Xem mẫu
- om
Nhập môn An toàn thông tin
.c
ng
co
an
PGS. Nguyễn Linh Giang
th
ng
Bộ môn Truyền thông và
o
du
Mạng máy tính
u
cu
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Nội dung
om
.c
I. Nhập môn An toàn thông tin
ng
II. Đảm bảo tính mật
co
I. Các hệ mật khóa đối xứng (mã hóa đối xứng)
II. Các hệ mật khóa công khai ( mã hóa bất đối xứng )
an
III. Bài toán xác thực
th
I. Cơ sở bài toán xác thực
Xác thực thông điệp
ng
II.
III. Chữ ký số và các giao thức xác thực
o
IV. Các cơ chế xác thực trong các hệ phân tán
du
IV. An toàn an ninh hệ thống
Phát hiện và ngăn chặn xâm nhập ( IDS, IPS )
u
I.
cu
II. Lỗ hổng hệ thống
2
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Nội dung
om
.c
ng
l Tài liệu môn học:
co
– W. Stallings “Networks and Internetwork security”
an
– W. Stallings “Cryptography and network security”
th
Introduction to Cryptography – PGP
ng
–
o
– D. Stinson – Cryptography: Theory and Practice
du
u
cu
3
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Chương IV. Tin cậy hai bên
om
.c
ng
l Phân cấp khóa
co
l Quản trị và phân phối khóa trong sơ đồ mã
an
hóa đối xứng
th
ng
l Quản trị khóa trong sơ đồ mã hóa công khai
o
Chia sẻ khóa phiên bí mật bằng hệ mã hóa
du
l
công khai
u
cu
l Đảm bảo tính mật
4
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Quản trị và phân phối khóa trong mã
hóa đối xứng
om
.c
Đặt vấn đề:
ng
l
co
– Trong kỹ thuật mật mã truyền thống, hai phía tham gia
vào truyền tin phải chia sẻ khoá mật Þ khoá phải
an
th
được đảm bảo bí mật : phải duy trì được kênh mật
ng
phân phối khóa.
o
– Khóa phải được sử dụng một lần: Khoá phải được
du
thường xuyên thay đổi.
u
cu
– Mức độ an toàn của bất kỳ hệ mật sẽ phụ thuộc vào kỹ
thuật phân phối khoá.
5
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Quản trị và phân phối khóa trong mã
hóa đối xứng
om
.c
ng
l Một số kỹ thuật phân phối khoá.
co
– Phân phối khóa không tập trung: Khoá được A lựa
an
chọn và phân phối vật lý tới B.
–
th
Phân phối khóa tập trung: Người thứ ba C lựa chọn
ng
khoá và phân phối vật lý tới A và B.
o
du
– Nhận xét:
u
l Hai kỹ thuật này khá cồng kềnh khi các bên tham gia vào
cu
trao đổi thông tin với số lượng lớn.
6
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Quản trị và phân phối khóa trong mã
hóa đối xứng
om
.c
ng
– Ít nhất có hai cấp khoá :
co
l Việc giao tiếp giữa hai tram đầu cuối sẽ
Bảo vệ bằng được mã hoá bằng một khoá tạm thời gọi
an
Sử dụng Dữ liệu
mật mã
là khoá phiên.
th
phân
cấp khóa – Khoá phiên sẽ được sử dụng trong
ng
thời gian một kết nối lôgic như trong
Khóa Bảo vệ bằng
o
Dữ liệu
phiên mạng ảo hoặc liên kết vận chuyển,
du
được mã mật mã
hóa sau đó sẽ được loại bỏ.
u
– Khoá phiên được truyền dưới dạng
cu
mã hoá bằng mã chính ( master key ).
Bảo vệ Khoá chính này được chia sẻ giữa
Khóa
Dữ liệu không bằng KDC và trạm đầu cuối hoặc người sử
chính mật mã dụng.
7
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Quản trị và phân phối khóa trong mã
hóa đối xứng
om
.c
ng
l Kịch bản quá trình phân phối khóa.
co
– Giả thiết: mội người sử dụng cùng chia sẻ một khóa mật chính
an
với trung tâm phân phối khóa ( KDC ).
th
– Tiền đề:
Người sử dụng A muốn thiết lập kết nối lôgic với người sử dụng
ng
l
B.
o
Hai phía trao đổi thông tin yêu cầu khóa phiên sử dụng một lần
du
l
để bảo mật dữ liệu truyền qua kết nối.
u
l Phía A có khóa mật KMA, khóa này chỉ có A và KDC biết.
cu
l Phía B có khóa mật KMB, khóa này chỉ có B và KDC biết.
8
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Quản trị và phân phối khóa trong
mã hóa đối xứng
om
.c
ng
l Yêu cầu: Trung tâm
Kịch bản phân
phối khóa sử
co
(1)Yêu cầu || N1 phân phối
– A->KDC: KDC: xác thực khóa KDC dụng sơ đồ mã
A.
an
hóa đối xứng
th
l [IDA; EKMA[Yêu cầu cấp
khóa; IDB]; N1]
ng
(2)EKa[Ks || Yêu cầu || N1]
o
du
(2')EKa[Ks || Yêu cầu || N1||EKb[Ks ||IDA, Yêu cầu || N1]]
u
cu
Bên khởi (3)EKb[Ks ||IDA, Yêu cầu || N1] Bên nhận
tạo liên kết
liên kết B
A
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Quản trị và phân phối khóa trong mã
hóa đối xứng
om
.c
ng
l Vấn đề xác thực: Trung tâm
Kịch bản phân
phối khóa sử
co
– B cần xác thực: (1)Yêu cầu || N1 phân phối
khóa KDC dụng sơ đồ mã
Nguồn gốc của Ekb[ hóa đối xứng
an
l
KS || IDA ]: bằng
th
(2)EKa[Ks || Yêu cầu || N1|| EKb(Ks, IDA||N1)]
khóa Kb. ng
l Tính tòan vẹn của (3) EKb[Ks || IDA||N1]
o
Ekb[ KS || IDA ].
du
l Xác thực A.
u
Bên khởi
– A cần xác thực: tạo liên kết Các bước phân phối khóa Bên nhận
cu
liên kết B
A
l Xác thực B.
l Xác thực phiên làm (4) EKs[N1||N2]
việc với B. (5) EKs[ f(N2 )] Các bước
xác thực
10
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Quản trị và phân phối khóa trong mã
hóa đối xứng
om
.c
ng
Kịch bản phân phối khóa không tập trung
co
(1)Yêu cầu || N1
an
th
ng
Bên khởi
Bên nhận
o
tạo liên kết
liên kết B
du
A
(2)EMKm[Ks || Yêu cầu || IDB || f(N1) || N2)]
u
cu
(3) EKs[ f(N2 )]
11
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Quản lý khóa trong sơ đồ mật mã khóa
công khai
om
.c
ng
l Các mô hình quản lý khóa
co
– Bài toán phân phối khóa: tập trung xây dựng kênh
an
mật phân phối khóa phiên bí mật.
–
th
Hai hướng sử dụng mật mã khóa công khai:
ng
l Phân phối khóa công khai;
o
du
l Sử dụng mã hóa khóa công khai để phân phối khóa
phiên
u
cu
12
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Phân phối khóa công khai
om
.c
ng
l Các mô hình
co
– Công bố công khai
an
– Công bố thư mục công khai
th
Trung tâm ủy quyền khóa công khai
ng
–
o
– Chứng thư khóa công khai
du
u
cu
13
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Phân phối khóa công khai
om
.c
ng
l Công bố công khai
co
– Các bên tham gia trao đổi thông tin tự công bố
an
khóa công khai;
– Điểm mạnh: đơn giản.
th
ng
Điểm yếu:
o
–
du
l Một người thứ 3 có thể giả mạo khóa công khai;
u
– Bên C giả mạo bên nhận tin B, gửi khóa công khai của
cu
mình KPC cho A;
– A mã hóa các bản tin gửi cho B bằng khóa KPC của C;
– B không đọc được bản tin A gửi
– C có thể đọc được bản tin A gửi B
14
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Phân phối khóa công khai
om
.c
ng
l Quản lý thư mục khóa công khai
co
– Có bên thứ ba C được ủy quyền quản lý khóa công khai;
an
– Bên thứ ba C tạo cho mỗi bên tham gia trao đổi thông tin một
th
thư mục lưu trữ khóa; ng
– Các bên đăng ký và gửi khóa công khai tới C. Quá trình đăng
ký có thể thực hiện trên kênh bảo mật.
o
du
– Các bên có thể thay thế khóa công khai theo nhu cầu
u
l Khi đã sử dụng khóa nhiều lần để mã hóa lượng dữ liệu lớn;
cu
l Khi khóa riêng cần phải thay thế
15
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Phân phối khóa công khai
om
.c
ng
– Bên C định kỳ công bố toàn bộ thư mục khóa hoặc
co
cập nhật;
an
– Các bên có thể truy cập thư mục khóa qua các kênh
th
bảo mật. ng
l Vấn đề xác thực đối với bên thứ ba C.
o
Điểm yếu:
du
–
Nếu thám mã biết được khóa riêng của C
u
l
cu
– Toàn bộ các khóa công khai được lưu trữ có thể bị giả mạo.
– Có thể nghe trộm các thông điệp do các bên trao đổi .
16
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Phân phối khóa công khai
om
.c
ng
l Ủy quyền khóa Trung tâm
co
Kịch bản quản lý
công khai (1)Yêu cầu
khóa KPB || T1
quản lý
khóa PKA khóa công khai
an
– Bên thứ ba được (5)EKRpka[KPA || Yêu cầu || T2]
th
ủy quyền PKA
(4)Yêu cầu khóa
tham gia lưu giữ
ng (2)EKRpka[KPB || Yêu cầu || T1]
KPA || T2
khóa; (3) EKpb[IDA||N1]
o
du
– Các bên A, B biết
khóa công khai
u
Bên khởi Bên nhận
cu
của PKA; tạo A B
(6) EKPA[N1||N2]
(7) EKPB[ f(N2 )] Các bước
xác thực
17
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Phân phối khóa công khai
om
.c
ng
l Chứng chỉ khóa công khai
co
– Trung tâm cấp phát chứng thư số CA;
an
– Chỉ cần xác nhận khóa công khai một lần;
th
– Không cần truy cập CA mỗi khi cần khóa công khai;
ng
– Khóa công khai sẽ do các bên tự quản lý;
o
du
– Sơ đồ hoạt động:
Các bên gửi khóa công khai tới CA để chứng thực;
u
l
cu
l Nhận chứng thư số từ CA kèm thời gian hiệu lực;
l Các bên xuất trình chứng thư số trong các giao dịch;
18
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Phân phối khóa công khai
om
.c
ng
Trung tâm
co
(1)Yêu cầu cấp phát cấp phát Kịch bản cấp phát
chứng thư số || KPA chứng chỉ chứng thư số
an
số CA
(1)Yêu cầu cấp phát
th
chứng thư số || KPB
ng
(2)Chứng thư số A
(2)Chứng thư số B
o
(3) Chứng thư số A
du
Chứng thư số:
- Số serial của chứng thư số;
u
- Thông tin riêng của người sở hữu;
cu
- Khóa công khai của người sở hữu;
- Chứng thực của CA: mã hóa bằng
Bên A Bên B
khóa riêng của CA – KRCA
- Thời hạn hiệu lực của chứng thư số
- Đảm bảo tính toàn vẹn của chứng
thư số
- Thuật toán mật mã
(4) Chứng thư số B
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Phân phối khóa mật đối xứng sử dụng
mã hóa công khai
om
.c
ng
l Sơ đồ đơn giản:
co
– A gửi B: KPA || IDA
an
– B tạo khóa phiên Ks và gửi lại A: EKPA(KS)
Sơ đồ kèm xác thực th
ng
l
o
– A gửi B: EKPB(N1||IDA)
du
– B gửi A: EKPA(N1||N2)
u
cu
– A gửi B: EKPB(N2)
– A gửi B: EKPB(EKRA(KS))
20
CuuDuongThanCong.com https://fb.com/tailieudientucntt
nguon tai.lieu . vn