4. Những nội dung nghiên cứu chính
2.1 Giới thiệu chung xác thực thông tin
Vấn đề bảo đảm an toàn cho các hệ thống thông tin là một trong những vấn đề quan trọng không thể thiếu trong quá trình thiết kế, cài đặt, vận hành và bảo dưỡng các hệ thống thông tin. Nhu cầu bảo vệ thông tin ngày càng trở nên bức thiết. Bảo vệ thông tin là bảo vệ tính bí mật của thông tin, tính toàn vẹn của thông tin, tính xác thực và không chối bỏ thông tin
An toàn thông tin có thể hiểu là cách thức bảo vệ thông tin nhằm đảm bảo an toàn cho hoạt động và cho tất cả các thành phần của mạng bao gồm dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ những người có thẩm quyền tương ứng.
Xác thực (Authentification) là kỹ thuật kiểm tra tính hợp pháp của một thực thể giao tiếp trên mạng được quyền sử dụng tài nguyên của mạng. Một thực thể có thể là một người sử dụng, một chương trình ứng dụng, hoặc một thiết bị phần cứng. Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng nhất trong các hoạt động của một phương thức bảo mật. Một hệ thống thông thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thực hiện kết nối với hệ thống. Việc xác thực thường kết hợp với sự cho phép sử dụng hay từ chối phục vụ. Xác thực thông thường bằng mật khẩu (Password), dấu vân tay hay các dấu hiệu đặc trưng. Nói cách khác, xác thực là sự cho phép xác định người sử dụng được quyền thực hiện một hành động nào đó như đọc/ghi một tệp, hay sử dụng tài nguyên phần mềm, sử dụng các tài nguyên phần cứng, sử dụng các dịch vụ mạng... Người sử dụng phải qua giai đoạn xác thực bằng mật khẩu trước khi được phép khai thác thông tin hay một tài nguyên nào đó trên mạng. Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mô hình chính sau:
- Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như Password, hoặc mã số PIN (PersonalInformation Number).
- Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoặc số thẻ tín dụng.
- Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối tượng kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình, ví dụ như thông qua giọng nói, dấu vân tay, chữ ký ...
Không thể chối cãi (Nonreputation) nghĩa là trong quá trình giao lưu tin tức trên mạng, xác nhận tính chân thực của những thực thể tham gia. Tức là tất cả các thực thể tham gia không thể chối bỏ hoặc phủ nhận những thao tác và cam kết đã được thực hiện.
Các hình thức tấn công trực tiếp, nghe trộm, giả mạo, chối cãi nguồn gốc, truy nhập bất hợp pháp… Đặc biệt, các hình thức tấn công từ chối dịch vụ DoS (Denial of Service) và DDoS (Distributed Denial of Service) được đánh giá là các nguy cơ lớn nhất đối với sự an toàn của các hệ thống thông tin, gây ra những thiệt hại lớn và đặc biệt là chưa có giải pháp ngăn chặn hữu hiệu. Các hình thức tấn công đều nhằm vào tính khả dụng của hệ thống.
Một trong những giải pháp cần thiết để phòng, tránh các nguy cơ tấn công mạng là các giải pháp xác thực, kiểm tra các thông tin nhận được có đến từ một nguồn hợp lệ và có bị sửa đổi hay không. Mặt khác xác thực cũng có thể kiểm tra trình tự và tính đúng lúc của các thông tin nhận được.
Ngoài việc chứng minh người sử dụng, các hệ thống xác thực cũng được sử dụng để xác định những thông tin nào có thể được truy nhập; ví dụ như cơ sở dữ liệu tài nguyên hoặc cơ sở dữ liệu tài chính của một tổ chức.
Có nhiều giao thức xác thực đã được đề xuất như: xác thực thông qua yêu cầu và phản hồi, xác thực bằng hỏi đáp, xác thực Deffie-Hellman, xác thực dùng một trung tâm phân phối khoá, xác thực Need-Schoede…các giao thức xác thực này đã để lộ nhiều điểm yếu, đó là thông tin trao đổi khoá giữa hai người sử dụng các giao thức này có thể bị bên thứ ba xen vào, vì vậy vấn đề an toàn của thông tin khi thực hiện các giao dịch cũng cần phải được xem xét. Giải pháp xác thực dùng chứng chỉ số (Digital Certificate) và chữ ký điện tử (Digital Signature) được đề xuất nhằm đảm bảo an toàn cho các thông tin giao dịch, nó giải quyết được các vấn đề bảo mật dữ liệu, định danh được người gửi, tính toàn vẹn của dữ liệu và không bị giả mạo.