Bên gửi sẽ mã hóa yêu cầu RB bằng khóa bí mật KA,B và gửi về cho bên nhận.. Bên nhận sẽ lại mã hóa RA bằng khóa bí mật KA,B đó và gửi về cho bên nhận.. Hình Xác thực dựa trên khóa bí mật
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA QUỐC TẾ VÀ ĐÀO TẠO SAU ĐẠI HỌC
*
TIỂU LUẬN
AN NINH MẠNG
ĐỀ TÀI: KÊNH AN TOÀN ( SECURE
CHANNELS)
Học viên thực hiện:
Phạm Hữu Tình
Lớp: M12CQCT01B Giáo viên hướng dẫn: PGS.TSKH HOÀNG ĐĂNG HẢI
Trang 2Hà Nội, 06-2013
Mục Lục
1.1 Xác thực (Authentification) 2
1.1.1 Xác thực dựa trên khóa bí mật 2
1.1.2 Xác thực dựa trên trung tâm phân phối khóa 4
1.1.3 Xác thực dựa trên khóa công khai 6
1.2 Tính toàn vẹn và tính mật của thông điệp 6
1.2.2 Chữ kí số 6
1.2.3 Khóa phiên 7
1.3 Truyền thông nhóm an toàn 8
1.3.2 Truyền thông nhóm bí mật 8
1.3.3 Server nhân bản an toàn 8
Trang 31.1 Xác th c (Authentification) ực (Authentification).
1.1.1 Xác th c d a trên khóa bí m t ực (Authentification) ực (Authentification) ật.
Nguyên lý chung: bên gửi muốn giao tiếp với bên nhận sẽ gửi một yêu cầu A tới bên nhận.
Bên nhận trả lời bằng một yêu cầu RB Bên gửi sẽ mã hóa yêu cầu RB bằng khóa bí mật KA,B
và gửi về cho bên nhận Bên nhận xác thực được bên gửi nhờ nhận biết được yêu cầu RB
mình đã gửi trong gói tin vừa nhận Lúc này bên gửi muốn xác thực bên nhận sẽ tiếp tục gửi yêu cầu RA tới bên nhận Bên nhận sẽ lại mã hóa RA bằng khóa bí mật KA,B đó và gửi về cho bên nhận Và như thế bên nhận đã xác định được bên gửi, sau đó quá trình trao đổi sẽ được thực hiện
Hình Xác thực dựa trên khóa bí mật Một mô hình cải tiến hơn là thu gọn số lượng bản tin chỉ còn lại 3 bản tin giữa bên nhận và bên gửi
Trang 4Hình Xác thực dựa trên khóa bí mật nhưng dùng 3 bản tin
Nhưng hiện nay, giao thức hay được dùng là “reflection attack” như được mô tả trong hình
vẽ sau:
Trang 51.1.2 Xác th c d a trên trung tâm phân ph i khóa ực (Authentification) ực (Authentification) ối khóa.
Nếu hệ thống gồm N host, mỗi host phải chia sẻ một khóa mật với N-1 host khác thì hệ thống cần quản lý N.(N-1)/2 khóa, và mỗi host phải quản lý N-1 khóa Như vậy nếu N lớn
sẽ rất khó khăn trong việc quản lý Do đó, để khắc phục hiện tượng trên ta sử dụng trung tâm phân phối khóa KDC (Key Distribution Center)
Tư tưởng chính: bên gửi sẽ gửi bản tin tới trung tâm phân phối khóa thông báo mình muốn giao tiếp với bên nhận KDC sẽ gửi cho cả bên gửi và bên nhận một bản tin có chứa khóa bí mật KA,B Bản tin gửi cho bên nhận sẽ được mã hóa bằng KA,KDC Bản tin gửi cho bên gửi sẽ được mã hóa bằng KB,KDC
Hình Nguyên lý của KDC Cách tiếp cận thứ hai là KDC sẽ gửi cả hai bản tin chứa khóa bí mật KA,KDC (KA,B ) và KB,KDC
(KA,B ) cho bên gửi và bên gửi có nhiệm vụ gửi cho bên nhận khóa đã được KDC mã hóa
KB,KDC (KA,B ) đó
Trang 6Hình Dùng ticket
1.1.3 Xác th c d a trên khóa công khai ực (Authentification) ực (Authentification).
Hình Xác thực dựa trên khóa công khai
Bên gửi mã hóa yêu cầu bằng khóa công khai K+
B của bên nhận Bên nhận này là nơi duy nhất có thể giải mã bản tin đó bằng K
-B Bên nhận sẽ mã hóa yêu cầu của bên gửi cùng với yêu cầu của chính mình và khóa KA,B vừa tạo ra bằng khóa công khai K+
A của bên gửi nhằm
Trang 7Cách 1: dùng hệ mật mã khóa công khai là RSA.
Hình chữ kí số cho một bản tin dùng khóa công khai
Bên gửi sẽ mã hóa bản tin bằng khóa riêng K
-A của mình, sau đó sẽ mã hóa tiếp nội dung bản tin và phiên bản chữ kí bằng khóa công khai K+
B của bên nhận Bản tin được mã hóa này
sẽ được truyền đi cùng bản tin m Bên nhận sau khi nhận được bản tin sẽ giải mã gói tin, lấy phiên bản chữ kí của m và so sánh với m để xác thực rằng bản tin này được gửi từ bên gửi
đó và cũng để kiểm tra xem có thay đổi trên đường truyền hay không
Cách 2: dùng hàm băm.
Hàm băm H dùng để tính toán một bản tin có độ dài cố định là một chuỗi bit h từ một bản tin có độ dài tùy ý m Nếu giá trị m thay bằng giá trị m’ thì H(m’) cũng có giá trị khác giá trị
h = H(m), do đó ta có thể dễ dàng xác định được những thay đổi trên bản tin m trên đường truyền
Hình chữ kí số cho một bản tin dùng message digest Bên gửi sẽ tính toán các bản tin có độ dài cố định từ bản tin m và mã hóa bằng khóa riêng
Trang 81.2.2 Khóa phiên
Trong một kênh trao đổi an toàn, sau pha xác thực sẽ tiến hành truyền thông Mỗi kênh truyền thông đó được xác định bởi một khóa phiên tương ứng Khi phiên truyền kết thúc thì khóa phiên tương ứng cũng bị hủy bỏ
1.3 Truy n thông nhóm an toàn ền thông nhóm an toàn
1.3.1 Truy n thông nhóm bí m t ền thông nhóm an toàn ật.
Mô hình đơn giản là tất cả các thành viên trong nhóm sẽ cùng có một khóa bí mật để mã hóa
và giải mã các bản tin Điều kiện tiên quyết cho mô hình này là phải đảm bảo rằng tất cả các thành viên trong nhóm phỉa giữ bia mật khóa đó
Mô hình thứ hai là dùng một khóa bí mật cho từng cặp thành viên trong nhóm Khi một trong hai thành viên kết thúc phiên truyền thì thành viên còn lại vẫn sẽ dùng khóa đó để giao tiếp với thành viên khác trong nhóm Với mô hình này phải duy trì tới N (N-1)/2 khóa
Mô hình thứ ba là dùng khóa công khai Mỗi một thành viên trong nhóm sẽ phải duy trì một cặp khóa công khai và khóa riêng, trong đó khóa công khai được dùng bởi tất cả thành viên trong nhóm
1.3.2 Server nhân b n an toàn ản an toàn
Việc nhân bản các server thường dùng trong việc chịu lỗi cho hệ phân tán nhưng đôi khi cũng được dùng để đảm bảo tính tin cậy cho hệ thống
