intTypePromotion=1

Bài giảng Computer Networking: A top down approach - Chương 8: Bảo mật

Chia sẻ: Kiếp Này Bình Yên | Ngày: | Loại File: PDF | Số trang:131

0
100
lượt xem
30
download

Bài giảng Computer Networking: A top down approach - Chương 8: Bảo mật

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Chương 8 đề cập đến vấn đề bảo mật trong computer networking. Sau khi học xong chương này người học có thể hiểu về các nguyên tắc an ninh mạng và an toàn mạng trong thực tế. Nội dung chính trong chương này gồm có: Các nguyên lý mật mã; toàn vẹn thông điệp (Message integrity), chứng thực (authentication); an toàn thư điện tử; an toàn kết nối TCP: SSL;...

Chủ đề:
Lưu

Nội dung Text: Bài giảng Computer Networking: A top down approach - Chương 8: Bảo mật

  1. Chương 8 Bảo mật A note on the use of these ppt slides: We’re making these slides freely available to all (faculty, students, readers). Computer They’re in PowerPoint form so you see the animations; and can add, modify, and delete slides (including this one) and slide content to suit your needs. Networking: A Top They obviously represent a lot of work on our part. In return for use, we only ask the following: Down Approach  If you use these slides (e.g., in a class) that you mention their source (after all, we’d like people to use our book!) 6th edition  If you post any slides on a www site, that you note that they are adapted Jim Kurose, Keith Ross from (or perhaps identical to) our slides, and note our copyright of this material. Addison-Wesley March 2012 Thanks and enjoy! JFK/KWR All material copyright 1996-2012 J.F Kurose and K.W. Ross, All Rights Reserved 8-1
  2. Chương 8: An toàn mạng Mục tiêu của chương:  Hiểu về các nguyên tắc an ninh mạng:  Mật mã (cryptography) và nhiều công dụng của nó vượt ra ngoài “tính bí mật” (“confidentiality”)  Sự chứng thực (authentication)  Toàn viện thông điệp (message integrity)  An toàn mạng trong thực tế:  Tường lửa (firewall) và hệ thống phát hiện xâm nhập (intrusion detection system)  Bảo mật trong các tầng application, transport, network và link An ninh mạng 8-2
  3. Chương 8 lộ trình 8.1 an toàn mạng là gì? 8.2 các nguyên lý mật mã (cryptography) 8.3 toàn vẹn thông điệp (Message integrity), chứng thực (authentication) 8.4 an toàn thư điện tử 8.5 an toàn kết nối TCP: SSL 8.6 An toàn tầng Network: IPsec 8.7 An toàn mạng không dây 8.8 an toàn vận hành (Operational security): tường lửa và hệ thống phát hiện xâm nhập (IDS) An ninh mạng 8-3
  4. An toàn mạng là gì Tính bí mật (confidentiality): chỉ có người gửi và người nhận mới được phép “hiểu” nội dung của thông điệp  Người gửi mã hóa thông điệp  Người nhận giải mã thông điệp Chứng thực (authentication): cả người gửi và nhận đều muốn xác nhận danh tính lẫn nhau Toàn vẹn thông điệp (message integrity): người gửi và nhận muốn bảo đảm thông điệp không bị sửa chữa (trong quá trình truyền, hoặc là sau đó) mà không bị phát hiện Truy cập và sẵn sàng (access and availability): dịch vụ phải có thể được truy cập và sẵn sàng cho người dùng An ninh mạng 8-4
  5. Bạn và kẻ quấy rối: Alice, Bob, Trudy  Nổi tiếng trong thế giới an ninh mạng  Bob, Alice (bạn bè!) muốn truyền thông với nhau “an toàn”  Trudy (kẻ xâm nhập, kẻ phá hoại) có thể chặn, xóa hoặc thêm các thông điệp Alice Bob channel Dữ liệu, thông điệp điều khiển Dữ liệu secure secure Dữ liệu sender s receiver Trudy An ninh mạng 8-5
  6. Bob và Alice có thể là ai?  Người thật trong cuộc sống!  Trình duyệt/server web cho các giao dịch điện tử (ví dụ: mua bán trên mạng)  client/server ngân hàng online  DNS server  Các router trao đổi cập nhật bảng định tuyến  Các ví dụ khác? An ninh mạng 8-6
  7. There are bad guys (and girls) out there! Q: “Kẻ xấu” có thể làm gì? A: rất nhiều! Xem phần 1.6  Nghe trộm (eavesdrop): chặn đường các thông điệp  Tích cực chèn các thông điệp vào trong kết nối  Mạo danh (impersonation): có thể giả mạo (lừa bịp) địa chỉ nguồn trong packet (hoặc bất cứ trường nào trong packet)  Cướp (hijacking): “dành lấy” kết nối đang diễn ra bằng cách loại bỏ người gửi hoặc người nhận, và kẻ phá hoại chèn vào vị trí đó (người gửi hoặc người nhận)  Từ chối dịch vụ (denial of service): ngăn chặn những người khác sử dụng dịch vụ An ninh mạng 8-7
  8. Chương 8 lộ trình 8.1 an toàn mạng là gì? 8.2 các nguyên lý mật mã (cryptography) 8.3 toàn vẹn thông điệp (Message integrity), chứng thực (authentication) 8.4 an toàn thư điện tử 8.5 an toàn kết nối TCP: SSL 8.6 An toàn tầng Network: IPsec 8.7 An toàn mạng không dây 8.8 Operational security: tường lửa và hệ thống phát hiện xâm nhập (IDS) An ninh mạng 8-8
  9. Ngôn ngữ của mật mã (The language of cryptography) Khóa mã Khóa giải K hóa của K mã của A Alice BBob Ciphertext Plaintext Thuật toán (văn bản đã Thuật toán Văn bản gốc (văn bản gốc) mã hóa mã hóa) giải mã m thông điệp trong dạng plaintext KA(m) plaintext, được mã hóa với chìa khóa KA m = KB(KA(m)) An ninh mạng 8-9
  10. Phá vỡ sơ đồ mã hóa  Chỉ tấn công cipher-  Tấn công khi biết nội text (cipher-text only dung plaintext: Trudy có attack): Trudy có bản plaintext tương ứng với ciphertext mà cô ta có ciphertext thể phân tích  Ví dụ: trong  2 hướng tiếp cận: monoalphabetic  brute force: tìm cipher, Trudy xác kiếm qua tất cả các định các cặp cho các chìa khóa chữ cái a,l,i,c,e,b,o,  Phân tích thống kê  Tấn công lựa chọn plaintext (chosen- plaintext attack): Trudy có thể có được ciphertex cho plaintext được chọn An ninh mạng 8-10
  11. Mật mã khóa đối xứng (Symmetric key cryptography) KS KS Thông điệp Thuật toán ciphertext Thuật toán plaintext plaintext, m mã hóa giải mã K (m) m = KS(KS(m)) S Mật mã khóa đối xứng: Bob và Alice chia sẽ cùng khóa (đối xứng): K S  Ví dụ: khóa là 1 dạng mẫu thay thế trong mật mã thay thế chữ cái mono (mono alphabetic substitution cipher) Q: làm cách nào mà Bob và Alice đồng ý về giá trị khóa? An ninh mạng 8-11
  12. Sơ đồ mã hóa đơn giản Mật mã substitution: thay thế cái này bằng cái khác  Mật mã monoalphabetic : thay thế 1 ký tự cho 1 ký tự khác plaintext: abcdefghijklmnopqrstuvwxyz ciphertext: mnbvcxzasdfghjklpoiuytrewq Ví dụ: Plaintext: bob. i love you. alice ciphertext: nkn. s gktc wky. mgsbc Khóa mã hóa (Encryption key): ánh xạ từ một tập 26 ký tự này sang 1 tập 26 ký tự khác An ninh mạng 8-12
  13. Một hướng tiếp cận mã hóa tinh vi hơn  n mật mã thay thế (substitution), M1,M2,…,Mn  Mô hình tuần hoàn (cycling pattern):  Ví dụ: n=4: M1,M3,M4,M3,M2; M1,M3,M4,M3,M2; ..  Cho mỗi ký tự plaintext mới, sử dụng mô hình thay thế tiếp theo (subsequent subsitution pattern ) trong mô hình tuần hoàn (cyclic pattern)  dog: d từ M1, o từ M3, g từ M4 khóa mã hóa (Encryption key): n mật mã thay thế (n substitution ciphers), và mô hình tuần hoàn (cyclic pattern)  Khóa không chỉ là mô hình n-bit An ninh mạng 8-13
  14. Mật mã khóa đối xứng: DES DES: Data Encryption Standard  Chuẩn mã hóa US [NIST 1993]  Độ dài khóa đối xứng 56-bit, đầu vào plaintext khối 64-bit  Mật mã khối với chuỗi khối mật mã (cipher block chaining)  DES an toàn như thế nào?  Thách thức DES: một nhóm ký tự được mã hóa bởi khóa (56-bit-key-encrypted phrase) được giải mã (brute force) ít hơn 1 ngày  Làm cho DES thêm an toàn:  3DES: mã hóa 3 lần với 3 khóa khác nhau An ninh mạng 8-14
  15. Mật mã khóa đối xứng: DES Hoạt động của DES Hoán vị ban đầu 16 “chu trình” giống hệt nhau của ứng dụng hàm, mỗi chu trình sử dụng khóa 48 bit khác nhau Hoán vị cuối cùng An ninh mạng 8-15
  16. AES: Advanced Encryption Standard  Chuẩn NIST khóa đối xứng (symmetric-key NIST), thay thế DES (tháng 11 năm 2001)  Xử lý dữ liệu trong các khối 128 bit  Độ dài khóa 128, 192, hoặc 256 bit  Giải mã brute force (thử với từng khóa) mất 1 giây để giải mã DES, nhưng mất 149 tỷ năm cho AES An ninh mạng 8-16
  17. Mật mã khóa công khai (Public Key Cryptography) Mật mã khóa đối xứng Mật mã khóa công khai  Phương pháp tiếp cận  Yêu cầu bên gửi và nhận hoàn toàn khác [Diffie- biết khóa bí mật được Hellman76, RSA78] chia sẽ với nhau  Bên gửi và bên nhân  Q: làm thế nào để đồng không chia sẽ khóa bí mật ý với nhau về khóa trong lần đầu tiên (đặt  Mọi người đều biết khóa biệt là nếu chưa từng mã hóa công khai (public “gặp nhau”)? encryption key)  Khóa giải mã riêng (private decryption key) chỉ có bên nhận biết An ninh mạng 8-17
  18. Mật mã khóa công khai + Khóa công khai K B của Bob - Khóa riêng của K B Bob Thông điệp Thuật toán ciphertext Thuật toán Thông điệp plaintext, m mã hóa + giải mã plaintext K (m) - + B m = KB(K (m)) B An ninh mạng 8-18
  19. Thuật toán mật mã khóa công khai Yêu cầu: 1 Cần K B ( + ) . và K - ( ). B - + K (K (m)) = m B B 2 Cho khóa công khai K+, không B - thể tính toán khóa riêng K B RSA: Rivest, Shamir, Adelson algorithm An ninh mạng 8-19
  20. Điều kiện tiên quyết: modular arithmetic  x mod n = phần dư của x khi chi cho n  Cơ sở lập luận: [(a mod n) + (b mod n)] mod n = (a+b) mod n [(a mod n) - (b mod n)] mod n = (a-b) mod n [(a mod n) * (b mod n)] mod n = (a*b) mod n  Do đó (a mod n)d mod n = ad mod n  Ví dụ: x=14, n=10, d=2: (x mod n)d mod n = 42 mod 10 = 6 xd = 142 = 196 xd mod 10 = 6 An ninh mạng 8-20
ADSENSE
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2