TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH
KHOA CÔNG NGHỆ THÔNG TIN

Bài giảng mơn học:

AN NINH MẠNG

Số tín chỉ: 3
Tổng số tiết: 60 tiết
(30 LT + 30 TH)

Giảng viên: ThS. Phạm Đình Tài
Tel: 0985733939
Email:


Môn học: AN NINH MẠNG
Bài 1

Các kỹ thuật tấn công mạng.

Bài 2

Các kỹ thuật mã hóa và xác thực

Bài 3

Triển khai hệ thống Firewall

Bài 4

Chứng thực trên Firewall

Bài 5

Thiết lập các chính sách truy cập

Bài 6

Bảo vệ Server cơng cộng

Bài 7

Bảo mật truy cập từ xa
-2-


Bài 2: Các kỹ thuật mã hóa và xác thực
Mã hóa khóa đối xứng
Mã hóa khóa bất đối xứng
Chứng thư số (Certificate Authority)
Chữ ký số (Digital Sign)
Hàm băm (hash)
Trao đổi khóa


Mục tiêu của an tồn thơng tin
• Tiêu chuẩn an tồn thơng tin:
• An tồn thơng tin là các biện pháp nhằm bảo mật thông tin

Accountability


Reliability

Authenticity

Non-repudiation

Confidentialit
y

Integrity

Availability

Information Security
People

Procedur
es

Policy

Legal Framework

Technolo
gy

ISO/IEC-27001:2005



Mục tiêu của an tồn thơng tin
• Lớp nền tảng của an tồn thơng tin:
• Tính bí mật (Confidentiality)
• Chỉ những người được phân quyền mới có thể truy cập được dữ liệu.
• Mã hóa dữ liệu trước khi truyền từ nơi này sang nơi khác.

• Tính tồn vẹn (Integrity)
• Người nhận sẽ xác minh sự toàn vẹn của dữ liệu.
• Đảm bảo dữ liệu khơng bị thay đổi trên đường truyền.

• Tính sẵn sàng (Avaibility)
• Đảm bảo dữ liệu ln trong tình trạng sẵn sàng khi người dùng có nhu
cầu truy cập.
$10
0

$10.0
00

$10.0
00

5
5


Mục tiêu của an tồn thơng tin
• Lớp xác thực thơng tin:
• Authenticity: xác minh nguồn gốc của thơng tin
• Non-repudiation (tính chống từ chối):

• Đảm bảo người tạo ra thơng tin khơng thể phủ nhận thơng tin mình đã
tạo.

• Lớp

Accountability

Reliability

Authenticity

Non-repudiation

Confidentialit
y

Integrity

Availability

Information Security
People

Procedur
es

Policy

Technolo
gy


Legal Framework

6


Mã hóa khóa đối xứng
• Khái niệm mã hóa:
• Mật mã (encryption) là dùng thuật tốn (algorithms) nào đó để
làm biến đổi thơng tin gốc.
• Giải mã (decryption) là dùng thuật tốn để chuyển thơng tin đã bị
biến đối thành thơng tin gốc.
• Hệ thống mã hóa (cryptosystem): bao gồm các thuật tốn mã hóa
và giải mã.
• Khóa mã (Key) là chìa khóa
(từ khóa, mã khóa…) điều
khiển hoạt động của việc
mã hóa hoặc giải mã
trong thuật tốn.

7


Mã hóa khóa đối xứng
• Mã hóa khóa đối xứng.
• Thơng tin gốc X được mã hóa bởi khóa K để thanh dữ liệu Y.
• Dữ liệu Y được truyền trên mạng tới nơi nhận.
• Nơi nhận sẽ dùng chính khóa K để giải mã dữ liệu Y thanh thơng
tin gốc X.


8


Mã hóa khóa đối xứng
• Ví dụ về mã hóa khóa đối xứng bằng thuật tốn XOR:
Bên
gởi
X = 1000 1011
K = 0101 0101
Y = 1101 1110
Bảng chân trị của
XOR
A
B
A xor B
0

0

0

0

1

1

1

0


1

1

1

0

Bên nhận
dùng khóa Đúng
Y = 1101 1110
K = 0101 0101
X = 1000 1011
Bên nhận
dùng khóa Sai
Y = 1101 1110
K = 0001 0001
X = 1100 1111

(2 bit giống nhau trả về 0
2 bit khác nhau trả về 1 )
9


Mã hóa khóa đối xứng
• Một số thuật tốn mã hóa khóa đối xứng thơng dụng.
• DES (Data Encryption Standard):
• Thông điệp (message) được chia thành những khối (block) 64 bits
• Dùng khóa 56 bít để mã hóa. ( 8 bit để kiểm tra chẳn, lẻ)

• Có thể bị tấn cơng bằng giải thuật vét cạn khóa (Brute-force)

• Triple DES: thực hiện thuật tốn DES 3 lần.
• Mã hóa thơng điệp m:

EK1 { DK2 [ EK1 (m) ] } => c

• Mã hóa thơng tin đã mã hóa c:

DK1 { EK2 [ DK1 (c) ] } => m

• AES (Advanced Encryption Standard): thay thế cho DES
• Thơng điệp được chia khối tương tự DES
• Dùng khóa: 128, 192 hoặc 256 bits

10


Mã hóa khóa bất đối xứng
• Mã hóa bất đối xứng – thuật tốn RSA.
• Mỗi máy tính sử dụng bộ khóa bao gồm 2 khóa:
• Kr: Khóa riêng (private) – giữ trong máy, khơng public ra ngồi.
• Kp: Khóa chung (public) – khơng giữ trong máy, public ra ngồi.

• Ngun tắc mã hóa và giải mã:
• Dữ liệu mã hóa bằng khóa riêng Kr thì chỉ giải mã được bằng khóa
chung Kp
• Dữ liệu mã hóa bằng khóa chung Kp thì chỉ giải mã được bằng khóa
riêng Kr


11


Mã hóa thơng tin (Cryptography)
• Các phương pháp dùng thuật tốn RSA:
• Giả định: Alice muốn truyền thơng tin cho Bob

• Giải pháp 1:
• Bob cơng khai khóa KpB ra ngồi
• Alice mã hóa bằng khóa KpB của Bob
• Bob giải mã bằng khóa KrB của Bob

• Giải pháp 2:
• Alice cơng khai khóa KpA ra ngồi
• Alice mã hóa bằng khóa KrA của Alice
• Bob giải mã bằng khóa KpA của Alice

12


Hàm băm (hash function)
• Cơng dụng của hàm băm
• Băm thơng điệp bất kỳ về kích thước cố định.
• Phát hiện sự thay đổi trên thơng điệp
• Có thể được sử dụng để tạo chữ ký trên thơng điệp

• Tính chất của hàm băm:
• Nếu có thơng điệp (M) sẽ dễ dàng tính được mã băm (h) theo một
thuật tốn băm (H) nào đó (ví du: MD5, SHA1,…)
• Nếu có mã băm (h), khơng thể tính ngược được để cho ra thơng

điệp (M) cho dù biết thuật tốn băm.
• Kích thước h nhỏ và cố định
• h chỉ phụ thuộc vào M

13


Hàm băm (hash function)
• Hàm băm đơn giản:
• Dùng thuật tốn XOR để băm thơng điệp
• Thơng điệp (M): 1010 1100 0111 1000 1010 1100
• Băm 8 bit – chia thông diệp thành các đoạn 8 bit
1010 1100
0111 1000
1010 1100
Mã băm (h):

0111 1000

• Nếu có thay đổi trên thơng điệp
1010 1101
0111 1000
1010 1100
Mã băm mới:

0111 1001 sẽ khác với mã băm cũ
14


Hàm băm (hash function)

• Minh họa ứng dụng Hash:
• Mật khẩu “abc” theo dạng ASCII:
0100 0001 0100 0010 0100 0011
• Băm 8 bit theo thuật toán XOR ta được mã băm: 0100 0000
• Hệ thống lưu trữ mật khẩu “abc” dưới dạng mã băm: 0100 0000
• Trường hợp Attacker lấy được bảng mật khẩu => không thể giải
mã băm 0100 0000 thành mật khẩu “abc” .

15


Trao đổi khóa (Key exchange)
• Thuật tốn Diffie-Hellman:
• Mục đích: đảm bảo tính bí mật
khi 2 đối tác thảo thuận thay đổi
khóa đối xứng.
• Cơ chế hoạt động:
• Alice và Bob đang dùng 1 khóa
chung (màu vàng), muốn thay đổi
khóa chung khác.
• Mỗi bên tự tạo 1 khóa mới, trộn
với Khóa chung đang dùng.
• Gởi khóa đã trộn cho đối tác.
• Trộn khóa nhận được với khóa
tự tạo => có được Khóa chung mới
giống nhau cho cả 2.

- 16 -



Chứng thư số (Certification Authority)
• Vai trị của Chứng thư số (Certification Authority – CA)
• Mã hóa thơng tin truyền.
• Chứng thực nguồn cung cấp dịch vụ (Server) bởi “Nhà cung cấp
chứng thư” tin cậy.
• Đảm bảo tính tồn vẹn dữ liệu trong q trình mã hóa và giải mã
thơng tin.
CA Server

Client

Server

17


Chứng thư số (Certification Authority)
• Hoạt động của CA
1. Client gởi yêu cầu truy cập dịch vụ đến Server.
2. Server gởi Cert. của nó cho Client, bao gồm khóa public KpuS
3. Client gởi Cert. tới CA Server nhờ chứng thực nguồn gốc.
4. Nếu CA Server xác nhận đúng, client sẽ tiến hành giao dịch với
Server bằng dữ liệu mã hóa bởi khóa KpuS (Server giải mã bằng
khóa KprS của nó).
CA Server

Client

Server


18


Chữ ký số (Digital Signature)
• Vai trị của Chữ ký số (Digital Signature)
• Mã hóa thơng tin truyền.
• Chứng thực người truy cập dịch vụ (Client) bởi “Nhà cung cấp chữ
ký số” tin cậy.
• Đảm bảo tính tồn vẹn dữ liệu trong q trình mã hóa và giải mã
thơng tin.

19


Chữ ký số (Digital Signature)
• Hoạt động của DS
1. Client kết nối Server để thực hiện giao dịch dùng DS.
2. Client gởi Sign. của nó cho Server, bao gồm khóa public KpuC
3. Server gởi Sign. tới CA Server nhờ chứng thực nguồn gốc.
4. Nếu CA Server xác nhận đúng, Server sẽ tiến hành giao dịch với
Client bằng dữ liệu mã hóa bởi khóa KpuC
CA Server

Server

Client

20



Chứng thư số (Certification Authority)
• Giả mạo chứng thư số

Trong trường hợp Client đã bị tấn công Man in the middle.
1. Yêu cầu truy cập của Client sẽ gởi tới Hacker.
2. Hacker giao dịch với Server như 1 client bình thường.
3. Hacker giả mạo Server gởi cho Client một Cert. giả.
4. Client đem Cert. đi chứng thực, nó sẽ nhận được cảnh báo “không
tin cậy” từ CA Server.
CA Server

Server

Client
Hacker

21


Chữ ký số (Digital Signature)
• Giả mạo Chữ ký số
Trường hợp Client đã bị tấn công Man in the middle và người dùng
Client đã chấp nhận dùng Certification không tin cậy từ Hacker
1. Hacker dùng Sign. giả gởi tới Server.
2. Server đem Sign. đi chứng thực, nó sẽ nhận được cảnh báo “không
tin cậy” từ CA Server
3. Server hủy phiên giao dịch.
CA Server

Server


Client
Hacker

22


Thảo Luận

Cấu trúc MT – ThS. Vương Xuân
Chí

Trang