Quản Lý Truy Cập Chứng Thực & Cấp Quyền

 Dạng cơ bản và phổ biến là chứng thực bằng cách  Kiểm tra hợp lệ IP,  Cho truy xuất thông tin nếu IP thuộc vùng nào đó cơ chế được các ISP sử dụng Tuy nhiên giả mạo IP có thể vư

-NHÓM 09 Quản Lý Truy Cập

Chứng Thực & Cấp Quyền

MỤC LỤC

GIỚI THIỆU CÁC KỸ THUẬT CHỨNG THỰC CHỨNG THỰC NET PASSPORT

HASHING SSL CERTIFICATES

SERVER , CLIENT CERTIFICATES PERMISSION IN DOT NET

SECURITY IN COMPANY

I ĐẶT VẤN ĐỀ

 Mỗi tháng có khoảng 10.000 mạng

mới kết nối vào Internet

⇒ làm sao để có thể trao đổi thông tin

dữ liệu một cách an toàn qua mạng công

cộng như Internet.

 Các hacker luôn tìm mọi cách để nghe trộm,

đánh cắp thông tin và dữ liệu nhạy cảm như: mã thẻ tín dụng, các thông tin kinh tế nhạy cảm… Của các tổ chức hay cá nhân.

 Rò rỉ và mất cắp thông tin, dữ liệu

⇒ thiệt hại rất lớn về kinh tế trên toàn thế giới

GIỚI THIỆU

II.HƯỚNG GIẢI QUYẾT

 Cơ chế xác thực (authentication) là quá trình

xác thực đối tượng có đúng là người có quyền truy

cập thông ,định danh mà hệ thống đã biết.

 Các hệ thống chứng thực phải có khả năng

kiểm tra hợp lệ chứng chỉ và thông điệp

không bị làm giả trước, trong, sau khi đến

GIỚI THIỆU

II.HƯỚNG GIẢI QUYẾT

 Chương được trình bày thành 4 phần:

1 Các hệ thống chứng thực Microsoft như:

NTLM và NET Passport

2 Các kỹ thuật phát hiện giả mạo

3 Cơ chế chứng thực SSL cho dữ liệu Web

4 Một số cơ chế chứng thực có liên quan: phân

quyền NET và thừa kếchứng thực

GIỚI THIỆU

 Để đảm bảo xác minh 1 client, chúng ta phải tin

cậy vào một mảnh thông tin duy nhất xác định client đó.

Thông tin này không dễ xác định và giả mạo

VD:

 user name/password

CÁC KỸ THUẬT CHỨNG THỰC

 các chứng chỉ như IIS, SSL, SSH…

 Các hệ thống chứng thực ngăn chặn giả mạo chứng chỉ cũng không thể bảo vệ những người dùng thiếu cẩn mật.

CÁC KỸ THUẬT CHỨNG THỰC

 MỗI ngữ cảnh sẽ có mỗi kiểu chứng thực khác nhau :

- Các ISP sử dụng địa chỉ IP để xác định chính xác client.

Như vậy, IP được dùng làm chứng chỉ.

- Khi phát triển ứng dụng Intranet trên window ta có thể tin cậy

vào quá trình đăng nhập window.

 Các dịch vụ trên Internet (Email, mạng xã hội, game online)

thường sử dụng username/password để chứng thực.

CÁC KỸ THUẬT CHỨNG THỰC

 Dạng cơ bản và phổ biến là chứng thực

bằng cách

 Kiểm tra hợp lệ IP,

 Cho truy xuất thông tin nếu IP thuộc

vùng nào đó

( cơ chế được các ISP sử dụng )

Tuy nhiên giả mạo IP có thể vượt qua

được cơ chế chứng thực này

 Ví Dụ :

CÁC KỸ THUẬT CHỨNG THỰC

CHỨNG THỰC IIS

 IIS (Internet Information Services các dịch vụ cung cấp thông tin Internet)

- là các dịch vụ dành cho máy chủ chạy trên nền Hệ điều hành Window nhằm cung cấp và phân tán các thông tin lên mạng, nó bao gồm nhiều dịch

vụ khác nhau như Web Server, FTP Server,…

- có thể được sử dụng để xuất bản nội dung của các trang Web lên Internet/Intranet bằng việc sử dụng “Phương thức chuyển giao siêu văn bản“

- Hypertext Transport Protocol (HTTP).

- Dùng IIS sẽgiúp loại bớt các vấn đề phức tạp, nhất là được dùng các cơ chế mã hóa

 Dạng cơ bản của chứng thực IIS là :

 Anonymous Client không có bất kỳ

chứng chỉ nào và được tự động cấp quyền

IUSR (guest): đọc và ghi file

 Basic: bắt buộc client phải cung cấp

chứng chỉ ởdạng văn bản thô Nhược

điểm: độ bảo mật thấp Tuy nhiên nếu kết

hợp với SSL thì đây là một giải pháp

tương đối tốt

CHỨNG THỰC IIS

 NTLM khá an toàn và không thể bẻ khóa

nếu không có nỗlực đáng kể

 NTLM bởi một vài nhân tốxác định

 NTLM được hỗ trợ trong IIS4 và tất cả các

phiên bản Internet Explorer

 Chứng chỉ cung cấp bởi client sẽ tương

ứng với một tài khoản cục bộ trên server

CHỨNG THỰC IIS

 Chứng thực kiểu Digest được giới thiệu từ

IIS5

 Chưa thấy có công bốnào bẻkhóa được

kiểu mã hóa này

 Tương thích với phần lớn phiên bản

Internet Explorer

 Chứng chỉ cung cấp bởi client sẽ tương

ứng với một tài khoản cục bộ trên server

 Kerberos cung cấp mức độ bảo mật cao

nhất cho chứng thực thông qua Internet

 Yêu cầu truy cập vào domain controller

 Chỉ làm việc trên IIS5 và các phiên bản

gần đây của Internet Explorer

CHỨNG THỰC IIS

 Khi chấp nhận các kết nối anonymous,

máy tính quản lý 860 request/s, với Basic

 .NET Passport (Hiện nay là Windows Live ID, viết tắt của Microsoft Passport Network)

 Là một dịch vụ "đăng nhập thống nhất" được phát triển và cung cấp bởi Microsoft cho phép người dùng đăng nhập vào nhiều trang web mà chỉ sử

dụng một tài khoản duy nhất nó được đặt ở vị trí là dịch vụ đăng ký đơn cho tất cả các trang web thương mại

 Nhiệm vụ

 bảo vệ thông tin bằng cách sử dụng

+ công nghệ mã hóa mạnh mẽ

+ chính sách bảo mật toàn diện

Microsoft NET passport

X a ư

Hi n nay ệ

 Ưu điểm

- Dạng chứng thực này không có ý nghĩa với truyền thông thương mại, nhưng rất tốt cho cá nhân

- Thuận lợi trên các hệ thống phục vụ cho gia đình

 2 biến thể của NET passport:

- Preproduction: miễn phí, nhưng chỉ có một lượng giới hạn thông tin cá nhân khai thác được từ passport

- Production: khắc phục nhược điểm trên của Preproduction

Microsoft NET passport

 HASHING LÀ GÌ

 Hashing là giải thuật 1 chiều

trong đó dữ liệu có thể được băm

thành giá trị nhưng giá trị băm

không thể chuyển ngược thành

dữ liệu ban đầu

 Được dùng kết hợp với mã hóa để bảo đảm

thông điệp không bị làm giả trên đường truyền

HASHING

 ĐẶC ĐIỂM

 Khi một giá trị băm được sinh ra từ khối

văn bản gốc, rất khó để tính toán sinh ra

một khối văn bản khác cũng có giá trị băm đó

Đặc tính quan trọng của giải thuật băm là

- một thay đổi nhỏ trong văn bản đầu vào

cũng tạo ra thay đổi rất lớn với giá trị băm

- Các giải thuật băm luôn luôn sinh ra các giá trị

có cùng độ dài bất kể số lượng văn bản đầu vào

HASHING

 TRONG ỨNG DỤNG

 Một giá trị băm được sinh ra từ thông điệp

đã cho và sau đó thông điệp cùng với mã băm

được mã hóa với nhau

- Khi giải mã thông điệp sinh ra một giá trị băm phải trùng với thông điệp đó, còn ngược lại có nghĩa là thông điệp đã bị làm giả

- lưu trữ an toàn username / password Nếu lưu trữ ở văn bản gốc thì hacker có thể đột nhập và khai thác thông tin này, nhưng nếu đã băm thì họ không thể

biết được

HASHING

 Hệ thống hashing hiện đại gồm:

- Message Digest (MD5) và Secure Hash Algorithm

(SHA-1)

.NET cung cấp 2 giải thuật:

+ SHA : class SHA1Managed

+ MD5 : class MD5CryptoServiceProvider

MD5 :

-Là một hàm hash được sử dụng phổ biến với giá trị Hash dài 128-bit

-Một bảng băm MD5 thường được diễn tả bằng một số hệ thập lục phân 32 ký tự

- Là một chuẩn Internet RFC 1321

HASHING

 SHA (SECURE HASH ALGORITHM ):

 SHA được đặc tả bởi secure hash standard (SHS)

 Khóa băm được sinh ra từ các khối 64 byte

 SHA một chuẩn Internet RFC 317

 4 biến thể của SHA:

- SHA1Managed (20-byte hash)

- SHA256Managed (32-byte hash)

- SHA384Managed (48-byte hash),

- SHA512Managed (64-byte hash)

HASHING

 BẢNG SO SÁNH TỐC ĐỘ CỦA CÁC GIẢI THUẬT HASH

HASHING

 MINH HỌA

HASHING

 MINH HỌA

HASHING

II.GIẢI PHÁP

SSL

 SSL (Secure Sockets Layer)

 Tạo liên kết an toàn được mã hóa giữa máy chủ web và trình duyệt

 Riêng tư , tách rời

 Tất cả dữ liệu gửi giữa client và server được mã hóa với RSA

 Ba bước để bảo vệ của SSL :

 Mã hóa

 Duy nhất

 Cơ quan uy tín chứng thực

SSL

 Giao thức SSL sử dụng giao thức “bắt tay” (handshake protocol) và giao thức “bản ghi” (record protocol) Mục tiêu chính của SSL Handshake :

 Đàm phán cipher suite (cipher suite = tập hợp thuật toán + kích thước khóa)

(trong đó tập hợp các thuật toán gồm : trao đổi khóa public ,thỏa thuận khóa,hàm băm mã hóa)

 Xác thực định danh (server )(tùy chọn)

 Hình thành cơ chế bảo mật thông tin

Bằng cách thỏa thuận cơ chế mã hóa

SSL

Client Server

1.Hello 2.Hello 3.Certificate 4.Certificate request 5.Server key exchange 6.Server hello done 7.Certificate (tùy chọn) 8.Client key exchange 9.Certificate verify (tùy chọn) 10.Change cipher spec 11.Finish 12.Change cipher spec 13.Finish 14.Encrypt data 15.Close message

CHỨNG CHỈ

 Chứng chỉ được phát hành bởi CA đã

được công nhận trên toàn cầu

 Chúng ta có thể tạo chứng chỉ nhưng chỉ

được tin tưởng trong phạm vi nội bộ

 Dạng phổ biến của chứng chỉ số là X.509 đây là

chuẩn quốc tế được điều hành bởi

IETF Public Key Infrastructure (PKIX)

 X.509 có ba phiên bản: v1, v2, v3

CHỨNG CHỈ

 Chứng thực chứng chỉ

 Khi trình duyệt xem một website được

bảo mật, một biểu tượng khóa xuất hiện

trên thanh trạng thái Click vào biểu tượng

này sẽ xác thực server phụ thuộc

vào công ty và vị trí nhất định

 Khi Web server gởi cho trình duyệt một

chứng chỉ SSL, Trình duyệt sẽ gởi chứng

chỉ này đến một máy chủ lưu trữ các chứng

chỉ số đã được phê duyệt Các máy chủ

này được thành lập bởi những công ty

uy tín như GlobalSign, VeriSign.

CHỨNG CHỈ

 CHỨNG CHỈ SERVER

 Một công cụ hữu ích để tự tạo chứng

chỉ server là IBM KeyMan

 CHỨNG CHỈ CLIENT

- Chứng chỉ server chứng thực 1 website với trình duyệt, ngược lại chứng chỉ client chứng thực trình duyệt với server

- Chứng chỉ client chỉ dùng khi muốn tối ưu hóa bảo mật website như trong dịch vụ ngân hàng trực tuyến

- Dùng miễn phí từ Thawte

- Để gửi và nhận email đã được mã hóa và chứng thực địa chỉ email của bạn với người gửi

- Xem chứng chỉ trên IE: Tools→Internet Options→Content→Certificates

CHỨNG CHỈ

 CÁC DỊCH VỤ MICROSOFT CERTIFICATE

- Một số tổ chức có thể cần bảo mật nội bộ,

⇒ tốn kém khi bỏ tiền mua chứng chỉ cho mọi server

⇒ Microsoft Certificate Services (MSCS) là giải pháp được lựa chọn

- MSCS có thể sinh ra các chứng chỉ X.509

- MSCS có thể hoạt động như một root CA hoặc subordinate CA

CHỨNG CHỈ

 ĐỌC CHỨNG CHỈ

 Dùng các phương thức / thuộc tính của lớp X509Certificate

CHỨNG CHỈ

 ĐỌC CHỨNG CHỈ

 Dùng các phương thức / thuộc tính của lớp X509Certificate

CHỨNG CHỈ

 MINH HỌA

CHỨNG CHỈ

 NET đưa ra một số kiến trúc sandbox (hộp cát)

cho phép người dùng thực thi các đoạn mã

không đáng tin cậy mà không sợ ảnh hưởng

đến máy tính

- Sandbox là một kỹ thuật có tác dụng

+ cô lập các ứng dụng

+ ngăn chặn các phần mềm độc hại để chúng

không thể làm hỏng hệ thống máy tính, hay cài

cắm các mã độc, can thiệp vào hệ thống thật

 Ví dụ về sandbox với phần mềm sandboxie:

PHÂN QUYỀN VỚI NET

 Phần lớn ảnh hưởng đến sandbox là khi các chương trình thực thi trực tiếp trên thư mục chia sẻ.

 Có một số cách giới hạn thực thi mã chương trình trên thư mục chia sẻ :

bất kỳ hệ điều hành ảo nào trong sandbox cũng không thể gọi đến unmanaged code

(các đoạn mã không viết bằng ngôn ngữ C# được gọi là unmanaged code )

giới hạn trên cũng áp dụng cho việc đọc các biến môi trường, truy xuất file log,…

Xem và sửa chính sách an toàn run-time trong NET, theo thao tác sau: Control Panel→Administrative Tools→Microsoft NET Framework Configuration, click vào Runtime Security Policy (Hình ảnh )

PHÂN QUYỀN VỚI NET

 System.Security.Permissions namespace

(định nghĩa các lớp kiểm soát quyền truy cập vào các hoạt động và nguồn tài nguyên dựa trên chính sách bảo mật ) cung cấp các công cụ cho phép kiểm tra phân quyền như :

Code Accsess Security Attribute Class

Data Proctection Permission

Data Proctection Permission Attribute

Environment Permission

……

PHÂN QUYỀN VỚI NET

 LƯU TRỮ ĐỘC LẬP (một đặc tính trong an toàn truy xuất mã trong NET)

- Là vùng không gian đĩa cứng nhỏ(10KB) được cấp phát cho bất kỳ ứng dụng nào đó xuất phát từ nguồn Internet đã tin cậy

-Đặc điểm:

+Đặc tính này cho phép các ứng dụng phát triển trên môi trường intranet ( là mạng nội bộ, là một mạng có cấu trúc thượng tầng tương tự như

mạng LAN.)hoặc nguồn thứ cấp khác được phép đọc, ghi số lượng dữ liệu có giới hạn vào các máy tính chủ

+Nếu ứng dụng có thể đọc và ghi độc quyền, chúng có thể lợi dụng để khai thác các thông tin cá nhân khác như địa chỉ email, nhưng lưu trữ độc lập

là giải pháp thông minh để khắc phục vấn đề trên

+Mỗi ứng dụng được cấp thư mục và không gian riêng giống như trường hợp

các ứng dụng không tin cậy không thể đọc được dữ liệu của nhau Thư mục mà dữ liệu này đặt vào nên tránh các thư mục hệ thống và chứa dữ liệu cá nhân

+Lượng không gian cấp phát có thể điều chỉnh được

PHÂN QUYỀN VỚI NET

 SỬ DỤNG KHÔNG GIAN LƯU TRỮ ĐỘC LẬP

Để dùng không gian lưu trữ độc lập, khai báo đối tượng thuộc lớp IsolatedStorageFile và tạo đối tượng stream gắn vào nó Stream trên sẽ được dùng tương

tự như FileStream

PHÂN QUYỀN VỚI NET

 SỬ DỤNG KHÔNG GIAN LƯU TRỮ ĐỘC LẬP

PHÂN QUYỀN VỚI NET

AN TOÀN MẠNG THƯƠNG MẠI

 AN TOÀN THƯƠNG MẠI

 Mạng thương mại hay thương mại điện tử luôn đặt

ra những vấn đề về an toàn thông tin trao đổi giữa

các chủ thể tham gia giao dịch, an toàn cho hệ thống,

không bị xâm hại.

AN TOÀN MẠNG THƯƠNG MẠI

- Giao thức x25

AN TOÀN MẠNG THƯƠNG MẠI

Rất nhiều dịch vụ thương mại điện tử chạy trên giao thức X.25 chứ không phải IP

• X.25 được phát triển bởi CCITT vào năm 1978 và được dùng phổbiến trên các

mạng ngân hàng

• X.25 hỗ trợ rất nhiều đặc tính của TCP/IP như hướng kết nối và tính nhất quán dữ liệu nhờ high-level data link control/Link acces procedure balanced (HDLC/LAPB)

• X.25 hỗ trợ cả công 2 nghệ mạch ảo là PVC (mạch ảo cố định) và SVC (thay đổi theo tín hiệu của người dùng)

• Số mạch ảo có thể hỗ trợ tối đa là 200/mỗi đường X.25

• Trường hợp dùng X.25 trên mạng IP thì LAPB có thểthay thếTCP/IP Phần mềm

Cisco IOS hoặc các TCP X.25 gateway có khả năng tương tự (xem RFC 1613)

AN TOÀN MẠNG THƯƠNG MẠI

 Phân phối khóa ISO 8730

Trung tâm phân phối khóa có thể chạy tại một hoặc nhiều ngân hàng khác nhau, hoặc do bên thứ ba được tin cậy

• Mỗi thông điệp ISO 8730 có thể được băm bằng một trong hai cách:

– Toàn bộ thông điệp

– Chỉ những chi tiết chủ yếu

• Mỗi thông điệp phải chứa ngày được địa chỉ MAC tạo lập hủy các thông điệp quá

hạn

• Giá trị ngày cũng được băm tùy theo chế độ hoạt động

• Các trường thông tin được băm và được phân tách rõ ràng gồm:

– QD<date>DQ: ngày được MAC tạo ra

– QK<key>QK: khóa chứng thực được dùng bởi client

– QX<message ID>XQ: sốduy nhất cho ngày và khóa trên

– QT<transaction detail>TQ: chi tiết của sốgiao dịch

– MQ<hash>MQ: băm chính nó, dài 8 byte

AN TOÀN MẠNG THƯƠNG MẠI

 Mạng SWIFT (Society for Worldwide Interbank Financial

Telecommunications )

• Mạng SWIFT phục vụ cho trên 7000

tổ chức thương mại ở 200 quốc gia

• Để truy cập được vào mạng trên

cần phải có thiết bị đầu cuối đặc biệt,

cùng với phần mềm được chứng nhận

bởi SWIFT

• Truyền thông trên mạng dùng X.25

hoặc Secure IP Network (SIPN)

• Kết nối vào SWIFT với đường thuê bao

riêng hoặc ISDN độc quyền

• Một API (giao diện lập trình ứng dụng )

được SWIFT cung cấp để truyền thông với mạng này

AN TOÀN MẠNG THƯƠNG MẠI

H t ế