Tải bản đầy đủ - 0 (trang)
CHƯƠNG 1. TỔNG QUAN VỀ CÁC GIAO THỨC XÁC THỰC

CHƯƠNG 1. TỔNG QUAN VỀ CÁC GIAO THỨC XÁC THỰC

Tải bản đầy đủ - 0trang

Trong một mạng lưới tín nhiệm, việc “xác thực” là một cách để đảm bảo

rằng người dùng chính là người mà họ nói họ là, và người dùng hiện đang thi

hành những chức năng trong một hệ thống, trên thực tế chính là người đã được

ủy quyền để làm những việc đó.

Mục đích chính của việc xác thực là chứng minh danh định là hợp lệ và

phù hợp với người dùng. Và quyết định có cho phép người dùng truy cập vào tài

nguyên của hệ thống hay không.



7



1.1.2. Phân loại xác thực

Xác thực dữ liệu:

Xác thực dữ liệu là một kiểu xác thực đảm bảo một thực thể được chứng

thực là nguồn gốc thực sự tạo ra dữ liệu này ở một thời điểm nào đó, đảm bảo

tính tồn vẹn dữ liệu.

- Xác thực thông điệp

- Xác thực giao dịch

- Xác thực khóa

- Xác thực nguồn gốc dữ liệu

- Xác thực đảm bảo toàn vẹn dữ liệu

Xác thực thực thể:

Xác thực thực thể là xác thực định danh của một đối tượng tham gia giao

thức truyền tin. Thực thể hay đối tượng có thể là người dùng, thiết bị đầu cuối.

Tức là một thực thể được xác thực bằng định danh của nó đối với thực thể thứ

hai trong một giao thức, và bên thứ hai đã thực sự tham gia vào giao thức.

-



Xác thực dựa vào thực thể: biết cái gì ? (Something Known)



-



Xác thực dựa vào thực thể: sở hữu cái gì ?(Something Possessed)



-



Xác thực dựa vào thực thể: thừa hưởng cái gì?(Something Inherent)



1.2.



Các phương pháp xác thực

Khi một đối tượng được ủy quyền, nguồn xác thực sẽ kiểm tra và xác



nhận tính xác thực của đối tượng đó. Có nhiều phương pháp cũng như cơng

nghệ khác nhau để tiến hành xác thực các đối tượng trong hệ thống. Tuy nhiên,

việc lựa chọn phương pháp và công nghệ xác thực nào còn phụ thuộc vào thời

gian, giá thành, quy mơ, thậm chí cả mơi trường sử dụng của hệ thống xác thực

và đánh giá rủi ro. Dưới đây là ba phương pháp xác thực phổ biến có thể lựa

chọn triển khai.

 Xác thực dựa trên những gì ta biết

 Xác thực dựa vào những gì ta có

 Xác thực dựa trên tính năng vật lý khơng đổi



8



1.2.1. Xác thực dựa trên những gì ta biết

Phương pháp xác thực cơ bản nhất là sử dụng Username và Password.

Đây là giải pháp truyền thống hay được sử dụng nhất, là giải pháp sử dụng tài

khoản của hệ thống. Mỗi tài khoản bao gồm tên truy nhập (username) và mật

khâu (password). Tên truy nhập dùng đề phân biệt các người dùng khác nhau

(thường là duy nhất trong hệ thống), còn mật khâu đề xác thực lại người sử dụng

tên đó đúng là người sử đụng thật không. Mật khẩu thường cho người sở hữu tên

truy nhập tương ứng đặt và được giữ bí mật chỉ có người đó biết. Khi người

dùng muốn đăng nhập và sử dụng tài nguyên hệ thống thì phải đăng nhập bằng

cách nhập tên và mật khẩu của mình. Trước hết, hệ thống sẽ đối chiếu tên truy

nhập cầu người dùng đưa vào cơ sở dữ liệu tên người dùng, nếu tồn tại tên

người dùng thì hệ thống tiếp tục đối chiếu mật khẩu được đưa vào tương ứng với

tên truy nhập trong cơ sở dữ liệu. Qua hai lần đối chiếu nếu thỏa mãn thì người

đăng nhập là người dùng hợp lệ của hệ thống.

Thiết kế và sử dụng đơn giản, tốn ít tài nguyên. Hệ thống chỉ gồm một cơ

sở dữ liệu người dùng với 2 thông tin chủ yếu là tên truy nhập và mật khẩu.

Tương ứng với mỗi tên truy nhập là quyên sử dụng của người đó trong hệ thống.

Do đó các thông tin này không chiếm nhiều tài nguyên. Người dùng để hiểu và

để sử dụng.Và chi phí để thực hiện giải pháp này là rẻ so với các giải pháp khác.

Nhưng giải pháp này có nhược điểm lớn nhất là khơng có được sự bảo

mật cao. Vì người đùng thường có tên đăng nhập nhiêu người dùng có. Mặt

khác, người dùng thường chọn mật khẩu để nhớ hoặc không cân thận khi gõ mật

khẩu, do vậy để bị tấn công. Kẻ tần cơng có nhiều phương pháp để đạt được mật

khẩu như thâm nhập vào hệ thông đọc file mật khẩu, dự đoán mật khẩu, vét cạn

các từ trong từ điển để tìm mật khẩu, hoặc có thể lừa người dùng đề lộ mật khẩu.

Một số biện pháp để tăng tính bảo mật cho giải pháp này:



9



- Đặt mật khẩu phức tạp: mật khẩu phải chưa tối thiểu 6 ký tự không trùng

với tên đăng nhập, chứa các loại ký tự là chữ cái, chữ số, ký tự đặc biệt. Nếu

như vậy thì kẻ muốn tần cơng cũng sẽ rất khó đốn được mật khẩu.

- Thay đổi mật khẩu: quy định sau một thời gian nhất định mật khẩu sẽ

không còn tác dụng đối với hệ thống và người dùng phải đặt lại mật khẩu khác.

Mật khẩu sẽ được thay đổi nên khả năng kiểm sốt tình trạng an tồn của mật

khẩu cao hơn.

- Mã hóa thơng tin: Trong mơi trường làm việc là mạng, những nhà thiết kế

thường dùng biện pháp mã hóa thơng tin đăng nhập từ một máy khách nào đó

trước khi chúng được gửi vào máy chủ hệ thống.

1.2.2. Xác thực dựa trên những gì ta có

Một vài hệ thống xác thực yêu cầu người dùng sử dụng một đối tượng vật

lý như thẻ khóa (key-card) hoặc thẻ bài (token). Đối tượng có thể liên kết đến

định danh số hoặc chia sẻ thiết bị. Dạng xác thực này được gọi là xác thực dựa

trên những gì đã có.

Ví dụ điển hình của hệ thống này là việc sử dụng các thể khóa để truy cập

vào các tòa nhà. Trong nhiều hệ thống khóa, bất cứ ai sở hữu thẻ đều có thể truy

cập vào bất cứ đâu mà thẻ cho phép. Giữa thẻ và người dùng khơng có mối ràng

buộc cụ thể nào. Khi đó đòi hỏi người dùng phải sử dụng thêm một đối tượng

vật lý xác thực khác nhằm hai mục đích. Thứ nhất để giới hạn số người có thể

xác thực. Thứ hai là khiến người dùng phải có trách nghiệm giám sát độ an toàn

của thẻ. Trong trường hợp mất thẻ hoặc thất lạc phải lập tức thơng báo để vơ

hiệu hóa thẻ.

Một trong những ưu điểm của kiểu xác thực này là người dùng không cần

phải nhớ mật khẩu.Khi cần xác thực, họ chỉ cần sử dụng các thiết bị vật ly được

cấp quyền. Các thiết bị này được dùng để xác thực dựa trên ba phương diện

chính:

 Giá trị mầm ngẫu nhiên

 Thách thức phản hồi



10



 Khóa

1.2.3. Xác thực dựa vào những gì là chính bạn

Giải pháp này dựa vào một số bộ phận của con người như dấu vân tay,

hình dạng lòng bàn tay, mắt, giọng nói.... Đây là những đặc điểm đặc trưng mà

khơng của người nào hồn tồn giống của người nào. Để xác thực trong máy

tính, chúng ta phải số hóa và lưu trữ các đặc điểm này vào một cơ sở dữ liệu.

Ngồi ra còn phải có có thiết bị ghi nhận các thơng tin và chuyên về để đối chiếu

với cơ sở đữ liệu đã có trong hệ thống.

Ở phía máy khách, người dùng sử dụng một thiết bị đầu cuối có hỗ trợ

biểu mẫu dùng cho việc đăng nhập vào hệ thống hoặc trong mơi trường Internet

thì sử dụng trình đuyệt để mở trang đăng nhập.

Người dùng sẽ phải điển vào biểu mẫu mật khẩu hay một thông tin nhận

dạng tương tự và cung cấp mẫu sinh trắc học như dấu vân tay, hình dạng lòng

bàn tay, mắt, giọng nói, chữ ký... Thơng qua các thiết bị nhận dạng được tích

hợp trong đó. Sau đó, các thơng tin này sẽ được chuyển vẻ trung tâm xác thực

của hệ thống để kiểm tra. Trung tâm sẽ phân tích mẫu thu được và đối chiếu xem

mẫu tương ứng với mật khẩu được lưu trong cơ sở dữ liệu có trùng hay khơng,

nếu trùng thì người dùng đăng nhập là hợp lệ. Và hệ thống sẽ đưa các quyền

hạn, tài nguyên phù hợp chỉ người sử dụng.

Kẻ tấn cơng khó tấn cơng vào hệ thống khi sử dụng phương pháp này,do:

người dùng hầu như không đổi được các bộ phận như vân tay, mặt,… để dùng

trong xác thực; người dùng không thể đưa những đặc điểm này cho người khác

sử dụng như thẻ hay mật khấu và cuối cùng là không thể bị mất cắp.



1.3.



Các giao thức xác thực



1.3.1. Giao thức xác thực đơn giản



11



Giao thức xác thực mật khẩu PAP (Passwork Authentication Protocol) là

một giao thức bắt tay hai chiều; đó là, máy tính chủ tạo kết nối gửi nhận dạng

người dùng và mật khẩu kép (passwork pair) đến hệ thống đích mà nó cố gắng

thiết lập một kết nối và sau đó hệ thống đích xác thực rằng máy tính đó được xác

thực đúng và được chấp nhận cho việc truyền thông. Xác thực PAP có thể được

dùng khi bắt đầu của kết nối PPP, cũng như trong suốt một phiên làm việc của

PPP để xác thực kết nối.

Khi một kết nối PPP được thiết lập, xác thực PAP có thể được diễn ra

trong kết nối đó. Điểm ngang hàng gửi một nhận dạng người dùng và mật khẩu

đến bộ xác thực cho đến khi bộ xác thực chấp nhận kết nối hay kết nối bị hủy

bỏ. PAP khơng bảo mật vì thơng tin xác thực được truyền đi rõ rang và khơng có

khả năng bảo mật bởi chống lại tấn công trở lại hay lặp lại quá nhiều bởi những

người tấn công nhằm cố gắng dò ra mật khẩu đúng hay một cặp nhận dạng

người dùng.

Ví dụ: Giả sử là Alice muốn chứng minh với Bob là “Tơi chính là Alice” .

Alice cũng cần biết người còn lại có đúng là Bob khơng.

Malice là người xấu có ý muốn phá giao thức xác thực



Hình 1. 1. Giao thức xác thực đơn giản 1

Password để ở dạng văn bản rõ, Malice có thể quan sát được



12



Hình 1. 2. Giao thức xác thực đơn giản 2

1.3.2. Giao thức xác thực challenge-response

Giao thức xác thực “challenge-response” cũng là mơ hình xác thực dựa

trên tên người dùng/ mật khẩu. Khi người dùng cố gắng đăng nhập, server đảm

nhiệm vai trò thực sẽ gửi một thơng điệp thử thách (Challenge message) trở lại

máy tính người dùng. Lúc này máy tính người dùng sẽ phản hồi lại tên người

dùng và mật khẩu được mã hóa. Server xác thực sẽ so sánh phiên bản xác thực

người dùng được lưu giữ với phiên bản mã hóa vừa nhận. Nếu trùng khớp,

người dùng sẽ được xác thực. Bản thân mật khẩu không bao giờ được gửi qua

mạng.

Giao thức xác thực “challenge-response” thường được sử dụng khi người

dùng đăng nhập vào các “remote servers” của công ty chằng hạn như RAS

server. Dữ liệu chứa mật khẩu được mã hóa gọi là mật khẩu băm (hash

password)

Ví dụ:

N: số nonce (number used once)



13



Hình 1. 3. Giao thức xác thực challenge-response

Tuy nhiên Bob phải biết trước Password của Alice.

1.3.3. Giao thức xác thực dùng khóa đối xứng

Trọng mật mã học, là một lớp các thuật toán mật mã hóa trong đó

các khóa dùng cho việc mật mã hóa và giải mã có quan hệ rõ ràng với nhau (có

thể dễ dàng tìm được một khóa nếu biết khóa kia). Mã khóa loại này khơng cơng

khai.

Khóa dùng để mã hóa có liên hệ một cách rõ ràng với khóa dùng để giải

mã có nghĩa chúng có thể hoàn toàn giống nhau, hoặc chỉ khác nhau nhờ một

biến đổi đơn giản giữa hai khóa. Trên thực tế, các khóa này đại diện cho một bí

mật được phân hưởng bởi hai bên hoặc nhiều hơn và được sử dụng để giữ gìn sự

bí mật trong kênh truyền thơng tin.

Nhiều thuật ngữ khác dành cho việc mã hóa dùng chìa khóa đối xứng bao

gồm các phương pháp mã hóa đơn khóa (single-key), phương pháp mã hóa một

khóa (one-key) và phương pháp mã hóa khóa cá nhân (private-key).

Cách sử dụng thuật ngữ sau cùng đôi khi gây xung đột với thuật ngữ khóa cá

nhân (private-key) dùng trong mật mã hóa khóa cơng khai (public key

cryptography).

Ta có:

- C : ciphertext

- M: plaintext

- : khóa của Alice

- C=



14



- : Khố chung giữa Alice và Bob



Hình 1. 4. Giao thức xác thực dùng khóa đối xứng

Khuyết điểm:

 Chỉ có Bob xác thực được Alice

 Alice khơng biết có đúng là Bob khơng

Giao thức xác thực lẫn nhau (mutual) dùng khóa đối xứng



Hình 1. 5. Giao thức xác thực lẫn nhau dùng khóa đối xứng

Thơng điệp ở bước 3 lặp lại từ bước 2: không thể xác thực người gửi

Giao thức xác thực lẫn nhau cải tiến:



15



Hình 1. 6. Giao thức xác thực lẫn nhau cải tiến

Những hạn chế.

Hạn chế của các thuật tốn khóa đối xứng bắt nguồn từ yêu cầu về sự

phân hưởng chìa khóa bí mật, mỗi bên phải có một bản sao của chìa. Do khả

năng các chìa khóa có thể bị phát hiện bởi đối thủ mật mã, chúng thường phải

được bảo an trong khi phân phối và trong khi dùng. Hậu quả của yêu cầu về

việc lựa chọn, phân phối và lưu trữ các chìa khóa một cách khơng có lỗi, khơng

bị mất mát là một việc làm khó khăn, khó có thể đạt được một cách đáng tin cậy.

Hiện nay người ta phổ biến dùng các thuật toán bất đối xứng có tốc độ

chậm hơn để phân phối chìa khóa đối xứng khi một phiên giao dịch bắt đầu, sau

đó các thuật tốn khóa đối xứng tiếp quản phần còn lại (xem Bảo an tầng giao

vận (Transport Layer Security)). Vấn đề về bảo quản sự phân phối chìa khóa

một cách đáng tin cậy cũng tồn tại ở tầng đối xứng, song ở một điểm nào đấy,

người ta có thể kiểm soát chúng dễ dàng hơn. Tuy thế, các khóa đối xứng hầu

như đều được sinh tạo tại chỗ.

Các thuật tốn khóa đối xứng khơng thể dùng cho mục đích xác

thực (authentication) hay mục đích chống thối thác (non-repudiation) được.



16



1.3.4. Giao thức xác thực khóa cơng khai

Mật mã hóa khóa cơng khai là một dạng mật mã hóa cho phép người sử

dụng trao đổi các thông tin mật mà khơng cần phải trao đổi các khóa chung bí

mật trước đó. Điều này được thực hiện bằng cách sử dụng một cặp khóa có quan

hệ tốn học với nhau là khóa cơng khai và khóa cá nhân (hay khóa bí mật).

Thuật ngữ mật mã hóa khóa bất đối xứng thường được dùng đồng nghĩa với mật

mã hóa khóa cơng khai mặc dù hai khái niệm khơng hồn tồn tương đương. Có

những thuật tốn mật mã khóa bất đối xứng khơng có tính chất khóa cơng khai

và bí mật như đề cập ở trên mà cả hai khóa (cho mã hóa và giải mã) đều cần

phải giữ bí mật.

Trong mật mã hóa khóa cơng khai, khóa cá nhân phải được giữ bí mật

trong khi khóa cơng khai được phổ biến cơng khai. Trong 2 khóa, một dùng để

mã hóa và khóa còn lại dùng để giải mã. Điều quan trọng đối với hệ thống là

khơng thể tìm ra khóa bí mật nếu chỉ biết khóa cơng khai.

Hệ thống mật mã hóa khóa cơng khai có thể sử dụng với các mục đích:

 Mã hóa: giữ bí mật thơng tin và chỉ có người có khóa bí mật mới giải mã

được.

 Tạo chữ ký số: cho phép kiểm tra một văn bản có phải đã được tạo với

một khóa bí mật nào đó hay khơng.

 Thỏa thuận khóa: cho phép thiết lập khóa dùng để trao đổi thơng tin mật

giữa 2 bên.

Ứng dụng rõ ràng nhất của mật mã hóa khóa cơng khai là bảo mật: một văn bản

được mã hóa bằng khóa cơng khai của một người sử dụng thì chỉ có thể giải

mã với khóa bí mật của người đó.

Các thuật tốn tạo chữ ký số khóa cơng khai có thể dùng để nhận thực. Một

người sử dụng có thể mã hóa văn bản với khóa bí mật của mình. Nếu một người

khác có thể giải mã với khóa cơng khai của người gửi thì có thể tin rằng văn bản

thực sự xuất phát từ người gắn với khóa cơng khai đó.

Các đặc điểm trên còn có ích cho nhiều ứng dụng khác như: tiền điện tử, thỏa

thuận khóa...



17



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

CHƯƠNG 1. TỔNG QUAN VỀ CÁC GIAO THỨC XÁC THỰC

Tải bản đầy đủ ngay(0 tr)

×