Tải bản đầy đủ (.pdf) (141 trang)
  1. Trang chủ
    2. >>
  2. Giáo án - Bài giảng
    3. >>
  3. Cao đẳng - Đại học

Nghiên cứu, xây dựng giải pháp tích hợp mật mã vào quá trình truyền tin đảm bảo an toàn thông tin trên mạng máy tính

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.49 MB, 141 trang )

BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Nguyễn Ngọc Điệp

NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP TÍCH HỢP
MẬT MÃ VÀO QUÁ TRÌNH TRUYỀN TIN ĐẢM BẢO
AN TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH

LUẬN ÁN TIẾN SĨ KỸ THUẬT

Hà Nội - 2017


BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Nguyễn Ngọc Điệp

NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP TÍCH HỢP MẬT
MÃ VÀO QUÁ TRÌNH TRUYỀN TIN ĐẢM BẢO AN
TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH

CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN
MÃ SỐ: 62.48.01.04

LUẬN ÁN TIẾN SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC:
PGS.TS HOÀNG MINH


Hà Nội - 2017

ii


LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi. Các nội dung, số
liệu và kết quả nghiên cứu trình bày trong luận án là hoàn toàn trung thực và chưa có
tác giả nào công bố trong bất cứ một công trình nào khác, các dữ liệu tham khảo được
trích dẫn đầy đủ.
Người cam đoan

Nguyễn Ngọc Điệp

i


LỜI CẢM ƠN
Luận án này được thực hiện tại Học viện Công nghệ Bưu chính Viễn thông - Bộ
Thông tin và Truyền thông.
Nghiên cứu sinh xin được bày tỏ lòng biết ơn sâu sắc đến Thầy giáo PGS. TS.
Hoàng Minh đã tận tình hướng dẫn, giúp đỡ, trang bị phương pháp nghiên cứu, kiến
thức khoa học để tôi hoàn thành các nội dung nghiên cứu của luận án.
Nghiên cứu sinh xin bày tỏ lòng biết ơn chân thành tới các thầy, cô của Học
viện Công nghệ Bưu chính Viễn thông, các nhà khoa học thuộc Viện Khoa học - Công
nghệ mật mã, Học viện Kỹ thuật mật mã đã đóng góp nhiều ý kiến quý báu giúp tôi
hoàn thành các nội dung nghiên cứu của luận án.
Nghiên cứu sinh xin trân trọng cảm ơn Học viện Công nghệ Bưu chính Viễn
thông, Khoa Khoa Quốc tế và Đào tạo Sau đại học là cơ sở đào tạo và đơn vị quản lý,

các đồng chí Lãnh đạo Viện Khoa học - Công nghệ mật mã, nơi tôi đang công tác đã
tạo điều kiện thuận lợi, hỗ trợ và giúp đỡ tôi trong suốt quá trình học tập, nghiên cứu
thực hiện luận án.
Tôi xin trân trọng cảm ơn các bạn bè người thân và gia đình đã cổ vũ, động viên
giúp đỡ, tạo điều kiện cho tôi hoàn thành luận án.

Nghiên cứu sinh

ii


MỤC LỤC

LỜI CAM ĐOAN ............................................................................................................ i
LỜI CẢM ƠN ................................................................................................................. ii
MỤC LỤC ...................................................................................................................... iii
DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT .................................................... vi
DANH MỤC CÁC HÌNH VẼ...................................................................................... viii
DANH MỤC CÁC BẢNG............................................................................................. ix
MỞ ĐẦU ..........................................................................................................................1
CHƯƠNG I: TỔNG QUAN VỀ GIẢI PHÁP CAN THIỆP MẬT MÃ VÀO HỆ
THỐNG MẠNG DÙNG GIAO THỨC TCP/IP ..............................................................7
1.1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG ..................................7
1.1.1. Một số khái niệm cơ bản về an toàn thông tin .......................................................7
1.1.2. Các nguy cơ mất an toàn thông tin .........................................................................8
1.1.3. Các hình thức tấn công thông tin trên mạng ..........................................................8
1.1.4. Một số biện pháp an toàn .....................................................................................10
1.1.5. Các dịch vụ an toàn ..............................................................................................10
1.1.5.1. Dịch vụ bí mật ...................................................................................................11
1.1.5.2. Dịch vụ xác thực................................................................................................12

1.1.5.3. Dịch vụ toàn vẹn dữ liệu. ..................................................................................13
1.1.5.4. Dịch vụ không thể chối bỏ .................................................................................14
1.1.5.5. Dịch vụ kiểm soát truy nhập .............................................................................14
1.2. TÍCH HỢP MẬT MÃ VÀO HỆ THỐNG MẠNG DÙNG GIAO THỨC TCP/IP 15
1.2.1. Cấu trúc giao thức TCP/IP ...................................................................................15
1.2.2. Tích hợp mật mã vào các tầng của giao thức TCP/IP ..........................................17
1.2.2.1. Tích hợp mật mã vào tầng ứng dụng ................................................................19
1.2.2.2. Tích hợp mật mã vào tầng vận tải .....................................................................20
1.2.2.3. Tích hợp mật mã vào tầng Internet ...................................................................21
1.2.2.4. Tích hợp mật mã vào tầng truy nhập mạng ......................................................22
1.2.3. Cài đặt các dịch vụ an toàn dùng kỹ thuật mật mã ..............................................22
1.3. GIẢI PHÁP BẢO MẬT DỮ LIỆU TRÊN ĐƯỜNG TRUYỀN ............................27
1.3.1. Một số chuẩn về an toàn và bảo mật thông tin.....................................................27
1.3.2. Chuẩn về an toàn tầng vận tải SSL/TLS ..............................................................31
1.3.2.1. Giới thiệu bộ giao thức .....................................................................................31
1.3.2.2. Các thành phần trong giao thức SSL ................................................................31
1.3.3. Một số tấn công cơ bản đối với giao thức SSL ....................................................34
1.3.3.1. Tấn công quay lui phiên bản, quay lui thuật toán mã hóa. ..............................34

iii


1.3.3.2. Tấn công làm mất thông điệp ChangeCipherSpec............................................35
1.3.3.3. Tấn công quay lui thuật toán trao đổi khoá ......................................................36
1.3.3.4. Tấn công padding CBC .....................................................................................37
1.3.3.5. Lỗ hổng HeartBleed trong OpenSSL ................................................................38
1.3.4. Giải pháp tích hợp mật mã nâng cao độ an toàn và hiệu quả cho bộ giao thức
SSL/TLS .........................................................................................................................40
KẾT LUẬN CHƯƠNG 1...............................................................................................42
CHƯƠNG II: NÂNG CAO HIỆU QUẢ THỰC THI, ĐỘ AN TOÀN CỦA CÁC

THAM SỐ HỆ MẬT RSA VÀ THUẬT TOÁN MÃ KHỐI .........................................44
2.1. GIỚI THIỆU CHUNG ............................................................................................44
2.2. XÂY DỰNG TIÊU CHUẨN THAM SỐ CHO HỆ MẬT RSA ............................46
2.2.1. Một số tiêu chuẩn tham số RSA an toàn đã được công bố ..................................47
2.2.2. Phương pháp xác định ngưỡng an toàn của Lenstra và Verheul .........................49
2.2.2.1. Ngưỡng an toàn .................................................................................................49
2.2.2.2. Độ dài modulo của hệ mật RSA ........................................................................50
2.2.2.3. Bảng tính ngưỡng an toàn và độ dài modulo an toàn cho hệ mật RSA ............51
2.2.3. Xác định ngưỡng an toàn theo quan điểm riêng ..................................................51
2.2.3.1. Luận cứ xác định đối tượng tấn công ...............................................................51
2.2.3.2. Công thức xác định các ngưỡng an toàn cho đến năm y (y2016) ..................52
2.2.4. Phương pháp mã hóa liên tiếp và tiêu chuẩn cho số công khai ...........................55
2.2.4.1. Một số công thức, định nghĩa ............................................................................55
2.2.4.2. Giải bài toán RSA bằng phương pháp mã hóa liên tiếp ...................................56
2.2.4.3. Phân tích modulo n của hệ RSA bằng phương pháp mã hóa liên tiếp .............57
2.2.4.4. Tiêu chuẩn cho tham số e ..................................................................................59
2.3. MỘT ĐỀ XUẤT MA TRẬN AN TOÀN, HIỆU QUẢ CHO TẦNG TUYẾN
TÍNH TRONG CÁC MÃ PHÁP DẠNG AES ..............................................................61
2.3.1. Một số định nghĩa, khái niệm...............................................................................63
2.3.2. Phép MixColumns sử dụng ma trận dịch vòng và ma trận tựa vòng 4x4 ............64
2.3.3. Phân tích phép biến đổi MixColumns của AES ...................................................66
2.3.4. Đề xuất ma trận tuyến tính tựa vòng cho AES ....................................................68
2.3.5. Đánh giá cài đặt theo quan điểm phần mềm ........................................................71
2.3.6. Đánh giá về độ an toàn, số điểm bất động của tầng tuyến tính ............................74
2.3.7. Kết quả cài đặt thực nghiệm.................................................................................76
KẾT LUẬN CHƯƠNG 2...............................................................................................79
CHƯƠNG III: TÍCH HỢP MẬT MÃ TRONG GIAO THỨC VÀ BỘ PHẦN MỀM
BẢO MẬT DỮ LIỆU TRÊN ĐƯỜNG TRUYỀN ........................................................81
3.1. BỘ PHẦN MỀM OPENVPN .................................................................................81
3.1.1. Giới thiệu bộ phần mềm OpenVPN .....................................................................81

3.1.2. Sơ đồ tổng quát ....................................................................................................82
3.1.3. Sơ đồ dòng dữ liệu ...............................................................................................83

iv


3.2. MỘT SỐ MODULE CHÍNH TRONG BỘ PHẦN MỀM ......................................85
3.2.1. Module VPN Daemon - Vận hành VPN theo cơ chế dịch vụ hệ thống ...............85
3.2.2. Module TUN/TAP - quản lý giao diện mạng ảo ..................................................87
3.2.3. Trao đổi khoá trong OpenVPN ............................................................................89
3.2.4. Mã hoá trong OpenVPN.......................................................................................90
3.2.5. Xác thực tính toàn vẹn gói dữ liệu trong OpenVPN ............................................90
3.2.6. Giao thức trong OpenVPN ...................................................................................91
3.3. TÍCH HỢP THAM SỐ RSA AN TOÀN VÀ THUẬT TOÁN MÃ KHỐI
BC_VPN TRONG GIAO THỨC SSL/TLS. .................................................................93
3.3.1. Sử dụng tham số RSA an toàn trong giao thức SSL/TLS ....................................94
3.3.2. Tích hợp thuật toán mã khối BC_VPN vào trong bộ giao thức SSL/TLS...........98
3.3.3. Thử nghiệm, đánh giá bộ phần mềm bảo mật đường truyền PMBM_VPN. .....100
KẾT LUẬN CHƯƠNG III...........................................................................................105
KẾT LUẬN ..................................................................................................................107
A. Các kết quả Luận án đã đạt được: ...........................................................................107
B. Những đóng góp mới của luận án: ..........................................................................108
C. Hướng nghiên cứu tiếp theo: ...................................................................................108
DANH MỤC CÁC CÔNG TRÌNH KHOA HỌC ĐÃ CÔNG BỐ .............................109
TÀI LIỆU THAM KHẢO ............................................................................................110
PHỤ LỤC: CÁC MODULE CHƯƠNG TRÌNH, KẾT QUẢ THỬ NGHIỆM ..........115

v



DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT
#(a)
#(b)
#{(X,Y)}
#S
N
*
N

e| N
Gcd(a,b)
Lmc(a,b)
AES
ACL
DLP
DoS
DDoS
ECC
ESP

FPGA
HMAC
KDF
IKE
IDPS
IP
IPSec
ISO

Lực lượng của a

Lực lượng của b
Lực lượng của tập X, Y
Số các phần tử của S
Vành số nguyên với phép cộng và phép nhân rút gọn theo modulo N
Nhóm nhân cực đại của của vành
N là bội của e, còn e là ước của N
Ước số chung lớn nhất của a và b
Bội số chung nhỏ nhất của a và b
Advanced Encryption Standard
Access Control List
Discrete Logarithm Problem
Denial of Service
Distributed Denial of Service
Elliptic Curve Cryptosystem
Encapsulating Security Payload
Field Programmable Gate Array
Hash Message Authentication
Code
Key Derivation Function
Internet Key Exchange
Intruction Detection Prevention
System

MPLS
OSI

Internet Protocol
Internet Protocol Security
International Organization for
Standardization

Local Area Network
Maximum Distance Separable
Man In The Middle
Multi Protocol Label Switching
Open System Interconnection

QoS

Quality Of Service

LAN
MDS
MITM

N

Chuẩn mã hóa dữ liệu mở rộng
Danh sách điều khiển truy nhập
Bài toán Logarith rời rạc
Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ phân
tán
Hệ mật Elliptic
Đóng gói mã hóa dữ liệu
Mảng cổng lập trình dạng trường
Hàm băm có xác thực
Hàm dẫn xuất khóa
Trao đổi khóa trên Internet
Hệ thống phát hiện và ngăn chặn
truy cập

Giao thức liên mạng
Giao thức bảo mật IP
Tổ chức tiêu chuẩn quốc tế
Mạng cục bộ
Phân tách có khoảng cách cực đại
Tấn công kẻ đứng giữa
Chuyển mạch nhãn đa giao thức
Mô hình tương tác giữa các hệ
thống mở.
Chất lượng dịch vụ

vi


SPN

SSL
RSA
TCP

TLS
UDP

VNI
VPN

Substitution Permutation
Network
Secure Sockets Layer
Rivest, Shamir and Adlemen

Transport Control Protocol
Transport Layer Security
User Datagram Protocol
Virtual Networking Interface
Virtual Private Network

Mạng thay thế - hoán vị
Giao thức bảo mật tầng Socket
Hệ mật khóa công khai RSA
Giao thức điều khiển truyền tin
Giao thức bảo mật tầng vận tải
Giao thức gói dữ liệu người dùng
Giao diện mạng ảo
Mạng riêng ảo

vii


DANH MỤC CÁC HÌNH VẼ
Hình 1.1: Các hình thức tấn công thông tin trên mạng máy tính ................................... 9
Hình 1.2: Cấu trúc của giao thức TCP/IP .................................................................... 16
Hình 1.3: Cấu trúc gói tin IP ........................................................................................ 17
Hình 1.4: Mô hình bảo mật thông tin dùng kỹ thuật mật mã ........................................ 23
Hình 1.5: Mô hình mã hóa khóa đối xứng .................................................................... 24
Hình 1.6: Mô hình mã hoá dùng khoá công khai.......................................................... 25
Hình 1.7: Giao thức bắt tay SSL ................................................................................... 32
Hình 1.8: Giao thức bản ghi SSL .................................................................................. 33
Hình 1.9: Tấn công ChangeCipherSpec ....................................................................... 35
Hình 1.10: Tấn công quay lui thuật toán trao đổi khóa ............................................... 37
Hình 3.1: Sơ đồ khối tổng quát của OpenVPN ............................................................. 82

Hình 3.2: Sơ đồ dòng dữ liệu được tương tác xử lý trong OpenVPN ........................... 84
Hình 3.3: Sơ đồ khối của VPN Daemon ....................................................................... 86
Hình 3.4: Sơ đồ khối hoạt động của module TUN/TAP ................................................ 88
Hình 3.5: Lưu đồ mã hoá và xác thực của OpenVPN ................................................... 91
Hình 3.6: Lưu đồ giải mã và xác thực trong OpenVPN ............................................... 91
Hình 3.7: UDP/TCP Format ......................................................................................... 92
Hình 3.8: Tích hợp tham số RSA và thuật toán mã khối trong OpenVPN .................... 93
Hình 3.9: Lưu đồ mã hoá và xác thực gói tin trong PMBM_VPN ............................... 98
Hình 3.10: Lưu đồ giải mã và xác thực gói tin trong PMBM_VPN ............................. 99
Hình 3.11: Đóng gói và bảo vệ gói tin IP trong PMBM_VPN ..................................... 99
Hình 3.12: Mô hình thử nghiệm phần mềm PMBM_VPN .......................................... 100
Hình 3.13: Cấu hình cho VPN Server ......................................................................... 102
Hình 3.14: Cấu hình cho VPN Client ......................................................................... 102
Hình 3.15: Trạng thái hiện thời của hệ thống VPN đã kết nối thành công ................ 103
Hình 3.16: Tốc độ của phần mềm PMBM_VPN (1 luồng) ......................................... 104
Hình 3.17: Tốc độ của phần mềm PMBM_VPN (4 luồng) ......................................... 104

viii


DANH MỤC CÁC BẢNG

Bảng 1.1. Bảo vệ các thành phần của gói IP trong giao thức TCP/IP

18

Bảng 1.2. Các dịch vụ an toàn được cài đặt tại các tầng trong giao thức

18


TCP/IP
Bảng 2.1. Bảng tính a(y) và n(y) cho lĩnh vực kinh tế - xã hội

51

của Lenstra và Verheul
Bảng 2.2. Bảng tính các giá trị a(y) và n(y) cho lĩnh vực kinh tế - xã hội

54

Bảng 2.3. Bảng tính các giá trị ngưỡng an toàn theo các phương pháp

54

Bảng 2.4. Danh sách 16 đa thức nguyên thủy bậc 8 trên

70
2

Bảng 2.5. So sánh cài đặt kiểu bit-slice các ma trận MDS 4x4

74

Bảng 2.6. Kết quả cài đặt thực nghiệm thuật toán cho 1 vòng mã hóa

76

Bảng 2.7. Kết quả cài đặt thực nghiệm tốc độ mã hóa của BC_VPN

77


Bảng 2.8. Số lượng S-hộp tích cực vi sai và độ phức tạp trước thám mã vi

78

sai của AES và BC_VPN
Bảng 2.9. Số lượng S-hộp tích cực vi sai và độ phức tạp trước thám mã

79

tuyến tínhcủa AES và BC_VPN
Bảng 3.1. So sánh tốc độ từ PMBM_VPN client đến PMBM_VPN server

105

ix


MỞ ĐẦU
1.1 Tính cấp thiết của đề tài luận án
Mạng máy tính là một hệ thống mở bao gồm nhiều máy tính và các thiết bị
được kết nối với nhau nhằm chia sẻ tài nguyên chung và liên lạc với nhau. Mạng
máy tính đã kết hợp được khả năng xử lý thông tin của các máy tính đơn lẻ và chức
năng truyền thông. Các mạng máy tính ở Việt nam hiện nay chủ yếu là các mạng sử
dụng hệ điều hành Windows, Linux, Unix với bộ giao thức truyền thông TCP/IP.
Sự phát triển bùng nổ của Internet đã tạo điều kiện cho các loại hình xâm
nhập trái phép vào các hệ thống công nghệ thông tin cả về chiều rộng (lây lan trên
quy mô toàn thế giới) lẫn chiều sâu (can thiệp vào hạt nhân hệ thống đích). Mỗi
ngày, các hệ thống mạng phải đối phó với hàng loạt đợt tấn công của tin tặc, khiến
nhiều hệ thống bị đình trệ, tắc nghẽn và tê liệt, gây ra những tổn hại to lớn. Các

phương thức tấn công ngày càng tinh vi, phức tạp có thể dẫn đến mất mát, sai lệch
thông tin, thậm chí có thể làn sụp đổ hoàn toàn hệ thống thông tin của các cơ quan
chính phủ, các ngân hàng, doanh nghiệp. Trong quá trình đẩy mạnh ứng dụng, phát
triển công nghệ thông tin, hội nhập quốc tế, với sự phát triển nhanh chóng của các
mạng thông tin truyền thông, các hệ thống thông tin phân tán và đặc biệt là mạng
thông tin toàn cầu Internet thì nhu cầu đảm bảo an ninh an toàn thông tin càng trở
lên cấp thiết. An toàn thông tin một vấn đề vừa mang tính thời sự, vừa mang tính
thách thức không chỉ đối với các chuyên gia tin học mà còn đối với sự phát triển của
các hệ thống thông tin toàn cầu.
Đã từ lâu vấn đề bảo mật thông tin là một công việc quan trọng đối với mọi
Quốc gia, nó nhằm mục đích giữ cho thông tin được an toàn bằng kỹ thuật mật mã.
Khi chưa có mạng máy tính, thông tin được lưu trữ trên các máy tính được bảo vệ
chủ yếu bằng các biện pháp vật lý, nghiệp vụ. Các thông tin cần giữ bí mật sẽ được
mã hóa trước khi truyền trên kênh công khai. Khi các máy tính được kết nối với
nhau thành mạng, do nhu cầu sử dụng tài nguyên chung và liên lạc với nhau, các
thông tin trên mỗi máy tính dễ dàng bị truy nhập từ một máy tính khác. Đồng thời,

1


các thông tin trao đổi trên môi trường mạng cũng dễ dàng bị đánh cắp, sửa đổi, giả
mạo [51], [53], [62], [63].
An toàn mạng máy tính là tổng thể các giải pháp về mặt tổ chức và kỹ thuật
nhằm ngăn cản mọi nguy cơ làm tổn hại đến hệ thống mạng. Sự cần thiết phải hội
nhập các dịch vụ vào cùng một hạ tầng cơ sở mạng thống nhất (tất cả trong một) là
một xu thế tất yếu. Các nhà quản lý, cung cấp dịch vụ mạng cố gắng triển khai
những công nghệ mới nhất vào hạ tầng cơ sở mạng của mình, an ninh mạng trở
thành một chức năng then chốt trong việc xây dựng và duy trì các mạng hiện đại
của mọi tổ chức. Các nguyên tắc nền tảng để xây dựng hệ thống mạng an toàn bao
gồm: tính bí mật, tính toàn vẹn, tính sẵn sàng [7], [8], [26], [49], [53]. Tùy thuộc

vào từng ứng dụng, dịch vụ và hoàn cảnh cụ thể, mà các nguyên tắc này sẽ được
xác định mức độ quan trọng khác nhau.
Vấn đề bảo vệ thông tin bằng mật mã đã và đang được nhiều quốc gia trên
thế giới đặc biệt quan tâm, đã có rất nhiều các nghiên cứu tạo ra các chuẩn bảo mật,
các hệ mật và các giải pháp bảo mật cho hệ thống mạng. Song theo quan điểm mật
mã, chúng ta không thể sử dụng các sản phẩm bảo mật thông tin của nước ngoài để
bảo mật thông tin trên mạng thuộc phạm vi bí mật Nhà nước như: lĩnh vực An ninh
Quốc phòng. Vấn đề đặt ra là chúng ta phải chủ động tạo ra các sản phẩm bảo mật
thông tin trên mạng máy tính, với các module mật mã kiểm soát hoàn toàn và độ an
toàn của sản phẩm do các module mật mã quyết định.
Nhận thấy sự cấp thiết, tính thời sự của lĩnh vực an toàn, bảo mật thông tin
trên mạng máy tính và nhu cầu thực tế công tác, nghiên cứu sinh đã lựa chọn luận
án: “Nghiên cứu, xây dựng giải pháp tích hợp mật mã vào quá trình truyền tin
đảm bảo an toàn thông tin trên mạng máy tính”.
1.2 Mục tiêu nghiên cứu
Bảo vệ thông tin trên kênh truyền công khai là chức năng chính của bài toán
tích hợp mật mã để bảo mật thông tin trên mạng. Cốt lõi của quá trình này là can
thiệp kỹ thuật mật mã nhằm mã hóa và giải mã các thông tin cần bảo vệ.

2


Mục tiêu chính của Luận án là:

- Nghiên cứu, lựa chọn giải pháp tích hợp mật mã vào mô hình mạng TCP/IP
để bảo mật dữ liệu trên đường truyền.

- Nghiên cứu đề xuất giải pháp nâng cao tính an ninh, an toàn và hiệu quả
thực thi các thuật toán mật mã trong bảo mật thông tin trên mạng.
1.3 Đối tượng nghiên cứu

Mô hình, hệ thống mạng sử dụng bộ giao thức TCP/IP cần bảo đảm an ninh,
an toàn. Các chuẩn giao thức bảo mật mạng, tập trung vào các giải pháp mật mã và
khả năng tích hợp các thành tố mật mã vào bộ giao thức SSL/TLS để bảo mật dữ
liệu trên đường truyền.
1.4 Phạm vi nghiên cứu
- Luận án tập trung vào nghiên cứu, lựa chọn giải pháp tích hợp mật mã vào
giao thức bảo mật dữ liệu trên đường truyền trong mô hình mạng TCP/IP.
- Nghiên cứu đề xuất giải pháp nâng cao hiệu quả thực thi, độ an toàn của giao
thức SSL/TLS, hệ mật RSA và thuật toán mã hóa dữ liệu cho bài toán bảo
mật dữ liệu trên đường truyền.
1.5 Cách tiếp cận và phương pháp nghiên cứu
- Tổng hợp các kết quả nghiên cứu mới, các giải pháp về an toàn và bảo mật
thông tin trên các máy tính và trên hệ thống mạng.
- Trên cơ sở kiến trúc an ninh chung của mô hình OSI, các giao thức bảo mật
mạng, thông qua khảo sát, phân tích, đánh giá các kết quả đã nghiên cứu từ
đó đề xuất giải pháp nâng cao hiệu quả bảo mật dữ liệu trên đường truyền.
- Dựa trên phương pháp phân tích lý thuyết (sử dụng lý thuyết và kỹ thuật mật
mã hiện đại), tính toán giải tích, chứng minh bằng toán học và kiểm chứng
thông qua việc cài đặt, thử nghiệm thực tế để chứng minh tính đúng đắn,
hiệu quả của các kết quả nghiên cứu.

3


1.6 Nội dung nghiên cứu
- Nghiên cứu, lựa chọn giải pháp tích hợp mật mã vào giao thức bảo mật dữ
liệu trên đường truyền trong mô hình mạng TCP/IP để bảo mật thông tin trên
mạng. Phân tích cấu trúc giao thức SSL/TLS, các điểm yếu an ninh và một
số tấn công cơ bản dựa trên các điểm yếu còn tồn tại của bộ giao thức.
- Nghiên cứu đề xuất giải pháp để nâng cao hiệu quả thực thi các thuật toán

mật mã, đảm bảo hiệu quả về tốc độ, độ an toàn và bảo mật cho bài toán bảo
mật dữ liệu trên đường truyền.
- Thiết kế và xây dựng bộ chương trình thử nghiệm giải pháp bảo mật dữ liệu
trên đường truyền với thuật toán mã khối và tham số mật mã được nghiên
cứu đề xuất.
- Thử nghiệm, đánh giá độ an toàn và hiệu quả của bộ chương trình bảo mật
dữ liệu trên đường truyền.
1.7 Ý nghĩa khoa học và thực tiễn
- Ý nghĩa khoa học: Quá trình nghiên cứu luận án sẽ cho thấy rõ cơ sở khoa
học của việc nghiên cứu, đề xuất cải tiến thuật toán mật mã và ứng dụng một
số nguyên thủy mật mã vào bài toán bảo mật thông tin trên đường truyền.
- Ý nghĩa thực tiễn: Cải tiến, nâng cao tốc độ tính toán, hiệu năng thực thi các
thuật toán mật mã đảm bảo tính hiệu quả, giảm thời gian tính toán và tài
nguyên của hệ thống đồng thời tăng cường tính an toàn, bảo mật cho bộ giao
thức SSL/TLS đáp ứng bài toán bảo mật dữ liệu trên đường truyền.
Giải pháp tích hợp mật mã để bảo mật thông tin trên đường truyền của luận
án cho phép chúng ta xây dựng các mạng cục bộ, mạng diện rộng có độ an toàn cao
dựa trên kênh truyền Internet và các mạng công cộng khác. Hơn nữa, giải pháp này
cho phép ta bảo mật được cơ bản các ứng dụng, dịch vụ truyền tin trên mạng dùng
giao thức TCP/IP bao gồm cả hình ảnh động, âm thanh mà không can thiệp vào cấu
trúc của ứng dụng. Điều này đã giải quyết được yêu cầu thực tế ở Việt Nam, có rất
nhiều ứng dụng cần được bảo vệ thông tin nhưng chúng ta không được can thiệp
mật mã vào cấu trúc của nó.

4


1.8 Giới thiệu bố cục của luận án
Bố cục của luận án gồm Lời nói đầu, 3 chương nội dung, phần Kết luận, Danh
mục các công trình, bài báo khoa học đã công bố của nghiên cứu sinh và phần Phụ

lục của luận án.
Phần mở đầu: Phân tích tình hình hiện tại, tính cấp thiết của vấn đề nghiên cứu
và đề xuất nhiệm vụ nghiên cứu.
Chương 1: Tổng quan về giải pháp can thiệp mật mã vào hệ thống mạng dùng
giao thức TCP/IP.
Chương này hệ thống hóa các khái niệm cơ bản về an ninh an toàn trên mạng
máy tính. Phân tích bộ giao thức TCP/IP và khả năng tích hợp mật mã vào các tầng
trong mô hình giao thức TCP/IP để bảo mật thông tin;
Phân tích bộ giao thức SSL/TLS, các thành phần cơ bản trong bộ giao thức,
chỉ ra những điểm yếu mất an ninh, an toàn trong giao thức và những giải pháp khắc
phục. Xác định rõ vai trò của hệ mật RSA và thuật toán mã khối trong giao thức
SSL/TLS để xây dựng ứng dụng bảo mật dữ liệu trên đường truyền.
Chương 2: Nâng cao hiệu quả thực thi, độ an toàn của các tham số hệ mật
RSA và thuật toán mã khối.
Trong chương này, luận án trình bày một số kết quả nghiên cứu đề xuất mới
về tiêu chuẩn số mũ công khai trong hệ mật RSA trong lĩnh vực kinh tế - xã hội và
thuật toán mã hóa dữ liệu định hướng cho ứng dụng bảo mật dữ liệu trên đường
truyền.
- Thứ nhất, luận án đưa ra một tiêu chuẩn mới đối với số mũ công khai trong hệ
mật RSA (kết quả nghiên cứu được đăng trong bài báo số 05) và cập nhật bổ
sung giả thiết xác định độ dài modulo an toàn.
- Thứ hai, luận án nghiên cứu đề xuất được ma trận an toàn và cài đặt hiệu quả
dựa trên ma trận tựa vòng cho tầng tuyến tính trong các mã khối dạng AES
(kết quả nghiên cứu được đăng trong bài báo số 06).
Chương 3: Tích hợp mật mã trong giao thức và bộ phần mềm bảo mật dữ liệu
trên đường truyền.

5



Chương 3 tập trung phân tích mô hình, cấu trúc hoạt động của bộ phần mềm
OpenVPN. Kiểm soát và từng bước làm chủ bộ phần mềm mã nguồn mở. Thực hiện
các giải pháp tích hợp mật mã vào các thành phần trong bộ phần mềm OpenVPN.
- Cài đặt, tích hợp bộ tham số an toàn của hệ mật RSA vào quá trình xác thực,
trao đổi khóa trong bộ giao thức SSL/TLS.
- Xây dựng bộ phần mềm thử nghiệm bảo mật đường truyền dựa trên công nghệ
OpenVPN có tích hợp các tham số và thuật toán mã khối an toàn, hiệu quả
khắc phục được một số điểm yếu của bộ giao thức SSL/TLS đã phân tích; Thử
nghiệm và đánh giá tính an ninh an toàn và hiệu năng của bộ phần mềm.
Phần kết luận: Trình bày những kết quả nghiên cứu chính của luận án, nêu bật
các đóng góp mới của luận án và định hướng nghiên cứu tiếp theo.
Phần Phụ lục: Trình bày một số kết quả cài đặt, thử nghiệm thuật toán tích
hợp vào bộ phần mềm bảo mật dữ liệu trên đường truyền.

6


CHƯƠNG I: TỔNG QUAN VỀ GIẢI PHÁP CAN THIỆP MẬT MÃ
VÀO HỆ THỐNG MẠNG DÙNG GIAO THỨC TCP/IP
Xây dựng các hệ thống bảo mật thông tin trên mạng máy tính đòi hỏi một giải
pháp tổng thể bao gồm nhiều cơ chế an toàn như điều khiển truy nhập, mã hóa dữ
liệu, chữ ký số, xác thực, bảo vệ vật lý [8], [26], [49], [53],... Kỹ thuật mật mã đóng
một vai trò rất quan trọng trong việc bảo vệ thông tin trên mạng, nó cho phép chúng
ta cài đặt hầu hết các dịch vụ an toàn bao gồm các dịch vụ bí mật, xác thực, toàn
vẹn và không thể chối bỏ. Ngoài ra nó góp phần quan trọng trong việc cài đặt dịch
vụ điều khiển truy nhập.
1.1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG
1.1.1. Một số khái niệm cơ bản về an toàn thông tin
Trong hoạt động xã hội, thông tin được thể hiện dưới nhiều hình thức khác
nhau như văn bản, hình ảnh, âm thanh. Trên mạng máy tính, thông tin được lưu trữ

trong các thiết bị vật lý như ổ đĩa, thẻ nhớ…hoặc được truyền qua kênh công khai.
Những thông tin có giá trị luôn luôn chịu những mối đe dọa của những người không
được ủy quyền. Họ có thể là những kẻ tấn công bất hợp pháp hoặc những người
trong nội bộ cơ quan, tổ chức có thông tin cần bảo vệ. Khái niệm “An toàn thông
tin” (Information security) chỉ ra các yêu cầu đối với việc bảo vệ thông tin bao gồm:
- Tính bí mật (Confidentality): Đảm bảo rằng thông tin không bị lộ hoặc bị
khám phá bởi những người không được ủy quyền.
- Tính xác thực (Authentication): Đảm bảo rằng người gửi và người nhận
thông tin không bị mạo danh.
- Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin không bị thay đổi hoặc bị
phá hủy bởi những người không được ủy quyền.
- Tính sẵn sàng (Availibility): Đảm bảo rằng những người hợp pháp không bị
từ chối truy nhập một cách không chính đáng tới thông tin và tài nguyên.
Một mối đe doạ (threat) là một người, một vật, một sự kiện, hay một ý định
gây ra một số nguy hiểm đối với tài nguyên, dưới dạng tính bí mật, toàn vẹn, sự khả
dụng, hoặc tính sử dụng hợp pháp của tài nguyên. Một cuộc tấn công (attack) là thể

7


hiện thực tế của một mối đe doạ. Các biện pháp bảo vệ (safeguard) là các điều khiển
vật lý, các cơ chế, các chính sách và các thủ tục bảo vệ các tài nguyên khỏi các mối
đe doạ. Những điểm có thể bị tổn thương (vulnerability) là những điểm yếu trong
một cách bảo vệ, hay nơi thiếu sự bảo vệ.
Sự rủi ro (risk) là độ đo đánh giá tính dễ bị tổn thương thực sự kết hợp với
khả năng tấn công thành công. Độ rủi ro cao nếu giá trị của tài sản có thể bị tổn
thương cao, và khả năng tấn công thành công cao. Ngược lại, độ rủi ro thấp nếu giá
trị của tài sản có thể bị tổn thương thấp, và khả năng tấn công thành công thấp. Việc
phân tích độ rủi ro có thể cung cấp một cách định lượng để xác định xem chi phí
trong các cách bảo vệ có được đảm bảo hay không.

1.1.2. Các nguy cơ mất an toàn thông tin
Do hoạt động trong môi trường mở và phân tán, thông tin được lưu thông
rộng khắp và dưới rất nhiều hình thức nên mạng máy tính phải chịu nhiều mối đe
doạ từ nhiều phía. Các mối đe doạ chủ yếu trực tiếp bao gồm:
- Sự rò rỉ thông tin: Thông tin bị lộ hoặc bị khám phá do một người hoặc thực
thể được phép. Điều này có thể liên quan đến những tấn công trực tiếp, chẳng
hạn nghe trộm hoặc những kiểu theo dõi thông tin tinh tế hơn.
- Vi phạm tính toàn vẹn: Tính nhất quán của dữ liệu bị tổn thương thông qua
việc tạo, thay đổi trái phép hay phá hoại dữ liệu.
- Từ chối dịch vụ: Việc truy nhập thông tin hoặc các tài nguyên khác bị cản trở
một cách có chủ tâm.
- Sử dụng trái phép: Một tài nguyên được sử dụng bởi một người không có
quyền hoặc theo một cách không được phép.
1.1.3. Các hình thức tấn công thông tin trên mạng
Hình 1.1 minh họa luồng thông tin được truyền từ nơi gửi (nguồn thông tin)
đến nơi nhận (đích thông tin). Trên đường truyền công khai thông tin bị tấn công
bởi những người không được ủy quyền nhận tin, ta gọi là kẻ tấn công. Theo [53] các
hình thức tấn công thông tin trên mạng được chia làm 4 loại cơ bản sau:

8


Đích
thông tin

Nguồn
thông tin

(a) Luồng bình thường


Đích
thông tin

Nguồn
thông tin

(b) Ngăn chặn thông tin

(c) Chặn bắt thông tin

Đích
thông tin

Nguồn
thông tin

Đích
thông tin

Nguồn
thông tin

Đích
thông tin

Nguồn
thông tin

(d) Thay đổi thông tin


(e) Chèn thông tin giả

Hình 1.1: Các hình thức tấn công thông tin trên mạng máy tính
- Ngăn chặn thông tin (Interruption): Tài nguyên thông tin bị phá hủy, không
sẵn sàng phục vụ hoặc không sử dụng được. Đây là hình thức tấn công làm
mất khả năng sẵn sàng phục vụ của thông tin.
- Chặn bắt thông tin (Interception): Kẻ tấn công có thể truy nhập tới tài nguyên
thông tin. Đây là hình thức tấn công vào tính bí mật của thông tin.
- Sửa đổi thông tin (Modification): Kẻ tấn công truy nhập, chỉnh sửa thông tin
trên mạng. Đây là hình thức tấn công lên tính toàn vẹn của thông tin
- Chèn thông tin giả (Fabrication): Kẻ tấn công chèn thông tin và dữ liệu giả
vào hệ thống. Đây là hình thức tấn công lên tính xác thực của thông tin. Nó
có thể là việc chèn các thông báo giả mạo vào mạng hay thêm các bản ghi
vào mạng hay các bản ghi vào tệp tin.

9


1.1.4. Một số biện pháp an toàn
Có một số biện pháp bảo vệ chống đe doạ như sau:
- An toàn truyền thông: là bảo vệ thông tin trong khi nó được truyền từ hệ
thống này sang hệ thống khác.
- An toàn máy tính: là bảo vệ thông tin trong một hệ thống máy tính, nó bao
gồm các lớp con như là an toàn hệ điều hành và an toàn cơ sở dữ liệu.
- An toàn vật lý: an toàn các khoá hoặc các điều khiển truy nhập vật lý khác;
ngăn cản phá rối thiết bị nhạy cảm; điều khiển môi trường.
- An toàn nhân sự: nhận dạng vị trí nhạy cảm; các tiến trình bảo vệ nhân viên;
đào tạo và nhận thức về an toàn.
- An toàn hành chính: quản lý nhập khẩu phần mềm nước ngoài; các thủ tục
thẩm tra sự vi phạm luật lệ an toàn.

- An toàn môi trường: bảo vệ nơi lưu trữ thông tin; kiểm tra việc ghi dấu, sao
chép, và sự phá hoại thông tin nhạy cảm.
- An toàn nguồn phát: kiểm soát tần số radio (RF) và các nguồn phát tín hiệu
điện từ khác (gọi là bảo vệ TEMPEST).
- Kiểm soát chu kỳ sống: thiết kế, thực thi, đánh giá, xác nhận hệ thống đáng
tin cậy; lập trình các chuẩn và các điều khiển, quản lý tài liệu.
Để đảm bảo an toàn mạng máy tính một cách hiệu quả cần phải sử dụng phối
hợp các biện pháp đối phó từ các lớp khác nhau. Những biện pháp bảo vệ có thể bảo
đảm chống lại hầu hết các mối đe doạ, nhưng mỗi sự bảo vệ đều có giá của nó. Mỗi
cơ quan, tổ chức sử dụng mạng cần xem xét một cách cẩn thận chi phí bảo vệ so với
giá tiềm năng của một cuộc tấn công thành công.
1.1.5. Các dịch vụ an toàn
Trong ngữ cảnh truyền thông máy tính, các cách bảo vệ an toàn chính được
gọi là các dịch vụ an toàn. Các dịch vụ an toàn tổng quát (khái niệm dịch vụ an toàn
và các dịch vụ an toàn tổng quát xuất phát từ chuẩn kiến trúc an toàn ISO/IEC
7498-2) bao gồm:

10


- Dịch vụ giữ bí mật (Confidentiality service): bảo vệ chống lại thông tin bị lộ
hoặc bị khám phá do các thực thể không được phép.
- Dịch vụ xác thực (Authentication service): cung cấp sự đảm bảo về định danh
của thực thể nào đó (một người hoặc một hệ thống).
- Dịch vụ toàn vẹn dữ liệu (Data integrity service): bảo vệ chống lại dữ liệu bị
thay đổi, xoá, hoặc thay thế trái phép.
- Dịch vụ chống chối bỏ (Non-repudiation service): bảo vệ chống lại một nhóm
trao đổi truyền thông từ chối một cách không đúng khi trao đổi xảy ra.
- Dịch vụ kiểm soát truy nhập (Access control service): bảo vệ chống lại việc
sử dụng hoặc thao tác trái phép trên các tài nguyên.

Chính sách an toàn đối với một vùng an toàn sẽ định ra dịch vụ an toàn nào
được sử dụng trong miền đó hoặc trong các cuộc truyền thông giữa vùng đó và các
vùng khác. Nó cũng sẽ định ra với tình huống nào thì một dịch vụ an toàn được sử
dụng và những hạn chế gì được đặt trong các tham biến của một dịch vụ.
1.1.5.1. Dịch vụ bí mật
Dịch vụ bí mật bảo đảm rằng thông tin trong hệ thống máy tính và thông tin
được truyền được đọc bởi những bên được ủy quyền. Thao tác đọc bao gồm in ấn,
hiển thị thông tin. Nói cách khác, dịch vụ bí mật bảo vệ dữ liệu được truyền chống
lại các tấn công bị động nhằm khám phá nội dung thông tin. Dịch vụ này còn cung
cấp khả năng bảo vệ luồng thông tin khỏi bị tấn công phân tích tình huống. Có một
sự khác nhau giữa thông tin (information) và dữ liệu (data) [49]. Thông tin luôn có
một ý nghĩa nào đó, một mục dữ liệu (data item) là một xâu các bít được dùng để
lưu trữ hoặc truyền thông tin. Từ đó, một mục dữ liệu được chứa hoặc được truyền
tạo thành một dạng của kênh thông tin. Trong an toàn truyền thông máy tính có hai
kiểu của dịch vụ bí mật:
- Bí mật dữ liệu (data confidentiality): đảm bảo rằng không thể suy ra thông tin
nhậy cảm (sensitive information) từ nội dung hoặc kích cỡ của mục dữ liệu
nhận được.

11


- Bí mật luồng giao dịch mạng (traffic flow confidentiality): đảm bảo rằng
không thể suy ra thông tin nhạy cảm từ việc quan sát các luồng giao dịch
mạng.
Việc xem xét các dịch vụ bí mật dữ liệu có một vài biến thể phụ thuộc vào
việc phân nhỏ chúng, nghĩa là với mỗi mục dữ liệu thì dịch vụ bí mật nào được áp
dụng. Có ba dạng khác nhau của dịch vụ bí mật dữ liệu, đó là:
- Dịch vụ bí mật kết nối (connection confidentiality service): bảo vệ tất cả dữ
liệu trong một kết nối. Dịch vụ này được dùng cho giao thức kết nối như

TCP trong bộ giao thức TCP/IP.
- Dịch vụ bí mật không kết nối (connectionless confidentiality service): bảo vệ
dữ liệu của một khối dữ liệu không kết nối. Dịch vụ này được dùng cho giao
thức không kết nối như IP trong bộ giao thức TCP/IP.
- Dịch vụ bí mật trường lựa chọn (selective field confidentiality): chỉ bảo vệ
các trường được chỉ định trong một khối dữ liệu. Dịch vụ này thường được
dùng trong việc bảo vệ các cơ sở dữ liệu.
1.1.5.2. Dịch vụ xác thực
Các dịch vụ xác thực cung cấp sự đảm bảo về định danh của người hoặc vật
nào đó. Điều này có nghĩa là khi một ai đó đòi hỏi có một định danh cụ thể (ví dụ,
tên người dùng cụ thể), thì một dịch vụ xác thực sẽ cung cấp một phương tiện khẳng
định yêu cầu này là đúng. Dịch vụ xác thực đảm bảo rằng việc truyền thông là xác
thực nghĩa là cả người gửi và người nhận không bị mạo danh. Trong trường hợp có
một thông báo đơn như một thư điện tử hay một yêu cầu kết nối, dịch vụ xác thực
đảm bảo với bên nhận rằng thông báo đến từ đúng bên nêu danh. Trong trường hợp
có một giao dịch đang xảy ra, dịch vụ xác thực đảm bảo rằng hai bên giao dịch là
xác thực và không có kẻ nào giả danh làm một trong các bên trao đổi. Nói một cách
khác, dịch vụ xác thực yêu cầu nguồn gốc của thông báo được nhận dạng đúng với
các định danh đúng. Xác thực là rất quan trọng trong các dịch vụ an toàn, bởi vì tất
cả các dịch vụ an toàn khác chỉ có ý nghĩa khi thông tin được xác thực. Xác thực là

12


cách thức để chống lại sự giả danh mà nó có thể dẫn tới sự tổn thương của các dịch
vụ khác.
Xác thực áp dụng trong một ngữ cảnh cụ thể, nghĩa là ngữ cảnh mà ở đó định
danh được đưa ra. Hai trường hợp quan trọng trong dịch vụ xác thực là:
- Một định danh được đưa ra bởi một nhóm từ xa tham gia vào một liên kết
hoặc phiên truyền thông. Dịch vụ xác thực trong trường hợp này được hiểu là

xác thực thực thể (entity authentication).
- Một định danh được yêu cầu là bộ khởi sinh của một mục dữ liệu được đưa
ra cùng với mục dữ liệu đó. Dịch vụ xác thực trong trường hợp này được
hiểu là xác thực nguồn gốc dữ liệu (data origin authentication).
1.1.5.3. Dịch vụ toàn vẹn dữ liệu.
Dịch vụ toàn vẹn dữ liệu đòi hỏi rằng các tài nguyên của hệ thống máy tính
và thông tin được truyền không bị sửa đổi trái phép. Việc sửa đổi bao gồm các thao
tác chèn, xóa, thay đổi dữ liệu, nó cũng bao gồm cả việc thay đổi thứ tự, làm trễ
hoặc dừng các thông báo được truyền. Dịch vụ toàn vẹn dữ liệu có thể áp dụng cho
một thông báo, một luồng thông báo hay chỉ một số trường trong thông báo. Dịch
vụ toàn vẹn kết nối (connection integrity) [49] áp dụng cho một luồng thông báo,
tức là tất cả dữ liệu được truyền trong một kết nối và nó đảm bảo rằng các thông
báo được nhận có nội dung giống như khi được gửi, không bị nhân bản, chèn, sửa,
thay đổi trật tự hay dùng lại kể cả hủy hoại số liệu. Như vậy, dịch vụ toàn vẹn định
hướng kết nối quan tâm cả đến việc thay đổi thông báo và từ chối dịch vụ. Dịch vụ
toàn vẹn phi kết nối (connectionless integrity) [49] áp dụng cho tất cả dữ liệu của
một mục dữ liệu được truyền và chỉ quan tâm đến việc giữ cho thông báo không bị
sửa đổi. Dịch vụ toàn vẹn này liên quan đến các tấn công chủ động nên nó thiên về
phát hiện hơn là ngăn chặn. Dịch vụ toàn vẹn trường lựa chọn (selective field
integrity service) [49] chỉ áp dụng cho các trường được chỉ định trong một khối dữ
liệu. Tất cả các dịch vụ toàn vẹn dữ liệu nhằm chống lại việc tạo hoặc thay đổi dữ
liệu, tuy nhiên chúng không thể chống lại việc sao chép hoặc xóa dữ liệu.

13


1.1.5.4. Dịch vụ không thể chối bỏ
Dịch vụ không thể chối bỏ ngăn chặn người gửi hay người nhận chối bỏ
thông báo được truyền. Khi thông báo được gửi đi người nhận có thể chứng minh
rằng người gửi nêu danh đã gửi nó đi. Khi thông báo nhận được người gửi có thể

chứng minh thông báo đã nhận được bởi người nhận hợp pháp. Mục đích chính của
dịch vụ không thể chối bỏ là bảo vệ những người dùng truyền thông chống lại các
mối đe doạ từ những ngườì dùng hợp pháp khác, mà không phải là những kẻ tấn
công lạ mặt. Dịch vụ này có thể đảm bảo rằng các bằng chứng để giải quyết việc
tranh cãi là không thể bác bỏ được.
Về cơ bản, không thể chối bỏ có thể áp dụng cho bất kỳ một loại sự kiện nào
ảnh hưởng tới hai hoặc nhiều nhóm. Nếu chúng ta chỉ hạn chế các mối quan tâm tới
các môi trường mạng máy tính, thì kịch bản không thừa nhận có thể được chia
thành hai trường hợp phân biệt:
- Không thừa nhận nguồn gốc: Không thừa nhận là có một nhóm cụ thể khởi
sinh một mục dữ liệu cụ thể.
- Không thừa nhận sự phân phát: Không thừa nhận một mục dữ liệu cụ thể
được phát cho một nhóm cụ thể.
1.1.5.5. Dịch vụ kiểm soát truy nhập
Kiểm soát truy nhập là khả năng hạn chế và kiểm soát truy nhập đến các hệ
thống máy tính và các ứng dụng theo các đường truyền thông. Mỗi thực thể muốn
truy nhập đều phải được định danh hay xác nhận có quyền truy nhập phù hợp. Mục
đích của điều khiển truy nhập là bảo vệ chống lại truy nhập trái phép tới tài nguyên
mạng. Khái niệm truy nhập trái phép bao gồm sử dụng trái phép, tiết lộ trái phép,
thay đổi trái phép, sự phá hoại trái phép và việc đưa ra các lệnh trái phép. Điều
khiển truy nhập tham gia trực tiếp vào việc thực hiện các dịch vụ bí mật, toàn vẹn
và sẵn sàng của thông tin. Dễ nhận thấy vai trò của kiểm soát truy nhập đối với tính
bí mật và tính toàn vẹn của thông tin. Đối với thuộc tính sẵn sàng nó kiểm soát:
- Ai có thể đưa ra các câu lệnh quản trị mạng mà các lệnh này ảnh hưởng trực
tiếp tới tính sẵn sàng của mạng;

14



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×