Tải bản đầy đủ (.docx) (39 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Ôn tập an toàn bảo mật thông tin trong mạng LAN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (872.99 KB, 39 trang )

1
Câu 1: Trình bày các vấn đề sau:
-Khái niệm tấn công mạng và hành động bảo vệ an toàn mạng.
-Các kiểu tấn công mạng, phân loại các mối đe dọa (active và passive).
-Các dịch vụ an toàn mạng (confidentiality, authentication, integrity, nonrepudiation, access
control, availability).
a) Tấn công mạng: là quá trình sử dụng các công cụ,hình thức để phá hoại 1 hệ thống mạng để ăn cắp
thông tin hoặc gây tổn hại cho hệ thống
-Hành động bảo vệ an toàn mạng:là các hành động nhằm chống lại các hình thức tấn công mạng, bảo vệ
hệ thống mạng bằng 1 số các thao tác nghiệp vụ như mã hóa, authentication… Là các kỹ thuật phát hiện, ngăn
chặn, khôi phục hệ thống bị tấn công. Nhằm tăng cường độ bảo mật của hệ thống.
b)Các kiểu tấn công mang,phân loại các mối đe dọa:
*Kiểu tấn công mạng: Gián đoạn (Interuption), nghe trộm (Interception), thay đổi (modification),
giả mạo (fabrization)
Gián đoạn (interruption)  Tấn công vào tính khả dụng
Ăn cắp thông tin (Interception)  tấn công vào tính bảo mật
Thay đổi (modification)  tấn công vào tính toàn vẹn
Giả mạo (fabrization)  tấn công vào tính xác thực: cho địa chỉ nguồn của gói tin bị thay đổi làm cho có vẻ
như được xuất phát từ một địa chỉ khác
*Phân loại các mối đe dọa:
-Thụ động (passive): nghe trộm, ăn cắp thông tin, phân tích lưu lượng để có được nội dung các
thông điệp, giám sát luồng lưu lượng,không làm sai lệch hoặc hủy hoại nội dung thông tin dữ liệu
được trao đổi. Với kiểu tấn công này thì các bên tham gia không biết là mình đang bị tấn công nhưng
có thể có những biện pháp ngăn chặn hiệu quả
-Chủ động (active): sửa đổi luồng dữ liệu để: giả mạo một thực thể khác, lặp tin, sửa thông tin, từ
chối dịch vụ (DoS)… làm sai lệch nội dung thông tin trao đổi Các bên tham gia biết là bị tấn công
nhưng để ngăn chặn hiệu quả thì khó khăn hơn nhiều
c)Các dịch vụ an toàn mạng:
- Confidentiality:bảo vệ thông tin từ các tấn công thụ động, ngăn chặn để lộ tới các bên trái phép,
- Authentication:chứng thực nguồn gốc thông tin,chống giả danh
- Integrity: đảm bảo tính toàn vẹn dữ liệu,không sửa đổi thay thế, Ngăn chặn sự sai lạc về dữ liệu


- Nonerepudiation:không thể từ chối đã gửi hoặc nhận bản tin
2
- Acccess Control: giới hạn và điều khiển các truy cập host và các ứng dụng của hệ thống, ngăn
chặn những truy cập trái phép tài nguyên hệ thống
- Availability:đảm bảo tài nguyên hệ thống được truy cập theo đúng yêu cầu
Câu 2: Trình bày về mã hóa và mã hóa đối xứng (mã hóa truyền thống):
-Khái niệm mã hóa, tại sao cần mã hóa thông tin.
-Khái niệm mã hóa đối xứng, cơ chế, các thành phần của hệ mã hóa đốixứng.
-Các kiểu tấn công hệ mã hóa đối xứng (ciphertext only, known plaintext,chosen plaintext,
chosen ciphertext).
a)Khái niệm mã hóa,tại sao cần phải mã hóa thông tin:
-Mã hóa: là quá trình chuyển bản rõ thành bản mã, thông thườngbao gồm việc áp dụng thuật toán mã hóa và một số
quá trình xử lýthông tin kèm theo.
- Khi chúng ta tham gia trao đổi thông tin, thì Internet là môi trường không an toàn,đầy rủi ro và
nguy hiểm,Những kẻ tấn công sẽ tìm cách để tấn công vào hệ thống thông tin làm gián đoạn thông
tin, đánh cắp thông tin, sửa đổi thông tin, giả mạo thông tin nhằm phục vụ cho các ý muốn của
chúng như:kiếm tiền, thử sức để mua vui hay quảng bá hình ảnh cá nhân…Không có gì đảm bảo
rằng thông tin mà chúng ta truyền đi không bị đọc trộm trên đường truyền.Do đó mã hóa được áp
dụng như một biện pháp nhằm giúp chúng ta tự bảo vệ chính mình cũng như thông tin mà chúng ta
gửi đi.Bên cạnh đó,mã hóa còn có những ứng dụng khá như là bảo đảm tính toàn vẹn của dữ liệu.
b)Khái niệm mã hóa đối xứng,cơ chế,thành phần hệ mã hóa đối xứng:
-Mã hóa đối xứng: Là kiểu mã hóa hai bên tham gia truyền dữ liệu sử dụng chung một khóa để mã
hóa và giải mã.Là phương pháp mã hóa duy nhất được áp dụng cho đến cuối những năm 1970,có lịch sử
lâu đời và được áp dụng rộng rãi
-Cơ chế:
-Thành phần của hệ mã hóa đối xứng:
-Plaintext :bản tin hoặc dữ liệu gốc
-Encryption algorithm:thuật toán mã hóa-thực hiện các phép biến đổi thay thế hoặc xáo trộn bản tin gốc
-Secret key:khóa bí mật-đẩu vào của thuật toán mã hóa.Việc biến đổi được thực hiện dựa trên khóa này
-Ciphertext:bản tin đã được biến đổi,là đầu ra của thuật toánmã hóa.dựa trên bản tin gốc và khóa

-Decrypion algorithm:thuật toán giải mã-được thực hiệnngược lại với thuật toán mã hóa.Sử dụng bản tin đã mã
hóavà khóa bí mật làm đầu vào và cho ra bản tin gốc
c)Các kiểu tấn công hệ mã hóa đối xứng
Có 2 kiểu tấn công hệ mã hóa đối xứng: Phân tích mã hóa và Tấn công vét cạn (chỉ đi sâu vào tấn
công phân tích mã hóa ):
* Phân tích mã hóa: là quá trình cố gắng phát hiện bản tin gốc hoặc khóa. Có cách kiểu tấn công
phân tích là:
-Ciphertext only- chỉ dùng bản mã: đối phương chỉ có bản tin gốc đã mã hóa, dùng phương pháp
thống kê, xác định bản gốc p
3
-Known plaintext- biết bản tin gốc: đối phương có ciphertext và 1 số cặp p và c khác
-Chosen plaintext: c và một engine biến đổi p-c, Đột nhập được vào máy mã hoá. Tự chọn văn bản p
và mã hoá lấy được văn bản mã c tương ứng.
-Chosen ciphertext: đối phương có c +một engine biến đổi c-p, Đột nhập được vào máy giải mã. Tự
chọn văn bản mã c và giải mã lấy được văn bản p tương ứng
-Chosen text:+Thuật toán mã hóa
+Bản mã được giải mã
+Thông điệp bản rõ được lựa chọn bởi người giải mã,cùng với bản mã tương ứng của nó được tạo ra
với khóa bí mật
+ Mục đích mã hóa được lựa chọn bởi người giải các mật mã, cùng với bản rõ giải mã tương ứng
được tạo ra với khóa bí mật
* Tấn công vét cạn: thử với mọi trường hợp có thể. Phần lớn công sức của các tấn công đều tỉ lệ với
kích thước khóa
Câu 3:Trình bày một số thuật toán mã hóa đối xứng:
- Cấu trúc Feistel và thuật toán DES (Data Encryption Standard).
- Tại sao hiện nay DES không còn an toàn nữa? Trình bày về thuật toán 3DES.
- Thuật toán AES (Advanced Encryption Standard).
a)Cấu trúc Feistel:
- Được phát minh bởi Horst Feistel
-Đầu vào là các khối dữ liệu có kích thước 2w bits ( thông thường là 64 bit) và khóa K

- Khối được chia làm 2 nửa, L0 và R0
- Tại vòng i, đầu vào là Li-1 và Ri-1, được tính từ vòngvtrước, cùng với khóa con Ki
-Khóa K được sử dụng để sinh ra n khóa con(subkey):Ki 1<=i<=n
-Phép thay thế được thực hiện ở nửa trái của khối.
- Hàm F được áp dụng vào nửa phải và sau đó thực hiện XOR với nửa trái.
* Một số yếu tố quyết định độ mạnh yếu của thuật toán mã hóa:
- Block size –kích cỡ khối
- Key Size – kích cỡ của khóa
- Number of rounds – Số vòng
- SubKey Generation- Thuật toán sinh khóa con
- Round function- hàm F
4
*Thuật Toán DES
-Giới thiệu năm 1977, được phê chuẩn vào năm 1994, bởi NBS(NIST)
-Mã hóa theo từng khối 64 bits, khóa 56 bits.
-Bao gồm 16 vòng, mỗi vòng sinh ra các giá trị trung gian để dùng cho các vòng tiếp theo và hai
vòng hoán vị IP, FP
-Giải thuật DES mã hóa các khối 64bít của văn bản gốc thành 64 bit văn bản mật bằng 1 khóa.Khóa
gồm 64bit trong đó 56 bits được dùng mã hóa và 8 bít còn lại được dùng để kiểm soát lỗi.Một khối
dữ liệu cần mã hóa sẽ phải trải qua 3 quá trình xử lý: Hoán vị khởi đầu,tính toán phụ thuộc khóa và
hoán vị đảo ngược hoán vị khởi đầu.
-Chuẩn bị chìa khoá:Bước đầu tiên là chuyển 64 bit chìa khoá qua một bảng hoán vị gọi là Permuted
Choice hay PC-1 để thu được chìa khoá mới có 56 bit.
Sau khi vệc chuẩn bị chìa khoá và dữ liệu mã hoá hoàn thành, thực hiện mã hoá bằng thuật toán
DES. Đầu tiên, khối dữ liệu đầu vào 64 bit được chia thành hai nửa, L và R. L gồm 32 bit bên trái và
R gồm 32 bit bên phải. Quá trình sau đây được lặp lại 16 lần tạo thành 16 vòng của DES gồm 16 cặp
L[0]-L[15] và R[0]-R[15]:
1. R[r-1]- ở đây r là số vòng, bắt đầu từ 1- được lấy và cho qua bảng E (E-bit Selection Table), bảng
này giống như một bảng hoán vị, có điều là một số bit được dùng hơn một lần do vậy nó sẽ mở rộng
R[r-1] từ 32 bit lên 48 bit để chuẩn bị cho bước tiếp theo.

2. 48 bit R[r-1] được XOR với K[r] và được lưu trong bộ nhớ đệm, vì vậy R[r-1] không thay đổi.
3. Kết quả của bước trước lại được chia thành 8 đoạn, mỗi đoạn 6 bit, từ B[1] đến B[8]. Những đoạn
này tạo thành chỉ số cho các bảng S (Substitution) được sử dụng ở bước tiếp theo. Các bảng S, là
một bộ 8 bảng (S[1]-S[8]) 4 hàng, 16 cột. Các số trong bảng có độ dài 4 bit vì vậy có giá trị từ 0 đến
15.
4. Bắt đầu từ B[1], bit đầu và cuối của khối 6 bit được lấy ra và sử dụng làm chỉ số hàng của bảng
S[1], nó có giá trị từ 0 đến 3, và 4 bit giữa được dùng làm chỉ số cột, từ 0 đến 15. Giá trị được chỉ
đến trong bảng S được lấy ra và lưu lại. Việc này được lặp lại đối với B[2] và S[2] cho đến B[8] và
S[8]. Lúc này bạn có 8 số 4 bit, khi nối lại với nhau theo thứ tự thu được sẽ tạo ra một chuỗi 32 bit.
5. Kết quả của bước trước được hoán vị bit bằng bảng hoán vị P (Permutation).
6. Kết quả thu được sau khi hoán vị được XOR với L[r-1] và chuyển vào R[r]. R[r-1] được chuyển
5
vào L[r].
7. Lúc này bạn có L[r] và R[r] mới. Bạn tiếp tục tăng r và lặp lại các bước trên cho đến khi r= 17,
đIều đó có nghĩa là 16 vòng đã được thực hiện và các chìa khoá phụ K[1]-K[16] đã được sử dụng.
Khi đã có L[16] và R[16], chúng được ghép lại với nhau theo cách chúng bị tách ra (L[16] ở bên trái
và R[16] ở bên phải) thành 64 bit. 64 bit này được hoán vị để tạo ra kết quả cuối cùng là dữ liệu 64
bit đã được mã hoá.
-Thuật toán mã hóa DES
b)Tại sao hiện nay DES không còn an toàn nữa?
-Nguyên nhân chủ yếu là độ dài 56 bit của khóa là quá nhỏ. Khóa DES đã từng bị phá trong vòng
chưa đầy 24 giờ
-Tính chất: nếu thay đổi một bit đầu vào hoăc khóa thì đầu ra sẽ thay đổi rất nhiều
-DES có thể bị tấn công vét cạn
-Đã có nhiều nghiên cứu thám mã trên DES. Và đã có 3 thuật toán có thể phá được tình an toàn của
thuật toán(phá mã vi sai, phá mã tuyến tính, phá mã Davies)
*Thuật Toán 3DES
-Thay thế cho DES, sử dụng nhiều lần mã hóa DES lồng nhau với các khóa khác nhau.
-Dùng 3 vòng mã hóa với 3 khóa khác nhau ,3DES tạo nên 1 khóa tổng 168 bits, đủ để vô hiệu hóa
các tấn công vét cạn

-Tương tích với thuật toán của DES
-Nhược điểm của 3DES là tốc độ chậm khi thực thi phần mềm.
-3DES thực ra là mã hóa cùng 1 thông tin qua 3 lần mã hóa DES với 3 khóa khác nhau. Do đó, chiều
dài mã khóa sẽ lớn hơn và an toàn sẽ cao hơn so với DES.
c) Thuật toán AES
- AES chỉ làm việc với khối dữ liệu 128 bít và khóa có độ dài 128, 192 hoặc 256 bít. AES làm việc
với từng khối dữ liệu 4×4 byte
-AES có thể dễ dàng thực hiện với tốc độ cao bằng phần mềm hoặc phần cứng và không đòi hỏi
nhiều bộ nhớ
C = E
K3
[D
K2
[E
K1
[P ]]]
6
-Quá trình mã hóa bao gồm 4 bước:
AddRoundKey — mỗi byte của khối được kết hợp với khóa con, các khóa con này được tạo ra từ
quá trình tạo khóa con Rijndael.
SubBytes — đây là phép thế (phi tuyến) trong đó mỗi byte sẽ được thế bằng một byte khác theo
bảng tra (Rijndael S-box).
ShiftRows — đổi chỗ, các hàng trong khối được dịch vòng.
MixColumns — quá trình trộn làm việc theo các cột trong khối theo một phép biến đổi tuyến tính.
Tại chu trình cuối thì bước MixColumns được thay thế bằng bước AddRoundKey
Câu 4:Trình bày về chế độ mã hóa khối (block cipher) và vấn đề trao đổi khóa:
Khái niệm mã hóa khối, vấn đề của mã hóa khối.
Khái niệm cipher block chaining, tại sao cần sử dụng cipher block chaining.
Vấn đề trao đổi khóa trong mã hóa đối xứng, kỹ thuật sử dụng trung tâm phân phối khóa
(KDC - Key Distribution Center) trong việc quản lý khóa.

a) Khái niệm mã hóa khối, vấn đề của mã hóa khối.
- Khái niệm mã hóa khối: là những thuật toán mã hóa đối xứng hoạt động trên những khối thông tin
có độ dài xác định (block) với những chuyển đổi xác định . mã hóa khối là việc xử lý mã hóa theo
từng khối n bit
-Chia dữ liệu gốc thành các khối đều nhau (thêm phần đệm).
- Vấn đề của mã hóa khối: Quá trình lặp khối nhiều!!!
b)Khái niệm cipher block chaining, tại sao cần sử dụng cipher block chaining.
*Khái niệm Cipher block chaining: ): Tại mỗi phần mã hóa,Khối dữ liệu gốc đầu vào của thuật toán
được thực hiện XOR với khối dữ liệu đầu ra (đã mã hóa) của khối ở bước trước Các khối đầu vào
lặp sẽ có kết quả khác nhau.
* Công dụng của Cipher block chaining:
-Giải quyết được vấn đề của kĩ thuật Electronic Code Book (ECB): lặp khối có thể giảm độ an toàn
của dữ liệu- bằng cách xoring mỗi khối bản thô với khối bản mã trước đó (phản hồi).
-Dùng khi: mã dữ liệu lớn, xác thực
c) Vấn đề trao đổi khóa trong mã hóa đối xứng
Hai bên tham gia truyền thông cần phải chia sẻ khóa bí mật
-Khóa có thể thay đổi thường xuyên
-Cần phải có 1 phương pháp thủ công trao đổi khóa an toàn hoặc thông quakênh thứ 3
* KDC - Key Distribution Center
Phương pháp hiệu quả nhất là sử dụng Trung tâm phân phối khóa – KDC
Khi dó hoạt động của giao thức này được mô tả tổng quát như sau:
+U yêu cầu T(KDC) cung cấp một khóa phiên để có thể truyền thông với V
7
+T sinh ngẫu nhiên khóa phiên gửi EKu(K) cho U và EKv(K) cho V
+U và V sử dụng khóa Ku và Kv của mình để giải mã lấy K
Câu 5:Trình bày về mã hóa và mã hóa bất đối xứng (mã hóa khóa công khai) :
Khái niệm mã hóa, tại sao cần mã hóa thông tin.
Khái niệm mã hóa bất đối xứng, cơ chế, các thành phần của hệ mã hóa bất đối xứng.
Các đặc điểm và yêu cầu của hệ mã hóa bất đối xứng.
a)Khái niệm mã hóa, tại sao cần mã hóa thông tin.

-Mã hóa: là quá trình chuyển bản rõ thành bản mã, thông thườngbao gồm việc áp dụng thuật toán mã hóa và một số
quá trình xử lýthông tin kèm theo.
-Khi chúng ta tham gia trao đổi thông tin, thì Internet là môi trường không an toàn,đầy rủi ro và
nguy hiểm,Những kẻ tấn công sẽ tìm cách để tấn công vào hệ thống thông tin làm gián đoạn thông
tin, đánh cắp thông tin, sửa đổi thông tin, giả mạo thông tin nhằm phục vụ cho các ý muốn của
chúng như:kiếm tiền, thử sức để mua vui hay quảng bá hình ảnh cá nhân…Không có gì đảm bảo
rằng thông tin mà chúng ta truyền đi không bị đọc trộm trên đường truyền.Do đó mã hóa được áp
dụng như một biện pháp nhằm giúp chúng ta tự bảo vệ chính mình cũng như thông tin mà chúng ta
gửi đi.Bên cạnh đó,mã hóa còn có những ứng dụng khá như là bảo đảm tính toàn vẹn của dữ liệu.
b) Khái niệm mã hóa bất đối xứng, cơ chế, các thành phần của hệ mã hóa bất đối xứng.
- Khái niệm: :là 1 dạng mật mã hóa cho phép người dùng trao đổi thông tin mật mà không cần phải
trao đổi các khóa chung bí mật trước đó.Điều này được sử dụng bằng cách sử dụng một cặp khóa có
quan hệ toán học là khóa công khai(public key) và khóa bí mật(private key).Trong 2 khóa, một khóa
dùng để mã hóa và khóa còn lại dùng để giải mã.Điều quan trọng đối với hệ thống là không thể tìm
ra khóa bí mật nếu chỉ biết khóa công khai.Mã hóa bất đối xứng hiệu quả trong các tình huống bảo
mật, phân phối khóa và chứng thực.
- Cơ chế mã hóa bất đối xứng: +User tạo ra 1 cặp khóa
+Công bố công khai khóa P (Public)
+Giữ bí mật khóa Q (private)
+Dữ liệu truyền từ A B nghĩa là A mã hóa dữ liệu bằng P của B; B giải mã bằng khóa Q của A.
- Các thành phần: +Plaintext: bản tin cần mã hóa
+ Encryption algorithm: thuật toán mã hóa
+ Public & Private Key: cặp khóa công khai và bí mật,một cho mã hóa và một cho giải mã
+Ciphertext: mã hóa
+ Decryption algorithm: thuật toán giải mã:tái tạo lại bản mã ban đầu
c)Các đặc điểm và yêu cầu của hệ mã hóa bất đối xứng.
-Sử dụng 2 key (P, R) được mã hóa bởi thuật toán RSA.
-Mỗi object có 1 cặp key (P, Q), công bố một key (P-Public), giữ một key (Q-Private). Khi mã hóa sẽ
dùng public key của người nhận thông tin, trước khi giao dịch, người nhận phải công bố public key
của mình (vào bảng mã công khai), người gửi dùng key này để mã hóa.

-Mật mã bất đối xứng hoạt động chậm hơn phương thức mật mã đối xứng
-Thuận tiện cho người dùng có thể tạo khóa P/Q
-Cho phép bên gửi dễ dàng thực hiện mã hóa bằng P
C= E
P
(M)
-Cho phép bên nhận dễ dàng thực hiện giải mã
M= D
Q
(C) = D
Q
(E
P
(M))
-Không cho phép tính ngược Q từ P
-Không cho phép thực hiện giải mã khi có C và P
8
-Một trong hai khóa có thể dùng để mã hóa và khóa còn lại để giải mã.
Câu 6:Trình bày về thuật toán RSA:
Ý tưởng và các yêu cầu của thuật toán.
Chi tiết về tạo khóa, quá trình mã hóa, giải mã.
Thuật toán trao đổi khóa Diffie-Hellman.
a)Ý tưởng và các yêu cầu của thuật toán.
-Năm 1977, trên báo "The Scientific American", nhóm tác giả Ronald Rivest, Adi Shamir và
Leonard Adleman đã công bố phương pháp RSA.
-Là thuật toán mã hóa khóa công khai được thựcthi và được chấp nhận rộng rãi nhất.
-Là thuật toán mã hóa khối, hoạt động theonguyên tắc sau:
+M và C là các số tự nhiên nằm trong khoảng (0, n-1)với n nào đó.
+M và C thỏa mãn điều kiện sau:
C = Me mod n

M = Cd mod n = (Me)d mod n = Med mod n
+Người gửi và người nhận biết giá trị của n và e,
nhưng chỉ người nhận biết giá trị của d
+Public key: KU = {e,n}
+Private key: KR = {d,n}
- Dựa trên cơ sở tính các luỹ thừa trong số học. Độ an toàn của hệ mật dựa trên độ khó của việc phân
tích thành thừa số nguyên tố của các số nguyên lớn.
-Là thuật toán đầu tiên phù hợp với việc tạo ra chữ ký điện tử đồng thời với việc mã hóa.
-Yêu cầu của RSA: +Có khả năng tìm các giá trị e, d, n sao cho Med = M mod n với mọi M<n
+Có thể tương đối dễ dàng tính toán giá giá trị Me và C cho tất cả các giá trị M<n
+Không có khả năng xác định d khi biết e và n
b)Chi tiết về tạo khóa, quá trình mã hóa, giải mã.
Chọn 2 số nguyên tố lớn và với , lựa chọn ngẫu nhiên(cỡ gần 100 chữ số) và độc lập.
-Tính: .
-Tính: giá trị hàm số Ơle .
-Chọn một số tự nhiên e sao cho và là số nguyên tố cùng nhau với
-Tính: d sao cho .
-Khóa công khai là:Pu{e,n}
-Khóa bí mật là:Pr{d,n}
*Thuật toán mã hoá và giải mã
+ Mã hoá
Bước 1: nhận khoá công khai c
Bước 2: biểu diễn thông tin cần gửi thành số m (0 <= m <= n-1)
Bước 3: Tính
Bước 4: Gửi c .
+ Giải mã: nhận c và biết khóa bí mật d. giải mã bằng cách:
c) Thuật toán trao đổi khóa Diffie-Hellman:
9
-Thuật toán này tạo ra cơ chế giúp cho 2 bên có thể thống nhất được khóa bí mật sau một số bước.
-Công khai chọn:

+Chọn số nguyên tố q
+Chọn số
α
< q và là căn nguyên thủy của q.
+Bên A: Chọn 1 số bí mật X
A
< q; Chọn số Y
A =
(
α
XA
) mod q
+Bên B: Chọn 1 số bí mật X
B ;
Chọn số Y
B =
(
α
XB
) mod q
+K = (Y
B
XA
mod q) = (Y
A
XB
mod q)
Y
B
XA

= (
α
XB
mod q)
XA
=
α
XB.XA
mod q
Y
A
XB
= (
α
XA
mod q)
XB
=
α
XA.XB
mod q
Câu 7:Trình bày về kỹ thuật chứng thực (authentication):
-Khái niệm, tại sao cần phải chứng thực thông tin.
-Kỹ thuật chứng thực bằng mã chứng thực (authentication code), tạo mã chứng thực bằng
hàm hash.
-Thực hiện chứng thực bằng mã hóa đối xứng và mã hóa bất đối xứng
a)Khái niệm chứng thực thông tin
*Chứng thực
–Xác nhận đối tượng truyền thông
-Xác minh nguồn gốc chính xác

-Chứng thực là quy trình cho phép các bên tham gia truyền thông có thể xác minh bản tin nhận được
là xác thực.
-Đặc điểm:
+ Xác thực nguồn gốc – chống giả dạng
+Nội dung không đổi – chống thay đổi bản tin
+Xác minh thời gian – chống gửi lặp
-Cơ chế chứng thực: + Thêm vào dữ liệu 1 thẻ chứng thực
+ Bên nhận tiến hành tiếp nhận dữ liệu gốc và thẻ độc lập
+ Tính lại thẻ, so sánh và phát hiện sự thay đổi
*Cần phải chứng thực thông tin vì: Chứng thực là để xác minh nguồn gốc của thông tin, đảm bảo
đúng người gửi, thông tin toàn vẹn.
b) Kỹ thuật chứng thực bằng mã chứng thực (authentication code), tạo mã chứng thực bằng hàm
hash.
Kỹ thuật chứng thực bằng mã chứng thực (authentication code) MAC
– Sử dụng khóa bí mật để tạo ra một khối nhỏ dữ liệu và gắn vào cuối bản tin
-Giả sử: A và B chia sẻ một khóa bí mật chung KAB
MACM = F(KAB,M)
-Bên nhận tin chắc rằng bản tin không bị thay đổi so với bản gốc
-Bên nhận chắc chắn rằng bản tin được gửi đi từ đúng người gửi – không giả dạng
-Mã chứng thực bao gồm số trình tự -> đảm bảo thứ tự đúng đắn, không gửi lặp
-Sử dụng DES để mã hóa, chọn lấy 1 số bit làm mã chứng thực
-Không cần tính ngược
-Mã kiểm tra tổng
*Tạo mã chứng thực bằng hàm hash.
10
-Hàm hash chấp nhận đầu vào là 1 bản tin có độ dài bất kỳ, và cho ra một mã bản tin có độ dài cố
định H(M)
-Không dùng khóa bí mật cho đầu vào
-Mã bản tin được gửi kèm với bản tin để chứng thực
-Được xem như ‘’vân tay’’ của bản tin

-Dễ tính toán xuôi, biết M -> tính H(M)
-Khó tính ngược, cho H(M) ko tính đc M
-Khó tìm được M1 # M2 sao cho H(M1) = H(M2)
Giảm việc tính toán vì không phải mã hóa toàn bộ bản tin
-Yêu cầu của hàm băm
1.H có thể áp dụng cho khối dữ liệu có kích thước bất kỳ
2.H có kết quả đầu ra có kích thước cố định
3.H(x) tương đối dễ tính toán
4.Với mã h cho trước,không khả thi về mặt tính toán để tìm x sao cho H(x)=h
5.Với mỗi khối x bất kỳ,không khả thi về mặt tính toán để tìm y khác x sao cho H(y)=H(x)
6.Không khả thi vè mặt tính toán để tìm cặp (x,y) sao cho H(x)=H(y)
c)Thực hiện chứng thực bằng mã hóa đối xứng và mã hóa bất đối xứng
-Chứng thực với mã hóa đối xứng
+Thực hiện mã hóa và giải mã với khóa bí mật
-Chứng thực với mã hóa công khai
+ Mã hóa = khóa bí mật, giải mã = khóa công khai
+ Chứng thực khóa công khai là một chứng thực sử dụng chữ ký số để gắn một khóa công khai với
một thực thể (cá nhân, máy chủ hoặc công ty ). Một chứng thực khóa công khai tiêu biểu thường
bao gồm khóa công khai và các thông tin (tên, địa chỉ ) về thực thể sở hữu khóa đó. Chứng thực
điện tử có thể được sử dụng để kiểm tra một khóa công khai nào đó thuộc về ai.
Câu 8: Trình bày về thuật toán SHA:
-Các yêu cầu và đặc điểm của 1 thuật toán hash.
-Trình bày thuật toán SHA-1: Ý tưởng, các bước thực hiện.
-Thuật toán HMAC.
a)Các yêu cầu và đặc điểm của 1 thuật toán hash.
-Yêu cầu của hàm băm
1.H có thể áp dụng cho khối dữ liệu có kích thước bất kỳ
2.H có kết quả đầu ra có kích thước cố định
3.H(x) tương đối dễ tính toán
4.Với mã h cho trước,không khả thi về mặt tính toán để tìm x sao cho H(x)=h

11
5.Với mỗi khối x bất kỳ,không khả thi về mặt tính toán để tìm y khác x sao cho H(y)=H(x)
6.Không khả thi vè mặt tính toán để tìm cặp (x,y) sao cho H(x)=H(y)
*Đặc điểm
-Hàm hash chấp nhận đầu vào là 1 bản tin có độ dài bất kỳ, và cho ra một mã bản tin có độ dài cố
định H(M)
-Không dùng khóa bí mật cho đầu vào
-Mã bản tin được gửi kèm với bản tin để chứng thực
-Được xem như ‘’vân tay’’ của bản tin
-Dễ tính toán xuôi, biết M -> tính H(M)
-Khó tính ngược, cho H(M) ko tính đc M
-Khó tìm được M1 # M2 sao cho H(M1) = H(M2)
b) Trình bày thuật toán SHA-1: Ý tưởng, các bước thực hiện
*Ý tưởng:-Phát triển bởi NIST vào năm 1995
-Đầu vào kích thước nhỏ hơn 264 bit được xử lý dưới dạng các khối 512-bit
-Đầu ra là mã hash 160-bit
*Các bước thực hiên
1. Thêm bit đệm cho đủ chẵn khối 512 bit (trừ 64 bit cho phần lưu độ dài message)
2. Thêm 64 bit lưu độ dài ban đầu của message (chính vì vậy mà dữ liệu đầu vào giới hạn ở 264 bits)
3. Khởi tạo vùng đệm MD để lưu kết quả trung gian và kết quả hash cuối cùng. Vùng đệm này gồm
5 thanh ghi 32 bits với giá trị khởi tạo cho trước
A = 67452301; B = EFCDAB89; C = 98BADCFE; D = 10325476; E = C3D2E1FO
4. Xử lý dữ liệu theo các khối 512 bits (16WORD). Đầu ra là các khối 160 bits
5. Đưa kết quả đầu ra
c)Thuật toán HMAC.
-Lý do phát triển
+ Nỗ lực phát triển một thuật toán tạo mã chứng thực từ một hàm băm mã hóa.
+Thực thi nhanh hơn dưới dạng phần mềm
+Giải quyết một số vấn đề luật pháp do các hàm băm không bị ràng buộc về luật như các thuật toán
mã hóa thông thường

-HMAC hoạt động dựa trên khóa bí mật
-Ứng dụng HMAC
+ Sử dụng trong IP SEC và SSL
+Sử dụng cho cả mục đích toàn vẹn dữ liệu và chứng thực nguồn gốc
-Mục tiêu khi thiết kế HMAC (RFC 2104)
+Tận dụng nguyên vẹn các ưu điểm của hàm băm vốn đã được triển khai rất tốt trong các thư viện
phần mềm và được phổ biến rộng rãi
+Cho phép linh động thay thế các hàm băm tích hợp khi có các yêu cầu về tốc độ hay bảo mật
+Duy trì hiệu năng ổn định của các hàm băm
+Quản lý và sử dụng đơn giản
+ Đảm bảo tính an toàn xác thực dựa trên mức an toàn đã được công nhận từ các hàm băm
*Mô tả thuật toán HMAC
-H:hàm băm tích hợp trong HMAC
-M:bản tin đầu vào(bao gồm cả phần đệm theo yêu cầu của hàm băm)
12
-Yi :khối thứ I của M ,0<i<(L-1)
-L:tổng số khối trong M
-b:số bit trong 1 khối
-n:số bít đầu ra của hàm băm tích hợp
-K:khóa bí mật
-K+ =K đệm bằng số không ở bên trái để được b bít
-ipad =00110110{36}lặp b/8 lần(b bít)
Si:Khối input,So :khối output
Câu 9:Trình bày về chữ ký số (Digital Signature):Khái niệm, tạo và sử dụng chữ ký số bằng kỹ
thuật mã hóa bất đối xứng.Khái niệm chứng chỉ số (Digital Certificate), tại sao cần có chứng
chỉ số.Quá trình xác minh chữ ký số thông qua chứng chỉ số.
a)Khái niệm, tạo và sử dụng chữ ký số bằng kỹ thuật mã hóa bất đối xứng.
-Chữ ký số : Là một thể chứng thực được mã hóa bởi khoá bí mật của người gửi. Chữ ký số là thông
tin đi kèm theo dữ liệu (văn bản, hình ảnh, video ) nhằm mục đích xác định người chủ của dữ liệu
đó.

-Chữ ký số khóa công khai là mô hình sử dụng các kỹ thuật mật mã để gắn với mỗi người sử dụng
một cặp khóa công khai - bí mật và qua đó có thể ký các văn bản điện tử cũng như trao đổi các thông
tin mật. Khóa công khai thường được phân phối thông qua chứng thực khóa công khai. Quá trình sử
dụng chữ ký số bao gồm 2 quá trình: tạo chữ ký và kiểm tra chữ ký.
-Tạo chữ ký số: bằng kỹ thuật mã hóa bất đối xứng): Chữ ký điện tử được tạo ra bằng cách áp dụng
thuật toán băm một chiều trên văn bản gốc để tạo ra bản phân tích văn bản (message digest) hay còn
gọi là fingerprint, sau đó mã hóa bằng private key tạo ra chữ ký số đính kèm với văn bản gốc để gửi
đi. Khi nhận, văn bản được tách làm 2 phần, phần văn bản gốc được tính lại fingerprint để so sánh
với fingerprint cũ cũng được phục hồi từ việc giải mã chữ ký số
13
*Các bước mã hóa:
1. Dùng giải thuật băm để thay đổi thông điệp cần truyền đi. Kết quả ta được một message digest.
Dùng giải thuật MD5 (Message Digest 5) ta được digest có chiều dài 128-bit, dùng giải thuật SHA
(Secure Hash Algorithm) ta có chiều dài 160-bit.
2. Sử dụng khóa private key của người gửi để mã hóa message digest thu được ở bước 1. Thông
thường ở bước này ta dùng giải thuật RSA. Kết quả thu được gọi là digital signature của message
ban đầu.
3. Gộp digital signature vào message ban đầu. Công việc này gọi là “ký nhận” vào message. Sau khi
đã ký nhận vào message, mọi sự thay đổi trên message sẽ bị phát hiện trong giai đoạn kiểm tra.
Ngoài ra, việc ký nhận này đảm bảo người nhận tin tưởng message này xuất phát từ người gửi chứ
không phải là ai khác.
*Các bước kiểm tra:
1. Dùng public key của người gửi (khóa này được thông báo đến mọi người) để giải mã chữ ký số
của message.
2. Dùng giải thuật (MD5 hoặc SHA) băm message đính kèm.
3. So sánh kết quả thu được ở bước 1 và 2. Nếu trùng nhau, ta kết luận message này không bị thay
đổi trong quá trình truyền và message này là của người gửi.
b)Khái niệm chứng chỉ số (Digital Certificate), tại sao cần có chứng chỉ số.
-Khái niệm chứng chỉ số : Chứng nhận khóa public thuộc về chủ nhân của khóa. Chứng chỉ số bao
gồm khóa public, thông tin người sử dụng (mã số, tin), và chữ ký của bên thứ 3 tin cậy.

+Chứng chỉ số (digital certificate): Đoạn nội dung (chứa thông tin cá nhân và khoá công khai của
người sở hữu) có đính kèm chữ ký số của hệ thống phát hành cặp khoá được gọi là chứng chỉ số
(digital certificate) của người sở hữu cặp khoá
*Tại sao cần có chứng chỉ số : Ngày nay, việc giao tiếp qua mạng Internet đang trở thành một nhu
cầu cấp thiết. Các thông tin truyền trên mạng đều rất quan trọng, như mã số tài khoản, thông tin
mật
Tuy nhiên, với các thủ đoạn tinh vi, nguy cơ bị ăn cắp thông tin qua mạng cũng ngày càng gia
tăng.Do vậy, để bảo mật, các thông tin truyền trên Internet ngày nay đều có xu hướng được mã hoá.
Với chứng chỉ số, người sử dụng có thể mã hoá thông tin một cách hiệu quả, chống giả mạo (cho
phép người nhận kiểm tra thông tin có bị thay đổi không), xác thực danh tính của người gửi. Ngoài
ra chứng chỉ số còn là bằng chứng giúp chống chối cãi nguồn gốc, ngăn chặn người gửi chối cãi
nguồn gốc tài liệu mình đã gửi.
c)Quá trình xác minh chữ ký số thông qua chứng chỉ số.
-Khi có chứng chỉ số, ta có được khoá công khai của người giao dịch, khoá công khai này được đính
kèm với thông tin cá nhân (tên, số nhân dạng có nhân, chức vụ, đơn vị công tác, và một số thông
tin khác) của người giao dịch
14
-Việc chứng thực rằng khoá công khai này là hợp lệ và là đại diện cho người tham gia giao dịch
được chứng thực bởi hệ thống CA
-Tất cả các bên giao dịch muốn kiểm tra tính đúng đắn, hợp lệ về nội dung của chứng chỉ số đều xuất
phát từ việc tin cậy vào chữ ký số của CA trên chứng chỉ số (điều này cũng hoàn toàn tự nhiên như
khi ta xem xét 1 chứng minh thư nhân dân để tin cậy vào một cá nhân, ta tin cậy vào chữ ký và dấu
của người ký chứng minh thư đó)
Câu 10:Trình bày về IP Security (IPSec):Khái niệm, tại sao cần có IPSec, các ứng dụng và lợi
ích của IPSec.Kiến trúc IPSec, các giao thức trong IPSec.Các dịch vụ an toàn được cung cấp
bởi các giao thức trong IPSec.
a)Khái niệm, tại sao cần có IPSec, các ứng dụng và lợi ích của IPSec.
-Khái niệm: IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền
thông tin trên nền tảng Internet Protocol (IP). Bao gồm xác thực và/hoặc mã hoá cho mỗi gói IP (IP
packet) trong quá trình truyền thông tin. IPsec cũng bao gồm những giao thức cung cấp cho mã hoá

và xác thực
-Tại sao cần có IPSec: : IPSec đóng vai trò quan trọng trong đảm bảo an toàn và bảo mật thông tin
định tuyến:
+Chứng thực router: Router advertisement đến từ router được chứng nhận
+Chứng thực lân cận: Neighbor advertisement đến từ router được chứng nhận
+ Đảm bảo gói tin được chuyển tiếp từ router trước đó gói tin chuyển đến.
+ Các cập nhật về tuyến không bị giả mạo
+Chống lại các hành động làm tổn hại hệ thống hoặc sai lệchlưu lượng.
-Ứng dụng của IPSec:
+ Kết nối an tòan các mạng con qua môi trường Internet
+ Truy cập từ xa an toàn qua Internet
+ Tăng cường an ninh thương mại điện tử
+Thiết lập các mạng extranet và intranet với các đối tác
-Lợi ích của IPSec:
+ Cung cấp dịch vụ an toàn cao cho các dịch vụ
+ Nằm dưới tầng giao vận (TCP, UDP) -> thể hiện tính trong suốt với ứng dụng, và trong suốt với
người sử dụng cuối. -> không phải thay đổi ứng dụng hoặc hệ thống khi áp dụng IPSec trên router
hoặc firewall,không cần đào tạo cho người dùng về các cơ chế, kỹ thuật
+ Cung cấp dịch vụ an toàn cho người sử dụng cuối, bảo vệ cơ sở hạ tầng mạng từ việc xâm nhập
trái phép, điều khiển tắc nghẽn mạng.
+Đảm bảo an toàn cho tất cả lưu lượng khi đi quavùng mạng được bảo vệ
+Có thể triển khai đến tận người dùng, đầu cuối (ví dụ nhân viên làm việc xa cơ quan, VPN )
b)Kiến trúc IPSec, các giao thức trong IPSec.
-Kiến trúc của IPSec
+ Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình OSI
+Giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này.
IPsec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của mô
hình OSI. Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt
buộc sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng
dụng đó sẽ bị thay đổi lớn.

+ IPsec được triển khai (1)sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm
bảo mật gói tin trong quá trình truyền, (2) phương thức xác thực và (3) thiết lập các thông số mã hoá.
15
+ Xây dựng IPsec sử dụng khái niệm về bảo mật trên nền tảng IP. Một sự kết hợp bảo mật rất đơn
giản khi kết hợp các thuật toán và các thông số (ví như các khoá – keys) là nền tảng trong việc mã
hoá và xác thực trong một chiều. Tuy nhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ
làm việc với nhau và đáp ứng quá trình giao tiếp. Thực tế lựa chọn các thuật toán mã hoá và xác thực
lại phụ thuộc vào người quản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng
mã hoá và xác thực cho mỗi gói tin IP.
-IPSec gồm có 2 giao thức cung cấp dịch vụ an toàn dữ liệu
+ AH (Authentication Header): cung cấp dịch vụ chứng thực thông tin và toàn ven dữ liệu
+ ESP (Encapsulation Security Payload): cung cấp dịch vụ bảo mật dữ liệu và có thể cung cấp thêm
dịch vụ toàn vẹn dữ liệu.
AH ESP ESP (+ Authen)
Toàn vẹn x x
Nguồn gốc thông tin x x
Chống tấn công lặp x x x
Bảo mật x x
c)Các dịch vụ an toàn được cung cấp bởi các giao thức trong IPSec.
-IPSec cung cấp dịch vụ an toàn cho dữ liệu IP là:
+Kiểm soát truy cập (Access control
+ Đảm bảo tính toàn vẹn
+ Xác thực nguồn gốc
+Chống lặp
+Đảm bảo tính bí mật
-Làm cho hệ thống có thể:
+ Lựa chọn các giao thức an toàn AH, ESP
+ Xác định thuật toán sử dụng trong giao thức trên
+ Thiết lập các thông số, các tham số an toàn trên khóa
Câu 11Trình bày về Security Association (SA) trong IP Security:

Khái niệm SA, tại sao cần SA, đặc điểm của SA.
Khái niệm Security Association Database (SAD) và Security Policy Database (SPD), SAD và
SPD được sử dụng như thế nào.
Cấu trúc và ý nghĩa các trường trong SAD và SPD.
a)Security Association (SA)
-SA là mối quan hệ 1 chiều giữa người gửi và người nhận, nhằm định nghĩa các tham số dịch vụ an
toàn cho dữ liệu
-Các thông số được lưu trong 2 CSDL:
+SA Database: Lưu giữ tham số SA.Nắm giữ thông tin liên quan đến mỗi SA. Thông tin này bao
gồm thuật toán khóa, thời gian sống của SA, và chuỗi số tuần tự
+Security policy Database: nắm giữ thông tin về các dịch vụ bảo mật kèm theo với một danh sách
thứ tự chính sách các điểm vào và ra, những điểm truy cập này định nghĩa lưu lượng nào được xử lý
và lưu lượng nào bị từ chối theo từng chuẩn của IPSec. Nó cũng cho biết dữ liệu đến được xử lý như
thế nào, phương án xử lý dữ liệu
*Tại sao cần SA
-Security association (SA) là sự thiết lập thông tin bảo mật chung giữa 2 thực thể mạng để hỗ trợ
truyền thông an toàn. Một SA có thể bao gồm cryptographic keys, initialization vectors hay digital
certificates.
16
-SA là một kết nối đơn công và logic. Kết nối đó xác thực và cung cấp một kết nối dữ liệu an toàn
giữa các thiết bị mạng. Một SA là một nhóm logic của các tham số bảo mật mà làm giảm nhẹ việc
chia sẻ thông tin tới mộtthựcthểkhác.
*Đặc điểm:
-Được định danh duy nhất bởi:
+Destination IP address – địa chỉ IP đích của SA (hệ thống cuối hoặc firewall/router)
+Security protocol – SA là dành cho AH hoặc ESP. Định nghĩa kích thước khóa, thời gian sống, các
thuật toán mã hóa (transforms)
+Security parameter index (SPI) – chuỗi bit có mục đích cung cấp cho bên nhận biết cần phải lựa
chọn SA nào bên nhận để xử lý thông tin đến.
-SA là đơn hướng

-SA định nghĩa các thao tác trong truyền thông trên 1 hướng
-Truyền thông 2 hướng cần 1 cặp SA (ví dụ kênh an toàn)
-Hai SAs sử dụng chung một số tham số, nhưng sử dụng 2 bộ khóa khác nhau
-Mỗi hệ thống IPSec có một CSDL SA Security Association Database (SAD)
-SAD định nghĩa các tham số gắn với mỗi SA
-SAD chứa các cặp SA, vì mỗi SA chỉ có một chiều
b)Security Association Database (SAD) và Security Policy Database (SPD)
*Security Association Database (SAD)
-Với mỗi cài đặt IPSec có một Security Association Database (SAD)
-SAD xác định các tham số liên kết với mỗi SA. Nắm giữ thông tin liên quan đến mỗi SA. Thông tin
này bao gồm thuật toán khóa, thời gian sống của SA, và chuỗi số tuần tự
-SAD lưu trữ các cặp SA, bởi vì các SAs là đơn hướng
-Thông số bản ghi SAD
+Sequence number counter: 32 bit sử dụng để tạo Sequence number cho AH hoặc ESP
+Sequence counter overflow: cờ cho biết trạng thái overflow của giá trị counter
+Anti-replay window: được dùng để xác định các gói tin AH hoặc ESP có phải là gói gửi lại ko
+AH information: thông tin AH như thuật toán, khóa
+ESP information: thông tin của ESP như thuật toán, khóa
+Lifetime: thời gian tồn tại của SA trước khi tạo một SA khác
+IPSec protocol mode: kiểu giao thức như tunnels, transport
+Path MTU: kích thước gói tin lớn nhất
*SPD(Security policy database)
-Cung cấp sự linh hoạt trong việc áp dụng các dịch vụ IPSec cho lưu lượng IP
-Có thể phân biệt giữa lưu lượng được áp dụng sự bảo vệ của IPSec và lưu lượng được bỏ qua bởi
IPSec
-Security Policy Database (SPD) là phương tiện để kết nối lưu lượng IP với các SA tương ứng
-Mỗi bản ghi định nghĩa 1 tập con của lưu lượng IP và trỏ tới 1 SA cho phần lưu lượng đó
-Những bộ lọc này được dùng để lọc lưu lượng ra nhằm ánh xạ nó vào 1 SA cụ thể
-Các trường trong SPD
+Destination IP address

+Source IP address
+User ID: người dùng IPSec (trường hợp hoạt động trong môi trường hệ điều hành)
+Data sensitivity level: hai giá trị secret hoặc unclassified
+Transport layer protocol: trích từ header IP (v4 hoặc v6)
17
+IPSec protocol – AH hoặc ESP hoặc AH/ESP
+Source and destination ports
+IPv6 class: trích từ IPv6 header
+IPv6 flow label: trích từ IPv6 header
IPv4 type of service (TOS): trích từ IPv4 header
-Xử lý gói tin đi ra:
+So sánh các trường trong gói tin để tim bản ghi SPD khớp
+Xác định SA và chỉ số SPI tương ứng
+Thực hiện các xử lý IPSec cần thiết
Câu 12Trình bày về chế độ Transport và Tunnel trong IP Security:
Khái niệm và đặc điểm của chế độ Transport và Tunnel.
Phạm vị áp dụng của AH và EPS trong chế độ Transport và Tunnel.
Khi nào sử dụng chế độ Transport hay Tunnel.
a)Khái niệm:
-Transport – bảo vệ dữ liệu của giao thức tầng trên (không bảo vệ tiêu đề, chỉ bảo vệ dữ liệu)
-Tunnel – bảo vệ toàn bộ gói tin (kể cả tiêu đề)
*Các chế độ hoạt động của IPSec (IPSec model) 2 chế độ:
* Transport:
+Bảo vệ toàn bộ phần dữ liệu của gói tin IP
+Thường sử dụng trong truyền end – to – end
+Các giao thức tầng trên chủ yếu: TCP, UDP, ICMP
+Với AH hay ESP thì payload là dữ liệu theo tiêu đề IP header (IPv4) và phần mở rộng của IPv6
+Mã hóa hay xác thực dữ liệu, nhưng không phải IP header
* Tunnel:
+Bảo vệ toàn bộ gói tin

+Thêm vào gói IP mới một tiêu đề mới: toàn bộ gói tin cũ được xem như dữ liệu
+Gói tin được xem như chuyển qua đường hầm từ điểm tới điểm trên mạng
+Các trường AH hay ESP được bổ sung tới gói IP và toàn bộ gói được xử lý như dữ liệu
b)Phạm vi sử dụng:
Transport model Tunnel model
AH Chứng thực phần dữ liệu IP, các phần
được chọn của tiêu đề IP và các tiêu
đề mở rộng IPv6
Chứng thực toàn bộ gói tin cũ và một
phần tiêu đề mới
ESP Mã hóa phần dữ liệu IP và bất kỳ
phần tiêu đề mở rộng của IPv6 nào
theo tiều đề ESP
Mã hóa toàn bộ gói tin cũ
ESP Authentication Mã hóa phần dữ liệu. Chứng thực
phần dữ liệu (không có tiêu đề)
Mã hóa và trứng thực toàn bộ gói tin

c)
18
Câu 13:Trình bày về giao thức AH trong IP Security:
Khái niệm AH, các dịch vụ an toàn cung cấp bởi AH, lợi ích của AH.
Cách áp dụng AH vào gói tin IP, cấu trúc tiêu đề AH, ý nghĩa các trường.
Kỹ thuật chống tấn công gửi lặp bằng cửa sổ chống gửi lặp (anti-replay window).
a) Khái niệm AH: AH (Authentication Header) là một trong những giao thức bảo mật, cung cấp tính
năng đảm bảo toàn vẹn packet headers và data, xác thực nguồn gốc dữ liệu. Giao thức AH không có
tính năng mã hoá dữ liệu.
*Các dịch vụ an toàn cung cấp bởi AH :
-Cung cấp dịch vụ toàn vẹn dữ liệu và chứng thực cho gói tin IP
-Có thể phát hiện ra các thay đổi dữ liệu trong quá trình truyền

-Chứng thực người dùng hoặc ứng dụng, qua đó thực hiện lọc lưu lượng tương ứng
-Ngăn chặn các tấn công giả mạo địa chỉ
-Bảo vệ, chống lại tấn công gửi lặp
*Lợi ích của AH:Tiêu đề đơn giản
b).Cách áp dụng AH vào gói tin IP :
-AH có 2chế độ là : Transport và Tunnel
IP header TCP Data
*Chế độ Transport :
- IPv4: AH được chèn vào ngay sau IP header nguyên bản
- IPv6: AH được xem như một phần dữ liệu IP (tiêu đề mở rộng)
IPHeader AH TCP Data
*Tunnel mode:
- Toàn bộ gói tin IP được chứng thực
-AH được thêm vào sau ip header mới
New IPheader AH IPHeader TCP Data
*Cấu trúc tiêu đề AH , ý nghĩa các trường :
19
-Next Header : Trường này dài 8 bits , chứa chỉ số giao thức IP. Trong Tunnel Mode, Payload là gói
tin IP , giá trị Next Header được cài đặt là 4. Trong Transport Mode , Payload luôn là giao thức
Transport-Layer. Nếu giao thức lớp Transport là TCP thì trường giao thức trong IP là 6. Nếu giao
thức lớp transport là UDP thì trường giao thức trong IP là 17.
-Payload Length : Trường này chứa chiều dài của AH Header.
-Reserved : giá trị này được dành để sử dụng trong tương lai ( cho đến thời điểm này nó được biểu
thị bằng các chỉ số 0).
-Security parameter Index (SPI) : mỗi đầu cuối của mỗi kết nối IPSec tuỳ ý chọn giá trị SPI. Hoạt
động này chỉ được dùng để nhận dạng cho kết nối. Bên nhận sử dụng giá trị SPI cùng với địa chỉ IP
đích và loại giao thức IPSec (trường hợp này là AH) để xác định chính sách SA được dùng cho gói
tin (Có nghĩa là giao thức IPSec và các thuật toán nào được dùng để áp cho gói tin).
-Sequence Number : chỉ số này tăng lên 1 cho mỗi AH datagram khi một host gửi có liên quan đến
chính sách SA. Giá trị bắt đầu của bộ đếm là 1. chuỗi số này không bao giờ cho phép ghi đè lên là 0.

-Authentication Data: Trường này chứa kết quả của giá trị Integrity Check Value (ICV). Trường này
luôn là bội của 32-bit (từ) và phải được đệm vào nếu chiều dài của ICV trong các bytes chưa đầy.
3.Kỹ thuật chống tấn công gửi lặp bằng cửa sổ chống gửi lặp (anti-replay window) :
*Tấn công gửi lặp:
– Bắt giữ 1 bản sao của gói tin đã được chứng thực và sau đó gửi lặp lại gói tin đến nút đích.
-Mục đích là làm tổn hại dịch vụ
-Số trình tự được dùng để ngăn chặn kiểu tấn công này
*Quá trình chống tấn công gửi lặp :
Bên gửi khởi tạo bộ đếm số trình tự về 0 và tăng lên 1 mỗi khi có 1 gói tin được gửi
+Khi số trình tự tăng đến 2mũ32, thay SA mới
+IP là giao thức không kết nối, dịch vụ không tin cậy
+Bên nhận duy trì dữ liệu nhận qua một “cửa sổ” có kích thước W với cạnh phải của cửa sổ là N, số
trình tự lớn nhất đã nhận được cho đến thời điểm hiện tại.
+Nếu gói tin nhận được nằm trong cửa sổ và là gói tin mới, -> kiểm tra chứng thực, nếu đạt yêu cầu
-> đánh dấu vào ô
+Nếu gói tin nhận được nằm về bên phải cửa sổ, thực hiện kiểm tra chứng thực và dịch chuyển cửa
sổ lên vị trí mới là số trình tự gói tin mới
+Nếu gói tin nhận được nằm về bên trái cửa sổ, hoặc chứng thực không đạt -> hủy gói tin và đánh
dấu sự việc.
Câu 14:Trình bày về giao thức ESP trong IP Security:
Khái niệm ESP, các dịch vụ an toàn cung cấp bởi ESP.
Cách áp dụng ESP vào gói tin IP, cấu trúc tiêu đề ESP, ý nghĩa các trường.
Giá trị mã chứng thực (ICV - Integrity Check Value) trong ESP (và AH) được tạo như thế nào
20
a)Khái niệm:
-ESP là giao thức IPSec cung cấp tính bảo mật, toàn vẹn dữ liệu, và chứng thực nguồn dữ liệu các
gói tin IP, nó cũng cung cấp chức năng bảo vệ chống lại các cuộc tấn công replay
+ Cơ chế hoạt động của nó là chèn một tiêu đề mới — tiêu đề ESP —vào sau một tiêu đề IP (và bất
kỳ tuỳ chọn IP nào) và trước dữ liệu được bảo vệ, dành cho cả giao thức tầng trên và bó dữ liệu IP
toàn phần.

*Các dịch vụ an toàn :
+ Cung cấp dịch vụ bảo mật
+ Bảo mật nội dung bản tin và bảo mật chống lại việc phân tích thông tin
+Cung cấp dịch vụ chứng thực
b)Cách áp dụng gói tin ESP vào gói tin IP:
-ESP không bảo vệ tiêu đề của gói tin IP. ESP hoạt động trực tiếp trên đầu IP bằng cách sử dụng giao
thức IP.
-ESP cung cấp tính năng bảo mật bằng cách sử dụng các thuật toán mã hóa khóa đối xứng như DES,
3DES và AES. Các khối mã hóa 64-bit của tin nhắn gốc có thể được móc nối lại với nhau bằng cách
sử dụng phương pháp móc xích khối mã hóa (CBC) hoặc CFB. Biện pháp này đạt khả năng chống
replay và bảo vệ tính toàn vẹn dữ liệu lớn hơn.
-ESP xác định một tiêu đề chứng thực được lập sẵn, dưới dạng một HMAC có khóa. HMAC này
được chèn vào phần tiêu đề ESP để cung cấp dịch vụ bảo vệ tính toàn vẹn và chứng thực dữ liệu cho
lưu lượng xử lý ESP. IPsec có tất cả các thành phần cần thiết cho việc xây dựng một HMAC như
một khóa bí mật được chia sẻ (thường được chia sẻ thông qua giải pháp trao đổi Diffie-Hellman),
một hàm băm (IPsec RFC tiếp nhận MD 5 và SHA-1), và đầu vào tin nhắn cố định.
*Cấu trúc tiêu đề ESP và ý nghĩa các trường :
21
ESP thêm một header và Trailer vào xung quanh nội dung của mỗi gói tin. ESP Header được cấu
thành bởi hai trường : SPI và Sequence Number.
-SPI (32 bits) : mỗi đầu cuỗi của mỗi kêt nối IPSec được tuỳ chọn giá trị SPI. Phía nhận sử dụng giá
trị SPI với địa chỉ IP đích và giao thức IPSec để xác định chính sách SA duy nhất mà nó được áp cho
gói tin.
-Sequence Number : thưòng được dùng để cung cấp dịch vụ anti-replay. Khi SA được thiết lập, chỉ
số này được khởi đầu về 0. Trước khi mỗi gói tin được gửi, chỉ số này luôn tăng lên 1 và được đặt
trong ESP header. -Phần kế tiếp của gói tin là Payload, nó được tạo bởi Payload data (được mã hoá)
và IV không được mã hoá). Giá trị của IV trong suốt quá trình mã hoá là khác nhau trong mỗi gói
tin.
phần thứ ba của gói tin là ESP Trailer, nó chứa ít nhất là hai trường.
-Padding ( 0-255 bytes) : được thêm vào cho đủ kích thước của mỗi gói tin.

-Pad length: chiều dài của Padding
-Next header : Trong Tunnel mode, Payload là gói tin IP, giá trị Next Header được cài đặt là 4 cho
IP-in-IP. Trong Transport mode, Payload luôn là giao thức lớp 4. Nếu giao thức lớp 4 là TCP thì
trường giao thức trong IP là 6, giao thức lớp 4 là UDP thì trường giao thức IP là 17. Mỗi ESP Trailer
chứa một giá trị Next Header.
-Authentication data : trường này chứa giá trị Integrity Check Value (ICV) cho gói tin ESP. ICV
được tính lên toàn bộ gói tin ESP công nhận cho trường dữ liệu xác thực của nó. ICV bắt đầu trên
ranh giới 4-byte và phải là bội số của 32-bit (đơn vị từ).
4.Giá trị mã chứng thực trong ESP
+Giữ trong trường Authentication Data
+ICV là Message Authentication Code (MAC)
+Một phiên bản bị cắt bớt của mã được tạo ra bởi thuật toánMAC
+Giá trị HMAC được tình bởi chỉ 96 bit đầu tiên :HMAC-MD5-96,HMAC-SHA-1-96
+MAC được tính theo trường không thay đổi. Ví dụ địac chỉ nguồn trong IPv4
Câu 15 Trình bày về kết hợp SA trong IP Security:
Khái niệm về kết hợp SA, tại sao cần phải kết hợp SA.
Các phương pháp kết hợp Transport Adjacency và Iterated Tunneling.
Bốn tình huống kết hợp SA phổ biến trong thực tế.
a)Khái niệm:
-SA được áp dụng cho AH hoặc ESP, nhưng không áp dụng đồng thời cho cả 2
-Với các trường hợp có yêu cầu sử dụng cả hai dịch vụ, cần nhiều SA cho một luồng dữ liệu trao đổi
- SA có thể cung cấp các dịch vụ bảo mật cho một phiên VPN được bảo vệ bởi AH hoặc ESP. Do
vậy, nếu một phiên cần bảo vệ kép bởi cả hai AH và ESP, 2 SA phải được định nghĩa cho mỗi hướng.
-Việc thiết lập này của SA được gọi là SA bundle.
-Security Association Bundle chỉ một chuỗi các SA được sử dụng
-Các SA trong chuỗi có thể kết cuối tại cùng một điểm hoặc tại nhiều điểm cuối khác nhau
*Việc kết hợp SA giúp cung cấp các dịch vụ bảo mật an toàn cho các thông tin gửi nhận giữa 2 bên.
b)Hai phương pháp kết hợp:
-Transport Adjacency: – áp dụng nhiều giao thức an ninh vào cùng 1 gói tin IP mà không thiết lập
đường hầm, chỉ dùng 1 mức kết hợp, không lồng nhau

-Iterated Tunneling– áp dụng nhiều lớp bảo mật thông qua thiết lập đường hầm, nhiều lớp bảo mật
lồng nhau
*Transport Adjacency
-Ứng dụng ESP với lựa chọn authentication
22
-Sử dụng 2 Sas cho ESP và AH ở chế độ Transport
+Áp dụng ESP sau đó AH bên ngoài
+Ưu điểm: Chứng thực thêm một số trường của tiêu đề IP
*Iterated Tunneling
-Áp dụng AH bên trong theo transport
-Áp dụng ESP bên ngoài theo Tunnel
c)Một số phương án kết hợp phổ biến trong thực tế
*TH1
+Dịch vụ an toàn được áp dụng tại các host (không áp dụng tại Gatewway)
+Các hình thức kết hợp
a.AH với Transport
b.ESP với Transport
c.AH+ESP Transport
d.Bất kỳ một trong các trường hợp a, b, c và AH hay ESP với tunnel
*TH2
-Dịch vụ an toàn được áp dụng tại các Gatewway(không áp dụng tại host)
-Áp dụng cho VPN
-Chỉ tạo một đường hầm (AH, ESP, ESP với Authen)
*TH3
-Xây dựng trên cơ sở TH2, bổ sung thêm dịch vụ bảo mật trực tiếp giữa các host
-Đường hầm ESP giữa 2 Gateway
-Hai host có thể thực thi thêm các giao thức an toàn trực tiếp (AH|ESP)
*TH4
-Cung cấp dịch vụ truy cập từ xa an toàn qua Internet
-Chỉ tạo một đường hầm giữa Remotehost và Localhost có thể thực thi thêm một số dịch vụ an toàn

trực tiếp
-1 hoặc 2 Sas có thể được sử dụng giữa remote host và localhost
Câu 16:Trình bày về giao thức ISAKMP (Internet Security Association and Key Management)
trong IP Security:Khái niệm ISAKMP, tại sao cần có giao thức ISAKMP.
Cách sử dụng ISAKMP, cấu trúc gói tin ISAKMP, cấu trúc các tải tin ISAKMP, ý nghĩa các
trường.
Năm kiểu trao đổi ISAKMP (Base, Identity Protection, Authentication Only, Aggressive,
Informational).
a)Khái niệm ISAKMP, tại sao cần có giao thức ISAKMP
*Khái niệm: ISAKMP là viết tắt của Internet Security Association and Key Management.
-Định nghĩa các thủ tục và các định dạng gói tin trong việc thiết lập, đàm phán, chỉnh sửa, hủy bỏ
các SAs. SAs chứa tất cả các thông tin được yêu cầu cho việc thự thi của nhiều dịch vụ bảo mật
mạng như dịch vụ tầng IP (giống như việc đóng gói các payload và xác thực các header), vận chuyển
hoặc các dịch vụ tầng ứng dụng hoặc bảo vệ chính quá trình điều đình của nó.
-Định nghĩa các tải tin dùng trong việc trao đổi khoá và các thông tin an toàn khác mà các thông tin
này độc lập với kỹ thuật tạo ra khoá, thuật toán mã hoá và cơ chế xác thực.
*Tại sao cần có ISAKMP:
-ISAKMP phân biệt với các giao thức trao đổi khoá khác để tách các chi tiết về quản lý kết hợp bảo
mật (và quản lý khoá) từ các chi tiết về trao đổi khoá.ISAKMP có thể được thực thi trên bất cứ trao
thức truyền thông nào.
23
-ISAKMP hỗ trợ việc đàm phán của các SA về các giao thức bảo mật ở tất cả các tầng của stack
mạng (IPSEC, TLS, TLSP, OSPF…). Bằng việc tập trung vào việc quản lý các SA, ISAKMP giảm
một số lượng lớn các chức năng trùng lặp trong mỗi giao thức bảo mật. ISAKMP cũng có thể giảm
thời gian thiết lập kết nối bằng việc đàm phán toàn bộ các dịch vụ trong ngăn xếp tức thì.
b)Cách sử dụng ISAKMP, cấu trúc gói tin ISAKMP, cấu trúc các tải tin ISAKMP, ý nghĩa các
trường.
*Cách sử dụng ISAKMP
-ISAKMP cung cấp giao thức trao đổi để thiết lập một SA giữa các thực thể đang đàm phán được kế
tiếp bởi việc thiết lập một SA bởi các thực thế đang đàm phán này thay mặt một số giao thức.

-Đầu tiên, một giao thức trao đổi ban đầu cho phép một tập các thuộc tính bảo mật cơ bản được được
chấp nhân. Tập các thuộc tính này bảo vệ cho việc trao đổi của các ISAKMP. Nó cũng chỉ ra phương
thức xác thực và trao đổi khoá được thực hiện như là một phần của giao thức ISAKMP. Nếu như tập
các thuộc tính bảo mật cơ bản được cài đặt giữa các thực thể server đang đàm phán thì trao đổi
ISAKMP ban đầu được bỏ qua và sự thiết lập một SA có thể được thực hiện một cách trực tiếp. Sau
khi tập các thuộc tính bảo mật cơ bản được chấp nhận, nhận diện được xác thực và các khoá yêu cầu
được tạo ra thì các SA đã được thiết lập có thể được sử dụng cho sự kết nối tiếp theo bởi thực thế
được triệu gọi bởi ISAKMP.
-Phân tách các chức năng thành 3 phần làm tăng thêm tính phức tạp của việc phân tính bảo mật của
một thực thi ISAKMP hoàn chỉnh.
* Cấu trúc gói tin ISAKMP
ISAKMP Header
Payload
Header 1
Payload1
Payload
Header 2
Payload2
ISAKMP Header
Initator Cookie
Responder Cookie
Next
Payload
MajoVer MinorVer Exchange Flags
Message ID
Length
-ISAKMD Header+Next payload: Kiểu tải tin Initiator số 1
+Version: phiên
+Exchange type: Kiểu trao đổi
+Flags: cờ

+Message ID: số hiệu
+Length: độ dài
+Initator Cookie/ Responde Cookie: Mã chống lại tấn công DOS – Cookie cuỷa thực thể khởi tạo
việc thiết lập SA, khai báo SA và loại bỏ SA
+Responder Cookie: Cookie của thực thể đang đáp ứng lại yêu cầu thiết lập SA, khai báo SA và loại
bỏ SA.
+Next payload: chỉ ra loại payload đầu tiên trong message.
24
+Major Version: chỉ ra phiên bản chính của giao thức ISAKMO đang dùng.
+Minor Version: chỉ ra phiên bản thứ yếu của giao thức ISAKMP đang dùng.
Trong DOS, Cookie dùng để chống việc tấn công ồ ạt server): Bên gửi gửi một cookie, khi đó bên
nhận gửi lại cho bên gửi một cookie, nếu như bên gửi đáp ứng lại thì đó là địa chỉ thật.
*Cấu trúc các tải tin ISAKMP
Next Payload Reserved Payload Length
-Payload Header:+Next Payload: Kiểu tải tin tiếp theo
+Reserved: Dự phòng
+Payload Length: Độ dài tải tin
*Các kiểu tải tin
-Kiểu SA: Dùng để trao đổi các tham số an toàn.
-Proposal (P): sử dụng trong quá trình đàm phán SA, thống nhất các giao thức được sử dụng.
-Transform (T): thống nhất các kiểu biến đổi
-Key Exchange (KE): Dùng để trao đổi khoá
-Identification (ID): trao đổi thông tin định danh
-Certified (ERI): trao đổi chứng chỉ sổ và thông tin liên quan
-Certificate Request: yêu cầu chứng chỉ số
-Hash/ Signature: chứa mã Hash hoặc chữ ký
-Nonce: số nonce chống gửi lặp
-Notification: thông tin cảnh báo/lỗi
-Delete: SA hết hạn thì huỷ
c)Năm kiểu trao đổi ISAKMP (Base, Identity Protection, Authentication Only, Aggressive,

Informational).
1.Base Exchange (Trao đổi cơ sở): 4 bước
+I R: SA, Nonce: Initator gửi cho Responder các thông số SA, Nonce  đề nghị SA.
+RI: SA, Nonce (Nonce 1 khác Nonce 2): thống nhất SA
+I R: KE, ID
I
: AUTH  tạo khoá, chứng thực thông tin
+R  I: KE, ID
R
: AUTH  xác nhận khoá, chứng thực + kết thúc
2.Identity Protection Exchange(Trao đổi có bảo vệ định dang)
+IR:SA
+RI:SA
+I  R: KE
+R  I: KI
+I  R: ID
I
, AUTH
+R I: ID
R
, AUTH
3.Authentication only Exchange (Trao đổi thông tin xác thực): 3 bước
+I R: SA, Nonce
+R  I: SA, Nonce,, ID
R
, AUTH
+I  R: ID
I
, AUTH
4.Aggressive Exchange (Trao đổi tích cực): 3 bước

+I  R: SA: KE, ID
I
, Nonce
+R I: SA: KE, Nonce, ID
R
; AUTH
+I  R: AUTH
5.Informational Exchange(trao đổi thông tin 1 chiều)
I  R: N/D  thông tin lỗi, cảnh báo, xoá
25
Câu 17:Trình bày về giao thức SSL (Secure Socket Layer):
Vấn đề an toàn Web, các phương án tiếp cận an toàn Web theo các lớp.
Khái niệm SSL, chức năng, kiến trúc SSL.
Khái niệm SSL Connection và SSL Session. Các thuộc tính của SSL Connection và SSL
Session.
a)Vấn đề an toàn Web, các phương án tiếp cận an toàn Web theo các lớp.
*Vấn đề an toàn Web:
-Web 2 chiều tiện lợi nhưng dễ bị tấn công
-Độ trực quan cao, dễ phát tán thông tin nên dễ tiết lộ bí mật riêng tư, vi phạm bản quyền.
-Hệ thống phức tạp: giao thức đơn giản, nhưng các ứng dụng client/server phức tạp
-Có các điểm dễ bị tấn công: web server có thể trở thành bàn đạp tấn công
-Người dùng WEB thường không có đủ công cụ và kiến thức để phòng tránh tấn công
*Các mối đe doạ về tính bảo mật của Web
Mối đe doạ Hậu quả Biện pháp đối phó
Tính
toàn
vẹn
- Thay đổi dữ liệu người sử dụng
- Trình duyệt Trojan horse
- Thay đổi bộ nhớ

-Thay đổi trong chuyển tiếp các message
- Mất thông tin
- Tổn hại đến máy móc
- Dễ bị tấn công
Các checksum mã hoá
Tính
bảo mật
- Nghe trộm qua mạng
- Trộm thông tin từ server
- Trộm dữ liệu từ client
- Thông tin về cấu hình mạng
- Thông tin về client nào đang trao đổi
với server
- Mất thông tin
- Mất tính riêng tư
Mã hoá, web proxy
Từ chối
dịch vụ
- Ngắt các thread của ngừơi sử dụng.
- Làm lụt máy với các yêu cầu giả
- Làm đầy đĩa cứng hoặc bộ nhớ.
- Cô lập máy bởi dự tấn công DNS
- Hỏng, phá vỡ
- Quấy rối
- Cản trở người sử dụng
hoàn thành công việc
Có nhiều cách khác
nhau để ngăn ngừa
Xác
thực

- Hiện nhân của người sử dụng hợp
pháp.
- Giả mạo dữ liệu
Các kỹ thuật mã hoá
*Các phương pháp tiếp cận an toàn web theo các lớp
-Phân loại các mối đe doạ theo vị trí ta có:
+ Web server
+ Web client
+ Network traffic (can thiệp vào dữ liệu trên đường truyền).
-Phân loại theo cấp bảo vệ
+ Ipsec (Tầng mạng)
+ SSL (Secure Socket Layer): Tầng giao vận
+Transport Layer Security (TLS)
+ SET (Secure Electronic Transaction): Tầng ứng dụng

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×