Chương 3: Định danh Xác thực (Identification and Authentication) Khoa Khoa học Kỹ thuật Máy tính Đại học Bách Khoa Tp.HCM Nội dung Giới thiệu định danh xác thực Phương pháp định danh Phương pháp xác thực Giao thức xác thực Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 3: Định danh Xác thực Giới thiệu định danh xác thực n Các bước điều khiển truy cập Định danh (Identification): Người dùng cung cấp danh định (identity) Xác thực (Authentication): Người dùng chứng minh danh định Ủy quyền (Authorization): Xác định quyền mà người dùng có Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 3: Định danh Xác thực Giới thiệu định danh xác thực n Các bước điều khiển truy cập Định danh (Identification): Người dùng cung cấp danh định (identity) Xác thực (Authentication): Người dùng chứng minh danh định Ủy quyền (Authorization): Xác định quyền mà người dùng có Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 3: Định danh Xác thực Định danh n n Người dùng cung cấp danh định cho hệ thống Mục đích: n Tìm kiếm tồn quyền hạn cho người dùng Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo 3:mật hệ thống thông tin Chương Định danh Xác thực Xác thực n n Người dùng cung cấp chứng danh định phù hợp với Mục đích: n n Chứng minh danh định hợp lệ phù hợp với người dùng Quyết định có cho phép người dùng truy cập vào tài nguyên hệ thống hay không Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 3: Định danh Xác thực Nội dung Giới thiệu định danh xác thực Phương pháp định danh Điều khiển liệu với SQL DAC điều khiển dịng thơng tin Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 3: Định danh Xác thực Phương pháp định danh n Có phương pháp: n n người dùng tự nhập thông tin danh định Sử dụng danh định số hóa: n n n Danh định sinh trắc học (biometric identity) Danh định máy tính (computer identity) Danh định số (digital identity) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 3: Định danh Xác thực Phương pháp định danh n n Phương pháp 1: người dùng tự nhập thông tin danh định Đây phương pháp phổ biến n n Ví dụ: username, số tài khoản Bước hacker muốn xâm nhập vào hệ thống thu thập danh sách người dùng hợp lệ hệ thống Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 3: Định danh Xác thực Phương pháp định danh n n Phương pháp 2: Sử dụng danh định số hóa Danh định sinh trắc học (Biometric identity) n n n n Nhận dạng khuôn mặt (Facial recognition) Qt trịng mắt (iris scanners) Hình học bàn tay (hand geometry) Nhận dạng vân tay (fingerprint) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 3: Định danh Xác thực 10 Giao thức xác thực dùng khóa đối xứng Giao thức xác thực lẫn cải tiến Bob Alice n 1: “Tôi Alice”, NA 2: NB , {NA}KAB 3: {NB}KAB Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 3: Định danh Xác thực 36 Giao thức xác thực dùng khóa đối xứng Tấn cơng giao thức xác thực lẫn cải tiến Bob Malice n 1.1.: “Tôi Alice”, NA 1.2: NB , {NA}KAB 2.1: “Tôi Alice”, NB 2.2: NC , {NB}KAB 1.3.: {NB}KAB Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 3: Định danh Xác thực 37 Giao thức xác thực dùng khóa đối xứng Giao thức xác thực lẫn cải tiến khác Bob Alice n 1: “Tôi Alice”, NA 2: NB , {Bob, NA}KAB 3: {Alice, NB}KAB Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 3: Định danh Xác thực 38 Giao thức xác thực n n n n n Giao thức xác thực đơn giản Giao thức xác thực challenge-response Giao thức xác thực dùng khóa đối xứng Giao thức xác thực dùng khóa cơng khai Giao thức xác thực KERBEROS Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 3: Định danh Xác thực 39 Giao thức xác thực dùng khóa cơng khai n n n n n n n n C: ciphertext M: plaintext KA: cặp khóa bí mật cơng khai Alice C ={M}KA: mã hóa khóa cơng khai Alice M = [C]KA: giải mã khóa bí mật Alice S = [M]KA: ký lên M khóa bí mật Alice [{M}KA]KA = M {[M]KA}KA = M Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 3: Định danh Xác thực 40 Giao thức xác thực dùng khóa đối xứng Dùng mã hóa cơng khai Bob Alice n 1: “Tơi Alice” 2: {NA}KA 3: NA Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 3: Định danh Xác thực 41 Giao thức xác thực dùng khóa đối xứng Dùng chữ ký số Bob Alice n 1: “Tôi Alice” 2: NA 3: [NA]KA Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 3: Định danh Xác thực 42 Giao thức xác thực n n n n n Giao thức xác thực đơn giản Giao thức xác thực challenge-response Giao thức xác thực dùng khóa đối xứng Giao thức xác thực dùng khóa cơng khai Giao thức xác thực KERBEROS Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 3: Định danh Xác thực 43 Giao thức xác thực KERBEROS n n Là giao thức sử dụng thực tế KERBEROS n n n n Dùng mã hóa đối xứng Được thiết kế để dùng hệ thống nhỏ mạng nội Dựa vào thành phần thứ tin cậy Trung tâm phân phối khóa (Key Distribution Center - KDC) Với N người dùng n n n Giao thức dùng khóa cơng khai: 2N khóa Giao thức dùng khóa đối xứng: N2 khóa Giao thức Kerberos: N khóa Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 3: Định danh Xác thực 44 Giao thức xác thực KERBEROS n Trung tâm phân phối khóa KDC n n n n n KDC có siêu khóa KKDC, có KDC biết khóa KDC cung cấp: Ticket-Granting Ticket (TGT) TGT chứa khóa phiên, user ID thời hạn TGT mã hóa KKDC Chỉ có KDC đọc TGT KDC KKDC Alice KA Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Malice KM Bob KB Bảo mật hệ thống thông tin Chương 3: Định danh Xác thực 45 Giao thức xác thực KERBEROS n Quá trình Alice login vào hệ thống sử dụng KERBEROS Alice yêu cầu TGT Password Alice n n n {SA, TGTA}KA KDC KA: khóa chung Alice KDC, KA = h(password) SA: khóa phiên TGTA = {Alice, SA}KKDC Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 3: Định danh Xác thực 46 Bob KDC Alice Giao thức xác thực KERBEROS Alice gửi cho KDC: Alice, Bob, TGTA, {timestamp}SA KDC gửi cho Alice: {Bob, KAB, ticket-to-Bob}SA ticket-to-Bob: {Alice, KAB}KB Alice gửi cho Bob: ticket-to-Bob, {timestamp}KAB Bob gửi cho Alice: {timestamp + 1}KAB Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 3: Định danh Xác thực 47 Giao thức xác thực KERBEROS n Một thao tác dư thừa KERBEROS: n n KDC gửi cho Alice: {SA, TGTA}KA Trong TGTA = {Alice, SA}KKDC KDC gửi cho Alice: {SA}KA, TGTA Tiết kiệm chi phí KDC dùng KKDC để giải mã tất TGT không cần biết gửi yêu cầu Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 3: Định danh Xác thực 48 Nội dung Giới thiệu định danh xác thực Phương pháp định danh Phương pháp xác thực Giao thức xác thực Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 3: Định danh Xác thực 49 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thơng tin Chương 3: Định danh Xác thực 50 ... 2011 Bảo mật hệ thống thơng tin Chương 3: Định danh Xác thực 12 Nội dung Giới thiệu định danh xác thực Phương pháp định danh Phương pháp xác thực Giao thức xác thực Trường Đại Học Bách Khoa Tp.HCM... thông tin Chương 3: Định danh Xác thực 29 Giao thức xác thực n n n n n Giao thức xác thực đơn giản Giao thức xác thực challenge-response Giao thức xác thực dùng khóa đối xứng Giao thức xác thực dùng... thơng tin Chương 3: Định danh Xác thực 38 Giao thức xác thực n n n n n Giao thức xác thực đơn giản Giao thức xác thực challenge-response Giao thức xác thực dùng khóa đối xứng Giao thức xác thực dùng