Chƣơng 2 : XÁC THỰC VÀ BẢO ĐẢM TOÀN VẸN DỮ LIỆU DỰA TRÊN CHỮ KÝ SỐ
2.1 Bảo đảm an toàn thông tin bằng phương pháp nhận diện và xác thực (I&A)
2.1.1 I&A dựa trên một số điều mà người dùng biết
Các dạng thông thường nhất của I&A là một cặp mã nhận diện người dùng (user ID) và mật khẩu. Kĩ thuật này chỉ dựa trên một số điều mà người dùng biết. Có những công nghệ dựa trên những điều người dùng biết nhưng không phải là một mật khẩu như kiểu truyền thống, chẳng hạn như là một khoá mã.
a. Mật khẩu
Các hệ thống bảo vệ an ninh bằng mật khẩu làm việc bằng cách yêu cầu người dùng đưa vào một mã nhận diện người dùng UID và mật khẩu (hoặc cụm mật khẩu hay số nhận diện cá nhân). Hệ thống so sánh mật khẩu này với một mật khẩu đã được lưu trước đó của người sử dụng. Nếu phù hợp, người dùng này được xác thực và cấp quyền truy nhập.
Tên người sử dụng và mật khẩu là một yếu tố bảo vệ cho các máy chủ. Bạn sử dụng mật khẩu hàng ngày khi muốn truy nhập vào máy chủ lưu giữ hộp thư điện tử của bạn, truy nhập vào mạng của một trường đại học hoặc một công ty, đăng nhập vào các dịch vụ thuê bao, chẳng hạn như E*Trade, trên Internet. Để xác thực người dùng bằng sử dụng tên và mật khẩu, máy chủ phải lưu giữ một cơ sở dữ liệu (có chứa các thông tin liên quan đến người sử dụng hợp pháp, gồm tên người sử dụng và mật khẩu). Hệ thống cho phép người sử dụng bổ sung, xoá, thay đổi mật khẩu. Các hệ thống hiện đại nhất giúp người sử dụng nhớ lại mật khẩu trong trường hợp họ quên. Bạn có thể lấy lại một mật khẩu đã quên bằng cách gửi yêu cầu cho máy chủ thư tín.
Nhiều hệ thống máy chủ Web lưu giữ tên người sử dụng và mật khẩu trong một file. Không quan tâm đến việc thông tin đăng nhập được lưu giữ ở đâu, cách nhanh nhất và phổ biến nhất để lưu giữ các mật khẩu (một biện pháp được sử dụng trong các hệ thống UNIX) là lưu giữ tên người sử dụng ở dạng rõ và mã hoá mật khẩu. Khi bạn hoặc một hệ thống tạo ra một tên mới, mật khẩu được mã hoá nhờ thuật toán mã hoá một chiều. Do tên người sử dụng được lưu ở dạng rõ, hệ thống có thể phê chuẩn những người sử dụng khi họ đăng nhập, bằng cách kiểm tra tên của anh ta qua danh sách tên (được lưu giữ trong cơ sở dữ liệu). Sau đó mã hoá mật khẩu mà người sử dụng gõ vào khi đăng nhập hệ thống và so sánh nó với mật khẩu trong cơ sở dữ liệu (mật khẩu này được mã
hoá, trước khi lưu vào cơ sở dữ liệu). Nếu trùng khớp, đăng nhập được chấp nhận.
Thông thường, máy chủ Web đưa ra danh sách kiểm soát truy nhập an toàn. ACL(Access Control List) là một danh sách hoặc cơ sở dữ liệu, các nguồn tài nguyên, tên của người có thể truy nhập vào các file hoặc các nguồn tài nguyên khác. Mỗi file có một danh sách kiểm soát truy nhập riêng. Bất cứ khi nào, máy phía máy khách yêu cầu máy chủ Web truy nhập vào một file hoặc một tài liệu (có định trước cấu hình yêu cầu kiểm tra truy nhập), máy chủ Web sẽ kiểm tra ACL của nguồn tài nguyên và sẽ quyết định người sử dụng có được phép truy nhập hay không.
Trong một thời gian dài, mật khẩu đã tạo ra độ an toàn cho các hệ thống máy tính. Chúng được tích hợp vào trong nhiều hệ điều hành cũng như nhiều ứng dụng.
b. Các khoá mã
Đây là kiểu xác thực yêu cầu người sử dụng biết về một khoá mã. Tuy nhiên, người sử dụng cũng cần phải có (hoặc có thể truy nhập tới) những thiết bị có khả năng tính toán việc mã hoá, chẳng hạn như một PC hoặc một smart card.