Đang tải... (xem toàn văn)
Giáo trình An toàn bảo mật thông tin trang bị cho người học những kiến thức về: Nguy cơ đối với dữ liệu, các phương pháp đảm bảo an toàn dữ liệu; mật mã, mã hóa, và bảo mật dữ liệu (khái niệm, yêu cầu, chỉ dẫn, dịch vụ, kỹ thuật, thuật toán,...); quy trình khóa và chứng thực (khóa cơ sở dữ liệu / thư mục,chữ ký số, định danh,...); chức năng an ninh mạng, trình bày được quy trình bảo mật thư điện tử và mã hóa thông điệp; hệ thống thương mại điện tử (thanh toán tự động, đặt chỗ tự động, mô hình giao dịch mạng, bảo mật giao dịch điện tử...). Mời các bạn cùng tham khảo.
MỤC LỤC ĐỀ MỤC TRANG CHƯƠNG TỔNG QUAN VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN 1.1 Nội dung an tồn bảo mật thơng tin 1.2 Các chiến lượt an toàn hệ thống 1.2.1 Giới hạn quyền hạn tối thiểu (Last Privilege) 1.2.2 Bảo vệ theo chiều sâu (Defence In Depth) 1.2.3 Nút thắt (Choke Point) 1.2.4 Điểm nối yếu (Weakest Link) 1.2.5 Tính tồn cục 1.2.6 Tính đa dạng bảo vệ 1.3 Các mức bảo vệ mạng 1.3.1 Quyền truy nhập 1.3.2 Đăng ký tên /mật 1.3.3 Mã hoá liệu 1.3.4 Bảo vệ vật lý 1.3.5 Tường lửa 1.3.6 Quản trị mạng 1.4 An tồn thơng tin mật mã 1.5 Vai trò hệ mật mã 1.6 Phân loại hệ mật mã 10 1.7 Tiêu chuẩn đánh giá hệ mật mã 10 1.7.1 Độ an toàn 10 1.7.2 Tốc độ mã giải mã 11 1.7.3 Phân phối khóa 11 CHƯƠNG CÁC PHƯƠNG PHÁP MÃ HÓA CỔ ĐIỂN 12 2.1 Các hệ mật mã cổ điển 12 2.1.1 Mã dịch vòng ( shift cipher) 12 2.1.2 Mã thay 13 2.1.3 Mã Affine 14 2.1.4 Mã Vigenère 17 2.1.5 Mật mã Hill 17 2.2 Mã thám hệ mã cổ điển 18 2.2.1 Thám hệ mã Affine 19 2.2.2 Thám hệ mã thay 21 2.2.3 Thám hệ mã Vigenère 24 CHƯƠNG CHỨNG THỰC 26 3.1 Các định nghĩa 26 3.2 Sơ đồ chữ kí ELGAMAL 28 3.3 Chuẩn chữ kí số 28 3.4 Xác thực mẫu tin 29 3.4.1 Các khái niệm 29 3.4.2 Mã mẫu tin 30 3.4.3 Mã xác thực mẫu tin (MAC – Message Authentication Code) 30 3.4 Sử dụng mã đối xứng cho MAC 31 3.5 Các hàm Hash (hay gọi hàm băm) 32 3.5.1 Các yêu cầu 32 3.5.2 Các hàm hash đơn giản 32 3.5.3 Tính an tồn hàm Hash MAC 33 3.6 Các thuật toán Hash MAC 34 3.6.1 Các thuật toán Hash MAC 34 3.6.2 Thuật toán Hash an toàn SHA (Secure Hash Algorithm) 34 3.7 Các ứng dụng xác thực 39 3.7.1 Kerberos 39 3.7.2 Dịch vụ xác thực X.509 43 Bài tập 45 CHƯƠNG MÃ KHỐI VÀ CHUẨN MÃ DỮ LIỆU DES 47 3.1 Giới thiệu chung DES 47 3.2 Mô tả thuật toán 47 3.3 Hoán vị khởi đầu 49 3.4 Khoá chuyển đổi 49 3.5 Hoán vị mở rộng 49 3.6 Hộp thay S 49 3.7 Hộp hoán vị P 50 3.8 Hoán vị cuối 50 3.9 Giải mã DES 51 3.10 Phần cứng phần mềm thực DES 51 3.11 Sự an toàn DES 51 3.12 Tranh luận DES 52 3.13 DES thực tế 53 3.14 Các chế độ hoạt động DES 54 CHƯƠNG PHÁT HIỆN XÂM NHẬP 56 5.1 Kẻ xâm nhập 56 5.1.1 Khái niệm 56 5.1.2 Các kỹ thuật xâm phạm 56 5.1.3 Đoán mật 57 5.1.4 Phát xâm nhập 57 5.1.5 Quản trị mật 60 5.2 Phần mềm có hại 61 5.2.1 Các kiểu phần mềm có hại khác ngồi Virus 61 5.2.21 Cửa sau cửa sập 61 5.2.3 Bom logic 61 5.2.4 Ngựa thành Tơ roa 62 5.2.5 Zombie 62 5.3 Virus 62 5.3.1 Marco Virus 63 5.3.2 Virus email 63 H4 = C3D2E1F0 Chia M(i) thành 16 từ W(0), W(1),…,W(15) For t = 16 to 79 - W(t) = S^1(W(t-3) XOR W(t-8) XOR W(t-14) XOR W(t-16)) - Đặt a=H0 , b=H1,c=H2,d=H3,e=H4 For t = to 79 - TEMP = S^5(A) + f(t;B,C,D) + E + W(t) + K(t); - e = d; d = c; c = S^30(b); b = a; a = TEMP; - Đặt H0 = H0 + a,H1 = H1 + b,H2 = H2 + c,H3 = H3 + d,H4 = H4+ e Sau tính tốn hết M(n), thơng điệp rút gọn chuỗi 160 bit biểu diễn từ: H0 H1 H2 H3 H4 Đánh giá thuật toán SHA-1 xem an toàn tượng đụng độ khó tìm hai thơng điệp khác có giá trị băm giống SHA-1 coi chuẩn việc bảo vệ kênh liên lạc trực tuyến tồn năm qua SHA-1 thiết kế cho xử lý 32 bit, hệ tới máy tính dùng xử lý 64 bit mà SHA-1 không hiệu xử lý Tháng năm 2005 SHA-1 bị công bời chuyên gia người Trung Quốc Thuật toán bị giải mã thơng qua phương pháp tính phân bổ b Thuật tốn MD5 Mơ tả thuật tốn Thuật tốn có đầu vào thơng điệp có độ dài tuỳ ý có đầu chuỗi có độ dài cố định 128 bit Thuật toán thiết kế để chạy máy tính 32 bit Thuật tốn: Thơng điệp đầu vào có độ dài b bit Biểu diễn bit dạng sau: m[0] m[1] m[2] m[b-1] Bước1: Các bit gắn thêm : Thông điệp mở rộng, thêm bit vào phía sau cho độ dài (bit) đồng dư với 448 theo môđun 512 Nghĩa thông điệp mở rộng cho cịn thiếu 64 bit có độ dài chia hết cho 512 Việc thêm bit thực sau: bit ‘1’ thêm vào sau thông điệp, sau bit ‘0’ thêm vào để có độ dài đồng dư với 448 môđun 512 o Phương pháp luận cho ứng dụng Tiêu chuẩn o Các thủ tục hành triển khai, chứng nhận sơ đồ định Xác định tập yêu cầu an tồn, có đích triển khai (TOE) u cầu rơi vào loại sau o Chức o Sự tin cậy Cả hai tổ chức theo lớp classes họ cấu thành Các yêu cầu Tiêu chuẩn chung Yêu cầu chức o Kiểm soát an tồn, hỗ trợ mã, trao đổi thơng tin, bảo vệ liệu người sử dụng, định danh xác thực, quản lý an tồn, tính riêng tư, bảo vệ hàm an toàn tin cậy, nguồn thiết thực, truy cập TOE, đường dẫn tin cậy Yêu cầu tin cậy o Quản lý tham số hệ thống, phân phối thao tác, phát triển, tài liệu dẫn, hỗ trợ thời gian sống, kiểm tra, đánh giá lỗ hổng, bảo trì tin cậy 5.5 Bài tập Liệt kê phân loại phần mềm có hại biện pháp phịng chống Phân tích kỹ thuật xâm nhập hệ thống cách phòng ngừa Nêu biện pháp tăng cường an ninh, bảo mật máy tính cá nhân dựa phần mềm thơng dụng có Mục đích u cầu việc xây dựng tường lửa Có loại tường lửa Nêu cách thiết lập tường lửa sử dụng cơng cụ hỗ trợ hệ điều hành Trình Phân tích lỗi tràn nhớ xảy ra, nêu nguyên nhân Tìm hiểu yêu cầu lập trình an tồn bày số mơ hình hệ thống máy tính tin cậy 6.3.2 Thanh tốn điện tử an toàn a Người mua mở tài khoản b Người mua nhận chứng nhận c Người bán có chứng nhận họ d Người mua đặt hàng e Người bán kiểm chứng f Đơn đặt hàng trả tiền gửi g Người bán yêu cầu giấy phép trả tiền h Người bán duyệt đơn đặt hàng i Người bán cung cấp hàng dịch vụ j Người bán yêu cầu trả tiền 6.3.3 Chữ ký kép Người mua tạo chữ ký kép o Thông tin đơn đặt OI cho người bán o Thông tin trả tiền PI cho ngân hàng Không bên biết chi tiết người khác Nhưng cần phải biết họ kết nối với Sử dụng chữ ký kép cho mục đích o Ký ghép OI PI 6.3.3 Yêu cầu trả tiền Trao đổi yêu cầu trả tiền gồm mẫu tin sau • Khởi tạo yêu cầu - nhận chứng nhận • Khởi tạo trả lời – ký trả lời • Yêu cầu trả tiền - OI PI • Trả lời trả tiền – đơn phúc đáp 6.3.4 Giấy phép cổng trả tiền • Kiểm chứng chứng nhận • Giải mã phong bì điện tử khối giấy phép nhận khố đối xứng, sau giải mã khối giấy phép • Kiểm tra chữ ký người bán khối giấy phép 6.3.2 Thanh toán điện tử an toàn a Người mua mở tài khoản b Người mua nhận chứng nhận c Người bán có chứng nhận họ d Người mua đặt hàng e Người bán kiểm chứng f Đơn đặt hàng trả tiền gửi g Người bán yêu cầu giấy phép trả tiền h Người bán duyệt đơn đặt hàng i Người bán cung cấp hàng dịch vụ j Người bán yêu cầu trả tiền 6.3.3 Chữ ký kép Người mua tạo chữ ký kép o Thông tin đơn đặt OI cho người bán o Thông tin trả tiền PI cho ngân hàng Không bên biết chi tiết người khác Nhưng cần phải biết họ kết nối với Sử dụng chữ ký kép cho mục đích o Ký ghép OI PI 6.3.3 Yêu cầu trả tiền Trao đổi yêu cầu trả tiền gồm mẫu tin sau • Khởi tạo yêu cầu - nhận chứng nhận • Khởi tạo trả lời – ký trả lời • Yêu cầu trả tiền - OI PI • Trả lời trả tiền – đơn phúc đáp 6.3.4 Giấy phép cổng trả tiền • Kiểm chứng chứng nhận • Giải mã phong bì điện tử khối giấy phép nhận khoá đối xứng, sau giải mã khối giấy phép • Kiểm tra chữ ký người bán khối giấy phép 6.3.2 Thanh tốn điện tử an tồn a Người mua mở tài khoản b Người mua nhận chứng nhận c Người bán có chứng nhận họ d Người mua đặt hàng e Người bán kiểm chứng f Đơn đặt hàng trả tiền gửi g Người bán yêu cầu giấy phép trả tiền h Người bán duyệt đơn đặt hàng i Người bán cung cấp hàng dịch vụ j Người bán yêu cầu trả tiền 6.3.3 Chữ ký kép Người mua tạo chữ ký kép o Thông tin đơn đặt OI cho người bán o Thông tin trả tiền PI cho ngân hàng Không bên biết chi tiết người khác Nhưng cần phải biết họ kết nối với Sử dụng chữ ký kép cho mục đích o Ký ghép OI PI 6.3.3 Yêu cầu trả tiền Trao đổi yêu cầu trả tiền gồm mẫu tin sau • Khởi tạo yêu cầu - nhận chứng nhận • Khởi tạo trả lời – ký trả lời • Yêu cầu trả tiền - OI PI • Trả lời trả tiền – đơn phúc đáp 6.3.4 Giấy phép cổng trả tiền • Kiểm chứng chứng nhận • Giải mã phong bì điện tử khối giấy phép nhận khoá đối xứng, sau giải mã khối giấy phép • Kiểm tra chữ ký người bán khối giấy phép 6.3.2 Thanh tốn điện tử an tồn a Người mua mở tài khoản b Người mua nhận chứng nhận c Người bán có chứng nhận họ d Người mua đặt hàng e Người bán kiểm chứng f Đơn đặt hàng trả tiền gửi g Người bán yêu cầu giấy phép trả tiền h Người bán duyệt đơn đặt hàng i Người bán cung cấp hàng dịch vụ j Người bán yêu cầu trả tiền 6.3.3 Chữ ký kép Người mua tạo chữ ký kép o Thông tin đơn đặt OI cho người bán o Thông tin trả tiền PI cho ngân hàng Không bên biết chi tiết người khác Nhưng cần phải biết họ kết nối với Sử dụng chữ ký kép cho mục đích o Ký ghép OI PI 6.3.3 Yêu cầu trả tiền Trao đổi yêu cầu trả tiền gồm mẫu tin sau • Khởi tạo yêu cầu - nhận chứng nhận • Khởi tạo trả lời – ký trả lời • Yêu cầu trả tiền - OI PI • Trả lời trả tiền – đơn phúc đáp 6.3.4 Giấy phép cổng trả tiền • Kiểm chứng chứng nhận • Giải mã phong bì điện tử khối giấy phép nhận khố đối xứng, sau giải mã khối giấy phép • Kiểm tra chữ ký người bán khối giấy phép 6.3.2 Thanh toán điện tử an toàn a Người mua mở tài khoản b Người mua nhận chứng nhận c Người bán có chứng nhận họ d Người mua đặt hàng e Người bán kiểm chứng f Đơn đặt hàng trả tiền gửi g Người bán yêu cầu giấy phép trả tiền h Người bán duyệt đơn đặt hàng i Người bán cung cấp hàng dịch vụ j Người bán yêu cầu trả tiền 6.3.3 Chữ ký kép Người mua tạo chữ ký kép o Thông tin đơn đặt OI cho người bán o Thông tin trả tiền PI cho ngân hàng Không bên biết chi tiết người khác Nhưng cần phải biết họ kết nối với Sử dụng chữ ký kép cho mục đích o Ký ghép OI PI 6.3.3 Yêu cầu trả tiền Trao đổi yêu cầu trả tiền gồm mẫu tin sau • Khởi tạo yêu cầu - nhận chứng nhận • Khởi tạo trả lời – ký trả lời • Yêu cầu trả tiền - OI PI • Trả lời trả tiền – đơn phúc đáp 6.3.4 Giấy phép cổng trả tiền • Kiểm chứng chứng nhận • Giải mã phong bì điện tử khối giấy phép nhận khố đối xứng, sau giải mã khối giấy phép • Kiểm tra chữ ký người bán khối giấy phép 6.3.2 Thanh tốn điện tử an tồn a Người mua mở tài khoản b Người mua nhận chứng nhận c Người bán có chứng nhận họ d Người mua đặt hàng e Người bán kiểm chứng f Đơn đặt hàng trả tiền gửi g Người bán yêu cầu giấy phép trả tiền h Người bán duyệt đơn đặt hàng i Người bán cung cấp hàng dịch vụ j Người bán yêu cầu trả tiền 6.3.3 Chữ ký kép Người mua tạo chữ ký kép o Thông tin đơn đặt OI cho người bán o Thông tin trả tiền PI cho ngân hàng Không bên biết chi tiết người khác Nhưng cần phải biết họ kết nối với Sử dụng chữ ký kép cho mục đích o Ký ghép OI PI 6.3.3 Yêu cầu trả tiền Trao đổi yêu cầu trả tiền gồm mẫu tin sau • Khởi tạo yêu cầu - nhận chứng nhận • Khởi tạo trả lời – ký trả lời • Yêu cầu trả tiền - OI PI • Trả lời trả tiền – đơn phúc đáp 6.3.4 Giấy phép cổng trả tiền • Kiểm chứng chứng nhận • Giải mã phong bì điện tử khối giấy phép nhận khoá đối xứng, sau giải mã khối giấy phép • Kiểm tra chữ ký người bán khối giấy phép o Được tạo thủ tục HandShake Protocol o Xác định tập tham số mã hố o Có thể chia sẻ kết nối SSL lặp a Dịch vụ thủ tục ghi SSL Dịch vụ thủ tục ghi SSL đảm bảo tính tồn vẹn tin: o Sử dụng MAC với khoá mật chia sẻ o Giống HMAC với đệm khác cung cấp bảo mật: o Sử dụng mã đối xứng với khoá chung xác định thủ tục HandShake o IDEA, RC2-40, DES-40, DES, 3DES, Fortezza, RC4-40, RC4-128 o Bản tin nén trước mã b Thủ tục thay đổi đặc tả mã SSL (SSL Change Cipher Spec Protocol): Đây giao thức chuyên biệt SSL sử dụng thủ tục ghi SSL Đây mẫu tin đơn, buộc trạng thái treo trở thành thời cập nhật mã dùng c Thủ tục nhắc nhở SSL (SSL Alert Protocol) Truyền lời nhắc SSL liên quan cho thành viên Nghiêm khắc: nhắc nhở cảnh báo Nhắc nhở đặc biệt: o cảnh báo: mẳu tin không chờ đợi, ghi MAC tồi, lỗi giải nén, lỗi Handshake, tham số không hợp lệ o Nhắc nhở: đóng ghi chú, khơng chứng nhận, chứng nhận tồi, chứng nhận không hỗ trợ, chứng nhận bị thu hồi, chứng nhận hạn, chứng nhận đến Nén mã liệu SSL d Thủ tục bắt tay SSL (SSL HandShake Protocol) Thủ tục cho phép máy chủ máy trạm: o Xác thực o Thỏa thuận thuật toán mã hoá MAC o Thỏa thuận khoá mã dùng Nó bao gồm loạt thơng tin: o Thiết lập khả an toàn o Xác thực máy chủ trao đổi khoá o Xác thực máy trạm trao đổi khố o Kết thúc e An tồn tầng vận chuyển IETF chuẩn RFC 2246 giống SSLv3 Với khác biệt nhỏ: o số ký hiệu kích thước ghi o sử dụng HMAC thay cho MAC o hàm giả ngẫu nhiên tăng độ mật o có mã ghi bổ sung o có số thay đổi hỗ trợ mã o thay đổi kiểu chứng nhận thỏa thuận o thay đổi đệm tính tốn mã Sau ta xem xét chi tiết giao thức xác thực người dùng RADIUS giao thức SSL: Giao thức RADIUS RADIUS dịch vụ dành cho việc xác nhận cho phép người dùng truy cập từ xa qua thiết bị môdem, DSL, cáp mạng thiết bị không dây khác Một site thông thường có máy chủ truy cập kết nối vào modem Một máy chủ dịch vụ RADIUS kết nối vào mạng dịch vụ xác nhận Những người dùng từ xa gọi vào máy chủ truy cập, máy chủ yêu cầu dịch vụ xác nhận từ máy chủ dịch vụ RADIUS Máy chủ dịch vụ RADIUS xác nhận người dùng cho phép họ truy cập tài nguyên.Những nhà quản trị mạng tạo hồ sơ người dùng máy chủ RADIUS,xác định quyền hạn cấp cho người dùng từ xa Những giao thức hỏi đáp sử dụng suốt trình người dùng vào mạng Giao thức SSL Được phát triển Netscape, giao thức SSL sử dụng rộng rãi mạng Internet việc xác thực mã hố thơng tin máy trạm máy chủ Trong SSL sử dụng để hỗ trợ giao dịch an toàn cho nhiều ứng dụng khác Internet SSL giao thức đơn lẻ, mà tập thủ tục chuẩn hoá để thực nhiệm vụ bảo mật sau: • Xác thực máy chủ: Cho phép người sử dụng xác thực máy chủ muốn kết nối Lúc này, phía browser sử dụng kỹ thuật mã hố cơng khai để chắn chứng khố cơng cộng máy chủ có giá trị cấp phát CA danh sách CA đáng tin cậy máy trạm • Xác thực máy trạm: Cho phép phía máy chủ xác thực người sử dụng muốn kết nối Phía máy chủ sử dụng kỹ thuật mã hố cơng khai để kiểm tra xem chứng khố cơng cộng máy chủ có giá trị hay không cấp phát CA danh sách CA đáng tin cậy khơng • Mã hố kết nối: Tất thông tin trao đổi máy trạm máy chủ mã hoá đường truyền nhằm nâng cao khả bảo mật Hoạt động SSL Giao thức SSL hoạt động dựa hai nhóm giao thức giao thức “bắt tay” giao thức “bản ghi” Giao thức bắt tay xác định tham số giao dịch hai đối tượng có nhu cầu trao đổi thơng tin liệu, cịn giao thức ghi xác định khuôn dạng cho tiến hành mã hoá truyền tin hai chiều hai đối tượng đó.Giao thức SSL “bắt tay” sử dụng SSL “bản ghi” để trao đổi số thông tin máy chủ máy trạm vào lần thiết lập kết nối SSL Một giao dịch SSL thường bắt đầu trình “bắt tay” hai bên Các bước q trình “bắt tay” sau: Máy trạm gửi cho máy chủ số phiên SSL dùng, tham số thuật toán mã hoá, liệu tạo ngẫu nhiên (chữ ký số) số thông tin khác mà máy chủ cần để thiết lập kết nối với máy trạm Máy chủ gửi cho máy trạm số phiên SSL dùng, tham số thuật toán mã hoá, liệu tạo ngẫu nhiên số thông tin khác mà máy trạm cần để thiết lập kết nối với máy chủ Ngoài máy chủ gửi chứng đến máy trạm yêu cầu chứng máy trạm cần Máy trạm sử dụng số thông tin mà máy chủ gửi đến để xác thực máy chủ Nếu máy chủ khơng xác thực người sử dụng cảnh báo kết nối không thiết lập Còn xác thực máy chủ phía máy trạm thực tiếp bước 4 Sử dụng tất thông tin tạo giai đoạn bắt tay trên, máy trạm (cùng với cộng tác máy chủ phụ thuộc vào thuật toán sử dụng) tạo premaster secret cho phiên làm việc, mã hoá khoá công khai mà máy chủ gửi đến chứng bước 2, gửi đến máy chủ Nếu máy chủ có u cầu xác thực máy trạm, phía máy trạm đánh dấu vào phần thơng tin riêng liên quan đến trình “bắt tay” mà hai bên biết Trong trường hợp này, máy trạm gửi thông tin đánh dấu chứng với premaster secret mã hoá tới máy chủ Máy chủ xác thực máy trạm Trường hợp máy trạm không xác thực, phiên làm việc bị ngắt Còn máy trạm xác thực thành công, máy chủ sử dụng khố bí mật để giải mã premaster secret, sau thực số bước để tạo master secret Máy trạm máy chủ sử dụng master secret để tạo khoá phiên , khố đối xứng sử dụng để mã hố giải mã thơng tin phiên làm việc kiểm tra tính tồn vẹn liệu Máy trạm gửi lời nhắn đến máy chủ thông báo thông điệp mã hố khố phiên Sau gửi lời nhắn mã hố để thơng báo phía máy trạm kết thúc giai đoạn “bắt tay” Máy chủ gửi lời nhắn đến máy trạm thông báo thông điệp mã hố khố phiên Sau gửi lời nhắn mã hố để thông báo máy chủ kết thúc giai đoạn “bắt tay” 10 Lúc giai đoạn “bắt tay” hoàn thành, phiên làm việc SSL bắt đầu Cả hai phía máy trạm máy chủ sử dụng khố phiên để mã hố giải mã thơng tin trao đổi hai bên, kiểm tra tính tồn vẹn liệu 6.3 Thanh tốn điện tử an toàn 6.3.1 Yêu cầu Đây mã mở đặc tả an tồn nhằm bảo vệ tốn thẻ tín dụng Internet Nó phát triển năm 1996 Master, Visa Card hệ thống trả tiền Thanh tốn điện tử an tồn tập giao thức định dạng an toàn dùng để o Trao đổi an toàn đối tác o Tin tưởng sử dụng X509v3 o Riêng biệt hạn chế thơng tin cho người cần Các thành phần Thanh tốn điện tử 6.3.2 Thanh tốn điện tử an tồn a Người mua mở tài khoản b Người mua nhận chứng nhận c Người bán có chứng nhận họ d Người mua đặt hàng e Người bán kiểm chứng f Đơn đặt hàng trả tiền gửi g Người bán yêu cầu giấy phép trả tiền h Người bán duyệt đơn đặt hàng i Người bán cung cấp hàng dịch vụ j Người bán yêu cầu trả tiền 6.3.3 Chữ ký kép Người mua tạo chữ ký kép o Thông tin đơn đặt OI cho người bán o Thông tin trả tiền PI cho ngân hàng Không bên biết chi tiết người khác Nhưng cần phải biết họ kết nối với Sử dụng chữ ký kép cho mục đích o Ký ghép OI PI 6.3.3 Yêu cầu trả tiền Trao đổi yêu cầu trả tiền gồm mẫu tin sau • Khởi tạo yêu cầu - nhận chứng nhận • Khởi tạo trả lời – ký trả lời • Yêu cầu trả tiền - OI PI • Trả lời trả tiền – đơn phúc đáp 6.3.4 Giấy phép cổng trả tiền • Kiểm chứng chứng nhận • Giải mã phong bì điện tử khối giấy phép nhận khoá đối xứng, sau giải mã khối giấy phép • Kiểm tra chữ ký người bán khối giấy phép • Giải mã phong bì điện tử khối trả tiền, nhận khố đối xứng, sau giải mã khối trả tiền • Kiểm tra chữ ký kép khối trả tiền • Kiểm tra rằng, tốn ID nhận từ người bán phù hợp với danh tính PI nhận (khơng trực tiếp) từ người bán • u cầu nhận giấy phép từ nơi phát hành • Gửi trả lời giấy phép cho người bán 6.3.5 Nhận trả tiền Người bán gửi cho cổng trả tiền yêu cầu nhận trả tiền Cổng kiểm tra yêu cầu Sau yêu cầu chuyển tiền đến tài khoản người bán Thông báo cho người bán chờ trả lời việc nhận 6.4 An toàn thư điện tử Thư điện tử dịch vụ mạng coi trọng ứng dụng rộng rãi Đồng thời nội dung mẫu tin khơng an tồn Có thể bị quan sát đường truyền người có thẩm quyền thích hợp hệ thống đầu cuối Nâng cao an toàn thư điện tử mục đích quan trọng hệ thống trao đổi thư Ở phải đảm bảo yêu cầu sau: tính bảo mật nội dung tin gửi, xác thực người gửi mẫu tin, tính tồn vẹn mẫu tin, bảo vệ khỏi bị sửa, tính chống từ chối gốc, chống từ chối người gửi 6.4.1 Dịch vụ PGP PGP (Pretty Good Privacy) dịch vụ bảo mật xác thực sử dụng rộng rãi cho chuẩn an toàn thư điện tử PGP phát triển Phil Zimmermann Ở lựa chọn thuật toán mã hố tốt để dùng, tích hợp thành chương trình thống nhất, chạy Unix, PC, Macintosh hệ thống khác Ban đầu miĩen phí, có phiên thương mại Sau xem xét hoạt động PGP Thao tác PGP – xác thực Người gửi tạo mẫu tin, sử dụng SHA-1 để sinh Hash 160 bit mẫu tin, ký hash với RSA sử dụng khoá riêng người gửi đính kèm vào mẫu tin Người nhận sử dụng RSA với khố cơng khai người gửi để giải mã khôi phục hash Người nhận kiểm tra mẫu tin nhận sử dụng hash so sánh với hash giải mã Thao tác PGP – bảo mật Người gửi tạo mẫu tin số ngẫu nhiên 128 bit khoá phiên cho nó, mã hố mẫu tin sử dụng CAST-128/IDEA /3DES chế độ CBC với khố phiien Khố phiên mã sử dụng RSA với khố cơng khai người nhận đính kèm với mẫu tin Người nhận sử dụng RSA với khoá riêng để giải mã khơi phục khố phiên Khố phiên sử dụng để giải mã mẫu tin Thao tác PGP - Bảo mật xác thực Có thể sử dụng hai dịch vụ mẫu tin Tạo chữ ký đính vào mẫu tin, sau mã mẫu tin chữ ký Đính khố phiên mã hố RSA/ElGamal Thao tác PGP – nén Theo mặc định PGP nén mẫu tin sau ký trước mã Như cần lưu mẫu tin chưa nén chữ ký để kiểm chứng sau Vì nén khơng Ở sử dụng thuật tốn nén ZIP Thao tác PGP – tương thích thư điện tử Khi sử dụng PGP có liệu nhị phân để gửi (mẫu tin mã) Tuy nhiên thư điện tử thiết kế cho văn Vì PGP cần mã liệu nhị phân thô vào ký tự ASCII in Sau sử dụng thuật toán Radix 64, ánh xạ byte vào ký tự in bổ sung kiểm tra thừa quay vòng CRC để phát lỗi truyền PGP chia đoạn mẫu tin lớn Tóm lại, cần có khố phiên cho mẫu tin, có kích thước khác nhau: 56 bit – DES, 128 bit CAST IDEA, 168 bit Triple – DES, sinh sử dụng liệu đầu vào ngẫu nhiên lấy từ sử dụng trước thời gian gõ bàn phím người sử dụng Khố riêng cơng khai PGP Vì có nhiều khố riêng khố cơng khai sử dụng, nên cần phải xác định rõ dùng để mã khoá phiên mẫu tin Có thể gửi khố cơng khai đầy đủ với mẫu tin Nhưng khơng đủ, cần phải nêu rõ danh tính người gửi Do sử dụng định danh khố để xác định người gửi Có 64 bit có ý nghĩa khố nhất, sử dụng định danh khoá chữ ký PGP Message Format Các chùm khoá PGP Mỗi người sử dụng PGP có cặp chùm khố Chùm khố cơng khai chứa khố cơng khai người sử dụng PGP khác người biết đánh số định danh khoá (ID key) Chùm khoá riêng chứa cặp khố cơng khai/riêng người đánh số định danh khoá mã khoá lấy từ giai đoạn duyệt hash An tồn khố cơng khai phụ thuộc vào độ an toàn giai đoạn duyệt Sinh mẫu tin PGP Sơ đồ sau mơ tả qui trình sinh mẫu tin PGP để gửi cho người nhận Nhận mẫu tin PGP Sơ đồ sau nêu cách người nhận giải mã, kiểm chứng thông tin để đọc mẫu tin Quản lý khoá PGP Tốt hết dựa vào chủ quyền chứng nhận Trong PGP người sử dụng có CA Có thể ký khoá cho người sử dụng mà biết trực tiếp Tạo thành “Web niềm tin” Cần tin cậy khóa ký, tin cậy khoá mà người khác ký dùng dây chuyền chữ ký đến Chùm khố chưá dẫn tin cậy Người sử dụng thu hồi khoá họ 6.4.2 Mở rộng thư Internet đa mục đích/an tồn S/MIME Tăng cường an tồn cho thư điện tử đa mục đích mở rộng MIME (Multipurpose Internet Mail Extension) Thư điện tử Internet RFC822 gốc có văn bản, MIME cung cấp hỗ trợ cho nhiều kiểu nội dung mẫu tin có nhiều phần với mã hoá liệu nhị phân thành dạng văn S/MIME tăng cường tính an tồn, có hỗ trợ S/MIME nhiều tác nhân thư điện tử MS Outlook, Mozilla, Mac Mail, … Các chức S/MIME Dữ liệu đóng phong bì, nội dung mã hố liên kết khoá, liệu ký, mẫu tin mã ký sau nén, liệu rõ ràng ký, mẫu tin tường minh mã hoá ch ữ ký nén, liệu đóng phong bì ký, lồng th ực th ể ký mã Các thuật toán mã hoá S/MIME Các chữ ký điện tử DSS RSA, hàm hash: SHA-1 MD5, mã khoá phiên: Elgamal & RSA, mã mẫu tin: AES, Triple-DES, RC2/40, …;MAC: HMAC với SHA-1 Có q trình để đối thoại định sử dụng thuật toán Các mẫu tin S/MIME S/MIME bảo vệ thực thể MIME với chữ ký, mã hai tạo thành đối tượng đóng gói MIME Có phạm vi kiểu nội dung khác nhau: liệu đóng phong bì, liệu ký, liệu rõ ràng ký, yêu cầu đăng ký, chứng nhận mẫu tin Quá trình chứng nhận S/MIME S/MIME sử dụng chứng nhận X.509 phiên Quản trị việc sử dụng kết hợp sơ đồ phân cấp CA X.509 Web niềm tin PGP Mỗi client có danh sách giấy chứng nhận cho CA tin cậy có giấy chứng nhận cặp khố cơng khai/riêng Chứng nhận cần ký CA tin cậy Chủ quyền chứng nhận CA (Certificate Authorities) Có số CA người biết Verisign CA sử dụng rộng rãi Verisign xuất số kiểu định danh điện tử Tăng mức kiểm tra kéo theo độ tin cậy 6.4.3 Bài tập Bài Nêu mục đích IPSec, tham số, AH ESP Bài Nêu mục đích SSL TLS Trình bày kiến trúc nhiệm vụ thành phần chúng Bài Thế tốn điện tử an tồn Bài Nêu yêu cầu chữ ký kép chứng tỏ chữ ký kép toán điện tử an tồn đáp ứng u cầu Bài Nêu qui trình tốn điện tử an tồn, chứng tỏ đáp ứng u cầu an tồn đề Bài Nêu yêu cầu bảo mật, xác thực, chữ ký điện tử hệ thống thư địên tử Bài Trình bày giải pháp đề xuất PGP cho hệ thống thư điện tử Bài Tìm hiểu xác thực cở HTTP Internet Explorer Thuật ngữ Database CÁC THUẬT NGỮ CHUYÊN MÔN Giải thích Cơ sở liệu TÀI LIỆU THAM KHẢO Tiếng Việt [1] Ths Ngô Bá Hùng-Ks Phạm Thế Phi, Giáo trình mạng máy tính, Đại học Cần Thơ, năm 2005 [2] Đặng Xn Hà, An tồn mạng máy tính, NXB Giáo dục, năm 2005 [3] Nguyễn Anh Tuấn, Bài giảng Kỹ thuật an tồn mạng, Trung tâm TH-NN Trí Đức, 2010 [4] Angus Wong, Alan Yeung, Network Infrastructure Security, Springer Science+Business Media, 2009 DANH SÁCH BAN BIÊN SOẠN GIÁO TRÌNH DẠY NGHỀ TRÌNH ĐỘ TRUNG CẤP, CAO ĐẲNG Tên giáo trình: QUẢN TRỊ CƠ SỞ DỮ LIỆU NÂNG CAO Tên nghề: QUẢN TRỊ MẠNG Ông (bà) Ông (bà) Ông (bà) Ông (bà) Ông(bà) Ông(bà) Ông(bà) Ông(bà) Ông(bà) Chủ nhiệm Phó chủ nhiệm Thư ký Thành viên Thành viên Thành viên Thành viên Thành viên Thành viên DANH SÁCH HỘI ĐỒNG NGHIỆM THU GIÁO TRÌNH DẠY NGHỀ TRÌNH ĐỘ TRUNG CẤP, CAO ĐẲNG Ông (bà) Ông (bà) Ông (bà) Ông (bà) Ông(bà) Ông(bà) Ông(bà) Ông(bà) Ông(bà) Chủ tịch Phó chủ tịch Thư ký Thành viên Thành viên Thành viên Thành viên Thành viên Thành viên Phụ lục 3.2 CÁC TIÊU CHÍ VÀ TIÊU CHUẨN ĐÁNH GIÁ CHẤT LƯỢNG GIÁO TRÌNH DẠY NGHỀ TRÌNH ĐỘ TRUNG CẤP VÀ CAO ĐẲNG Số TT A 2* 3* 4* B 5* 6* 7* Các tiêu chí đánh giá Sự tương ứng với chương trình Giáo trình có đủ đề mục thể nội dung theo mẫu định dạng Giáo trình có đầy đủ nội dung theo chương trình chi tiết mơn học/mơ đun chương trình đào tạo Nội dung chương/bài đảm bảo mục tiêu kiến thức, kỹ đề không? Khối lượng thơng tin mơn học/mơ đun có phù hợp với thời lượng chương trình khơng? Tính logíc Nội dung chương/bài có trình bày cách logic với q trình nhân thức khơng? (tức là: Mức độ từ dễ đến khó, tính trình tự cho khái niệm từ đơn giản đến phức tạp) Các bước hình thành kỹ có hợp lý vừa phải không? (tức quan sát mẫu - bắt trước - làm - làm độc lập - làm thục theo đường xoắn ốc để hình thành kỹ xảo) Mối quan hệ lý thuyết thực hành có hợp lý để bảo đảm nhận thức kiến thức, hình thành kỹ khơng? Mức độ đánh giá Đạt Đạt yêu yêu cầu cầu đề nghị ban phải hành chỉnh sửa Chưa đạt yêu cầu Ghi phải xây dựng lại 8* C 9* 10* 11* 12 13 D 14 15 E 16 17 Hình thức học tập giải pháp sư phạm cho chủ đề có thích hợp so với mục tiêu đề không? Mức đầy đủ/bao quát mục tiêu Nội dung có đầy đủ để đảm bảo đào tạo có kết theo mục tiêu thực khơng Nội dung có nhấn mạnh để rèn luyện, hình thành kỹ cần thiết khơng? (Tức có quy trình rèn luyện/thực hành bao gồm khía cạnh khác như: tinh thần trách nhiệm, tuân thủ kỷ luật, ý thức an toàn, ứng xử nhóm, tác phong cơng nghiệp…) Các cấu phần tạo chủ động học tích cực có đầy đủ không? (tức đủ mục: Giới thiệu, hướng dẫn, tự đánh giá, giải thích thuật ngữ, tài liệu tham khảo…) Có vận dụng hỗ trợ trang thiết bị, nguồn học liệu, nguồn l;ực khác cho q trình học tập học viên khơng? Các hành ảnh minh họa, bảng biểu, vẽ, quy trình thực hiện…có đủ mức cần thiết, rõ ràng ăn nhập với đoạn viết khơng? Tính chuẩn xác Nội dung khoa học thơng tin có xác không? (về chất vấn đề, số liệu, kiện đường nét…được đề cập đoạn viêt, bảng biểu hình minh họa, vẽ ) Các thuật ngũ có đảm bảo tính phổ thơng qn khơng? Phong cách biên soạn Ý tứ trình bày rõ ràng, sáng sủa, đơn giản dễ hiểu không? Cân đối phù hợp kênh hình kênh chữ 18 19 20 F 21 22 23 Có vi phạm văn hóa tập qn dân tộc Việt Nam khơng? Có sai phạm Luật quyền khơng? Phong cách trình bày tính gợi mở, lơi kéo người học thực công việc không? Cấu trúc chuyên mục Bố cục có quán tồn tài liệu khơng? Mối liên hệ chuyên mục có chặt chẽ tương ứng với không? (đặc biệt mục tiêu, kiểm tra đánh giá hướng dẫn trả lời) Mã chuyên mục, hình vẽ, bảng biểu, vẽ…có qn xác tạo điều kiện thuận lợi cho việc tìm kiếm liên hệ Ghi chú: Các tiêu chí có đánh dấu * có ý nghĩa quan trọng chất lượng giáo trình biên soạn Các mức độ đánh giá: - Đạt yêu cầu: Không phải sửa chữa cần sửa chữa vài lỗi nhỏ biên tập; - Đạt yêu cầu phải chỉnh sửa: Phải sửa chữa số lỗi nội dung chuyên môn biên tập, chỉnh lý, bổ sung; sau trình chủ tịch, phó chủ tịch thư ký hội đồng xem xét, thông qua đạt u cầu đề nghị phê duyệt; - Khơng đạt yêu cầu: Có nhiều lỗi nội dung chuyên mơn biên tập, phải biên soạn lại để trình Hội đồng thẩm định lại ... lập o Danh tính A mẩu tin từ A o Mẩu tin gửi cho B o Tính tồn vẹn gốc gác mẩu tin Mẩu tin bao gồm nhãn thời gian, ký hiệu đặc trưng mẩu tin (nonce), danh tính B ký A Có thể bao gồm số thông tin. .. nhiều tầng ứng dụng chế an toàn IP cài đặt mạng cho ứng dụng 6.1.1 IPSec IPSec chế an toàn IP tổng quan Nó cung cấp: xác thực, bảo mật quản trị khoá IPSec dùng mạng LAN, mạng WAN riêng chung mạng... hệ thống bảo mật - Thực thao tác an tồn với máy tính Nội dung chính: Trong chương xét đến chế an toàn IPSec số giao thức bảo mật lớp vận chuyển ứng dụng Web 6.1 An tồn IP Có nhiều chế an tồn ứng