Tải bản đầy đủ (.pdf) (27 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Đại cương

Bài giảng an toàn mạng máy tính

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (865.74 KB, 27 trang )

Chương 3:
AN TỒN MẠNG MÁY TÍNH
Giáo viên: ThS. Tạ Minh Thanh
E-mail:

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

1


An ninh truyền tin người-người
-Kẻ trộm không hiểu được nội dung
-Thông điệp không bị sửa đổi
-Gửi đúng địa chỉ
-…

-Ăn trộm
-Sửa đổi
-Huỷ bỏ
-…

??????
"Thần tốc, thần tốc hơn nữa. Táo bạo, táo bạo hơn nữa. Tranh thủ từng giờ, từng
phút, xốc tới mặt trận, giải phóng miền Nam, quyết chiến và tồn thắng".
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An



2


An tồn mạng máy tính
4.1 - An tồn mạng và các yêu cầu
4.2 - Mã hoá (cryptography)
4.3 - Chứng thực (authentication)
4.4 - Tính liêm chính và nguyên vẹn (integrity)
4.5 - Key Distribution and Certification
4.6 - Kiểm soát truy cập (access control): firewalls
4.7 - Tấn công mạng (network attacks)
4.8 - An ninh tại các tầng mạng
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

3


Truyền tin an tồn trong mạng máy tính
• Alice, Bob, Trudy: các máy tính cụ thể, các dịch vụ cụ thể (web,
mail, DNS, bank…).
• Bob, Alice muốn “trị chuyện” bí mật; nạn nhân (victim) của Trudy
• Trudy (kẻ trộm) muốn và có thể nghe thấy, lưu lại, huỷ bỏ, sửa
đổi thông điệp, gửi thông điệp giả mạo.

(Alice’s boyfriend)


(Bob’s girlfriend)
(Kẻ phá hoại)

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

4


Các u cầu về an tồn truyền tin
• Bí mật (confidentiality): msg truyền đi chỉ có sender
(sndr) và receiver (rcvr) hiểu được.
– sndr mã hố msg
– rcvr giải mã msg

• Chứng thực (authentication): đảm bảo sndr và rcvr
đang trao đổi thơng tin với đúng đối tượng (khơng bị giả
mạo).
• Tính liêm chính và ngun vẹn (integrity): msg nhận
được khơng bị sửa đổi và nếu bị sửa đổi phải phát hiện
được; msg phải đảm bảo đến từ đúng sndr.
• Kiểm sốt truy cập (access control):
– kiểm soát được sự truy nhập dịch vụ (firewalls).
– dịch vụ luôn sẵn sàng với người dùng hợp lệ.
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An


5


Mã hố (cryptography)

• Mã hố (encryption): chuyển msg thành dạng khác mà chỉ có sndr và
rcvr hiểu được bằng cách giải mã (decryption).
• Khố (key): thơng tin sử dụng để mã hoá hay giải mã
– Khoá đối xứng (symmetric); khoá chia sẻ (shared): cả sndr và rcvr cùng biết.
– Khoá cơng khai (public): khố dùng để mã hố được cơng khai.

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

6


Mã hố đối xứng
(SKC - Symmetric Key Cryptography)
• Mã Caesar: thay thế các ký tự của msg bởi ký tự đứng
sau nó k vị trí.
– Vd: k=1 thì ab, bc,…,za. Dễ mã hố/giải mã
• Phương pháp thế (substitution):
Dễ phá mã???
– thay thế ký tự theo bảng thay thế.(brute-force attack + sự
hiểu biết về victim và
– mã Caecar là trường hợp đặc biệt.

ngơn ngữ tự nhiên)
• Ví dụ:
Bảng
thế

Msg

plaintext: bob. i love you. alice
ciphertext: nkn. s gktc wky. mgsbc

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

7


SKC: DES
• DES: Data Encryption Standard
• Đưa ra bởi NIST (National Institute of Standard and Technology,
US).
• Khố (key) là một số nhị phân 56-bit; dữ liệu (data) là số nhị phân
64-bit.
• Mức độ an tồn của DES:
– RSA Inc. 1997, msg = “Strong cryptography makes the world a safer
place” , khố 56-bit. giải mã bằng brute-force: 4 tháng.

• Tăng độ an toàn của DES:
– cipher-block chaining: đầu ra của bộ 64-bit thứ j XOR với 64-bit vào kế

tiếp.
– mã hoá nhiều lần liên tiếp (3 lần  triple-DES: 3DES).
– Advanced Encryption Standard (AES):
• NIST cải tiến DES, 2001; Khố: 128, 256, 512-bit;
• brute-force: 149 nghìn tỷ (trillion) năm đối với 1 giây để giải mã DES 56-bit key.

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

8


Basic DES operation

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

9


Public Key Cryptography (PKC)
• Sử dụng khố đối xứng (SKC):
– khố mã và khố giải mã giống nhau (khố bí mật).
– sndr và rcvr cần phải thoả thuận trước khoá bí mật.
– nếu khố dùng chung được gửi qua mạng thì cũng có
khả năng bị “ăn cắp”.


• Mã hố sử dụng khố cơng khai:
– mỗi bên (sndr, rcvr) sử dụng một cặp khoá (khoá mã
và khoá giải mã).
– khoá mã được cơng khai (PK - public key).
– khố giải mã là bí mật (SK - secret key; sndr khơng
cần biết khố này của rcvr).
– sndr khơng cần biết khố bí mật của rcvr.
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

10


PKC (cont)

• KB+ : khố cơng khai (khố mã) của Bob
• KB- : khố bí mật (khố giải mã) của Bob
• Alice chỉ cần biết KB+ để mã hố thơng điệp m.
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

11


PKC (cont)

• u cầu đối với PKC:
– Cần có hai “hàm” KB+ ( ) và KB- ( ) sao cho:

m = KB- (KB+ ( m))
– “Khơng thể” tìm ra KB- khi biết KB+

• Ví dụ:
– RSA (Rivest, Shamir, Adelson) algorithm
– Khố cơng khai và khố bí mật là các cặp
số nguyên.
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

12


RSA: Chọn khố thế nào?
• Chọn hai số ngun tố lớn p, q. (vd: 1024-bits);
• Tính n = pq, z = (p-1)(q-1);
• Chọn số e < n với e và z là hai số nguyên tố
cùng nhau.
• Chọn số d sao cho (e.d - 1) chia hết cho z
(e.d mod z =1).
• Từ đó, có:
– Khố cơng khai: (n,e)
– Khố bí mật: (n,d)
December 3, 2016


Học viện Kỹ thuật Quân sự
Khoa CNTT - An

13


RSA: Encryption, decryption
• Mã hố:
– m là dãy bit cần mã hoá
– c = me mod n
– c là mã hố của m

• Giải mã:
– rcvr nhận được c
– m = cd mod n

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

14


RSA example
Bob chooses p=5, q=7. Then n=35, z=24.
e=5 (so e, z relatively prime).
d=29 (so ed-1 exactly divisible by z)

encrypt:


decrypt:

letter

m

me

l

12

1524832

c
17

December 3, 2016

d
c
481968572106750915091411825223071697

c = me mod n
17
m = cd mod n letter
12
l


Học viện Kỹ thuật Quân sự
Khoa CNTT - An

15


RSA: more
-

+

B

B

K (K (m))

+ = m = K (K (m))
B B

sử dụng khố cơng
khai trước

sử dụng khố bí
mật trước

Thứ tự sử dụng khố cơng khai và bí mật khơng
ảnh hưởng tới kết quả mã hoá/giải mã
December 3, 2016


Học viện Kỹ thuật Quân sự
Khoa CNTT - An

16


An tồn mạng máy tính
4.1 - An tồn mạng và các yêu cầu
4.2 - Mã hoá (cryptography)
4.3 - Chứng thực (authentication)
4.4 - Tính liêm chính và nguyên vẹn (integrity)
4.5 - Key Distribution and Certification
4.6 - Kiểm soát truy cập (access control): firewalls
4.7 - Tấn công mạng (network attacks)
4.8 - An ninh tại các tầng mạng
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

17


Chứng thực
• Mục đích của chứng thực là đảm bảo chắc chắn đối
phương khơng bị giả mạo.
• Authentication Protocol – ap (textbook #1).
• ap1.0: Alice say “I’m Alice”

Failed

Bob khơng “nhìn
thấy” Alice trong
mạng máy tính (#
đời thực)
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

18


Authentication: ap2.0

Failed

• Alice says “I am Alice” và gửi kèm địa chỉ của mình để chứng minh:
gói tin của Alice có chứa IP của Alice (src addr).
• Trudy có thể tạo các gói tin giả mạo có chứa src addr là IP của Alice

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

19


Authentication: ap3.0


Failed

• Alice gửi kèm password để chứng minh.
• Trudy có khả năng “nghe” được password của Alice.
– Trudy ghi lại password rồi dùng nó để gửi cho Bob khi
bị hỏi password (record and playback).
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

20


Authentication: ap3.1
• Alice gửi kèm password đã được mã hố (encrypted
password) để chứng minh.
• Trudy có khả năng “nghe” được password đã mã hố của
Alice, nhưng khơng biết password là gì !!!
• Tuy nhiên, Trudy chẳng cần biết password của Alice làm gì, chỉ
cần password đã mã hố là đủ.
Alice’s encryppted
“I’m Alice”
IP addr password
Alice’s
IP addr

OK

Alice’s encrypted

“I’m Alice”
IP addr password

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

21


Authentication: ap4.0
• Nonce: số ngẫu nhiên được Bob sử
dụng để “chứng thực” Alice.
• Mỗi lần cần chứng thực, Bob tạo ra một
nonce rồi gửi cho Alice, yêu cầu Alice
mã hoá (sử dụng khố bí mật chung KAB) rồi gửi lại.
• Bob kiểm tra xem Alice mã hố có đúng
khơng? để chứng thực.
• Trudy có thể ghi lại nhưng khơng thể
dùng lại do nonce là khác nhau với
mỗi lần chứng thực.
• Nhược điểm: khố bí mật; liệu có thể
sử dụng khố công khai???
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

22



Authentication: ap5.0

• Sử dụng nounce và mã hố cơng khai.
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

23


ap5.0: lỗ hổng (security hole)




Trudy giả mạo Alice.
Alice và Bob có thể phát hiện ra việc giả mạo này sau một thời gian
(lần “nói chuyện” sau, vì thực tế lần trước Alice bị giả mạo).

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

24



Lỗ hổng ap5.0:
man-in-the-middle attack
• Trudy đứng ở
giữa, giả mạo Bob
với Alice và giả
mạo Alice với Bob.
• Rất khó phát hiện
vì Trudy ln nhận
được và giả mạo
các thơng điệp.
• Giải pháp: Key
Distribution
Center.
December 3, 2016

Tải bản FULL (51 trang): />Dự phòng: fb.com/TaiHo123doc.net

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×