1. Trang chủ
  2. » Công Nghệ Thông Tin

An toàn và bảo mật mạng CHƯƠNG 5

20 257 4

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 20
Dung lượng 437,59 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Trần Bá Nhiệm An ninh Mạng 2Giới thiệu • Mục đích của các ứng dụng xác thực là hỗ trợ xác thực và chữ ký số ở mức ứng dụng • Phân làm 2 loại chính • Dịch vụ Kerberos • Giao thức Needham-

Trang 1

Chương 5

CÁC ỨNG DỤNG XÁC THỰC

Trang 2

Trần Bá Nhiệm An ninh Mạng 2

Giới thiệu

• Mục đích của các ứng dụng xác thực là hỗ trợ xác thực và chữ ký số ở mức ứng dụng

• Phân làm 2 loại chính

• Dịch vụ Kerberos

• Giao thức Needham-Schroeder

– Dựa trên khóa công khai được chứng thực

• Dịch vụ X.509

• Hệ thống PGP

Trang 3

• Hệ thống dịch vụ xác thực phát triển bởi MIT

• Nhằm đối phó với các hiểm họa sau

– Người dùng giả danh là người khác

– Người dùng thay đổi địa chỉ mạng của client

– Người dùng xem trộm thông tin trao đổi và thực hiện kiểu tấn công lặp lại

• Bao gồm 1 server tập trung có chức năng xác thực người dùng và các server dịch vụ phân tán

– Tin cậy server tập trung thay vì các client

– Giải phóng chức năng xác thực khỏi các server dịch vụ và các client

Trang 4

Trần Bá Nhiệm An ninh Mạng 4

Ký hiệu

– C: Client

– AS: Server xác thực

– V: Server dịch vụ

– IDC: Danh tính người dùng trên C

– IDV: Danh tính của V

– PC: Mật khẩu của người dùng trên C

– KV: Khóa bí mật chia sẻ bởi AS và V

– TS: Nhãn thời gian

Trang 5

Một hội thoại xác thực đơn giản

• Giao thức

(1) C → AS: IDC ║ PC ║ IDV

(2) AS → C: Thẻ

(3) C → V: IDC ║ Thẻ

Thẻ = EKV[IDC ║ ADC ║ IDV]

• Hạn chế

– Nếu thẻ chỉ sử dụng được một lần thì phải cấp thẻ mới cho mỗi lần truy nhập cùng một dịch vụ

– Nếu thẻ sử dụng được nhiều lần thì có thể bị lấy cắp để sử dụng trước khi hết hạn

– Cần thẻ mới cho mỗi dịch vụ khác nhau

Trang 6

Trần Bá Nhiệm An ninh Mạng 6

Hội thoại xác thực Kerberos 4

(a) Trao đổi với dịch vụ xác thực: để có thẻ cấp thẻ

(1) C → AS: IDC ║ IDtgs ║ TS1

(2) AS → C: EKC[KC,tgs ║ IDtgs ║ TS2 ║ Hạn2 ║ Thẻtgs]

Thẻtgs = EKtgs[KC,tgs ║ IDC ║ ADC ║ IDtgs ║ TS2 ║ Hạn2]

(b) Trao đổi với dịch vụ cấp thẻ: để có thẻ dịch vụ

(3) C → TGS: IDV ║ Thẻtgs ║ DấuC

(4) TGS → C: EKC,tgs[KC,V ║ IDV ║ TS4 ║ ThẻV]

ThẻV = EKV[KC,V ║ IDC ║ ADC ║ IDV ║ TS4 ║ Hạn4]

DấuC = EKC,tgs[IDC ║ ADC ║ TS3 ]

(c) Trao đổi xác thực client/server: để có dịch vụ

(5) C → V: ThẻV ║ DấuC

(6) V → C: EKC,V[TS5 + 1]

DấuC = EKC,V[IDC ║ ADC ║ TS5]

Trang 7

Mô hình tổng quan Kerberos

Mỗi phiên người dùng một lần

Mỗi dịch vụ một lần

Mỗi phiên dịch vụ một lần

Yêu cầu thẻ cấp th

Thẻ + kh

óa phiên

Yêu cầu thẻ dịc

h vụ

Thẻ + khóa phiê

n

Yêu cầu dịc

h vụ Gửi d

ấu server

AS

TGS Client

Server dịch vụ

Trang 8

Trần Bá Nhiệm An ninh Mạng 8

Phân hệ Kerberos

• Một phân hệ Kerberos bao gồm

– Một server Kerberos chứa trong CSDL danh tính và mật khẩu băm của các thành viên

– Một số người dùng đăng ký làm thành viên

– Một số server dịch vụ, mỗi server có một khóa bí mật riêng chỉ chia sẻ với server Kerberos

• Mỗi phân hệ Kerberos thường tương ứng với một phạm vi hành chính

• Hai phân hệ có thể tương tác với nhau nếu 2 server chia sẻ 1 khóa bí mật và đăng

ký với nhau

– Điều kiện là phải tin tưởng lẫn nhau

Trang 9

2 3

4

5 6

7

Phân hệ A

Phân hệ B

1 Yêu cầu thẻ cho TGS cục bộ

2 Thẻ cho TGS cục bộ

3 Yêu cầu thẻ cho TGS ở xa

4 Thẻ cho TGS ở xa

5 Yêu cầu thẻ cho server ở xa

6 Thẻ cho server ở xa

7 Yêu cầu dịch vụ ở xa

Trang 10

Trần Bá Nhiệm An ninh Mạng 10

Kerberos 5

• Phát triển vào giữa những năm 1990 (sau Kerberos 4 vài năm) đặc tả trong RFC 1510

• Có một số cải tiến so với phiên bản 4

• Phụ thuộc giải thuật mã hóa, phụ thuộc giao thức mạng, trật tự byte thông báo không theo chuẩn, giá trị hạn dùng thẻ có thể quá nhỏ, không cho phép ủy nhiệm truy nhập, tương tác đa phân hệ dựa trên quá nhiều quan hệ tay đôi

– Khắc phục những thiếu sót kỹ thuật

• Mã hóa hai lần có một lần thừa, phương thức mã hóa PCBC để đảm bảo tính toàn vẹn không chuẩn dễ

bị tấn công, khóa phiên sử dụng nhiều lần có thể bị khai thác để tấn công lặp lại, có thể bị tấn công mật khẩu

Trang 11

Dịch vụ xác thực X.509

• Nằm trong loạt khuyến nghị X.500 của ITU-T nhằm chuẩn hóa dịch vụ thư mục

– Servers phân tán lưu giữ CSDL thông tin người dùng

• Định ra một cơ cấu cho dịch vụ xác thực

– Mỗi chứng thực bao gồm khóa công khai của người dùng ký bởi một bên chuyên trách chứng thực đáng tin

• Định ra các giao thức xác thực

• Sử dụng mật mã khóa công khai và chữ ký số

Trang 12

Trần Bá Nhiệm An ninh Mạng 12

Khuôn dạng X.509

Trang 13

Nhận chứng thực

• Cứ có khóa công khai của CA (cơ quan chứng thực) là có thể xác minh được chứng thực

• Chỉ CA mới có thể thay đổi chứng thực

– Chứng thực có thể đặt trong một thư mục công khai

• Cấu trúc phân cấp CA

– Mỗi CA có hai loại chứng thực

• Chứng thực thuận: Chứng thực CA hiện tại bởi CA cấp trên

• Chứng thực nghịch: Chứng thực CA cấp trên bởi CA hiện tại

• Cấu trúc phân cấp CA cho phép người dùng xác minh chứng thực bởi bất kỳ CA nào

Trang 14

Trần Bá Nhiệm An ninh Mạng 14

Phân cấp X.509

Trang 15

Thu hồi chứng thực

• Mỗi chứng thực có một thời hạn hợp lệ

• Có thể cần thu hồi chứng thực trước khi hết hạn

– Khóa riêng của người dùng bị tiết lộ

• Mỗi CA phải duy trì danh sách các chứng thực bị thu hồi (CRL)

• Khi nhận được chứng thực, người dùng phải kiểm tra xem nó có trong CRL không

Trang 16

Trần Bá Nhiệm An ninh Mạng 16

Các thủ tục xác thực

Trang 17

Cấp chứng chỉ

• Certification authority (CA): gắn kết khóa công cộng với thực thể E nào đó

• E (người, router) đăng ký khóa công cộng của họ với CA

– E cung cấp “bằng chứng để nhận dạng” cho CA

– CA tạo ra chứng chỉ ràng buộc E với khóa công cộng của nó

– chứng chỉ chứa khóa công cộng của E được ký số bởi CA – CA nói “đây là khóa công cộng của E”

khóa công cộng của Bob

K B +

thông tin để nhận dạng

Bob

chữ ký số (đã

mã hóa)

khóa riêng

CA

K CA

-K B +

chứng chỉ cho khóa công cộng

của Bob, ký bởi CA

Trang 18

Mô tả chứng chỉ

18

• Số thứ tự (duy nhất)

• thông tin về người sở hữu chứng chỉ, bao gồm giải thuật và chính giá trị khóa

(không hiển thị ra)

❒ thông tin về người phát hành

chứng chỉ

❒ ngày kiểm tra tính hợp lệ

❒ chữ ký số bởi người phát hành

chứng chỉ

Trang 19

Sử dụng chứng chỉ

Thông tin Public

key

Private

key

Tổ chức chứng nhận (CA)

key

Tạo chứng nhận

Yêu cầu cấp chứng nhận theo Chuẩn X.509

Chứng nhận X.509

Tài liệu

&

Mã hóa

Giải mã

&

Xác nhận chữ ký Tài liệu

Xác thực chứng nhận

Chứng nhận hợp lệ

& còn giá trị

Ok! Tin tưởng & chấp nhận đề

nghị.

Trang 20

Sử dụng chứng chỉ

20

Cần chứng thực giấy chứng nhận

Cần chứng thực giấy chứng nhận

Private

key

CA

Khóa bí mật bị

BẺ !

?

Yêu cầu HỦY

chứng nhận

Hủy chứng nhận

Chứng nhận đã b ị HỦY

ngày 25/3/2009 3 :10:22

Xác thực chứng nhận

Chứng nhận đã bị HỦY

vào 25/3/2009 3:10:22

Hủy

giao dịch

Ngày đăng: 29/08/2017, 10:07

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w