2.4.1. Xác thực
Xác thực pà phương pháp xác nhận để xem người truy cập đang truy cập vào mạng có đúng không.Xác thực dựa trên các yếu tố đặc tính:
- Chìa khóa hoặc thẻ bài
- Mật khẩu
- Dấu vân tay, giọng nói
Các phương pháp xác thực dựa trên nhiều yếu tố, trong đó có được chia thành các loại: - Mật khẩu truyền thống - Mật khẩu một lần - Các hệ thống mật khẩu khác - Dựa trên nền tảng phần cứng - Nhận dạng sinh học 2.4.1.1. Mật khẩu truyền thống
Đây là phương pháp xác thực đơn giản nhất (nhận dạng người sử dụng bằng mật khẩu). Nó không tương xúng với việc bảo mật truy cập mạng. Mật khẩu có thể bị đoán, bị chặn trên đường truyền (trong quá trình truyền trên mạng). Thậm chí người sử dụng có thể rất cẩn thận về mật khẩu của họ có thể bị đoán được nhưng họ không biết rằng các dịch vụ internet khác nhau không bảo vệ mật khẩu của họ. ví dụ như các dịch vụ
FTP, TELNET truyền nhận dạng người sử dụng và mật khẩu ở dạng đọc được (Plantext), do vậy chúng sẽ bị lộ khi bị chặn lại
Luận văn thạc sỹ
Lê Ngọc Hoàn Trang 52
2.4.1.2. Mật khẩu sử dụng một lần
Để khặc phục nhược điểm của phương pháp mật khẩu truyền thống, một cách khác bảo vệ mật khẩu không bị sử dụng bất hợp pháp khi nó bị chặn lại đó là: giới hạn mật khẩu trong một phiên truyền thông. Với một phiên làm mới thì mật khẩu mới sẽ được sử dụng. Các hệ thống sử dụng phương pháp này như: S/Key. Nó sử dụng nhóm giấy phép bí mật (secret pass phrase) do người dùng sử dụng đưa ra để tạo ra một dãy các mật khẩu tức thời. Nhóm giấy phép bí mật này không bao giờ truyền ra khỏi máy tính của họ hoạc không bao giờ truyền trên mạng nên nó không bị tấn công hoặc đánh cắp. Vì mật khẩu chỉ có giá trị trong một phiên truyền nên nếu nó bị chạn lại thì đối tượng sẽ không biết được phiên tiếp theo có mật khẩu là gì. Một dạy mật khẩu tức thời được sinh ra bởi sử dụng hàm băm nhiều lần (n lần). N do người dùng chọn.
2.4.1.3. Các hệ thống mật khẩu khác
Ngoài phương pháp mật khẩu truyền thống, một số hệ thống dựa trên mật khẩu quan trọng khác phát trienr cho công việc xác thực, đặc biệt là cho việc truy cập từ xa. Chúng ta có thể kể ra một số phương pháp dưới đây:
- Giao thức xác thực mật khẩu (PAP – Password Authentication protocol)
PAP được thiết kế một cách đơn giản là để máy tính xác thực chính nó với máy tính khác khi giao thức PPP được sử dụng như là giao thức truyền thông. Giao thức PAP là giao thức bắt tay hai bước: có nghĩa là người sử dụng khi kết nối truy nhập sẽ được nhận dạng và xác thực dựa trên tên người sử dụng và mật khẩu gửi đến server, nó được so sánh với tên và pass đăng ký tại đó. Kỹ thuật này có nhược điểm là bị nghe trộm bởi vì mật mã có thể bị “tóm” được và sử dụng bởi người khác đang trong cùng hệ thống
- Giao thức xác thực bắt tay theo yêu cầu (CHAP – Challenge Handshake – Authentication Protocol)
Giao thức được thiết kế với cách sử dụng PAP nhưng CHAP là phương pháp bảo mật hơn khi xác thực kết nối PPP. CHAP là giao thức bắt tay 3 bước.
CHAP là mô hình xác thực dựa trên username và password. Ta xét trường hợp 2 router sử dụng giao thức xác thực CHAP. Router 1 và Router 2 có cùng một password
Luận văn thạc sỹ
Lê Ngọc Hoàn Trang 53
chung được thiết lập trước đó. Router 1 muốn kết nối đến router 2 thì nó phải chứng minh được rằng nó nắm bí mật (chính là password) giữa chúng. Khác với giao thức PAP truyền pass dưới dạng clear text. Giao thức CHAP truyền một giá trị băm mà giá trị đầu vào là password và các trường khác. Để vượt qua được thử thách thì giá trị băm sau khi tính toán của 2 bên phải giống nhau.
Quá trình được thực hiện cụ thể như sau:
B1: Bên xác thực sẽ gửi một thông điệp yêu cầu đến đầu bên kia
B2: Đầu bên sẽ tính toán một giá trị bằng cách sử dụng hàm băm một bước và sau đó nó gửi giá trị đó cho bên xác thực.
B3: Bên xác thực có thể chấp nhận yêu cầu nếu giá trị đó phù hợp
Qua trình trên có thể được lặp lại bất cứ khi nào trong quá trinhd kết nối PPP để đảm bảo kết nối không bị phá vỡ, không giống như PAP, máy phục vụ sẽ thực hiện xác thực lại.
2.4.1.4. Xác thực dựa trên nền tảng phầncứng
- Sử dụng thẻ thông minh (Smart card) và thẻ PC (PC card):
Các thẻ thông minh là các thiết bị mà về kích thước thì giống hệt thẻ tín dụng nhưng trong đó nó bao gồm một bộ vi xử lý và bộ nhớ. Một máy đọc thẻ được sử dụng trong kết nối với thẻ thông minh sao cho các thông tin có thể được trao đổi thheo yêu cầu.
- Thẻ bài (Token card);
Là một thiết bị điện tử xác thực người dùng nhỏ gọn, dùng cho giao dịch qua các kênh giao dịch từ xa. Token hoạt động theo phương thức tạo các dãy mã số một cách ngẫu nhiên. Cơ chế bảo mật của mỗi Token chính là mã số được tạo ra liên tục, duy nhất, đồng bộ hoá và xác thực bởi máy chủ.
2.4.1.5. Xác thực dựa trên nhận dạng sinh học
Dựa trên những đặc điểm cá nhân duy nhất của con người các công nghệ về sinh học sẽ đo đạc sẽ các đặc điểm riêng của con người nhự: dấu vân tay, tròng mắt, giọng
Luận văn thạc sỹ
Lê Ngọc Hoàn Trang 54
2.4.2. Kiểm soát truy cập
Đây là quá trinhd gán các các quyền truy cập khác nhau tới các nguồn tài nguyền trên mạng cho người sử dụng. trong Firewall, quyền truy cập tới các nguồn tài nguyên được chỉ ra trong một danh sách gọi là danh sách diều khiển truy cập (ACL – Access
Control List). Các sản phẩm VPN thường chưa các thông tin truy cập trong VPN Gateway hoặc trong máy phục vụ xác định chính sách.
2.4.3. Tính bí mật của dữ liệu
Dữ liệu có thể được mã hóa nhằm mục đích che dấu nội dung thật của dữ liệu khi truyền qua mạng, một thao tác toán học được thực hiện trên dữ liệu chưa được mã hóa để sinh ra một chuỗi mật mã không thể đọc được. Chuỗi mật mã này có thể được giải mã bằng cách sử dụng khóa, một người thứ ba không có khóa thi không thể giải mã được một cách dễ dàng chuỗ mật mã đó. Đó chính là loại mã hóa mà chúng ta đang quan tâm và nghiên cứu ở trên (mã hóa đối xứng và mã hóa công khai, điển hình là hạ tầng mã
hóa khóa công khai PKI).
2.4.4. Tính toàn vẹn của dữ liệu
Để đảm bảo tính toàn vẹn của dữ liệu, một vài dạng kiểm tra dữ liệu tổng được áp dụng (checksum). Kiểm tra tổng được tiến hành ở điểm đích và nếu không có gì thay đổi xảy ra thì dữ liệu có thể được xử lý tiếp. Có hai kỹ thuật được biết đến đó là kỹ thuật phân chia thông điệp và kỹ thuật chữ ký số.