Company
LOGO
NETWORK SECURITY
Lecture slides by
Lecture slides by Hoang Sy Tuong
Facculty Of Information Security
08/07/14 Hoàng Sỹ Tương 2
Agenda
Chương II
MÃ HÓA ĐỐI XỨNG TRONG BẢO MẬT MẠNG
•
Sơ đồ bảo vệ TT của mã hóa đối xứng
•
Các cách tiếp cận để bảo mật thông tin bằng mật mã
•
Quản lý và phân phối khóa trong mã hóa đối xứng
•
Tổ chức hệ thống bảo mật dùng mã hóa đối xứng
Chương II
MÃ HÓA ĐỐI XỨNG TRONG BẢO MẬT MẠNG
•
Sơ đồ bảo vệ TT của mã hóa đối xứng
•
Các cách tiếp cận để bảo mật thông tin bằng mật mã
•
Quản lý và phân phối khóa trong mã hóa đối xứng
•
Tổ chức hệ thống bảo mật dùng mã hóa đối xứng
Mô hình mã hóa đối xứng
08/07/14 Hoàng Sỹ Tương 4
Mô hình hệ mật đối xứng
08/07/14 Hoàng Sỹ Tương 5
Giải thích
Tại nơi gửi
Nguồn A: Tạo một thông báo ở dạng rõ, X={X
1
, X
2
, X
M
}
Khi mã hóa một khóa có dạng K={K
1
, K
2
, ,K
M
} được
sinh ra. Nếu khóa do nguồn sinh ra khóa phải được
chuyển cho đích theo một kênh an toàn nào đó. Có thể
sử dụng một thanh viên thứ ba A để sinh khóa và phân
phối khóa an toàn cho cả nguồn và đích
Với đầu vào là thông báo X và khóa mã K, đầu ra của
thuật toán là một bản mã Y= {Y
1
, Y
2
, Y
M
}. Chúng ta có
thể viết như sau:
Y=E
K
(X)
08/07/14 Hoàng Sỹ Tương 6
Tại nơi nhận: Khi người nhận hợp pháp nhận được bản mã
có thể giải mã bản mã nhờ dùng cùng một khóa (dùng
trong khi mã) như sau:
X=D
K
(Y)
Kẻ tấn công
Thu được Y nhưng không có khóa K, và X đối phương không thể
khôi phục được X hoặc K hoặc cả X và K.
Giả thiết rằng, đối phương biết các thuật toán mã hóa (E) và giải
mã (D). Nếu đối phương chỉ quan tâm đến một thông báo xác định
nào đó anh ta sẽ tập trung khôi phục lại X, bằng cách sinh ra một
bản rõ X^ ước lượng. Tuy nhiên nếu đối phương muốn đọc các
thông báo kế tiếp anh ta cần khôi phục lại K bằng cách sinh ra một
K^ ước lượng
Kết luận
Độ an toàn của hệ mật này phụ thuộc vào một
vài yếu tốt sau:
Thuật toán phải đủ mạnh, sao cho việc giải mã
một thông báo mà chỉ dựa vào bản mã là không
khả thi.
Độ an toàn của mã hóa đối xứng phụ thuộc vào sự
bí mật của khóa, chứ không phải phụ thuộc vào độ
bí mật của thuật toán. Nói cách khác chúng ta
không cần giữ bí mật thuật toán, chúng ta cần giữ
bí mật khóa
08/07/14 Hoàng Sỹ Tương 8
Agenda
Hai cách tiếp cận để bảo mật TT
trên mạng bằng mật mã
08/07/14 Hoàng Sỹ Tương 9
Mã hóa theo đường truyền (Link To Link)
08/07/14 Hoàng Sỹ Tương 10
Giải thích
Tại nút nguồn TT gửi được mã bởi khóa E1 để
được bản mã gửi đến nút trung gian đầu tiên.
Tại nút trung gian đầu tiên bản mã được dịch bởi
khóa dịch D1 tương ứng và sau đó lại được mã
bằng khóa E2 để chuyển đến nút trung gian thứ
hai.
Tại nút trung gian thứ hai bản mã được dịch bởi
khóa dịch D2 tương ứng và sau đó lại được mã
bằng khóa E3 để chuyển đến nút trung gian thứ ba
Cứ như vậy cho đến khi bản mã đến được nút
đích. Tại đây bản mã được dịch bởi khóa dịch Dn
để được thông tin rõ ban đầu.
11
Internet Layers
1. Physical
2. Link
3. Network
4. Transport
5. Application
12
Security at Layers
Physical
Locked doors
Spread spectrum
Link
WEP
GSM
Network
Filtering firewalls
IPsec
Transport
Circuit firewalls
SSL and TLS
Application
Proxy firewalls
S/MIME
XMLDSIG and WS
security
13
Network Layer Security
HTTP FTP SMTP
TCP
IP / IPsec
14
Transport Layer Security
HTTP FTP SMTP
TCP
IP
SSL or TLS
15
Application Layer Security
S/MIME PGP SET
TCP
IP
SMTP HTTP
UDP
Kerberos
16
Link
Network
Transport
Application
Link
Network
Transport
Application
Link
Network
Link
Network
TCP/IP Protocol Stack
Host HostRouter Router
Physical PhysicalPhysical Physical
17
Communication Processing Flow
Link
Network
Transport
App2
Link
Network
Transport
Link
Network
Link
Network
App1 App2App1
Physical PhysicalPhys Phys
Link
Phys
Link
Phys
19
Encapsulation (đóng gói)
Link
Link
IP TCP Application
Link Layer Frame
Network Layer
Header
Transport Layer
Header
Application Layer
Payload
20
Link
Network
Transport
Application
Link
Network
Transport
Application
Link
Network
Link
Network
One Hop Link Layer Encryption
Host HostRouter Router
Link Link
21
Link Layer Encryption
Link
Link
IP TCP Application
Encrypted
08/07/14 Hoàng Sỹ Tương 24
Ưu điểm
Có thể bí mật được luồng thông tin giữa nguồn và đích.
Có thể ngăn chặn được toàn bộ tấn công nhằm phân
tích lưu thông trên mạng.
Nhược điểm
Vì thông tin chỉ được mã hóa trên đường truyền nên đòi
hỏi các nút phải được bảo vệ tốt.
Tất cả các tuyến trên đường từ nguồn tới đích phải lập
mã tuyến.
Mỗi cặp nút chung một tuyến phải có cùng một khóa và
các tuyến khác nhau phải dùng các khóa khác nhau.
08/07/14 Hoàng Sỹ Tương 25
Mã hóa từ mút đến mút (end-to-end)
26
Link
Network
Transport
Application
Link
Network
Transport
Application
Link
Network
Link
Network
End-to-End Network Security
Host HostRouter Router