1 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG GIANG NGUYÊN VIỆT ĐẢM BẢO AN TOÀN BẢO MẬT CHO MẠNG THÔNG TIN DỮ LIỆU CHUYÊN DÙNG Chuyên nghành: Truyền liệu Mạng máy tính Mã số: 60.48.15 Người hướng dẫn khoa học: PGS.TS Lê Hữu Lập TÓM TẮT LUẬN VĂN THẠC SỸ HÀ NỘI - 2011 MỞ ĐẦU Vấn đề đảm bảo an ninh, an tồn thơng tin liệu nội dung nghiên cứu thiết thực, chủ đề cấp, ngành quan tâm lĩnh vực công nghệ thông tin Nhu cầu đảm bảo an ninh thông tin liệu mạng máy tính cấp thiết hoạt động kinh tế xã hội, đặc biệt mạng máy tính chun dùng phục vụ cơng tác an ninh, quốc phòng, đối ngoại quan Đảng, Nhà nước Thực tế ứng dụng công nghệ thông tin lĩnh vực liên quan đến an ninh trị, quốc phịng ln gặp phải rủi ro đột nhập trái phép, công, lấy cắp thông Xuất phát từ nhu cầu công việc, với đề tài “Đảm bảo an tồn bảo mật cho mạng thơng tin liệu chuyên dùng”, luận văn sâu nghiên cứu tìm hiểu: Một số giải pháp đảm bảo an ninh, an tồn thơng tin cho hệ thống mạng máy tính nói chung mạng thơng tin chun dùng nói riêng; Nghiên cứu kỹ thuật, cơng nghệ thuật tốn mật mã khóa cơng khai (PKI); Ứng dụng thử nghiệm PKI để bảo mật thông tin mạng thông tin liệu chuyên dùng Luận văn gồm Chương: Chương Tổng quan (1.1 Đặc điểm mạng chuyên dùng; 1.2 Những vấn đề đảm bảo an ninh, an toàn mạng chuyên dùng) Chương Một số giải pháp đảm bảo an toàn an ninh cho hệ thống mạng (2.1 Firewall; 2.2 IP Security; 2.3 Bảo mật Web; 2.4 Mã hố cơng khai chứng thực thơng tin) Chương Ứng dụng thử nghiệm PKI để bảo mật thông tin mạng thông tin liệu chuyên dùng (3.1 Mục đích ứng dụng thử nghiệm; 3.2 Sơ đồ chức năng) Luận văn trình bày nội dung bản, nội dung đề cập sâu sở cho giải pháp ứng dụng PKI cho số ứng dụng dịch vụ truyền thông tin mạng thơng tin liệu chun dùng Giải pháp có ý nghĩa thiết thực việc thiết kế an toàn cho dịch vụ truyền thơng tin liệu Mặc dù có nhiều cố gắng lực thời gian hạn chế, luận văn khơng tránh khỏi thiếu sót, mong Thầy, Cơ đồng nghiệp đóng góp ý kiến xây dựng Xin chân thành cảm ơn ! Chương - TỔNG QUAN 1.1 Đặc điểm mạng chun dùng Luật Viễn thơng có nêu: Mạng chun dùng mạng dùng để phục vụ thông tin đặc biệt quan Đảng, Nhà nước, phục vụ thơng tin Quốc phịng, An ninh Mạng máy tính chun dùng thiết kế, xây dựng sử dụng vào mục đích quản lý, lưu trữ trao đổi thơng tin liệu mang tính mật quan Đảng, Nhà nước 1.2 Những vấn đề đảm bảo an ninh, an toàn mạng chuyên dùng 1.2.1 Nguy đe dọa an ninh, an tồn thơng tin Nguy an tồn thơng tin nhiều ngun nhân, đối tượng công đa dạng… Thiệt hại từ vụ công mạng lớn, đặc biệt thơng tin thuộc lĩnh vực an ninh, quốc phịng Do đó, việc xây dựng hàng rào kỹ thuật để ngăn chặn truy cập trái phép trở thành nhu cầu cấp bách hoạt động truyền thông Theo số liệu thống kê, Việt Nam đứng thứ khu vực Đông Nam hoạt động công mạng Thực tế, nguy an ninh an tồn mạng máy tính cịn phát sinh từ bên Nguy an ninh từ bên xảy thường lớn nhiều, nguyên nhân người sử dụng có quyền truy nhập hệ thống nắm điểm yếu hệ thống hay vô tình tạo hội cho đối tượng khác xâm nhập hệ thống Tóm lại, phát triển khơng ngừng lĩnh vực công nghệ thông tin tạo điều kiện thuận lợi cho đời sống xã hội, bên cạnh thuận lợi, có nhiều khó khăn để tìm giải pháp bảo mật thông tin liệu 1.2.2 Các giải pháp đảm bảo an ninh Việc đảm bảo an ninh an tồn cho mạng máy tính có ba giải pháp chủ yếu sau: - Giải pháp phần cứng - Giải pháp phần mềm - Giải pháp người Giải pháp phần cứng giải pháp sử dụng thiết bị vật lý hệ thống máy chun dụng, thiết lập mơ hình mạng Giải pháp phần cứng thông thường kèm hệ thống phần mềm điều khiển tương ứng Đây giải pháp không phổ biến, thiếu linh hoạt khơng phù hợp, chi phí đầu tư trang thiết bị cao Giải pháp phần mềm phụ thuộc hay không phụ thuộc vào phần cứng Như giải pháp: xác thực, mã hoá liệu, mạng riêng ảo, hệ thống tường lửa Đảm bảo an ninh, an toàn thông tin phụ thuộc nhiều vào yếu tố người, cần phải có chế tài mạnh để định hướng người sử dụng khai thác, sử dụng thông tin 1.2.3 Bảo mật hệ thống mạng máy tính 1.2.3.1 Những vấn đề chung bảo mật hệ thống mạng máy tính Mạng máy tính có nhiều người sử dụng chung nên để bảo vệ thông tin phức tạp Nhiệm vụ người quản trị phải đảm bảo thông tin mạng tin cậy, trì mạng hoạt động ổn định khơng bị cơng 1.2.3.2 Một số khái niệm lịch sử bảo mật hệ thống a Đối tượng công mạng: - Là đối tượng sử dụng kỹ thuật mạng để dò tìm lỗ hổng bảo mật hệ thống để thực xâm nhập chiếm đoạt thông tin bất hợp pháp - Các đối tượng công mạng: + Hacker: Xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu hệ thống + Masquerader: Giả mạo thông tin, địa IP, tên miền, định danh người dùng… + Eavesdropping: Là đối tượng nghe trộm thông tin mạng để lấy cắp thông tin b Các lỗ hổng bảo mật: - Là điểm yếu hệ thống mà dựa vào đối tượng cơng xâm nhập trái phép vào hệ thống c Chính sách bảo mật: Chính sách bảo mật tập hợp quy tắc áp dụng cho người tham gia quản trị mạng, có sử dụng tài nguyên dịch vụ mạng 1.2.2.3 Các loại lỗ hổng bảo mật phương thức công mạng a Các loại lỗ hổng: Thông thường loại lỗ hổng phân làm ba loại sau: - Lỗ hổng loại C: Cho phép thực hình thức công theo kiểu DoS (Denial of Services-Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ, ngưng trệ gián đoạn hệ thống, không phá hỏng liệu đoạt quyền truy cập hệ thống - Lỗ hổng loại B: Lỗ hổng cho phép người sử dụng có thêm quyền hệ thống mà khơng cần kiểm tra tính hợp lệ dẫn đến lộ lọt thơng tin - Lỗ hổng loại A: Cho phép người hệ thống truy cập bất hợp pháp vào hệ thống, phá huỷ tồn hệ thống Lỗ hổng thường có hệ thống quản trị yếu, khơng kiểm sốt cấu hình mạng máy tính b Các hình thức cơng mạng phổ biến: - Scanner: Là chương trình tự động rà soát phát điểm yếu bảo mật trạm làm việc xa - Password Cracker: Là chương trình có khả giải mã mật mã hố vơ hiệu hố chức bảo vệ mật hệ thống - Sniffer: Là công cụ bắt thông tin trao đổi mạng máy tính - Trojans: Là chương trình thực khơng hợp lệ cài đặt hệ thống 1.2.4 Vấn đề bảo mật cho mạng máy tính Chính bảo mật thơng tin liệu lưu trữ, thơng tin trao đổi bên ngồi từ bên vào mạng Dưới vài giải pháp tăng cường bảo mật cho mạng 1.2.4.1 Mạng riêng ảo (Virtual Private Network- VPN) Là mở rộng mạng riêng thông qua sử dụng kết nối mạng công cộng VPN sử dụng giao thức để tạo đường hầm truyền tin riêng với phương pháp mã hoá, xác thực… 1.2.4.2 Firewall (Firewall) Là kỹ thuật tích hợp vào hệ thống mạng để ngăn chặn truy cập trái phép nhằm bảo vệ nguồn thông tin lưu trữ nội Tóm lại, để đảm bảo an ninh, an tồn thơng tin trước nguy truy nhập trái phép, lấy cắp thông tin, người quản trị cần lựa chọn giải pháp tổng thể, đắn triển khai xây dựng hàng rào kỹ thuật tốt tạo nên khả bảo vệ thông tin hiệu Chương - MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN, AN NINH CHO HỆ THỐNG 2.1 Firewall Firewall giải pháp bảo vệ mạng hiệu phổ biến 2.1.1 Khái niệm, chức năng, phân loại Firewall 2.1.1.1 Khái niệm Firewall Firewall thiết bị nhằm ngăn chặn truy nhập khơng hợp lệ từ mạng bên ngồi vào mạng bên Firewall bao gồm phần cứng phần mềm 2.1.1.2 Các chức Firewall Cho phép chặn dịch vụ truy nhập từ ngồi ngược lại; Kiểm sốt địa truy nhập dịch vụ sử dụng; Kiểm soát khả truy cập; Kiểm sốt nội dung thơng tin truyền tải; Ngăn ngừa cơng từ mạng bên ngồi 2.1.1.3 Phân loại Firewall Firewall có nhiều loại khác có ưu nhược điểm riêng Thơng thường Firewall chia làm loại: Firewall phần cứng Firewall phần mềm a Firewall phần cứng: Là thiết bị tích hợp định tuyến, quy tắc lọc gói tin đặt định tuyến Firewall dựa quy tắc để kiểm tra gói tin Mơ hình Firewall phần cứng (Hình 2.1) Internet Firewall Network Protection Hình 2.1: Mơ hình sử dụng Firewall phần cứng b Firewall phần mềm: Là phần mềm cho phép chuyển gói tin mà máy chủ nhận đến địa điểm theo yêu cầu, quy tắc lọc gói tin người sử dụng tự thiết lập Tại Hình 2.2 mơ hình sử dụng Firewall phần mềm Internet Computer Network Protection Hình 2.2: Mơ hình sử dụng Firewall phần mềm c Ưu nhược điểm Firewall: Firewall phần cứng thường sử dụng cho mạng lớn, Firewall nhận gói tin kiểm duyệt chuyển tiếp cho máy mạng, tốc độ Firewall phần mềm hoạt động chậm so với Firewall phần cứng nên ảnh hưởng đến tốc độ hệ thống mạng Firewall phần mềm sử dụng để đảm bảo an ninh cho mạng vừa, nhỏ có chi phí thấp, khơng ảnh hưởng đến tốc độ chuyển gói tin; Firewall phần mềm thực hệ điều hành định Firewall phần cứng thực độc lập Firewall phần mềm lọc nội dung gói tin cịn Firewall phần cứng lọc thơng tin gói tin, nội dung gói tin Firewall phần cứng khơng thể kiểm soát 2.1.1.4 Một số hệ thống Firewall khác a Packet-Filtering Router (Bộ định tuyến có lọc gói) - Hình 2.3 Có hai chức năng: chuyển tiếp truyền thơng hai mạng sử dụng quy luật lọc gói phép hay từ chối truyền thơng Quy luật lọc định nghĩa cho Host mạng nội quyền truy nhập trực tiếp tới Internet, Host Internet có số giới hạn truy nhập vào máy tính mạng nội Packet Filtering Router INTERNET LAN Hình 2.3: Mơ hình Packet-Filtering Router Ưu điểm: Cấu hình đơn giản, chi phí thấp; Trong suốt người dùng Hạn chế: Dễ bị công vào lọc cấu hình khơng hồn hảo b Screened Host Firewall - Hình 2.4 Bao gồm Packet-Filtering Router Bastion Host Screened Host Firewall cung cấp độ bảo mật cao Packet-Filtering Router, hệ thống thực bảo mật tầng mạng tầng ứng dụng Mô hình này, đối tượng cơng bị ngăn cản hai tầng bảo mật Clie INTERNET Bastion Host Client Packet filtering Router Information Server Clie LAN Client Hình 2.4: Mơ hình Screened Host Firewall c Demilitarized Zone (DMZ - khu vực phi quân sự) - Hình 2.5 Bao gồm hai Packet-Filtering Router Bastion Host, có độ an tồn cao cung cấp mức bảo mật mạng ứng dụng Mạng DMZ đóng vai trị độc lập đặt Internet mạng nội bộ, cấu hình cho hệ thống truy nhập số dịch vụ mà không kết nối trực tiếp với mạng DMZ Ưu điểm: Phải qua ba tầng bảo vệ: Router ngoài, Bastion Host Router 2.1.2 Các kiến trúc Firewall 2.1.2.1 Kiến trúc Dual-Homed Host Phải có hai Card mạng để giao tiếp với hai mạng khác đóng vai trò Router mềm Kiến trúc đơn giản, Dual-Homed-Host giữa, bên kết nối với Internet bên nối với mạng LAN 2.1.2.2 Kiến trúc Screened Host Có cấu trúc ngược lại với Dual-Homed Host, cung cấp dịch vụ từ Host bên mạng nội bộ, dùng Router độc lập với mạng bên ngoài, chế bảo mật kiến trúc phương pháp Packet Filtering 2.1.2.3 Kiến trúc Screen Subnet (Hình 2.5) Kiến trúc dựa tảng kiến trúc Screen Host cách thêm vào phần an tồn nhằm lập mạng nội khỏi mạng bên ngồi, tách Bastion Host khỏi Host thơng thường khác Kiểu Screen Subnet đơn giản bao gồm hai Screen Router: - Router ngoài: Nằm mạng ngoại vi mạng ngồi có chức bảo vệ cho mạng ngoại vi - Router trong: Nằm mạng ngoại vi mạng nội bộ, nhằm bảo vệ mạng nội trước ngồi mạng ngoại vi 2.1.3 Chính sách để xây dựng Firewall Một số giải pháp nguyên tắc xây dựng Firewall 2.1.3.1 Quyền hạn tối thiểu (Least Privilege) Nguyên tắc có nghĩa đối tượng hệ thống nên có quyền hạn định Bên Bastion Host INTERNET Router Inside ROUTER Bên LAN Information Server Hình 2.5: Mơ hình Screened-subnet Firewall 2.1.3.2 Bảo vệ theo chiều sâu (Defense in Depth) Lắp đặt nhiều chế an tồn để hỗ trợ lẫn Vì Firewall xây dựng theo chế có nhiều lớp bảo vệ hợp lý 2.1.3.3 Nút thắt (Choke Point) Một nút thắt bắt buộc kẻ đột nhập phải qua ngõ hẹp mà người quản trị kiểm sốt 2.1.3.4 Điểm xung yếu (Weakest Link) Cần phải tìm điểm yếu hệ thống để có phương án bảo vệ, tránh đối tượng công lợi dụng để truy cập trái phép 2.1.3.5 Hỏng an toàn (Fail-Safe Stance) Có nghĩa hệ thống hỏng phải hỏng theo cách để ngăn chặn truy nhập bất hợp pháp tốt kẻ công lọt vào phá hệ thống 2.1.3.6 Sự tham gia toàn cầu Các hệ thống mạng cần phải có biện pháp bảo vệ an tồn Nếu khơng, người truy nhập bất hợp pháp truy nhập vào hệ thống này, sau truy nhập sang hệ thống khác 2.1.3.7 Tính đa dạng việc bảo vệ Áp dụng nhiều biện pháp bảo vệ thông tin liệu hệ thống mạng theo chiều sâu 2.1.3.8 Tuân thủ nguyên tắc (Rule Base) Thực theo số quy tắc định, có gói tin qua Firewall phải dựa quy tắc đề để phân tích lọc gói tin 2.1.3.9 Xây dựng sách an tồn (Security Policy) Firewall phải thiết kế, xây dựng sách an tồn tạo sức mạnh hiệu cho Firewall Một số sách an tồn sau: + Hạn chế máy tính mạng nội truy nhập Internet + Thông tin vào mạng nội phải xác thực mã hoá 2.1.3.10 Thứ tự quy tắc bảng (Sequence of Rules Base) Cần phải quan tâm đến thứ tự, cấp độ quy tắc có số quy tắc đặc biệt Đa số Firewall kiểm tra gói tin cách liên tục, Firewall nhận gói tin, xem xét gói tin có với quy tắc hay khơng có quy tắc thoả mãn thực thi theo quy tắc 2.1.3.11 Các quy tắc (Rules Base) - Khơng có gói tin qua được, gói tin - Đầu tiên cho phép việc từ ngồi mà khơng có hạn chế - Hạn chế tất không cho phép xâm nhập vào Firewall - Không kết nối với Firewall, bao gồm Admin, phải tạo quy tắc phép Admin truy nhập vào Firewall 2.2 IP Security 2.2.1 Tổng quan IPsec (IP Security) bao gồm giao thức để bảo mật q trình truyền thơng tin tảng Internet Protocol (IP) Gồm xác thực và/hoặc mã hoá (Authenticating, Encrypting) cho gói IP (IP Packet) trình truyền thơng tin Giao thức IPsec làm việc tầng Network Layer mơ hình OSI- Hình 2.6 2.2.2 Cấu trúc bảo mật Khi IPsec triển khai, cấu trúc bảo mật gồm: Sử dụng giao thức cung cấp mật mã nhằm bảo mật gói tin; Cung cấp phương thức xác thực; Thiết lập thơng số mã hố Hình 2.6: Mơ hình OSI (Open System Interconnection) 2.2.3 Thực trạng IPsec phần bắt buộc IPv6, lựa chọn sử dụng IPv4 Trong chuẩn thiết kết cho phiên IP giống nhau, phổ biến áp dụng triển khai tảng IPv4 2.2.4 Thiết kế theo yêu cầu IPsec cung cấp Transport Mode (End-to-End) đáp ứng bảo mật máy tính giao tiếp trực tiếp với sử dụng Tunnel Mode (Portal-to-Portal) cho giao tiếp hai mạng với chủ yếu sử dụng kết nối VPN IPsec giới thiệu cung cấp dịch vụ bảo mật: + Mã hố q trình truyền thơng tin; Đảm bảo tính nguyên vẹn liệu; Được xác thực giao tiếp; Chống trình Replay phiên bảo mật; Modes - Các mode + Có hai mode thực IPsec là: Transport Mode: Chỉ liệu giao tiếp gói tin mã hố và/hoặc xác thực; Tunnel Mode: Tồn gói IP mã hố xác thực 2.2.5 Mơ tả kỹ thuật Có hai giao thức cung cấp để bảo mật cho gói tin hai phiên IPv4 IPv6: IP Authentication Header giúp đảm bảo tính tồn vẹn cung cấp xác thực IP Encapsulating Security Payload cung cấp bảo mật lựa chọn tính Authentication Integrity để đảm bảo tính tồn vẹn liệu 2.2.5.1 Giao thức Authentication Header (AH) AH sử dụng kết nối khơng có tính đảm bảo liệu Là lựa chọn nhằm chống lại công Replay Attack cách sử dụng công nghệ công Sliding Windows Discarding Older Packets Hình 2.7 mơ hình AH Các Modes thực hiện: Ý nghĩa phần: - Next Header: Nhận dạng giao thức sử dụng truyền thông tin - Payload Length: Độ lớn gói tin AH - Reserved: Sử dụng tương lai (được biểu diễn số 0) 10 Hình 2.7: Mơ hình hoạt động giao thức AH - Security Parameters Index (SPI): Nhận thông số bảo mật, tích hợp với địa IP, nhận dạng thương lượng bảo mật kết hợp với gói tin - Sequence Number: Một số tự động tăng lên gói tin, sử dụng nhằm chống lại công dạng replay attacks - Authentication Data: Bao gồm thơng số Integrity Check Value (ICV) cần thiết gói tin xác thực 2.2.5.2 Giao thức Encapsulating Security Payload (ESP) - Hình 2.8 Giao thức ESP cung cấp xác thực, tồn vẹn, bảo mật cho gói tin ESP hỗ trợ tính cấu hình sử dụng trường hợp cần bảo mã hoá cần cho Authentication, sử dụng mã hố mà khơng u cầu xác thực khơng đảm bảo tính bảo mật Hình 2.8: Mơ hình giao thức Encapsulating Security Payload Ý nghĩa phần: - Security Parameters Index (SPI): Nhận thơng số tích hợp với địa IP - Sequence Number: Tự động tăng có tác dụng chống công kiểu Replay Attacks - Payload Data: Cho liệu truyền - Padding: Sử dụng vài Block mã hoá - Pad Length: Độ lớn Padding 13 - Các cổng dịch vụ tương ứng mở Server - Số lượt truy cập, băng thông Website - Khảo sát ứng dụng Web: - Thăm dò, phát lỗi (Hình 2.11) - Khai thác lỗi để cơng: Đây giai đoạn quan trọng để phá hoại chiếm quyền điều khiển Website - Một vài cách thức công phổ biến: + SQL Injections: Là kỹ thuật cho phép kẻ công lợi dụng lỗ hổng việc kiểm tra liệu đưa vào ứng dụng Web để thi hành câu lệnh SQL bất hợp pháp + Session Hijacking: Là sử dụng phiên làm việc người dùng, tạo kết nối hợp lệ phương thức không hợp lệ + Local Attack: Là kiểu công nội từ bên trong, khái niệm xuất từ máy chủ mạnh lên thời gian gần 2.3.2.3 Các phương thức gây an toàn thơng tin từ phía người quản trị Hiện việc xây dựng ứng dụng Web với mã nguồn mở phát triển mạnh, Website có khả bị cơng 2.4 Mã hố cơng khai chứng thực thơng tin 2.4.1 Tổng quan hạ tầng sở mã khố cơng khai 2.4.1.1 Khái niệm hạ tầng sở mật mã khố cơng khai Là chế cho bên thứ cung cấp xác định định danh bên tham gia vào q trình trao đổi thơng tin Mục tiêu PKI cho phép người tham gia xác thực lẫn sử dụng thông tin từ chứng thực khố cơng khai để mã hố giải mã thông tin 2.4.1.2 Các dịch vụ phạm vi ứng dụng PKI 2.4.1.2.1 Các dịch vụ sử dụng PKI có khả đảm bảo yêu tố sau: - Bảo mật thông tin: Các thực thể không cấp quyền khó xem tin - Tồn vẹn thơng tin: Đảm bảo cho thơng tin khó bị thay đổi thực thể khơng cấp quyền - Xác thực thực thể: Các thực thể nhận tin biết giao dịch với thực thể - Chống chối bỏ: Các thực thể chối bỏ hành động thực - Tính pháp lý: Thông tin phải dạng cố định ký tất bên hợp pháp phải cho phép thực thẩm tra 2.4.1.2.2 Phạm vi ứng dụng PKI - PKI coi giải pháp hữu hiệu việc đảm bảo an ninh an tồn cho hệ thống thơng tin - Phạm vi ứng dụng PKI bao gồm: Mã hóa email xác thực người gửi email; Mã hóa nhận thực văn bản; Xác thực người dùng ứng dụng; Các giao thức truyền thơng an tồn trao đổi khóa khóa bất đối xứng, cịn mã hóa khóa đối xứng 2.4.1.3 Các thành phần PKI PKI bao gồm ba thành phần chính: - Phần 1: Tập hợp cơng cụ, phương tiện, giao thức đảm bảo an toàn thông tin - Phần 2: Hành lang pháp lý luật, qui định luật giao dịch điện tử 14 - Phần 3: Các tổ chức điều hành giao dịch điện tử (CA, RA, ) 2.4.1.4 Một số chức PKI 2.4.1.4.1 Quản lý khoá a Sinh khoá: Khoá sinh phải đảm bảo chất lượng Có cách mà hệ thống sử dụng để tạo khoá: - Người sử dụng tự sinh cặp khoá cho sau gửi khố cơng khai cho CA - Cặp khoá sinh hệ thống chuyên chịu trách nhiệm sinh khố Khố cơng khai gửi cho CA quản lý, khố bí mật gửi cho người dùng theo kênh truyền an toàn b Phân phối thu hồi khố: - Phân phối khố: Thơng qua kênh truyền khơng cần đảm bảo an tồn Cịn khố bí mật phân phối cho người dùng thơng qua kênh truyền an tồn - Thu hồi, treo khố: Thơng qua việc thu hồi chứng chỉ, q trình thu hồi khố tạm thời, khố sử dụng lại c Cập nhật thông tin cặp khoá: - Cặp khoá đối tượng tham gia vào hệ thống PKI cần phải cập nhật cách thường xun, cặp khố thay cặp khố d Cập nhật thơng tin cặp khoá CA: Cũng giống sử dụng chứng chỉ, cặp khoá CA cập nhật thường xun e Khơi phục khố: Hầu hết hệ thống PKI tạo hai cặp khoá cho người sử dụng cuối, để ký số để mã hoá để lưu dự phịng khố 2.4.1.4.2 Quản lý chứng a Đăng ký xác nhận ban đầu - CA cấp cho đối tượng đăng ký chứng số gửi chứng số đến cho hệ thống lưu trữ b Cập nhật thông tin chứng số Mỗi chứng số có tác dụng khoảng thời gian định Khi chứng số hết hạn, CA tạo chứng số cập nhật thông tin chứng số c Phát hành chứng danh sách chứng bị huỷ bỏ Khi CA phát hành chứng số, trước hết phải dựa định dạng chứng số cần cấp Sau có danh sách thơng tin sách quản trị, CA tổ chức chúng theo định dạng biết, chứng số hồn thiện d Huỷ bỏ chứng số Hệ thống PKI thực huỷ bỏ chứng số đối tượng sử dụng chứng số bị phát có dấu hiệu sử dụng phạm pháp e Quản lý thời gian Thời gian hệ thống PKI có tính qn, đồng tất thành phần f Giao tiếp PKI Các thành phần hệ thống giao tiếp với nhau, hệ thống PKI khác giao tiếp thành phần khác hệ thống 2.4.1.5 Các thành phần đảm bảo an tồn thơng tin 15 2.4.1.5.1 Kỹ thuật bảo mật thơng tin Hệ mã hố thường ứng dụng hệ PKI phục vụ bảo mật thơng tin hệ mã hố cơng khai RSA 2.4.1.5.2 Kỹ thuật xác thực Sử dụng sơ đồ chữ ký RSA 2.4.1.6 Hệ thống cung cấp quản lý chứng số 2.4.1.6.1 Chứng số (Hình 2.12) a Khái niệm Chứng số dạng kết hợp thành phần: - Các thông tin mô tả thân đối tượng: số định danh, tên, địa email, loại chứng chỉ, hạn sử dụng, phạm vi áp dụng - Khố cơng khai tương ứng - Chữ ký điện tử quan cấp phát chứng số cho thơng tin b Mục đích ý nghĩa chứng số - Mã hoá thơng tin: Lợi ích chứng số tính an tồn bảo mật thơng tin - Chống giả mạo: Khi gửi thơng tin, có sử dụng chứng số, người nhận kiểm tra thơng tin người gửi có bị thay đổi không - Xác thực: Khi gửi thông tin giao dịch kèm chứng số, người nhận xác định rõ danh tính người gửi - Chống từ chối: Khi sử dụng chứng số, người gửi phải chịu hồn tồn trách nhiệm thơng tin mà chứng số kèm c Chứng khoá công khai X.509 - Sử dụng phổ biến hầu hết hệ thống PKI Chứng X.509 v3 định dạng chứng sử dụng phổ biến nhà cung cấp PKI triển khai - Có trường bắt buộc là: + Số phát hành (Serial number) + Kỹ thuật mã hoá ký số (Certificate Signature Algorithm Identifier) + Tên CA phát hành chứng (Certificate Issuer Name) + Thời hạn hiệu lực chứng (Certificate Validity Period) + Khố cơng khai (Pulic Key) + Tên chủ thể (Subject Name) d Danh sách chứng thu hồi (Hình 2.13) - Các chứng có chứa ngày hết hạn hiệu lực, cần thu hồi chứng trước thời hạn Người phát hành cần phương tiện để cập nhật thông tin trạng thái chứng chứng cho người dùng - Danh sách chứng thu hồi X.509 bảo vệ chữ ký số CA phát hành 2.4.1.6.2 Nhà phát hành chứng (Certificate Authrity) Thành phần thực chức hệ thống như: - Tạo chứng số cho người dùng (xác thực cho khóa cơng khai) - Bảo trì sở liệu hệ thống, cho phép phục hồi cặp khóa người dùng - Yêu cầu hệ thống tuân thủ thủ tục bảo mật 16 Số serial Khoá bí mật nhà cấp phát chứng số Tên quan cấp phát (theo chuẩn X.500) Thời hạn có hiệu lực Tên chủ sở hữu (theo chuẩn X.500) Hàm băm Tạo chữ ký Khóa cơng khai Phạm vi sử dụng Các thông tin mở rộng Chữ ký điện tử nhà cấp phát chứng số Hình 2.12: Cấu trúc chứng số 2.4.1.6.3 Kho chứa chứng Thực việc lưu trữ để phân phối chứng số người dùng hệ thống CA, gồm thông tin sau: - Chứng số người dùng - Danh sách chứng bị thu hồi - Thơng tin sách người dùng - Cung cấp chế phân phối chứng CRLs đến thực thể cuối 2.4.1.6.4 Cơ quan đăng ký chứng (Registration Authority) Cung cấp giao diện cho người điều hành hệ thống thực chức hệ thống CA như: Bổ sung người dùng (xác thực chứng người dùng); Quản lý người dùng chứng người dùng; Quản lý sách an tồn; Xây dựng xác thực 2.4.1.6.5 Mơ hình tổ chức chứng thực số (Certification Authority - CA) Hiện giới có ba mơ hình tổ chức chứng thực số là: a Mơ hình phân cấp hay mơ hình chứng thực gốc - Hình 2.14 Cho phép xây dựng hệ thống CA hình với gốc gọi RootCA, RootCA SubCA SubCA lại SubCA khác b Mơ hình CA dạng lưới (Mesh CA Model) - Hình 2.15 Là mơ hình CA ngang hàng, không phụ thuộc nhau, tin tưởng lẫn tạo thành mạng lưới tin tưởng qua lại với 17 Root CA Sub CA User Sub CA Sub CA User User User User User Hình 2.14: Mơ hình Root CA User User CA CA CA CA User User User User User Hình 2.15: Mơ hình Mesh CA User 18 c Mơ hình CA cầu nối (Bridge Certification Authority CA Model) Là biến thể mô hình CA dạng lưới, số lượng CA cần tin tưởng qua lại với lớn, lúc phát sinh nhu cầu cần tìm CA đủ tin tưởng để CA khác tin tưởng vào CA CA thể qua cầu nối trung gian 2.4.2 Nguyên lý mã hóa Khi hai bên trao đổi thơng tin phải biết khố cơng khai (ek) Việc biết khố cơng khai (ek) khơng cho phép tính khố riêng (d k) Như hệ thống cá thể k đăng ký vào hệ thống cấp cặp khóa (ek,dk) Trong ek chìa khóa lập mã, dk chìa khoá giải mã 2.4.3 Các giải thuật 2.4.3.1 Thuật toán Hàm băm 2.4.3.1.1 Hàm băm Là hàm sinh giá trị băm tương ứng với khối liệu Giá trị băm đóng vai trị khóa để phân biệt khối liệu, nhiên, người ta chấp nhận tượng trùng khóa hay cịn gọi đụng độ cố gắng cải thiện giải thuật để giảm thiểu đụng độ Hàm băm thường dùng bảng băm nhằm giảm chi phí tính tốn tìm khối liệu tập hợp 2.4.3.1.2 Đảm bảo tính nguyên vẹn liệu Hàm băm mật mã học hàm băm có tính chất hàm chiều Từ khối liệu hay giá trị băm đầu vào đưa giá trị băm Đối với tính chất hàm chiều Một người dù có bắt giá trị băm, suy ngược lại giá trị, đoạn tin nhắn băm khởi điểm 2.4.3.1.3 Một số hàm băm thơng dụng a Thuật tốn hàm băm MD5 (Hình 1.18) Thuật tốn hàm băm MD5: Được dùng nhiều ứng dụng bảo mật phổ biến để kiểm tra tính tồn vẹn tập tin, có ưu điểm tốc độ xử lý nhanh, thích hợp với thông điệp dài cho giá trị băm dài 128 bit b Chuẩn băm an toàn SHS - SHS (Secure Hash Standard) chuẩn gồm tập hợp thuật tốn băm mật mã an tồn (Secure Hash Algorithm - SHA) SHA-1, SHA-224, SHA-256, SHA-384, SHA512 dựa phương pháp MD4 MD5 Hình 2.18: Bảng thuật tốn chuẩn MD5 19 2.4.3.2 Thuật tốn RSA 2.4.3.2.1 Mơ tả sơ lược RSA thuật toán mật mã hóa khóa cơng khai Đây thuật tốn phù hợp với việc tạo chữ ký điện tử đảm bảo an tồn với điều kiện độ dài khóa đủ lớn 2.4.3.2.2 Tạo khóa Giả sử A B cần trao đổi thơng tin bí mật thơng qua kênh khơng an tồn Với thuật tốn RSA, A cần tạo cho cặp khóa gồm khóa cơng khai khóa bí mật A gửi khóa cơng khai cho B, giữ bí mật khóa cá nhân 2.4.3.2.3 Mã hóa Giả sử B muốn gửi đoạn thông tin M cho A Đầu tiên B chuyển M thành số m < n theo hàm đảo ngược (từ m xác định lại M) thỏa thuận trước 2.4.3.2.4 Giải mã Alice nhận c từ Bob biết khóa bí mật d Alice tìm m từ c theo cơng thức m = c mod n d 2.4.3.3 Thuật toán SHA - (Hình 2.19) - Là thuật tốn xây dựng thuật tốn MD4 Thuật tóa SHA-1 tạo chuỗi mã băm có chiều dài cố định 160 bit, từ chuỗi bit liệu đầu vào x có chiều dài tùy ý 2.4.4 Chữ ký số quản lý khố 2.4.4.1 Chữ ký số (Hình 20.2) Chữ ký số thơng tin mã hóa khóa riêng người gửi đính kèm theo văn đảm bảo cho người nhận xác thực nguồn gốc, tính tồn vẹn liệu Hình 2.20: Quy trình ký thẩm tra chữ ký số 2.4.4.1.1 Sử dụng chữ ký số Chữ ký số dùng môi trường số, giao dịch điện tử với máy tính mạng Internet; Chữ ký số sử dụng giao dịch thư điện tử, mua bán hàng trực tuyến, đầu tư chứng khoán trực tuyến, chuyển tiền ngân hàng, toán trực tuyến 2.4.4.1.2 Qui trình sử dụng chữ ký số 20 a Ký gửi chữ ký điện tử (mã hóa) Khi muốn gửi văn quan trọng, đòi hỏi văn phải ký xác nhận danh người gửi văn bản, người gửi văn thực việc ký chữ ký điện tử b Xác thực chữ ký điện tử (giải mã) Sau nhận văn có đính kèm chữ ký người gửi, người nhận phải giải mã trở lại văn kiểm tra xem văn có bị thay đổi bên thứ ba hay khơng chữ ký đính kèm văn có người gửi hay khơng Bản tin điện tử Khóa bí mật người gửi Hàm băm Bản tin tóm lược Mã hóa Chữ ký điện tử (CKS) Gắn CKS vào tin điện tử Bản tin rõ ký Dữ liệu chờ gửi Hình 2.21: Quá trình ký vào tài liệu điện tử dùng Private Key 2.4.4.1.3 Sơ đồ chữ ký số Sơ đồ chữ ký năm (P, A, K, S, V), đó: - P: tập hữu hạn văn - A: tập hữu hạn chữ ký - K: tập hữu hạn khố - S: tập thuật toán ký - V: tập thuật toán kiểm thử 2.4.4.1.4 Phân loại chữ ký số - Phân loại chữ ký theo đặc trưng kiểm tra chữ ký - Phân loại chữ ký theo mức an toàn - Phân loại theo ứng dụng đặc trưng 2.4.4.2 Quản lý khóa 21 Quản lý khố vấn đề cần quan tâm để đảm bảo an toàn cho hệ mã hố Đối tượng thám mã thường cơng hai hệ mã hố đối xứng cơng khai thơng qua hệ quản lý khố Bản tin ký Khóa cơng khai người gửi Tách tin CKS Bản tin điện tử CKS Giải mã Hàm băm Giải mã Khơng Bản tin tóm lược Có Bản tin tóm lược Khơng người gửi Giống Giống Bản tin bị thay đổi Bản tin tồn vẹn Hình 2.22: Q trình xác thực điện tử dùng Private Key 2.4.4.3 Những hạn chế hệ thống - Một số dạng cơng đơn giản hóa việc tìm khóa giải mã dựa việc đo đạc xác thời gian mà hệ thống phần cứng thực mã hóa - Đối tượng cơng lợi dụng việc phân phối khóa cơng khai để thay đổi khóa cơng khai, sau giả mạo khóa công khai, đối tượng đứng bên để nhận gói tin, giải mã lại mã hóa với khóa gửi đến nơi nhận để tránh bị phát Chương III - ỨNG DỤNG THỬ NGHIỆM PKI ĐỂ BẢO MẬT THÔNG TIN TRONG MẠNG THÔNG TIN DỮ LIỆU CHUYÊN DÙNG 3.1 Mục đích ứng dụng thử nghiệm Ứng dụng xây dựng để thực mơ giao dịch thư tín điện tử: - Xác thực người thực giao dịch phương pháp kiểm tra thông qua hệ thống Username/Password thông dụng - Người dùng hợp lệ cấp chứng số để thực xác thực 22 Để triển khai ứng dụng, hệ thống cần có thành phần sau: - Hệ điều hành Windows Server 2008 R2 Enterprise 64-bit - Phần mềm quản trị Kerio MailServer - Phần mềm quản lý thư điện tử Windows LiveMail 2011 - Cấp phát chứng số Microsoft (Certification Authority - CA) Để ứng dụng chứng số, chọn lựa CA nội sử dụng dịch vụ đối tác thứ ba Sử dụng hai hình thức có ưu điểm, nhược điểm khác Trong ứng dụng thử nghiệm này, luận văn đề cập đến việc sử dụng CA nội để mã hóa liệu, cụ thể CA nội tảng Windows Server 2008 R2 có tên gọi Active Directory Certificate Services (ADCS) 3.2 Mơ hình kết thực (Hình 3.1) Ứng dụng thực máy tính cài đặt: Windows Server 2008 R2 Enterprise 64-bit; Phần mềm quản trị Kerio MailServer 6; Phần mềm quản lý thư điện tử Windows LiveMail 2011; Hệ thống đăng ký cấp phát chứng số nội Certification Authority (CA) - Khởi tạo Windows Server 2008: 02 user có tên hanoi - Khởi tạo Kerio MailServer 6: 02 user có tên hanoi - Cấp phát chứng số Certification Authority (CA) cho 02 user khởi tạo để thực gửi/nhận thư mã hóa (Sign, Encrypts) Kịch thử nghiệm đặt tình huống: - User hanoi gửi thư thông báo ngày họp cho User - User nhận thư bình thường với thơng tin chuẩn xác - Thư đường gửi bị kẻ thứ giả mạo, thay đổi nội dung; Hệ thống không trang bị chứng số CA phát nội dung thư bị thay đổi - Các User hệ thống không cấp phát CA, đọc nội dung thư bị mã hóa - Các User (hanoi tphcm) hệ thống cấp phát CA, phát nội dung thư bị thay đổi nội dung Hình 3.2: Giao diện hệ điều hành Windows Server 2008 R2 Enterprise 23 Hình 3.3: Giao diện phần mềm quản trị Kerio MailServer Hình 3.4: Phần mềm quản lý thư điện tử Windows LiveMail 2011 Hình 3.5: Giao diện tạo user Windows Server 2008 24 Hình 3.6: Giao diện tạo user KerioMail Server Hình 3.7: Giao diện trao đổi gửi/nhận thư điện tử thơng thường Hình 3.8: Nội dung thư điện tử lưu trữ phần mềm KerioMail Server 25 Hình 3.9: Thay đổi nội dung thư điện tử phần mềm KerioMail Server Hình 3.10: Thư điện tử bị thay đổi thay đổi nội dung Nguời quản trị hệ thống thực cấp hủy bỏ quyền mục Administration Tools Windows Một cặp chứng số bao gồm file chứa khóa cơng khai, file chứa khóa riêng, file mã hóa Hình 3.11: Chứng số cấp cho user hanoi 26 Hình 3.12: Chứng số cấp cho user - User hệ thống không cấp phát CA, đọc nội dung thư bị mã hóa Hình 3.12: User không cấp chứng số - User cấp phát CA, hệ thống cảnh báo cho User biết nội dung thư bị truy nhập trái phép giả mạo nội dung Tóm lại, hạ tầng sở mật mã khóa cơng khai thành phần quan trọng để ứng dụng cho hệ thống đòi hỏi tính bảo mật cao Ứng dụng thử nghiệm cho thấy việc triển khai ứng dụng PKI nhằm đảm bảo an ninh, an tồn thơng tin giai đoạn mang ý nghĩa thiết thực, có tác dụng lớn thơng tin, liệu quan trọng 27 Hình 3.13: Hệ thống cảnh báo thư bị giả mạo, thay đổi nội dung KẾT LUẬN Vấn đề đảm bảo an toàn an ninh thông tin mối quan tâm hàng đầu thiết lập hệ thống thông tin cho quan doanh nghiệp Xây dựng mạng dùng riêng để tránh khỏi công không thể, hồn tồn xây dựng mạng thơng tin có tính an tồn cao theo yêu cầu cụ thể Để làm vậy, người thiết kế quản trị mạng phải xây dựng giải pháp tổng thể, hiểu rõ kiến thức để xây dựng rào hàng kỹ thuật an ninh, phát truy nhập trái phép Xuất phát từ vấn đề trên, luận văn với đề tài “Đảm bảo an tồn bảo mật cho mạng thơng tin liệu chuyên dùng” tiếp cận nhiều vấn đề kỹ thuật để giúp người thiết lập quản trị mạng lựa chọn giải pháp hiệu đảm bảo an toàn, an ninh cho hệ thống mạng máy tính xây dựng Về kỹ thuật chống truy nhập trái phép, luận văn trình bày chi tiết Firewall: Các kiến trúc, sách để xây dựng Firrewall hiệu nhằm ngăn chặn công, đột nhập trái phép từ bên Về nội dung bảo mật dựa tảng IP Web: Luận văn trình bày tổng quan; Mơ tả thành phần kỹ thuật; Cấu trúc bảo mật IPsec ứng dụng Web Những nội dung đề cập IP Web đưa giải pháp đảm bảo yếu tố an tồn thơng tin: bảo mật, tồn vẹn, sẵn sàng Vấn đề quan tâm nhiều luận văn giải pháp bảo mật thông tin nguyên tắc xây dựng hạ tầng sở mật mã khóa cơng khai Đây yếu tố quan trọng để triển khai cho hệ thống thơng tin có địi hỏi tính bảo mật cao mạng thơng tin liệu chuyên dùng: Nó cung cấp dịch vụ quản lý tính tồn vẹn, tính xác thực, tính bí mật tính chống chối bỏ đảm bảo cho kết nối thơng tin bí mật, an tồn Luận văn tiếp cận nêu rõ vấn đề mang tính lý thuyết, giải pháp kỹ thuật để quản lý khóa ứng dụng chữ kỹ số Để làm sáng tỏ ứng dụng lý thuyết hạ tầng sở mật mã khóa cơng khai, học viên thực tốn mơ thử nghiệm việc triển khai mã hóa thơng tin hệ thống thư tín điện tử Thử nghiệm chứng minh độ an tồn thơng tin hệ thống Do thời gian kinh nghiệm thực tế hạn chế, lĩnh vực an tồn bảo mật thơng tin phức tập, có nhiều cố gắng luận văn chắn nhiều khiếm khuyết cần cần bổ sung Trong thời gian tới, học viên tiếp tục sâu tìm hiểu lĩnh vực đảm bảo an ninh cho hệ thống mạng máy tính đặc biệt biện pháp an tồn thơng tin cho mạng máy tính chun dùng nơi học viên công tác./ Hà Nội, tháng 10/2011 ... mạng thông tin liệu chuyên dùng Luận văn gồm Chương: Chương Tổng quan (1.1 Đặc điểm mạng chuyên dùng; 1.2 Những vấn đề đảm bảo an ninh, an toàn mạng chuyên dùng) Chương Một số giải pháp đảm bảo. .. lấy cắp thông Xuất phát từ nhu cầu công việc, với đề tài ? ?Đảm bảo an toàn bảo mật cho mạng thông tin liệu chuyên dùng? ??, luận văn sâu nghiên cứu tìm hiểu: Một số giải pháp đảm bảo an ninh, an tồn... MỞ ĐẦU Vấn đề đảm bảo an ninh, an tồn thơng tin liệu nội dung nghiên cứu thiết thực, chủ đề cấp, ngành quan tâm lĩnh vực công nghệ thông tin Nhu cầu đảm bảo an ninh thông tin liệu mạng máy tính