HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG Giảng viên: TS Hoàng Xuân Dậu Điện thoại/E-mail: dauhx@ptit.edu.vn Bộ mơn: An tồn thơng tin - Khoa CNTT1 BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG NỘI DUNG CHƯƠNG Khái niệm điều khiển truy nhập Các biện pháp điều khiển truy nhập Điều khiển truy nhập quản lý người dùng số HĐH cụ thể Giới thiệu số công nghệ điều khiển truy nhập www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MÔN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.1 Khái niệm điều khiển truy nhập  Điều khiển truy nhập q trình mà người dùng nhận dạng trao quyền truy nhập đến thông tin, hệ thống tài nguyên  Một hệ thống điều khiển truy nhập cấu thành từ dịch vụ:  Xác thực (Authentication): • Là q trình xác minh tính chân thực thơng tin nhận dạng mà người dùng cung cấp  Trao quyền (Authorization): • Trao quyền xác định tài nguyên mà người dùng phép truy nhập sau người dùng xác thực  Quản trị (Administration): • Cung cấp khả thêm, bớt sửa đổi thông tin tài khoản người dùng, quyền truy nhập người dùng www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THÔNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.1 Khái niệm điều khiển truy nhập Mục đích điều khiển truy nhập để đảm bảo tính bí mật, tồn vẹn sẵn dùng thông tin, hệ thống tài nguyên:  Tính bí mật (confidentiality): đảm bảo người có thẩm quyền có khả truy nhập vào liệu hệ thống  Tính tồn vẹn (Integrity): đảm bảo liệu không bị sửa đổi bên khơng có đủ thẩm quyền  Tính sẵn dùng: đảm bảo tính sẵn sàng (đáp ứng nhanh/kịp thời) dịch vụ cung cấp cho người dùng thực www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.2 Các biện pháp điều khiển truy nhập Điều khiển truy nhập tuỳ chọn – Discretionary Access Control (DAC) Điều khiển truy nhập bắt buộc – Mandatory Access Control (MAC) Điều khiển truy nhập dựa vai trò – Role-Based Access Control (RBAC) Điều khiển truy nhập dựa luật – Rule-Based Access Control www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THÔNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.2 Các biện pháp điều khiển truy nhập - DAC  Điều khiển truy nhập tuỳ chọn định nghĩa chế hạn chế truy nhập đến đối tượng dựa thơng tin nhận dạng chủ thể và/hoặc nhóm chủ thể  Thơng tin nhận dạng gồm:  Bạn ai? (CMND, lái xe, vân tay, )  Những bạn biết (tên truy nhập, mật khẩu, số PIN )  Bạn có gì? (Thẻ ATM, thẻ tín dụng, )  DAC cho phép người dùng cấp huỷ quyền truy nhập cho người dùng khác đến đối tượng thuộc quyền điều khiển họ  Chủ sở hữu đối tượng (owner of objects) người dùng có toàn quyền điều khiển đối tượng www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MÔN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.2 Các biện pháp điều khiển truy nhập - DAC Ví dụ: Với DAC:  Người dùng cấp thư mục riêng chủ sở hữu thư mục này;  Người dùng có quyền tạo, sửa đổi xố files thư mục riêng (home directory);  Họ có khả trao huỷ quyền truy nhập vào files cho người dùng khác www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THÔNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.2 Các biện pháp điều khiển truy nhập – DAC - ACM Ma trận điều khiển truy cập (Access Control Matrix ACM) phương pháp mô tả điều khiển truy cập thông qua ma trận chiều gồm chủ thể (subject), đối tượng (object) quyền truy nhập  Đối tượng/Khách thể (Objects) thực thể cần bảo vệ Objects files, tiến trình (processes)  Chủ thể (Subjects) người dùng (users), tiến trình tác động lên objects  Quyền truy nhập hành động mà Subject thực object www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THÔNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.2 Các biện pháp điều khiển truy nhập – DAC - ACM Objects O1 O2 O3 O4 S1 rw rwxo r rwxo S2 rw rx rw rwx S3 r rw rwo rw Subjects Các chủ thể: S1, S2, S3 Các đối tượng: O1, O2, O3 Các quyền: r(read), w(write), x(execute) o(own) www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THÔNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.2 Các biện pháp điều khiển truy nhập – DAC - ACL  Danh sách điều khiển truy cập (Access Control List - ACL) danh sách quyền truy nhập chủ thể đối tượng  Một ACL người dùng tiến trình truy nhập vào đối tượng thao tác cụ thể (quyền) thực đối tượng  Một ghi điển hình ACL có dạng (subject, operation) Ví dụ ghi (Alice, write) file có nghĩa Alice có quyền ghi vào file  Khi chủ thể yêu cầu truy nhập, hệ điều hành kiểm tra ACL xem yêu cầu có phép hay khơng  ACL áp dụng cho nhóm đối tượng www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 10 BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa mật Thông thường người dùng cấp tài khoản (account) Để truy nhập tài khoản, thường cần có:  Tên người dùng (username)  Mật (Password) • Mật dạng ngun (plain text) • Mật dạng mã hố (encrypted text) – Các thuật toán thường dùng để mã hoá mật khẩu: MD4, MD5, SHA-1, SHA256, • Mật dùng nhiều lần lần (one time password) www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 40 BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa mật Tính bảo mật kỹ thuật điều khiển truy nhập sử dụng mật dựa trên:  Độ khó đốn mật • Dùng nhiều loại ký tự – Chữ thường, hoa, chữ số, ký tự đặc biệt: » abc1234: mật tồi » aBc*1#24: mật tốt • Độ dài mật – Mật tốt có chiều dài >= ký tự  Tuổi thọ mật • Mật khơng hết hạn • Mật có thời hạn sống • Mật dùng lần www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 41 BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa mật Mật lần (OTP-One Time Password):  Mật sinh dùng lần cho phiên làm việc giao dịch;  Mật thường sinh ngẫu nhiên  Chuyển giao mật khẩu: • In giấy danh sách mật để dùng dần • Gửi qua phương tiện khác SMS • Sử dụng thiết bị chuyên dụng, token,  Ưu điểm: an toàn hơn, tránh công kiểu replay (lấy mật dùng lại)  Nhược điểm: người sử dụng khó nhớ mật www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 42 BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa khóa mã Khoá mã giải thuật cho phép:  Đảm bảo an tồn thơng tin bí mật  Kiểm tra thông tin nhận dạng bên tham gia giao dịch Ứng dụng rộng rãi chứng số (Digital Certificate) Một chứng số thường gồm:  Thơng tin nhận dạng chủ thể  Khố cơng khai chủ thể  Các thông tin nhận dạng khố cơng khai chủ thể mã hố (ký) tổ chức có thẩm quyền (Certificate Authority – CA) www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 43 BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa khóa mã Một chứng số ngân hàng VCB www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 44 BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa thẻ thông minh Thẻ thơng minh (Smartcard) thẻ nhựa có gắn chip điện tử Có khả tính tốn thơng tin lưu thẻ mã hố Smartcard sử dụng hai yếu tố (two-factors) để xác thực nhận dạng chủ thể:  Cái bạn có (what you have): thẻ  Cái bạn biết (what you know): số PIN www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 45 BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa khóa mã Một loại thẻ thông minh (thẻ tiếp xúc) www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THÔNG TIN - KHOA CNTT1 Trang 46 BÀI GIẢNG MÔN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa khóa mã Một loại thẻ thông minh (thẻ không tiếp xúc) www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 47 BÀI GIẢNG MÔN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa thẻ (token)  Các thẻ thường thiết bị cầm tay thiết kế nhỏ gọn để dễ dàng mang theo;  Thẻ sử dụng để lưu:  Mật  Thông tin cá nhân  Các thông tin khác  Thẻ thường trang bị chế xác thực yếu tố tương tự smartcards:  Thẻ  Mật (thường dùng lần)  Thẻ thường có chế xác thực mạnh smartcards lực tính tốn cao www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 48 BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa thẻ (token) Thẻ hãng RSA Security www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 49 BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THÔNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa thẻ (token) Thẻ (ví điện tử) PayPal dùng toán trực tuyến www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THÔNG TIN - KHOA CNTT1 Trang 50 BÀI GIẢNG MÔN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa đặc điểm sinh học  Điều khiển truy nhập sử dụng đặc điểm sinh học để nhận dạng chủ thể:     Dấu vân tay Khuôn mặt Tiếng nói Chữ ký tay  Ưu điểm:  Có khả bảo mật cao  Luôn chủ thể  Nhược điểm:  Chậm đòi hỏi khối lượng tính tốn lớn  Tỷ lệ nhận dạng sai tương đối lớn có nhiều yếu tố ảnh hưởng www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THÔNG TIN - KHOA CNTT1 Trang 51 BÀI GIẢNG MÔN AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa đặc điểm sinh học Khoá sử dụng vân tay www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 52 BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THÔNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa đặc điểm sinh học Khoá sử dụng vân tay www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 53 BÀI GIẢNG MƠN AN TỒN BẢO MẬT HỆ THỐNG THÔNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa đặc điểm sinh học Bộ phận đọc vân tay laptop www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 54 ... THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG NỘI DUNG CHƯƠNG Khái niệm điều khiển truy nhập Các biện pháp điều khiển truy nhập Điều khiển truy nhập quản lý người dùng số... THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.2 Các biện pháp điều khiển truy nhập – Rule-Based AC ? ?Điều khiển truy nhập dựa luật cho phép người dùng truy nhập vào hệ thống vào thông... HỆ THỐNG THƠNG TIN CHƯƠNG – ĐIỀU KHIỂN TRUY CẬP VÀ XÁC THỰC NGƯỜI DÙNG 3.4 Một số công nghệ điều khiển truy nhập – Điều khiển truy nhập dựa đặc điểm sinh học  Điều khiển truy nhập sử dụng đặc