Nguy cơ mất an toàn cao khả hệ thông tự tấn công, NILAN XEF VA KEY LUAN Ý nghĩa của việc nghiên cứu vẫn dé "Vân dễ đặt ra trong luận vẫn rất cân thiết trong nghỉ cứu về mật mã, và sử
Trang 1
HOC VIEN CONG NGHE BUU CHINH VIEN THONG
PT
Lê Anh Trung
ĐÈ TÀI : CÁC GIAO THỨC PHÂN PHÓI KHỎA TRONG BAO MAT
VÀ AN TOÁN THÔNG TIN TRÊN ĐƯỜNG TRUYỀN
Chuyên ngành: Hệ thống thông tin
Mã số: 60.48.01.04
TOM TAT LUAN VAN THAC SĨ
HÀ NÓI - 2013
Trang 2
Luận văn được hoàn thành lại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người lrướng đẫn khoa học: TS LÊ VĂN PHÙNG
Phan bién 1
Phan bign 2:
Luận văn sẽ được bảo vệ trước Hội déng cham luận văn thạc sĩ tại Học viện Công,
nphệ Bưu chinh Viễn thông
Vào lúc giờ ngày thẳng, năm
Có thể tìm hiển hiận văn tại:
~ Thư viện của Hục viện Công nghệ lưu chính Viễn thông,
Trang 3
- "Tìm hiểu các kỳ thuật quản trị và kiểm tra việc sử
dụng khóa
- ‘Tim hiéu giao thức sooket an toàn - công nghệ từng
đụng sử đụng các giao thức tạo lập khóa đã nghiên cứu, cơ sở
hạ tầng khóa công khai PKI trong môi trường mạng toàn cầu
2 Hướng phát triển cũa luận văn
các giao thức trao đổi khi đưa vào thục tế nhằm làm tăng thêm độ an toàn và tin cậy cho cáo
tiên Ihann gia uyên thông,
- Nghiên cử các khả năng tránh dược các tấn cổng
đúng lại, an toàn tiếp theo, tránh tân công tử chỗi địch vụ và bảo
vê danh tinh của khóa phiên trong các giao thức trao đối khóa
-_ Nghiên cửu vả đề xuất một vài giái pháp cho các hệ
thông từng đụng mã hỏa đòi hỏi sự tin cây nhiều nhật hiện nay
MỤC LỤC
MG DAU
CHUONG 1: TONG QUAN VE BAO MAT, AN TOAN THONG
TIN VA QUAN LY KIIGA BI MAT
1.1 Nội dung vé bao mat và an toàn thông tỉn 1.2 Vii trò của chìa khóa trơng các giâi p]ưáp bảo mật và an toàn
thông tin
1.3 Quân tỷ khỏa bỉ xuật
CHƯƠNG 2: CÁC PHƯƠNG PHÁP PHẢN PHÔI KHỎA
2.1 So đỗ phân phối khóa
2.2 Trung tâm phân phối khóa
2.3 Phân phối khóa theo phương pháp thông thường,
2.4 Phân phối khóa theo phương pháp hiện qua
CHƯƠNG 3: CÁC GIÁO THỨC PHẨN PHÔI KHÓA
3.1 Nim câu thöa thuận, chuyển vận và phân phối khóa
a rg Sơ đổ phân phối khóa Bluiu
Hệ phân phối khóa Kerberos 4 Hệ phân phối khỏa Diffie - Hella
3.5 Sơ đỗ chia sẻ hí mật ngưỡng Shamir
3.6 Các giao thức chuyÊn vận khóa,
CHƯƠNG 4: UNG DUNG GLAO THUC KEBEROS CHO BAL TOAN GIAO THUC BAO MAT MANG CUC BG
4.1 Mãi trường thứ nghiệm
4.2 Dữ liệu đều vào, đầu ra và yêu cầu bài toán
?
11
11
11
12
12 1ã
13 1ã
14
14
15
15
16
16 12
Trang 44.3 Các piao điện chính của chương trình
4.4 KẾt qnả thử nghiệm và đánh giả
NHẬN XÉT VÀ KẾT LUẬN
20
22
23
- Thay vì gửi các thông tin gắc, Kerberos sử dụng tieket
đã được nã hỏa để chúng thzo người đúng
= Nhược điểm:
- Nếu máy chủ Servicss Security, Domain Controler
ngững hoạt động thì mọi hoat dộng sẽ ngừng lại, đo đó
cần sử dụng nhiều máy chú chạy song song,
- _ Đổi hỏi đồng hỗ của tất cả máy tính phải được đông bộ
trong hệ thông, nêu không đảm bảo được thi hệ thông
nhận thực đưa trên thời hạn sử dụng sẽ khoonghoatj
động Thiết lập đòi hỏi các đồng hồ không được sai lệch
quá 5 phút - Cơ chế thay đổi mật khẩu không được tiêu chuẩn hỏa
Nguy cơ mất an toàn cao khả hệ thông tự tấn công,
NILAN XEF VA KEY LUAN
Ý nghĩa của việc nghiên cứu vẫn dé
"Vân dễ đặt ra trong luận vẫn rất cân thiết trong nghỉ
cứu về mật mã, và sử đụng chủng trong các ứng dụng, đặc biệt
là ngày nay khi mà hầu hết các hoạt động trao đổi thông tin của con người đều được thực hiện thông qua mạng truyền thông
công cộng như Internet Trong bối cảnh đỏ kể cả khi hệ thống
sử đụng phương pháp rrã hóa công khai thì việc quản lý và điều
phôi việc sit dung khóa vẫn cực kỳ cần thiết Còn nêu hệ thông,
sứ đụng thuật toàn mã hóa đổi xửng thì việc trao đổi, phân phối,
chuyển vận giá trị bí mmật một cách an toàn cho hai bên là yêu
cầu tất yên Trên cơ sở đó liận văn đã cổ gắng tìm hiểu các giao
thức tạo lập khóa bí mật và các kỹ thuật quản trị khóa và đạt
được một vải kết quả nhất định
1 Các kết qị
~_ Nghiễn cứu tìm Hiểu và phân tích o:
lập khỏa: Trao đổi, phân phối, chuyển vận khóa
Trang 5
4.5 Kết quả thử nghiệm và đánh giá
Chương trình thử nghiệm chỉ đưa ra tính ning lay khóa
phiên giao địch tử Web Service Security Giao diện của client
sẽ hiện thi các giá trị Key ID, Token Type, Signature Value,
Time Created va Time Life
KeylD [SU0p.3VBA0:8Trew0pig/g0e
Token Tops [MgZchsnaeboasghw/HUUiMhsbaovEsbeunÐA
a
Your Soruture Yue vate)
Sau khi gin Request Token, Services Security sé kiem
tra client co nim trong hé thong Active Directory khong, néu
thỏa mãn chứng thực người dùng sẽ cấp cho client khóa phiên
với thời gian hiệu lực và thời gian tồn tai (Timestamp, Lifetime)
Sau khi nhân được khóa, client va Web Service ding khỏa đây
đề mã hóa và trao đôi thông tin đâm bảo rằng sẽ không có bền
thử 3 có thể giải mã lây thông tin
© Uudiém:
- Mật khẩu không được truyền trục tiếp trên đường
chuyên mạng, hạn chẻ tôi đa các cuộc tân công
~ Giao thức được mã hỏa theo tiêu chuẩn mã hóa cao cập
- _ Khóa phiên được cấp rt khó tải sử dụng do có thởi gian
hiệu lực và thời gian tồn tại
MO DAU
1 Tính thời sự và lý đo chọn đề tài Ngày nay, chủng ta đang sông trong một thời đại mới,
thời đại phát triển rực rỡ của công nghệ thông tin, công nghệ
thông tin hầu như cỏ mặt ở mọi phương điên trong cuộc sông
hàng ngày của chúng ta từ thương mại đến giải trí và thậm chỉ
cả văn hóa Mạng máy tính và Internet đang ngày cảng đóng
vai trò thiết yêu trong mọi lĩnh vực hoạt đông của đời sông xã
hội, tạo nên một xã hội toàn cầu, nơi mà mọi người cỏ thể tương tác và liên lạc với nhau một cách nhanh chỏng và hiệu quả Ở một khía cạnh nào đó, học giả, nhà bảo Mỹ Thomas Friedman đã ám chỉ điều này trong cuôn sảch “Néng, Phang, Chat” (Hot, Flat and Crowded) dai y là ngày nay nhờ công nghệ thông tin phát triển mạnh và hiện đại nên mọi người cỏ thể " ở " gân nhau hơn Và một khi mạng máy tính và Internet
trở thành phương tiện làm việc trong các hệ thông thì nhu cầu
bảo mật thông tin được đặt lên hàng đầu vì nó còn là một phương tiên thông tin manh và hữu hiệu giữa các cả nhân trong
tổ chức, mà quan hệ giữa người với người trở nên nhanh chóng,
dễ dàng và gần gũi hơn sẽ mang lại nhiều vẫn đẻ xã hội cần giải quyết, nhật là vân đề kiểm soát, bảo mật thông tin Nhu cầu
này không chỉ có ở các bộ máy An ninh, Quốc phòng, Quản lý
Nhà nước, mà đã trở thàncập thiết trong nhiều hoạt động kinh tế
xã hội: Tài chỉnh ngân hàng, thương mại thâm chí trong cả một
số hoạt động thưởng ngày của người dân (thư điện tử, thanh toán
tin dung, ) Do ý nghĩa quan trọng nảy mà những nam gan đây
công nghệ mật mã và an toàn thông tin đã cỏ những bước
vượt bậc và thu hút sự quan tâm của các chuyên gia trong nhiều
lĩnh vực khoa học, công nghệ
Trang 6Một điểm đặc biệt của công nghệ bảo mật hiện đại lả
không dựa vào khả năng giữ bí mật của phương pháp (công
nghề), vi nó thưởng không chỉ một người nắm giữ, nói chung
thưởng là nhóm đông người biết, mà khả năng giữ bỉ mật tuyệt
đối của cả một nhóm người là không thể, vì thể bí mật chỉ có
thể giữ bởi một người mà lợi ích của người này gắn liền với bí
mật đó Chỉnh vỉ vậy, trong mã hỏa hiện đại, người ta luôn giả
thiết rằng phương pháp mã hỏa thông tin là cái không thể giữ
được bị mật, chủng sẽ được công khai, còn việc thực hiện thì
cho phép thay đổi theo một tham số do từng người sử dụng tự
ẩn định (mỗi giả trị của tham số sẽ xác định một cách mã hóa
riêng), việc lập mã vả giải mã chỉ cỏ thể được thực hiện khi biết
được tham sô đỏ Tham số như vậy được gọi là “chia khỏa” và
đó là thông tin duy nhật cần phải giữ bí mật Tóm lại, một hệ
mã hiện đại cần phải dựa trên nguyên tắc: Chốt tính bảo mật
vào chia khỏa, chử không phải vào phương pháp (thuật toán)
Theo đó, đẻ tài : “Các giao thức phân phối khóa trong
bảo mật và an toàn thông tin trên đường truyền "hướng nghiền
cứu vảo việc tham gia giải quyết vân đề nêu trên
2 Mục đích và nhiệm vụ nghiên cứu
Nghiên cửu, xác định rõ vai trò của chỉa khóa trong các
giải pháp bảo mật và an toàn thông tin Trên cơ sở đó, nghiên
cứu và phân tích các giải pháp an toàn khóa trong việc phân
phối, trao đổi, chuyển vận khóa, cũng như các phương thức
quản ly đề mang lại hiệu quả cao nhất trong quá trình thực hiện
các giao thức đỏ
3 Đối thượng và phạm vi nghiên cứu
- Cơ sở lý thuyết vai trỏ của chia khỏa trong các giải
pháp bảo mật và an toàn thông tim, các kỹ thuật quản lý
khóa
Sau khi goi him Request Token
key ome ———————
Token Time [in 77achemas miboap opiner@O0a eee Meteo A
SlpalweVaM= [sđsSDMahOMuLUEEkBBIKBDS- 7
TieCesed — RAAT SATS
TimeLieltwÌ = SSNS
_YajgadeSimnadue du
Việc kiểm tra khóa nếu thông tin vẻ khỏa không đúng sẽ hiện bảng thông báo invalid
Regus Token Keber Ten
$ewuseVdue [a8i4MAMBMHUEERSPNGĐEHMmm 2
Tweeiml [ERSRĐ od Sona Vat =
Pome Fed ted okra kel
==¬
vas
Trang 7
- Khai bao cac ham st dung
- Phuong thite dé goi ham:
- Khai thac va xac minh ma thong bao tir SOAP
Đổi với client :
- Khai bao cac ham sit dung
~_ Thêm web proxy cho dịch vụ vừa tạo
- Goi ham lây khóa Kerberos Token
- Kiểm tra xem các mã cỏ nhận được hay không
Nếu có thí tạo ra một lop proxy đã được tạo ra và thêm các mã vào RequestSoapContext của hàm
gọi
- Ham goi dich vụ
4.4 Các giao diện chính của chương trình
Màn hình khi khởi động client
- Phuong phap phan khéi khoa - Giao thức phân phối khỏa
4 Phương pháp nghiên cứu
~ Phương pháp tư liệu: Thu thập tư liệu, tài liệu liên
quan đến các giao thức, các mô hỉnh trong phân phối, vận
chuyển khóa Tổng hợp một cách có hệ thông các tải liệu thủ được
- Phương pháp phân tích: nghiên cửu, phân tích các
giao thức, các mô hỉnh trong phân phôi, trao đổi và vận
chuyển khóa Tử đỏ làm rõ vấn đề an toàn khỏa trong các
giao thức để phân tích, lựa chọn giải pháp và tiền hảnh cải
đặt, thử nghiệm giao thức
5 Ý nghĩa khoa học và thực tiễn của đề tài
Ý nghĩa khoa học : Phần nghiên cứu lý thuyết sẽ cung cấp một cách nhìn tổng quan về vân đề an toàn khỏa và bảo mật thông tin
Kết quả nghiên cứu có thể làm tài liệu tham khảo cho những người phát triển các ứng dụng liên quan đền van dé phân phổi khóa mật, cung cấp tài liệu tiếng Việt về các vân đề liên
quan
'Ý nghĩa thực tiễn:
Tìm hiểu các giao thức phân phối khóa, giúp thấy được cách thức quản lý, sử dụng khóa hiệu qua va an toan
Nam bat được kỹ thuật phân phôi khóa cũng như nắm rõ
được các giao thức phân phôi khóa Trên cơ sở đỏ đẻ phát triển
cac Web Service Security tốt có hiệu quả bảo đảm an toàn cho
các Web Service
6 Kết câu luận văn
Ngoài phần Mở đầu, Kết luận, Tài liệu tham khảo và Phụ
lục, Luân văn bao gồm 4 chương.
Trang 8Chương 1: Tổng quan về bảo mật và an toàn thông tín và
quản lý khỏa bí mật
Chương 2: Các phương pháp phân phôi khóa
Chương 3: Các giao thức phân phôi khỏa
Chương 4: Chương trình thử nghiệm ứng dụng giao
thức phân phối khóa
Nội dung luận văn sẽ được trình bảy theo thứ tự chương,
mục trên
Tử đó có thể chồng lại các cuộc tân công nghe lén Từ việc
quan ly gia tri Time Created va Time Life giap han chế được
việc tân công tái sử dụng khỏa bí mật
4.3 - Mô tã hoạt động của chương trình
Sơ đỗ hoạt đông của chương trình như hình dưới
Thông hío
không có
4>
@
Thông báucó guy ty sip
Trong phân này sẽ trình bày cách thức cài đặt Web
Service Security vao dich vụ web và cách thức đưa các dich vu cũng như hàm lây khỏa keberos cũng như các hàm xác nhận vao client
Đổi với Web Service Security
Trang 9-cách tôi ưu hóa những thao tác an toàn, mà yêu cầu it thời gian
sử dụng CPU hơn
Tuy nhiên việc chọn cơ chế an toàn cho Web Service
phải đòi hỏi sao cho người đùng không cảm thấy quá phức tạp
tạo một sự gò bó, do đó việc chọn cơ ché an toản nào trong,
Web Service Security thỉ phụ thuộc nhiều vào loại serviee và
những tính năng mà servive này cung cấp
w
Z1
@ ad aa
m8 @
if jo a i
Tử yêu câu đặt ra của bài toán, nhận thấy rằng việc sử
dụng giao thức phân phối khỏa bí mật Kerberos là hợp lý:
Trong hệ thông dựa vào chứng thực người dùng qua hệ thông
Aetive Direetory cỏ thẻ chông được những giao dịch không hợp
phap (Unauthorized transactions), Théng tin trao đổi giữa
client/server sẽ được mã hóa mả chí có duy nhât người dùng đã
được chứng thực và Web Service của phiên trao đôi có thẻ giải
mã được thông tin đỏ, khóa này được quy định hay được cấp tử
'Web Service Security, và các thông tin trao đổi này sẽ được gửi
đi bằng các SOAP message đã được đính kèm chữ ký xác thực
CHUONG 1: TONG QUAN VE BAO MAT, AN
TOAN THONG TIN VA QUAN LY KHOA Bi MAT
Nội dung về bão mật và an toàn thông tin 'Về nội đung về phần bảo mật an toàn thông tin, sẽ trình bây về các định nghĩa, quan điểm vẻ bảo mật vả an toàn thông, tin Chủ đạo về các thuộc tính
- Confidentiality: Théng tin khong thé bi truy nhập trái phép bởi những đổi tượng ngoại lai (người không có
thâm quyên) Mỗi đữ liệu được phần quyên hoặc mã hỏa
bằng nhiều phương pháp để đảm bảo chỉ được truy xuất bởi chính chủ sở hữu, hoặc các user nắm giữ chia khóa
giải mã dữ liệu
~_ Integrity: Thông tin không thể bị sửa đổi, bị làm giả bởi các đôi tượng không cỏ thâm quyền Dữ liệu được lưu
trữ trong hệ thông luôn “toàn ven”, không bị thay đổi bởi
tác động ngoại ý và thông thường trong các hệ thông
thông tin, tính năng này thể hiện qua phương thức so sánh
các gia tri cla him bam (Hash function)
- Availability: Thong tin luén sin sang dap ứng yêu
câu sử dụng của người có thâm quyên Dữ liệu được lưu
trữ dưới nhiều hình thức tủy chọn nhưng đảm bảo tính
đáp ứng cao nhật có thể và trong suốt đôi với người dùng
Các phương thức thường được sử đụng trong nâng cao đô
sẵn sàng là nâng cấp năng lực hệ thông, triển khai cluster,
điện toán đâm mây,
- Authentieity: Thông tin luôn được gắn với các
chỉnh sách về quyền truy cập, xác thực một cách chặt chẽ
Tỉnh xác thực và nhân dang trong các hệ thông thông ti
thường được thẻ hiện qua các cơ chế, giải pháp xác thực,
phân quyền
Trang 10
- Non-repudiation: Théng tin được cam kết về mặt
pháp luật của người cung cấp Thuộc tính “không thẻ chỗi
cãi” đảm bảo các hành động đã được thực thi trong quả
khứ để làm bằng chứng va dau vết cho các hoạt động
kiểm tra, kiểm soát, truy tìm dâu vết
1.2 Vai trò của chìa khóa trong các giải pháp bảo
mật và an toàn thông tin
Trình bày vẻ vai trò của chia khỏa trong 4 vân dé
- _ Trong hệ mã khỏa đôi xúng : trong hệ mã này khỏa
dùng mã hóa và khỏa dùng giải mã là cùng một khóa
Tính an toàn của hệ mã phụ thuộc và các yêu tô : Thuật
toán phải đủ mạng để không thể giải mã được văn bản;
thứ hai là tinh an toàn của khóa bi mật Việc bảo mật khỏa
bí mật là mâu chốt của hệ mã hóa đôi xứng
-_ Hệ mã khỏa công khai : trong hệ mã này khóa để
mã hỏa và giải mã sẽ khác nhau Khóa để mã hỏa sẽ công
khai và khỏa để giải mã sẽ là bi mật Bên gửi sẽ dùng
khóa mã hóa của bên nhận đẻ mã hóa, sau đó gửi cho bên
nhân Bên nhận sẽ dủng khóa bỉ mật của minh đề giải mã
và thu được văn bản rõ Vì vậy đối tỉnh an toàn của hệ mã
hóa công khai phụ thuộc vào khả năng không bị lộ của
khóa bí mật từ những thông tin của khóa công khai, van
để này nằm ở độ khó của thuật toán sử dụng Đền nay vẫn
chưa có chứng minh bằng toán học nào chỉ ra rằng có bài
toán đủ khóa hoặc khó có thẻ giải được trong một thời
gian xác định
~ Trong sơ đồ xung danh và xác nhận danh tỉnh : việc
xưng đanh thường phải thông qua một giao thức Hỏi —
Đáp nhất định, mỗi bên sẽ phải hỏi đổi phương về một bí
mật riêng nào đó mà bên hỏi nắm giữ xem đôi phương có
« _ Nên cơ bảnxây dựng code
~ Microsoft.Net Framework 2.0
- Microsoft Web Services Enhancements (WSE) 2.0
- ASP.NET Web Service (C#)
4.2 Dữ liệu đầu vào, đầu ra và yêu cầu bải toán
Xem xét những nhân tổ rủi ro ảnh hưởng đến mức an toàn của những ứng dụng dựa trên web service :
- Những giao dịch không hợp pháp (Unauthorized transactions)
— Nhirng théng bio không ma héa (Readable messages in dear text-no encryption)
— Những thông điệp bị thay đối hoac mat mat (SOAP
message susceptible to modification-no integrity)
Yêu cầu của bài toán an toàn cho các địch vụ là :sự
chứng thực, tính bí mật, vả sự toàn vẹn thông tin Trước khi có
Web Service Security, phương pháp thường sử dụng là an toản
trên kênh chuyển thông điệp Sự an toàn kênh chuyên thông
điệp ở chỗ là nó mã hỏa toàn bộ thông điệp, dẫn đền sử dụng
CPU cao hơn Tuy nhiên với WS-Security, nó cung cấp những