B môn An ninh mạng
HC VIN K THT QUÂN SỰ
KHOA CÔNG NGHỆ THÔNG TIN
ĐỀ CƯƠNG BÀI GIẢNG
HC PHN: MÃ HÓA
B môn: An ninh mng
Giáo viên: 1) Nguyn Hiếu Minh
2) Nguyễn Đức Thin
1. Bài (chương, mục): Chương 7: Các ứng dng mật mã trong an ninh mạng
2. Thời lượng:
- GV ging: 3 tiết.
- Tho lun:
- Thực hành:
- Bài tập: 3 tiết.
- T hc: 9 tiết
3. Mc đích, yêu cầu:
Mục đích: Bài giảng cung cấp các kiến thc liên quan đến các vấn đề unưg dụng mật
trong an ninh mng, trong đó tập trung vào các nội dung sau:
- Các ứng dụng xác thực
- An toàn thư điện t
- An toàn Web.
Yêu cầu:
- Học viên tham gia học tập đầy đủ.
- Nghiên cứu trước các nội dung liên quan đến bài giảng (đã trên http://
http:/fit.mta.edu.vn/~minhnh/).
- Tham gia tho luận và thc hiện các bài tập trên lớp.
4. Ni dung:
a) Ni dung chi tiết: (công thức, định lý, hình vẽ)
Tiết 1: Các ứng dụng xác thực
- Bên cạnh vấn đề trao đổi khóa, vấn đề xác thực đối tượng cũng cần được quan tâm. Khái
niệm xác thực đối tượng cho phép ngăn chn s gi mo. Nh xác thực đối tượng, A
th tin tưởng rằng đang thực hin truyền thông với B.
- Mt s giao thức được tả dưới đây sẽ cung cp c kh năng xác thực đối tượng
trao đổi khóa.
- Kerberos
- Kerberos dịch v xác thực phân tán bắt ngun t d án Athena ca MIT. Giao thc
này cung cấp c kh năng xác thực và thiết lập khóa nhờ s dng mật mã khóa bí mật và
một bên thứ ba tin cy.
- Kerberos được thiết kế để xác thực các đu cui (clients) khi c gng truy nhp tới các
máy chủ (servers) trên mt mng. Một trung tâm vai trò xác thực đưc thc hin bi
mt server tin cậy được gọi server xác thực Kerberos (Kerberos Authentication
Server, AS). Hình 1 trình bày sơ đồ tổng quan các dịch v ca Kerberos.
B môn An ninh mạng
1. Yêu cầu giấy phép
để truy nhập vào TGS
2. Giấy phép + Khóa phiên
3. Yêu cầu giấy phép để
truy nhập vào máy chủ
4. Giấy phép + Khóa phiên
5. Yêu cầu dịch vụ
6. Xác nhận dịch vụ
Máy chủ
xác thực (AS)
Máy chủ cấp
phát giấy
phép (TGS)
Một lần/mỗi phiên
giao dịch
Một lần/mỗi dạng
dịch vụ
Một lần/mỗi phiên
dịch vụ
2). Hệ thống AS xác nhận quyền truy nhập vào
cơ sở dữ liệu và cấp phát giấy phép + khóa
phiên. Tất cả được mã hóa bằng khóa được tạo
ra trên cơ sở mật khẩu của người sử dụng.
1). Người sử dụng
máy trạm để yêu cầu
dịch vụ của máy chủ.
4). TGS giải mã giấy phép
và yêu cầu, sau đó cấp giấy
phép để truy nhập vào máy
chủ + Khóa phiên.
3). Máy trạm yêu cầu
mật khẩu của người sử
dụng sử dụng mật
khẩu này để giải mã tin
tức khi nhận, sau đó gửi
giấy chứng nhận, gồm
tên người sử dụng, địa
chỉ mạng thời gian
cho TGS.
5). Máy trạm gửi giấy
chứng nhận cho máy chủ.
6). Máy chủ xác minh sự phù hợp
của giấy chứng nhận, sau đó
cho phép truy nhập vào dịch
vụ. Nếu sự chứng nhận lẫn
nhau được yêu cầu, thì máy
chủ quay trở lại giấy chứng nhận.
Hình 1. Sơ đồ tng quan mô tả các bước thc hin trong Kerberos
- Mô tả giao thức:
- A chn giá trị rA ngẫu nhiên và gửi (A, B, rA) tới AS.
- AS sinh ra một khóa phiên mới k tạo ra một thẻ t = (A, k, l), đây l xác định một chu
kỳ hợp lệ (thời gian bắt đầu kết thúc) cho một thẻ bài. AS gửi
, , , ,
AB
K A K
E k r l B E t
tới A.
- A khôi phục k, rA, l, B và xác thực rằng rA B phù hợp với các giá trị trong bước 1. Sau
đó A tạo thông tin xác thực a = (A, tA), ở đây tA là nhãn thời gian từ đồng hồ cục bộ của A
và gửi
,B
KK
E a E t
tới B.
- B khôi phục t = (A, k, l) và a = (A, tA) và xác thực rằng:
o Định đanh của A trong thẻ là phù hợp với giá trị trong thông tin xác thực.
o Nhãn thời gian tA sẽ được làm mới với giá trị đồng hồ cục bộ của B.
o Nhãn thời gian tA là hợp lệ trong chu kỳ l.
- Nếu thực hiện thêm việc xác thực B tới A, thì các bước 5 và 6 sẽ được thực hiện.
- B nhận tA và gửi Ek(tA) tới A.
- A khôi phục tA từ Ek(tA) và kiểm tra rằng nó phù hợp với giá trị tA được gửi trong bước 3.
Nếu đúng thì B được xác thực tới A.
Tiết 2: An toàn thư điện t
- Giao thc S/MIME:
- S/MIME một chun internet v định dng cho mail. Hầu như mọi email trên internet
đều được truyn qua giao thức SMTP theo định dạng MIME chưa sự đảm bo an
toàn. dụ, người gi tin nhắn thể d dàng giả mo, tức là email nhận được
không chắc có đúng người mình mong mun nhn tin hay tin nhắn bị gi mo
hay không. Thêm vào đó, email thường không được a, nghĩa rng nếu mt
người nào đó truy cập vào hộp thư cá nhân thì có thể xem được email.
B môn An ninh mạng
- MIME khc phc nhng hn chế ca SMTP (Simple Mail Transfer Protocol)
o Không truyền được file nh phân (chương trình, ảnh,...)
o Ch gửi được các ký tự ASCII 7 bit
o Không nhận thông báo vượt quá kích thước cho phép
- Giao thức S/MIME mt giải pháp an toàn thư điện tử. S/MIME đưa vào hai phương
pháp an ninh cho email đó hóa chứng thc. C hai phương pháp đều dựa trên
mã hóa bất đối xứng và PKI.
- S/mime cung cp mt giải pháp cho quá trình gửi nhn d liệu 7 bit. S/mime thể
được s dng vi nhng h thống cho phép truyền nhn d liu MIME. thể được
s dụng cho c phương pháp gửi mail truyn thống thêm dịch v an ninh cho mail
gửi giải c dịch v an ninh cho bên nhận. S/MIME bo v các thực th MIME
vi ch , hoặc c hai. Để to ra mt tin nhắn s/mime, Người dùng s/mime phi
tuân theo các thông số k thuật cũng như cú pháp của tin nhn.
- Các tính năng của mt webmail client h tr S/MIME là tính bảo mật, tính xác thực, tính
toàn vẹn, tính chống chi t.
Hình 2. Quá trình bảo v E-mail bằng S/MIME bên gửi
Hình 3. Quá trình nhn E-mail bằng S/MIME bên nhn
B môn An ninh mạng
- Giao thc PGP:
Hình 4. Quá trình bảo v E-mail bng PGP bên gửi
Hình 5. Quá trình nhn E-mail bng PGP bên nhn
Tiết 3: An toàn WEB
- Vic kết ni gia mt Web browser ti bt k điểm nào trên mạng Internet đi qua rất
nhiều các hệ thống độc lập không bất k s bo v nào với các thông tin trên
B môn An ninh mạng
đường truyền. Không mt ai k c người s dng lẫn Web server có bt k s kiểm soát
nào đối với đường đi của d liệu hay thể kiểm soát được liệu ai đó thâm nhập vào
thông tin trên đường truyền. Để bo v những thông tin mật trên mng Internet hay bt
k mạng TCP/IP nào, SSL đã kết hp nhng yếu t sau để thiết lập được mt giao dch
an toàn:
o Xác thực: đảm bảo tính xác thực của trang mà bn s làm việc đầu kia ca kết ni.
Cũng như vậy, các trang Web cũng cần phi kim tra tính xác thc của người s
dng.
o hoá: đảm bảo thông tin không thể b truy cp bởi đối tượng th ba. Đ loi tr
vic nghe trm những thông tin nhạy cảm” khi được truyn qua Internet, d
liu phải được hoá để không thể b đọc được bi những người khác ngoài người
gửi và người nhn.
o Toàn vẹn d liệu: đảm bảo thông tin không bị sai lệch và phải th hiện chính xác
thông tin gốc gửi đến.
- Vi vic s dụng SSL, các Web site thể cung cp kh năng bảo mật thông tin, xác
thực toàn vn d liu đến người dùng. SSL được tích hợp sẵn vào các browser
Web server, cho phép ngưi s dụng làm việc vi các trang Web chế độ an toàn. Khi
Web browser s dng kết ni SSL ti server, biểu tượng khóa sẽ xut hiện trên thanh
trạng thái của ca s browser và dòng “http” trong hp nhập địa ch URL s đổi thành
“https”. Một phiên giao dịch HTTPS s dng cổng 443 thay sử dng cổng 80 như
dùng cho HTTP.
- Giao thc SSL: Được phát triển bởi Netscape, ngày nay giao thc Secure Socket Layer
(SSL) đã được s dng rộng rãi trên World Wide Web trong việc xác thực hoá
thông tin giữa client server. Tổ chc IETF (Internet Engineering Task Force ) đã
chuẩn hoá SSL đặt lại tên TLS (Transport Layer Security). Mặc s thay
đổi v tên nhưng TSL chỉ một phiên bản mi của SSL. Phiên bản TSL 1.0 tương
đương với phiên bản SSL 3.1. Tuy nhiên SSL là thuật ng đưc s dng rộng rãi hơn.
- SSL được thiết kế như một giao thức riêng cho vấn đề bo mật thể h tr cho rt
nhiu ng dng. Giao thc SSL hoạt động bên trên TCP/IP bên ới các giao thức
ng dng tầng cao hơn như HTTP (Hyper Text Transport Protocol), IMAP ( Internet
Messaging Access Protocol) FTP (File Transport Protocol). Trong khi SSL th s
dụng đ h tr các giao dịch an toàn cho rất nhiu ng dụng khác nhau trên Internet, thì
hiện nay SSL được s dụng chính cho các giao dịch trên Web.
- SSL không phải là một giao thức đơn lẻ, mà là mt tập các thủ tục đã được chuẩn hoá để
thc hiện các nhiệm v bo mt sau:
- Xác thực server: Cho phép người s dụng xác thực được server mun kết nối. Lúc này,
phía browser sử dụng c k thuật hoá công khai để chc chn rằng certificate
public ID ca server giá trị được cấp phát bởi mt CA (certificate authority)
trong danh sách các CA đáng tin cậy của client. Điều y rất quan trọng đối với người
dùng. dụ như khi gửi s credit card qua mạng thì người dùng thực s mun kim
tra liu server s nhận thông tin này có đúng là server mà họ định gửi đến không.
- Xác thực Client: Cho phép phía server xác thực được người s dng mun kết nối. Phía
server cũng sử dụng các k thuật mã hoá công khai để kim tra xem certificate và public
ID của server giá trị hay không được cấp phát bởi mt CA (certificate authority)
trong danh sách c CA đáng tin cy của server không. Điều y rất quan trọng đối vi