầu hết sản phẩm router, remote access Server, firewall, VPN, wireless access, hãng sản xuất hàng đầu giới tích hợp sẵn thành phần sản phẩm Đây lợi ích vơ quan trọng cho giải pháp RSA SecurID  RSA ACE/Server: thành phần quản trị giải pháp RSA SecurID đƣợc sử dụng để kiểm tra yêu cầu xác thực quản trị tập trung sách xác thực tồn mạng doanh nghiệp RSA ACE/Server đƣợc mở rộng theo nhu cầu doanh nghiệp RSA ACE/Server có khả xác thực đƣợc hàng triệu ngƣời sử dụng, xác thực ngƣời dùng mạng cục bộ, ngƣời dùng truy cập từ xa, ngƣời dùng qua VPN, RSA ACE/Server tƣơng thích hồn toàn với thiết bị mạng, RAS, VPN, Access Point, tất hãng sản xuất lớn giới Do vậy, với giải pháp SecurID RSA, ngƣời dùng hồn tồn khơng phải lo lắng tới vấn đề tƣơng thích 98 Giải pháp xác thực RSA SecurID hoạt động nhƣ nào? Nhƣ đề cập trên, SecurID bao gồm ba thành phần Thành phần RSA SecurID Authenticators hay đƣợc gọi Token đƣợc trao cho ngƣời sử dụng Thành phần có nhiều loại khác (là hardware token software token) nhƣng có chức tạo số khác sau khoảng thời gian định (thông thƣờng phút) Giả sử ngƣời sử dụng hệ thống đƣợc cấp phát Token, đăng nhập vào hệ thống, ngƣời sử dụng đƣợc yêu cầu nhập tên đăng nhập (ví dụ: JSMITH) dẫy số đƣợc gọi Passcode Dẫy số gồm có hai thành phần số PIN dẫy số xuất token (Token code) ngƣời vào thời điểm đăng nhập Tất thơng tin (Tên đăng nhập Passcode) đƣợc thành phần RSA ACE/Agent tiếp nhận thành phần lại gửi thông tin đến RSA ACE/Server Server có số PIN ngƣời sử dụng sở liệu Ngồi ra, có chế cho phép tính tốn dãy số ACE/Server ghép số PIN sở liệu dẫy số với sau so sánh với Passcode ngƣời sử dụng cung cấp Nếu hai dẫy số giống nhau, ngƣời dùng đƣợc xác thực hợp lệ đƣợc quyền đăng nhập vào mạng Trong trƣờng hợp ngƣợc lại, quyền truy cập bị từ chối Hoặc đƣợc chấp nhận truy cập không, thông tin đƣợc RSA ACE/Server gửi đến ngƣời sử dụng thông qua thành phần RSA ACE/Agent 99 Authenticator ACE/Agent RSA ACE/Server Access Request (Encrypted) User-ID: JSMITH passcode: 1359 234836 Access Accept (Encrypted) Algorithm 1359 234836 PIN: 1359 Algorithm  Clock 1110110100 0101010110 1010101010 0101001010 1001010100 1010001010 1001010100 1110110101 0101000111 128-bit seed number Người sử dụng đăng nhập vào hệ thống bảo vệ SecurID, người sử dụng yêu cầu nhập tên đăng nhập Passcode  Clock 111011010001 010101101010 101010010100 101010010101 001010001010 100101010011 101101010101 000111 128-bit seed number PIN database Hình 3.12 Hoạt động RSA SecurID Authentication Cơ chế để RSA ACE/Server tính tốn đƣợc dẫy số để so khớp với dẫy số token ngƣời sử dụng tƣơng đối đơn giản Nhƣ đƣợc minh hoạ hình 4, để tạo đƣợc dẫy số thay đổi sau khoảng thời gian, token có thành phần sau:  Một đồng hồ bên (tính theo UTC)  Một số Seed có độ dài 64 128 bits  Thuật toán tạo số giả ngẫu nhiên Với hai yếu tố thời gian số seed, sau áp dụng thuật tốn tạo số giả ngẫu nhiên, token có số xuất hình (token code) sau khoảng thời gian xác định, thuật toán lại tạo đƣợc số khác ứng với thời gian Thuật tốn ln tạo đƣợc số thay đổi theo thời gian khơng lặp lại Do vậy, việc dự đốn trƣớc số xuất số xuất thời điểm 100 tƣơng lai khơng thể (chỉ thực đƣợc có số seed thuật tốn) Khi gán token cho ngƣời sử dụng, quản trị mạng phải cập nhật số seed token vào sở liệu RSA ACE/Server tƣơng ứng với ngƣời dùng Trên RSA ACE/Server có chƣơng trình chạy thuật tốn tạo số giả ngẫu nhiên giống với token Khi có yêu cầu đăng nhập ngƣời sử dụng, vào tên đăng nhập, vào đồng hồ hệ thống, vào số seed đƣợc lƣu sở liệu, chạy thuật toán tạo số giả ngẫu nhiên, RSA ACE/Server có đƣợc dẫy số giống với dẫy số token ngƣời sử dụng thời điểm Dãy số đƣợc ghép với số PIN ngƣời sử dụng sở liệu, RSA ACE/Server kiểm tra đƣợc ngƣời sử dụng có hợp lệ hay khơng Điều xảy đồng hồ token đồng hồ RSA ACE/Server khơng giống nhau? Trong thực tế điều luôn xảy Tuy vậy, RSA ACE/Server ghi nhận lại sai lệch thời gian token đăng nhập RSA ACE/Server chấp nhận passcode ngƣời sử dụng nằm khoảng thời gian sai lệch Ví dụ, RSA ACE/Server ghi nhận sai lệch token với phút chấp nhận passcode ngƣời sử dụng mà rơi vào khoảng thời gian trƣớc thời điểm đăng nhập phút, thời điểm sau thời điểm phút Khoảng thời gian sai lệch tối đa cho phép thay đổi đƣợc RSA ACE/Server Nhƣ đƣợc mơ tả hình 2, token ngƣời sử dụng có nhiều loại khác Căn vào nhu cầu thực tế, tổ chức triển khai giải pháp xác thực RSA SecurID lựa chon thiết bị phù hợp với yêu cầu Thành phần RSA ACE/Agent đƣợc cài lên nhiều điểm khác hệ thống Nó đƣợc cài lên điểm truy cập vào mạng nhƣ 101 gateway, RAS, VPN, nhƣ cài lên Server Windows, Novell, đƣợc tích hợp sẵn tất sản phẩm hãng sản xuất lớn nhƣ Microsoft, Nokia, CheckPoint, Cisco, Nortel Thành phần RSA ACE/Server thực thành phần quan trọng giải pháp Để hoạt động đƣợc liên tục thuận lợi cho trình xác thực ngƣời sử dụng, RSA ACE/Server đƣợc cài lên nhiều Server có máy đóng vai trị (ACE/Server Primary ) máy cịn lại đóng vai trị (ACE/Server Replica) Các máy đƣợc đặt phân tán ln đƣợc đồng với máy Khi máy khơng thể hoạt động, máy đƣợc nâng cấp lên thành máy Q trình hoạt động không bị gián đoạn Những ƣu điểm giải pháp RSA SecurID:  Độ an toàn cao: đƣợc xác thực dựa hai yếu tố (PIN + Token code) ln thay đổi, có chặn bắt đƣợc passcode ngƣời sử dụng khơng thể sử dụng để đăng nhập vào hệ thống Do vậy, khắc phục đƣợc nhƣợc điểm lớn xác thực password cần chặn bắt đƣợc password sử dụng để đăng nhập  Quản lý password: nhƣợc điểm cố hữu password Nhƣng SercurID, đƣợc xác thực tập trung RSA ACE/Server ACE/Agent đƣợc cài đặt nhiều điểm, chí cần sử dụng token ngƣời sử dụng xác thực đƣợc đâu mạng, tránh đƣợc việc phải sử dụng nhiều password  Thuận tiện: với nhiều lựa chọn cho thành phần RSA SecurID Authenticators, ngƣời sử dụng lựa chọn đƣợc thành phần thích hợp cho  Khả mở rộng: với việc đƣợc cài đặt RSA ACE/Server lên nhiều máy chủ, tổ chức có nhiều chi nhánh cung cấp khả xác 102 thực thơng qua máy chủ đƣợc đặt chi nhánh thay phải sử dụng kết nối đắt tiền trung tâm để xác thực Ngƣời dùng SecurID tổ chức đăng nhập thông qua tổ chức khác miễn RSA ACE/Server hai tổ chức tin cậy (Trusted) lẫn  Hoạt động liên tục: máy chủ hoạt động đƣợc, máy chủ đƣợc nâng cấp lên thành máy chủ Điều đảm bảo hệ thống hoạt động đƣợc liên tục ổn định  Chi phí thấp: với việc khơng phải sử dụng quản lý nhiều password, ngƣời sử dụng yêu cầu hỗ trợ từ phận kỹ thuật, vậy, chi phí cho hỗ trợ kỹ thuật giảm suất lao động tăng lên Với ƣu điểm trên, thấy giải pháp xác thực ngƣời sử dụng RSA SecurID thực giải pháp tối ƣu Trong hệ thống, với cá nhân có quyền truy cập vào thông tin quan trọng nhậy cảm nhƣ lãnh đạo tổ chức, phịng kế tốn, quản trị hệ thống, sử dụng giải pháp xác thực giảm nhiều đến mức thấp nguy nhƣ bị đánh cắp thông tin hay phá hoại xuống đến mức thấp 103 3.4 Kết luận chƣơng Nội dung chủ yếu chƣơng trình bày chi tiết giải pháp xác thực chữ ký số điện tử sỏ ứng dụng Hệ mật mã khố cơng khai RSA Các kết thu đƣợc chƣơng hoàn toàn phù hợp với vấn đề đặt Đồng thời giới thiệu việc triển khai ứng dụng có kết Hệ thống xác thực ngƣời dùng SercurID Authentication RSA dùng cho xí nghiệp vừa nhỏ Hệ thống đƣợc triển khai Phịng nghiên cứu “An tồn Internet Thƣơng mại điện tử / VISL (Viet nam Information Security Lab) hoạt động ổn định tin cậy 104 KẾT LUẬN CHUNG Bản luận văn Thạc sỹ kỹ thuật đề tài “ Nghiên cứu mã hoá tin phƣơng pháp xác thực ngƣời dùng theo hệ mật mã khố cơng khai RSA” đạt đƣợc điểm sau: Sau giới thiệu phân tích cấu trúc mạng, xác định sách an ninh mạng, xây dựng cấu trúc mạng an tồn; luận văn trình bày sở tốn học chủ yếu để mơ hàm HASH, đồng thời sau nghiên cứu mã hoá tin, luận văn xây dựng chƣơng trình mơ đạt kết tốt; luận văn nghiên cứu triển khai giải pháp xác thực ngƣời dùng theo hệ mật khoá công khai RSA Các kết thu đƣợc luận văn phù hợp với thực tế Qua nghiên cứu ta rút số nhận xét mật mã khoa cơng khai nhƣ sau: So với mật mã bí mật, mật mã khố cơng khai có nhiều ƣu điểm nhƣ: - Giữ an tồn (bí mật) tin đƣợc gửi từ cá nhân tới tổ chức cá nhân với cá nhân - Giảm nhẹ độ phức tạp việc phân phối khố ta khơng phảI bảo mật khố - Mật mã khố cơng khai dễ dàng triển khai mạng - Mật mã khố cơng khai đảm bảo an tồn thơng tin nhờ việc đƣa kỹ thuật chữ ký số điện tử nhằm cho phép phát chống việc giả mạo tin gửi Tuy nhiên với khoảng thời gian có hạn trình độ cịn nhiều hạn chế nên luân văn không tránh khỏi sai sót, kính mong thầy bạn đọc thơng cảm đóng góp ý kiến để tác giả có điều kiện nâng cao kiến thức Đƣợc giúp đỡ thầy cô giáo Trƣờng Đại học Công nghệ/ Đại học Quốc gia Hà nội giáo viên hƣớng dẫn em hoàn thành luân văn cao học Nhân dịp em xin bày tỏ lịng biết ơn thầy giáo, cảm ơn Trƣờng Đại học công nghệ đào tạo cho em mảng 105 kiến thức mới, cảm ơn Trung tâm Khoa học Kỹ thuật Cơng nghệ/Bộ Quốc phịng, Phịng thí nghiệm trọng điểm an tồn thơng tin quốc gia - VISL (Viet nam Information Security Lab ) tạo điều kiện cho em triển khai nội dung nghiên cứu luận văn này; đồng thời em xin chân thành cảm ơn Thầy hƣớng dẫn Đại tá Nghiên cứu viên cao cấp - Tiến sỹ Thái Danh Hậu (Giám đốc VISL/Trung tâm Khoa học Kỹ thuật Công nghệ/Bộ QP) tận tình giúp đỡ bảo cho em trình làm luận văn Thạc sỹ kỹ thuật 106 DANH MỤC CƠNG TRÌNH TÁC GIẢ Giải pháp tạo chữ ký điện tử văn Ms Word phục vụ giao dịch điện tử, Tạp chí nghiên cứu khoa học kỹ thuật cơng nghệ quân sự, số 18/ 3-2007 Đồng tác giả: Nguyễn Đức Sử, Nguyễn Đức Mạnh, Nguyễn Đình Phùng, Trần Mạnh Hà 107 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Ban từ điển nhà xuất khoa hoc kỹ thuật (2001), Từ điển an tồn thơng tin Anh-Việt Việt Anh, NXB khoa học Kỹ thuật, Hà Nội [2] Nguyễn Bình (1996), Mật mã lý thuyết thực hành, Viện kỹ thuật thơng tin, Hà Nội [3] Phan Đình Diệu(2006), Lý thuyết mật mã An tồn thơng tin, NXB Đại học quốc gia Hà Nội [4] Học viện Cơng nghệ bƣu chính_viễn thơng(2001), An tồn bảo mật tin tức mạng, NXB Bƣu điện, Hà Nội, [5] Tống Đình Quỳ (2000), Ngơn ngữ lập trình C++ , Nxb Thống kê [6] Nguyễn Tiến, Đặng Xuân Hƣờng, Phạm Kỳ (2002), Giao trình C++ lập trình hƣớng đối tƣợng, NXB Thống kê [7] Nguyễn Tiến, Nguyễn Văn Tâm, Nguyễn Văn Hồi, Trƣơng Ngọc An (1999), Kỹ lập trình Visual C++6, Nxb Giáo dục Tiếng Anh [8] A.Menezes, P.Van Oorchot and S.Vanstone (1996), Handbook of Appied Cryptograph, CRC press Boca Raton [9] Bruce Schneier (1996), Aplied Cryptograph, John Wiley & Son, Inc [10] B.den Boer, and A Bosselaers (1992), an Attack on the Last Two Rounds of MD4 In Advances in Crypannaly-Crypto 91, pp 194 - 203, SpringerVerlag [11] Chris Menab(2004), Network Sercurity Asseement, O reilly Publishing, [12] Dan Sullyvan, Sercurity Management, Syngress Publishing, 2004 [13] Douglas R Stinson (1995) Cryptography Theory and Practice, CRC press [14] H.Davenport (1999), The higher Aitrthmetic,Cambrige University press [15] Information Technology Securiy Evaluation Criteria, Bonn, May 1990 108 [16] H Dobbertin (1996), Cryptanalysis of MD5 Compress Presented at the rump session of Eurocrypt 96, May 14, 1996 [17] National Institute of Standards and Technology (2002), FIPS Publication 180-2 Secure Hash Standard [18] National Institute of Standards and Technology (1994), FIPS Publication 180-1 Secure Hash Standard [19] Syngress, Sercurity Assessment, Syngress Publishing, 2004 [20] William Stalling (1997), Cryptograph and netword security, Pretice Hall Upper Saddle River, New Jersey [21] Vitor Shoup(2003) A computational introduction to Number Theory and Algebra, , New York University 109