Để thiết lập một kết nối VPN thỡ trước hết cả hai phớa phải xỏc thực lẫn nhau để khẳng định rằng mỡnh đang trao đổi thụng tin với người mỡnh mong muốn chứ khụng phải là một người khỏc.
2.2.1.1 Xỏc thực bằng mật khẩu
Thực tế cho thấy, cỏc loại xỏc thực đơn giản, như số nhận dạng ID của người dựng, mật khẩu khụng đủ mạnh cho việc bảo mật truy cập mạng. Mật khẩu cú thể bị đún bắt và giữ lấy trong suốt quỏ trỡnh truyền dữ liệu của mạng. Hệ thống mật khẩu một lần là phương phỏp tốt sử dụng mật khẩu truyền thống.
Hệ thống mật khẩu một lần:
Để ngăn chặn việc sử dụng trỏi phộp, cỏc mật khẩu bị giữ lại và ngăn khụng cho chỳng khụng được dựng trở lại, bằng cỏch cầu một mật khẩu mới cho phiờn làm việc mới. Những hệ thống này, thỡ mỗi khi người dựng đăng nhập vào mạng thỡ luụn luụn phải chọn một mật khẩu mới cho mỗi phiờn làm việc kế tiếp. Do đú để khắc phục khú khăn này bằng cỏch tạo ra một cỏch tự động một danh sỏch mật khẩu cú thể chấp nhận được cho người dựng. Nhược điểm của cỏc hệ thống này là khú cú thể quản trị những danh sỏch mật khẩu cho một số lượng lớn người dựng.
39
Giao thức mật khẩu PAP
Giao thức xỏc thực mật khẩu PAP (Passwork Authentication Protocol) được thiết kế một cỏc đơn giản cho một mỏy tớnh tự xỏc thực đến một mỏy tớnh khỏc khi giao thức điểm-điểm PPP được sử dụng làm giao thức truyền thụng. PAP là một giao thức bắt tay hai chiều; đú là, mỏy tớnh chủ tạo kết nối gửi nhận dạng người dựng và mật khẩu kộp (passwork pair) đến hệ thống đớch mà nú cố gắng thiết lập một kết nối và sau đú hệ thống đớch xỏc thực rằng mỏy tớnh đú được xỏc thực đỳng và được chấp nhận cho việc truyền thụng. Xỏc thực PAP cú thể được dựng khi bắt đầu của kết nối PPP, cũng như trong suốt một phiờn làm việc của PPP để xỏc thực kết nối.
Khi một kết nối PPP được thiết lập, xỏc thực PAP cú thể cú thể được diễn ra trong kết nối đú. Điểm ngang hàng gửi một nhận dnạg người dựng và mật khẩu đến bộ xỏc thực cho đến khi bộ xỏc thực chấp nhận kết nối hay kết nối bị huỷ bỏ. PAP khụng bảo mật bởi vỡ thụng tin xỏc thực được truyền đi rừ ràng và khụng cú khả năng bảo mật chống lại tấn cụng trở lại hay lặp lại quỏ nhiều bởi những người tấn cụng nhằm cố gắng dũ ra mật khẩu đỳng hay một cặp nhận dạng người dựng.
2.2.1.2 Giao thức xỏc thực yờu cầu bắt tay CHAP
Giao thức xỏc thực mật khẩu yờu cầu bắt tay CHAP (Challenge Handshake Authentication Protocol) được thiết kế cho việc sử dụng tương tự như PAP nhưng là một phương phỏp bảo mật tốt hơn đối với xỏc thực cỏc kết nối PPP.
Người dựng
Mỏy tớnh xỏc thực Yờu cầu truy cập
Thỏch đố Đỏp ứng Cho phộp 1 3 2 Hỡnh 2. 7: Hệ thống đỏp ứng thỏch thức người dựng
CHAP là một giao thức bắt tay ba chiều bởi vỡ nú bao gồm ba bước để thực hiện kiểm tra một kết nối, sau khi kết nối được khởi tạo đầu tiờn hay tại bất kỳ thời điểm nào sau khi kết nối được thiết lập. Thay vỡ dựng một mật khẩu hay tiến trỡnh chấp nhận giống như trong PAP, CHAP sử dụng một hàm băm một chiều (one-way hashing function).
1. Mỏy tớnh xỏc thực gửi một bản tin thỏch thức (challenge massage) đến mỏy tớnh ngang cấp (peer).
40
2. Mỏy tớnh ngang cấp tớnh toỏn một giỏ trị sử dụng một hàm băm một chiều và gửi lại cho mỏy tớnh xỏc thực.
3. Mỏy tớnh xỏc thực cú thể đỏp ứng chấp nhận nếu giỏ trị gửi lại tương ứng với giỏ trị mong muốn.
Tiến trỡnh này cú thể lặp lại tại bất kỳ thời điểm nào trong suốt quỏ trỡnh kết nối để đảm bảo rằng kết nối luụn được nắm quyền và khụng bị suy yếu trong mội trường hợp. Mỏy chủ điều khiển quỏ trỡnh xỏc thực tại CHAP.
PAP và CHAP cú nhược điểm giống nhau, đú là:
Đều phụ thuộc vào một mật khẩu bớ mật được lưu trữ trờn mỏy tớnh của người dựng ở xa và mỏy tớnh nội bộ. Nếu bất kỳ một mỏy tớnh nào chịu sự điều khiển của một kẻ tấn cụng mạng và bị thay đổi mật khẩu bớ mật thỡ khụng thể xỏc thực được.
Khụng thể đăng ký chỉ định những đặc quyền truy cập mạng khỏc nhau đến những người dựng ở xa khỏc nhau sử dụng cựng một mỏy chủ.
CHAP là một phương phỏp mạnh hơn PAP cho việc xỏc thực người dựng quay số nhưng CHAP khụng thể đỏp ứng những yờu cầu mang tớnh mở rộng mạng. Cho dự khi khụng cú bớ mật nào truyền qua mạng thỡ phương phỏp này vẫn yờu cầu một lượng lớn cỏc bớ mật dựng chung chạy qua hàm băm, nờn yờu cầu băng thụng lớn nhưng hiệu suất mạng lại thấp.
2.2.1.3 Hệ thống điều khiển truy cập TASCAS
TACACS (Terminal Access Controler Access Control System) là hệ thống được phỏt triển để khụng chỉ cung cấp cơ chế xỏc thực mà cũn thực hiện chức năng: cho phộp (authorization) và tớnh cước (accouting). TACACS được thiế kế như một hệ thống client/server mềm dẻo hơn và đặc biệt trong việc quản lý bảo mật mạng. Trung tõm hoạt động của TACACS là một mỏy chủ xỏc thực TACACS.
Mỏy chủ xỏc thực TACACS giữ cỏc yờu cầu xỏc thực từ phần mềm client được cài đặt tại một gateway hay một điểm truy cập mạng. Mỏy chủ duy trỡ một cơ sở dữ liệu nhận dạng người dựng, mật khẩu, PIN và cỏc khoỏ bớ mật được sử dụng để được chấp nhận hay bị từ chối cỏc yờu cầu truy cập mạng.Tất cả xỏc thực, cấp quyền và dữ liệu tớnh cước được hướng đến mỏy chủ trung tõm khi một người dựng truy nhập mạng.
Ưu điểm của TACACS là nú hoạt động như một mỏy chủ Proxy đối với những hệ thống xỏc thực khỏc. Cỏc khả năng của Proxy làm cho việc chia sẻ dữ liệu bảo mật của VPN với ISP được dễ dàng hơn, điều này cần thiết khi một VPN là nguồn xuất.
41
RADIUS (Remote Authentication Dial-In Use Service) cũng sử dụng kiểu client/server để chứng nhận một cỏch bảo mật và quản trị cỏc kết nối mạng từ xa của cỏc người dựng với cỏc phiờn làm việc. RADIUS giỳp cho việc điều khiển truy cập dễ quản lý hơn và nú cú thể hỗ trợ cỏc kiểu xỏc thực người dựng khỏc nhau bao gồm PAP, CHAP.
Kiểu RADIUS client/server dựng một mỏy chủ truy cập mạng NAS để quản lý cỏc kết nối người dựng. NAS cú trỏch nhiệm chấp nhận cỏc yờu cầu kết nối của người dựng, thu thập cỏc thụng tin nhận dạng người dựng, mật khẩu đồng thời chuyển thụng tin này một cỏch bảo mật tới mỏy chủ RADIUS. Mỏy chủ RADIUS thực hiện xỏc thực để chấp nhận hay từ chối cũng như khi cú bất kỳ dữ liệu cấu hỡnh nào được yờu cầu để NAS cung cấp cỏc dịch vụ đến đầu cuối người dựng. Cỏc client RADIUS và mỏy chủ RADIUS truyền thụng với nhau thụng với nhau một cỏch bảo mật bằng việc sử dụng cỏc bớ mật dựng chung cho việc xỏc thực và mó hoỏ trong truyền mật khẩu người dựng.
RADIUS tạo cơ sở dữ liệu đơn và tập trung và được lưu giữ tại mỏy chủ RADIUS nhằm quản lý việc xỏc thực người dựng và cỏc dịch vụ. Một người dựng ở xa sử dụng RADIUS client sẽ cú quyền truy cập đến cỏc dịch vụ như nhau từ bất kỳ một mỏy chủ nào đang truyền thụng với mỏy chủ RADIUS.
2.2.1.5 Sử dụng phần cứng Smart card
Card thụng minh (Smart card) là thiết bị cú kớch thước giống như một thẻ tớn dụng, bao gồm: một bộ vi xử lý được gắn chặt vào card và một bộ nhớ. Một thiết bị đọc tương đương cho Smart card được yờu cầu để giao tiếp với Smart Card. Smart Card cú thể lưu giữ một khoỏ riờng của người dựng cựng với một số ứng dụng nhằm đơn giản hoỏ tiến trỡnh xỏc thực. Một số Smart Card hiện nay gồm một bộ đồng xử lý mó hoỏ và giải mó làm cho việc mó hoỏ dữ liệu dễ dàng hơn và nhanh hơn.
Cỏc hệ thống chứng nhận điện tử được sử dụng trong Smart Card, nú yờu cầu người dựng nhập vào một số nhận dạng cỏ nhõn PIN để tiến hành quỏ trỡnh xỏc thực, thường thỡ số PIN được lưu trờn Smart Card.
Cỏc thiết bị thẻ bài (Token Devices)
Cỏc hệ thống thẻ bài thường được dựa trờn cỏc phần cứng riờng biệt dựng để hiển thị cỏc mó nhận dạng (passcode) thay đổi mà người dựng sau đú phải nhập vào mỏy tớnh để thực hiện việc xỏc thực.
Cơ chế hoạt động của thẻ bài: một bộ xử lý bờn trong thẻ bài lưu giữ một tập cỏc khoỏ mó hoỏ bớ mật được dựng để phỏt cho cỏc mó nhận dạng một lần. Cỏc mó nhận dạng nỏy chuyển đến một mỏy chủ bảo mật trờn mạng, mỏy chủ này kiển tra tớnh hợp lệ từ đú
42
đưa ra cỏc quyết định cấp quyền hay khụng? Sau khi cỏc mó được lập trỡnh, khụng cú người dựng hay nhà quản trị nào cú quyền truy cập đến chỳng.
Trước khi cỏc người dựng được phộp xỏc thực, cỏc thết bị thẻ bài yờu cầu một PIN, sau đú sử dụng một trong ba cơ chế khỏc nhau để xỏc định người dựng là ai.
Cơ chế đỏp ứng thỏch thức (Challenge response): là cơ chế thụng dụng nhất, theo cơ chế này thỡ mỏy chủ sẽ phỏt ra một con số ngẫu nhiờn khi người dựng đăng nhập vào mạng. Một số thỏch thức xuất hiện trờn màn hỡnh của người dựng và người dựng nhập vào cỏc con số trong thẻ bài. Thẻ bài mó hoỏ con số thỏch thức này với khoỏ bớ mật của nú và hiển thị kết quả lờn màn hỡnh và sau đú người dựng nhập kết quả đú vào trong mỏy tớnh. Trong khi đú, mỏy chủ mó hoỏ con số thỏch thức với cựng một khoỏ và nếu như hai kết quả này phự hợp thỡ người dựng sẽ được phộp truy cập vào mạng.
Cơ chế sử dụng sự đồng bộ thời gian (Time Synchronization), cơ chế này thẻ hiển thị một số được mó hoỏ với khoỏ bớ mật mà khoỏ này sẽ thay đổi sau 60 giõy. Người dựng được nhắc cho con số khi cố gắng đăng nhập vào mỏy chủ. Do cỏc đồnghồ trờn mỏy chủ và thẻ được đồng bộ nờn mỏy chủ cú thẻ xỏc thực người dựng bằng cỏch giải mó con số thẻ và so sỏnh cỏc kết quả.
Cơ chế đồng bộ sự kiờn (event Synchronzation); theo cơ chế này, một bộ đếm ghi lại số lần vào mạng được thực hiện bởi người dựng. Sau đú mỗi lần vào mạng, bộ đếm được cập nhật và một mó nhận dạng khỏc được tạo ra cho lần đăng nhập sau.
2.2.1.6 Xỏc thực sinh trắc
Hệ thống sinh trắc học dựa vào một số dấu vết cỏ nhõn duy nhất để xỏc thực người dựng như: võn tay, giọng núi, vừng mạc…Tuy nhiờn hệ thống được sử dụng rộng rói trong thực tế bởi vỡ giỏ thành đắt và cỏc hệ thống bảo mật này thường tớch hợp trong một, làm cho chỳng khú khăn trong việc giao tiếp với cỏc hệ thống khỏc. Hệ thống sinh trắc học chỉ phự hợp cho những nơi cần độ bảo mật cao nhất và trong một phạm vi nhỏ.
2.2.2 Tớnh toàn vẹn
Xỏc thực tớnh toàn vẹn liờn quan đến cỏc khớa cạnh sau khi truyền tin trờn mạng: Bảo vệ tớnh toàn vẹn của mẩu tin: bảo vệ mẩu tin khụng bị thay đổi hoặc cú cỏc biện phỏp phỏt hiện nếu mẩu tin bị thay đổi trờn đường truyền.
Kiểm chứng danh tớnh và nguồn gốc: xem xột mẩu tin cú đỳng do người xưng tờn gửi khụng hay một kẻ mạo danh nào khỏc gửi.
Khụng chối từ bản gốc: trong trường hợp cần thiết, bản thõn mẩu tin chứa cỏc thụng tin chứng tỏ chỉ cú người xưng danh gửi, khụng một ai khỏc cú thể làm điều đú.
43
Như vậy người gửi khụng thể từ chối hành động gửi, thời gian gửi và nội dung của mẩu tin.
Ngoài ra cú thể xem xột bổ sung thờm cỏc yờu cầu bảo mật như mó hoỏ. Với mong muốn đỏp ứng cỏc yờu cầu trờn, cú 3 hàm lựa chọn sau đõy được sử dụng:
+ Mó mẩu tin bằng mó đối xứng hoặc mó cụng khai.
+ Mó xỏc thực mẩu tin (MAC): dựng khoỏ và một hàm nộn mẩu tin cần gửi để nhận được một đặc trưng đớnh kốm với mẩu tin và người gửi đú.
+ Hàm hash (hàm băm) là hàm nộn mẩu tin tạo thành “dấu võn tay” cho mẩu tin.
2.2.2.1 Mó xỏc thực mẫu tin MAC
+ Sinh ra bởi một thuật toỏn mà tạo ra một khối thụng tin nhỏ cú kớch thước cố định
o Phụ thuộc vào cả mẩu tin và khoỏ nào đú. o Giống như mó nhưng khụng cần phải giải mó.
+ Bổ sung vào mẩu tin như chữ ký để gửi kốm theo làm bằng chứng xỏc thực. + Người nhận thực hiện tớnh toỏn nào đú trờn mẩu tin và kiểm tra xem nú cú phự hợp với MAC đớnh kốm khụng.
Tạo niềm tin rằng mẩu tin khụng bị thay đổi và đến từ người gửi.
Hỡnh 2. 8: Xỏc thực mẫu tin MAC
Cỏc mó xỏc thực mẩu tin MAC cung cấp sự tin cậy cho người nhận là mẩu tin khụng bị thay đổi và từ đớch danh người gửi. Cũng cú thể sử dụng mó xỏc thực MAC kốm theo với việc mó hoỏ để bảo mật. Núi chung người ta sử dụng cỏc khoỏ riờng biệt cho mỗi MAC và cú thể tớnh MAC trước hoặc sau mó hoỏ, tốt hơn là thực hiện MAC trước và mó hoỏ sau.
44
Sử dụng MAC cú nhược điểm là MAC phụ thuộc vào cả mẩu tin và cả người gửi, nhưng đụi khi chỉ cần xỏc thực mẩu tin và thụng tin xỏc thực đú chỉ phụ thuộc mẩu tin để lưu trữ làm bằng chứng cho tớnh toàn vẹn của nú. Khi đú người ta sử dụng hàm Hash thay vỡ MAC. Cần lưu ý rằng MAC khụng phải là chữ ký điện tử, vỡ cả người gửi và người nhận đều biết thụng tin về khoỏ.
Cỏc tớnh chất của MAC
MAC là thụng tin nộn của mẩu tin kết hợp với khoỏ MAC = CK(M) + Nộn bản tin M cú độ dài tựy ý.
+ Sử dụng khoỏ mật K.
+ Tạo nờn dấu xỏc thực cú độ dài cố định.
+ Là hàm nhiều - một, nghĩa là cú nhiều bản tin khỏc nhau nhưng cú cựng MAC. Tuy nhiờn ta phải lựa chọn hàm MAC sao cho xỏc suất để cỏc mẩu tin cú ý nghĩa cú MAC trựng nhau là rất nhỏ. Việc tỡm được cỏc mẩu tin như vậy là rất khú khăn.
Yờu cầu đối với MAC
Tuỳ thuộc vào kiểu tấn cụng mà MAC phải cú cỏc tớnh chất khỏc nhau để chống đối lại. Nhưng núi chung MAC phải thỏa món cỏc điều sau:
+ Biết mẫu tin và MAC, khụng thể tỡm được mẩu tin khỏc cú cựng MAC. + Cỏc MAC cần phải phõn bố đều.
+ MAC phải phụ thuộc như nhau vào tất cả cỏc bit trong mẩu tin. Tức là khi thay đổi một bit thụng tin nào đú, MAC sẽ cú những thay đổi kộo theo.
2.2.2.2 Hàm Hash
Nộn mẩu tin bất kỳ về kớch thước cố định. Và giả thiết là hàm hash là cụng khai và khụng dựng khoỏ. Hash chỉ phụ thuộc mẩu tin, cũn MAC phụ thuộc thờm cả vào khoỏ.
Hash được sử dụng để phỏt hiện thay đổi của mẩu tin. Hash cú thể sử dụng nhiều cỏch khỏc nhau với mẩu tin, Hash thường được kết hợp dựng để tạo chữ ký trờn mẩu tin.
45
Hỡnh 2. 9: Mụ hỡnh hàm Hash Cỏc tớnh chất của hàm Hash
Hàm Hash tạo nờn dấu võn tay (tức là thụng tin đặc trưng) của một tệp, mẩu tin hay dữ liệu h = H(M).
Nộn mẩu tin cú kớch thước tựy ý về dấu võn tay cú kớch thước cố định. Hàm Hash được giả thiết là cụng khai, mọi người đều biết cỏch sử dụng.
Cỏc yờu cầu của hàm Hash:
Cú thể ỏp dụng cho mọi mẩu tin cú kớch thước tuỳ ý. Tuy nhiờn phải tạo đầu ra h cú kớch thước cố định, thường là 128 bit đến 1024 bit.
Dễ tớnh h = H(M)cho mọi mẫu tin M, hàm H tớnh toỏn nhanh, hiệu quả phụ thuộc chặt vào mẩu tin M và khụng tớnh toỏn ngược lại.