4. Những nội dung nghiên cứu chính
2.3.5 Giao thức xác thực Kerberos 5
Kerberos 5 được nâng cấp từ Kerberos 4 với những điểm khác biệt sau:
− Kerberos 4 phụ thuộc chặt chẽ vào giải thuật DES, trong khi Kerberos 5 thì tương thích với mọi giải thuật mã hóa.
− Kerberos 4 phụ thuộc vào địa chỉ IP để xác thực người dùng, Kerberos 5
có thể sử dụng bất kỳ địa chỉnào (ví dụ MAC address).
− Kerberos 4 sử dụng thêm 1 byte trong các bản tin để cho biết thứ tự byte trong bản tin. Kerberos 5 dùng cú pháp ANS.1 (Abstract Syntax Notation One) và luật mã hóa cơ bản BER (Basic Coding Rules) để tạo ra cơ chế xếp thứ tự byte trong bản tin một cách rõ ràng.
− Thời gian tồn tại của thẻ trong Kerberos 4 được chứa trong một trường dài 8 bit, tính theo đơn vị 5 phút, như vậy, thời gian sống tối đa của thẻ là 5 * 28= 1280 phút (khỏang 21 giờ). Trong Kerberos 5, thời gian tồn tại được biểu thị bằng thời điểm bắt đầu và thời điểm kết thúc, cho phép thời gian này được biến thiên không giới hạn.
− Kerberos 4 không cho phép cơ chế chuyển tiếp xác thực, tức là cơ chế một máy con truy xuất đến một máy chủ, và yêu cầu máy chủ này truy xuất đến dịch vụ của một máy chủ khác thông qua nhận dạng của máy con. Kerberos 5 cung cấp khả năng này.
− Kerberos 4 yêu cầu N2 quan hệ giữa các lãnh địa Kerberos trong trường hợp liên kết họat động giữa N lãnh địa. Kerberos 5 yêu cầu số quan hệ ít hơn nhiều.
Thủ tục xác thực dùng Kerberos 5 được tóm tắt như sau:
(1) C → AS: Options + IDc + Realmc + IDtgs + Times + Nonce1
(2)AS→C:Realmc+IDC+Tickettgs+E([Kc,tgs+Times+Nonce1+Realmtgs
+IDtgs],Kc)
Tickettgs = E([Flags + Kc,tgs + Realmc + IDc + ADc + Times], Ktgs)
(3) C→TGS: Options + IDv + Times + Nonce2 + Tickettgs +Authenticatorc
(4)TGS→C:IDc+Ticketv+E([Kc,v+Times+Nonce2+Realmv+IDv], Kc,tgs)
Ticketv = E([Flags + Kc,v + Realmc + IDC + ADc + Times], Kv)
Authenticatorc = E([IDC + Realmc + TS1], Kc,tgs)
(5) C → V: Options + Ticketv + Authenticatorc
(6) V → C: E([TS2 + Subkey + Seq#], Kc,v)
Ticketv = E([Flags + Kc,v + Realmc + IDC + ADC + Times], Kv)
Authenticatorc = E([IDC + Realmc + TS2 + Subkey + Seq#], Kc,v)
Trong thủ tục trên, ngoài những thành phần đã xuất hiện trong Kerberos 4 còn có thêm các thành phần mới sau đây:
− Realm: Biểu thị vùng của người dùng (Domain).
− Options: Các tuỳ chọn, dùng để yêu cầu các thông tin cộng thêm xuất hiện trong thẻ.
− Times: Tham số thời gian trong thẻ nhưfrom, till, rtime.
− Nonce: Giá trị ngẫu nhiên được tạo ra trong bản tin để đảm bảo rằng bản tin trả lời là bản tin hợp lệ chứ không phải bản tin cũ dùng lại.
Kết luận chương
Giải pháp sử dụng chứng thực số là sự kết hợp nhiều biện pháp bảo mật đảm bảo được an toàn thông tin giao dịch trên mạng Internet. Đây là một nền tảng công nghệ mang tính tiêu chuẩn trên toàn cầu và cũng là giải pháp rất cần thiết đối với một quốc gia đang trong quá trình phát triển các ứng dụng giao dịch điện tử trong nhiều lĩnh vực như ở Việt Nam.
Chương này của luận văn đã làm rõ các đặc tính cơ bản của các kỹ thuật xác thực thông tin, bao gồm các phương pháp như sau:
− Xác thực sử dụng các thuật toán mật mã khóa đối xứng
− Xác thực sử dụng các thuật toán mật mã khóa bất đối xứng
− Xác thực sử dụng mã xác thực MAC
− Xác thực sử dụng các hàm băm bảo mật
− Xác thực thông tin dùng chữ ký điện tử
Các kỹ thuật xác thực trên mới chỉ giải quyết được các vấn đề về xác minh nguồn gốc thông tin, chưa giả quyết được những trường hợp tranh chấp, chối bỏ trách nhiệm pháp lý trong các giao dịch điện tử. Những giải pháp sau giải quyết những vấn đề về chống chối bỏ
− Xác thực thông tin dùng chữ ký điện tử và chứng thực điện tử
− Mật khẩu
− Các giao thức xác thực trong mô hình điểm - điểm
− Các giao thức xác thực trong các hệ thống phân tán
− Giao thức xác thực Kerberos 4
− Giao thức xác thực Kerberos 5
Tuy nhiên trong thực tế, có thể tích hợp nhiều phương pháp theo yêu cầu bảo mật. Phổ biến hiện nay, phương pháp chữ ký số trên cơ sở hạ tầng khóa công khai PKI.Bất kỳ một tổ chức, doanh nghiệp hay cá nhân nào cũng có thể xây dựng cơ chế an toàn bảo mật và xác thực dựa trên chữ ký số và cơ sở hạ tầng khóa công khai. Có thể sử dụng khoá công khai của một thành viên từ xa cần tìm và phê chuẩn một đường dẫn chứng thực, qua nhiều CA trung gian. Việc xây dựng một hạ tầng khóa công khai nhằm đáp ứng các yêu cầu về bảo mật phụ thuộc phần lớn vào các mô hình, cấu trúc của các hệ thống thông tin.
CHƯƠNG 3
GIẢI PHÁP XÁC THỰC CHO
CÁC GIAO DỊCH HÀNH CHÍNH CÔNG ĐIỆN TỬ