C H TOÀN VN DATABASE
B O MT NG D NG DA TRÊN DIRECTORY
3.1.2 MÃ HOÁ KHOÁ CÔNG KHAI
Còn g i là mã hoá b ng khoá chung, mã hoá b t đ i x ng.
S d ng c p khoá Public Key và Private Key trong đó Private Key ph i gi bí m t, Public Key có th chia s .
M i Public Key ch có 1 Private Key t ng ng và ng c l i.
M t thông đi p đ c mã hoá b ng Private Key ch có th đ c gi i mã b i Public Key và ng c l i.
M t s thu t toán ph bi n c a ph ng pháp này: RSA, LUC
Nghi th c trao đ i khoá: Diffie –Hellman.
Quy trình mã hoá và gi i mã b ng ph ng pháp mã hoá công khai:
Th hi n rõ nét nh t c a ph ng pháp mã hoá khoá công khai là chính
sách b o m t PKI (Public Key Infrastructure). PKI là t p h p bao g m:
• Ph n c ng, ph n m m. • Các chính sách và th t c c n thi t. B n gえc B n mã Mã hoá b ng khoá bí m t K1 Gi i mã b ng khoá công khai K2 Truy・n trên Internet
B n gえc B n mã B n gえc B n mã Mã hoá b ng khoá bí m t K Gi i mã b ng khoá bí m t K Truy・n trên Internet
B n mã
• Con ng i
åNh m t o ra, phân ph i, l u tr , qu n lí, thu h i các Public Key Certificate d a trên thu t toán mã hoá khóa công khai.
3.2 So sánh u khuy t đi m gi a hai ph ng pháp
3.2.1 Ph ng pháp mã hoá khoá bí m t 3.2.1.1 u đi m
Có t c đ cao. Th c thi b ng ph n m m đ t t c đ vài megabytes / giây , còn th c thi b ng ph n c ng h tr đ t t c đ hàng tr m megabytes / giây
Khoá dùng t ng đ i ng n : 64, 128, 192, 256 bits
Có th đ c k t h p đ t o ra các thu t toán mã hoá m nh h n
3.2.1.2 Khuy t đi m
Vi c trao đ i và phân ph i khoá gi a 2 th c th không an toàn, ti m n nguy c “rò r ” khoá.
Trong h th ng m ng l n, s l ng khoá c m qu n lí r t nhi u. N u có n th c th thì s khoá t i thi u là n(n-1)/2
Khoá c n đ c thay đ i theo đnh kìđ tránh b “rò r ”.
3.2.2 Ph ng pháp mã hoá khoá công khai3.2.2.1 u đi m 3.2.2.1 u đi m
Ch c n gi bí m t khoá Private, còn khóa Public có th t do công b . Vi c qu n lí và phân ph i khoá do m t th c th đáng tin c y và đ th m quy n đi u hành
C p khoá có th s d ng lâu dài.
ng d ng trong k thu t Ch kí đi n t và Ch ng th c đi n t (PKI). Trong h th ng m ng l n, s l ng c p khoá ít h n so v i khoá bí m t. N u có n th c th thì pháp sinh n c p khoá.
3.2.2.2 Khuy t đi m
T c đ mã hoá ch m h n nhi u l n so v i mã hoá khoá bí m t. Kích th c khoá l n h n nhi u so v i khoá c a mã hoáđ i x ng.
3.3 ng d ng c a mã hoá
3.3.1 Ph ng pháp mã hoá khoá bí m t
Các thu t toán c a ph ng pháp này ho t đ ng trên v n b n bình th ng theo t ng bit m t hay theo t ng kh i 32, 64, 128, 192, 256 bits
Do t c đ nhanh, vi c trao đ i và phân ph i khóa không an toàn nên ph ng pháp này thích h p cho vi c mã hoá d li u t i m t h th ng – b o m t d li u t i ch , đ c bi t phù h p trong vi c mã hoá database.
3.3.2 Ph ng pháp mã hoá khoá công khai
c s d ng r ng rãi trong trong k thu t Ch kí đi n t và Ch ng th c
đi n t - PKI
Các khái ni m đ c tr ng v PKI
3.3.2.1 V n b n tóm l c (Digest Message)
Thông tin đ c mã hoá khi truy n trên m ng thì không th đ c đ c nh ng tính xác th c v ngu n g c c a thông tin không đ c đ m b o. Thông tin v n có th do k gi m o cung c p.
Tóm l c thông đi p là thu t toán đ o b o tính chính xác v n i dùng c a thông tin.
M t thu t toán tóm l c thông đi p ph i tho các đi u ki n
• Không xác đnh đ c thông đi p g c d a trên thông đi p đã tóm l c
• Không th tìmđ c thông đi p có b n tóm l c nh ý mu n
• Hai thông đi p khác nhau dù là m t d u ph y thì hai b n tóm l c c ng khác nhau hoàn toàn.
Quá trình t o ra v n b n tóm l c.
å Nh n xét : V n b n tóm l c ch a ng n ng a đ c s m o danh – b i vì b n
thân nó ch a nói lên đ c ngu n g c c a thông tin.
3.3.2.2 Ch kí đi n t (Digital Signature)
Là m t d ng tài li u s , đ c đính kèm v i tài li u c n g i.
Ch kí đi n t đ m b o tính chính xác v n i dùng v n b n, v
ng i g i
Ch kí đi n t cho 2 v n b n khác nhau thì hoàn toàn khác nhau Quá trình kí và t o ch kí s
• T n i dùng ban đ u, ta t o ra b n tóm l c thông đi p.
• Mã hoá b n tóm l c thông đi p cùng v i m t s thông tin khác c a user b ng Private Key đ t o ra ch kí đi n t .
• G n ch kí đi n t vào thông đi p, t o nên thông đi p đãđ c kí. G i thông đi p này cho bên nh n.
Message
Message Digest Function
Quá trình xác nh n ch kí s .
• Tóm t t thông đi p nh nđ c (không tóm t t ch kí đi n t kèm theo) đ nh n đ b n tóm l c thông đi p
• Gi i mã ch kí đi n t kèm theo b ng Public Key c a ng i g i
å Có đ c b n tóm l c thông đi p mà bên g i đã dùngđ t o ra ch kí đi n t
• So sánh hai b n tóm l c thông đi p này, n u trùng kh p thì thông đi p là h p l .
Mô hình :
åNh n xét : V i ch kí đi n t , m t v n b n đãđ m b o v đ bí m t, tính toàn v n c ng nh tính xác th c c a nó. Tuy nhiên, tính xác th c ch có giá tr th c ti n khi ch kí đi n t này đ c ch ng nh n b i m t t ch c có đ th m quy n và uy tín.
3.3.2.3 Ch ng th c đi n t (Digital Certificate)
Là d ng tài li u s ch a các thông tin đnh danh và Public Key c a 1 th c th
DC đ m b o Public Key thu c v th c th đãđ c đnh danh.
DC ch có giá tr r ng rãi n u đ c c p b i m t ch ng th c y quy n – Certification Authority (CA) có uy tín.
Message Message Digest Function Digest Message Encrypt with Private Key Signature Message Message Message Digest Function Signature Decrypt with Public Key Expected Digest Actual Digest S
Tính n ng c a DC
• nh danh : DC có tính n ng nh m t Ch ng minh nhân dân và CA là
ng i c p CMND đó
• Không th gi m o
• Phân ph i Public Key an toàn Mô hình:
åNh n xét: V i Ch ng th c đi n t , th c th đã ch ng minh đ c s t n t i c a mình v m t pháp lí. ây là c s đ th c th tham gia giao d ch trên m ng m t cách an toàn và uy tín.
3.3.2.4 Danh sách ch ng th c thu h i (Certification Revocation Lists)
Các lí do đ thu h i DC đã c p
• Khi th c th mu n thay đ i Key Pair ho c b l Private Key • Khi CA thay đ i Private Key
• DC h t h n s d ng
Các thành ph n liên quan đ n quá trình thu h i DC • CA.
• B ph n l u tr DC.
• Th c th s h u ch ng th c.
Các h ng ti p c n trong vi c thu h i DC
• Sau m t kho ng th i gian quy đnh, DC đ c xem là h t h n
Certificate Subject Identification Information Subject Public Key Certification Authority’s name CA’s Digital Signature CA’s Private Key Digest Message
• Li t kê t t c các DC còn hi u l c trên m t d ch v th m c tr c tuy n và ch ch p nh n nh ng DC có trong danh sách này.
• CA cung c p danh sách DC b thu h i theo đnh kí, li t kê các DC không còn h p l
• Cung c p m t k thu t ki m tra tr ng thái c a DC tr c tuy n, thông báo cho th c th bi t DC còn hi u l c hay b thu h i.
åNh n xét: Vi c t o ra và update th ng xuyên CRL có ý ngh a quan tr ng trong vi c ki m soát và b o v các DC c a CA. Chính ho t đ ng th hi n trách nhi m này c a CA đã góp ph n đ o b o an ninh m ng và nâng cao uy tín c a CA.
3.4 ng d ng c a mã hoá trong đ tài
Xác nh n tính h p pháp c a th c th khi login vào h th ng trong các tr ng h p b ng Ch ng th cđi n t
• ng kí thuê ph n m m
• S d ng ph n m m
Mã hoá thông tin trao đ i hai chi u gi a th c th và h th ng b ng Key Pair
• Câu l nh truy v n, c p nh t d li u t khách hàng lên h th ng. • K t qu tr v t h th ng cho khách hàng
Ch ng th c s tham gia c a th c th vào vi c thuê ph n m m.
Mã hoá thông tin k toán l u tr t i h th ng nh m b o m t thông tin cho khách hàng
Ch ng IV Các mô hình mã hóa c s d li u
4.1 T m quan tr ng c a vi c mã hóa
Trong mô hình c a đ tài, toàn b c s d li u v k toán c a doanh nghi p đ c l u tr t i h th ng – Database Server
Mã hoá database giúp cho vi c b o m t thông tin nh y c m t i h th ng
đ c t t h n:
• Tránh đ c s nhòm ngó t các đ i th c nh tranh. • Tránh đ c s phá ho i có ch đích c a k x u
• Tránh đ c rò r thông tin t nhân viên qu n tr Database Server c a h th ng.
4.2 Chi n l c xác th c
đ ng nh p vào h th ng và s d ng c s d li u, user ph i đ c xác th c d a trên:
• Xác th c trên th c th (đ n v thuê ph n m m) : Tên Cty, ch ng th c
đi n t .
• Xác th c trên ch c v , quy n h n: giám đ c, phó giám đ c, tr ng phòng,…
D a vào nh ng xác th c đó, ch ng minh t ng đ i t ng c th , ta có th c p quy n s d ng và mã hóa - gi i mã database theo t ng c p đ .
4.3 Th i đi m gi i mã và mã hóa h th ng
Khi h th ng kh i đ ng, có hai l a ch n đ gi i mã database. M i l a ch n có nh ng thu n l i và h n ch riêng
4.3.1 Gi i mã và mã hoá database lúc login và logout
Database đ c gi i mã và mã hoá m t l n lúc login và logout vào h
th ng
å u đi m: Thao tác truy xu t database nhanh do không di n ra quá
trình mã hoá - gi i mã liên t c, ch gi i mã m t l n và mã hóa m t l n.
åKhuy t đi m:
• Ng i dùng m t m t kho ng th i gian ch l n vào vi c ch gi i mã – mã hoá database.
• Trong khi th c th đang th c hi n vi c truy xu t, kh n ng database có th b nhìn tr m b i ng i qu n tr database là r t l n, vì lúc này d li u đ u d ng có th đ c đ c.
4.3.2 Gi i mã và mã hoá database khi có câu truy v n
Database đ c gi i mã và mã hoá theo c p khi có câu l nh truy v n t i nó.
å u đi m: đ an toàn cao.
å Khuy t đi m : thao tác truy xu t database ch m do quá trình mã hoá - gi i mã liên t c khi câu truy v n đ c g i đ n.
4.4 Các mô hình mã hoá c s d li u
Vi c mã hoá - gi i mã ph i tuân theo m t s chi n l c mã hoá. M i
chi n l c có nh ng u và khuy t đi m đ c thù riêng c a nó.
Chi n l c mã hoá và gi i mã đ c phân thành 2 nhóm chính tùy theo
th i đi m đã trình bày trên.
4.4.1 Các chi n l c mã hoá-gi i mã khi login và logout vào h th ng 4.4.4.1 Mã hoá & gi i mã toàn b database
Các ph n m m h tr :
• Oracled Advanced Security (DBMS_OBFUSCATION_TOOLKIT
package)
• Encryption Wizard for Oracle (www.relationalwizards.com) SQL Server Triple
4.4.4.2 Mã hoá & gi i mã m t s table trong database
Các ph n m m h tr :
• Encryption Wizard for Oracle (www.relationalwizards.com)
4.4.4.3 Mã hoá & gi i mã m t s field trong table
Các ph n m m h tr :
• Encryption Wizard for Oracle (www.relationalwizards.com)
• Oracled Advanced Security (DBMS_OBFUSCATION_TOOLKIT
package)
• DBEncrytp (www.AppSecInc.com)
4.4.4.4 Mã hoá & gi i mã m t s record trong table
Các ph n m m h tr :
• Oracled Advanced Security (DBMS_OBFUSCATION_TOOLKIT
package)
Login Use Logout
Login Use Logout
Login
Logout
• DBEncrytp (www.AppSecInc.com)
4.4.2 Các chi n l c mã hóa-gi i mã khi có s truy v n đ n h th ng 4.4.2.1 Mã hoá & gi i mã m t s table trong database
Các ph n m m h tr :
• Encryption Wizard for Oracle (www.relationalwizards.com)
4.4.2.2 Mã hoá & gi i mã m t s field trong table
Các ph n m m h tr :
• Encryption Wizard for Oracle (www.relationalwizards.com)
• Oracled Advanced Security (DBMS_OBFUSCATION_TOOLKIT
package) Login Use 1 Use 2 Logout Login Use 1 Use 2 Logout
• DBEncrytp (www.AppSecInc.com)
4.4.2.3 Mã hoá & gi i mã m t s record trong table
Các ph n m m h tr :
• Oracled Advanced Security (DBMS_OBFUSCATION_TOOLKIT
package)
• DBEncrytp (www.AppSecInc.com)
4.4.3 Các chi n l c t h p
5.4.1.2 Mã hoá-gi i mã m t s field và record trong table khi login và logout
Login Use Logout
Login Use 1
Use 2
5.4.1.3 Mã hoá-gi i mã m t s field và record trong table khi có s truy v n đ n h th ng
Các ph n m m h tr : Dùng ph i h p các ph n m m h tr cho mã hoá theo field và theo record.
Chú thích:
: Vùng Database tr ng thái t ng minh (đãđ c gi i mã). : Vùng Database tr ng thái đ c mã hoá.
B ng so sánh công d ng c a các ph n m m h tr Tên ph n
m m Nhà cung c p Database Table Column Field Dynamic
Oracle Advanced Secirity Oracle X X X X Encrytion Wizaed for Oracle www.relationalwizard s.com X X X X SQL Server Triple www.netlib.com X DBEncrypt www.AppSecInc.com X X 4.5 Mô hình d li u thuê ph n m m Có 2 mô hình: Login Use 1 Use 2 Logout
4.5.1 M i user thuê ph n m m có m t database riêng
å u đi m: d qu n lý vì ng v i t ng đ i t ng c th s có nh ng table c th .
åKhuy t đi m: s l ng các database c n qu n lý s r t l n.
4.5.2 Các user thuê ph n m m dùng chung m t database
å u đi m: s l ng database c n qu n lý s không quá l n.
åKhuy tđi m: r t khó qu n lý vì trên cùng m t table s có r t nhi u record t ng ng v i t ng khách hàng c th åkhó truy v n, thao tác database. Database c ng r t l n.
4.6 Thu t toán mã hóa AES
Ch kí đi n t và ch ng th c đi n t h tr đ c l c cho nhà qu n tr h th ng xác th c đ c th c th đang t ng tác v i h th ng. Tuy nhiên, n u áp d ng thu t toán mã hoá b t đ i x ng vào vi c gi i mã và mã hoá DB s gây tr ng i l n v m t t c đ x lí c a Server vì:
• S bit mã hoá c a thu t toán mã hoá b t đ i x ng l n å làm ch m
quá trình mã hoá và gi i mã.
• Cùng v i s thành công trong th c ti n c a đ tài, Server càng lúc ph i ph c v nhi u th c th truy xu t cùng lúcåy u t t c đ trong mã hoá và gi i mãđ c đ t lên hàng đ u.