Bài giảng Chứng thực - Phân quyền (Authentication - Authorization)

Chia sẻ: Năm Tháng Tĩnh Lặng | Ngày: | Loại File: PPT | Số trang:32

Thêm vào BST

Báo xấu

92
lượt xem 13
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng Chứng thực - Phân quyền trình bày một số nội dung như: Chứng thực người dùng, username/password, chap, kerberos, password sử dụng một lần,token password, certificates, sinh trắc học, kết hợp nhiều phương pháp, điều khiển truy cập/phân quyền SD.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Chứng thực - Phân quyền (Authentication - Authorization)

CHỨNG THỰC – PHÂN QUYỀN Authentication - Authorization © 2008, Vietnam-Korea Friendship IT College
Chứng thực người dùng Database user password  Chứng thực người dùng:  Là quá trình thiết lập tính hợp lệ của người dùng trước khi truy cập thông tin trong hệ thống.  Thường sử dụng phương pháp chung là username/password © 2008, Vietnam-Korea Friendship IT College
Chứng thực người dùng  username/password  CHAP  Kerberos  Password dùng 1 lần  Thẻ password (Token password)  Chứng chỉ (Certificates)  Sinh trắc học  Kết hợp nhiều phương pháp © 2008, Vietnam-Korea Friendship IT College
Username/Password  Là loại chứng thực phổ biến nhất  Truyền username/password đến Server  Ví dụ  Dial-up user password ` Security Server © 2008, Vietnam-Korea Friendship IT College
Username/Password  Các vấn đề  Thời gian duy trì  Thay đổi mật khẩu thường xuyên hay không?  Có nguy cơ bị lấy mất  Keyloggers  Phần mềm: theo dõi phím bấm  Phần cứng: thiết bị gắn giữa bàn phím và CPU để theo dõi phím bấm © 2008, Vietnam-Korea Friendship IT College
Username/Password  Giải pháp  Đặtmật khẩu dài  Bao gồm chử cái, số, biểu tượng  Thay đổi password: 01 tháng/lần  Không nên đặt cùng password ở nhiều nơi  Xem xét việc cung cấp password cho ai  Ví dụ: Tomatotree650 © 2008, Vietnam-Korea Friendship IT College
CHAP  CHAP (Challenge Hanshake Authentication Protocol)  Mật khẩu người dùng: bảo mật  Số ngẫu nhiên: dùng để mã hóa  Sử dụng trong remote login, PPP, PRAS, xác thực dịch vụ web  Triển khai: MS CHAP version 2 © 2008, Vietnam-Korea Friendship IT College
CHAP Logon Request 1 Challenge 2 ` 3 5 Encrypts value Server Client 4 6 Compare Encrypted Results Authorize / Fail ? 7 © 2008, Vietnam-Korea Friendship IT College
CHAP  Hoạt động của CHAP  Client gửi yêu cầu  Server đưa ra challenge  Client mã hóa (băm) challenge với secret và gửi cho Server  Client được xác thực khi kết quả giống nhau. © 2008, Vietnam-Korea Friendship IT College
Kerberos  Bắt đầu phát triển tại MIT năm 1980  Microsoft đưa Kerberos vào Windows 2000 và .NET  Ticket: sự cấp phép cụ thể  Ticket Grant Ticket (TGT): được đưa ra bởi Central Authority cho phép người dùng yêu cầu một dịch vụ nào đó.  Key Distribution Center (KDC): máy chủ cung cấp cho Client TGT, chứng thực và cho phép user yêu cầu một dịch vụ nào đó.  Ticket Granting Server (TGS): máy chủ kiểm tra Client có được phép nhận một ticket hay không. © 2008, Vietnam-Korea Friendship IT College
Kerberos -2  Quá trình hoạt động Client Ticket ` Application Server Ticket TGT TGS KDC © 2008, Vietnam-Korea Friendship IT College
Kerberos -3  Kerberos Process  Chứng thực người dùng  Client liên lạc với KDC yêu cầu chứng thực  TGT nhận được từ KDC  Cho phép client yêu cầu một dịch vụ cụ thể nào đó  Ticket cho dịch vụ được nhận từ TGS  Client đưa ticket cho máy chủ ứng dụng  Khi đã được chứng thực, quyền truy nhập được cấp cho người dùng © 2008, Vietnam-Korea Friendship IT College
Password sử dụng một lần  Người dùng có chương trình sinh password  Có thể gửi dạng “clear” qua môi trường không an toàn user password ` Internet user password Server © 2008, Vietnam-Korea Friendship IT College
Token password  Được coi là một trong những phương pháp an toàn nhất  Thẻ bài mang một số thông tin cá nhân  Người dùng ngoài mật khẩu còn phải có thẻ bài user password Token ` Application Server © 2008, Vietnam-Korea Friendship IT College
Certificates Licensing site  Một Server (Certificates Authority - CA) tạo ra các certificates  Có thể là vật lý: smartcard  Có thể là logic: chữ ký điện tử  Sử dụng public/private key (bất cứ dữ liệu nào được mã hóa bằng public key chỉ có thể giải mã bằng private key)  Sử dụng “công ty thứ 3” để chứng thực © 2008, Vietnam-Korea Friendship IT College
Certificates - 2 Information sent to receiver ` ` Message Delivery Message Receive Hash Function Hash Function Information Information Checksum Checksum Encrypted checksum sent to receiver compare Sender’s public key Sender’s private key © 2008, Vietnam-Korea Friendship IT College
Certificates - 3 Licensing site Được sử dụng phổ biến trong chứng thực web, smart cards, chữ ký điện tử cho email và mã hóa email Nhược điểm  Triển khai PKI (Public Key Infrastructure) kéo dài và tốn kém  Smart cards làm tăng giá triển khai và bảo trì  Dịch vụ CA tốn kém © 2008, Vietnam-Korea Friendship IT College
Sinh trắc học  Mống mắt/võng mạc  Vân tay  Giọng nói © 2008, Vietnam-Korea Friendship IT College
Sinh trắc học-2  Ưu điểm  Có thể rất chính xác  Nhanh: thời gian chứng thực nhỏ hơn 1s  Sự tác động của người dùng thấp  Kết hợp nhiều yếu tố: vân tay, võng mạc, giọng nói,…  Nhược điểm  Giá thành: triển khai hệ thống sinh trắc học đòi hỏi chi phí cho phần cứng và phần mềm.  Có thể nhận diện sai: mặc dù đúng người nhưng hệ thống không chấp nhận © 2008, Vietnam-Korea Friendship IT College
Kết hợp nhiều phương pháp (Multi-factor)  Sử dụng nhiều hơn một phương pháp chứng thực  Mật khẩu/ PIN  Smart card  Sinh trắc học  Kết hợp nhiều phương pháp chứng thực tạo sự bảo vệ theo chiều sâu với nhiều tầng bảo vệ khác nhau © 2008, Vietnam-Korea Friendship IT College