HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Minh Hiển NGHIÊN CỨU MỘT SỐ PHƯƠNG PHÁP ĐẢM BẢO AN TỒN HỆ THỐNG THƠNG TIN BẰNG KIỂM SỐT TRUY NHẬP Chuyên ngành: Truyền liệu mạng máy tính Mã số: 60.48.15 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS TS Trịnh Nhật Tiến Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng HÀ NỘI - 2013 MỞ ĐẦU Trong năm gần đây, bùng nổ cách mạng thông tin diễn nhanh chóng phạm vi tồn giới Sự phổ biến rộng rãi Internet kết nối người giới lại với nhau, trở thành công cụ thiếu, làm tăng hiệu làm việc, tăng hiểu biết, trao đổi, cập nhật thơng tin cách nhanh chóng tiện lợi Tuy nhiên, Internet mạng mở, chứa đựng nhiều hiểm họa đe dọa hệ thống mạng, hệ thống máy tính, tài ngun thơng tin tổ chức, cá nhân Ví dụ, tin tức quan trọng nằm kho liệu hay đường truyền bị cơng, xâm nhập lấy cắp thông tin Do vậy, nảy sinh yêu cầu nghiên cứu phương pháp kiểm sốt an ninh hệ thống thơng tin như: kiểm sốt truy nhập hệ thống thơng tin, kiểm soát luồng liệu, kiểm soát suy diễn, kiểm sốt cơng hệ thống thơng tin nhằm mục đích ngăn chặn hạn chế rủi ro hệ thống thơng tin Trong khóa luận này, tơi trọng tìm hiểu sở lý thuyết an tồn thơng tin, số phương pháp kiểm sốt truy nhập hệ thống thông tin kèm theo thử nghiệm ứng dụng minh họa Luận văn bao gồm nội dung cụ thể sau: Chƣơng 1: Tổng quan an tồn thơng tin, nêu lên vấn đề an tồn thơng tin, lý thuyết toán học mà tốn an tồn thơng tin cần tới, khái niệm mã hóa, hàm băm, ký số Chƣơng 2: Một số phƣơng pháp kiểm sốt truy nhập hệ thống thơng tin, trình bày tổng quan kiểm soát truy nhập số phương pháp kiểm sốt truy nhập hệ thống thơng tin Chƣơng 3: Thử nghiệm dùng chữ ký số RSA để kiểm sốt truy nhập hệ thống thơng tin, trình bày tốn chương trình ký số RSA kèm theo hướng dẫn sử dụng chương trình 2 Chƣơng - TỔNG QUAN VỀ AN TỒN THƠNG TIN 1.1 Vấn đề an tồn thơng tin 1.1.1 Mở đầu an tồn thơng tin 1.1.2 Một số khái niệm an tồn thơng tin 1.1.3 Một số tốn an tồn thơng tin 1.1.4 Các yêu cầu đảm bảo an toàn thông tin 1.2 Một số giải pháp đảm bảo an tồn thơng tin 1.2.1 Mã hóa 1.2.1.1 Khái niệm mã hóa liệu Để đảm bảo an tồn thơng tin lưu trữ máy tính (ví dụ: giữ gìn thơng tin cố định) hay bảo đảm an tồn thơng tin đường truyền tin (ví dụ: mạng máy tính), người ta phải “che giấu” thông tin “Che” thơng tin (dữ liệu) hay “mã hóa” thơng tin thay đổi hình dạng thơng tin gốc, người khác “khó” nhận Nói cách khác “mã hóa” thơng tin “che” “ý nghĩa” thông tin, người khác “khó” hiểu (“khó” đọc được) thơng tin mã hóa “Giấu” thơng tin (dữ liệu) cất giấu thông tin tin khác, người khác “khó” nhận Việc mã hóa phải theo quy tắc định, quy tắc gọi hệ mã hóa 1/ Hệ mã hóa Hệ mã hóa định nghĩa năm (P, C, K, E, D), đó:  P tập hữu hạn rõ  C tập hữu hạn mã  K tập hữu hạn khóa  E tập hàm lập mã  D tập hàm giải mã 3 Với khóa lập mã ke  K, có hàm lập mã eke  E, eke: P  C, Với khóa giải mã kd  K, có hàm giải mã dkd  D, dkd: C  P Sao cho dkd (eke (x)) = x,  x  P Ở đây, x gọi rõ, eke (x) gọi mã 2/ Mã hóa giải mã Người gửi G muốn gửi tin T cho người nhận N Để bảo đảm bí mật, G mã hóa tin khóa lập mã ke, nhận mã eke(T), sau gửi cho N Tin tặc trộm mã eke(T), “khó” hiểu ghi gốc T khơng có khóa giải mã kd Người N nhận mã, họ dùng khóa giải mã kd để giải mã eke(T), nhận ghi gốc T = dkd(eke(T)) 1.2.1.2 Phân loại hệ mã hóa 1/ Hệ mã hóa khóa đối xứng 2/ Hệ mã hóa khóa phi đối xứng Hệ mã hóa phi đối xứng hệ mã hóa có khóa lập mã khóa giải mã khác (ke ≠ kd), biết khóa “khó” tính khóa Hệ mã hóa cịn gọi hệ mã hóa khóa cơng khai, vì: Khóa lập mã cho cơng khai, gọi khóa cơng khai (public key) Khóa giải mã giữ bí mật, cịn gọi khóa riêng (private key) Một người dùng khóa cơng khai để mã hóa tin, người có khóa giải mã có khả đọc rõ a/ Đặc điểm hệ mã hóa khóa phi đối xứng: Ưu điểm: Thuật toán viết lần, công khai cho nhiều lần dùng, cho nhiều người dùng, họ cần giữ bí mật khóa riêng Khi biết tham số ban đầu hệ mã hóa, việc tính cặp khóa cơng khai bí mật phải “dễ”, tức thời gian đa thức 4  Người gửi có rõ P khố cơng khai, “dễ” tạo mã C  Người nhận có mã C khố bí mật, “dễ” giải thành rõ P Người mã hố dùng khóa cơng khai, người giải mã giữ khóa bí mật Khả lộ khóa bí mật khó có người giữ Nếu thám mã biết khố cơng khai, cố gắng tìm khố bí mật, chúng phải đương đầu với tốn “khó” Nếu thám mã biết khố cơng khai mã C, việc tìm rõ P tốn “khó”, số phép thử vơ lớn, khơng khả thi Hạn chế: Hệ mã hóa khóa phi đối xứng mã hóa giải mã chậm hệ mã hóa khóa đối xứng b/ Nơi sử dụng hệ mã hóa khóa phi đối xứng: c/ Một số hệ mã hóa khóa phi đối xứng: Hệ mã hóa RSA Hệ mã hóa Elgamal 1.2.2 Tổng quan hàm băm 1.2.2.1 Khái niệm hàm băm 1.2.2.2 Đặc tính hàm băm 1.2.2.3 Các tính chất hàm băm 1.2.2.4 Một số hàm băm thông dụng 1.2.2.5 Một số ứng dụng hàm băm 1.2.3 Chữ ký số 1.2.3.1 Khái niệm chữ ký số Sơ đồ chữ ký số: năm (P, A, K, S, V), đó: P tập hữu hạn văn A tập hữu hạn chữ ký K tập hữu hạn khóa S tập thuật toán ký V tập thuật tốn kiểm thử Với k  K, có thuật toán ký sigk  S, sigk: P A, thuật toán kiểm thử Verk  V, Verk : P  A đúng, sai, thỏa mãn điều kiện sau với x  P, y  A: Đúng, y = sigk(x) Verk(x,y)= Sai, y ≠ sigk(x) 1.2.3.2 Một số sơ đồ chữ ký điện tử 1/ Sơ đồ chữ ký RSA a/ Sinh khóa: Chọn p, q số nguyên tố lớn Tính n = p*q,  (n) =(p-1) * (q-1) Đặt P = A = Zn, K = ( a, b) / a*b  (mod  (n)) Bộ khóa k = (a, b) Giá trị n b công khai, giá trị a, p, q bí mật, b khóa cơng khai, a khóa bí mật b/ Ký số: Với khóa k = (a, b), định nghĩa: Chữ ký x  P y = sigk(x) = xa mod n, y  A (R1) c/ Kiểm tra chữ ký: Verk(x,y) =  x  yb (mod n) (R2) 2/ Sơ đồ chữ ký Elgamal 3/ Chuẩn chữ ký số DSS (Digital Signature Standard) 1.3 Kết luận chƣơng Nội dung chương trình bày khái niệm sở an tồn thơng tin mật mã học Dựa vào lý thuyết số học người ta xây dựng lên chương trình mã hóa, giải mã, xác thực, nhận dạng, kiểm sốt từ làm sở cho số phương pháp kiểm soát truy nhập hệ thống thông tin Trong chương tiếp theo, xin trình bày nội dung kiểm sốt truy nhập hệ thống thông tin nêu số phương pháp kiểm sốt hệ thống thơng tin Từ đó, đem đến nhìn tổng quan kiểm sốt truy nhập hệ thống thông tin tiếp cận hiểu sâu phương pháp kiểm sốt hệ thống thơng tin 7 Chƣơng - MỘT SỐ PHƢƠNG PHÁP KIỂM SOÁT TRUY NHẬP HỆ THỐNG THÔNG TIN 2.1 Tổng quan kiểm sốt truy nhập hệ thống thơng tin 2.1.1 Khái niệm kiểm sốt truy nhập hệ thống thơng tin Kiểm soát truy nhập việc “đáp ứng” truy nhập đến đối tượng hệ thống thông tin nhằm hạn chế nguy an toàn hệ thống Kiểm sốt truy nhập tn theo phương pháp sách bảo vệ liệu Hình 2.1 Hệ thống kiểm sốt truy nhập Cần xây dựng hệ thống có nhiệm vụ kiểm soát truy nhập người dùng tiến trình, chủ thể khai thác liệu, chương trình thơng qua phép tốn Hệ thống kiểm sốt truy nhập gồm ba phần chính:  Các sách an ninh quy tắc truy nhập: Đặt kiểu khai thác thông tin lưu trữ hệ thống  Các thủ tục kiểm soát (cơ chế an ninh): Kiểm tra yêu cầu truy nhập, cho phép hay từ chối yêu cầu khai thác  Các công cụ phương tiện thực kiểm soát truy nhập 2.1.2 Chính sách an ninh 2.1.2.1 Chính sách kiểm sốt truy nhập Chính sách kiểm sốt truy nhập thiết lập khả năng, cách để chủ thể đối tượng hệ thống nhóm lại, để dùng chung kiểu truy nhập đó, cho phép thiết lập việc chuyển quyền truy nhập Chính sách kiểm sốt truy nhập liên quan đến thiết kế quản lý hệ thống cấp quyền khai thác Cách thông thường để đảm bảo an ninh hệ thống định danh đối tượng tham gia hệ thống xác định quyền truy nhập chủ thể tới đối tượng Định danh (Identifier): Gán cho đối tượng tên gọi theo cách thống nhất, khơng có trùng lặp định danh Ủy quyền (Authorization): Ủy quyền khai thác phép toán chủ thể đối tượng 2.1.2.2 Chính sách giới hạn quyền truy nhập Để trả lời câu hỏi: Có thơng tin truy nhập cho chủ thể đủ ? Có sách bản:  Chính sách đặc quyền tối thiểu: Các chủ thể sử dụng lượng thông tin tối thiểu cần thiết cho hoạt động  Chính sách đặc quyền tối đa: Các chủ thể sử dụng lượng thông tin tối đa cần thiết cho hoạt động Tuy nhiên phải đảm bảo thông tin không bị xâm phạm mức cho phép Có kiến trúc kiểm sốt truy nhập: o Hệ thống đóng: Chỉ yêu cầu có quyền truy nhập phép o Hệ thống mở: Các truy nhập khơng bị cấm phép 2.1.2.3 Chính sách quản lý quyền truy nhập Chính sách quản lý quyền truy nhập dùng kiểm soát tập trung phân tán, việc lựa chọn sách an ninh, kết hợp để có sách phù hợp 9  Phân cấp ủy quyền: Cơ chế kiểm soát thực nhiều trạm, tập trung kiểm sốt trạm Ví dụ: Tổ chức trạm nút  Chọn người sở hữu: Mô tả quan hệ, mô tả người sở hữu đảm bảo quyền khai thác thông tin họ  Quyết định tập thể: Tài nguyên nhóm sở hữu, có yêu cầu truy nhập tài nguyên này, cần đồng ý nhóm.Ví dụ: Chia sẻ khóa bí mật 2.1.2.4 Chính sách phân cấp Đó sách kiểm sốt luồng thơng tin, ngăn ngừa luồng thơng tin tới đối tượng có mức phân loại thấp Hệ thống có mức phân loại sau: 0: Bình thường (Unclassified - U) 1: Mật (Confidential - C) 2: Tối mật (Secret - S) 3: Tuyệt mật (Top Secret - TS) 2.2 Hệ thống kiểm soát truy nhập 2.2.1 Hệ thống kiểm soát truy nhập trực tiếp 2.2.1.1 Xác thực dựa vào thông tin biết trước người dùng 2.2.1.2 Xác thực dựa vào thông tin sở hữu người dùng 1/ Thẻ thông minh 2/ Chữ ký số Hiện nay, tất nước phát triển phát triển, mạng máy tính ngày đóng vai trị thiết yếu lĩnh vực hoạt động toàn xã hội nhu cầu bảo mật thơng tin đặt lên hàng đầu Điển hình việc mã hố bảo mật thơng tin số doanh nghiệp, dùng chữ ký số xác thực email trao đổi thơng tin, kiểm sốt truy cập vào sàn thương mại điện tử, hệ thống thông tin đơn đặt hàng, ngân hàng điện tử, kê khai thuế điện tử, mua sắm trực tuyến 10 Hình 2.4 Sử dụng chữ ký số kê khai thuế điện tử 3/ Thiết bị USB Token 2.2.1.3 Xác thực dựa vào thông tin đặc trưng người dùng 2.2.2 Hệ thống kiểm soát truy nhập tự động 2.2.2.1 Tường lửa (firewall) 2.2.2.2 Mạng riêng ảo (Virtual Private Network - VPN) 2.2.2.3 Hạ tầng sở mật mã khóa cơng khai PKI 1/ Tổng quan sở hạ tầng khóa cơng khai Dựa ứng dụng mật mã khóa cơng khai chữ ký điện tử, PKI khung gồm sách, dịch vụ thuật tốn mã hóa, đáp ứng nhu cầu bảo mật người sử dụng gửi thông tin quan trọng qua Internet mạng khác Mật mã khóa cơng khai bảo đảm độ tin cậy thông tin, thông điệp quan trọng cách sử dụng cặp khóa, khóa dùng để mã hóa liệu khóa để giải mã chúng Trong mật mã công khai, người sử dụng nhận phần mềm mã hóa đặc biệt cặp khóa, có khóa cơng khai (Public key) để sử dụng dịch vụ, cịn lại khóa bí mật (Private key) mà người sử dụng phải giữ bí mật Hai khóa có liên quan mật thiết đến nhau, cho thơng điệp 11 mã hóa khóa cơng khai giải mã khóa bí mật tương ứng Tổ chức hay quan cấp giấy chứng nhận (CA) thành phần PKI Nó tổ chức thứ ba đáng tin cậy chịu trách nhiệm phát hành giấy chứng nhận điện tử gọi chứng số quản lý chúng thời hạn có hiệu lực Chứng (Certificate) thuật ngữ phương tiện bảo vệ thông tin mật thông tin cá nhân thông tin cần bảo mật cao khác Chứng chỉ, bạn hiểu đơn giản chứng minh nhân dân, chứng minh nhân dân thông tin bạn mã hố quan cơng quyền có nghĩa họ nắm phần thơng tin cơng khai hay gọi khóa cơng khai chứng Trong trường hợp bị kiểm tra có bạn trả lời xác thơng tin bạn (như bạn cho nắm phần khóa bí mật) thẩm tra quan công quyền, tất thông tin bạn giải mã sau khóa bí mật khóa cơng khai bạn so sánh Chứng số tập tin điện tử chứa chìa khóa mật mã cơng khai thông tin nhận dạng đặc biệt người sử dụng Các giấy chứng nhận có "dán tem" xác nhận (được CA ký chữ ký điện tử họ) làm giả 2/ Cách thức hoạt động PKI Bob Alice muốn liên lạc với qua Internet, dùng PKI để chắn thông tin trao đổi họ bảo vệ Bob có chứng số, Alice chưa Để có nó, phải chứng minh với Tổ chức cấp giấy chứng nhận cô thực Alice Một thông số nhận dạng Alice Tổ chức cấp giấy chứng nhận thông qua, họ phát hành cho cô chứng số Chứng nhận điện tử có giá trị thực sự, giống hộ chiếu, đại diện cho Alice Nó gồm có chi tiết nhận dạng Alice, chìa khóa cơng cộng thời hạn giấy chứng nhận chữ ký điện tử Tổ chức chứng nhận Alice nhận khóa bí mật kèm theo khóa cơng khai Khóa bí mật lưu ý phải giữ bí mật, khơng chia sẻ với 12 Khi Alice có chứng số, Bob gửi cho thông tin quan trọng ký chữ ký điện tử Bob xác nhận với thơng điệp xuất phát từ bảo đảm nội dung thông điệp không bị thay đổi khơng có khác ngồi Alice đọc Để thực việc này, phần mềm máy trạm Bob tạo chữ ký điện tử mã hóa thơng điệp có chứa chữ ký Phần mềm sử dụng khóa bí mật Bob để tạo chữ ký điện tử dùng khóa cơng khai Alice để mã hóa thơng điệp Khi Alice nhận thơng điệp có chữ ký Bob mã hóa khóa cơng khai mình, phần mềm dùng khóa bí mật để giải mã thơng điệp Vì có chìa khóa bí mật Alice giải mã thơng điệp mã hóa chìa khóa cơng khai cô, độ tin cậy thông tin hồn tồn bảo đảm Sau đó, phần mềm dùng khóa cơng khai Bob xác minh chữ ký điện tử, để đảm bảo Bob gởi thông điệp đi, thông tin không bị xâm phạm đường truyền Ưu điểm PKI vừa tạo chức mã hóa, giải mã xác thực với người sử dụng Bob Alice vừa bảo đảm tính riêng tư an tồn cho giao dịch họ giống gặp gỡ trực tiếp 2.2.3 Hệ thống kiểm soát truy nhập chuyên dụng 2.2.3.1 Hệ thống phát ngăn chặn xâm nhập hệ thống thơng tin 2.2.3.2 Hệ thống kiểm sốt thơng tin “lừa đảo” 2.3 Chính sách kiểm sốt truy nhập hệ thống thơng tin 2.3.1 Kiểm sốt truy nhập bắt buộc (MAC) Là sách truy cập hệ thống định, cá nhân sở hữu tài nguyên định Nó sử dụng hệ thống đa tầng, tức hệ thống xử lí loại liệu nhạy cảm thơng tin phân hạng mức độ bảo mật phủ hay quân đội 13 1/ Nhãn hiệu nhạy cảm (Sensitivity Label) Chỉ định nhãn hiệu cho chủ thể đối tượng hệ thống Nhãn hiệu nhạy cảm chủ thể xác định mức tin cẩn cần thiết để truy cập Để truy cập đối tượng đấy, chủ thể phải có mức độ nhạy cảm tương đồng cao mức độ đối tượng yêu cầu 2/ Xuất nhập liệu (Data Import and Export) Kiểm soát việc nhập thông tin từ hệ thống khác, xuất thông tin sang hệ thống khác (bao gồm máy in), chức trọng yếu hệ thống sử dụng kiểm soát truy cập bắt buộc Nhiệm vụ việc xuất, nhập thông tin phải đảm bảo nhãn hiệu nhạy cảm giữ gìn cách đắn, thông tin nhạy cảm phải bảo vệ tình Các phương pháp thường dùng để áp dụng kiểm soát truy cập bắt buộc là: kiểm soát truy cập dùng theo luật (Rule Base Access Control) kiểm soát truy cập dùng lưới (Lattice Base Access Control) 3/ Kiểm soát truy nhập dùng theo luật Định nghĩa thêm điều kiện cụ thể việc truy cập đối tượng, nhằm định cho phép hay từ chối yêu cầu truy cập, cách đối chiếu: nhãn hiệu nhạy cảm đối tượng, nhãn hiệu nhạy cảm chủ thể 4/ Kiểm soát truy nhập dùng lƣới Mơ hình lưới cấu trúc tốn học, định nghĩa giá trị cận lớn cận nhỏ cho cặp nguyên tố, chẳng hạn cặp nguyên tố gồm chủ thể đối tượng 2.3.2 Kiểm soát truy nhập tùy quyền (DAC) Là sách truy cập mà chủ nhân thông tin hay tài nguyên tự định xem người phép truy cập vào nó, quyền mà người phép thi hành Hai khái niệm truy nhập tùy quyền là: sở hữu thông tin, quyền phép truy cập thông tin 14 Sở hữu thơng tin nghĩa sách truy cập đối tượng chủ nhân tài nguyên định Quyền phép truy cập quyền khống chế tài nguyên, chủ nhân tài nguyên định cho người nhóm người Kỹ thuật dùng kiểm soát truy cập tùy quyền danh sách kiểm soát truy cập (Access Control List - ACL): Định danh quyền phép định cho chủ thể đối tượng Đây phương pháp linh hoạt để áp dụng DAC 2.3.3 Kiểm soát truy nhập dựa vai trò (RBAC) Chỉ định tư cách nhóm người dùng dựa vai trị tổ chức chức vai trị Chính sách giúp tối giảm việc điều hành quản lí quyền phép truy cập Nó hạn chế người dùng bất hợp pháp truy cập hệ thống Trong an ninh với hệ thống máy tính, kiểm sốt truy cập sở vai trị số sách kiểm soát đảm bảo quyền sử dụng cho người dùng Trong nội tổ chức, vai trò (roles) kiến tạo để đảm nhận chức công việc khác Mỗi vai trò gắn liền với số quyền hạn cho phép thao tác số hoạt động (permissions) Mỗi người dùng hệ thống phân phối vai trò riêng, qua việc phân phối họ tiếp thu số quyền hạn, cho phép họ thi hành chức cụ thể hệ thống Do người dùng không cấp phép cách trực tiếp, họ tiếp thu quyền hạn thơng qua vai trị Vì vậy, việc quản lí quyền hạn người dùng trở nên đơn giản, cần định vai trị thích hợp cho người dùng Việc định vai trò đơn giản hố cơng việc thơng thường thêm người dùng vào hệ thống RBAC khác với danh sách kiểm soát truy cập (ACLs) dùng DAC, định quyền hạn tới hoạt động cụ thể với ý nghĩa quan tổ chức, thay tới đối tượng liệu hạ tầng Ví dụ, ACL cho phép từ chối quyền truy cập viết tập tin hệ thống (system file), song khơng cho ta biết phương cách cụ thể để thay đổi tập tin Trong hệ thống dùng RBAC, thao tác việc chương trình ứng dụng tài kiến tạo giao dịch “tài khoản tín dụng” (credit account transaction) [4] 15 2.4 Kết luận chƣơng Nội dung chương trình bày khái niệm kiểm sốt truy nhập, hệ thống kiểm sốt truy nhập sách kiểm sốt truy nhập hệ thống thơng tin Đặc biệt, nội dung nhấn mạnh vào phương pháp kiểm soát truy nhập dựa nhận dạng, xác thực đối tượng tham gia vào hệ thống thơng tin Có ba phương pháp để kiểm sốt thực thể truy nhập hệ thống thông tin dựa thông tin biết trước người dùng, thông tin sở hữu người dùng thông tin đặc trưng người dùng Trong nội dung luận văn này, tơi tập trung vào tìm hiểu cách thức sử dụng chữ ký số sở hạ tầng khóa cơng khai để thực việc kiểm sốt truy nhập hệ thống thông tin Đây nội dung giới thiệu chương 16 Chƣơng - THỬ NGHIỆM DÙNG CHỮ KÝ SỐ ĐỂ KIỂM SỐT TRUY NHẬP HỆ THỐNG THƠNG TIN 3.1 Bài toán Với toán kiểm soát truy nhập hệ thống thông tin, chức nhận dạng thực thể (đối tượng) cần truy nhập vào hệ thống thông tin quan trọng Nó định đến hiệu việc kiểm sốt truy nhập hệ thống thơng tin Có nhiều phương pháp kiểm sốt truy nhập hệ thống thơng tin khác nhau, chương lựa chọn cài đặt thử nghiệm chương trình dùng chữ ký số để kiểm sốt truy nhập hệ thống thơng tin Chữ ký số thuộc loại thông tin: người dùng biết Người dùng muốn truy nhập vào hệ thống thông tin phải biết chữ ký số, tức phải có khóa bí mật để thực việc ký số Quản trị hệ thống thông tin cho phép người dùng vào hệ thống xác minh chữ ký người phép vào hệ thống thông tin Trong phần thử nghiệm ứng dụng, tơi sử dụng thuật tốn hàm băm SHA1, mã hóa DES, thuật tốn ký số RSA thư viện mã nguồn mở OpenSSL để cài đặt chương trình Ứng dụng thực việc ký số văn kết hợp mã hóa tập tin trước gửi, giải mã tập tin nhận việc xác nhận chữ ký dựa khóa cặp khóa bí mật, công khai người gửi, nhận Chỉ người dùng có khóa bí mật có quyền truy nhập thao tác với văn Những người dùng khác khóa bí mật khơng thể truy nhập vào tập tin bị mã hóa 17 3.2 Cài đặt chƣơng trình ký số RSA 3.2.1 Cài đặt chức ký số 3.2.1.1 Hàm sinh khóa bí mật khóa công khai private: RSA* generateKey (String^ klen){ r = RSA_new(); int len = Convert::ToInt32(klen); r = RSA_generate_key(len, RSA_F4, NULL , NULL); priKey = gcnew String(BN_bn2dec(r->d)); unsigned char* next1; unsigned char* buffer1; int len1 = i2d_RSAPrivateKey(r,0); buffer1 = next1 = (unsigned char* )malloc(len1); i2d_RSAPrivateKey(r,&next1); String^ pri = uncharArrtoStrASCII(buffer1,len1); StreamWriter^ sw = gcnew StreamWriter(txtPriv->Text); sw->Write(pri); sw->Close(); unsigned char* next; unsigned char* buffer; len = i2d_RSAPublicKey(r,0); buffer = next = (unsigned char* )malloc(len); i2d_RSAPublicKey(r,&next); String^ pubFile = txtPubKey->Text; sw = gcnew StreamWriter(pubFile); String^ pub = uncharArrtoStrASCII(buffer,len); sw->Write(pub); sw->Close(); return r; } 18 3.2.1.2 Hàm thực việc ký văn private: void hSign(RSA* r ){ r = generateKey(keySize); String^ iFile = inputFile->Text; String^ oFile = sigFile->Text; //Đọc nội dung vào mảng wchar_t long int numOfElems; String^ ext = iFile->Substring(iFile->Length - 3); wchar_t* buffer = NULL; if( fileIsLocked(iFile) == false ){ if ( ext == "doc"){ buffer = readFileDoc(inputFile->Text, numOfElems); } else{ buffer = readFileText(inputFile->Text, numOfElems); } String^ mesStr = wchartoUni(buffer, numOfElems); unsigned char* buf = (unsigned char*) str2Char(mesStr) unsigned int slen; unsigned char* signature = (unsigned char*) malloc(RSA_size(r)); unsigned char hash[20]; if (SHA1(buf, mesStr->Length,hash)){ int i = RSA_sign(NID_sha1,hash, 20,signature, &slen, r); signature[RSA_size(r)] = '\0'; //Ghi giá trị băm file thập phân String^ digestDec = uncharArrtoStrASCII(hash,20); StreamWriter^ sw = gcnew StreamWriter(txtDig->Text); sw->Write(digestDec); //Ky 19 sw->Close(); //Ghi chữ ký file dạng thập phân String^ sigDec = uncharArrtoStrASCII(signature,slen); sw = gcnew StreamWriter(oFile); sw->Write(sigDec); sw->Close(); } MessageBox::Show( "Ký thành công !!!"); }} 3.2.2 Cài đặt chức xác thực chữ ký số 3.3 Cấu hình hệ thống 3.4 Hƣớng dẫn sử dụng chƣơng trình 3.4.1 Chức ký số Hình 3.1 Giao diện chức ký số Chương trình sinh khóa RSA ngẫu nhiên có độ dài 512 bit 1024 bit (theo lựa chọn cỡ khóa người dùng) Sau ghi khóa bí mật khóa cơng khai file tương ứng Trước ký, văn băm theo thuật toán SHA1 Người sử dụng lựa chọn thơng tin sau:  Cỡ khóa (có lựa chọn 512 bit 1024 bit)  File văn bản: đường dẫn tuyệt đối văn cần ký 20  File khóa cơng khai: đường dẫn tuyệt đối file lưu khóa cơng khai  File khóa bí mật: đường dẫn tuyệt đối file lưu khóa bí mật  File chứa băm: đường dẫn tuyệt đối file lưu đại diện văn  File chứa chữ ký: đường dẫn tuyệt đối file chứa chữ ký Trong chương trình, khóa cơng khai, khóa bí mật, đại diện văn bản, chữ ký biểu diễn dạng xâu chứa mã ASCII ký tự 3.4.2 Chức xác thực chữ ký số RSA Hình 3.2 Xác thực chữ ký số văn Người nhận nhập vào thông tin sau để xác thực văn  File văn bản: đường dẫn chứa file văn  File chứa chữ ký: đường dẫn chứa file chữ ký người gửi  File chứa khóa cơng khai: đường dẫn chứa khóa công khai người gửi Kết trả Chữ ký file văn không bị chỉnh sửa Chữ ký sai file văn bị chỉnh sửa 3.4.3 Chức mã hóa 3.4.4 Chức giải mã 21 3.5 Kết luận chƣơng Nội dung chương trình bày cách xây dựng, cài đặt hướng dẫn sử dụng chương trình ký số kiểm sốt truy nhập hệ thống thơng tin Chương trình mơ việc sử dụng cặp khóa bí mật, cơng khai để ký mã hóa giải mã xác thực thông tin Việc ứng dụng sở hạ tầng khóa cơng khai giao dịch thương mại điện tử, đăng nhập hệ thống, xác minh danh tính chủ thể, kê khai hồ sơ điện tử….ngày phổ biến phát triển nhanh chóng Với cải tiến thuật tốn mã hóa nhằm nâng cao độ phức tạp tính tốn chương trình ngày đem lại cho người dùng an toàn, tin tưởng vào việc sử dụng chữ ký số hạ tầng sở khóa cơng khai cơng việc, giao dịch hàng ngày 22 KẾT LUẬN Luận văn tập trung nghiên cứu số phương pháp kiểm sốt truy nhập hệ thống thơng tin Đây nội dung bao quát nhiều vấn đề quan trọng bảo mật đảm bảo an tồn thơng tin điều kiện người sử dụng tích hợp nhiều thiết bị máy tính bảng, điện thoại thơng minh,… vào máy tính cá nhân kết nối mạng Luận văn dành chương để giới thiệu tổng quan an tồn thơng tin bao gồm: khái niệm, u cầu giải pháp đảm bảo an tồn thơng tin Chương tập trung vào toán cụ thể tìm hiểu số phương pháp kiểm sốt truy nhập hệ thống thông tin Phần phương pháp luận mô tả chi tiết hai chương sở cho cài đặt thử nghiệm chương với toán dùng chữ ký số để kiểm soát truy nhập hệ thống thơng tin Tồn nội dung luận văn đóng góp tác giả hướng dẫn trực tiếp PGS.TS Trịnh Nhật Tiến Luận văn đạt hai kết sau: Nghiên cứu tài liệu để Hệ thống lại vấn đề: Tổng quan an tồn thơng tin Một số phương pháp Kiểm soát truy nhập Hệ thống thông tin Thử nghiệm dùng Chữ ký số để NHẬN DẠNG đối tượng truy nhập Hệ thống thông tin Đảm bảo an tồn bảo mật thơng tin môi trường truyền thông đa phương tiện vấn đề cốt lõi chiến tranh mạng nóng bỏng mang tầm vóc quốc gia Những tìm hiểu ban đầu luận văn hy vọng nhiều dẫn để tiếp tục sớm cập nhật nhanh mơ hình tiên tiến kiểm sốt truy nhập 23 DANH MỤC TÀI LIỆU THAM KHẢO Tiếng Việt [1] GS Phan Đình Diệu (2006), Lý thuyết mật mã an tồn thơng tin, nhà xuất Đại học Quốc gia Hà Nội [2] PGS TS Trịnh Nhật Tiến (2008), Giáo trình An tồn liệu Tiếng Anh [3] Access Control in Support of Information Systems (2008), Developed by DISA for the DoD [4] Barkley J.(1997), “Comparing Simple Role Based Access Control Models and Access Control Lists”, Proceeding Second ACM Workshop on Role-Based Access Control, page 127-132 [5] Doublas Stinson, Cryptography: Theory and Practice – CRC Press 03/17/95 [6] Hu V., “The Policy Machine For Universal Access Control”, Doctoral Dissertation, University of Idaho, May 23, 2002 [7] William Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, November 16, 2005 [8] D Ferraiolo and R Kuhn (1992), “Role-based access controls”, In Proc of the 15th NIST-NCSC Naional Computer Security Conference, pp 554–563  ... TRUY NHẬP HỆ THỐNG THƠNG TIN 2.1 Tổng quan kiểm sốt truy nhập hệ thống thông tin 2.1.1 Khái niệm kiểm sốt truy nhập hệ thống thơng tin Kiểm sốt truy nhập việc “đáp ứng” truy nhập đến đối tượng hệ. .. sốt hệ thống thơng tin Từ đó, đem đến nhìn tổng quan kiểm sốt truy nhập hệ thống thông tin tiếp cận hiểu sâu phương pháp kiểm sốt hệ thống thơng tin 7 Chƣơng - MỘT SỐ PHƢƠNG PHÁP KIỂM SOÁT TRUY. .. hệ thống thông tin nhằm hạn chế nguy an tồn hệ thống Kiểm sốt truy nhập tuân theo phương pháp sách bảo vệ liệu Hình 2.1 Hệ thống kiểm sốt truy nhập Cần xây dựng hệ thống có nhiệm vụ kiểm sốt truy