Gv: Nguyễn Phương Tâm
Chương 2
CƠ CHẾ ĐẢM BẢO
AN TOÀN CƠ BẢN
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
M t s c ch b o v t i nguyên m c ộ ố ơ ế ả ệ à ở ứ
h i u h nh.ệ đ ề à
Các c i ti n i v i c ch an to n c ả ế đố ớ ơ ế à ơ
b n d nh cho h i u h nh.ả à ệ đ ề à
Các cách l m cho h i u h nh an to n.à ệ đ ề à à
Chu n an to n DoD.ẩ à
MỤC TIÊU
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
2.1 Môi tr ng an to n h i u h nhườ à ệ đ ề à
2.2 Các ph ng th c xác th cươ ứ ự
2.3 B o v b nhả ệ ộ ớ
2.4 Ki m soát truy nh p t i nguyênể ậ à
2.5 Các c ch ki m soát lu ngơ ế ể ồ
2.6 S cách lyự
2.7 Các chu n an to nẩ à
NỘI DUNG
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
2.1.1 Khái ni m v h i u h nhệ ề ệ đ ề à
H i u h nh ệ đ ề à l m t ch ng trình ch y trên máy tính, dùng à ộ ươ ạ để
i u h nh, qu n lý các thi t b ph n c ng v t i nguyên ph n đ ề à ả ế ị ầ ứ à à ầ
m m trên máy tính. H i u h nh óng vai trò trung gian trong ề ệ đ ề à đ
vi c giao ti p gi a ng i s d ng v ph n c ng máy tính, nó cung ệ ế ữ ườ ử ụ à ầ ứ
c p m t môi tr ng cho phép ng i s d ng phát tri n v th c ấ ộ ườ ườ ử ụ ể à ự
hi n các ng d ng m t cách d d ng.ệ ứ ụ ộ ễ à
2.1 Môi trường an toàn của hệ điều hành
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
Các ứng dụng
Hệ điều hành
Chương trình dịch hợp ngữ
Chương trình cơ sở
Phần cứng
Hình 2.1 Các mức trừu tượng của hệ
thông máy tính
2.1 Môi trường an toàn của hệ điều hành
Các m c tr u t ng c a m t h th ng máy tínhứ ừ ượ ủ ộ ệ ố
CPU
Bộ nhớ
Các thiết bị
nhập xuất
…
Là phần mềm
hệ thống trong
ROM được nạp
cố định trong
bộ nhớ – không
thể thay đổi
được.
Assembler
– dùng để
dịch từ hợp
ngữ sang
ngôn ngữ
máy
Điều khiển và
phối hợp việc sử
dụng tài nguyên
cho những ứng
dụng khác nhau
của nhiều người
sử dụng khác
nhau
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
2.1.1 Khái ni m v h i u h nhệ ề ệ đ ề à
H i u h nh qu n lý t t c t i nguyên h th ng (b nh , các ệ đ ề à ả ấ ả à ệ ố ộ ớ
file, thi t b v o/ra, b x lý) v t i u hoá vi c s d ng t i nguyên ế ị à ộ ử à ố ư ệ ử ụ à
cho các ch ng trình ng d ng khác nhau.ươ ứ ụ
2.1 Môi trường an toàn của hệ điều hành
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
2.1.2 Các chức năng của hệ điều hành
Qu n lý ti n trình v b x lý:ả ế à ộ ử
Hỗ trợ các tiến trình đồng thời của người dùng và hệ
thống
Đảm bảo tối đa hiệu năng sử tài nguyên hệ thống
Qu n lý t i nguyênả à
OS cấp phát các tài nguyên hệ thống như: bộ nhớ,
file, thiết bị vào/ra cho ứng dụng
OS giải quyết vấn đề xung đột giữa các tiến trình sử
dụng chung tài nguyên.
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
Vấn đề tương tranh
Gi s 2 ti n trình Pả ử ế
1
v Pà
2
cùng chia s m t vùng nh chung, ch a ẻ ộ ớ ứ
bi n x (l u thông tin m t t i kho n). x=800.ế ư ộ à ả
2 ti n trình cùng mu n rút ti n t t i kho n:ế ố ề ừ à ả
If (x – 500 >= 0) If (x – 400 >= 0)
x := x - 500 x := x - 400
K t qu x=?ế ả
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
Giám sát:
OS tương tác trực tiếp với các chương trình ứng
dụng
Hỗ trợ thực hiện các ngôn ngữ ứng dụng khác nhau
Kiểm soát các chương trình đang chạy, không cho
phép sử dụng trái phép tài nguyên hệ thống
Chống can thiệp trái phép vào các vùng nhớ
2.1.2 Các chức năng của hệ điều hành
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
Nh n xét: ậ
H i u h nh không ng ng phát tri n t m t ch ng trình n ệ đ ề à ừ ể ừ ộ ươ đơ
gi n n các h th ng ph c t p, h tr ki n trúc a nhi m, a x ả đế ệ ố ứ ạ ỗ ợ ế đ ệ đ ử
lý, phân tán v x lý th i gian th c.à ử ờ ự
2.1.2 Các chức năng của hệ điều hành
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
2.1.3 Các chức năng an toàn của hệ điều hành
Các ch c n ng h ng h tr an to n c a h i u h nh:ứ ă ướ ỗ ợ à ủ ệ đ ề à
Nhận dạng/xác thực người dùng
Bảo vệ bộ nhớ
Kiểm soát truy nhập vào tài nguyên
Kiểm soát luồng
Kiểm toán
Các chức năng dịch vụ của OS
Các chức năng an toàn của OS
Hình 2.2 Phiên làm việc của người sử dụng
Người sử dụng
Đăng nhập
Nhận dạng/Xác thực
Thực hiện chương
trình
Đăng xuất
Quản lý hệ
thống file
Bảo vệ bộ nhớ
Quản lý vào ra
Kiểm tra
Cấp phát tài
nguyên
Kiểm soát
truy nhập tài
nguyên
Quản lý và
phát hiện lỗi
Điều khiển
luồng
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
Yêu c u i v i m t h th ng an to n l ph i nh n d ng chính xác ầ đố ớ ộ ệ ố à à ả ậ ạ
ng i s d ng, do ó ta tìm hi u xem ch c n ng an to nườ ử ụ đ ể ứ ă à nh n ậ
d ng/xác th c ng i dùngạ ự ườ c a OS th c hi n nh th n o.ủ ự ệ ư ế à
Xác th c l m t trong ba yêu c u b o v : 3A (Authentication ự à ộ ầ ả ệ –
Authorization – Authentication).
2.2 Các phương thức xác thực
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
2.2 Các phương thức xác thực
Các h th ng xác th c d a v o thông tin ng i dùng bi tệ ố ự ự à ườ ế
Các hệ thống dựa vào mật khẩu
Các hệ thống dựa vào hỏi đáp
Xác thực dựa vào thẻ từ
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
2.2 Các phương thức xác thực
Các h th ng xác th c d a v o c i m c a ng i dùngệ ố ự ự à đặ đ ể ủ ườ
Các hệ thống nhận dạng qua ảnh
Các hệ thống nhận dạng qua vân tay
Nhận dạng qua đặc trưng của chữ ký viết tay
Các hệ thống nhận dạng qua tiếng nói
Các hệ thống nhận dạng qua đặc điểm võng mạc
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
2.2.1 Các hệ thống xác thực dựa vào thông tin
người dùng đã biết
Các h th ng d a v o m t kh uệ ố ự à ậ ẩ : Ng i dùng c nh n d ng ườ đượ ậ ạ
thông qua m t chu i ký t bí m t (m t kh u), ch có ng i dùng v ộ ỗ ự ậ ậ ẩ ỉ ườ à
h th ng bi t. ệ ố ế
Các h th ng d a v o h i ápệ ố ự à ỏ đ : Ng i dùng c nh n d ng, thông ườ đượ ậ ạ
qua vi c tr l i m t t p h p các câu h i m h th ng t ra. Các câu ệ ả ờ ộ ậ ợ ỏ à ệ ố đặ
h i c t riêng cho t ng ng i dùng v ch y u d a v o các ỏ đượ đặ ừ ườ à ủ ế ự à
h m toán h c. H th ng s tính toán các h m n y sau khi nh n à ọ ệ ố ẽ à à ậ
c các giá tr a v o t ng i dùng v so sánh k t qu v i nhau. đượ ị đư à ừ ườ à ế ả ớ
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
2.2.1 Các hệ thống xác thực dựa vào thông tin
người dùng đã biết
Các h th ng d a v o h i ápệ ố ự à ỏ đ : Các h m m u nh sau:à ẫ ư
Các hàm đa thức: (ví dụ, f(x) = x
3
+ x
2
- x + 4): giá trị
của biến x do hệ thống cung cấp, người dùng tính
f(x) và gửi cho hệ thống.
Các hàm dựa vào việc biến đổi chuỗi ký tự: ví dụ,
f(a
1
a
2
a
3
a
4
a
5
) = a
4
a
3
a
5
a
2
a
1
. Khi đó người dùng phải gửi
lại kết quả biến đổi chuỗi ký tự cho hệ thống.
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
2.2.1 Các hệ thống xác thực dựa vào thông tin
người dùng đã biết
Các h th ng d a v o h i ápệ ố ự à ỏ đ :
Các hàm dựa vào các thuật toán mật mã đơn giản: ví
dụ f(E(x)) = E(D(E(x))
2
). Hệ thống cung cấp cho
người dùng giá trị đã mã hóa E(x), người dùng phải
giải mã D(E(x)) sau đó tính hàm bình phương
[D(E(x))]
2
, cuối cùng mã hóa giá trị này E(D(E(x))
2
).
Sau đó người dùng gửi kết quả này tới hệ thống, hệ
thống sẽ kiểm tra kết quả này bằng hàm f.
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
Các h th ng xác th c hai l n b t tayệ ố ự ầ – ắ : h th ng t gi i thi u mình ệ ố ự ớ ệ
v i ng i dùng, còn ng i dùng t xác th c ng c tr l i h th ng. ớ ườ ườ ự ự ượ ở ạ ệ ố
Xác thực hệ thống dựa vào các thông tin chỉ có người
dùng biết (ví dụ, ngày, giờ và đoạn chương trình của
phiên làm việc cuối).
Xác thực người dùng dựa vào mật khẩu.
2.2.1 Các hệ thống xác thực dựa vào thông tin
người dùng đã biết
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
Các h th ng nh n d ng qua nh ệ ố ậ ạ ả
Các h th ng nh n d ng qua vân tayệ ố ậ ạ
Nh n d ng qua c tr ng c a ch ký vi t tay ậ ạ đặ ư ủ ữ ế
Các h th ng nh n d ng qua ti ng nói ệ ố ậ ạ ế
Các h th ng nh n d ng qua c i m võng m c ệ ố ậ ạ đặ đ ể ạ
2.2.2 Các hệ thống xác thực dựa vào
đặc điểm của người dùng
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
Xác th c d a trên User Name v Passwordự ự à
Challenge Handshake Authentication Protocol (CHAP)
Kerberos
Tokens (Th )ẻ
Biometrics (Sinh tr c h c)ắ ọ
Multi-Factor Authentication (Xác th c a nhân t ) ự đ ố
Mutual Authentication (Xác th c l n nhau)ự ẫ
Một số phương thức chứng thực thường dùng
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
Xác th c d a trên User Name v Passwordự ự à
Sự kết hợp của một user name và password là cách xác
thực cơ bản nhất.
Username và password người dùng gõ vào sẽ được so
sánh với username và password được lưu trong CSDL
của hệ thống. Nếu trùng, thì user được xác thực,
ngược lại user bị cấm truy nhập.
Phương pháp này không bảo mật, vì username và
password được gửi đi dưới dạng rõ, không được mã
hoá nên có thể bị lấy trên đường truyền.
Một số phương thức xác thực thường dùng
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
Xác th c b ng ph ng th c CHAP:ứ ằ ươ ứ
(CHAP) cũng là mô hình xác thực dựa trên
username/password.
Khi user cố gắng log on, server đảm nhiệm vai trò
xác thực sẽ gửi một thông điệp thử thách (challenge
message) trở lại máy tính User.
Máy tính User sẽ phản hồi lại user name và password
được mã hóa.
Một số phương thức xác thực thường dùng
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
Xác th c b ng ph ng th c CHAP:ứ ằ ươ ứ
Server xác thực sẽ so sánh phiên bản xác thực User
được lưu giữ với phiên bản mã hóa vừa nhận, nếu
trùng khớp, user sẽ được authenticated. Mật khẩu sẽ
được mã hóa dưới dạng băm.
Thường được sử dụng khi User logon vào các remote
servers của công ty.
Một số phương thức xác thực thường dùng
Trường CĐ CNTT HN
Việt Hàn
Nguyễn Phương Tâm
Xác th c Kerberos:ự
Dùng một Server trung tâm để kiểm tra việc xác thực
user và cấp phát vé thông hành (service tickets) để User
có thể truy cập vào tài nguyên.
Kerberos là một phương thức rất an toàn trong xác thực
bởi vì dùng cấp độ mã hóa rất mạnh. Kerberos cũng dựa
trên độ chính xác của thời gian xác thực giữa Server và
Client Computer.
Kerberos là nền tảng xác thực chính của nhiều OS như
Unix, Windows.
Một số phương thức xác thực thường dùng