Nhóm dịch hệ phân tán – Lớp MTT- K50 - DHBKHN
Chương 9: An toàn – An ninh.
(Security)
1.1 Đặt vấn đề.
1.1.1 Các mối đe dọa, chính sách và cơ chế an toàn , an ninh.
a. Các mối đe dọa.
Hệ thống máy tính luôn bị đe dọa bởi các nguy cơ mất an toàn. Một trong những công việc để bảo
vệ hệ thống là làm sao giúp hệ thống tránh khỏi các nguy cơ đó. Có 4 loại các mối đe dọa an toàn:
Interception (chặn bắt): chỉ thành phần không được phép cũng có thể truy cập đến các dịch vụ hay
các dữ liệu, “nghe trộm” thông tin đang được truyền đi.
Interruption (đứt đoạn): là mối đe dọa mà làm cho dịch vụ hay dữ liệu bị mất mát, bị hỏng, không
thể dùng được nữa…
Modification (thay đổi): là hiện tượng thay đổi dữ liệu hay can thiệp vào các dịch vụ làm cho
chúng không còn giữ được các đặc tính ban đầu.
Fabrication (giả mạo): là hiện tượng thêm vào dữ liệu ban đầu các dữ liệu hay hoạt động đặc biệt
mà không thể nhận biết được để ăn cắp dữ liệu của hệ thống.
b. Các cơ chế an toàn, an ninh.
Có 4 cơ chế an toàn, an ninh được đưa ra:
Mật mã (Cryptography): là việc thực hiện chuyển đổi dữ liệu theo một quy tắc nào đó thành dạng
mới mà kẻ tấn công không nhận biết được.
Xác thực (Authentication): là các thao tác để nhận dạng người dùng, nhận dạng client hay server…
Ủy quyền (Authorization).: chính là việc phân định quyền hạn cho mỗi thành phần đã đăng nhập
thành công vào hệ thống. Quyền hạn này là các quyền sử dụng dịch vị, truy cập dữ liệu…
Kiểm toán (Auditing): là các phương pháp để xác đinh được client đã truy cập đến dữ liệu nào và
bằng cách nào.
1.1.2 Các vấn đề khi thiết kế.
a. Điều khiển (focus of control).
Có ba cách tiếp cận:
Chống các thao tác bất hợp lệ: việc này thực hiện bằng cách bảo đảm toàn vẹn chính các dữ liệu đó
mà không quan tâm đến việc phân tích sự hợp lệ của thao tác.
Hình Chống các thao tác bất hợp lệ

Chống các triệu gọi thao tác không được ủy quyền.: không bảo đảm toàn vẹn dữ liệu mà tập trung
vào các thao tác. Thao tác nào là bất hợp lệ sẽ bị hủy bỏ ngay.
Hình Chống các triệu gọi thao tác không được ủy quyền
Chống người sử dụng không được ủy quyền: ở cách tiếp cận này lại tập trung vào quản lý người
dùng. Xác định người dùng và các vai trò của họ trong hệ thống cứ không quan tâm đến đảm bảo
dữ liệu hay quản lý các thao tác của người dùng.
Hình Chống người sử dụng không được ủy quyền
b. Phân tầng các cơ chế an toàn (Layer of security mechanism)
Một vấn đề quan trọng trong việc thiết kế một hệ thống an toàn là quyết định xem cơ chế an toàn an
ninh được đặt ở tầng nào. Việc xác định vị trí đặt đó phụ thuộc rất nhiều vào yêu cầu của client về
các dịch vụ an toàn, an ninh của từng tầng.
Trong một hệ phân tán, cơ chế an toàn, an ninh được đặt ở tầng middleware.
c. Phân tán các cơ chế an toàn (Distribution of security mechanism)
Xét khái niệm TCB (Trusted Computing Base): là tập hợp tất cả các cơ chế an toàn, an ninh trong
hệ phân tán, các cơ chế này phải tuân theo một ràng buộc an toàn nào đó.
1.1.3 Mật mã (Cryptography)
Một cơ chế an toàn, an ninh cơ bản trong hệ phân tán đó là mã mật. Tư tưởng cơ bản là: bên gửi mã
hóa bản tin cần truyền, truyền bản tin đã mã hóa đi, bên nhận sẽ giải mã bản tin nhận được thành
bản tin ban đầu.
Gọi:
Bản tin ban đầu là P.
Khóa mã hóa là E
k.
Bản tin được mã hóa theo khóa E
k
là C: C=E
k
(P).
Khóa giải mã là D
k

.
Bản tin được giải mã theo khóa giải mã: P=D
k
(C).
Page | 2
Nhóm dịch hệ phân tán – Lớp MTT- K50 - DHBKHN
Có hai loại hệ thống mật mã: mật mã đối xứng (symmetric cryptosystem) và mật mã bất đối xứng
(asymmetric cryptosystem).
a. Mật mã đối xứng: dùng khóa bí mật..
Với mật mã đối xứng: khóa mã hóa và khóa giải mã là giống nhau. Ta có:
P=Dk(Ek( P ) ) . Cả bên nhận và bên gửi đều phải có khóa trên, khóa phải được giữ bí mật.
Nguyên lý chung của giải thuật DES (Data Encryption Standard):
Hình nguyên lý chung của DES
Thực hiện trên các khối dữ liệu 64 bit. Mỗi khối này được mã hóa qua 16 vòng lặp, mỗi vòng có
một khóa mã hóa 48 bit riêng. 16 khóa này được sinh ra từ 56 bit khóa chính.
Đầu vào của vòng lặp mã hóa thứ i là dữ liệu đã được mã hóa của vòng lặp thứ (i-1). 64 bit dữ liệu
qua mỗi vòng lặp được chia thành hai phần bằng nhau: Li-1 và Ri-1, cùng bằng 32 bit . Phần dữ
liệu bên phải R
i-1
được lấy làm phần bên trái của dữ liệu cho vòng sau: R
i-1
= L
i
. Hàm f với đầu vào
là R
i-1
và khóa Ki sinh ra khối 32 bit được XOR với
Li-1 để sinh ra Ri.
Hình Một vòng mã hóa
Phương pháp sinh khóa của giải thuật DES:

Hình Sinh khóa theo giải thuật DES
Mỗi khóa 48 bit cho mỗi vòng lặp được sinh ra từ khóa chính 56 bit như sau: hoán vị khóa chính,
chia đôi thành hai phần 28 bit. Tại mỗi vòng, mỗi một nửa đó sẽ quay trái một hoặc hai bit, sau đó
lấy ra 24 bit kết hợp với 24 bit của nửa còn lại tạo ra khóa.
b. Mật mã bất đối xứng: dùng khóa công khai.
Mật mã bất đối xứng: khóa mã hóa và khóa giải mã là khác nhau. Ta có:
P=Dk
D
(Ek
D
( P )). Trong hệ thống này, một khóa sẽ được giữ bí mật còn một khóa sẽ được công
khai.
Xét giải thuật RAS (được đặt theo tên của các nhà phát minh ra nó:Rivest, Shamir, Adleman) :
Page | 4
Nhóm dịch hệ phân tán – Lớp MTT- K50 - DHBKHN
Cách sinh khóa của giả thuật RAS: thực hiện theo 4 bước:
- Chọn 2 số chính lớn: p,q
- Tính n = p.q và z = (p-1).(q-1)
- Chọn một số d liên quan đến z
- Tính toán e sao cho e.d =1 mod z.
Như thế d có thể dùng để giải mã còn e dùng để mã hóa. Ta có thể công khai một trong hai số này,
tùy thuật toán.
Nguyên lý chung của giải thuật RAS:
Coi bản tin được truyền đi là một dãy các số nhị phân. Chia bản tin m đó thành các khối có kích
thước cố định m
i
sao cho 0<= m
i
<=m. Ở bên gửi, với mỗi khối m
i

sẽ tính một giá trị c
i
= m
e
i
(mod
n) rồi gửi đi.Bên nhận sẽ giải mã bằng cách tính: m
i
= c
d
i
(mod n) .
Như vậy, để mã hóa cần biết e và n còn để giải mã thì cần biết d và n.
1.2 Kênh an toàn (Secure channels).
1.2.1 Xác thực (Authentification).
a. Xác thực dựa trên khóa bí mật.
Nguyên lý chung: bên gửi muốn giao tiếp với bên nhận sẽ gửi một yêu cầu A tới bên nhận. Bên
nhận trả lời bằng một yêu cầu R
B
. Bên gửi sẽ mã hóa yêu cầu R
B
bằng khóa bí mật K
A,B
và gửi về
cho bên nhận. Bên nhận xác thực được bên gửi nhờ nhận biết được yêu cầu R
B
mình đã gửi trong
gói tin vừa nhận. Lúc này bên gửi muốn xác thực bên nhận sẽ tiếp tục gửi yêu cầu R
A
tới bên nhận.

Bên nhận sẽ lại mã hóa R
A
bằng khóa bí mật K
A,B
đó và gửi về cho bên nhận. Và như thế bên nhận
đã xác định được bên gửi, sau đó quá trình trao đổi sẽ được thực hiện.
Hình Xác thực dựa trên khóa bí mật
Một mô hình cải tiến hơn là thu gọn số lượng bản tin chỉ còn lại 3 bản tin giữa bên nhận và bên gửi.
Hình Xác thực dựa trên khóa bí mật nhưng dùng 3 bản tin
Nhưng hiện nay, giao thức hay được dùng là “reflection attack” như được mô tả trong hình vẽ sau:
Hình Reflection Attack
b. Xác thực dựa trên trung tâm phân phối khóa.
Nếu hệ thống gồm N host, mỗi host phải chia sẻ một khóa mật với N-1 host khác thì hệ thống cần
quản lý N.(N-1)/2 khóa, và mỗi host phải quản lý N-1 khóa. Như vậy nếu N lớn sẽ rất khó khăn
trong việc quản lý. Do đó, để khắc phục hiện tượng trên ta sử dụng trung tâm phân phối khóa KDC
(Key Distribution Center).
Tư tưởng chính: bên gửi sẽ gửi bản tin tới trung tâm phân phối khóa thông báo mình muốn giao tiếp
với bên nhận. KDC sẽ gửi cho cả bên gửi và bên nhận một bản tin có chứa khóa bí mật K
A,B
. Bản
tin gửi cho bên nhận sẽ được mã hóa bằng K
A,KDC
. Bản tin gửi cho bên gửi sẽ được mã hóa bằng
K
B,KDC
.
Page | 6
Nhóm dịch hệ phân tán – Lớp MTT- K50 - DHBKHN
Hình Nguyên lý của KDC
Cách tiếp cận thứ hai là KDC sẽ gửi cả hai bản tin chứa khóa bí mật K

A,KDC
(K
A,B
) và K
B,KDC
(K
A,B
)
cho bên gửi và bên gửi có nhiệm vụ gửi cho bên nhận khóa đã được KDC mã hóa K
B,KDC
(K
A,B
) đó.
Hình Dùng ticket

c. Xác thực dựa trên khóa công khai.