Bài giảng An ninh mạng viễn thông TS. Nguyễn Chiến Trinh Bài giảng môn An ninh mạng viễn thông Giảng viên: TS. Nguyễn Chiến Trinh Điện thoạiEmail: 0915400946; chientrinhgmail.com Bộ môn: Mạng viễn thông KhoaViễn thông 1 Học kỳNăm biên soạn: II 20132014Phương thức xác thực Công việc xác thực •Xác thực nội dung thông tin. •Xác thực đối tượng liên lạc. An toàn của giao thức xác thực phụ thuộc Các thuật toán mật mã mà nó dựa vào Kiến trúc của hoạt động giao thức và mức độ gắn kết của thông tin tham gia vào giao thức.
Trang 1Bài giảng môn
An ninh mạng viễn thông
Giảng viên: TS Nguyễn Chiến Trinh
Điện thoại/E-mail: 0915400946; chientrinh@gmail.com
Bộ môn: Mạng viễn thông - KhoaViễn thông 1
Học kỳ/Năm biên soạn: II/ 2013-2014
Trang 2Phương thức xác thực
Công việc xác thực
•Xác thực nội dung thông tin.
•Xác thực đối tượng liên lạc.
An toàn của giao thức xác thực phụ thuộc
Các thuật toán mật mã mà nó dựa vào
Kiến trúc của hoạt động giao thức và mức độ gắn kết của thông tin tham gia vào giao thức.
Trang 3Xác thực lẫn nhau
Chống lại tấn công dùng lại thông báo (playback):
1 Gài thêm số thứ tự vào các thông báo: Khi nhận thông báo mớiphải có thứ tự trong trật tự hợp lệ mới được chấp nhận Các bênliên lạc phải ghi nhật ký về số thứ tự này khi liên lạc hay nói cáchkhác là phải đồng bộ về thứ tự các thông báo
2 Tem thời gian: Bên A chấp nhận thông báo là hợp thời nếu nó
chứa tem thời gian mà theo A là đủ gần với thời gian hiện tại Cáchtiếp cận này đòi hỏi đồng bộ các đồng hồ của các bên tham gia liênlạc
3 Thách đố/trả lời (nonce): Bên A chờ thông báo mới từ B, đầu
tiên gửi cho B một thông tin ngẫu nhiên được gọi là nonce (tháchđố) và yêu cầu rằng thông báo tiếp theo (trả lời) nhận được từ B chứa các giá trị nonce chính xác
Trang 4Sử dụng mật mã khóa bí mật (1)
Trang 6Sử dụng mật mã khóa bí mật (3)
Giả sử rằng kẻ tấn công X đã thu được một khoá phiên cũ và thuđược thông báo trong bước 3 Khi đó X có thể giả danh A để lừa B dùng khoá phiên cũ bằng cách dùng lại thông báo trong bước 3
B sẽ không thể xác định rằng đây là thông báo được dùng lại, trừkhi B nhớ vô thời hạn tất cả các khoá phiên trước đã được dùng với
A
Mặt khác nếu C chặn được thông báo trong bước 4 thì nó có thể
giả danh A để đáp ứng lại B trong bước 5 Từ đó B có thể giả danh
A để gửi thông báo giả cho A được mã bằng khoá phiên cũ.
Trang 7Bởi vì T được mã dùng khoá chủ bí mật nên mặc dù kẻ tấn công
biết khoá phiên cũ cũng không thể dùng lại thông báo trong bước 3
do B phát hiện ra giá trị T không phù hợp
Trang 8Sử dụng khóa công khai
Trang 9Giao thức Woo and Lam (1)
1 A KDC : IDa || IDb
2 KDC A : EKRauth[IDb || KUb]
3 A B : EKUb[Na || IDa]
4 B KDC : IDb || IDa || EKUauth[Na]
5 KDC B : EKRauth[IDa || KUa] || EKUb[EKRauth[Na ||
Trang 10Giao thức Woo and Lam (2)
Trang 11Xác thực một chiều - Sử dụng khóa công khai (1)
Trang 12Xác thực một
chiều - Sử dụng khóa công khai (2)
Trang 13An toàn các lớp trên mạng Internet
An toàn ứng dụng: e-mail, web,…
Trang 14Các giao thức an toàn lớp ứng dụng
Trang 15An toàn e-mail – Secured e-mail (1)
mã hóa khóa KS bằng khóa công khai người nhận
gửi KS(m) và KB(KS) cho người nhận
Đảm bảo tính bí mật e-mail, m
Trang 16An toàn e-mail – Secured e-mail (2)
sử dụng khóa riêng giải mã và lấy KS
sử dụng khóa KS giải mã KS(m) để nhận bản tin m
Đảm bảo tính bí mật e-mail, m
Trang 17An toàn e-mail – Secured e-mail (3)
• Người gửi ký số vào bản tin
• Gửi cả bản tin nguyên thủy và chữ ký số
Trang 18An toàn e-mail – Secured e-mail (4)
Trang 19Pretty good privacy (PGP)
Cấu trúc mã hóa e-mail
Internet, trở thành tiêu
chuẩn
Sử dụng mã hóa khóa
đối xứng, mã hóa khóa
công khai, hàm băm, và
-BEGIN PGP Version: PGP 5.0
SIGNATURE -Charset: noconv yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJhF EvZP9t6n7G6m5Gw2
-END PGP
SIGNATURE -Bản tin được ký số PGP:
Trang 20Bản tin bí mật PGP
Trang 21Secure/Multipurpose Internet Mail Extention
MIME: giao thức mô tả truyền dữ liệu đa phương
tiện; (RFC 1521) (MIME header – RFC 822).
S/MIME: bổ sung chữ ký số (băm bằng SHA, MD5;
mã hóa chữ ký số bằng RSA, DSS) và mã hóa (3-DES, RSA, Diffie-Hellman) vào MIME
Trang 22Secure HTTP (SHTTP)
Bổ sung chữ ký số và mã hóa cho HTTP.
Bổ sung các trường mào đầu để mã hóa dữ liệu, chứng thư
Trang 23Mào đầu của S-HTTP
Trang 24Mào đầu của HTTP
Trang 25S-HTTP
oKỹ thuật mã hóa: PEM (Privacy Enhanced Mail), PGP, PKCS-7;
oChữ ký số: PKCS-7, sử dụng cho cả CA và self-signed;
oXác thực: MAC.
Trang 26HTTPS
oHTTP over Secure Socket Layer (SSL); oSử dụng cổng 443 (thay cho 80 của HTTP);
Trang 27Secure Electronic Transaction - SET
oGiao thức mã hóa do các công ty
lập ra: Visa, MicroSoft, IBM, RSA,
Netscape, Master Card,
oSử dụng trong giao dịch điện tử:
bí mật thông tin và giao dịch, toàn
Trang 28Kerberos
oXác thực giữa client và server.
oĐảm bảo tính an toàn, tính tin cậy, trong suốt, khả
năng phát triển, mở rộng.
Trang 29Hệ thống xác thực Kerberos