Bé gi¸o dôc vμ ®μo t¹o
Tr−êng ®¹i häc d©n lËp h¶i phßng
-------o0o-------
ISO 9001:2000
®å ¸n tèt nghiÖp
Ngμnh c«ng nghÖ th«ng tin
H¶i Phßng 2007
Bé gi¸o dôc vμ ®μo t¹o
Tr−êng ®¹i häc d©n lËp h¶i phßng
-------o0o-------
NGHI£N CøU B¶O §¶M AN TOμN TH¤NG TIN
B»NG KIÓM SO¸T TRUY NHËP
®å ¸n tèt nghiÖp ®¹i häc hÖ chÝnh quy
Ngμnh: C«ng nghÖ Th«ng tin
H¶i Phßng - 2007
Bé gi¸o dôc vμ ®μo t¹o
Tr−êng ®¹i häc d©n lËp h¶i phßng
-------o0o-------
NGHI£N CøU B¶O §¶M AN TOμN TH¤NG TIN
B»NG KIÓM SO¸T TRUY NHËP
®å ¸n tèt nghiÖp ®¹i häc hÖ chÝnh quy
Ngμnh: C«ng nghÖ Th«ng tin
Sinh viªn thùc hiÖn: §oμn Träng HiÖp
Gi¸o viªn h−íng dÉn: PGS . TS TrÞnh NhËt TiÕn
M· sè sinh viªn: 10276
bé gi¸o dôc vμ ®μo t¹o
tr−êng ®¹i häc d©n lËp h¶i phßng
céng hoμ x· héi chñ nghÜa viÖt nam
§éc lËp - Tù do - H¹nh phóc
-------o0o-------
nhiÖm vô thiÕt kÕ tèt nghiÖp
Sinh viªn: §oμn Träng Hiªp
M· sè: 10276
Líp: CT701
Ngμnh: C«ng nghÖ Th«ng tin
Tªn ®Ò tμi:
Nghiªn cøu b¶o ®¶m an toμn th«ng tin b»ng kiÓm so¸t truy nhËp
nhiÖm vô ®Ò tμi
1. Néi dung vμ c¸c yªu cÇu cÇn gi¶i quyÕt trong nhiÖm vô ®Ò tμi tèt nghiÖp
a. Néi dung:
b. C¸c yªu cÇu cÇn gi¶i quyÕt
2. C¸c sè liÖu cÇn thiÕt ®Ó thiÕt kÕ, tÝnh to¸n
3. §Þa ®iÓm thùc tËp
c¸n bé h−íng dÉn ®Ò tμi tèt nghiÖp
Ng−êi h−íng dÉn thø nhÊt:
Hä vμ tªn:.....................................................................................................................
Häc hμm, häc vÞ:..........................................................................................................
C¬ quan c«ng t¸c:.........................................................................................................
Néi dung h−íng dÉn: …………………………………………………………………................
………………………………………………………………………………………………………
………………………………………………………………………………………………………
………………………………………………………………………………………………………
………………………………………………………………………………………………………
Ng−êi h−íng dÉn thø hai:
Hä vμ tªn: …………………………………………………………………………………............
Häc hμm, häc vÞ………………………………………………………………………………......
C¬ quan c«ng t¸c: ………………………………………………………………………………..
Néi dung h−íng dÉn: ……………………....................................................................................
………………………………………………………………………………………………………
………………………………………………………………………………………………………
………………………………………………………………………………………………………
………………………………………………………………………………………………………
§Ò tμi tèt nghiÖp ®−îc giao ngμy 7 th¸ng 05 n¨m 2007
Yªu cÇu ph¶i hoμn thμnh tr−íc ngμy 31 th¸ng 07 n¨m 2007
§· nhËn nhiÖm vô: §.T.T.N
Sinh viªn
§· nhËn nhiÖm vô: §.T.T.N
C¸n bé h−íng dÉn §.T.T.N
H¶i Phßng, ngμy ............th¸ng.........n¨m 2007
HiÖu tr−ëng
GS.TS.NG T TrÇn H÷u NghÞ
PhÇn nhËn xÐt tãm t¾t cña c¸n bé h−íng dÉn
1. Tinh thÇn th¸i ®é cña sinh viªn trong qu¸ tr×nh lμm ®Ò tμi tèt nghiÖp:
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
2. §¸nh gi¸ chÊt l−îng cña ®Ò tμi tèt nghiÖp (so víi néi dung yªu cÇu ®· ®Ò ra trong
nhiÖm vô ®Ò tμi tèt nghiÖp)
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
......................................................................................................................................................
3. Cho ®iÓm cña c¸n bé h−íng dÉn:
( §iÓm ghi b»ng sè vμ ch÷ )
......................................................................................................................................................
......................................................................................................................................................
Ngμy.......th¸ng.........n¨m 2007
C¸n bé h−íng dÉn chÝnh
( Ký, ghi râ hä tªn )
PhÇn nhËn xÐt ®¸nh gi¸ cña c¸n bé chÊm ph¶n biÖn ®Ò tμi
tèt nghiÖp
1. §¸nh gi¸ chÊt l−îng ®Ò tμi tèt nghiÖp (vÒ c¸c mÆt nh− c¬ së lý luËn, thuyÕt
minh ch−¬ng tr×nh, gi¸ trÞ thùc tÕ, ...)
2. Cho ®iÓm cña c¸n bé ph¶n biÖn
( §iÓm ghi b»ng sè vμ ch÷ )
......................................................................................................................................................
......................................................................................................................................................
Ngμy.......th¸ng.........n¨m 2007
C¸n bé chÊm ph¶n biÖn
( Ký, ghi râ hä tªn )
MỤC LỤC
MỤC LỤC .................................................................................................................................. 1
LỜI CÁM ƠN............................................................................................................................ 3
LỜI NÓI ĐẦU ........................................................................................................................... 4
CHƢƠNG 1: MỘT SỐ KHÁI NIỆM CƠ SỞ ........................................................................ 7
1.1 KHÁI NIỆM MÃ HOÁ. ................................................................................................... 7
1.1.1 Hệ mã hóa............................................................................................................... 7
1.1.2 Một số hệ mã hóa thƣờng dùng. ......................................................................... 7
1.2 SƠ ĐỒ CHỮ KÍ ĐIỆN TỬ. .......................................................................................... 9
1.3 HÀM BĂM (HASH FUNCTION). ............................................................................... 10
1.4 TỔNG QUAN VỀ ATTT.............................................................................................. 11
1.4.1 Một số khái niệm. ................................................................................................. 11
1.4.2 Một số bài toán trong ATTT. .............................................................................. 11
1.4.3 Các yêu cầu về đảm bảo ATTT. ........................................................................ 12
1.4.4 Một số giải pháp chung bảo đảm ATTT. .......................................................... 13
CHƢƠNG 2: VẤN ĐỀ KIỂM SOÁT TRUY NHẬP. ........................................................... 14
2.1 MỘT SỐ PHƢƠNG PHÁP KIỂM SOÁT TRUY NHẬP. ........................................ 14
2.1.1 Kiểm soát truy cập trực tiếp. .............................................................................. 14
2.1.1.1 Hệ thống kiểm soát truy cập trực tiếp. ................................................ 14
2.1.1.2 Mật khẩu. ............................................................................................ 16
2.2.2 Kiểm soát truy nhập “tự động”. .......................................................................... 21
2.2 MỘT SỐ CHÍNH SÁCH TRUY CẬP. ....................................................................... 22
2.2.1 Kiểm soát truy cập tuỳ quyền ............................................................................. 22
2.2.3 Kiểm soát truy cập bắt buộc ............................................................................... 24
2.3 MỘT SỐ KĨ THUẬT KIỂM SOÁT TRUY NHẬP. .................................................... 25
2.3.1 Hệ thống nhận dạng và xác thực. ..................................................................... 25
2.3.2 Tƣờng lửa (Firewall)............................................................................................ 27
2.3.2.1 Khái niệm tƣờng lửa. ......................................................................... 27
2.3.2.2 Phân loại tƣờng lửa. ........................................................................... 27
2.3.2.3 Nhận dạng tƣờng lửa. ........................................................................ 27
2.3.2.4 Những hạn chế của Firewall. .............................................................. 31
2.3.3 Mạng riêng ảo (Virtual Private Network - VPN). ............................................. 32
2.3.3.1 Khái niệm mạng riêng ảo. ................................................................... 32
1
2.3.3.2 Các mô hình VPN. ............................................................................. 32
2.3.4 Hệ thống phát hiện và ngăn chặn xâm nhập................................................... 33
2.3.4.1 Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS). ......... 33
2.3.4.2 Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS). ....... 36
2.3.4.3 Những hạn chế của IDS /IPS. ............................................................ 40
2.3.5 Tƣờng lửa ứng dụng Web (Web Application Firewall - WAF). .................... 41
2.3.5.1 Khái niệm WAF. .................................................................................. 41
2.3.5.2 Các tính năng của WAF...................................................................... 42
2.4 VẤN ĐỀ PHÂN QUYỀN TRUY NHẬP. .................................................................... 45
2.4.1 Kiểm soát truy nhập............................................................................................. 45
2.4.2 Cơ chế kiểm soát truy nhập. .............................................................................. 48
KẾT LUẬN .............................................................................................................................. 49
TÀI LIỆU THAM KHẢO ........................................................................................................ 50
2
LỜI CÁM ƠN
Em xin chân thành cám ơn PGS. TS Trịnh Nhật Tiến đã tận tình hướng
dẫn, giúp đỡ trong quá trình hoàn thành đồ án, cũng như các thầy cô trong khoa
CNTT trường ĐHDL Hải Phòng đã luôn tạo điều kiện cho chúng em hoàn thành
tốt nhiệm vụ được giao.
Em cám ơn gia đình và nhà trường đã luôn tạo điều kiện thuận lợi cho em
trong suốt quá trình học tập.
Hải phòng 21 tháng 7 năm 2007.
Sinh viên
Đoàn Trọng Hiệp.
3
LỜI NÓI ĐẦU
Khoá luận trình bày về bảo đảm ATTT trong kiểm soát truy nhập. Khoá
luận tập trung vào một số phương pháp kiểm soát truy nhập, một số chính sách
truy cập, và một số kĩ thuật kiểm soát truy nhập.
Nội dung của khoá luận gồm:
Chương 1: Tập trung vào trình bày một số khái niệm cơ bản liên quan đến
ATTT như: hệ mã hoá, chữ kí điện tử, hàm băm. Ngoài ra, cũng trình bày một
cách tổng quan về vấn đề ATTT như: các yêu cầu và giải pháp bảo đảm ATTT.
Đồng thời cũng nêu ra các bài toán ATTT.
Chương 2: Cho chúng ta những hiểu biết chung về vấn đề kiểm soát truy
nhập. Phần này, tập trung vào trình bày một số phương pháp kiểm soát truy
nhập, chính sách truy nhập, và kĩ thuật kiểm soát truy nhập.
Trình bày 2 phương pháp thường được sử dụng trong kiểm soát truy nhập,
đó là kiểm soát truy nhập “trực tiếp” và kiểm soát truy nhập “tự động”.
Trình bày một số chính sách kiểm soát truy nhập. Ở phần này, cho chúng
ta cái nhìn tổng quan về các chính sách kiểm soát truy nhập.
Tiếp theo, khoá luận trình bày 5 kĩ thuật kiểm soát truy nhập. Đó là, hệ
thống nhận dạng và xác thực, tường lửa, mạng riêng ảo, hệ thống phát hiện và
ngăn chặn xâm nhập, và tường lửa ứng dụng web. Ở phần này, ngoài việc cho
chúng ta có những khái niệm cơ bản, còn chỉ ra những ưu nhược điểm của từng
kĩ thuật.
Trong quá trình hoàn thành đồ án tốt nghiệp, người viết không tránh khỏi
thiếu sót. Rất mong nhận được sự đóng góp ý kiến của thấy cô và các bạn.
4
Bảng danh mục các từ, thuật ngữ
ACL (Access Control List)
Danh sách kiểm soát truy cập.
ATTT
An toàn thông tin.
CA (Certificate Authourity)
Tổ chức cấp chứng chỉ
Cisco ACL
Danh sách kiểm soát truy cập của
Cisco
CSDL
Cơ sở dữ liệu
DAC (Discretionary Access Control)
Kiểm soát truy cập tuỳ quyền.
DDoS (Distrubuted DoS)
Từ chối dịch vụ phân tán.
DES (Data Encrytion Standard)
Từ chối dịch vụ.
DoS ( Denial of Service)
DSS (Digital Signature Standard)
FTP (File Transfer Protocol)
Giao thức truyền file.
gcd (greatest common divion)
Ước số chung lớn nhất
HIDS (Host IDS)
HTTP (Hypertext Transfer Protocol)
ICMP
(Internet
Control
Giao thức truyền siêu văn bản.
Message Giao thức kiểm soát thông điệp mạng.
Protocol)
Hệ thống phát hiện xâm nhập.
IDS (Intrustion Detect System)
IETF
(Internet
Engineering
Task
Force)
IPS (Intrustion Prevent System)
Hệ thống ngăn chặn xâm nhập.
ISP (Internet Service Providers)
Nhà quản lí thiết bị mạng.
LBAC (Lattice Based Access Control)
Kiểm soát truy cập dùng lưới.
MAC (Mandatory Access Control)
Kiểm soát truy cập bắt buộc.
NIC (Network Interface Card)
Card giao tiếp mạng.
NIDS (Network base IDS)
PIN (Personal Identification Number )
Số định danh cá nhân
5
PKI (Public Key Infrastructure)
Hạ tầng cơ sở khoá công khai.
RBAC (Role Base Access Control)
Kiểm soát truy cập trên cơ sở vai trò.
SNMP (Simple Network Managerment Giao thức quản lí mạng.
Protocol)
SSL (Secure Socket Layer)
Khe cắm an toàn.
SYN (Synchronize)
Đồng bộ.
TA (Trusted Authority)
Cơ quan uỷ thác cấp chứng thực.
TCP (Transmission Control Protocol)
TCP/ IP (Transfer Control Protocol/
Internet Protocol)
UDP (User Datagram Protocol)
URL (Uniform Resource Locator)
WAF (Web Application Firewall)
Tường lửa ứng dụng web.
6
CHƢƠNG 1: MỘT SỐ KHÁI NIỆM CƠ SỞ
1.1 KHÁI NIỆM MÃ HOÁ.
1.1.1 Hệ mã hóa.
Hệ mã hóa là bộ gồm 5 thành phần (P, C, K, E, D) trong đó:
P (Plaintext): tập hữu hạn các bản rõ có thể.
C (Ciphertext): tập hữu hạn các bản mã có thể.
K (Key): tập hữu hạn các khóa có thể.
E (Encrytion): tập các hàm lập mã có thể.
D (Decrytion): tập các hàm giải mã có thể.
Với mỗi k K, có hàm lập mã ek E, ek : P C và hàm giải mã dk D,
dk: C P sao cho dk(ek(x)) = x , x P.
Mã hóa cho ta bản mã ek(P)= C.
Giải mã cho ta bản rõ dk(C)= P.
1.1.2 Một số hệ mã hóa thƣờng dùng.
Hệ mã hóa đối xứng là hệ mã mà khi ta biết khóa lập mã, “dễ” tính được
khóa giải mã và ngược lại. Trong nhiều trường hợp khóa lập mã và giải mã là
giống nhau. Hệ mã hóa đối xứng yêu cầu người nhận và gửi phải thỏa thuận
khóa trước khi thông tin được gửi đi. Khóa này phải được giữ bí mật, độ an toàn
của hệ phụ thuộc vào khóa. Nếu khóa bị lộ thì rất dễ giải mã.
Một số hệ mã hóa đối xứng: DES, RC2, RC4, RC5, IDEA, ...
Hệ mã hóa phi đối xứng là hệ mã mà khi biết khóa lập mã, khó” tính được
khoá giải mã và ngược lại .
Hệ trên còn được gọi là hệ mã hóa khóa công khai vì khóa để mã hóa là
công khai. Ta dùng khóa công khai này để mã hóa thông điệp, nhưng chỉ người
có khóa giải mã mới có thể đọc được thông điệp.
Một số hệ mã hoá phi đối xứng: RSA, Elgamal, ...
7
Ví dụ:
Hệ mã RSA (Rivest, Shamir, Adleman ).
Mã RSA được đề xuất năm 1977, bài toán dựa trên tính “khó giải” của bài
toán phân tích một số ra các thừa số nguyên tố.
Để xây dựng hệ mật mã khoá công khai RSA, ta chọn trước một số
nguyên n = p.q, với p và q là 2 số nguyên tố lớn.
Chọn số a nguyên tố cùng nhau với Ф(n), với Ф(n) = (p-1). (q-1).
Tính b sao cho b.a ≡ 1 mod Ф(n).
Sơ đồ mã hoá RSA : là bộ 5 thành phần (P, C, K, E, D), các kí hiệu như
mục 1.1.1.
Mỗi khoá k = (k‟, k‟‟), trong đó k‟ là khoá công khai dành cho việc lập
mã, k‟‟ là khoá bí mật dành cho việc giải mã.
Chọn n = p.q với p, q là số nguyên tố lớn.
Đặt P = C = Zn.
Chọn a nguyên tố cùng nhau với Ф(n) = (p-1)(q-1).
Ta định nghĩa k = {(n, b, a): a.b 1 mod Ф(n)}
trong đó k (k‟, k‟‟) với k‟ = (n, b ) là công khai, k‟‟ = a là bí mật.
x P, y C, định nghĩa:
Hàm mã hoá: ek‟(x) = xa mod n.
Hàm giải mã: dk „‟(y) = yb mod n.
8
1.2 SƠ ĐỒ CHỮ KÍ ĐIỆN TỬ.
Chữ kí điện tử là thông tin đi kèm theo một tài liệu khác như văn bản,
hình ảnh, .... nhằm mục đích xác định người chủ của dữ liệu và đảm bảo tính
toàn vẹn của dữ liệu đó. Đồng thời nó còn cung cấp chức năng chống chối bỏ
của người gửi thông tin.
Sơ đồ kí điện tử gồm 5 thành phần (P, A, K, S, V) trong đó:
P là tập hữu hạn các văn bản có thể.
A là tập hữu hạn các chữ kí có thể.
K là tập hữu hạn các khóa có thể.
Với k K, k = (k‟, k‟‟), k‟ là khoá bí mật để kí, và
k‟‟ là khoá công khai để kiểm thử chữ kí.
S là tập các thuật toán kí có thể.
V là tập các thuật toán kiểm thử.
Với mỗi k K, có thuật toán ký sig k‟ S, sig k: P A và
thuật toán kiểm thử ver k‟‟ V, ver k‟‟: P x A {đúng, sai}, thoả mãn điều kiện
sau đây với mọi x P, y A:
ver k‟‟ (x,y) =
đúng, nếu y = sig k‟(x)
sai, nếu y sig k‟(x)
Một số chữ kí điện tử: RSA, Elgamal, DSS, ....
9
1.3 HÀM BĂM (HASH FUNCTION).
Giả sử D là tập các văn bản có thể. X là tập các văn bản tóm lược (đại
diện) có thể. Việc tìm cho mỗi văn bản một tóm lược tương ứng xác định một
hàm h: D X. Hàm h như vậy được gọi là hàm băm.
Hàm băm là một hàm với đầu vào là một văn bản có độ dài thay đổi, và
đầu ra là một văn bản tóm lược có độ dài cố định và đủ nhỏ.
Hàm băm thường phải thỏa mãn các điều kiện sau:
+ Hàm băm phải là hàm không va chạm mạnh:
Không có thuật toán tính trong thời gian đa thức để có thể tìm được x 1, x2 D
sao cho x1 x2 và h(x1 ) = h(x2 ).
Tức là tìm 2 văn bản khác nhau có cùng đại diện là rất “khó”.
+ Hàm băm là hàm một phía:
Tức là cho x tính z = h(x) thì “dễ”, nhưng biết z tính x là “khó”.
+ Hàm băm phải là hàm không va chạm yếu:
Tức là cho x D, khó tìm được x‟ D, x‟ x và h(x) = h(x‟).
10
1.4 TỔNG QUAN VỀ ATTT.
1.4.1 Một số khái niệm.
Hacker: là kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công
cụ phá mật khẩu hoặc khai thác các điểm yếu của các thành phần truy nhập trên
hệ thống.
Masquerader: là kẻ giả mạo thông tin trên mạng. Một số hình thức giả
mạo như giả mạo địa chỉ IP, tên miền.
Eavesdropping: là đối tượng nghe trộm thông tin trên mạng, chúng sử
dụng các công cụ sniffer, sau đó dùng các công cụ phân tích và debug để lấy
được các thông tin có giá trị.
Sniffer:
Trong bảo mật hệ thống sniffer được hiểu là công cụ (có thể là phần mềm
hoặc phấn cứng) “bắt” thông tin lưu chuyển trên mạng. Dùng thông tin đã thu
được, để “đánh hơi” lấy được thông tin có giá trị trao đổi trên mạng. Hoạt động
của sniffer giống như chương trình “bắt” thông tin gõ từ bàn phím (key capture).
Tuy nhiên, các tiện ích của key capture chỉ thực hiện trên một trạm làm việc cụ
thể. Còn sniffer thì có thể “bắt” được các thông tin trao đổi giữa nhiều trạm làm
việc với nhau.
1.4.2 Một số bài toán trong ATTT.
Bài toán bảo mật: giữ bí mật đối với những người không có thẩm quyền.
Bài toán toàn vẹn dữ liệu: kiểm chứng tính toàn vẹn của thông tin.
Bài toán xác nhận thực thể: xác định danh tính của một chủ thể.
Bài toán chữ kí: dùng để gắn một thông tin với một chủ thể xác định.
Bài toán không chối bỏ: ngăn ngừa việc chối bỏ trách nhiệm đối với một
cam kết đã có.
11
1.4.3 Các yêu cầu về đảm bảo ATTT.
1) Yêu cầu bảo mật thông tin.
Theo tổ chức quốc tế về chuẩn (International Organization for
Standardization – IOS) tính bí mật là thông tin chỉ được phép truy nhập bởi
người có quyền truy nhập. Đây là một trong ba đặc tính quan trọng nhất của
ATTT. Tính bí mật là một trong những mục tiêu của các hệ mã hoá.
Ví dụ: Hệ thống bán hàng qua mạng phải đảm bảo bí mật về thông tin tài
khoản của khách hàng.
2) Yêu cầu bảo toàn thông tin.
Trong lĩnh vực ATTT, tính bảo toàn (toàn vẹn) bảo đảm các mục tiêu sau:
ngăn ngừa việc thay đổi thông tin trái phép của người dùng không có thẩm
quyền, ngăn ngừa việc vô ý thay đổi thông tin của người dùng có thẩm quyền,
duy trì tính nhất quán của thông tin.
Ví dụ: Bảng báo giá hay thông tin chỉ số chứng khoán không cần tính bí
mật nhưng cần chính xác và sự quản lí chặt chẽ các thay đổi trên thông tin này.
3) Yêu cầu sẵn sàng.
Tính sẵn sàng được thể hiện là thông tin được đưa đến người dùng kịp
thời, không bị gián đoạn. Mọi hành vi làm gián đoạn quá trình truyền thông tin,
khiến thông tin không đến được người dùng, chính là đang tấn công vào tính sẵn
sàng của hệ thống đó.
Ví dụ: Hệ thống phòng thủ tên lửa đạn đạo của Mỹ phải đảm bảo tính sẵn
sàng, để ngăn chặn các cuộc tấn công.
4) Yêu cầu xác thực.
Ngoài 3 đặc tính trên, người ta còn đưa ra tính xác thực. Tính xác thực là
đảm bảo thông tin cần được xác thực nguồn gốc. Tính xác thực thường đi kèm
với tính chống chối cãi, không cho phép người dùng chối bỏ thông tin của họ
12
- Xem thêm -