Tải bản đầy đủ (.ppt) (32 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Chứng thực phân quyền người dùng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.29 MB, 32 trang )


© 2008, Vietnam-Korea Friendship IT College
CHỨNG THỰC –
CHỨNG THỰC –
PHÂN QUYỀN
PHÂN QUYỀN
Authentication - Authorization
© 2008, Vietnam-Korea Friends
hip IT College

Chứng thực người dùng

Chứng thực người dùng:

Là quá trình thiết lập tính hợp lệ của người dùng
trước khi truy cập thông tin trong hệ thống.

Thường sử dụng phương pháp chung là
username/password
© 2008, Vietnam-Korea Friends
hip IT College

Chứng thực người dùng

username/password

CHAP

Kerberos

Password dùng 1 lần



Thẻ password (Token password)

Chứng chỉ (Certificates)

Sinh trắc học

Kết hợp nhiều phương pháp
© 2008, Vietnam-Korea Friends
hip IT College

Username/Password

Là loại chứng thực phổ biến nhất

Truyền username/password đến Server

Ví dụ

Dial-up
`
Security Server
user
password
© 2008, Vietnam-Korea Friends
hip IT College

Username/Password

Các vấn đề


Thời gian duy trì

Thay đổi mật khẩu thường xuyên hay không?

Có nguy cơ bị lấy mất

Keyloggers

Phần mềm: theo dõi phím bấm

Phần cứng: thiết bị gắn giữa bàn phím và CPU để
theo dõi phím bấm
© 2008, Vietnam-Korea Friends
hip IT College

Username/Password

Giải pháp

Đặt mật khẩu dài

Bao gồm chử cái, số, biểu tượng

Thay đổi password: 01 tháng/lần

Không nên đặt cùng password ở nhiều nơi

Xem xét việc cung cấp password cho ai


Ví dụ: Tomatotree650
© 2008, Vietnam-Korea Friends
hip IT College

CHAP

CHAP (Challenge Hanshake Authentication
Protocol)

Mật khẩu người dùng: bảo mật

Số ngẫu nhiên: dùng để mã hóa

Sử dụng trong remote login, PPP, PRAS, xác
thực dịch vụ web

Triển khai: MS CHAP version 2
© 2008, Vietnam-Korea Friends
hip IT College

CHAP
© 2008, Vietnam-Korea Friends
hip IT College

CHAP

Hoạt động của CHAP

Client gửi yêu cầu


Server đưa ra challenge

Client mã hóa (băm) challenge với secret và gửi
cho Server

Client được xác thực khi kết quả giống nhau.
© 2008, Vietnam-Korea Friends
hip IT College

Kerberos

Bắt đầu phát triển tại MIT năm 1980

Microsoft đưa Kerberos vào Windows 2000 và .NET

Ticket: sự cấp phép cụ thể

Ticket Grant Ticket (TGT): được đưa ra bởi Central
Authority cho phép người dùng yêu cầu một dịch vụ nào
đó.

Key Distribution Center (KDC): máy chủ cung cấp cho
Client TGT, chứng thực và cho phép user yêu cầu một
dịch vụ nào đó.

Ticket Granting Server (TGS): máy chủ kiểm tra Client có
được phép nhận một ticket hay không.
© 2008, Vietnam-Korea Friends
hip IT College


Kerberos -2

Quá trình hoạt động
TGT
Ticket
Ticket
© 2008, Vietnam-Korea Friends
hip IT College

Kerberos -3

Kerberos Process

Chứng thực người dùng

Client liên lạc với KDC yêu cầu chứng thực

TGT nhận được từ KDC

Cho phép client yêu cầu một dịch vụ cụ thể nào đó

Ticket cho dịch vụ được nhận từ TGS

Client đưa ticket cho máy chủ ứng dụng

Khi đã được chứng thực, quyền truy nhập được
cấp cho người dùng
© 2008, Vietnam-Korea Friends
hip IT College


Password sử dụng một lần

Người dùng có chương trình sinh password

Có thể gửi dạng “clear” qua môi trường không
an toàn
`
Internet
Server
user
password
user
password
© 2008, Vietnam-Korea Friends
hip IT College

Token password

Được coi là một trong những phương pháp an toàn
nhất

Thẻ bài mang một số thông tin cá nhân

Người dùng ngoài mật khẩu còn phải có thẻ bài
`
Token
user
password
Application
Server

© 2008, Vietnam-Korea Friends
hip IT College

Certificates

Một Server (Certificates Authority - CA) tạo ra các
certificates

Có thể là vật lý: smartcard

Có thể là logic: chữ ký điện tử

Sử dụng public/private key (bất cứ dữ liệu nào được mã
hóa bằng public key chỉ có thể giải mã bằng private key)

Sử dụng “công ty thứ 3” để chứng thực
Licensing site
© 2008, Vietnam-Korea Friends
hip IT College

Certificates - 2
` `
Message Delivery
Hash Function
Hash Function
Message Receive
compare
Information
Checksum
Information

Checksum
Encrypted checksum sent to receiver
Sender’s private key
Sender’s public key
Information sent to receiver
© 2008, Vietnam-Korea Friends
hip IT College

Certificates - 3
Licensing site
Được sử dụng phổ biến trong chứng thực web, smart cards,
chữ ký điện tử cho email và mã hóa email
-
Nhược điểm

Triển khai PKI (Public Key Infrastructure) kéo dài và
tốn kém

Smart cards làm tăng giá triển khai và bảo trì

Dịch vụ CA tốn kém
© 2008, Vietnam-Korea Friends
hip IT College

Sinh trắc học

Mống mắt/võng mạc

Vân tay


Giọng nói
© 2008, Vietnam-Korea Friends
hip IT College

Sinh trắc học-2

Ưu điểm

Có thể rất chính xác

Nhanh: thời gian chứng thực nhỏ hơn 1s

Sự tác động của người dùng thấp

Kết hợp nhiều yếu tố: vân tay, võng mạc, giọng nói,…

Nhược điểm

Giá thành: triển khai hệ thống sinh trắc học đòi hỏi chi phí
cho phần cứng và phần mềm.

Có thể nhận diện sai: mặc dù đúng người nhưng hệ thống
không chấp nhận
© 2008, Vietnam-Korea Friends
hip IT College

Kết hợp nhiều phương pháp
(Multi-factor)

Sử dụng nhiều hơn một phương pháp chứng

thực

Mật khẩu/ PIN

Smart card

Sinh trắc học

Kết hợp nhiều phương pháp chứng thực tạo sự
bảo vệ theo chiều sâu với nhiều tầng bảo vệ
khác nhau
© 2008, Vietnam-Korea Friends
hip IT College

Kết hợp nhiều phương pháp
(Multi-factor)

Ưu điểm

Giảm sự phụ thuộc vào password

Hệ thống chứng thực mạnh hơn

Cung cấp khả năng cho Provides Public Key Infrastructure
(PKI)

Nhược điểm

Tăng chi phí triển khai: đầu tư thiết bị, đào tạo người dùng
và quản trị


Tăng chi phí duy trì: do tính không tương thích giữa các
nhà SX

Chi phí nâng cấp: sự không ổn định của nhà SX
© 2008, Vietnam-Korea Friends
hip IT College

Điều khiển truy cập/Phân quyền SD

Mô hình điều khiển truy cập

Quá trình điều khiển truy cập

Các loại điều khiển truy cập
© 2008, Vietnam-Korea Friends
hip IT College

Điều khiển truy cập

Điều khiển truy cập là quá trình giới hạn quyền
sử dụng của người dùng đã được chứng thực
đối với tài nguyên hệ thống, cũng như hạn chế
các tác động của người dùng đối với tài nguyên
hệ thống và đảm bảo người dùng chỉ tác động
được các tài nguyên trong phạm vi được cấp
quyền đó.
© 2008, Vietnam-Korea Friends
hip IT College


Điều khiển truy cập

Quá trình điều khiển truy cập

Xác định người dùng (Identification)
Name,
Account no.
Identified
user
user
Access
Control
mechanism
User X
Identification data
Authentication data
Authorization data
© 2008, Vietnam-Korea Friends
hip IT College

Điều khiển truy cập

Chứng thực người dùng
Remembered info
Possessed objects
Personal characteristics
Valid/invalid
user
user
Access

Control
mechanism
User X
Identification data
Authentication data
Authorization data

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×