© 2008, Vietnam-Korea Friendship IT College
CHỨNG THỰC –
CHỨNG THỰC –
PHÂN QUYỀN
PHÂN QUYỀN
Authentication - Authorization
© 2008, Vietnam-Korea Friends
hip IT College
Chứng thực người dùng
Chứng thực người dùng:
Là quá trình thiết lập tính hợp lệ của người dùng
trước khi truy cập thông tin trong hệ thống.
Thường sử dụng phương pháp chung là
username/password
© 2008, Vietnam-Korea Friends
hip IT College
Chứng thực người dùng
username/password
CHAP
Kerberos
Password dùng 1 lần
Thẻ password (Token password)
Chứng chỉ (Certificates)
Sinh trắc học
Kết hợp nhiều phương pháp
© 2008, Vietnam-Korea Friends
hip IT College
Username/Password
Là loại chứng thực phổ biến nhất
Truyền username/password đến Server
Ví dụ
Dial-up
`
Security Server
user
password
© 2008, Vietnam-Korea Friends
hip IT College
Username/Password
Các vấn đề
Thời gian duy trì
Thay đổi mật khẩu thường xuyên hay không?
Có nguy cơ bị lấy mất
Keyloggers
Phần mềm: theo dõi phím bấm
Phần cứng: thiết bị gắn giữa bàn phím và CPU để
theo dõi phím bấm
© 2008, Vietnam-Korea Friends
hip IT College
Username/Password
Giải pháp
Đặt mật khẩu dài
Bao gồm chử cái, số, biểu tượng
Thay đổi password: 01 tháng/lần
Không nên đặt cùng password ở nhiều nơi
Xem xét việc cung cấp password cho ai
Ví dụ: Tomatotree650
© 2008, Vietnam-Korea Friends
hip IT College
CHAP
CHAP (Challenge Hanshake Authentication
Protocol)
Mật khẩu người dùng: bảo mật
Số ngẫu nhiên: dùng để mã hóa
Sử dụng trong remote login, PPP, PRAS, xác
thực dịch vụ web
Triển khai: MS CHAP version 2
© 2008, Vietnam-Korea Friends
hip IT College
CHAP
© 2008, Vietnam-Korea Friends
hip IT College
CHAP
Hoạt động của CHAP
Client gửi yêu cầu
Server đưa ra challenge
Client mã hóa (băm) challenge với secret và gửi
cho Server
Client được xác thực khi kết quả giống nhau.
© 2008, Vietnam-Korea Friends
hip IT College
Kerberos
Bắt đầu phát triển tại MIT năm 1980
Microsoft đưa Kerberos vào Windows 2000 và .NET
Ticket: sự cấp phép cụ thể
Ticket Grant Ticket (TGT): được đưa ra bởi Central
Authority cho phép người dùng yêu cầu một dịch vụ nào
đó.
Key Distribution Center (KDC): máy chủ cung cấp cho
Client TGT, chứng thực và cho phép user yêu cầu một
dịch vụ nào đó.
Ticket Granting Server (TGS): máy chủ kiểm tra Client có
được phép nhận một ticket hay không.
© 2008, Vietnam-Korea Friends
hip IT College
Kerberos -2
Quá trình hoạt động
TGT
Ticket
Ticket
© 2008, Vietnam-Korea Friends
hip IT College
Kerberos -3
Kerberos Process
Chứng thực người dùng
Client liên lạc với KDC yêu cầu chứng thực
TGT nhận được từ KDC
Cho phép client yêu cầu một dịch vụ cụ thể nào đó
Ticket cho dịch vụ được nhận từ TGS
Client đưa ticket cho máy chủ ứng dụng
Khi đã được chứng thực, quyền truy nhập được
cấp cho người dùng
© 2008, Vietnam-Korea Friends
hip IT College
Password sử dụng một lần
Người dùng có chương trình sinh password
Có thể gửi dạng “clear” qua môi trường không
an toàn
`
Internet
Server
user
password
user
password
© 2008, Vietnam-Korea Friends
hip IT College
Token password
Được coi là một trong những phương pháp an toàn
nhất
Thẻ bài mang một số thông tin cá nhân
Người dùng ngoài mật khẩu còn phải có thẻ bài
`
Token
user
password
Application
Server
© 2008, Vietnam-Korea Friends
hip IT College
Certificates
Một Server (Certificates Authority - CA) tạo ra các
certificates
Có thể là vật lý: smartcard
Có thể là logic: chữ ký điện tử
Sử dụng public/private key (bất cứ dữ liệu nào được mã
hóa bằng public key chỉ có thể giải mã bằng private key)
Sử dụng “công ty thứ 3” để chứng thực
Licensing site
© 2008, Vietnam-Korea Friends
hip IT College
Certificates - 2
` `
Message Delivery
Hash Function
Hash Function
Message Receive
compare
Information
Checksum
Information
Checksum
Encrypted checksum sent to receiver
Sender’s private key
Sender’s public key
Information sent to receiver
© 2008, Vietnam-Korea Friends
hip IT College
Certificates - 3
Licensing site
Được sử dụng phổ biến trong chứng thực web, smart cards,
chữ ký điện tử cho email và mã hóa email
-
Nhược điểm
Triển khai PKI (Public Key Infrastructure) kéo dài và
tốn kém
Smart cards làm tăng giá triển khai và bảo trì
Dịch vụ CA tốn kém
© 2008, Vietnam-Korea Friends
hip IT College
Sinh trắc học
Mống mắt/võng mạc
Vân tay
Giọng nói
© 2008, Vietnam-Korea Friends
hip IT College
Sinh trắc học-2
Ưu điểm
Có thể rất chính xác
Nhanh: thời gian chứng thực nhỏ hơn 1s
Sự tác động của người dùng thấp
Kết hợp nhiều yếu tố: vân tay, võng mạc, giọng nói,…
Nhược điểm
Giá thành: triển khai hệ thống sinh trắc học đòi hỏi chi phí
cho phần cứng và phần mềm.
Có thể nhận diện sai: mặc dù đúng người nhưng hệ thống
không chấp nhận
© 2008, Vietnam-Korea Friends
hip IT College
Kết hợp nhiều phương pháp
(Multi-factor)
Sử dụng nhiều hơn một phương pháp chứng
thực
Mật khẩu/ PIN
Smart card
Sinh trắc học
Kết hợp nhiều phương pháp chứng thực tạo sự
bảo vệ theo chiều sâu với nhiều tầng bảo vệ
khác nhau
© 2008, Vietnam-Korea Friends
hip IT College
Kết hợp nhiều phương pháp
(Multi-factor)
Ưu điểm
Giảm sự phụ thuộc vào password
Hệ thống chứng thực mạnh hơn
Cung cấp khả năng cho Provides Public Key Infrastructure
(PKI)
Nhược điểm
Tăng chi phí triển khai: đầu tư thiết bị, đào tạo người dùng
và quản trị
Tăng chi phí duy trì: do tính không tương thích giữa các
nhà SX
Chi phí nâng cấp: sự không ổn định của nhà SX
© 2008, Vietnam-Korea Friends
hip IT College
Điều khiển truy cập/Phân quyền SD
Mô hình điều khiển truy cập
Quá trình điều khiển truy cập
Các loại điều khiển truy cập
© 2008, Vietnam-Korea Friends
hip IT College
Điều khiển truy cập
Điều khiển truy cập là quá trình giới hạn quyền
sử dụng của người dùng đã được chứng thực
đối với tài nguyên hệ thống, cũng như hạn chế
các tác động của người dùng đối với tài nguyên
hệ thống và đảm bảo người dùng chỉ tác động
được các tài nguyên trong phạm vi được cấp
quyền đó.
© 2008, Vietnam-Korea Friends
hip IT College
Điều khiển truy cập
Quá trình điều khiển truy cập
Xác định người dùng (Identification)
Name,
Account no.
Identified
user
user
Access
Control
mechanism
User X
Identification data
Authentication data
Authorization data
© 2008, Vietnam-Korea Friends
hip IT College
Điều khiển truy cập
Chứng thực người dùng
Remembered info
Possessed objects
Personal characteristics
Valid/invalid
user
user
Access
Control
mechanism
User X
Identification data
Authentication data
Authorization data