HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA QUỐC TẾ VÀ ĐÀO TẠO SAU ĐẠI HỌC ____________*____________ TIỂU LUẬN AN NINH MẠNG ĐỀ TÀI: KÊNH AN TOÀN ( SECURE CHANNELS) Học viên thực hiện: Phạm Hữu Tình Lớp: M12CQCT01B Giáo viên hướng dẫn: PGS.TSKH. HOÀNG ĐĂNG HẢI Hà Nội, 06-2013 Mục Lục 1.1 Xác thực (Authentification). 1.1.1 Xác thực dựa trên khóa bí mật. Nguyên lý chung: bên gửi muốn giao tiếp với bên nhận sẽ gửi một yêu cầu A tới bên nhận. Bên nhận trả lời bằng một yêu cầu R B . Bên gửi sẽ mã hóa yêu cầu R B bằng khóa bí mật K A,B và gửi về cho bên nhận. Bên nhận xác thực được bên gửi nhờ nhận biết được yêu cầu R B mình đã gửi trong gói tin vừa nhận. Lúc này bên gửi muốn xác thực bên nhận sẽ tiếp tục gửi yêu cầu R A tới bên nhận. Bên nhận sẽ lại mã hóa R A bằng khóa bí mật K A,B đó và gửi về cho bên nhận. Và như thế bên nhận đã xác định được bên gửi, sau đó quá trình trao đổi sẽ được thực hiện. 2 Hình Xác thực dựa trên khóa bí mật Một mô hình cải tiến hơn là thu gọn số lượng bản tin chỉ còn lại 3 bản tin giữa bên nhận và bên gửi. Hình Xác thực dựa trên khóa bí mật nhưng dùng 3 bản tin 3 Nhưng hiện nay, giao thức hay được dùng là “reflection attack” như được mô tả trong hình vẽ sau: Hình Reflection Attack 1.1.2 Xác thực dựa trên trung tâm phân phối khóa. Nếu hệ thống gồm N host, mỗi host phải chia sẻ một khóa mật với N-1 host khác thì hệ thống cần quản lý N.(N-1)/2 khóa, và mỗi host phải quản lý N-1 khóa. Như vậy nếu N lớn sẽ rất khó khăn trong việc quản lý. Do đó, để khắc phục hiện tượng trên ta sử dụng trung tâm phân phối khóa KDC (Key Distribution Center). Tư tưởng chính: bên gửi sẽ gửi bản tin tới trung tâm phân phối khóa thông báo mình muốn giao tiếp với bên nhận. KDC sẽ gửi cho cả bên gửi và bên nhận một bản tin có chứa khóa bí mật K A,B . Bản tin gửi cho bên nhận sẽ được mã hóa bằng K A,KDC . Bản tin gửi cho bên gửi sẽ được mã hóa bằng K B,KDC . 4 Hình Nguyên lý của KDC Cách tiếp cận thứ hai là KDC sẽ gửi cả hai bản tin chứa khóa bí mật K A,KDC (K A,B ) và K B,KDC (K A,B ) cho bên gửi và bên gửi có nhiệm vụ gửi cho bên nhận khóa đã được KDC mã hóa K B,KDC (K A,B ) đó. Hình Dùng ticket 5 1.1.3 Xác thực dựa trên khóa công khai. Hình Xác thực dựa trên khóa công khai. Bên gửi mã hóa yêu cầu bằng khóa công khai K + B của bên nhận. Bên nhận này là nơi duy nhất có thể giải mã bản tin đó bằng K - B . Bên nhận sẽ mã hóa yêu cầu của bên gửi cùng với yêu cầu của chính mình và khóa K A,B vừa tạo ra bằng khóa công khai K + A của bên gửi nhằm xác thực bên gửi. Cuối cùng, bên gửi sẽ gửi lại cho bên nhận yêu cầu R B của bên nhận đã gửi đi để xác thực. 1.2 Tính toàn vẹn và tính mật của thông điệp. 1.2.1 Chữ kí số. Chữ kí số để đảm bảo tính toàn vẹn của thông điệp. Có nhiều cách thiết lập chữ kí số cho thông điệp: Cách 1: dùng hệ mật mã khóa công khai là RSA. Hình chữ kí số cho một bản tin dùng khóa công khai 6 Bên gửi sẽ mã hóa bản tin bằng khóa riêng K - A của mình, sau đó sẽ mã hóa tiếp nội dung bản tin và phiên bản chữ kí bằng khóa công khai K + B của bên nhận. Bản tin được mã hóa này sẽ được truyền đi cùng bản tin m. Bên nhận sau khi nhận được bản tin sẽ giải mã gói tin, lấy phiên bản chữ kí của m và so sánh với m để xác thực rằng bản tin này được gửi từ bên gửi đó và cũng để kiểm tra xem có thay đổi trên đường truyền hay không. Cách 2: dùng hàm băm. Hàm băm H dùng để tính toán một bản tin có độ dài cố định là một chuỗi bit h từ một bản tin có độ dài tùy ý m. Nếu giá trị m thay bằng giá trị m’ thì H(m’) cũng có giá trị khác giá trị h = H(m), do đó ta có thể dễ dàng xác định được những thay đổi trên bản tin m trên đường truyền. Hình chữ kí số cho một bản tin dùng message digest Bên gửi sẽ tính toán các bản tin có độ dài cố định từ bản tin m và mã hóa bằng khóa riêng của mình. Bản tin được mã hóa này sẽ được truyền đi cùng bản tin m. Khi nhận, bên nhận giải mã bản tin và thực hiện so sánh với bản tin m đã được truyền đi để xác định được rằng bản tin này gửi từ bên gửi đó và đã được kí bằng chữ kí số. 1.2.2 Khóa phiên Trong một kênh trao đổi an toàn, sau pha xác thực sẽ tiến hành truyền thông. Mỗi kênh truyền thông đó được xác định bởi một khóa phiên tương ứng. Khi phiên truyền kết thúc thì khóa phiên tương ứng cũng bị hủy bỏ. 1.3 Truyền thông nhóm an toàn 1.3.1 Truyền thông nhóm bí mật Mô hình đơn giản là tất cả các thành viên trong nhóm sẽ cùng có một khóa bí mật để mã hóa và giải mã các bản tin. Điều kiện tiên quyết cho mô hình này là phải đảm bảo rằng tất cả các thành viên trong nhóm phỉa giữ bia mật khóa đó. 7 Mô hình thứ hai là dùng một khóa bí mật cho từng cặp thành viên trong nhóm. Khi một trong hai thành viên kết thúc phiên truyền thì thành viên còn lại vẫn sẽ dùng khóa đó để giao tiếp với thành viên khác trong nhóm. Với mô hình này phải duy trì tới N (N-1)/2 khóa. Mô hình thứ ba là dùng khóa công khai. Mỗi một thành viên trong nhóm sẽ phải duy trì một cặp khóa công khai và khóa riêng, trong đó khóa công khai được dùng bởi tất cả thành viên trong nhóm. 1.3.2 Server nhân bản an toàn Việc nhân bản các server thường dùng trong việc chịu lỗi cho hệ phân tán nhưng đôi khi cũng được dùng để đảm bảo tính tin cậy cho hệ thống. 8 . VÀ ĐÀO TẠO SAU ĐẠI HỌC ____________*____________ TIỂU LUẬN AN NINH MẠNG ĐỀ TÀI: KÊNH AN TOÀN ( SECURE CHANNELS) Học viên thực hiện: Phạm Hữu Tình Lớp: M12CQCT01B. bằng chữ kí số. 1.2.2 Khóa phiên Trong một kênh trao đổi an toàn, sau pha xác thực sẽ tiến hành truyền thông. Mỗi kênh truyền thông đó được xác định bởi một