Nhận thự c

Một phần của tài liệu AN NINH TRONG 3G UMTS (Trang 36 - 45)

Nhận thực là quỏ trỡnh kiểm tra tớnh hợp lệ của cỏc đối tượng tham gia thụng tin trong cỏc mạng khụng dõy. Quỏ trỡnh này được thực hiện tại hai lớp: lớp mạng và lớp

ứng dụng. Lớp mạng đũi hỏi người sử dụng phải được nhận thực, trước khi được phộp truy nhập. Lớp ứng dụng nhận thực quan trọng tại hai mức mỏy khỏch (Client) và mỏy chủ (Server). Để được truy nhập mạng Client phải chứng tỏ với Server rằng bản tin của nú phải hợp lệ. Đồng thời trước khi Client cho phộp một Server nối đến nú, Server phải tự mỡnh nhận thực với ứng dụng Client. Cỏch nhận thực đơn giản nhất kộm an toàn là sử dụng Username và Password. Một số phương phỏp tiờn tiến hơn là sử dụng chứng nhận số (chữ ký điện tử).

2.1.2 Toàn vẹn số liệu

Toàn vẹn số liệu là sự đảm bảo số liệu truyền thụng khụng bị thay đổi hay phỏ hoại trong quỏ trỡnh truyền từ nơi phỏt đến nơi thu. Bằng cỏch ỏp dụng một giải thuật cho bản tin, một mó nhận thực bản tin (MAC) được cài vào bản tin được gửi đi. Khi phớa thu nhận được bản tin này, nú tớnh toỏn MAC và so sỏnh với MAC cài trong bản tin. Nếu chỳng giống nhau thỡ chứng tỏ bản tin gốc khụng bị thay đổi, nếu nú khỏc nhau thỡ phớa thu sẽ loại bỏ bản tin này.

2.1.3 Bảo mật

Bảo mật là một khớa cạnh rất quan trọng của an ninh và vỡ thế thường được núi

đến nhiều nhất. Mục đớch của nú là đểđảm bảo tớnh riờng tư của số liệu chống lại sự

nghe, đọc trộm số liệu từ những người khụng được phộp. Cỏch phổ biến nhất được sử

dụng là mật mó húa số liệu. Quỏ trỡnh này bao gồm mó húa bản tin vào dạng khụng

2.1.4 Trao quyền

Trao quyền là quỏ trỡnh quy định mức độ truy nhập của người sử dụng, người sử dụng được quyền thực hiện một số hành động. Trao quyền thường liờn hệ mật thiết với nhận thực. Một khi người sử dụng đó được nhận thực, hệ thống cú thể quyết định người sử dụng được làm gỡ. Danh sỏch điều khiển truy nhập ACL thường được sử

dụng cho quỏ trỡnh này. Vớ dụ, một người sử dụng chỉ cú thể truy nhập đểđọc một tập tin số liệu. Trong khi đú nhà quản lý hoặc một nguồn tin cậy khỏc cú thể truy nhập để

viết, sửa chữa tập tin số liệu đú.

2.1.5 Cấm từ chối

Cấm từ chối là biện phỏp buộc cỏc phớa phải chịu trỏch nhiệm về giao dịch mà chỳng đó tham gia, khụng được phộp từ chối tham gia giao dịch. Điều này cú nghĩa là cả bờn phỏt và bờn thu đều cú thể chứng minh rằng phớa phỏt đó phỏt bản tin, phớa thu

đó thu được bản tin tương tự. Để thực hiện quỏ trỡnh này, mỗi giao dịch phải được ký bằng một chữ ký điện tử và được phớa thứ ba tin cậy kiểm tra và đỏnh dấu thời gian.

2.2 Cỏc đe dọa an ninh

Muốn đưa ra cỏc giải phỏp an ninh, trước hết ta cần nhận biết cỏc đe dọa tiềm

ẩn cú nguy hại đến an ninh của hệ thống thụng tin. Sau đõy là cỏc đe dọa an ninh thường gặp trong mạng.

2.2.1 Đúng giả

Là ý định của kẻ truy nhập trỏi phộp vào một ứng dụng hoặc một hệ thống bằng cỏch đúng giả người khỏc. Nếu kẻđúng giả truy nhập thành cụng, họ cú thể tạo ra cỏc cõu trả lời giả dối với cỏc bản tin đểđạt được hiểu biết sõu hơn và truy nhập vào cỏc bộ phận khỏc của hệ thống. Đúng giả là vấn đề chớnh đối với an ninh Internet và vụ tuyến Internet, kẻ đúng giả cú thể làm cho cỏc người sử dụng chớnh thống tin rằng mỡnh đang thụng tin với một nguồn tin cậy. Điều này vụ cựng nguy hiểm, vỡ thế người sử dụng này cú thể cung cấp thụng tin bổ sung cú lợi cho kẻ tấn cụng để chỳng cú thể

truy nhập thành cụng đến cỏc bộ phận khỏc của hệ thống.

2.2.2 Giỏm sỏt

Mục đớch của giỏm sỏt là theo dừi, giỏm sỏt dũng số liệu trờn mạng. Trong khi giỏm sỏt cú thể được sử dụng cho cỏc mục đớch đỳng đắn, thỡ nú lại thường được sử

bằng cỏch này kẻ khụng được phộp truy nhập cú thể lấy được cỏc thụng tin nhậy cảm gõy hại cho người sử dụng, cỏc ứng dụng và cỏc hệ thống. Giỏm sỏt thường được sử

dụng kết hợp với đúng giả. Giỏm sỏt rất nguy hiểm vỡ nú dễ thực hiện nhưng khú phỏt hiện. Để chống lại cỏc cụng cụ giỏm sỏt tinh vi, mật mó húa số liệu là phương phỏp hữu hiệu nhất. Dự kẻ sử dụng trỏi phộp cú truy nhập thành cụng vào số liệu đó được mật mó nhưng cũng khụng thể giải mật mó được số liệu này. Vỡ vậy, ta cần đảm bảo rằng giao thức mật mó được sử dụng hầu như khụng thể bị phỏ vỡ.

2.2.3 Làm giả

Làm giả số liệu hay cũn gọi là đe dọa tớnh toàn vẹn liờn quan đến việc thay đổi số liệu so với dạng ban đầu với ý đồ xấu. Quỏ trỡnh này liờn quan đến cả chặn truyền số liệu lẫn cỏc số liệu được lưu trờn cỏc Server hay Client. Số liệu bị làm giả (thay đổi) sau đú được truyền đi như bản gốc. Áp dụng mật mó húa, nhận thực và trao quyền là cỏc cỏch hữu hiệu để chống lại sự làm giả số liệu.

2.2.4 Ăn cắp

Ăn cắp thiết bị là vấn đề thường xảy ra đối với thụng tin di động. Ta khụng chỉ

mất thiết bị mà cũn mất cả cỏc thụng tin bớ mật lưu trong đú. Điều này đặc biệt nghiờm trọng đối với cỏc Client thụng minh, vỡ chỳng thường chứa số liệu khụng đổi và bớ mật. Vỡ thế, ta cần tuõn thủ theo cỏc quy tắc sau đểđảm bảo an ninh đối với cỏc thiết bị di động: (adsbygoogle = window.adsbygoogle || []).push({});

+ Khúa thiết bị bằng Username và Password để chống truy nhập dễ dàng;

+ Yờu cầu nhận thực khi truy nhập đến cỏc ứng dụng lưu trong thiết bị;

+ Tuyệt đối khụng lưu mật khẩu trờn thiết bị;

+ Mật mó tất cả cỏc phương tiện lưu số liệu cốđịnh;

+ Áp dụng cỏc chớnh sỏch an ninh đối với những người sử dụng di dộng.

Nhận thực, mật mó và cỏc chớnh sỏch an ninh là cỏc biện phỏp để ngăn chặn việc truy nhập trỏi phộp số liệu từ cỏc thiết bị di động bị mất hoặc bị lấy cắp.

2.3 Cỏc cụng nghệ an ninh 2.3.1 Cụng nghệ mật mó

Mục đớch chớnh của mật mó là đảm bảo thụng tin giữa hai đối tượng trờn kờnh thụng tin khụng an ninh, để đối tượng thứ ba khụng thể hiểu được thụng tin được truyền là gỡ. Thoạt nhỡn cú vẻ mật mó là khỏi niệm đơn giản, nhưng thực chất nú rất phức tạp, nhất là với cỏc mạng di động băng rộng như 3G UMTS.

2.3.1.1 Cỏc gii phỏp và giao thc

Cụng nghệ mật mó hoạt động trờn nhiều mức, mức thấp nhất là cỏc giải thuật mật mó. Cỏc giải thuật mật mó trỡnh bày cỏc bước cần thiết để thực hiện một tớnh toỏn, thường là chuyển đổi số liệu từ một khuụn dạng này vào khuụn dạng khỏc.

Giao thức lại được xõy dựng trờn giải thuật này, giao thức mụ tả toàn bộ quỏ trỡnh thực hiện cỏc hoạt động của cụng nghệ mật mó.

Một giải thuật mật mó tuyệt hảo khụng nhất thiết được coi là giao thức mạnh. Giao thức chịu trỏch nhiệm cho cả mật mó số liệu lẫn truyền số liệu và trao đổi khúa.

Đỉnh của giao thức là ứng dụng, một giao thức mạnh chưa thểđảm bảo an ninh vững chắc. Vỡ bản thõn ứng dụng cú thể dẫn đến vấn đề khỏc, vỡ thếđể tạo ra một giải phỏp an ninh cần một giao thức mạnh cũng như thực hiện ứng dụng bền chắc.

2.3.1.2 Mt mó húa s liu

Nền tảng của mọi hệ thống mật mó là mật mó húa. Quỏ trỡnh này được thực hiện như sau: tập số liệu thụng thường (văn bản thụ) được biến đổi về dạng khụng thể đọc được (văn bản đó mật mó). Mật mó cho phộp ta đảm bảo tớnh riờng tư của số liệu nhạy cảm, ngay cả khi những kẻ khụng được phộp truy nhập thành cụng vào mạng. Cỏch duy nhất cú thểđọc được số liệu là giải mật mó.

Cỏc giải thuật hiện đại sử dụng cỏc khúa đểđiều khiển mật mó và giải mật mó số liệu. Một khi bản tin đó được mật mó, người sử dụng tại đầu thu cú thể dựng mó tương ứng để giải mật mó, cỏc giải thuật sử dụng khúa mật mó gồm hai loại: đối xứng và bất đối xứng.

2.3.2 Cỏc giải thuật đối xứng

Cỏc giải thuật đối xứng sử dụng khúa duy nhất cho cả mật mó húa lẫn giải mật mó húa tất cả cỏc bản tin. Phớa phỏt sử dụng khúa để mật mó húa bản tin, sau đú gửi nú

giải mật mó. Giải thuật này chỉ làm việc tốt khi cú cỏch an toàn để trao đổi khúa giữa bờn phỏt và bờn thu. Rất tiếc là phần lớn vấn đề xảy ra khi trao đổi khúa giữa hai bờn. Trao đổi khúa là một vấn đề mà bản thõn mật mó húa đối xứng khụng thể tự giải quyết

được, nếu khụng cú phương phỏp trao đổi khúa an toàn.

Mật mó húa đối xứng cũn được gọi là mật mó húa bằng khúa bớ mật, dạng phổ

biến nhất của phương phỏp này là tiờu chuẩn mật mó húa số liệu (DES) được phỏt triển từ những năm 1970. Từđú đến nay, nhiều dạng mật mó húa đối xứng an ninh đó được phỏt triển, đứng đầu trong số chỳng là tiờu chuẩn mật mó húa tiờn tiến (AES) dựa trờn giải thuật Rijindael, DES 3 lần, giải thuật mật mó húa số liệu quốc tế (IDEA), Blowfish và họ cỏc giải thuật của Rivert (RC2, RC4, RC5, RC6).

Để giải thớch mật mó húa đối xứng ta xột quỏ trỡnh mật mó cơ sở sau:

Hỡnh 2.1 Minh họa cơ chế cơ sở của mật mó bằng khúa duy nhất.

Luồng số liệu (văn bản thụ) sử dụng khúa riờng duy nhất (một luồng số liệu khỏc) thực hiện phộp tớnh cộng để tạo ra luồng số liệu thứ ba (văn bản đó được mật mó). Sau đú văn bản này được gửi qua kờnh thụng tin đểđến bờn thu. Sau khi thu được bản tin, phớa thu sử dụng khúa chia sẻ (giống khúa bờn phỏt) để giải mật mó (biến đổi ngược) và được văn bản gốc.

Phương phỏp trờn cú một số nhược điểm: trước hết khụng thực tế khi khúa phải cú độ dài bằng độ dài số liệu, mặc dự khúa càng dài càng cho tớnh an ninh cao và càng khú mở khúa. Thụng thường cỏc khúa ngắn được sử dụng (64 hoặc 128bit) và chỳng

được lặp lại nhiều lần cho số liệu. Cỏc phộp toỏn phức tạp hơn cú thểđược sử dụng vỡ phộp cộng khụng đủđểđảm bảo. Tiờu chuẩn mật mó húa số liệu (DES) thường được sử dụng, mặc dự khụng phải là đảm bảo nhất. Nhược điểm thứ hai là phớa phỏt và phớa thu đều sử dụng một khúa chung (khúa chia sẻ). Vậy làm thế nào để gửi khúa này một

cỏch an toàn từ phớa phỏt đến phớa thu. Phải chăng điều này cú nghĩa rằng cấu tạo ra một khúa riờng duy nhất và chuyển đến đối tỏc cần thụng tin? Phần mật mó húa khúa cụng khai sẽ trả lời cho cầu hỏi này.

2.3.3 Cỏc giải thuật bất đối xứng

Cỏc giải thuật bất đối xứng giải quyết vấn đề chớnh xảy ra đối với cỏc hệ thống khúa đối xứng. Năm 1975, Whitfield Diffie và Martin Hellman đó phỏt triển một giải phỏp, trong đú hai khúa liờn quan với nhau được sử dụng, một được sử dụng để mật mó húa (khúa cụng khai) và một được sử dụng để giải mật mó húa (khúa riờng). Khúa thứ nhất được phõn phối rộng rói trờn cỏc đường truyền khụng an ninh cho mục đớch sử dụng cụng khai. Khúa thứ hai khụng bao giờđược truyền trờn mạng và nú chỉđược sử dụng bởi phớa đối tỏc cần giải mật mó số liệu. Hai khúa này liờn hệ với nhau một cỏch phức tạp bằng cỏch sử dụng rất nhiều số nguyờn tố và cỏc hàm một chiều. Kỹ (adsbygoogle = window.adsbygoogle || []).push({});

thuật này dẫn đến khụng thể tớnh toỏn được khúa riờng dựa trờn khúa cụng khai. Khúa càng dài thỡ càng khú phỏ vỡ hệ thống. Cỏc hệ thống khúa 64bit như DES, cú thể bị tấn cụng rễ ràng bằng cỏch tỡm từng tổ hợp khúa đơn cho đến khi tỡm được khúa đỳng. Cỏc hệ thống khúa 128bit phổ biến hơn (vớ dụ ECC đó được chứng nhận là khụng thể

bị tấn cụng bằng cỏch thức như trờn).

Khúa riờng và khúa cụng khai được tạo lập bởi cựng một giải thuật (giải thuật thụng dụng là RSA_ giải thuật mật mó của 3 đồng tỏc giả Ron Rivest, Adi Shamir và Leonard Adelman). Người sử dụng giữ khúa riờng của mỡnh và đưa ra khúa cụng khai cho mọi người, khúa riờng khụng được chia sẻ cho một người nào khỏc hoặc truyền trờn mạng. Cú thể sử dụng khúa cụng khai để mật mó húa số liệu, nhưng nếu khụng biết khúa riờng thỡ khụng thể giải mật mó số liệu được. Sở dĩ như vậy là cỏc phộp toỏn

được sử dụng trong kiểu mật mó này khụng đối xứng. Nếu User A muốn gửi số liệu

được bảo vệđến User B, User A sử dụng khúa cụng khai của User B để mật mó húa số

liệu và yờn tõm rằng chỉ cú User B mới cú thể giải mật mó và đọc được số liệu này. Cỏc kỹ thuật mật mó khúa riờng và khúa cụng khai là cỏc cụng cụ chớnh để giải quyết cỏc vấn đề an ninh. Tuy nhiờn, chỳng khụng phải là cỏc giải phỏp đầy đủ, cần nhận thực để chứng minh rằng nhận dạng là của cỏc người sử dụng chõn thật. Phần dưới sẽ xột cỏch cú thể sử dụng mật mó để giải quyết một số vấn đề an ninh cơ sở.

Cũng cú thể mật mó bản tin bằng khúa riờng và giải mật mó bằng khúa cụng khai, nhưng để cho mục đớch khỏc. Cỏch này cú thể được sử dụng cho cỏc số liệu khụng nhậy cảm để chứng minh rằng phớa mật mó đó thật sự truy nhập vào khúa riờng.

Giải thuật khúa bất đối xứng nổi tiếng đầu tiờn được đưa ra bởi Ron Rivest, Adishamir và Leonard Adelman vào năm 1977 với tờn gọi là RSA. Cỏc giải thuật phổ

biến khỏc bao gồm ECC và DH. RSA bị thất thế trong mụi trường di động do ECC rẻ

tiền hơn xột về cụng suất xử lý và kớch thước khúa.

Tuy nhiờn, đõy chưa phải là cỏc giải phỏp hoàn hảo, chọn một khúa riờng khụng phải là việc dễ, nếu chọn khụng cẩn thận sẽ dễ dàng bị phỏ vỡ. Ngoài ra, cỏc bộ mật mó húa bất đối xứng cung cấp cỏc giải phỏp cho vấn đề phõn phối khúa bằng cỏch sử

dụng khúa cụng khai và khúa riờng. Do phức tạp hơn nờn tớnh toỏn chậm hơn cỏc bộ

mật mó đối xứng. Đối với cỏc tập số liệu lớn, đú sẽ là vấn đề khụng nhỏ. Trong cỏc trường hợp này việc kết hợp giữa cỏc hệ thống đối xứng và bất đối xứng là một giải phỏp lý tưởng. Sự kết hợp này cho ta ưu điểm về hiệu năng cao hơn cỏc giải thuật đối xứng bằng cỏch gửi đi khúa bớ mật trờn cỏc kờnh an ninh, dựa trờn cơ sở sử dụng cỏc hệ thống khúa cụng khai. Sau khi cả hai phớa đó cú khúa bớ mật chung, quỏ trỡnh tiếp theo sẽ sử dụng cỏc giải thuật khúa đối xứng để mật mó và giải mật mó. Đõy là nguyờn lý cơ sở của cụng nghệ mật mó khúa cụng khai được sử dụng trong nhiều giao diện hiện nay.

2.3.4 Nhận thực

Dựa vào đõu mà một người sử dụng cú thể tin chắc rằng họđang thụng tin với bạn của mỡnh chứ khụng bị mắc lừa bởi người khỏc? Nhận thực cú thể giải quyết bằng sử dụng mật mó húa khúa cụng khai.

Một vớ dụđơn giản: User A muốn biết User B (người đang thụng tin với mỡnh)

Một phần của tài liệu AN NINH TRONG 3G UMTS (Trang 36 - 45)

(88 trang)