Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 24 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
24
Dung lượng
791,22 KB
Nội dung
Bài thi cuối kì mơn ANM HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THƠNG I TIỂU LUẬN CUỐI KÌ MƠN AN NINH MẠNG THƠNGTIN ĐỀ TÀI: TÌM HIỂU VỀ CÁC PHƯƠNG PHÁP XÁC THỰC NGƯỜI DÙNG VÀ ỨNG DỤNG Giảng viên: Phạm Anh Thư Nhóm 12 Phạm Trần Hà Minh B17DCVT239 Trần Trung Hiếu B17DCVT135 Hà Nội, tháng năm 2021 Nhóm 12 Bài thi cuối kì mơn ANM Mục lục I TỔNG QUAN VỀ XÁC THỰC NGƯỜI SỬ DỤNG 1.1 Khái niệm xác thực 1.2 Giới thiệu định danh xác thực điều khiển truy cập II PHƯƠNG PHÁP ĐỊNH DANH VÀ XÁC THỰC 2.1 Phương pháp định danh 2.1.1 Định danh dựa thông tin người dùng tự nhập 2.1.2 Định danh sử dụng sinh trắc học 2.2 Phương pháp xác thực 2.2.1 Những bạn biết 2.2.2 Những bạn có 2.2.3 Những bạn III CÁC GIAO THỨC XÁC THỰC NGƯỜI SỬ DỤNG 10 3.1 Giao thưc xác thực đơn giản 10 3.2 Giao thưc xác thực challenge-response 11 3.3 Giao thưc xác thực sử dụng khóa đối xứng 12 3.3.1 Giao thức xác thực xử dụng khóa đối xứng 12 3.3.2 Giao thức xác thực lẫn 12 3.3.3 Giao thức xác thực lẫn cải tiến 12 3.3.4 Giao thức xác thực lẫn cải tiến khác 13 3.4 Giao thưc xác thực sử dụng khóa cơng khai 14 3.5 Giao thưc xác thực KERBEROS 15 IV ỨNG DỤNG 19 V KẾT LUẬN 22 Tài liệu tham khảo 22 Thuật ngữ viết tắt 23 Danh mục hình ảnh 23 Kiểm tra Doit(6%) 24 Nhóm 12 Bài thi cuối kì mơn ANM Lý chọn đề tài Nhận thức phát triển công nghệ thông tin nước giới, sống ngày phát triển theo phương hướng số Con người ngày mang nhiều hoạt động sống lên môi trường mạng mang lại nhiều tiện ích khơng thiếu ảnh hưởng tiêu cực việc an toàn an ninh mạng Do vấn đề xác thực người sử dụng trở thành vấn đề quan tâm lên việc tìm hiểu đề tài “ Các phương pháp xác thực người sử dụng ứng dụng” nâng cao hiểu biết xác thực an ninh mạng thông tin người I.TỔNG QUAN VỀ XÁC THỰC NGƯỜI SỬ DỤNG 1.1 Khái niệm xác thực người sử dụng Xác thực người dùng quy trình bảo mật bao gồm tất tương tác người với máy tính yêu cầu người sử dụng đăng ký đăng nhập Nói cách đơn giản hơn, xác thực đặt câu hỏi cho người sử dụng “bạn ai?” đợi phản ứng họ Khi người sử dụng đăng ký tài khoản, họ phải tạo ID mã khóa cho phép họ truy cập vào tài khoản sau Nói chung, tên người dùng mật sử dụng làm ID khóa, ngồi mã khóa dạng khóa khác coi chứng xác thực họ sử dụng Về bản, quy trình xác thực người sử dụng quy trình cung cấp cho người sử dụng quyền truy cập vào tài khoản họ chặn người dùng chưa xác thực có quyền truy cập Điều có nghĩa Người dùng A đăng nhập vào tài khoản họ, Người dùng B bị từ chối quyền truy cập Ngược lại, Người dùng B truy cập tài khoản họ, Người dùng A truy cập Xác thực người sử dụng quan trọng bước bắt buộc quy trình ngăn người dùng trái phép truy cập vào thơng tin nhạy cảm Quy trình xác thực tăng cường đảm bảo Người dùng A có quyền truy cập vào thông tin họ cần xem thông tin nhạy cảm Người dùng B Tuy nhiên, xác thực người sử dụng bạn không an tồn, tội phạm mạng cơng hệ thống giành quyền truy cập, lấy thông tin mà người dùng phép truy cập Nhóm 12 Bài thi cuối kì mơn ANM Hình 1: Xác thực sử dụng mật 1.2 Giới thiệu định danh xác thực điều khiển truy nhập Định danh xác thực quy trình bắt buộc điều khiển truy nhập gồm hai bước nhằm xác minh người truy nhập vào hệ thống Định danh trình người dùng cung cấp cho hệ thống biết họ (Chẳng hạn dùng tên người dùng) Bộ phận định danh hệ thống điều khiển truy cập hoạt động đơn giản chủ yếu dựa hệ thống tên người dùng (username) danh người dùng (userID) Mục đích định danh để xác định tồn cung cấp quyền hạn cho người dùng Yêu cầu định danh ngưởi sử dụng Định danh người dùng phải định danh để nhận dạng người sử dụng Định danh người dùng khơng hỗ trợ để xác định vị trí hay tầm quan trọng người dùng công ty tổ chức Các bước định danh xác thực điều khiển truy nhập Định danh (Identification) Đây trình nhận dạng người sử dụng Người dùng phải cung cấp danh tính thơng tin bắt buộc để hệ thống xác nhận nhận dạng Xác thực (Authentication) trình xác thực người sử dụng Người dùng cung cấp thông tin để nhận dạng, hệ thống tự dộng tiến hành kiểm tra thơng tin hay sai nhiều phương pháp khác Ủy quyền (Authorization) xác định thẩm quyền mà người sử dụng có sau hệ thống xác thực thông tin người sử dụng Kế toán (Accounting) Hệ thống quản lý, giám sát thống kê trình sử dụng truy nhập người sử dụng vùng tài nguyên Những yếu tố cần thiết Nhóm 12 Bài thi cuối kì mơn ANM Đối tượng (Subjects) Tồn đối tượng gán quyền truy cập Tài nguyên sử dụng (Objects) Quyền truy cập (Access Permissions) sử dụng để gán quyền truy cập Tài nguyên sử dụng cho Các đối tượng (Ví dụ Người dùng Đối tượng, foder Object, Permission quyền gán cho Người dùng truy cập vào Dữ liệu) Bảng Access Permissions cho đối tượng gọi Access Control List (ACLs), ACL toàn hệ thống thống kê bảng Access Control Entries (ACEs) II PHƯƠNG PHÁP ĐỊNH DANH VÀ XÁC THỰC 2.1 Phương pháp định danh 2.1.1 Định danh dựa thông tin người dùng tự nhập Đinh danh dựa thông tin người dùng tự nhập thông qua ID mật mà người dùng nhập hệ thống Đây cách định danh phổ biến hệ thống Với phương pháp định danh này, cặp ID mật người sử dụng nhập vào hệ thống tự động sử dụng liệu lưu người sử dụng để đối chiếu xác nhận Sau hệ thống đối chiếu kiểm tra với liệu lưu, liệu nhập trùng khớp người sử dụng định danh xác thực, cịn với trường hợp thơng tin không khớp, hệ thống từ chối cấm truy cập với người sử dụng Phương pháp xác thực người dùng có độ bảo mật khơng cao yếu tố người dùng đăng nhập ID mật dạng văn nên dễ bị lộ q trình thơng tin tới hệ thống người sử dụng để lộ thông tin đặt ID mật đơn giản ngày tháng năm sinh, 1234, abcd,…… Kết lại, định danh dựa thơng tin tự nhập có nhiều điểm yếu không đủ để bảo vệ thông tin trực truyến 2.1.2 Danh định sinh trắc học Xác thực sinh trắc học trình bảo mật dựa đặc điểm sinh học cá nhân Dưới lợi việc sử dụng cơng nghệ xác thực sinh trắc học: Có thể dễ dàng so sánh đặc điểm sinh học với đặc điểm phép lưu sở liệu Xác thực sinh trắc học kiểm sốt truy cập vật lý cài đặt cổng cửa vào Bạn thêm sinh trắc học vào quy trình xác thực đa yếu tố Cơng nghệ xác thực sinh trắc học sử dụng người tiêu dùng, phủ tập đoàn tư nhân bao gồm sân bay, quân biên giới quốc gia Các phương pháp xác thực sinh trắc học phổ biến bao gồm: Nhóm 12 Bài thi cuối kì mơn ANM Nhận dạng khn mặt — khớp với đặc điểm khuôn mặt khác cá nhân cố gắng truy cập vào khuôn mặt phê duyệt lưu trữ sở liệu Nhận dạng khn mặt không quán so sánh khuôn mặt góc độ khác so sánh người trông giống nhau, họ hàng gần Công nghệ liveness khn mặt ngăn chặn việc giả mạo Hình 2: Nhận dạng khuôn mặt Máy quét vân tay — khớp với mẫu dấu vân tay cá nhân Một số phiên máy qt vân tay chí đánh giá dạng mạch máu ngón tay người Máy quét vân tay công nghệ sinh trắc học phổ biến người tiêu dùng hàng ngày, chúng thường xun khơng xác Sự phổ biến iPhone Hình 3: Xác thực sửu dụng vân tay Nhận dạng giọng nói — kiểm tra mẫu giọng nói người nói để tạo hình Nhóm 12 Bài thi cuối kì mơn ANM dạng chất lượng âm cụ thể Một thiết bị bảo vệ giọng nói thường dựa vào từ chuẩn hóa để xác định người dùng, giống mật Hình 4: xác thực sử dụng giọng nói Máy quét mắt — bao gồm công nghệ nhận dạng mống mắt máy quét võng mạc Máy quét mống mắt chiếu luồng sáng phía mắt tìm kiếm mẫu độc đáo vòng màu xung quanh đồng tử mắt Sau đó, mẫu so sánh với thông tin phê duyệt lưu trữ sở liệu Xác thực dựa mắt khơng xác người đeo kính kính áp trịng Hình 5: Xác thực qt mống mắt Ngồi cịn có phương pháp định danh sử dụng danh định máy tính, người dùng sử dụng thông số từ thiết bị cá nhân để định danh tên máy tính, địa MAC, địa IP sử dụng danh định số chứng số hay thẻ thông minh 2.2 Phương pháp xác thực 2.2.1Những bạn biết (Something you know) Yếu tố bạn biết yếu tố phổ biến sử dụng mật số nhận dạng cá nhân đơn giản (PIN) Tuy nhiên, loại dễ đánh bại Khi sử dụng mật khẩu, điều quan trọng phải sử dụng mật mạnh Mật mạnh có kết hợp chữ hoa, chữ thường, số ký tự đặc biệt Trước đây, chun gia Nhóm 12 Bài thi cuối kì mơn ANM bảo mật khuyến nghị mật phải dài tám ký tự Tuy nhiên, với gia tăng sức mạnh trình bẻ khóa mật khẩu, người ta thường nghe thấy chuyên gia đề xuất mật dài Ví dụ: nhiều tổ chức yêu cầu mật quản trị viên phải dài 15 ký tự Mật dài khó nhớ trừ chúng đặt vào số loại thứ tự có ý nghĩa Ví dụ: cụm từ “Bảo mật tạo nên thành cơng” trở thành mật “S3curityBr33d $ Succ3 $$” Lưu ý từ bắt đầu chữ viết hoa, chữ viết thường “s” đổi thành $, chữ viết thường “e” đổi thành số khoảng trắng bị xóa Mật dễ nhớ phức tạp Tuy nhiên, người dùng yêu cầu phải nhớ mật dài mà khơng có ý nghĩa nào, chẳng hạn “1kqd9% lu @ 7cpw #”, họ có nhiều khả ghi mật xuống, làm suy yếu tính bảo mật Mật khơng bao gồm liệu cá nhân tên người dùng tên người dùng Ngồi ra, mật khơng nên từ tìm thấy từ điển Tấn cơng từ điển sử dụng sở liệu từ tương tự từ điển, thử tất từ sở liệu để tìm kết phù hợp Điều đáng nói kẻ cơng [md] có quyền truy cập vào từ điển ngơn ngữ khác Nói cách khác, mật sử dụng từ từ ngôn ngữ khác dễ bẻ khóa mật sử dụng ngơn ngữ mẹ đẻ bạn 2.2.2 Những bạn có (Something you have) Yếu tố bạn có liên quan đến mặt hàng thẻ thông minh mã thơng báo cầm tay Thẻ thơng minh thẻ có kích thước thẻ tín dụng có chứng nhúng sử dụng để xác định chủ sở hữu Người dùng lắp thẻ vào đầu đọc thẻ thơng minh để xác thực cá nhân Thẻ thông minh thường sử dụng với mã PIN cung cấp xác thực đa yếu tố Nói cách khác, người dùng phải có (thẻ thơng minh) biết (mã PIN) Mã thơng báo thiết bị cầm tay có đèn LED hiển thị số số đồng hóa với máy chủ xác thực Hãy xem xét Hình 1, cho thấy máy chủ xác thực người dùng có mã thơng báo cầm tay Số hiển thị mã thông báo thay đổi thường xuyên, chẳng hạn sau 60 giây máy chủ xác thực biết số hiển thị Ví dụ: lúc 5:01 chiều, số hiển thị đèn LED 963147 đồng thời, máy chủ biết số 963147 Một phút sau, số hiển thị đèn LED 246813 xác thực máy chủ biết số Một cách phổ biến mà thẻ sử dụng để xác thực với trang web Người dùng nhập số hiển thị mã thông báo trang web Nếu người dùng nhập số mà máy chủ biết thời điểm đó, người dùng xác thực Thông thường sử dụng xác thực đa yếu tố với xác thực dựa mã thơng báo Ngồi việc nhập Nhóm 12 Bài thi cuối kì mơn ANM số hiển thị mã thơng báo, người dùng thường yêu cầu nhập tên người dùng mật Điều chứng tỏ họ có thứ (mã thơng báo) họ biết điều (mật họ) 2.2.3 Những bạn (Something you are) Các phương pháp sinh trắc học cung cấp thông tin bạn nhân tố xác thực Một số phương pháp sinh trắc học sử dụng dấu vân tay, hình học bàn tay, quét võng mạc mống mắt, chữ viết tay phân tích giọng nói Sinh trắc học dấu vân tay phương pháp sinh trắc học sử dụng rộng rãi Nhiều máy tính xách tay bao gồm đầu đọc dấu vân tay đầu đọc dấu vân tay có sẵn ổ đĩa flash USB Dấu tay sử dụng với nhiều công viên giải trí bán vé theo mùa vé nhiều ngày Mặc dù sinh trắc học cung cấp khả xác thực mạnh nhất, dễ bị lỗi Lỗi từ chối sai (còn gọi lỗi loại 1) xảy hệ thống từ chối sai người dùng biết cho biết người dùng Lỗi chấp nhận sai (còn gọi lỗi loại 2) xảy hệ thống xác định sai người dùng không xác định người dùng biết Hệ thống sinh trắc học thường điều chỉnh độ nhạy, độ nhạy ảnh hưởng đến độ xác Xác thực đa yếu tố Xác thực đa yếu tố (MFA) hệ thông bảo mật yêu cầu hai hay nhiều phương thức xác thực từ liệu mà hệ thống lưu độc lập với để xác minh người sử dụng đăng nhập Xác thực đa yếu tố kết hợp hai hay nhiều thông tin độc lập: thông tin người dùng biết (mật khẩu), thơng tin người dùng có (mã thơng báo bảo mật) xác thực người dùng (xác minh sinh trắc học) Mục tiêu xác thực đa yếu tố để tạo lớp bảo vệ kiên cố khiến cho việc truy cập vào thông tin mục tiêu vị trí địa lý, thiết bị máy tính, mạng sở liệu trở nên khó khăn cá nhân không phép Nếu yếu tố bị xâm phậm phá vỡ, kẻ cơng cịn rào cản nữa, thời gian hệ thống thơng báo tới người sử dụng hoặt động đăng nhập trái phép, giúp người sử dụng tránh nguy đánh thơng tin liệu nhân Ví dụ bao gồm mã tạo từ điện thoại người dùng, kiểm tra Captcha, dấu vân tay nhận dạng khuôn mặt Các phương pháp công nghệ xác thực đa yếu tố nhằm bổ sung nhiều lớp bảo mật để tăng thêm người tin cho người dùng MFA biện pháp bảo vệ tốt chống lại hầu hết vụ hack tài khoản, có vài vấn đề người dùng để điện thoại thẻ SIM, nhận mã xác thực Xác thực dựa chứng Nhóm 12 Bài thi cuối kì mơn ANM Cơng nghệ xác thực dựa chứng xác định người dùng, máy móc thiết bị cách sử dụng chứng kỹ thuật số Chúng kỹ thuật số tài liệu điện tử dựa thông tin người dùng hệ thống giấy phép lái xe hộ chiếu Chứng chứa danh tính kỹ thuật số người sử dụng gồm khóa cơng khai chữ ký số tổ chức cung cấp dịch vụ chứng thực chữ ký số Chứng thư số chứng minh quyền sở hữu kháo công khai cấp tổ chức cung cấp dịch vụ chứng thực chữ ký số Người dùng cung cấp chứng kỹ thuật số họ họ đăng nhập vào máy chủ Máy chủ xác minh độ tin cậy chữ ký số quan cấp chứng Sau đó, máy sử dụng mật mã để xác nhận người dùng có kháo cá nhân xác liên kết với chứng Yếu tố vị trí Xác thực dựa vị trí xuất hiện, sử dụng với truy cập từ xa quay số yếu tố xác thực bổ sung Hãy tưởng tượng Joe phép làm việc nhà cách sử dụng kết nối truy cập từ xa quay số để kết nối với tài nguyên dựa công việc Máy chủ truy cập từ xa định cấu hình để Joe gọi đến xác thực, máy chủ treo gọi máy tính Joe nhà Miễn Joe cố gắng kết nối từ máy tính nhà anh ấy, kết nối hoạt động Tuy nhiên, kẻ công cố gắng mạo danh Joe tên người dùng mật Joe, kẻ công kết nối Thay vào đó, kẻ cơng xác thực thơng tin đăng nhập Joe, máy chủ truy cập từ xa bị treo cố gắng gọi máy tính Joe III CÁC GIAO THỨC XÁC THỰC NGƯỜI SỬ DỤNG Giao thức xác thực người sử dụng chế quy tắc đặt để xác thực đối tượng Khi trao đỏi với qua mơi trường mạng cần phải có dịch vụ để đảm bảo hai đối tượng hai bên đầu cuối xác thực đảm bảo việc khơng có bên thứ ba mạo danh hai bên để thực việc nhận truyền thông tin không phép Và phần ta đặt vào tình cụ thể giả sử: + Alice muốn chứng minh với Bob “ Tôi Alice” + Alice cần biết người trao đổi có Bob khơng + Malice người xấu có ý muốn phá giao thức xác thực 3.1 Giao thức xác thực đơn giản Ở giao thức muốn thực hai bên phải biết mật trao đổi trước Khi Alice muốn trao đỏi với Bob qua mạng bên gửi( Alice) phải gửi thông diệp “ Tôi Alice “ tới bên nhận( Bob) sau bên nhận sau nhận thông điệp gửi lại yêu cầu để xác thực bên gửi Alice Để xác thực người gửi Alice phải gửi lại cho bên nhận mật biết trước để chứng minh sau hai bên tiến hành trao đổi với 10 Nhóm 12 Bài thi cuối kì mơn ANM Alice => Bob: “Tơi Alice” Bob => Alice: “Hãy chứng minh” Alice => Bob: “My password is frank” Hình 6: Giao thức xác thực đơn giản Cũng giống tên gọi giao thức đơn giản dễ thực , nhiên lại kèm theo nhiều khuyết điểm Như password để dạng rõ, khơng qua mã hóa nên kẻ cơng dễ dàng đánh cắp mật để mạo danh người gửi lần tiếp theo, ta xác nhận bên gửi Alice mà chưa xác thực bên nhận Nhận thấy nhược điểm phương pháp người ta tìm phương pháp cải tiến để khắc phục sử dụng hàm băm (H) paswword để thay cho việc sử dụng mật đơn bước thứ ba trình xác thực người sử dụng Alice => Bob: “Tôi Alice” Bob => Alice: “Hãy chứng minh” Alice => Bob: H(PA) Hình 7: Giao thức xác thực đơn giản sử dụng hàm băm Ở giao thức kẻ công mạo danh người gửi cách cơng lặp lại thơng điệp Kẻ cơng (Malice) lấy giá trị băm password H(PA) cách theo dõi đường truyền Alice Bob lặp lại thông diệp lần kết nối 3.2 Giao thưc xác thực challenge-response Giao thức xác thực challenge-response hay gọi với tên khác giao thức xác thực thử thách-bắt tay ( challenge-handshake authentication protocol) giao thức thường sử dụng giao thức kết nối PPP (Point to Point Protocol) số hệ thống khác Sau bước mô tả trình xác thực giao thức Challengeresponse: Bên gửi (Alice ) muốn thiết lập kết nối gửi thông điệp “Tôi Alice” đến bên nhận (Bob) Bên nhận nhận thơng điệp gửi lại khối liệu thách thức (challenge), có chứa giá trị ngẫu nhiên bên nhận tạo mà ta gọi giá trị nonce ( ký hiệu :N) Bên gửi sau nhận giá trị nonce gán giá trị vào với mật 11 Nhóm 12 Bài thi cuối kì mơn ANM mình,sau thực hàm băm chiều lên khối giá trị vừa ghép trước sau gửi giá trị băm cho bên nhận Phía bên nhận thực trình tương tự so với bên gửi để so sánh kết với giá trị băm nhận từ bên gửi, hai giá trị khớp tức q trình xác thực thành cơng Alice => Bob: “Tôi Alice” Bob => Alice: N Alice => Ba chung KAB kết thúc trình xác thực Ở giao thức tránh nhược điểm giao thức cách sử dụng đồng thời hai giá trị nonce NA NB hai bên trao đổi cho giá chị nonce giúp đảm bảo tin tin phát lại, bước hai bên nhận gửi lại khóa đối xứng cho bên gửi để xác thực người nhận bước bên gửi thực đảm bảo cách sử dụng khóa đối xứng đảm bảo cho bên nhận tin tươi sử dụng giá trị nonce NB Mặc dù thế, giao thức bị cơng công phát lại Giả sử kẻ công (Malice) theo dõi ghi lại nội dung tin xác thực kết nối trước đó, kẻ cơng mạo danh bên gửi lừa bên nhận sử dụng khóa cũ cách cơng phát lại khóa Nếu bên nhận khơng nhớ khóa sử dụng phiên trước khơng phát công phát lại Quan sát hình ta thấy kẻ cơng đánh chặn tin bước , gửi tin mạo danh để lừa lấy khóa xác 13 Nhóm 12 Bài thi cuối kì mơn ANM thực tin trước Nếu thành cơng kẻ cơng thực mạo danh bên gửi thực hành vi gây bất lợi cho hai bên 1.1 Alice => Bob: “Tôi Alice”,NA 1.2 Bob => Alice: NB,{NA}KAB 2.1 Alice => Bob: “Tôi Alice”,NB 2.2 Bob => Alice: NC,{NB}KAB Alice => Bob: {NB}KAB Hình12 :Tấn công giao thức xác thực lẫn cải tiến 3.3.4 Giao thức xác thực lẫn cải tiến khác Giao thức phát triển lên từ giao thức xác thực lẫn cải tiến ta vừa tìm hiểu Điểm khác thay mã hóa số nonce bên cịn lại bên thực ghép số nonce cộng với nhân dạng thực mã hóa chúng với khóa đối xứng Alice =>Bob: “Tơi Alice”,NA Bob => Alice: NB,{Bob,NA}KAB Alice => Bob: {Alice,NB}KAB Hình 13: Xác thực lẫn cải tiến khác Giao thức cung cấp cách hiệu phương tiện an toàn cho cho bên gửi bên nhận thiết lập phiên làm việc với Giả sử trường hợp kẻ công thực cơng phát lại phần bắt thông tin NA, NB,{Bob,NA}KAB Sau chặn đường truyền bước hai phát tin giả với số nonce NB kẻ công nhận phản hồi gồm NC,{Bob,NA}KAB Từ đầu đến cuối kẻ công khơng có nhận dạng Alice để thực công phát lại tin 3.4 Giao thức xác thực sử dụng khóa cơng khai Để thực xác thực người sử dụng dùng khóa cơng khai trước hết ta cần đến q trình tạo khóa, bên gửi tự tạo cặp khóa cơng khai bí mật, khóa cơng khai quảng bá lên mơi trường mạng cịn khóa bí mật giữ riêng cho bên gửi Khi bên gửi( Alice) muốn tạo kết nối với bên nhận( Bob) gửi thông điệp yêu cầu kết nối “Tôi Alice” bên nhận nhận yêu cầu thực tạo sô nonce ngâuc hiên thực mã hóa sử dụng khóa công khai Alice (PUA) Bên nhân nhận tin tiến hành giải mã sử dụng khóa bí mật bên gửi (PRA) sau gửi lại rõ cho bên nhận , hai giá trị trùng khớp q trình xác thực thành cơng Alice => Bob: “Tơi Alice” 14 Nhóm 12 Bài thi cuối kì mơn ANM Bob => Alice: {N}PUA Alice => Bob: N Hình 14: Giao thức xác thực dùng khóa cơng khai Ở giao thức ta xác thực người gửi Alice mà khơng thể xác nhận người nhận có phải Bob hay khơng kẻ cơng dễ dàng mạo danh bên gửi cách tạo cặp khóa cơng khai đưa lên mạng Một phương pháp xác thực khác sử dụng khóa cơng khai xác thực sử dụng chữ kí số Sau bên gửi tạo thông điệp yêu cầu kết nối tới bên nhận, bên nhận tạo số nonce ngẫu nhiên gửi lại số cho bên gửi Bên gửi sử dụng chữ kí số kí lên giá trị nonce N sử dụng khóa bí mật bên gửi Alice => Bob: “Tôi Alice” Bob => Alice: {N}PUA Alice => Bob: N Hình 15:Giao thức xác thực dùng chữ kí số 3.5 Giao thức xác thực Kerberos Giới thiệu: Kerberos giao thức xác thực mạng sử dụng mã hóa khóa bí mật sử dụng bên thứ ba đáng tin cậy tham gia vào trình xác thực Đây giao thức nhận thực hai chiều thiết kế cho mơ hình client server Kerberos có khả chống nghe lến hay gửi lại gói tin cũ đảm bảo tính tồn vẹn liệu nên giao thức thường dùng cho mạng máy tính hoạt động vùng mạng khơng an tồn Kerberos thiết kế dựa giao thức Needham-Schroeder Kerberos sử dụng bên thứ ba tham gia vào trình nhận thực gọi "trung tâm phân phối khóa" ( key distribution center - KDC) KDC bao gồm hai chức năng: "máy chủ xác thực" (authentication server - AS) "máy chủ cung cấp vé" (ticket granting server - TGS) "Vé" hệ thống Kerberos chứng thực chứng minh nhân dạng người sử dụng Hình 16: Hệ thống xác thực Kerberos 15 Nhóm 12 Bài thi cuối kì mơn ANM Mỗi người sử dụng (cả máy chủ máy khách) hệ thống chia sẻ khóa chung với máy chủ Kerberos Việc sở hữu thơng tin khóa chứng để chứng minh nhân dạng người sử dụng Trong giao dịch hai người sử dụng hệ thống, máy chủ Kerberos tạo khố phiên dùng cho phiên giao dịch Giao thức xác thực Kerberos Hình 17: Giao thức xác thực Kerberos 16 Nhóm 12 Bài thi cuối kì mơn ANM Thủ tục xác thực kerberos mô tả sau: 1- Máy yêu cầu AS cung cấp thẻ xác nhận người dùng: C AS: IDc + IDtgs + TS1 2- AS cung cấp thẻ xác nhận người dùng cho máy con: AS C: E([Kc,tgs + IDtgs + TS2 + Lifetime2 + Tickettgs], Kc) Với Tickettgs = E([Kc,tgs + IDc + ADc + IDtgs + TS2 + Lifetime2], Ktgs) 3- Máy yêu cầu TS cung cấp thẻ truy xuất dịch vụ: C TGS: IDv + Tickettgs + Authenticatorc 4- TGS cung cấp thẻ truy xuất dịch vụ cho máy con: TGS C: E([Kc,v + IDv + TS4 + Ticketv], Kc,tgs) Với Tickettgs = E([Kc,tgs + IDC +ADC + IDtgs + TS2 + Lifetime2], Ktgs) Ticketv = E([Kc,v + IDC + ADC + IDv + TS4 + Lifetime4], Kv) Authenticatorc = E([IDC + ADC + TS3], Kc,tgs) 5- Máy yêu cầu dịch vụ: C V: Ticketv + Authenticatorc Với Authenticatorc = E([IDc + ADC + TS5], Kc,v) 6- Server xác thực với máy (không bắt buộc): V C: E([TS5 + 1], Kc,v) Với: Ticketv = E([Kc,v + IDc + ADc + IDv + TS4 + Lifetime4], Kv -Bản tin (1): Máy yêu cầu cấp thẻ xác nhận người dùng (Ticket-granting-Ticket): IDC: Nhận diện người dùng (do máy gởi đến cho AS, dựa thông tin đăng nhập người dùng) IDtgs: Nhận diện TGS, mục đích cho AS biết máy muốn truy xuất đến TGS TS1: Nhãn thời gian, mục đích để đồng thời gian AS máy -Bản tin (2): AS cung cấp thẻ xác nhận người dùng cho máy con: Kc: Dùng mật người dùng làm khố mật mã, vừa có mục đích bảo vệ thơng tin vừa cho phép AS xác thực mật người dùng Nếu máy mật khơng giải mã tin Kc, tgs: khố bí mật dùng máy TGS AS tạo Khóa có tác dụng phiên làm việc (session key) IDtgs: Nhận diện TGS, dùng để xác nhận thẻ có tác dụng cho phép máy truy xuất đến TGS TS2: Nhãn thời gian, cho biết thời điểm thẻ tạo Lifetime2: Cho máy biết thời gian tồn thẻ Tickettgs: Máy dùng thẻ để truy xuất TGS -Bản tin (3): Máy yêu cầu thẻ truy xuất dịch vụ (Service Granting Ticket): 17 Nhóm 12 Bài thi cuối kì mơn ANM IDV: Nhận dạng máy chủ V, dùng để thông báo cho TGS máy muốn truy xuất đến dịch vụ máy chủ V Tickettgs: Thẻ cấp cho máy AS Authenticatorc: giá trị tạo máy để xác minh thẻ -Bản in (4): TGS cung cấp thẻ truy xuất dịch vụ cho máy con: Kc, tgs: Khố bí mật dùng chung máy TGS để bảo vệ nội dung tin (4) Kc, v: Khố bí mật dùng máy máy chủ V TGS tạo Khố có giá trị phiên làm việc (session key) IDv: nhận diện máy chủ V, có chức xác nhận thẻ máy chủ V TS4: nhãn thời gian cho biết thời điểm thẻ tạo Ticketv: Thẻ máy dùng để truy xuất máy chủ V Tickettgs: Thẻ dùng lại để người dùng nhập lại mật muốn truy xuất dịch vụ khác Ktgs: Khóa bí mật dùng chung AS TGS Kc, tgs: Session key TGS dùng để giải mã authenticator Khoá dùng chung máy TGS IDC: Nhận diện máy con, cho biết chủ sở hữu thẻ ADC: Địa mạng máy con, dùng để ngăn chặn trường hợp máy khác lấy cắp thẻ để yêu cầu dịch vụ IDtgs: nhận diện TGS, để xác nhận thẻ giải mã thành công TS2: nhãn thời gian cho biết thời điểm tạo thẻ Lifetime2: Thời gian tồn thẻ, nhằm ngăn chặn việc sử dụng lại thẻ (replay) Authenticatorc: Thông tin xác thực máy Kc, tgs: Khố bí mật dùng chung máy TGS, dùng để mã hố thơng tin xác thực máy IDc: nhận dạng máy con, phải trùng với ID thẻ ADc: địa mạng máy con, phải trùng với địa thẻ TS3: Nhãn thời gian, cho biết thời điểm mà authenticator tạo -Bản tin (5): Máy yêu cầu truy xuất dịch vụ: Ticketv: Thẻ cho biết máycon xác thực AS Authenticatorc: Thông tin xác thực thẻ máy -Bản tin (6): Máy chủ V xác thực với máy con: Kc, v: Khố bí mật dùng chung máy máy chủ V TS5 + 1: Nhãn thời gian, dùng để tránh trường hợp thông tin xác thực cũ dùng 18 Nhóm 12 Bài thi cuối kì mơn ANM lại Ticketv: Thẻ truy xuất máy chủ V Thẻ dùng lại máy truy xuất dịch vụ đến máy chủ V mà không cần yêu cầu cấp thẻ Kv: Khố bí mật dùng chung TGS máy chủ V Kc, v: Khố bí mật dùng chung máy máy chủ V, dùng để giải mã thông tin xác thực IDc: Nhận dạng máy ADc: Địa mạng máy IDv: Nhận dạng máy chủ V TS4: Nhãn thời gian cho biết thời điểm thẻ tạo Lifetime4: Thời gian tồn thẻ Authenticatorc: Thông tin xác thực máy Kc, v: Khoá bí mật, dùng chung máy máy chủ V để mã hố thơng tin xác thực IDc: Nhận diện máy con, phải giống với IDc thẻ ADc: Địa mạng máy con, phải giống với địa thẻ TS5: Thời điểm thông tin xác thực tạo Nhược điểm giao thức kerberos - Tồn điểm yếu: Nếu máy chủ trung tâm ngừng hoạt động hoạt động ngừng lại Điểm yếu hạn chế cách sử dụng nhiều máy chủ Kerberos - Giao thức đòi hỏi đồng hồ tất máy tính liên quan phải đồng Nếu khơng đảm bảo điều này, chế nhận thực thời hạn sử dụng không hoạt động Thiết lập mặc định địi hỏi đồng hồ khơng sai lệch 10 phút - Cơ chế thay đổi mật khơng tiêu chuẩn hóa IV ỨNG DỤNG Tại xác thực người dùng lại quạn trọng cơng nghệ ngày nay? Ta thấy ngày nhiều quy trình hoạt động thường nhật dần chuyển đổi sang dạng ký thuật số, trực tuyến ngoại tuyến Ví dụ bạn cần ngồi nhà tham gia mua sắm trực tuyến, đặt đồ ăn, tham gia họp hay tốn hóa đơn dịch vụ mà khơng cần phải ngồi Đi kèm với nhiều rủi ro thách thức to lớn an tồn tài chính, quyền riêng tư cá nhân Và xác thực người dùng sinh từ sở để bảo vệ người trước mối nguy hiểm tiềm tàng không gian mạng Mật 19 Nhóm 12 Bài thi cuối kì mơn ANM Chúng ta khơng cịn xa lạ với khái niệm mật (password) Chúng sử dụng nơi từ điện thoại, máy tính, tài khoản mạng xã hội, ví điện tử, hay tài khoản ngân hàng Những tiện ích kèm với nguy làm lộ thông tin cá nhân thất thoát tài sản Sử dụng mật giải pháp đơn giản mà hữu hiệu giúp tránh rủi ro hành vi lừa đảo Sử dụng tên người dùng (username) mật (password),xác thực người dùng giúp tổ chức, doanh nghiệp bảo vệ quyền riêng tư cho khách hàng họ Đối với dịch vụ ứng dụng trực tuyến, nhiều doanh nghiệp sử dụng xác thực SMS để xác minh tài khoản người dùng gửi mã xác thực cho khách hàng xác nhận giao dịch Điều đảm bảo riêng tư bảo mật thông tin khách hàng đồng thời tăng cường bảo mật Một số tổ chức mã hóa mật lưu để ngăn chặn hành vi trộm cắp từ nhân viên tin tặc Tin tặc thiết kế chương trình giúp họ truy cập lấy mật Nếu trang web không yêu cầu mật khẩu, tất thông tin truy cập quyền riêng tư thông tin mong muốn Xác thực vật lý Thẻ cước công dân, hộ chiếu, thẻ ngân hàng hay thẻ sinh viên gửi xe tất vật dụng ta sử dụng hàng ngày mang ý nghĩa xác thực lớn Giúp chứng bạn tài sản bạn nhiều tiện ích khác Nhiều cửa hàng mua sắm cung cấp thẻ để nhập điểm bạn kiếm mua hàng Những thẻ có kích thước chức tương tự thẻ ghi nợ thẻ tín dụng tổ chức tài cung cấp, cho phép bạn thực giao dịch không dùng tiền mặt Các thẻ có dải từ chip giữ liệu chứa thông tin cá nhân chi tiết tài khoản bạn, bao gồm số dư bảng kê Khi thẻ lắp vào đầu đọc thẻ máy POS, bạn cần nhập mật để giao dịch với thẻ Nói cách khác, mã bí mật mật hạn chế quyền truy cập vào tiền thông tin thẻ bạn bạn người bạn chia sẻ mật Khi mật sai nhập vào số lần cụ thể, thẻ tự động bị khóa, để từ chối truy cập thêm trường hợp thẻ bị đánh cắp Để mở khóa, chủ sở hữu cần đến nhà cung cấp dịch vụ với tài liệu gốc họ để xác minh Sinh trắc học 20 Nhóm 12 Bài thi cuối kì mơn ANM Xác thực sinh trắc học hình thức xác minh khó bị hack liên quan đến việc sử dụng tính chất độc đáo cá nhân Một số đặc điểm sinh lý sử dụng bao gồm nhận dạng khuôn mặt, nhận dạng vân tay quét võng mạc, số đặc điểm khác Tin tặc gặp vấn đề chép thông tin người có đặc điểm sinh lý riêng biệt Ngồi ra, tính khác, nhận dạng giọng nói qt tổ hợp phím, ngày trở nên phổ biến lĩnh vực Sinh trắc học hình thức xác thực ưa thích hầu hết tổ chức tài giao dịch Đây lý số ứng dụng ngân hàng di động đại yêu cầu bạn sử dụng giọng nói làm mật mình, khiến hồn tồn khó mạo danh bạn giao dịch thay mặt bạn Mã hóa Xác thực mã hóa tiên tiến bảo vệ mật trường hợp này, nội dung bảo vệ khỏi truy cập trái phép nhiều cấp độ khác Dữ liệu nội dung mã hóa xáo trộn với mật mã để truy cập vào nhiều tốt; họ khơng đọc khơng thể hiểu Đối với phần thơng tin tin nhắn, từ bị xáo trộn với ký tự bổ sung để chúng khơng cịn ý nghĩa Để người đọc truy cập nội dung vậy, họ cần đặt khóa giải mã cụ thể (khóa bí mật), khóa nhắc từ xếp lại để chúng có ý nghĩa truy cập Điều quan trọng cần lưu ý chủ sở hữu làm khóa giải mã, họ khơng truy cập vào liệu nội dung mã hóa D rfdyrdtrxfrxdxdezsedtxhy 21 Nhóm 12 Bài thi cuối kì mơn ANM V KẾT LUẬN Qua đề tài tìm hiểu phướng pháp xác thực người sử dụng ứng dụng ta có nhìn tổng quan thêm nhiều kiến thức vấn đề xác thực người sử dụng Việc xác thực kèm với vấn đề định danh người dùng Và ta thấy có nhiều phương pháp, giao thức để giúp đề xác thưc trở lên dễ dàng xác đảm bảo an toàn cho người người sử dụng Cuối qua tìm hiểu ứng dụng xác thực người sử dụng giúp ta hiểu tầm quan trọng chúng cách mạng số Tài liệu tham khảo [1] TS Nguyễn Chiến Chinh, PGS.TS Nguyễn Tiến Ban, TS Hoàng Trọng Minh,ThS Nguyễn Thanh Trà,ThS Phạm Anh Thư_Bài giảng An ninh mạng Viễn thơng-Học viện Cơng nghệ Bưu Viễn thơng, 2016 [2] TS Phạm Anh Thư_Slide giảng An ninh mạng viễn thơng-Học viện Cơng nghệ Bưu Viễn thơng,II/2019-2020 [3] Lê Phúc_Bài giảng Bảo mật Hệ thống thông tin-Học viện Cơng nghệ Bưu Viễn thơng,2007 [4] Tìm hiểu giao thức xác thực Kerberos (security4vn.com)_ [5]https://www.upscalelivingmag.com/user-authentication-why-is-it-important-intodays-technology/ [6] https://www.pearsonitcertification.com/articles/article.aspx?p=1718488 [7]https://www.idrnd.ai/5-authentication-methods-that-can-prevent-the-next-breach/ [8]https://www.sailpoint.com/identity-library/authentication-methods-used-fornetwork-security/ [9] https://lagi.wiki/xac-thuc-da-yeu-to-mfa[10]https://vi.wikipedia.org/wiki/%C4%90i%E1%BB%81u_khi%E1%BB%83n_tru y_c%E1%BA%ADp [11]https://giaiphapmangh3t.com/tim-hieu-chung-ve-dieu-khien-truy-cap-accesscontrols/ 22 Nhóm 12 Bài thi cuối kì mơn ANM Danh mục hình ảnh Hình 1: Xác thực sử dụng mật Hình 2: Nhận dạng khuôn mặt Hình 3:Xác thực sử dụng vân tay Hình 4: Xác thực sử dụng giọng nói Hình 5:Xác thực quét mống mắt Hình 6: Giao thức xác thực đơn giản 10 Hình 7: Giao thức xác thực xử dụng hàm băm 11 Hình 8:Giao thức xác thực Challenge-respnse 11 Hình 9:Giao thức xác thực xử dụng khóa đối xứng 12 Hình 10: Giao thức xác thực lẫn sử dụng khóa đối xứng 12 Hình 11: Giao thức xác thực lẫn cải tiến 13 Hình 12: Tấn công giao thức xác thực lẫn cải tiến 13 Hình 13:Xác thực lẫn cải tiến khác 14 Hình 14: Giao thức xác thực sử dụng khóa cơng khai 14 Hình 15: Giao thức xác thực sử dụng chữ kí số 14 Hình 16:Hệ thống xác thực Kerberos 15 Hình 17: Giao thức xác thực Kerberos 16 Thuật ngữ viết tắt ACE Access Control Entries Danh sách điểu khiển truy cập ht ALC Access Control List Danh sách điểu khiển truy cập AS Authentication Server H Hass ID Indentification Máy chủ xác thực Hàm băm Định danh KDC Key Distribution Centrer Trung tâm phân khối khóa MFA Multi-Factor Authentication Xác thực đa yếu tố N Nonce Số Nouce PPP Point to Point Protocol Giao thức điểm điểm TSG Ticket-Granting Server Máy chủ phân phối vé 23 Nhóm 12 Bài thi cuối kì mơn ANM Phân cơng: Hiếu chương I,II Minh chương III,IV,V 24 Nhóm 12 ... việc tìm hiểu đề tài “ Các phương pháp xác thực người sử dụng ứng dụng” nâng cao hiểu biết xác thực an ninh mạng thông tin người I.TỔNG QUAN VỀ XÁC THỰC NGƯỜI SỬ DỤNG 1.1 Khái niệm xác thực người... TỔNG QUAN VỀ XÁC THỰC NGƯỜI SỬ DỤNG 1.1 Khái niệm xác thực 1.2 Giới thiệu định danh xác thực điều khiển truy cập II PHƯƠNG PHÁP ĐỊNH DANH VÀ XÁC THỰC 2.1 Phương pháp định...ó nhiều phương pháp, giao thức để giúp đề xác thưc trở lên dễ dàng xác đảm bảo an tồn cho người người sử dụng Cuối qua tìm hiểu ứng dụng xác thực người sử dụng giúp ta hiểu tầm quan trọng chúng các