Chương 3:
Định danh và Xác thực
(Identification and Authentication)
Khoa Khoa học và Kỹ thuật Máy tính
Đại học Bách Khoa Tp.HCM
Nội dung
Phương pháp định danh
2
Giới thiệu về định danh và xác thực
1
Giới thiệu về định danh và xác thực
1
Phương pháp xác thực
3
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
2
Giao thức xác thực
4
Giới thiệu về định danh và xác thực
n Các bước trong điều khiển truy cập
Định danh (Identification):
Người dùng cung cấp danh định (identity)
Xác
thực
(Authentication):
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính

© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
3
Xác
thực
(Authentication):
Người dùng chứng minh danh định đó là đúng
Ủy quyền (Authorization):
Xác định quyền mà người dùng có
Giới thiệu về định danh và xác thực
n Các bước trong điều khiển truy cập
Định danh (Identification):
Người dùng cung cấp danh định (identity)
Xác
thực
(Authentication):
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
4
Xác
thực
(Authentication):
Người dùng chứng minh danh định đó là đúng
Ủy quyền (Authorization):
Xác định quyền mà người dùng có
Định danh

n Người dùng cung cấp danh định của mình cho hệ thống
n Mục đích:
n Tìm kiếm sự tồn tại và quyền hạn cho người dùng
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
5
5
Xác thực
n Người dùng cung cấp bằng chứng là danh định đó là đúng và
phù hợp với mình.
n Mục đích:
n Chứng minh danh định là hợp lệ và phù hợp với người dùng.
n Quyết định có cho phép người dùng truy cập vào tài nguyên
của
hệ
thống
hay
không
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
6
của
hệ
thống

hay
không
Nội dung
Giới thiệu về định danh và xác thực
1
Phương pháp định danh
2
Điều khiển dữ liệu với SQL
3
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
7
DAC và điều khiển dòng thông tin
4
Phương pháp định danh
n Có 2 phương pháp:
n người dùng tự nhập thông tin về danh định
n Sử dụng danh định số hóa:
n Danh định sinh trắc học (biometric identity)
n Danh định máy tính (computer identity)
Danh
định
số
(digital identity)
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011

Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
8
n
Danh
định
số
(digital identity)
Phương pháp định danh
n Phương pháp 1: người dùng tự nhập thông tin về danh
định
n Đây là phương pháp phổ biến nhất hiện nay
n Ví dụ: username, số tài khoản
n Bước đầu tiên khi một hacker muốn xâm nhập vào một hệ
thống
là
thu
thập
danh
sách
các
người dùng
hợp
lệ
của
hệ
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin

Chương 3: Định danh và Xác thực
9
thống
là
thu
thập
danh
sách
các
người dùng
hợp
lệ
của
hệ
thống.
Phương pháp định danh
n Phương pháp 2: Sử dụng danh định số hóa
n Danh định sinh trắc học (Biometric identity)
n Nhận dạng khuôn mặt (Facial recognition)
n Quét tròng mắt (iris scanners)
n Hình học bàn tay (hand geometry)
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
10
n Nhận dạng vân tay (fingerprint)
Phương pháp định danh
n Phương pháp 2: Sử dụng danh định số hóa

n Danh định máy tính (Computer identity)
n Tên máy tính
n Địa chỉ MAC
n Địa chỉ IP
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
11
Phương pháp định danh
n Phương pháp 2: Sử dụng danh định số hóa
n Danh định số (Digital identity)
n Chứng nhận số (Digital certificate)
n Thẻ thông minh (Smart card)
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
12
Nội dung
Phương pháp định danh
2
Giới thiệu về định danh và xác thực
1
Phương pháp xác thực
3
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính

© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
13
Giao thức xác thực
4
Phương pháp xác thực
n Các phương pháp xác thực:
n Những gì bạn biết (Something you know)
n Những gì bạn có (Something you have)
n Những gì là chính bạn (Something you are)
n Một phương pháp xác thực tốt là phương pháp mà không dễ
bị
đoán
hoặc
bị
làm
giả
.
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
14
bị
đoán
hoặc
bị
làm

giả
.
Những gì bạn biết
n Ví dụ:
n Password
n Số PIN (Personal Identification Number)
n Ưu điểm
n Tiện lợi
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
15
n Chi phí thấp
n Khuyết điểm
n Mức độ bảo mật phụ thuộc vào độ phức tạp của password
Những gì bạn biết
n Những vấn đề của password:
n Password yếu: dễ đoán (tên người dùng, ngày sinh nhật ,…)
à Xây dựng chính sách password:
n Độ dài
n Có các ký tự đặc biệt (non-letter), có ký viết hoa, viết thường
Khác
với
username,
các
từ
dễ
đoán

Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
16
n
Khác
với
username,
các
từ
dễ
đoán
n Thay đổi password định kỳ
Cần cân bằng giữa: hacker khó đoán và người dùng có thể nhớ
n Thu thập thông tin bất hợp pháp (Social engineering)
n Các phần mềm gián điệp (spyware), keystroke logging
Những gì bạn có
n Thẻ thông minh (smart card): có bộ nhớ nhỏ và có khả năng
thực hiện một vài tính toán
n Trong thẻ có lưu thông tin về người dùng và cả password.
n người dùng có thể chọn những password phức tạp và thay đổi
khi cần
Địa
chỉ
MAC,
địa
chỉ
IP

Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
17
n
Địa
chỉ
MAC,
địa
chỉ
IP
17
Những gì là chính bạn
n Sử dụng các yếu tố sinh trắc học để xác thực.
n Nhận dạng khuôn mặt
n Quét tròng mắt
n Hình học bàn tay
n Nhận dạng vân tay
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
18
n Xác thực bằng sinh trắc học gồm 2 bước
n Đăng ký mẫu
n Nhận dạng
Những gì là chính bạn

n Các lỗi xảy ra khi xác thực bằng sinh trắc học
n False accept rate (FAR)
Alice
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
19
Bob
Những gì là chính bạn
n Các lỗi xảy ra khi xác thực bằng sinh trắc học
n False Reject Rate (FRR)
Not
Alice
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
20
Alice
Những gì là chính bạn
n Tỷ lệ lỗi sinh trắc học
n FAR = FRR
n Vân tay (5%)
n Hình học bàn tay (0.1%)
n Tròng mắt (0.001%)
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính

© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
21
n Ưu điểm:
n Khó tấn công
n Khuyết điểm:
n Tốn kém: lưu trữ, xử lý
Phương pháp xác thực
n Phương pháp xác thực tốt thì tốn kém
n Xét về khả năng bị tấn công:
n Biometrics < Smartcard < Password
n Xét về chi phí:
n Password < Smartcard < Biometrics
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
22
n Có thể kế hợp các phương pháp xác thực với nhau
Nội dung
Phương pháp định danh
2
Giới thiệu về định danh và xác thực
1
Phương pháp xác thực
3
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính

© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
23
Giao thức xác thực
4
Giao thức xác thực
n Giao thức xác thực đơn giản
n Giao thức xác thực challenge-response
n Giao thức xác thực dùng khóa đối xứng
n Giao thức xác thực dùng khóa công khai
n
Giao
thức
xác
thực
KERBEROS
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
24
n
Giao
thức
xác
thực
KERBEROS
Giới thiệu

n Giả sử là Alice muốn chứng minh với Bob là “Tôi chính là
Alice”
n Alice cũng cần biết người còn lại có đúng là Bob không.
n Malice là người xấu có ý muốn phá giao thức xác thực
“
Tôi
là
Alice”
Trường Đại Học Bách Khoa Tp.HCM
Khoa Khoa Học và Kỹ Thuật Máy Tính
© 2011
Bảo mật hệ thống thông tin
Chương 3: Định danh và Xác thực
25
Alice
Bob
Malice
“
Tôi
là
Alice”
Hãy chứng minh