BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Nguyễn Ngọc Điệp
NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP TÍCH HỢP
MẬT MÃ VÀO QUÁ TRÌNH TRUYỀN TIN ĐẢM BẢO
AN TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH
LUẬN ÁN TIẾN SĨ KỸ THUẬT
Hà Nội - 2017
BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Nguyễn Ngọc Điệp
NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP TÍCH HỢP MẬT
MÃ VÀO QUÁ TRÌNH TRUYỀN TIN ĐẢM BẢO AN
TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH
CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN
MÃ SỐ: 62.48.01.04
LUẬN ÁN TIẾN SĨ KỸ THUẬT
NGƯỜI HƯỚNG DẪN KHOA HỌC:
PGS.TS HOÀNG MINH
Hà Nội - 2017
ii
LỜI CAM ĐOAN
Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi. Các nội dung, số
liệu và kết quả nghiên cứu trình bày trong luận án là hoàn toàn trung thực và chưa có
tác giả nào công bố trong bất cứ một công trình nào khác, các dữ liệu tham khảo được
trích dẫn đầy đủ.
Người cam đoan
Nguyễn Ngọc Điệp
i
LỜI CẢM ƠN
Luận án này được thực hiện tại Học viện Công nghệ Bưu chính Viễn thông - Bộ
Thông tin và Truyền thông.
Nghiên cứu sinh xin được bày tỏ lòng biết ơn sâu sắc đến Thầy giáo PGS. TS.
Hoàng Minh đã tận tình hướng dẫn, giúp đỡ, trang bị phương pháp nghiên cứu, kiến
thức khoa học để tôi hoàn thành các nội dung nghiên cứu của luận án.
Nghiên cứu sinh xin bày tỏ lòng biết ơn chân thành tới các thầy, cô của Học
viện Công nghệ Bưu chính Viễn thông, các nhà khoa học thuộc Viện Khoa học - Công
nghệ mật mã, Học viện Kỹ thuật mật mã đã đóng góp nhiều ý kiến quý báu giúp tôi
hoàn thành các nội dung nghiên cứu của luận án.
Nghiên cứu sinh xin trân trọng cảm ơn Học viện Công nghệ Bưu chính Viễn
thông, Khoa Khoa Quốc tế và Đào tạo Sau đại học là cơ sở đào tạo và đơn vị quản lý,
các đồng chí Lãnh đạo Viện Khoa học - Công nghệ mật mã, nơi tôi đang công tác đã
tạo điều kiện thuận lợi, hỗ trợ và giúp đỡ tôi trong suốt quá trình học tập, nghiên cứu
thực hiện luận án.
Tôi xin trân trọng cảm ơn các bạn bè người thân và gia đình đã cổ vũ, động viên
giúp đỡ, tạo điều kiện cho tôi hoàn thành luận án.
Nghiên cứu sinh
ii
MỤC LỤC
LỜI CAM ĐOAN ............................................................................................................ i
LỜI CẢM ƠN ................................................................................................................. ii
MỤC LỤC ...................................................................................................................... iii
DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT .................................................... vi
DANH MỤC CÁC HÌNH VẼ...................................................................................... viii
DANH MỤC CÁC BẢNG............................................................................................. ix
MỞ ĐẦU ..........................................................................................................................1
CHƯƠNG I: TỔNG QUAN VỀ GIẢI PHÁP CAN THIỆP MẬT MÃ VÀO HỆ
THỐNG MẠNG DÙNG GIAO THỨC TCP/IP ..............................................................7
1.1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG ..................................7
1.1.1. Một số khái niệm cơ bản về an toàn thông tin .......................................................7
1.1.2. Các nguy cơ mất an toàn thông tin .........................................................................8
1.1.3. Các hình thức tấn công thông tin trên mạng ..........................................................8
1.1.4. Một số biện pháp an toàn .....................................................................................10
1.1.5. Các dịch vụ an toàn ..............................................................................................10
1.1.5.1. Dịch vụ bí mật ...................................................................................................11
1.1.5.2. Dịch vụ xác thực................................................................................................12
1.1.5.3. Dịch vụ toàn vẹn dữ liệu. ..................................................................................13
1.1.5.4. Dịch vụ không thể chối bỏ .................................................................................14
1.1.5.5. Dịch vụ kiểm soát truy nhập .............................................................................14
1.2. TÍCH HỢP MẬT MÃ VÀO HỆ THỐNG MẠNG DÙNG GIAO THỨC TCP/IP 15
1.2.1. Cấu trúc giao thức TCP/IP ...................................................................................15
1.2.2. Tích hợp mật mã vào các tầng của giao thức TCP/IP ..........................................17
1.2.2.1. Tích hợp mật mã vào tầng ứng dụng ................................................................19
1.2.2.2. Tích hợp mật mã vào tầng vận tải .....................................................................20
1.2.2.3. Tích hợp mật mã vào tầng Internet ...................................................................21
1.2.2.4. Tích hợp mật mã vào tầng truy nhập mạng ......................................................22
1.2.3. Cài đặt các dịch vụ an toàn dùng kỹ thuật mật mã ..............................................22
1.3. GIẢI PHÁP BẢO MẬT DỮ LIỆU TRÊN ĐƯỜNG TRUYỀN ............................27
1.3.1. Một số chuẩn về an toàn và bảo mật thông tin.....................................................27
1.3.2. Chuẩn về an toàn tầng vận tải SSL/TLS ..............................................................31
1.3.2.1. Giới thiệu bộ giao thức .....................................................................................31
1.3.2.2. Các thành phần trong giao thức SSL ................................................................31
1.3.3. Một số tấn công cơ bản đối với giao thức SSL ....................................................34
1.3.3.1. Tấn công quay lui phiên bản, quay lui thuật toán mã hóa. ..............................34
iii
1.3.3.2. Tấn công làm mất thông điệp ChangeCipherSpec............................................35
1.3.3.3. Tấn công quay lui thuật toán trao đổi khoá ......................................................36
1.3.3.4. Tấn công padding CBC .....................................................................................37
1.3.3.5. Lỗ hổng HeartBleed trong OpenSSL ................................................................38
1.3.4. Giải pháp tích hợp mật mã nâng cao độ an toàn và hiệu quả cho bộ giao thức
SSL/TLS .........................................................................................................................40
KẾT LUẬN CHƯƠNG 1...............................................................................................42
CHƯƠNG II: NÂNG CAO HIỆU QUẢ THỰC THI, ĐỘ AN TOÀN CỦA CÁC
THAM SỐ HỆ MẬT RSA VÀ THUẬT TOÁN MÃ KHỐI .........................................44
2.1. GIỚI THIỆU CHUNG ............................................................................................44
2.2. XÂY DỰNG TIÊU CHUẨN THAM SỐ CHO HỆ MẬT RSA ............................46
2.2.1. Một số tiêu chuẩn tham số RSA an toàn đã được công bố ..................................47
2.2.2. Phương pháp xác định ngưỡng an toàn của Lenstra và Verheul .........................49
2.2.2.1. Ngưỡng an toàn .................................................................................................49
2.2.2.2. Độ dài modulo của hệ mật RSA ........................................................................50
2.2.2.3. Bảng tính ngưỡng an toàn và độ dài modulo an toàn cho hệ mật RSA ............51
2.2.3. Xác định ngưỡng an toàn theo quan điểm riêng ..................................................51
2.2.3.1. Luận cứ xác định đối tượng tấn công ...............................................................51
2.2.3.2. Công thức xác định các ngưỡng an toàn cho đến năm y (y2016) ..................52
2.2.4. Phương pháp mã hóa liên tiếp và tiêu chuẩn cho số công khai ...........................55
2.2.4.1. Một số công thức, định nghĩa ............................................................................55
2.2.4.2. Giải bài toán RSA bằng phương pháp mã hóa liên tiếp ...................................56
2.2.4.3. Phân tích modulo n của hệ RSA bằng phương pháp mã hóa liên tiếp .............57
2.2.4.4. Tiêu chuẩn cho tham số e ..................................................................................59
2.3. MỘT ĐỀ XUẤT MA TRẬN AN TOÀN, HIỆU QUẢ CHO TẦNG TUYẾN
TÍNH TRONG CÁC MÃ PHÁP DẠNG AES ..............................................................61
2.3.1. Một số định nghĩa, khái niệm...............................................................................63
2.3.2. Phép MixColumns sử dụng ma trận dịch vòng và ma trận tựa vòng 4x4 ............64
2.3.3. Phân tích phép biến đổi MixColumns của AES ...................................................66
2.3.4. Đề xuất ma trận tuyến tính tựa vòng cho AES ....................................................68
2.3.5. Đánh giá cài đặt theo quan điểm phần mềm ........................................................71
2.3.6. Đánh giá về độ an toàn, số điểm bất động của tầng tuyến tính ............................74
2.3.7. Kết quả cài đặt thực nghiệm.................................................................................76
KẾT LUẬN CHƯƠNG 2...............................................................................................79
CHƯƠNG III: TÍCH HỢP MẬT MÃ TRONG GIAO THỨC VÀ BỘ PHẦN MỀM
BẢO MẬT DỮ LIỆU TRÊN ĐƯỜNG TRUYỀN ........................................................81
3.1. BỘ PHẦN MỀM OPENVPN .................................................................................81
3.1.1. Giới thiệu bộ phần mềm OpenVPN .....................................................................81
3.1.2. Sơ đồ tổng quát ....................................................................................................82
3.1.3. Sơ đồ dòng dữ liệu ...............................................................................................83
iv
3.2. MỘT SỐ MODULE CHÍNH TRONG BỘ PHẦN MỀM ......................................85
3.2.1. Module VPN Daemon - Vận hành VPN theo cơ chế dịch vụ hệ thống ...............85
3.2.2. Module TUN/TAP - quản lý giao diện mạng ảo ..................................................87
3.2.3. Trao đổi khoá trong OpenVPN ............................................................................89
3.2.4. Mã hoá trong OpenVPN.......................................................................................90
3.2.5. Xác thực tính toàn vẹn gói dữ liệu trong OpenVPN ............................................90
3.2.6. Giao thức trong OpenVPN ...................................................................................91
3.3. TÍCH HỢP THAM SỐ RSA AN TOÀN VÀ THUẬT TOÁN MÃ KHỐI
BC_VPN TRONG GIAO THỨC SSL/TLS. .................................................................93
3.3.1. Sử dụng tham số RSA an toàn trong giao thức SSL/TLS ....................................94
3.3.2. Tích hợp thuật toán mã khối BC_VPN vào trong bộ giao thức SSL/TLS...........98
3.3.3. Thử nghiệm, đánh giá bộ phần mềm bảo mật đường truyền PMBM_VPN. .....100
KẾT LUẬN CHƯƠNG III...........................................................................................105
KẾT LUẬN ..................................................................................................................107
A. Các kết quả Luận án đã đạt được: ...........................................................................107
B. Những đóng góp mới của luận án: ..........................................................................108
C. Hướng nghiên cứu tiếp theo: ...................................................................................108
DANH MỤC CÁC CÔNG TRÌNH KHOA HỌC ĐÃ CÔNG BỐ .............................109
TÀI LIỆU THAM KHẢO ............................................................................................110
PHỤ LỤC: CÁC MODULE CHƯƠNG TRÌNH, KẾT QUẢ THỬ NGHIỆM ..........115
v
DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT
#(a)
#(b)
#{(X,Y)}
#S
N
*
N
e| N
Gcd(a,b)
Lmc(a,b)
AES
ACL
DLP
DoS
DDoS
ECC
ESP
FPGA
HMAC
KDF
IKE
IDPS
IP
IPSec
ISO
Lực lượng của a
Lực lượng của b
Lực lượng của tập X, Y
Số các phần tử của S
Vành số nguyên với phép cộng và phép nhân rút gọn theo modulo N
Nhóm nhân cực đại của của vành
N là bội của e, còn e là ước của N
Ước số chung lớn nhất của a và b
Bội số chung nhỏ nhất của a và b
Advanced Encryption Standard
Access Control List
Discrete Logarithm Problem
Denial of Service
Distributed Denial of Service
Elliptic Curve Cryptosystem
Encapsulating Security Payload
Field Programmable Gate Array
Hash Message Authentication
Code
Key Derivation Function
Internet Key Exchange
Intruction Detection Prevention
System
MPLS
OSI
Internet Protocol
Internet Protocol Security
International Organization for
Standardization
Local Area Network
Maximum Distance Separable
Man In The Middle
Multi Protocol Label Switching
Open System Interconnection
QoS
Quality Of Service
LAN
MDS
MITM
N
Chuẩn mã hóa dữ liệu mở rộng
Danh sách điều khiển truy nhập
Bài toán Logarith rời rạc
Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ phân
tán
Hệ mật Elliptic
Đóng gói mã hóa dữ liệu
Mảng cổng lập trình dạng trường
Hàm băm có xác thực
Hàm dẫn xuất khóa
Trao đổi khóa trên Internet
Hệ thống phát hiện và ngăn chặn
truy cập
Giao thức liên mạng
Giao thức bảo mật IP
Tổ chức tiêu chuẩn quốc tế
Mạng cục bộ
Phân tách có khoảng cách cực đại
Tấn công kẻ đứng giữa
Chuyển mạch nhãn đa giao thức
Mô hình tương tác giữa các hệ
thống mở.
Chất lượng dịch vụ
vi
SPN
SSL
RSA
TCP
TLS
UDP
VNI
VPN
Substitution Permutation
Network
Secure Sockets Layer
Rivest, Shamir and Adlemen
Transport Control Protocol
Transport Layer Security
User Datagram Protocol
Virtual Networking Interface
Virtual Private Network
Mạng thay thế - hoán vị
Giao thức bảo mật tầng Socket
Hệ mật khóa công khai RSA
Giao thức điều khiển truyền tin
Giao thức bảo mật tầng vận tải
Giao thức gói dữ liệu người dùng
Giao diện mạng ảo
Mạng riêng ảo
vii
DANH MỤC CÁC HÌNH VẼ
Hình 1.1: Các hình thức tấn công thông tin trên mạng máy tính ................................... 9
Hình 1.2: Cấu trúc của giao thức TCP/IP .................................................................... 16
Hình 1.3: Cấu trúc gói tin IP ........................................................................................ 17
Hình 1.4: Mô hình bảo mật thông tin dùng kỹ thuật mật mã ........................................ 23
Hình 1.5: Mô hình mã hóa khóa đối xứng .................................................................... 24
Hình 1.6: Mô hình mã hoá dùng khoá công khai.......................................................... 25
Hình 1.7: Giao thức bắt tay SSL ................................................................................... 32
Hình 1.8: Giao thức bản ghi SSL .................................................................................. 33
Hình 1.9: Tấn công ChangeCipherSpec ....................................................................... 35
Hình 1.10: Tấn công quay lui thuật toán trao đổi khóa ............................................... 37
Hình 3.1: Sơ đồ khối tổng quát của OpenVPN ............................................................. 82
Hình 3.2: Sơ đồ dòng dữ liệu được tương tác xử lý trong OpenVPN ........................... 84
Hình 3.3: Sơ đồ khối của VPN Daemon ....................................................................... 86
Hình 3.4: Sơ đồ khối hoạt động của module TUN/TAP ................................................ 88
Hình 3.5: Lưu đồ mã hoá và xác thực của OpenVPN ................................................... 91
Hình 3.6: Lưu đồ giải mã và xác thực trong OpenVPN ............................................... 91
Hình 3.7: UDP/TCP Format ......................................................................................... 92
Hình 3.8: Tích hợp tham số RSA và thuật toán mã khối trong OpenVPN .................... 93
Hình 3.9: Lưu đồ mã hoá và xác thực gói tin trong PMBM_VPN ............................... 98
Hình 3.10: Lưu đồ giải mã và xác thực gói tin trong PMBM_VPN ............................. 99
Hình 3.11: Đóng gói và bảo vệ gói tin IP trong PMBM_VPN ..................................... 99
Hình 3.12: Mô hình thử nghiệm phần mềm PMBM_VPN .......................................... 100
Hình 3.13: Cấu hình cho VPN Server ......................................................................... 102
Hình 3.14: Cấu hình cho VPN Client ......................................................................... 102
Hình 3.15: Trạng thái hiện thời của hệ thống VPN đã kết nối thành công ................ 103
Hình 3.16: Tốc độ của phần mềm PMBM_VPN (1 luồng) ......................................... 104
Hình 3.17: Tốc độ của phần mềm PMBM_VPN (4 luồng) ......................................... 104
viii
DANH MỤC CÁC BẢNG
Bảng 1.1. Bảo vệ các thành phần của gói IP trong giao thức TCP/IP
18
Bảng 1.2. Các dịch vụ an toàn được cài đặt tại các tầng trong giao thức
18
TCP/IP
Bảng 2.1. Bảng tính a(y) và n(y) cho lĩnh vực kinh tế - xã hội
51
của Lenstra và Verheul
Bảng 2.2. Bảng tính các giá trị a(y) và n(y) cho lĩnh vực kinh tế - xã hội
54
Bảng 2.3. Bảng tính các giá trị ngưỡng an toàn theo các phương pháp
54
Bảng 2.4. Danh sách 16 đa thức nguyên thủy bậc 8 trên
70
2
Bảng 2.5. So sánh cài đặt kiểu bit-slice các ma trận MDS 4x4
74
Bảng 2.6. Kết quả cài đặt thực nghiệm thuật toán cho 1 vòng mã hóa
76
Bảng 2.7. Kết quả cài đặt thực nghiệm tốc độ mã hóa của BC_VPN
77
Bảng 2.8. Số lượng S-hộp tích cực vi sai và độ phức tạp trước thám mã vi
78
sai của AES và BC_VPN
Bảng 2.9. Số lượng S-hộp tích cực vi sai và độ phức tạp trước thám mã
79
tuyến tínhcủa AES và BC_VPN
Bảng 3.1. So sánh tốc độ từ PMBM_VPN client đến PMBM_VPN server
105
ix
MỞ ĐẦU
1.1 Tính cấp thiết của đề tài luận án
Mạng máy tính là một hệ thống mở bao gồm nhiều máy tính và các thiết bị
được kết nối với nhau nhằm chia sẻ tài nguyên chung và liên lạc với nhau. Mạng
máy tính đã kết hợp được khả năng xử lý thông tin của các máy tính đơn lẻ và chức
năng truyền thông. Các mạng máy tính ở Việt nam hiện nay chủ yếu là các mạng sử
dụng hệ điều hành Windows, Linux, Unix với bộ giao thức truyền thông TCP/IP.
Sự phát triển bùng nổ của Internet đã tạo điều kiện cho các loại hình xâm
nhập trái phép vào các hệ thống công nghệ thông tin cả về chiều rộng (lây lan trên
quy mô toàn thế giới) lẫn chiều sâu (can thiệp vào hạt nhân hệ thống đích). Mỗi
ngày, các hệ thống mạng phải đối phó với hàng loạt đợt tấn công của tin tặc, khiến
nhiều hệ thống bị đình trệ, tắc nghẽn và tê liệt, gây ra những tổn hại to lớn. Các
phương thức tấn công ngày càng tinh vi, phức tạp có thể dẫn đến mất mát, sai lệch
thông tin, thậm chí có thể làn sụp đổ hoàn toàn hệ thống thông tin của các cơ quan
chính phủ, các ngân hàng, doanh nghiệp. Trong quá trình đẩy mạnh ứng dụng, phát
triển công nghệ thông tin, hội nhập quốc tế, với sự phát triển nhanh chóng của các
mạng thông tin truyền thông, các hệ thống thông tin phân tán và đặc biệt là mạng
thông tin toàn cầu Internet thì nhu cầu đảm bảo an ninh an toàn thông tin càng trở
lên cấp thiết. An toàn thông tin một vấn đề vừa mang tính thời sự, vừa mang tính
thách thức không chỉ đối với các chuyên gia tin học mà còn đối với sự phát triển của
các hệ thống thông tin toàn cầu.
Đã từ lâu vấn đề bảo mật thông tin là một công việc quan trọng đối với mọi
Quốc gia, nó nhằm mục đích giữ cho thông tin được an toàn bằng kỹ thuật mật mã.
Khi chưa có mạng máy tính, thông tin được lưu trữ trên các máy tính được bảo vệ
chủ yếu bằng các biện pháp vật lý, nghiệp vụ. Các thông tin cần giữ bí mật sẽ được
mã hóa trước khi truyền trên kênh công khai. Khi các máy tính được kết nối với
nhau thành mạng, do nhu cầu sử dụng tài nguyên chung và liên lạc với nhau, các
thông tin trên mỗi máy tính dễ dàng bị truy nhập từ một máy tính khác. Đồng thời,
1
các thông tin trao đổi trên môi trường mạng cũng dễ dàng bị đánh cắp, sửa đổi, giả
mạo [51], [53], [62], [63].
An toàn mạng máy tính là tổng thể các giải pháp về mặt tổ chức và kỹ thuật
nhằm ngăn cản mọi nguy cơ làm tổn hại đến hệ thống mạng. Sự cần thiết phải hội
nhập các dịch vụ vào cùng một hạ tầng cơ sở mạng thống nhất (tất cả trong một) là
một xu thế tất yếu. Các nhà quản lý, cung cấp dịch vụ mạng cố gắng triển khai
những công nghệ mới nhất vào hạ tầng cơ sở mạng của mình, an ninh mạng trở
thành một chức năng then chốt trong việc xây dựng và duy trì các mạng hiện đại
của mọi tổ chức. Các nguyên tắc nền tảng để xây dựng hệ thống mạng an toàn bao
gồm: tính bí mật, tính toàn vẹn, tính sẵn sàng [7], [8], [26], [49], [53]. Tùy thuộc
vào từng ứng dụng, dịch vụ và hoàn cảnh cụ thể, mà các nguyên tắc này sẽ được
xác định mức độ quan trọng khác nhau.
Vấn đề bảo vệ thông tin bằng mật mã đã và đang được nhiều quốc gia trên
thế giới đặc biệt quan tâm, đã có rất nhiều các nghiên cứu tạo ra các chuẩn bảo mật,
các hệ mật và các giải pháp bảo mật cho hệ thống mạng. Song theo quan điểm mật
mã, chúng ta không thể sử dụng các sản phẩm bảo mật thông tin của nước ngoài để
bảo mật thông tin trên mạng thuộc phạm vi bí mật Nhà nước như: lĩnh vực An ninh
Quốc phòng. Vấn đề đặt ra là chúng ta phải chủ động tạo ra các sản phẩm bảo mật
thông tin trên mạng máy tính, với các module mật mã kiểm soát hoàn toàn và độ an
toàn của sản phẩm do các module mật mã quyết định.
Nhận thấy sự cấp thiết, tính thời sự của lĩnh vực an toàn, bảo mật thông tin
trên mạng máy tính và nhu cầu thực tế công tác, nghiên cứu sinh đã lựa chọn luận
án: “Nghiên cứu, xây dựng giải pháp tích hợp mật mã vào quá trình truyền tin
đảm bảo an toàn thông tin trên mạng máy tính”.
1.2 Mục tiêu nghiên cứu
Bảo vệ thông tin trên kênh truyền công khai là chức năng chính của bài toán
tích hợp mật mã để bảo mật thông tin trên mạng. Cốt lõi của quá trình này là can
thiệp kỹ thuật mật mã nhằm mã hóa và giải mã các thông tin cần bảo vệ.
2
Mục tiêu chính của Luận án là:
- Nghiên cứu, lựa chọn giải pháp tích hợp mật mã vào mô hình mạng TCP/IP
để bảo mật dữ liệu trên đường truyền.
- Nghiên cứu đề xuất giải pháp nâng cao tính an ninh, an toàn và hiệu quả
thực thi các thuật toán mật mã trong bảo mật thông tin trên mạng.
1.3 Đối tượng nghiên cứu
Mô hình, hệ thống mạng sử dụng bộ giao thức TCP/IP cần bảo đảm an ninh,
an toàn. Các chuẩn giao thức bảo mật mạng, tập trung vào các giải pháp mật mã và
khả năng tích hợp các thành tố mật mã vào bộ giao thức SSL/TLS để bảo mật dữ
liệu trên đường truyền.
1.4 Phạm vi nghiên cứu
- Luận án tập trung vào nghiên cứu, lựa chọn giải pháp tích hợp mật mã vào
giao thức bảo mật dữ liệu trên đường truyền trong mô hình mạng TCP/IP.
- Nghiên cứu đề xuất giải pháp nâng cao hiệu quả thực thi, độ an toàn của giao
thức SSL/TLS, hệ mật RSA và thuật toán mã hóa dữ liệu cho bài toán bảo
mật dữ liệu trên đường truyền.
1.5 Cách tiếp cận và phương pháp nghiên cứu
- Tổng hợp các kết quả nghiên cứu mới, các giải pháp về an toàn và bảo mật
thông tin trên các máy tính và trên hệ thống mạng.
- Trên cơ sở kiến trúc an ninh chung của mô hình OSI, các giao thức bảo mật
mạng, thông qua khảo sát, phân tích, đánh giá các kết quả đã nghiên cứu từ
đó đề xuất giải pháp nâng cao hiệu quả bảo mật dữ liệu trên đường truyền.
- Dựa trên phương pháp phân tích lý thuyết (sử dụng lý thuyết và kỹ thuật mật
mã hiện đại), tính toán giải tích, chứng minh bằng toán học và kiểm chứng
thông qua việc cài đặt, thử nghiệm thực tế để chứng minh tính đúng đắn,
hiệu quả của các kết quả nghiên cứu.
3
1.6 Nội dung nghiên cứu
- Nghiên cứu, lựa chọn giải pháp tích hợp mật mã vào giao thức bảo mật dữ
liệu trên đường truyền trong mô hình mạng TCP/IP để bảo mật thông tin trên
mạng. Phân tích cấu trúc giao thức SSL/TLS, các điểm yếu an ninh và một
số tấn công cơ bản dựa trên các điểm yếu còn tồn tại của bộ giao thức.
- Nghiên cứu đề xuất giải pháp để nâng cao hiệu quả thực thi các thuật toán
mật mã, đảm bảo hiệu quả về tốc độ, độ an toàn và bảo mật cho bài toán bảo
mật dữ liệu trên đường truyền.
- Thiết kế và xây dựng bộ chương trình thử nghiệm giải pháp bảo mật dữ liệu
trên đường truyền với thuật toán mã khối và tham số mật mã được nghiên
cứu đề xuất.
- Thử nghiệm, đánh giá độ an toàn và hiệu quả của bộ chương trình bảo mật
dữ liệu trên đường truyền.
1.7 Ý nghĩa khoa học và thực tiễn
- Ý nghĩa khoa học: Quá trình nghiên cứu luận án sẽ cho thấy rõ cơ sở khoa
học của việc nghiên cứu, đề xuất cải tiến thuật toán mật mã và ứng dụng một
số nguyên thủy mật mã vào bài toán bảo mật thông tin trên đường truyền.
- Ý nghĩa thực tiễn: Cải tiến, nâng cao tốc độ tính toán, hiệu năng thực thi các
thuật toán mật mã đảm bảo tính hiệu quả, giảm thời gian tính toán và tài
nguyên của hệ thống đồng thời tăng cường tính an toàn, bảo mật cho bộ giao
thức SSL/TLS đáp ứng bài toán bảo mật dữ liệu trên đường truyền.
Giải pháp tích hợp mật mã để bảo mật thông tin trên đường truyền của luận
án cho phép chúng ta xây dựng các mạng cục bộ, mạng diện rộng có độ an toàn cao
dựa trên kênh truyền Internet và các mạng công cộng khác. Hơn nữa, giải pháp này
cho phép ta bảo mật được cơ bản các ứng dụng, dịch vụ truyền tin trên mạng dùng
giao thức TCP/IP bao gồm cả hình ảnh động, âm thanh mà không can thiệp vào cấu
trúc của ứng dụng. Điều này đã giải quyết được yêu cầu thực tế ở Việt Nam, có rất
nhiều ứng dụng cần được bảo vệ thông tin nhưng chúng ta không được can thiệp
mật mã vào cấu trúc của nó.
4
1.8 Giới thiệu bố cục của luận án
Bố cục của luận án gồm Lời nói đầu, 3 chương nội dung, phần Kết luận, Danh
mục các công trình, bài báo khoa học đã công bố của nghiên cứu sinh và phần Phụ
lục của luận án.
Phần mở đầu: Phân tích tình hình hiện tại, tính cấp thiết của vấn đề nghiên cứu
và đề xuất nhiệm vụ nghiên cứu.
Chương 1: Tổng quan về giải pháp can thiệp mật mã vào hệ thống mạng dùng
giao thức TCP/IP.
Chương này hệ thống hóa các khái niệm cơ bản về an ninh an toàn trên mạng
máy tính. Phân tích bộ giao thức TCP/IP và khả năng tích hợp mật mã vào các tầng
trong mô hình giao thức TCP/IP để bảo mật thông tin;
Phân tích bộ giao thức SSL/TLS, các thành phần cơ bản trong bộ giao thức,
chỉ ra những điểm yếu mất an ninh, an toàn trong giao thức và những giải pháp khắc
phục. Xác định rõ vai trò của hệ mật RSA và thuật toán mã khối trong giao thức
SSL/TLS để xây dựng ứng dụng bảo mật dữ liệu trên đường truyền.
Chương 2: Nâng cao hiệu quả thực thi, độ an toàn của các tham số hệ mật
RSA và thuật toán mã khối.
Trong chương này, luận án trình bày một số kết quả nghiên cứu đề xuất mới
về tiêu chuẩn số mũ công khai trong hệ mật RSA trong lĩnh vực kinh tế - xã hội và
thuật toán mã hóa dữ liệu định hướng cho ứng dụng bảo mật dữ liệu trên đường
truyền.
- Thứ nhất, luận án đưa ra một tiêu chuẩn mới đối với số mũ công khai trong hệ
mật RSA (kết quả nghiên cứu được đăng trong bài báo số 05) và cập nhật bổ
sung giả thiết xác định độ dài modulo an toàn.
- Thứ hai, luận án nghiên cứu đề xuất được ma trận an toàn và cài đặt hiệu quả
dựa trên ma trận tựa vòng cho tầng tuyến tính trong các mã khối dạng AES
(kết quả nghiên cứu được đăng trong bài báo số 06).
Chương 3: Tích hợp mật mã trong giao thức và bộ phần mềm bảo mật dữ liệu
trên đường truyền.
5
Chương 3 tập trung phân tích mô hình, cấu trúc hoạt động của bộ phần mềm
OpenVPN. Kiểm soát và từng bước làm chủ bộ phần mềm mã nguồn mở. Thực hiện
các giải pháp tích hợp mật mã vào các thành phần trong bộ phần mềm OpenVPN.
- Cài đặt, tích hợp bộ tham số an toàn của hệ mật RSA vào quá trình xác thực,
trao đổi khóa trong bộ giao thức SSL/TLS.
- Xây dựng bộ phần mềm thử nghiệm bảo mật đường truyền dựa trên công nghệ
OpenVPN có tích hợp các tham số và thuật toán mã khối an toàn, hiệu quả
khắc phục được một số điểm yếu của bộ giao thức SSL/TLS đã phân tích; Thử
nghiệm và đánh giá tính an ninh an toàn và hiệu năng của bộ phần mềm.
Phần kết luận: Trình bày những kết quả nghiên cứu chính của luận án, nêu bật
các đóng góp mới của luận án và định hướng nghiên cứu tiếp theo.
Phần Phụ lục: Trình bày một số kết quả cài đặt, thử nghiệm thuật toán tích
hợp vào bộ phần mềm bảo mật dữ liệu trên đường truyền.
6
CHƯƠNG I: TỔNG QUAN VỀ GIẢI PHÁP CAN THIỆP MẬT MÃ
VÀO HỆ THỐNG MẠNG DÙNG GIAO THỨC TCP/IP
Xây dựng các hệ thống bảo mật thông tin trên mạng máy tính đòi hỏi một giải
pháp tổng thể bao gồm nhiều cơ chế an toàn như điều khiển truy nhập, mã hóa dữ
liệu, chữ ký số, xác thực, bảo vệ vật lý [8], [26], [49], [53],... Kỹ thuật mật mã đóng
một vai trò rất quan trọng trong việc bảo vệ thông tin trên mạng, nó cho phép chúng
ta cài đặt hầu hết các dịch vụ an toàn bao gồm các dịch vụ bí mật, xác thực, toàn
vẹn và không thể chối bỏ. Ngoài ra nó góp phần quan trọng trong việc cài đặt dịch
vụ điều khiển truy nhập.
1.1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG
1.1.1. Một số khái niệm cơ bản về an toàn thông tin
Trong hoạt động xã hội, thông tin được thể hiện dưới nhiều hình thức khác
nhau như văn bản, hình ảnh, âm thanh. Trên mạng máy tính, thông tin được lưu trữ
trong các thiết bị vật lý như ổ đĩa, thẻ nhớ…hoặc được truyền qua kênh công khai.
Những thông tin có giá trị luôn luôn chịu những mối đe dọa của những người không
được ủy quyền. Họ có thể là những kẻ tấn công bất hợp pháp hoặc những người
trong nội bộ cơ quan, tổ chức có thông tin cần bảo vệ. Khái niệm “An toàn thông
tin” (Information security) chỉ ra các yêu cầu đối với việc bảo vệ thông tin bao gồm:
- Tính bí mật (Confidentality): Đảm bảo rằng thông tin không bị lộ hoặc bị
khám phá bởi những người không được ủy quyền.
- Tính xác thực (Authentication): Đảm bảo rằng người gửi và người nhận
thông tin không bị mạo danh.
- Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin không bị thay đổi hoặc bị
phá hủy bởi những người không được ủy quyền.
- Tính sẵn sàng (Availibility): Đảm bảo rằng những người hợp pháp không bị
từ chối truy nhập một cách không chính đáng tới thông tin và tài nguyên.
Một mối đe doạ (threat) là một người, một vật, một sự kiện, hay một ý định
gây ra một số nguy hiểm đối với tài nguyên, dưới dạng tính bí mật, toàn vẹn, sự khả
dụng, hoặc tính sử dụng hợp pháp của tài nguyên. Một cuộc tấn công (attack) là thể
7
hiện thực tế của một mối đe doạ. Các biện pháp bảo vệ (safeguard) là các điều khiển
vật lý, các cơ chế, các chính sách và các thủ tục bảo vệ các tài nguyên khỏi các mối
đe doạ. Những điểm có thể bị tổn thương (vulnerability) là những điểm yếu trong
một cách bảo vệ, hay nơi thiếu sự bảo vệ.
Sự rủi ro (risk) là độ đo đánh giá tính dễ bị tổn thương thực sự kết hợp với
khả năng tấn công thành công. Độ rủi ro cao nếu giá trị của tài sản có thể bị tổn
thương cao, và khả năng tấn công thành công cao. Ngược lại, độ rủi ro thấp nếu giá
trị của tài sản có thể bị tổn thương thấp, và khả năng tấn công thành công thấp. Việc
phân tích độ rủi ro có thể cung cấp một cách định lượng để xác định xem chi phí
trong các cách bảo vệ có được đảm bảo hay không.
1.1.2. Các nguy cơ mất an toàn thông tin
Do hoạt động trong môi trường mở và phân tán, thông tin được lưu thông
rộng khắp và dưới rất nhiều hình thức nên mạng máy tính phải chịu nhiều mối đe
doạ từ nhiều phía. Các mối đe doạ chủ yếu trực tiếp bao gồm:
- Sự rò rỉ thông tin: Thông tin bị lộ hoặc bị khám phá do một người hoặc thực
thể được phép. Điều này có thể liên quan đến những tấn công trực tiếp, chẳng
hạn nghe trộm hoặc những kiểu theo dõi thông tin tinh tế hơn.
- Vi phạm tính toàn vẹn: Tính nhất quán của dữ liệu bị tổn thương thông qua
việc tạo, thay đổi trái phép hay phá hoại dữ liệu.
- Từ chối dịch vụ: Việc truy nhập thông tin hoặc các tài nguyên khác bị cản trở
một cách có chủ tâm.
- Sử dụng trái phép: Một tài nguyên được sử dụng bởi một người không có
quyền hoặc theo một cách không được phép.
1.1.3. Các hình thức tấn công thông tin trên mạng
Hình 1.1 minh họa luồng thông tin được truyền từ nơi gửi (nguồn thông tin)
đến nơi nhận (đích thông tin). Trên đường truyền công khai thông tin bị tấn công
bởi những người không được ủy quyền nhận tin, ta gọi là kẻ tấn công. Theo [53] các
hình thức tấn công thông tin trên mạng được chia làm 4 loại cơ bản sau:
8
Đích
thông tin
Nguồn
thông tin
(a) Luồng bình thường
Đích
thông tin
Nguồn
thông tin
(b) Ngăn chặn thông tin
(c) Chặn bắt thông tin
Đích
thông tin
Nguồn
thông tin
Đích
thông tin
Nguồn
thông tin
Đích
thông tin
Nguồn
thông tin
(d) Thay đổi thông tin
(e) Chèn thông tin giả
Hình 1.1: Các hình thức tấn công thông tin trên mạng máy tính
- Ngăn chặn thông tin (Interruption): Tài nguyên thông tin bị phá hủy, không
sẵn sàng phục vụ hoặc không sử dụng được. Đây là hình thức tấn công làm
mất khả năng sẵn sàng phục vụ của thông tin.
- Chặn bắt thông tin (Interception): Kẻ tấn công có thể truy nhập tới tài nguyên
thông tin. Đây là hình thức tấn công vào tính bí mật của thông tin.
- Sửa đổi thông tin (Modification): Kẻ tấn công truy nhập, chỉnh sửa thông tin
trên mạng. Đây là hình thức tấn công lên tính toàn vẹn của thông tin
- Chèn thông tin giả (Fabrication): Kẻ tấn công chèn thông tin và dữ liệu giả
vào hệ thống. Đây là hình thức tấn công lên tính xác thực của thông tin. Nó
có thể là việc chèn các thông báo giả mạo vào mạng hay thêm các bản ghi
vào mạng hay các bản ghi vào tệp tin.
9
- Xem thêm -