Bài giảng An toàn mạng máy tính nâng cao: Chương 2 - ThS. Nguyễn Duy

Bài giảng An toàn mạng máy tính nâng cao - Chương 2: Các giao thức bảo mật cung cấp cho người học các kiến thức: Ip security, secure socket layer transport layer security, pretty good privacy, secure shell. Mời các bạn cùng tham khảo nội dung chi tiết.

Trang 1

CHƯƠNG 2

CÁC GIAO THỨC BẢO MẬT

ThS.Nguyễn Duy duyn@uit.edu.vn 2/28/17

Trang 2

Nội dung

Ø   IP Security

Ø   Secure Socket Layer /Transport Layer Security

Ø   Pretty Good Privacy

Ø   Secure Shell

2 duyn@uit.edu.vn

2/28/17

Trang 3

Nội dung

Ø   IP Security

Trang 4

Ø   IKE (Internet key exchange): được sử dụng để thiết lập khoá

bí mật cho người gởi và người nhận.

Trang 5

đối tác (Partners)

Trang 6

IP Security – tt

Tổng quan

Trang 7

IP Security – tt

Tổng quan

7

trước tiên phải chọn một tập hợp các giải thuật mã hóa và các thông số, sau đó thông báo cho Bob về lựa chọn của mình

thương lượng với Alice cho một tập hợp khác nhau của các giải thuật và các thông số

IPsec thiết lập sự kết hợp bảo mật (Security Association - SA) giữa Alice và Bob cho phần còn lại của phiên làm việc

duyn@uit.edu.vn

Trang 8

IP Security – tt

Tại sao cần sử dụng IP Security

8

Ø   IPv4 không được thiết kế với tính bảo mật

Ø   Những cuộc tấn công có thể xảy ra với IPv4

Trang 9

Ø   Identity spoofing (IP address spoofing)

Trang 10

IP Security – tt

Security Association (SA)

10

parameters index): là một chuỗi nhị phân 32 bit được

sử dụng để xác định một tập cụ thể của các giải thuật

và thông số dùng trong phiên truyền thông SPI được bao gồm trong cả AH và ESP để chắc chắn rằng cả hai đều sử dụng cùng các giải thuật và thông số

phép AH hay ESP sử dụng đồng thời trong cùng một

SA

duyn@uit.edu.vn

Trang 11

IP Security

Cơ chế hoạt động

Trang 12

IP Security - tt

Cơ chế hoạt động - tt

Certification)

Trang 13

IP Security - tt

IKE – Main Mode

Trang 14

IP Security - tt

IKE – Main Mode

Trang 15

IP Security - tt

IKE – Main Mode

Trang 16

IP Security - tt

IKE – Main Mode

Trang 17

IP Security

IPSecurity: Quick mode

Trang 18

IP Security – tt

Các phương thức hoạt động của IPsec

18

IPsec bao gồm 2 phương thức:

Transport Mode khi có yêu cầu lọc gói tin và bảo mật điểm-tới-điểm Cả hai trạm cần hỗ trợ IPSec sử dụng cùng giao thức xác thực và không được đi qua một giao tiếp NAT nào Nếu dữ liệu đi qua giao tiếp NAT sẽ bị đổi địa chỉ IP trong phần header và làm mất hiệu lực của ICV (Giá trị kiểm soát tính nguyên vẹn)

duyn@uit.edu.vn

Trang 19

IP Security – tt

Các phương thức hoạt động của IPsec

19

IPsec bao gồm 2 phương thức:

này khi cần kết nối Site-to-Site thông qua Internet (hay các mạng công cộng khác) Tunel Mode cung cấp sự bảo vệ Gateway-to-Gateway (cửa-đến-cửa)

duyn@uit.edu.vn

Trang 20

IP Security – tt

Định dạng AH

Trang 21

IP Security – tt

Định dạng AH

21

Ø   Authentication Header (AH) bao gồm các vùng:

Ø   Next Header (8 bits): xác định header kế tiếp

Ø   Payload Length (8 bits): chiều dài của Authentication Header theo từ 32-bit, trừ 2

Ø   Reserved (16 bits): sử dụng cho tương lai

Ø   Security Parameters Index (32 bits): xác định một SA

Ø   Sequence Number (32 bits): một giá trị tăng đơn điệu

Ø   Authentication Data (variable): Một vùng có chiều dài biến đổi (phải là một số nguyên của từ 32 bits) chứa giá trị kiểm tra tính toàn vẹn (Integrity Check Value - ICV) đối với gói tin này

duyn@uit.edu.vn

Trang 23

IP Security – tt

Định dạng ESP

Trang 24

IP Security – tt

Định dạng ESP

24

Ø   Một gói ESP chứa các vùng sau:

điệu, cung cấp chức năng anti-replay (giống AH)

transport-level (transport mode) hoặc gói IP (tunnel mode) được bảo vệ bởi việc mã hoá

trước vùng này

duyn@uit.edu.vn

Trang 25

IP Security – tt

Định dạng ESP

25

Ø   Một gói ESP chứa các vùng sau:

vùng payload data bằng cách chỉ ra header đầu tiên của vùng payload này

biến đổi (phải là một số nguyên của từ 32-bit) chứa ICV được tính bằng cách gói ESP trừ vùng Authentication Data

duyn@uit.edu.vn

Trang 27

IP Security – tt

Sự kết hợp của các SA

Trang 30

SSL/TLS

Tổng quan

Ø   Giao thức SSL (Secure Socket Layer Protocol)

và giao thức TLS (Transport Layer Security Protocol) là những giao thức bảo mật tại lớp vận chuyển được dùng chủ yếu trong thực tế

Ø   Được thiết kế và phát triển bởi Netscape từ năm

1994, SSL được sử dụng để bảo vệ những ứng dụng World-Wide-Web và các giao dịch điện tử

Ø   TLS là một phiên bản sửa đổi của SSL v3, được xuất bản năm 1999 như là tiêu chuẩn bảo mật lớp vận chuyển bởi tổ chức Internet Engineering Task Force (IETF) Chỉ có khác biệt nhỏ giữa TLS và SSL v3

Trang 31

SSL/TLS

Các thành phần của SSL

Ø   Giao thức SSL bao gồm 2 thành phần:

đặt trên đỉnh của các giao thức lớp vận chuyển

ứng dụng (như HTTP) và record protocol , bao gồm các giao thức:

n  Handshake protocol

n  Change-cipher-spec protocol

n  Alert protocol

Trang 32

SSL/TLS

Cấu trúc của SSL

Trang 33

SSL/TLS

Giao thức bản ghi (record protocol) của SSL

Trang 34

SSL/TLS

Các giao thức của SSL

34

giải thuật mã hóa, giải thuật nén, và các thông số sẽ được sử dụng bởi cả hai bên trong việc trao đổi dữ liệu được mã hóa Sau đó, các giao thức bản ghi (record protocol) chịu trách nhiệm phân chia thông điệp vào các khối, nén mỗi khối, chứng thực chúng, mã hóa chúng, thêm header vào mỗi khối, và sau đó truyền đi các khối kết quả

protocol) cho phép các bên giao tiếp có thể thay đổi các giải thuật hoặc các thông số trong một phiên truyền thông

thức quản lý, nó thông báo cho các bên tham gia truyền thông khi có vấn đề xảy ra

duyn@uit.edu.vn

Trang 35

SSL/TLS

Giao thức bắt tay của SSL

35

Ø   Phase 1: chọn giải thuật mã hoá Các giải thuật được chọn có

thể là RSA, AES-128, 3DES, RC6, SHA-1… Client sẽ khởi tạo với một thông điệp client-hello

Ø   Phase 2: server xác thực và trao đổi khoá Server sẽ gởi cho

client:

Ø   Chứng chỉ khoá công khai của server

Ø   Thông tin trao đổi khoá của server

Ø   Yêu cầu chứng chỉ khoá công khai của client

Ø   Phase 3: client xác thực và trao đổi khoá Client trả lời cho

server các thông tin:

Ø   Chứng chỉ khoá công khai của client

Ø   Thông tin trao đổi khoá của client

Ø   Phase 4: hoàn thành việc bắt tay Server và client sẽ gởi cho

nhau thông điệp finish

duyn@uit.edu.vn

Trang 36

SSL/TLS

Quá trình thiết lập kết nối SSL

Trang 37

SSL/TLS

37 2/28/17

Trang 38

SSL/TLS

38 2/28/17

Trang 39

SSL/TLS

39 2/28/17

Trang 40

Nội dung

Ø   Pretty Good Privacy

Trang 41

Pretty Good Privacy (PGP)

Tổng quan

Trang 42

Tổng quan

42

tập tin

Trang 43

Trang 44

44

Message authentication

Ø   based on digital signatures

Ø   supported algorithms: RSA/SHA and DSS/SHA

Trang 45

45

Message confidentiality

Ø   supported algorithms:

prng s.enc

Trang 46

46

Compression

Ø   enough to store clear message and signature for later

Ø   compression reduces redundancy → makes cryptanalysis harder

Trang 47

47

E-mail compatibility

arbitrary octets

stream of printable ASCII characters

Ø   radix 64 conversion: 3 8-bit blocks → 4 6-bit blocks 0 7 0 7 0 7

character encoding

6-bit value

value

Trang 49

PGP message format

session key component

signature

message

session key k timestamp

leading two octets of hash

hash

filename timestamp

Trang 50

50

Key IDs

pairs

Ø   which private key to use to decrypt the session key?

Ø   which public key to use to verify a signature?

Trang 51

Các chức năng của PGP

Trang 52

Các chức năng của PGP

52

Ø   Chú thích:

Ø   Ks: session key dùng trong mã hoá symmetric

Ø   Pra: private key của user A

Ø   PUa: public key of user A

Ø   EP: mã hoá public-key (asymmetric)

Ø   DP: giải mã public-key (asymmetric)

Ø   EC: mã hoá symmetric

Ø   DC: giải mã symmetric

Ø   H: hàm băm

Ø   ||: kết nối, ghép chuỗi

Ø   Z: nén sử dụng giải thuật ZIP

Ø   R64: convert sang định dạng ASCII 64 bit

duyn@uit.edu.vn

Trang 53

Định dạng tổng quát của một thông điệp PGP

Trang 54

Truyền và nhận thông điệp PGP

Trang 55

Một số đặc tính của PGP

Trang 56

Secure/Multipurpose Internet Mail Extensions (S/MIME)

Ø   S/MIME đưa vào hai phương pháp an ninh cho email: mã hóa email và chứng thực Cả hai cách đều dựa trên mã hóa bất đối xứng và PKI

duyn@uit.edu.vn

Trang 57

Trang 58

Trang 59

Ø   Mã hóa một email gửi đi để ngăn chặn bất cứ ai xem, thay đổi Nội dung của email trước khi đến với người nhận

Ø   Xác minh chữ ký số của một email đã ký đến với một quá trình liên quan đến một danh sách thu hồi chứng chỉ (CRL)

Ø   Tự động giải mã một email gửi đến để người nhận có thể đọc được nội dung của email

Ø   Trao đổi chữ ký hoặc email đã được mã hóa với những người dùng khác của S/MIME

duyn@uit.edu.vn

Trang 60

Trang 61

Trang 62

Trang 63

Trang 64

Nội dung

Ø   Secure Shell

Trang 65

Cisco từ một máy khách chạy Windows

có thể kết nối đến một máy chủ Windows 2008 từ một máy khách sử dụng hệ điều hành Linux

Trang 66

Secure Shell

Tổng quan

dụng các giải thuật mã hoá và chứng thực

(SFTP) và sao chép file (SCP)

thành 3 lớp trong lớp ứng dụng của mô hình mạng TCP/IP:

Trang 67

Secure Shell

Tổng quan

Trang 68

đổi khoá Mỗi máy tính có hỗ trợ kiểu truyền thông SSH có một khoá định danh duy nhất Khoá này gồm hai thành phần: khoá riêng và khoá công khai Khoá công khai được sử dụng khi cần trao đổi giữa các máy chủ với nhau trong phiên làm việc SSH, dữ liệu sẽ được mã hoá bằng khoá công khai và chỉ có thể giải mã bằng khoá riêng

duyn@uit.edu.vn

Trang 69

Secure Shell

Cách thức hoạt động

Trang 70

Secure Shell

70

2   Mã hoá:

mật (trao đổi khoá, định danh), quá trình trao đổi

dữ liệu diễn ra thông qua một bước trung gian đó là

mã hoá/giải mã Dữ liệu gửi/nhận trên đường truyền đều được mã hoá và giải mã theo cơ chế đã thoả thuận trước giữa máy chủ và máy khách

khách quyết định Các cơ chế mã hoá thường được chọn bao gồm: 3DES, IDEA, và Blowfish Khi

cơ chế mã hoá được lựa chọn, máy chủ và máy khách trao đổi khoá mã hoá cho nhau

duyn@uit.edu.vn

Trang 71

Secure Shell

71

3   Chứng thực:

thể được cung cấp theo nhiều cách khác nhau Chẳng hạn, kiểu chứng thực rhosts có thể được sử dụng, nhưng không phải là mặc định; nó đơn giản chỉ kiểm tra định danh của máy khách được liệt kê trong file rhost (theo DNS và địa chỉ IP)

dụng để định danh người sử dụng, nhưng ngoài ra cũng có các cách khác: chứng thực RSA, sử dụng ssh-keygen và ssh-agent để chứng thực các cặp khoá

duyn@uit.edu.vn

Trang 72

72

Định dạng
Số trang	72
Dung lượng	2,72 MB