Đang tải... (xem toàn văn)
usernamepassword CHAP Kerberos Password dùng 1 lần Thẻ password (Token password) Chứng chỉ (Certificates) Sinh trắc học Kết hợp nhiều phương pháp Các vấn đề Thời gian duy trì Thay đổi mật khẩu thường xuyên hay không? Có nguy cơ bị lấy mất Keyloggers Phần mềm: theo dõi phím bấm Phần cứng: thiết bị gắn giữa bàn phím và CPU để theo dõi phím bấm
© 2008, Vietnam-Korea Friendship IT College CHỨNG THỰC – CHỨNG THỰC – PHÂN QUYỀN PHÂN QUYỀN Authentication - Authorization © 2008, Vietnam-Korea Friends hip IT College Chứng thực người dùng Chứng thực người dùng: Là quá trình thiết lập tính hợp lệ của người dùng trước khi truy cập thông tin trong hệ thống. Thường sử dụng phương pháp chung là username/password © 2008, Vietnam-Korea Friends hip IT College Chứng thực người dùng username/password CHAP Kerberos Password dùng 1 lần Thẻ password (Token password) Chứng chỉ (Certificates) Sinh trắc học Kết hợp nhiều phương pháp © 2008, Vietnam-Korea Friends hip IT College Username/Password Là loại chứng thực phổ biến nhất Truyền username/password đến Server Ví dụ Dial-up ` Security Server user password © 2008, Vietnam-Korea Friends hip IT College Username/Password Các vấn đề Thời gian duy trì Thay đổi mật khẩu thường xuyên hay không? Có nguy cơ bị lấy mất Keyloggers Phần mềm: theo dõi phím bấm Phần cứng: thiết bị gắn giữa bàn phím và CPU để theo dõi phím bấm © 2008, Vietnam-Korea Friends hip IT College Username/Password Giải pháp Đặt mật khẩu dài Bao gồm chử cái, số, biểu tượng Thay đổi password: 01 tháng/lần Không nên đặt cùng password ở nhiều nơi Xem xét việc cung cấp password cho ai Ví dụ: Tomatotree650 © 2008, Vietnam-Korea Friends hip IT College CHAP CHAP (Challenge Hanshake Authentication Protocol) Mật khẩu người dùng: bảo mật Số ngẫu nhiên: dùng để mã hóa Sử dụng trong remote login, PPP, PRAS, xác thực dịch vụ web Triển khai: MS CHAP version 2 © 2008, Vietnam-Korea Friends hip IT College CHAP © 2008, Vietnam-Korea Friends hip IT College CHAP Hoạt động của CHAP Client gửi yêu cầu Server đưa ra challenge Client mã hóa (băm) challenge với secret và gửi cho Server Client được xác thực khi kết quả giống nhau. © 2008, Vietnam-Korea Friends hip IT College Kerberos Bắt đầu phát triển tại MIT năm 1980 Microsoft đưa Kerberos vào Windows 2000 và .NET Ticket: sự cấp phép cụ thể Ticket Grant Ticket (TGT): được đưa ra bởi Central Authority cho phép người dùng yêu cầu một dịch vụ nào đó. Key Distribution Center (KDC): máy chủ cung cấp cho Client TGT, chứng thực và cho phép user yêu cầu một dịch vụ nào đó. Ticket Granting Server (TGS): máy chủ kiểm tra Client có được phép nhận một ticket hay không. [...]... -3 Kerberos Process Chứng Client liên lạc với KDC yêu cầu chứng thực TGT thực người dùng nhận được từ KDC Cho phép client yêu cầu một dịch vụ cụ thể nào đó Ticket cho dịch vụ được nhận từ TGS Client đưa ticket cho máy chủ ứng dụng Khi đã được chứng thực, quyền truy nhập được cấp cho người dùng © 2008, Vietnam-Korea Friends Password sử dụng một lần Người dùng có chương trình sinh... - Người dùng tự mình tạo quyền truy nhập - Ví dụ: Chia sẻ máy in cho người khác sử dụng © 2008, Vietnam-Korea Friends Điều khiển truy cập Điều khiển truy cập theo người dùng (Rolebased Access Control) Management Service ` user ` system - Quyền truy cập được định nghĩa theo vai trò của người dùng: * Adminstrator * Power User * Dial-up User © 2008, Vietnam-Korea Friends * …… Tổng kết Chứng thực người. .. cập là quá trình giới hạn quyền sử dụng của người dùng đã được chứng thực đối với tài nguyên hệ thống, cũng như hạn chế các tác động của người dùng đối với tài nguyên hệ thống và đảm bảo người dùng chỉ tác động được các tài nguyên trong phạm vi được cấp quyền đó © 2008, Vietnam-Korea Friends Điều khiển truy cập Quá trình điều khiển truy cập Xác định người dùng (Identification) User X Access Control... Power User * Dial-up User © 2008, Vietnam-Korea Friends * …… Tổng kết Chứng thực người dùng – phân quyền sử dụng Khái niệm Các phương pháp chứng thực người dùng © 2008, Vietnam-Korea Friends Thảo luận Nhóm 1: RADIUS Nhóm 2: Kerberos Nhóm 3: CHAP Nhóm 4: Certificate Yêu cầu: mô tả hệ thống/ triển khai thực nghiệm trên môi trường giả lập © 2008, Vietnam-Korea Friends ... cập bắt buộc Truy cập tùy ý Truy cập theo người dùng © 2008, Vietnam-Korea Friends Điều khiển truy cập Điều khiển truy cập bắt buộc (Mandatory Access Control) ` user ` system Log Files Policy - Việc bảo vệ dữ liệu không được quyết định bởi người dùng thông thường - Hệ thống yêu cầu phải bảo vệ dữ liệu - Ví dụ: Thư mục dùng chung trên máy chủ, người dùng không thể thay đổi được © 2008, Vietnam-Korea... user © 2008, Vietnam-Korea Friends Authorization data Điều khiển truy cập Chứng thực người dùng User X Access Control mechanism user Remembered info Possessed objects Personal characteristics Identification data Authentication data Valid/invalid user © 2008, Vietnam-Korea Friends Authorization data Điều khiển truy cập Phân quyền sử dụng User X Access Control mechanism user Object resources Action... gian chứng thực nhỏ hơn 1s Sự tác động của người dùng thấp Kết hợp nhiều yếu tố: vân tay, võng mạc, giọng nói,… Nhược điểm Giá thành: triển khai hệ thống sinh trắc học đòi hỏi chi phí cho phần cứng và phần mềm Có thể nhận diện sai: mặc dù đúng người nhưng hệ thống không chấp nhận © 2008, Vietnam-Korea Friends Kết hợp nhiều phương pháp (Multi-factor) Sử dụng nhiều hơn một phương pháp chứng. .. đào tạo người dùng và quản trị Tăng chi phí duy trì: do tính không tương thích giữa các nhà SX Chi phí nâng cấp: sự không ổn định của nhà SX © 2008, Vietnam-Korea Friends Điều khiển truy cập /Phân quyền SD Mô hình điều khiển truy cập Quá trình điều khiển truy cập Các loại điều khiển truy cập © 2008, Vietnam-Korea Friends Điều khiển truy cập Điều khiển truy cập là quá trình giới hạn quyền. .. pháp (Multi-factor) Sử dụng nhiều hơn một phương pháp chứng thực Mật khẩu/ PIN Smart card Sinh trắc học Kết hợp nhiều phương pháp chứng thực tạo sự bảo vệ theo chiều sâu với nhiều tầng bảo vệ khác nhau © 2008, Vietnam-Korea Friends Kết hợp nhiều phương pháp (Multi-factor) Ưu điểm Giảm sự phụ thuộc vào password Hệ thống chứng thực mạnh hơn Cung cấp khả năng cho Provides Public Key Infrastructure... ty thứ 3” để chứng thực © 2008, Vietnam-Korea Friends Certificates - 2 Information sent to receiver ` ` Message Delivery Message Receive Hash Function Hash Function Information Checksum Information Checksum compare Encrypted checksum sent to receiver Sender’s private key Sender’s public key © 2008, Vietnam-Korea Friends Certificates - 3 Licensing site Được sử dụng phổ biến trong chứng thực web, smart . IT College CHỨNG THỰC – CHỨNG THỰC – PHÂN QUYỀN PHÂN QUYỀN Authentication - Authorization © 2008, Vietnam-Korea Friends hip IT College Chứng thực người dùng Chứng thực người dùng: Là. máy chủ ứng dụng Khi đã được chứng thực, quyền truy nhập được cấp cho người dùng © 2008, Vietnam-Korea Friends hip IT College Password sử dụng một lần Người dùng có chương trình sinh password . Vietnam-Korea Friends hip IT College Kerberos -3 Kerberos Process Chứng thực người dùng Client liên lạc với KDC yêu cầu chứng thực TGT nhận được từ KDC Cho phép client yêu cầu một dịch vụ