HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA MẬT MÃ


BÁO CÁO BÀI TẬP LỚN MÔN HỌC
BẢO MẬT THÔNG TIN TRÊN MẠNG MÁY TÍNH
Chủ đề số 07

XÂY DỰNG HỆ THỐNG MINH HỌA TẤN CÔNG PADDING
ORACLE LÊN CHẾ ĐỘ CBC CỦA MÃ KHỐI

Giảng viên: KS. Nguyễn Văn Nghị
Thực hiện: Sinh viên lớp AT8B
1. Nguyễn Văn A
2. Trần Thị B

HÀ NỘI, 2015


Ý KIẾN CỦA GIẢNG VIÊN


MỤC LỤC
Danh mục kí hiệu và từ viết tắt..............................................................................1
Danh mục CÁC BẢNG...........................................................................................2
DANH MỤC CÁC HÌNH VẼ.................................................................................3
Lời nói đầu...............................................................................................................4
Chương 1. Tổng quan về kiểm soát truy cập tài nguyên website........................6
1.1. Khái niệm tài nguyên của website.....................................................................6
1.2. Kiểm soát truy cập tài nguyên của website.......................................................6
Chương 2. Phân tích cơ chế kiểm soát truy cập tài nguyên của website............7

2.1. Cơ chế định danh người dùng...........................................................................7
2.2. Mô hình kiểm soát truy cập...............................................................................7
Kết luận....................................................................................................................8
Tài liệu tham khảo...................................................................................................10


DANH MỤC KÍ HIỆU VÀ TỪ VIẾT TẮT
Các từ viết tắt phải được liệt kê theo thứ tự trong bảng chữ cái. Các từ viết
tắt tiếng Việt liệt kê trước, các từ viết tắt tiếng nước ngoài liệt kê sau.
Viết tắt

Giải thích

ABAC

Attribute Based Access Control

ACL

Access Control List

ACM

Access Control Matrix

CGI

Common Gateway Interface

CSV


Comma Separated Value

DAC

Discretionary Access Control

HMAC

Hash-based Message Authentication Code

HTTP

HyperText Transfer Protocol

IANA

Internet Assigned Numbers Authority

ISP

Internet Service Provider

MAC

Mandatory Access Control

MIME

Multipurpose Internet Mail Extensions


O

Object

PBAC

Policy-based Access Control

QoS

Quality of Service

RBAC

Role-based Access Control

RIR

Regional Internet Registry

RAdAC

Risk-adaptive Access Control

S

Subject

SEO


Search Engine Optimization

Xây dựng hệ thống minh họa tấn công Padding Oracle lên chế độ CBC của mã khối

Tr.1


DANH MỤC CÁC BẢNG
Bảng 1.1: Bảng biểu diễn …………………………………………………5
(danh mục làm tự động giống mục lục)

Xây dựng hệ thống minh họa tấn công Padding Oracle lên chế độ CBC của mã khối

Tr.2


DANH MỤC CÁC HÌNH VẼ
Hình 1.1: Hình biểu diễn …………………………………………………5
(danh mục làm tự động giống mục lục)

Xây dựng hệ thống minh họa tấn công Padding Oracle lên chế độ CBC của mã khối

Tr.3


LỜI NÓI ĐẦU
Trong thời đại công nghệ thông tin, khả năng truy cập, tiếp cận thông tin một
cách nhanh chóng, kịp thời sẽ quyết định sự thành bại của nhiều hoạt động, từ hoạt
động kinh doanh đến hoạt động quân sự. Trong nghiên cứu khoa học, sự thuận tiện

trong tìm kiếm, tra cứu thông tin sẽ giúp nhà khoa học rút ngắn thời gian nghiên
cứu, sớm đạt được kết quả.
Ngày nay, khi mạng Internet đã phát triển một cách vượt bậc, khi những
thành tựu của công nghệ thông tin đã cho phép lưu trữ thông tin với lượng lớn hơn,
truyền thông tin với tốc độ cao hơn, thì nhu cầu chia sẻ và được chia sẻ thông tin là
tất yếu. Trong lĩnh vực đào tạo và nghiên cứu khoa học thì nhu cầu này càng thể
hiện rõ. Thế nhưng, mọi tài nguyên đề có giới hạn. Dù công nghệ phát triển nhưng
khả năng xử lý của máy tính, băng thông của đường truyền vẫn thường không đáp
ứng đủ nhu cầu của người dùng. Vì thế, vấn đề đặt ra là phải thực hiện việc chia sẻ
thông tin như thế nào để đảm bảo hệ thống hoạt động ổn định, người dùng được
phục vụ tốt nhất trong điều kiện hữu hạn về tài nguyên.
Có lẽ sẽ không có ai bàn cãi nếu kết luận rằng cách thức hiệu quả nhất hiện
nay để chia sẻ thông tin cho một lượng lớn người dùng trên một không gian địa lí
rộng lớn là sử dụng công nghệ web. Đến nay trên Internet đã có nhiều website chia
sẻ dữ liệu hoạt động ổn định qua nhiều năm, ví dụ như www.rapidshare.com,
www.4share.com,... Tin rằng những kỹ thuật được áp dụng trên đó sẽ hữu ích cho
việc xây dựng một hệ thống tương tự nhằm mục đích chia sẻ thông tin trong Học
viện Kỹ thuật mật mã. Nhận thức được vấn đề đó, chúng tôi đã quyết định chọn đề
tài nghiên cứu khoa học cấp cơ sở là "Nghiên cứ giải pháp kiểm soát truy cập tài
nguyên của website và đề xuất ứng dụng". Mục tiêu đặt ra khi thực hiện đề tài này
gồm:
 Tìm hiểu tổng quan về việc kiểm soát tài nguyên được thực hiện trên các
website trên Internet.
 Phân tích, làm rõ cơ chế thực hiện việc kiểm soát truy cập tài nguyên trên
các website đó.
 Đề xuất một giải pháp kiểm soát truy cập tài nguyên phù hợp với việc chia
sẻ thông tin trong môi trường Học viện.
 Xây dựng một hệ thống để minh họa việc ứng dụng giải pháp đã đề xuất
trên đây vào việc kiểm soát truy cập tài nguyên.
Xây dựng hệ thống minh họa tấn công Padding Oracle lên chế độ CBC của mã khối


Tr.4


Mục đích mà chúng tôi hướng đến khi đặt ra mục tiêu nghiên cứu như vậy là
tìm kiếm một giải pháp hiệu quả để thực hiện việc kiểm soát tài nguyên khi thực
hiện chia sẻ thông tin nhằm duy trì sự ổn định của hệ thống và phục vụ tốt nhất
người dùng trong điều kiện hạn chế về tài nguyên tính toán và tài nguyên mạng.
Hiện nay trên thị trường có rất nhiều tài liệu về xây dựng ứng dụng web, từ
thiết kế đến viết chương trình, nhưng lại không thấy có tài liệu nào trình bày một
cách hệ thống về các giải pháp kiểm soát truy cập tài nguyên khi chia sẻ thông tin
qua website. Đó là một khó khăn lớn cho chúng tôi khi thực hiện đề tài này. Chúng
tôi đã phải vận dụng những kiến thức về lý thuyết kiểm soát truy cập, về giao thức
HTTP, về web server, về ngôn ngữ lập trình web... để phân tích, tìm ra cơ chế kiểm
soát truy cập được sử dụng trên các website trên Internet, từ đó đạt tới mục tiêu đề
ra.
Với cách tiếp cận mang nặng tính kinh nghiệm như thế, chắc chắn chúng tôi
không thể tránh khỏi những thiếu sót. Rất mong nhận được ý kiến đóng góp của
đồng nghiệp và các chuyên gia khác có quan tâm để chúng tôi có thể hoàn thiện kết
quả nghiên cứu của mình.

Xây dựng hệ thống minh họa tấn công Padding Oracle lên chế độ CBC của mã khối

Tr.5


CHƯƠNG 1. TỔNG QUAN VỀ KIỂM SOÁT TRUY CẬP TÀI NGUYÊN
WEBSITE
1.1. Khái niệm tài nguyên của website
Chúng tôi đã phân tích và đi đến quyết định chỉ giới hạn phạm vi xem xét là

những website được xây dựng để cho phép người dùng tải về (download) các tài
liệu điện tử. Các tài liệu đó có thể là sách điện tử, phần mềm, phim, nhạc hoặc các
dạng tài liệu khác mà mục đích của chúng là cho phép người dùng web tải về để sử
dụng mà không phải để hiển thị trên webpage.
1.2. Kiểm soát truy cập tài nguyên của website
Kiểm soát truy cập tài nguyên của website được hiểu là việc áp dụng các
chính sách khác nhau đối với các nhóm người dùng khác nhau khi người dùng thực
hiện truy cập tài nguyên của website nhằm đảm bảo website hoạt động ổn định,
hiệu quả, đúng thiết kế ban đầu.
Trong Sách da cam ("Orange book") và các tài liệu truyền thống về an toàn
thông tin [1], có 2 mô hình kiểm soát truy cập thường được xem xét là: Mô hình
kiểm soát truy cập tùy chọn (DAC – Discretionary Access Control), Mô hình kiểm
soát truy cập bắt buộc (MAC – Mandatory Access Control). Còn Viện Tiêu chuẩn
và công nghệ quốc gia Hoa Kì (NIST: National Institute of Standards and
Technology) [4] xem xét một tập hợp phong phú hơn các mô hình kiểm soát truy
cập: Mô hình danh sách kiểm soát truy cập (ACL – Access Control List), Mô hình
kiểm soát truy cập theo vai (RBAC –Role-based Access Control), Mô hình kiểm
soát truy cập theo thuộc tính (ABAC – Attribute Based Access Control), Mô hình
kiểm soát truy cập theo chính sách (PBAC – Policy-based Access Control), Mô
hình kiểm soát truy cập thích ứng rủi ro (RAdAC – Risk-adaptive Access Control).

Xây dựng hệ thống minh họa tấn công Padding Oracle lên chế độ CBC của mã khối

Tr.6


CHƯƠNG 2. PHÂN TÍCH CƠ CHẾ KIỂM SOÁT TRUY CẬP TÀI
NGUYÊN CỦA WEBSITE
1.3. Cơ chế định danh người dùng
Nhóm đề tài đã khảo sát các website trên Internet và chỉ ra các phương án

định danh người dùng, bao gồm:
 Định danh người dùng bằng tài khoản
 Định danh người dùng bằng phiên làm việc
 Định danh người dùng bằng địa chỉ IP
 Định danh người dùng bằng vị trí địa lý
Nhóm cũng đã chỉ ra cơ chế để thực hiện các phương án định danh người
dùng trên đây.
1.4. Mô hình kiểm soát truy cập
Phần này đã xem xét các mô hình kiểm soát truy cập gồm:
 Mô hình kiểm soát truy cập tùy chọn (DAC),
 Mô hình kiểm soát truy cập bắt buộc (MAC).
 Mô hình danh sách kiểm soát truy cập (ACL),
 Mô hình kiểm soát truy cập theo vai (RBAC),
 Mô hình kiểm soát truy cập theo thuộc tính (ABAC),
 Mô hình kiểm soát truy cập theo chính sách (PBAC),
 Mô hình kiểm soát truy cập thích ứng rủi ro (RAdAC).
Chúng tôi đã phân tích và chỉ ra những mô hình kiểm soát truy cập có thể
cân nhắc lựa chọn khi xây dựng ứng dụng web là: MAC, RBAC và ABAC.

Xây dựng hệ thống minh họa tấn công Padding Oracle lên chế độ CBC của mã khối

Tr.7


KẾT LUẬN
Sau gần một năm nghiên cứu, thử nghiệm, nhóm đề tài đã đạt được tất cả
các mục tiêu đề ra. Cụ thể:
Trong chương 1, nhóm đề tài đã chỉ ra giới hạn đối với đối tượng nghiên cứu
là những website được xây dựng nhằm mục đích lưu trữ và chia sẻ dữ liệu, tức là
những website thuộc nhóm 50 trong bảng phân loại của TrendMicro. Nhóm đã chỉ

rõ ý nghĩa của hai khái niệm căn bản nhất trong đề tài này, đó là "tài nguyên của
website", "kiểm soát truy cập tài nguyên của website". Và trong phần cuối của
chương 1, nhóm đề tài đã chỉ ra những hình thức kiểm soát truy cập tài nguyên
được áp dụng trên các website trên Internet.
Trong chương 2, nhóm đề tài đã phân tích, làm rõ một số cơ chế kiểm soát
truy cập tài nguyên được sử dụng trên các website trên Internet và đã được chỉ ra
trong chương 1.
Trong chương 3, trên cơ sở kết quả thu được ở chương 2, căn cứ vào việc
phân tích đánh giá đặc điểm của hệ thống chia sẻ thông tin tiềm năng phục vụ nhu
cầu của Học viện, nhóm đề tài đã đề xuất được giải pháp kiểm soát truy cập tài
nguyên cho hệ thống đó. Giải pháp đó bao gồm: cách thức định danh và phân
nhóm người dùng, mô hình kiểm soát truy cập, chính sách truy cập và cách thức
thực thi chính sách truy cập.
Trong chương 4 nhóm đã trình bày chi tiết về hệ thống cung cấp tài liệu điện
tử có kiểm soát được xây dựng để minh họa cho việc ứng dụng một phần giải pháp
kiểm soát truy cập tài nguyên đã được đề xuất ở chương 3. Hệ thống này tuy đơn
giản nhưng đã cho thấy tính khả thi của giải pháp kiểm soát truy cập nêu trên.
Kết quả nghiên cứu đề tài có thể được ứng dụng theo hai hướng chính.
Thứ nhất là ứng dụng vào việc giảng dạy học phần "Xây dựng ứng dụng web an
toàn" trong chương trình đào tạo kĩ sư chuyên ngành An toàn thông tin tại Học
viện. Thứ hai là ứng dụng vào việc xây dựng một hệ thống cung cấp tài liệu điện tử
có kiểm soát để sử dụng cho Học viện nhằm đáp ứng nhu cầu tiếp cận thông tin
của học viên, sinh viên và cán bộ, giảng viên Học viện.
Dù nhóm đề tài đã có sự nỗ lực trong nghiên cứu, nhưng vẫn còn tồn tại hạn
chế trong kết quả nghiên cứu. Các thông số trong giải pháp được đề xuất trong
chương 3 chỉ mang tính chất định tính, nhóm đề tài chưa đủ khả năng để thực hiện
nghiên cứu định lượng các thông số đó.

Xây dựng hệ thống minh họa tấn công Padding Oracle lên chế độ CBC của mã khối


Tr.8


Như thế, hướng phát triển của đề tài là nghiên cứu, đánh giá các thông số
của hệ thống cung cấp tài liệu điện tử tiềm năng của Học viên như: cơ sở hạ tầng
mạng, cấu hình phần cứng máy chủ, số lượng người dùng từng nhóm, tập hợp tài
nguyên được chia sẻ, mức độ ưu tiên giữa các nhóm người dùng, yêu cầu về tốc độ
tối thiểu đối với từng nhóm người dùng... Trên cơ sở đó thực hiện thí nghiệm, phân
tích đánh giá để đưa ra các thông số định lượng cho giải pháp đã đề xuất.

Xây dựng hệ thống minh họa tấn công Padding Oracle lên chế độ CBC của mã khối

Tr.9


TÀI LIỆU THAM KHẢO
[1] Nguyễn Đình Vinh, Trần Đức Sự, Vũ Thị Vân, Giáo trình Cơ sở an toàn
thông tin, Học viện Kỹ thuật mật mã, 2013
[2] Goyvaerts and Steven Levithan, Regular Expressions Cookbook, Second
Edition, ISBN: 978-1-449-31943-4, 612pp., O'Reilly, 2012
[3] Jeffrey E. F. Friedl, Mastering Regular Expressions, Third Edition, ISBN:
978-0-59-652812-6, 542pp., O'Reilly, 2006
[4] NIST, A survey of access control models,
/>
Xây dựng hệ thống minh họa tấn công Padding Oracle lên chế độ CBC của mã khối

Tr.10