Đang tải... (xem toàn văn)
Bài giảng An ninh mạng – Chương 5: Các ứng dụng xác thực (TS Nguyễn Đại Thọ) với các nội dung một hội thoại xác thực đơn giản; mô hình tổng quan Kerberos; phân hệ Kerberos; dịch vụ xác thực X.509; phân cấp X.509; thu hồi chứng thực; các thủ tục xác thực.
Chương CÁC ỨNG DỤNG XÁC THỰC Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 128 https://fb.com/tailieudientucntt Giới thiệu • Mục đích ứng dụng xác thực hỗ trợ xác thực chữ ký số mức ứng dụng • Phân làm loại – Dựa mã hóa đối xứng • Dịch vụ Kerberos • Giao thức Needham-Schroeder – Dựa khóa cơng khai chứng thực • Dịch vụ X.509 • Hệ thống PGP Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 129 https://fb.com/tailieudientucntt Kerberos • Hệ thống dịch vụ xác thực phát triển MIT • Nhằm đối phó với hiểm họa sau – Người dùng giả danh người khác – Người dùng thay đổi địa mạng client – Người dùng xem trộm thông tin trao đổi thực kiểu cơng lặp lại • Bao gồm server tập trung có chức xác thực người dùng server dịch vụ phân tán – Tin cậy server tập trung thay client – Giải phóng chức xác thực khỏi server dịch vụ client Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 130 https://fb.com/tailieudientucntt Ký hiệu – – – – – – – – – – – C : Client AS : Server xác thực V : Server dịch vụ IDC : Danh tính người dùng C IDV : Danh tính V PC : Mật người dùng C ADC : Địa mạng C KV : Khóa bí mật chia sẻ AS V ║ : Phép ghép TGS : Server cấp thẻ TS : Nhãn thời gian Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 131 https://fb.com/tailieudientucntt Một hội thoại xác thực đơn giản • Giao thức (1) C AS : IDC ║ PC ║ IDV (2) AS C : Thẻ (3) C V : IDC ║ Thẻ Thẻ = EKV[IDC ║ ADC ║ IDV] • Hạn chế – Mật truyền từ C đến AS không bảo mật – Nếu thẻ sử dụng lần phải cấp thẻ cho lần truy nhập dịch vụ – Nếu thẻ sử dụng nhiều lần bị lấy cắp để sử dụng trước hết hạn – Cần thẻ cho dịch vụ khác Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 132 https://fb.com/tailieudientucntt Hội thoại xác thực Kerberos (a) Trao đổi với dịch vụ xác thực : để có thẻ cấp thẻ (1) C AS : IDC ║ IDtgs ║ TS1 (2) AS C : EKC[KC,tgs ║ IDtgs ║ TS2 ║ Hạn2 ║ Thẻtgs] Thẻtgs = EKtgs[KC,tgs ║ IDC ║ ADC ║ IDtgs ║ TS2 ║ Hạn2] (b) Trao đổi với dịch vụ cấp thẻ : để có thẻ dịch vụ (3) C TGS : IDV ║ Thẻtgs ║ DấuC (4) TGS C : EKC,tgs[KC,V ║ IDV ║ TS4 ║ ThẻV] ThẻV = EKV[KC,V ║ IDC ║ ADC ║ IDV ║ TS4 ║ Hạn4] DấuC = EKC,tgs[IDC ║ ADC ║ TS3] (c) Trao đổi xác thực client/server : để có dịch vụ (5) C V : ThẻV ║ DấuC (6) V C : EKC,V[TS5 + 1] DấuC = EKC,V[IDC ║ ADC ║ TS5] Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 133 https://fb.com/tailieudientucntt Mơ hình tổng quan Kerberos Mỗi phiên người dùng lần AS Client TGS Mỗi dịch vụ lần Server dịch vụ Mỗi phiên dịch vụ lần Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 134 https://fb.com/tailieudientucntt Phân hệ Kerberos • Một phân hệ Kerberos bao gồm – Một server Kerberos chứa CSDL danh tính mật băm thành viên – Một số người dùng đăng ký làm thành viên – Một số server dịch vụ, server có khóa bí mật riêng chia sẻ với server Kerberos • Mỗi phân hệ Kerberos thường tương ứng với phạm vi hành • Hai phân hệ tương tác với server chia sẻ khóa bí mật đăng ký với – Điều kiện phải tin tưởng lẫn Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 135 https://fb.com/tailieudientucntt Phân hệ A Yêu cầu thẻ cho TGS cục Thẻ cho TGS cục Yêu cầu thẻ cho TGS xa Thẻ cho TGS xa Yêu cầu thẻ cho server xa Thẻ cho server xa Yêu cầu dịch vụ xa Phân hệ B Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 136 https://fb.com/tailieudientucntt Kerberos • Phát triển vào năm 1990 (sau Kerberos vài năm) đặc tả RFC 1510 • Có số cải tiến so với phiên – Khắc phục khiếm khuyết mơi trường • Phụ thuộc giải thuật mã hóa, phụ thuộc giao thức mạng, trật tự byte thông báo không theo chuẩn, giá trị hạn dùng thẻ q nhỏ, khơng cho phép ủy nhiệm truy nhập, tương tác đa phân hệ dựa nhiều quan hệ tay đơi – Khắc phục thiếu sót kỹ thuật • Mã hóa hai lần có lần thừa, phương thức mã hóa PCBC để đảm bảo tính tồn vẹn khơng chuẩn dễ bị cơng, khóa phiên sử dụng nhiều lần bị khai thác để cơng lặp lại, bị cơng mật Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 137 https://fb.com/tailieudientucntt Dịch vụ xác thực X.509 • Nằm loạt khuyến nghị X.500 ITU-T nhằm chuẩn hóa dịch vụ thư mục – Servers phân tán lưu giữ CSDL thông tin người dùng • Định cấu cho dịch vụ xác thực – Danh bạ chứa chứng thực khóa cơng khai – Mỗi chứng thực bao gồm khóa công khai người dùng ký bên chuyên trách chứng thực đáng tin • Định giao thức xác thực • Sử dụng mật mã khóa cơng khai chữ ký số – Khơng chuẩn hóa giải thuật khuyến nghị RSA Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 138 https://fb.com/tailieudientucntt Khuôn dạng X.509 Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 139 https://fb.com/tailieudientucntt Nhận chứng thực • Cứ có khóa cơng khai CA (cơ quan chứng thực) xác minh chứng thực • Chỉ CA thay đổi chứng thực – Chứng thực đặt thư mục cơng khai • Cấu trúc phân cấp CA – Người dùng chứng thực CA đăng ký – Mỗi CA có hai loại chứng thực • Chứng thực thuận : Chứng thực CA CA cấp • Chứng thực nghịch : Chứng thực CA cấp CA • Cấu trúc phân cấp CA cho phép người dùng xác minh chứng thực CA Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 140 https://fb.com/tailieudientucntt Phân cấp X.509 Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 141 https://fb.com/tailieudientucntt Thu hồi chứng thực • Mỗi chứng thực có thời hạn hợp lệ • Có thể cần thu hồi chứng thực trước hết hạn – Khóa riêng người dùng bị tiết lộ – Người dùng khơng cịn CA chứng thực – Chứng thực CA bị xâm phạm • Mỗi CA phải trì danh sách chứng thực bị thu hồi (CRL) • Khi nhận chứng thực, người dùng phải kiểm tra xem có CRL khơng Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 142 https://fb.com/tailieudientucntt Các thủ tục xác thực Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 143 https://fb.com/tailieudientucntt ... thay client – Giải phóng chức xác thực khỏi server dịch vụ client Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 130 https://fb.com/tailieudientucntt Ký hiệu – – – – – – – – – – – C : Client... chứng thực – Chứng thực đặt thư mục cơng khai • Cấu trúc phân cấp CA – Người dùng chứng thực CA đăng ký – Mỗi CA có hai loại chứng thực • Chứng thực thuận : Chứng thực CA CA cấp • Chứng thực nghịch... X.509 Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 139 https://fb.com/tailieudientucntt Nhận chứng thực • Cứ có khóa cơng khai CA (cơ quan chứng thực) xác minh chứng thực • Chỉ CA thay đổi chứng