AN NINH BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (726.33 KB, 53 trang )
Giáo viên hướng dẫn:PGS.TS. Nguyễn Phi KhứHọc viên
thực hiện:Vũ Xuân VinhMã số học viên:CH1301117
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
Trang 1
Tháng 6, 2014
AN NINH BẢO MẬT TRONG ĐIỆN TOÁN ĐÁM MÂY
BÀI THU HOẠCH MÔN ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY
ĐẠI HỌC QUỐC GIA TP HCM
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA KHOA HỌC MÁY TÍNH
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
LỜI MỞ ĐẦU
Thuật ngữ điện toán đám mây (Cloud Computing), ra đời giữa năm 2007, đang là xu
thế chủ đạo của hạ tầng IT trong doanh nghiệp hiện nay với rất nhiều ưu điểm. Trong các
quy trình đánh giá hệ thống hiện tại để xây dựng một đám mây riêng hoặc chung, bảo
mật được coi là một trong những vấn đề quan trọng được đưa ra xem xét đầu tiên. Nhiều
ý kiến cho rằng với điện toán đám mây, bảo mật là nhược điểm lớn nhất của nó. Tuy
nhiên, đánh giá trên hoàn toàn sai lầm khi không hiểu được các nguy cơ tấn công cũng
như các cơ chế bảo mật để phòng chống các nguy cơ đối với các hệ thống điện toán đám
mây. Nó sẽ giúp người quản trị đưa ra được chiến lược phù hợp cho điện toán đám mây
của doanh nghiệp mình.
Trong bài thu hoạch này em sẽ trình bày những nghiên cứu về điện toán đám mây và
việc ứng dụng nó tại Việt Nam, trong phần hai sẽ đề cập tổng quan về an ninh và bảo
mật. Phần ba sẽ giới thiệu vấn đề an ninh trong điện toán đám mây và các giải pháp an
ninh hiện tại đang được triển khai thực tế trong điện toán đám mây.
Qua đây, em cũng xin được gửi lời cảm ơn chân thành đến thầy Nguyễn Phi Khứ,
người không những tận tâm truyền đạt những kiến thức nền tảng cơ bản về môn học
“Điện toán lưới và đám mây” mà còn giúp em có được cơ sở vững chắc để phục vụ cho
việc nghiên cứu sau này.
Trang 2
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
MỤC LỤC HÌNH ẢNH
Hình 1.1: Minh họa điện toán đám mây 5
Hình 1.2: Các mô hình triển khai Cloud 7
Hình 2.1: Mã hóa và giải mã sử dụng việc mã hóa khóa đối xứng 18
Hình 2.2: Mã hóa và giải mã sử dụng việc mã hóa khóa bất đối xứng 21
Hình 2.3: Sự chống thái thoác sử dụng mã hóa khóa bất đối xứng 23
Hình 2.4: Mã hóa gấp 2 lần với mã hóa khóa bất đối xứng 24
Hình 2.5: Chữ ký số 26
Hình 2.6: Kiểm tra chữ ký số 27
Hình 2.7: Chứng thực 28
Hình 2.8: Định dạng chứng thực X.509 29
Hình 2.9: Những hoạt động gởi thông điệp giữa bên gởi và bên nhận mà cả hai tin tưởng
tổ chức ban hành chứng nhận 30
Hình 2.10: Cơ sở hạ tầng khóa công khai với môt tổ chức đăng ký riêng biệt 32
Hình 2.11: Cơ sở hạ tầng khóa công khai tổng quát 33
Hình 2.12 Hai cấp của những tổ chức ban hành chứng nhận 34
Hình 2.13: Những tổ chức ban hành chứng nhận được chứng nhận chéo 35
Hình 2.14: Sự xác thực tương hỗ 36
Hình 2.15 SSH tunneling 37
Hình 3.1: Sự phức tạp của vấn đề an toàn trên điện toán đám mây 39
Hình 3.2: Kiến trúc phân tầng dịch vụ trong điện toán đám mây 40
Trang 3
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
MỤC LỤC
LỜI MỞ ĐẦU 2
MỤC LỤC HÌNH ẢNH 3
!"#
1.3.1 Tình hình phát triển trên thế giới 14
$%%!"&'#
Tại Mỹ, điện toán đám mây đã trở thành giải pháp phổ biến thay cho công nghệ điện
toán truyền thống kể từ năm 2011. Chính phủ Mỹ khuyến khích các cơ quan Liên bang
sử dụng đám mây và coi đây là một trong những giải pháp hữu hiệu để tiết kiệm kinh phí
đầu tư cho công nghệ thông tin, góp phần giảm thiểu thâm hụt ngân sách. Điển hình là có
rất nhiều tổ chức tiến hành xây dựng, áp dụng và triển khai Điện toán đám mây phục vụ
công việc như: 15
$()*+,-.!!!/0123"4
5678!)289:2;&0<=>?-@-A
.!!A22"B!8C2D11B*E!!C."2>
F"%@-EG32/HB-I= *!=>?-"F!>?>
1?DJK
Cơ quan quản lý dịch vụ chung GSA (General Services Adminstration) 16
79:2:2.@L=M?>2NOPNQQ@Q?QO=BRS
Cơ quan Hàng không và vũ trụ NASA (National Aeronautics and Space
Administration) 16
79:2T-1?-?U>VOOPVB@OQ2B=!QO=BRS
Sở Nội vụ (Department of the Interior) 16
,V?>PWQ!QXQYQRS
Sở Y tế và Dịch vụ dân sinh HHS (Department of Health and Human Services) 16
,Z?-WM?>=TTPWQ!QXTQ@=T2Q?QRS
Cục điều tra dân số 16
7>32=S
Nhà trắng 16
Trang 4
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
V-[S
1.3.2 Tình hình phát triển tại Việt Nam 16
$%%!"(\VS
Thực trạng triển khai điện toán đám mây 16
$ ("S
IBM là doanh nghiệp tiên phong trong lĩnh vực này khi mở trung tâm điện toán đám
mây vào tháng 9, 2008 với khách hàng đầu tiên là Công ty cổ phần công nghệ và truyền
thông Việt Nam. Sau đó, Microsoft là một trong những công ty hàng đầu tiếp bước điện
toán đám mây ở thị trường Việt Nam, nhưng hiện vẫn đang trong giai đoạn phát triển thử
nghiệm. 16
Y]@-=!B&!@^? -,2?-*66_?'
-C2B&@-71/!C1?-231\V2E*`@-
A1-C2B!0D',MDa\V*D?b
(!"<S
Tiếp theo phải kể đến khi FPT – công ty công nghệ của Việt Nam đã khẳng định vị
thế tiên phong của mình trong công nghệ bằng lễ ký với Microsoft châu Á – Trend Micro
để hợp tác phát triển đám mây ở châu Á. Trend Micro cho rằng điện toán đám mây sẽ
đem lại cơ hội cho Việt Nam bởi công nghệ hoàn toàn mới sẽ giúp giới trẻ Việt Nam vốn
rất năng động sẽ có thêm điều kiện sáng tạo và phát huy tài năng của mình 16
$!Q!."cd$e11\V+fM?MB&!%
10g@hL?'`2ie$Q="j!!",2i$Q=
gkQ@(9\V0,1--'k!'l\
V?G5kE&32(?-!2-5%S
Một số cơ quan chính phủ đã lựa chọn mô hình Private Cloud hoặc Community
Cloud cho các dự án xây mới trung tâm tích hợp dữ liệu hoặc cho môi trường phát triển,
kiểm thử, điển hình như các bộ Tài nguyên & Môi trường, Khoa học & Công nghệ,
Thông tin & Truyền thông hoặc các địa phương như TP Hồ Chí Minh, Đà Nẵng, Cà Mau.
Gần đây, xuất hiện thêm nhiều công ty mới cung cấp dịch vụ đám mây, song đa số tập
trung vào những phân khúc thị trường hẹp, chẳng hạn QTSC, VNTT, Prism, Exa,
HostVN… Một số nhà cung cấp như Bkav, FPT, VDC, NEO… thì chỉ cung cấp những
dịch vụ riêng lẻ quản lý văn phòng, nhân sự, quan hệ khách hàng. Nhiều công ty vẫn
Trang 5
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
chưa triển khai ứng dụng công nghệ này mà vẫn chỉ dừng ở mức nghiên cứu và khảo sát.
16
9:28!+@ m1%d?Q7@2=n727@2== I'
2oj!=A@2n1Da!"*"<*"%D0$-2&p1
Da*mp71*$1Bp$231nM!D9D$dTq78*F-Vr*
7-2NC*I2G&321'2G!=M?>*s!2?-A
!MDat!*f(u$7*\V$$*d*vI*T\Vw-2G!D]?*cd$*
\W7*Vvxw%y2G!A=M?>&@l:2.@L?5!z* *:2-V321
?bD"H=>1--?by=4,H&H2?-.S
Tuy nhiên theo các chuyên gia nhận định, đây chính là giải pháp tối ưu để các doanh
nghiệp nước ta giảm thiểu chi phí cũng như tăng hiệu suất làm việc ở mức tối đa. Nhưng
trên thực tế, công nghệ này thực sự vẫn chưa đạt được mức kỳ vọng như nó mang lại 17
$2&Q2&sM*8@-.!!D2"=!D'."2
!8UD522G@-?,HVD& *1- ?bD(
DjH{?mDE@(|
Tương lai cho các doanh nghiệp Việt Nam 17
$D9@=!\V|
Một tín hiệu vui cho sự phát triển điện toán đám mây ở Việt Nam là hầu hết các tổ
chức, doanh nghiệp đều đã có hiểu biết cơ bản về đám mây và có kế hoạch sử dụng trong
vòng 2 năm tới. Theo kết quả của nghiên cứu được công bố tại hội thảo “Toàn cảnh
CNTT-TT Việt Nam – Viet Nam ICT Outlook –VIO 2013” (VIO 2013) : 17
o2?2 !",\V@-C2/H*=!32+
E"2090.?3?-E(<=>?z5'$Q:2.&H2
Dj10(.}$-.7V$$~$$\Ve\QVY7$x2@e\Yx6•P\Yx6RJ|
Chỉ có 3% tổ chức, doanh nghiệp cho biết không có kế hoạch triển khai dịch vụ đám
mây. 17
7yE€/H*=!01E("=M?>|
25% đang tìm hiểu, nghiên cứu, đánh giá nhưng chưa có kế hoạch sử dụng 17
Kۥ"2*&H2*DDE(<=>|
8% sẽ sử dụng sau 6 tháng 17
_€k<=>2S|
39% đang sử dụng dịch vụ đám mây 17
€<=>=M?>|
19% đang sử dụng dịch vụ đám mây và sẽ gia tăng việc sử dụng 17
Trang 6
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
€<=>=M?>?-k5?<=>|
Đáng chú ý việc Viettel đang thử nghiệm cung cấp dịch vụ Cloud VPS – một dịch vụ
điện toán đám mây công cộng ở mức hạ tầng cơ bản. Cùng tham gia mảng thị trường này
với Viettel là VDC – đang cung cấp 2 dịch vụ gồm Managed Backup (quản lý dự phòng
sao lưu dữ liệu) và IaaS (dịch vụ web cung cấp các máy chủ, hệ thống lưu trữ, thiết bị
mạng và phần mềm qua một mô hình dịch vụ tự phục vụ tự động) 17
FL?\Q‚Q@<2G!=M?>7@2=\de=M?>1
,H(C90.7ƒ.MDa-?'\Q‚Q@@-\W7e2G!=M?>
qQ=]2!P:2.@L= !z@D2=A@2R?-YP=M?>„Q02G!*
@D2A*0M(?-!C3:21%=M?> !>?> R|
Theo kết qua nghiên cứu vừa được ông Chu Tiến Dũng, chủ tịch Hội Tin học
TP.HCM (HCA) công bố tại hội thảo VIO 2013 Viettel và VMS đang là hai nhà mạng
tiên phong triển khai ứng dụng điện toán đám mây riêng để tiết kiệm chi phí và rút ngắn
thời gian phát triển dịch vụ. Vào tháng 6/2013, MobiFone đã công bố triển khai thỏa
thuận hợp tác chiến lược về xây dựng các giải pháp di động đầu tiên tại Việt Nam dựa
trên nền tảng điện toán đám mây của IBM cho Trung tâm di động khu vực 2. Các giải
pháp di động dựa trên nền tảng điện toán đám mây cũng sẽ hỗ trợ MobiFone kết nối hàng
nghìn nhân viên, đặc biệt là các giao dịch viên tại thành phố Hồ Chí Minh thông qua các
thiết bị di động 18
$Q:2&H2?4Dj172$WU*MT$m$dT7PT7OR10(.
\Yx6\Q‚Q@?-\@--(B&!"H=>&"B
!8?-[a!"=M?>\-S…6*0cQ+10"†
2sj!@Dj?3I= .!!=C2B&(\V= &3.
Y]$2=2? 7.!!== &3.
Uk‡j0cQ-%?&*n0@-=M?&(-!Tq78
1:20M=_
Những thách thức cho điện toán đám mây tại Việt Nam 18
VAH(\V_
Việc triển khai ứng dụng đám mây tại Việt Nam vẫn đối mặt với nhiều thách thức
như: cơ sở hạ tầng chưa đồng bộ, khách hàng thiếu niềm tin đối với nhà cung cấp dịch vụ
đám mây về cam kết chất lượng dịch vụ, bảo mật thông tin, chi phí đầu tư cho hạ tầng
đám mây cao trong khi quy mô thị trường còn nhỏ và các nhà cung cấp dịch vụ trong
nước khó cạnh tranh với các nhà cung cấp dịch vụ toàn cầu, khả năng liên kết giữa các
Trang 7
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
nhà cung cấp dịch vụ đám mây còn yếu. Đặc biệt so với các nước trong khu vực, Việt
Nam chưa có một sáng kiến, chương trình nào nhằm khuyến khích phát triển thị trường
hay ứng dụng của đám mây 18
\"H=>(\V?bn?'32HDJ9,(CDq
0*-23B?'-2G!=M?>?3G@Dj=M?>*0.s
1B*!8C2D(C:21MDaz†?--2G!
=M?>D'E(?'-2G!=M?>-C2*.5@&A-2
G!=M?>z2Fn0?'D'2? *\VDE*D9
%-g28!"MDaH=>_
VA90._
1.3.3 Kết nối bảo mật 18
0.s_
1.3.4 Việc xác thực mật khẩu 19
#\I sˆ2
1.3.5 Mã hóa và giải mã 20
K+E?-.+6
7!D9!!+E
1.3.6 Mã hóa khóa đối xứng (Symmetric Key Cryptography) 21
S+EEIHPQQ7!!R
1.3.7 Mã hóa khóa bất đối xứng (Asymetric cryptography) 23
|+EE0GIHPOQ!!R
1.3.8 Cơ sở hạ tầng khóa công khai (PKI) 27
_79,(CE1PdYR|
2.2.4 Những hệ thống/ giao thức sử dụng những cơ chế an ninh 38
#VA…H<=>A9_
$/:2#
7?G3#
\G3-@&:2#
\G3:2.@L-#S
\G30.?&D?-0.s=A@2#S
7Q=m?30.s#_
729?-Q=m&#_
7!C3(#
Trang 8
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
7@‡/0.sK
#.!!0.sK
#N.!!55@ 0.sTdK
#N.!!0.s$Q=K
##N.!!0.sQK#
#Kdo.!!K#
TÀI LIỆU THAM KHẢO 56
CHƯƠNG 1 ĐIỆN TOÁN ĐÁM MÂY VÀ ỨNG DỤNG TẠI VIỆT NAM
1.1Một số khái niệm trong điện toán đám mây
Điện toán đám mây (cloud computing), còn gọi là điện toán máy chủ ảo, là một mô
hình điện toán sử dụng các công nghệ máy tính và phát triển dựa vào mạng Internet.
Thuật ngữ “đám mây” ở đây là lối nói ẩn dụ chỉ mạng Internet và như một liên tưởng về
độ phức tạp của các cơ sở hạ tầng chứa trong nó. Ở mô hình điện toán này, mọi khả năng
liên quan đến công nghệ thông tin đều được cung cấp dưới dạng các “dịch vụ”, cho phép
người sử dụng truy cập các dịch vụ công nghệ từ một nhà cung cấp nào đó mà không cần
phải có các kiến thức, kinh nghiệm về công nghệ đó, cũng như không cần quan tâm đến
các cơ sở hạ tầng phục vụ công nghệ đó.
Trang 9
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
Hình 1.1 Minh họa điện toán đám mây
Các mô hình triển khai bao gồm:
• Public Cloud: các dịch vụ cloud được nhà cung cấp dịch vụ cung cấp cho mọi
người sử dụng rộng rãi. Các dịch vụ được cung cấp và quản lý bởi một nhà
cung cấp dịch vụ và các ứng dụng của người dùng đều nằm trên hệ thống
cloud.
• Private Cloud: trong mô hình này, cơ sở hạ tầng và các dịch vụ được xây dựng
để phục vụ cho một tổ chức hay doanh nghiệp duy nhất. Điều này giúp cho
doanh nghiệp có thể kiểm soát tối đa đối với dữ liệu, bảo mật và chất lượng
dịch vụ.
• Community Cloud: là mô hình trong đó hạ tầng đám mây được chia sẻ bởi một
số tổ chức cho cộng đồng người dùng trong các tổ chức đó. Các tổ chức này do
đặc thù không tiếp cận với các dịch vụ Public Cloud và chia sẻ chung một hạ
tầng community cloud để nâng cao hiệu quả đầu tư và sử dụng.
Trang 10
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
• Hybrid Cloud: là sự kết hợp của Public Cloud và Private Cloud. Trong đó
doanh nghiệp sẽ “out-source” các chức năng nghiệp vụ và dữ liệu không quan
trọng, sử dụng các dịch vụ Public Cloud để giải quyết và xử lý các dữ liệu này.
Đồng thời, doanh nghiệp sẽ giữ lại các chức năng nghiệp vụ và dữ liệu tối quan
trọng trong tầm kiểm soát (Private cloud).
Hình 1.2 Các mô hình triển khai Cloud
Các dịch vụ mô hình cơ bản bao gồm:
• SaaS (Software as a Service): cung cấp phần mềm như một dịch vụ.
• PaaS (Platform as a Service): cung cấp nền tảng phát triển như một dịch vụ.
• IaaS (Infrastructure as a Service): cung cấp hạ tầng như một dịch vụ.
• NaaS (Network as a Service): cung cấp mạng lưới như một dịch vụ.
• CaaS (Communications as a Service): cung cấp giao tiếp như một dịch vụ
Trong năm 2012, 2 dịch vụ NaaS và CaaS đã chính thức thêm vào bởi Hiệp hội viễn
thông quốc tế (International Communication Union) như là một phần của các mô hình
điện điện toán đám mây cơ bản.
Trang 11
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
Chuyển dịch
mẫu hình
Đặc điểm Lợi thế Bất lợi và nguy cơ
IaaS
Cơ sở hạ
tầng là tài
sản
Luôn độc lập về nền tảng;
chia sẻ chi phí cơ sở hạ
tầng và do đó làm giảm chi
phí này, các thóa thuận ở
mức dịch vụ (SLA); trả tiền
theo mức sử dụng, tự điều
chỉnh quy mô
Tránh được chi phí vốn cho
phần cứng và nguồn nhân
lực; giảm rủi ro lợi tức đầu
tư (ROI); rào cản thấp khi
tham gia vào; điều chỉnh
quy mô tự động hóa và trơn
tru
Năng xuất và hiệu quả
kinh doanh phụ thuộc
nhiều vào khả năng
của nhà cung cấp; chi
phí dài hạn có tiềm
năng lớn hơn; sự tập
trung hóa đòi hỏi các
biện pháp an ninh khác
hoặc mới
PaaS
Mua giấy
phép sử
dụng
Dùng cơ sở hạ tầng đám
mây; cung cấp các phương
pháp quản lý dự án nhanh
Triển khai phiên bản trơn
tru
Sự tập trung hóa đòi
hỏi các biện pháp an
ninh khác hoặc mới
SaaS
Phần mềm
là tài sản
Các thỏa thuận ở mức dịch
vụ (SLA); giao diện người
dùng do các ứng dụng máy
khách nhẹ (thin-client)
cung cấp; các thành phần
điện toán đám mây qua các
API; được ghép lỏng; theo
mô đun; khả năng tương tác
theo ngữ nghĩa
Tránh được chi phí vốn cho
phần mềm và phát triển tài
nguyên; giảm rủi ro lợi tức
đầu tư (ROI); cập nhật lặp
nhiều lần và trơn tru
Sự tập trung hóa đòi
hỏi các biện pháp an
ninh khác hoặc mới
Bảng 1.1 Khái niệm chéo của 3 mô hình dịch vụ điện toán đám mây cơ bản.
Các đặc tính của điện toán đám mây bao gồm:
• Tính mềm dẻo: được định nghĩa là khả năng mở rộng tài nguyên theo chiều lên
và xuống theo yêu cầu. Đối với người dùng, cloud như một thực thể vô tận và
họ có thể mua và sử dụng tài nguyên máy tính nhiều hay ít tùy ý.
Trang 12
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
• Khả năng đo đếm: tất cả các khía cạnh của dịch vụ cloud được điều khiển và
giám sát bởi nhà cung cấp. Đây là một đặc điểm cần thiết để tính toán chi phí
điều khiển truy cập, tối ưu tài nguyên, kế hoạch lưu trữ và các tác vụ khác.
• Khả năng tự phục vụ theo yêu cầu: người dùng có thể sử dụng các dịch vụ
cloud theo yêu cầu mà không cần thêm tác động nào của con người với nhà
cung cấp.
• Khả năng truy cập từ bất cứ nơi đâu: các đặc tính của nhà cung cấp sẵn sàng
trên mạng và có thể được truy cập thông qua các giải thuật từ các thiết bị đầu
cuối cho ngưới dùng.
• Khả năng gom tài liệu: cho phép nhà cung cấp dịch vụ phục vụ người dùng
thông qua nhiều mô hình. Các tài nguyên vật lý và ảo được phân bố và tái phân
bố theo yêu cầu người dùng. Người dùng không có quyền can thiệp hay được
biết về vị trí chính xác của các tài nguyên được cung cấp nhưng có thể chỉ định
vị tri tại các mức cao hơn.
1.2 Kiến trúc của điện toán đám mây
Hạ tầng cơ sở của điện toán đám mây là sự kết hợp của các dịch vụ đán tin cậy được
phân bố bởi các nhà phát triển công nghệ thộng tin hàng đầu như Mircrosoft, IBM,
Google… dựa trên nền tảng của công nghệ ảo hóa (virtualized). Về cơ bản điện tóa đám
mây được chia thành 4 lớp cơ bản có tác động qua lại lẫn nhau bao gồm:
Lớp ứng dụng đám mây (Cloud Application)
Lớp ứng dụng của điện toán đám mây làm nhiệm vụ phân phối phần mềm như một
dịch vụ thông qua Internet. Người dùng không cần phải cài đặt các ứng dụng đó trên thiết
bị của mình. Các ứng dụng dễ dàng được chỉnh sửa và người dùng dễ dàng nhận được sự
hỗ trợ từ phía người cung cấp dịch vụ.
Trang 13
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
Phần mềm đám mây (Cloud Programing)
Cung cấp nền tảng cho môi trường điện toán và các giải pháp của dịch vụ điện toán,
chi phối cấu trúc hạ tầng của điện toán đám mây và là điểm tựa cho lớp ứng dụng cho
phép chúng hoạt động trên nền tảng đó.
Hạ tầng đám mây (Infrastructure)
Cung cấp hạ tầng máy tính, thiết bị trên môi trường đám mây. Thay vì khách hàng
phải đầu tư kinh phí cho việc mua server, phần mềm, thiết bị kết nối hoặc thuê hạ tầng
vật lý tại các trung tâm lưu trữ dữ liệu.
Lớp vật lý (Cloud Resources)
Bao gồm toàn bộ máy chủ, thiết bị kết nối được thiết kế và xây dựng đặc biệt để cung
cấp và vận hành các dịch vụ của điện toán đám mây.
1.3 Sự phát triển của điện toán đám mây
1.3.1 Tình hình phát triển trên thế giới
Các hoạt động liên quan đến điện toán đám mây đang diễn ra trên phạm vi toàn thế
giới; tại nhiều nước, mô hình máy chủ ảo đã thực sự được quan tâm và ứng dụng hiệu
quả. Cho đến nay điện toán đám mây đang được phát triển và cung cấp bởi nhiều nhà
cung cấp, trong đó có Amazon, Google, DataSynapse, Salesforce cũng như các nhà cung
cấp truyền thống Microsoft, IBM, HP… Đã được rất nhiều người dùng cá nhân cho đến
các công ty lớn như L’Oreal, General Electric, Ebay, Coca-cola… chấp nhận và sử dụng.
Anh
Chính phủ hoàng gia Anh đã xây dựng G-Cloud, một mạng điện toán đám mây trên
quy mô toàn chính phủ và cũng là một ưu tiên chiến lược. Hệ thống được bắt đầu trong
năm 2012, cho đến tháng 5, 2013 đã có trên 700 nhà cung cấp đăng ký, chiếm 80% số
doanh nghiệp vừa và nhỏ. Theo báo cáo vào tháng 4 năm 2013 đạt được doanh số là 18.2
Trang 14
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
triệu bảng Anh và được dự báo sẽ vượt qua 50 triệu bảng trong năm 2014.
Nhật bản
Chính phủ Nhật đang triển khai một sáng kiến lớn về điện toán đám mây, nhân rộng
đám mây Kasumigaseki. Sáng kiến này tìm cách phát triển một môi trường điện toán đám
mây riêng có thể host toán bộ hệ thống tính toán của chính phủ Nhật Bản. Đám mây
Kasumigaseki sẽ hỗ trợ chia sẻ tài nguyên và thông tin ở mức độ cao và khuyến khích
hoạt động tiêu chuẩn hóa, tập trung hóa các tài nguyên công nghệ thông tin của chính
phủ. Thông qua tập trung hóa toàn bộ hoạt động công nghệ thông tin của chính phủ vào
một cơ sở hạ tầng đám mây duy nhất, chính phủ Nhật Bản cho rằng họ sẽ không chỉ cắt
giảm được chi phí mà còn thu được những lợi ích cho các hoạt động công nghệ thông tin
“xanh” hơn, thân thiện với môi trường.
Châu Âu
Với các doanh nghiệp Châu Âu, tiết kiệm chi phí là sức hấp dẫn lớn nhất của điện
toán đám mây. Các số liệu cho thấy các khách hàng của Amazon đã tiết kiệm từ 25-30%
chi phí thông qua mạng lưới đám mây toàn cầu thay vì duy trì hệ thống máy tính riêng.
Theo công ty viễn thông Châu Âu Colt Group đã thăm dò 500 CIO của các công ty lớn
tại Anh, Pháp, Đức, Tây Ban Nha, Bỉ, Hà Lan về tương lại điện toán đám mây cho biết
điện toán đám mây sẽ là nền tảng chính trong năm 2014. 60% người được hỏi đã trả lời
rằng trong năm 2014, các hệ thống đám mây sẽ trở nên quan trọng hơn cả trong các nền
tảng công nghệ thông tin của công ty họ.
Mỹ
Tại Mỹ, điện toán đám mây đã trở thành giải pháp phổ biến thay cho công nghệ điện
toán truyền thống kể từ năm 2011. Chính phủ Mỹ khuyến khích các cơ quan Liên bang
sử dụng đám mây và coi đây là một trong những giải pháp hữu hiệu để tiết kiệm kinh phí
đầu tư cho công nghệ thông tin, góp phần giảm thiểu thâm hụt ngân sách. Điển hình là có
Trang 15
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
rất nhiều tổ chức tiến hành xây dựng, áp dụng và triển khai Điện toán đám mây phục vụ
công việc như:
- Cơ quan quản lý dịch vụ chung GSA (General Services Adminstration).
- Cơ quan Hàng không và vũ trụ NASA (National Aeronautics and Space
Administration).
- Sở Nội vụ (Department of the Interior).
- Sở Y tế và Dịch vụ dân sinh HHS (Department of Health and Human Services).
- Cục điều tra dân số.
- Nhà trắng.
1.3.2 Tình hình phát triển tại Việt Nam
Thực trạng triển khai điện toán đám mây
IBM là doanh nghiệp tiên phong trong lĩnh vực này khi mở trung tâm điện toán đám
mây vào tháng 9, 2008 với khách hàng đầu tiên là Công ty cổ phần công nghệ và truyền
thông Việt Nam. Sau đó, Microsoft là một trong những công ty hàng đầu tiếp bước điện
toán đám mây ở thị trường Việt Nam, nhưng hiện vẫn đang trong giai đoạn phát triển thử
nghiệm.
Tiếp theo phải kể đến khi FPT – công ty công nghệ của Việt Nam đã khẳng định vị
thế tiên phong của mình trong công nghệ bằng lễ ký với Microsoft châu Á – Trend Micro
để hợp tác phát triển đám mây ở châu Á. Trend Micro cho rằng điện toán đám mây sẽ
đem lại cơ hội cho Việt Nam bởi công nghệ hoàn toàn mới sẽ giúp giới trẻ Việt Nam vốn
rất năng động sẽ có thêm điều kiện sáng tạo và phát huy tài năng của mình.
Một số cơ quan chính phủ đã lựa chọn mô hình Private Cloud hoặc Community Cloud
cho các dự án xây mới trung tâm tích hợp dữ liệu hoặc cho môi trường phát triển, kiểm
thử, điển hình như các bộ Tài nguyên & Môi trường, Khoa học & Công nghệ, Thông tin
& Truyền thông hoặc các địa phương như TP Hồ Chí Minh, Đà Nẵng, Cà Mau. Gần đây,
Trang 16
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
xuất hiện thêm nhiều công ty mới cung cấp dịch vụ đám mây, song đa số tập trung vào
những phân khúc thị trường hẹp, chẳng hạn QTSC, VNTT, Prism, Exa, HostVN… Một
số nhà cung cấp như Bkav, FPT, VDC, NEO… thì chỉ cung cấp những dịch vụ riêng lẻ
quản lý văn phòng, nhân sự, quan hệ khách hàng. Nhiều công ty vẫn chưa triển khai ứng
dụng công nghệ này mà vẫn chỉ dừng ở mức nghiên cứu và khảo sát.
Tuy nhiên theo các chuyên gia nhận định, đây chính là giải pháp tối ưu để các doanh
nghiệp nước ta giảm thiểu chi phí cũng như tăng hiệu suất làm việc ở mức tối đa. Nhưng
trên thực tế, công nghệ này thực sự vẫn chưa đạt được mức kỳ vọng như nó mang lại.
Tương lai cho các doanh nghiệp Việt Nam
Một tín hiệu vui cho sự phát triển điện toán đám mây ở Việt Nam là hầu hết các tổ
chức, doanh nghiệp đều đã có hiểu biết cơ bản về đám mây và có kế hoạch sử dụng trong
vòng 2 năm tới. Theo kết quả của nghiên cứu được công bố tại hội thảo “Toàn cảnh
CNTT-TT Việt Nam – Viet Nam ICT Outlook –VIO 2013” (VIO 2013) :
- Chỉ có 3% tổ chức, doanh nghiệp cho biết không có kế hoạch triển khai dịch vụ
đám mây.
- 25% đang tìm hiểu, nghiên cứu, đánh giá nhưng chưa có kế hoạch sử dụng.
- 8% sẽ sử dụng sau 6 tháng.
- 39% đang sử dụng dịch vụ đám mây.
- 19% đang sử dụng dịch vụ đám mây và sẽ gia tăng việc sử dụng.
Đáng chú ý việc Viettel đang thử nghiệm cung cấp dịch vụ Cloud VPS – một dịch vụ
điện toán đám mây công cộng ở mức hạ tầng cơ bản. Cùng tham gia mảng thị trường
này với Viettel là VDC – đang cung cấp 2 dịch vụ gồm Managed Backup (quản lý dự
phòng sao lưu dữ liệu) và IaaS (dịch vụ web cung cấp các máy chủ, hệ thống lưu trữ,
thiết bị mạng và phần mềm qua một mô hình dịch vụ tự phục vụ tự động).
Trang 17
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
Theo kết qua nghiên cứu vừa được ông Chu Tiến Dũng, chủ tịch Hội Tin học
TP.HCM (HCA) công bố tại hội thảo VIO 2013 Viettel và VMS đang là hai nhà mạng
tiên phong triển khai ứng dụng điện toán đám mây riêng để tiết kiệm chi phí và rút ngắn
thời gian phát triển dịch vụ. Vào tháng 6/2013, MobiFone đã công bố triển khai thỏa
thuận hợp tác chiến lược về xây dựng các giải pháp di động đầu tiên tại Việt Nam dựa
trên nền tảng điện toán đám mây của IBM cho Trung tâm di động khu vực 2. Các giải
pháp di động dựa trên nền tảng điện toán đám mây cũng sẽ hỗ trợ MobiFone kết nối
hàng nghìn nhân viên, đặc biệt là các giao dịch viên tại thành phố Hồ Chí Minh thông
qua các thiết bị di động.
Những thách thức cho điện toán đám mây tại Việt Nam
Việc triển khai ứng dụng đám mây tại Việt Nam vẫn đối mặt với nhiều thách thức
như: cơ sở hạ tầng chưa đồng bộ, khách hàng thiếu niềm tin đối với nhà cung cấp dịch
vụ đám mây về cam kết chất lượng dịch vụ, bảo mật thông tin, chi phí đầu tư cho hạ
tầng đám mây cao trong khi quy mô thị trường còn nhỏ và các nhà cung cấp dịch vụ
trong nước khó cạnh tranh với các nhà cung cấp dịch vụ toàn cầu, khả năng liên kết giữa
các nhà cung cấp dịch vụ đám mây còn yếu. Đặc biệt so với các nước trong khu vực,
Việt Nam chưa có một sáng kiến, chương trình nào nhằm khuyến khích phát triển thị
trường hay ứng dụng của đám mây.
CHƯƠNG 2 TỔNG QUAN VỀ AN NINH VÀ BẢO MẬT
2.1 Những khái niệm cơ bản
1.3.3 Kết nối bảo mật
Những kết nối bảo mật cần trong nhiều hoạt động liên quan đến máy tính bao gồm
thương mại điện tử và điện toán đám mây. Mục tiêu cơ bản của một kết nối bảo mật là
có thể gửi thông tin bí mật từ một điểm này đến điểm khác trong một mạng không có
Trang 18
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
thông tin có thể truy xuất bởi những người khác không được ủy quyền để nhận thông tin
theo đường truyền hoặc tại đầu cuối của việc kết nối. Bảo mật dữ liệu (data
confidentiality) được sử dụng để mô tả sự trao đổi thông tin được bảo vệ đối với những
người nghe lén. Chúng ta cũng mong muốn đảm bảo rằng thông tin không thể được sửa
đổi bởi những người khác dọc theo đường truyền, hoặc thông tin đã được thay đổi mà dữ
kiện có thể được nhận biết bởi điểm đích. Toàn vẹn dữ liệu (data integrity) được sử dụng
để mô tả việc bảo đảm rằng thông điệp không bị thay đổi trong quá trình truyền dữ liệu.
Những kết nối bảo mật có ý rằng thông tin chỉ được gởi bởi một máy mà có thể xác định
bởi máy đích và máy đích có thể xác định bởi máy nguồn. Sự xác thực (authentication)
được sử dụng để mô tả quá trình thiết lập việc nhận dạng của một nhóm. Sự ủy quyền
(authorization) được sử dụng để mô tả quá trình thiết lập một nhóm có được phép truy
xuất một tài nguyên đặc thù. Việc kiểm soát truy cập (access control) đề cập đến việc
kiểm soát một loại truy xuất đặc thù.
1.3.4 Việc xác thực mật khẩu
Trong giao dịch giữa người dùng và tài nguyên tính toán, đầu tiên phải thiết lập là
chúng được xác định một cách đúng đắn, tức là người dùng được xác thực. Việc chứng
thực áp dụng đến người dùng và tài nguyên tính toán khi người dùng phải có thể thiết lập
rằng họ được kết nối đến những tài nguyên tính toán họ tin tưởng và tài nguyên tính toán
cũng phải xác định chính bản thân chúng đối với những tài nguyên tính toán khác để yêu
cầu những sự thực thi.
Đối với sự tương tác người dùng và máy, cách đơn giản nhất của việc chứng thực
người dùng đối với hệ thống là chứng thực dựa trên mật khẩu. Người dùng nhập tên
người dùng và mật khẩu đã được thiết lập cho tài khoản của họ. Tên người dùng và mật
khẩu được gởi thông qua mạng đến máy chủ (server). Máy chủ xác nhận tính hợp lệ tên
và mật khẩu và trả lời. Nếu tên người dùng và mật khẩu hợp lệ, việc truy xuất được cấp
quyền.
Trang 19
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
Mặt khác, mật khẩu cần phải phức tạp một cách đáng kể để giảm thiểu khả năng phát
hiện nó bằng cách tìm kiếm thấu đáo đơn giản hoặc từ thông tin người dùng khác hoặc
hành vi. Chẳng hạn như tất cả từ trong một từ điển không nên có thể chấp nhận bởi hệ
thống như mật khẩu khi tài khoản được tạo ra hoặc sau đó như một chương trình máy
tính có thể đơn giản đi thông qua từ điển với một tìm kiếm thấu đáo. Việc tìm kiếm thấu
đáo có thể bị chống lại bằng cách chỉ cho phép một vài lần đăng nhập trước khi việc truy
xuất bị từ chối. Mật khẩu thường được phân biệt hoa thường và chấp nhận những ký hiệu.
Đặc trưng đó nên được tận dụng trong việc chọn mật khẩu. Một số ký tự đầy đủ nên được
sử dụng, ít nhất là 8 ký tự.
1.3.5 Mã hóa và giải mã
Dữ kiện quan trọng cho hệ thống bảo mật là làm thế nào thông tin tên người dùng và
mật khẩu được gửi qua mạng đến được máy chủ. Nếu tên người dùng và mật mã được
gởi trong dạng văn bản thuần, nó là chỗ yếu bị can thiệp trong mạng. Những máy tính
khác được gắn trực tiếp đến mạng cục bộ và khi thông tin đi ra ngoài mạng cục bộ, thông
tin đi thông qua những máy tính trung gian để đến được máy đích. Nhiều chương trình
tồn tại có thể quan sát đường truyền trên mạng mà có thể được sử dụng để nhận biết tên
tài khoản và mật khẩu, ăn cắp chúng và sử dụng chúng. Hệ thống phải đảm bảo được tính
toàn vẹn thông tin đang được gởi. Điều này dẫn đến thông tin gởi đi phải khó có thể nhận
biết. Điều này liên quan đến việc mã hóa thông tin trước khi truyền đi, gởi thông điệp văn
bản mật mã và trả thông tin lại tới dạng nguyên thủy (giải mã) tại máy nhận. Toàn bộ qui
trình được gọi là mật mã hóa (cryptography).
Mật mã hóa yêu cầu một phương pháp mã hóa, tức là chuyển thông điệp nguyên thủy
(dạng văn bản thuần) thành một thông điệp được mã hóa (văn bản được mã hóa) và quá
trình đảo ngược lại, tức là lấy được văn bản thuần từ văn bản được mã hóa). Mật mã hóa
có thể hoặc là tạo những thuật toán mã hóa/giải mã được che dấu sao cho người xâm
nhập không biết chúng hoặc tốt hơn sử dụng một thuật toán được biết nhưng để sử dụng
thuật toán cần một số có thể lựa chọn được gọi là khóa (key). Thuật toán với một khóa
Trang 20
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
mã hóa hoặc giải mã thông tin. Có thể xem quá trình này như một chìa khóa đối với ổ
khóa cửa. Cơ chế khóa cơ bản được biết. Tuy nhiên có nhiều khóa có thể nhưng chỉ duy
nhất một khóa sẽ có thể mở khóa và khóa cửa. Khóa trong những phương pháp mã hóa
hoặc giải mã là một con số lớn đủ mà không thể khám phá nó thông qua những phương
pháp tìm kiếm thông thường hoặc toán học. Nói chung là những thuật toán mã hóa/giải
mã không bí mật và một cách tổng quát thuật toán giống nhau được sử dụng cho cả hai
mã hóa và giải mã. Những khóa đặc trưng phải được giữ an toàn.
2.2Các phương pháp mã hóa
1.3.6 Mã hóa khóa đối xứng (Symmetric Key Cryptography)
Trong mã hóa khóa đối xứng, khóa giống nhau được sử dụng để mã hóa thông tin và
giải mã nó như được mô tả trong hình 2.1. Để gởi thông tin, cả hai người gởi và người
nhận có khóa bí mật giống nhau trong tài sản của họ. Người gởi sử dụng khóa để mã hóa
thông tin và người nhận sử dụng khóa giống như vậy để giải mã thông tin. Chỉ người gởi
và người nhận phải biết khóa mà phải được giữ bí mật cho phương pháp để được hiệu
quả. Phương pháp này được gọi là mã hóa khóa bí mật (Secret Key Cryptography).
Hình 2.1 Mã hóa và giải mã sử dụng việc mã hóa khóa đối xứng
Trang 21
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
Để lấy lại một thông điệp nguyên thủy, chúng ta nên sử dụng thuật toán và khóa
giống. Nói chung, chỉ bằng cách biết khóa sẽ có thể suy ra được mẫu nguyên thủy. Khóa
thứ tự ngẫu nhiên có thể dài như dữ liệu mà sẽ cung cấp việc mã hóa mạnh nhất nhưng
sau đó cả hai người gởi và người nhận cần một khóa dài trong sự sở hữu của họ. Trong
hầu hết những trường hợp, chiều dài dữ liệu sẽ dài hơn nhiều chiều dài của khóa và dữ
liệu sẽ cần được chia thành những khối để thực thi quá trình mã hóa trên mỗi khối sử
dụng khóa giống nhau (thuật toán mã hóa khối). Thuật toán mã hóa khối có lỗ hổng để
tấn công bằng phương pháp tìm kiếm vét cạn brute-force. Phần khóa càng dài thì việc suy
luận ra dữ liệu từ dữ liệu được mã hóa.
Chuẩn mã hóa đầu tiên là DES (Data Encryption Standard) được phát triển bởi IBM
trong thập kỉ 70 nguyên thủy để mã hóa những tài liệu của chính phủ Mỹ chưa được phân
loại. Chuẩn đã sử dụng một khóa có độ dài 56 bit và 8 bit chẵn lẻ. DES thực thi trên
những khối 64 bit và sử dụng nhiều lượt của những tác vụ XOR. Việc sử dụng một khóa
có độ dài 56 bit là không đầy đủ ngày nay và vào cuối thập kỉ 90 việc mã hóa DES đã
được phá vỡ thông qua việc tìm kiếm thấu đáo trong vòng vài ngày sử dụng phần cứng
đặc biệt và sử dụng một số lượng lớn những máy tính.
Để cải tiến DES, triple-DES đã được đề xuất năm 1978 bởi IBM. Triple-DES áp dụng
thuật toán DES ba lần. Ba khóa khác nhau (168 bit cộng với 24 bit chẵn lẻ) hoặc hai khóa
khác nhau, đầu và cuối (112 bit cộng với 16 bit chẵn lẻ) có thể được sử dụng.
AES (Advanced Encryption Standard) được đề xuất năm 2001 để thay thế DES như
một chuẩn của chính phủ. Việc mã hóa này bảo mật hơn và chưa bị bẻ khóa. AES sử
dụng một cách tiếp cận khác đến việc mã hóa bao gồm thay thế và hoán đổi vị trí. Kých
thước khối là 128 bit với nhiều khóa có chiều dài 128 hoặc 192 hoặc 256 bit.
Thuật toán mã hóa khác bao gồm RC2 và RC4 được thiết kế bởi Ron Rivest vào năm
1987. RC2 và RC4 sử dụng khóa có kých thước thay đổi, thường nằm trong khoảng từ 40
đến 128 bit. RC2 là thuật toán khối 64 bit. RC4 là thuật toán luồng mà nhận một luồng
Trang 22
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
nhiều bit và thay đổi luồng đó để tạo ra bit kết quả. RC4 đã được sử dụng trong những
kết nối máy tính không dây nhưng đã được chứng minh là có thể bị tấn công.
Hai vấn đề với mã hóa khóa đối xứng là:
• Cần một cách cho cả hai bên gởi và bên nhận có được khóa bí mật mà không
người nào khác biết được khóa.
• Cần một khóa khác nhau cho mỗi bên nhận rằng bên gởi có thể giao tiếp với nếu
việc giao tiếp với những nhóm khác là bảo mật.
Ưu điểm của mật mã khóa đối xứng bao gồm việc mã hóa/giải mã nhanh so với mã
hóa khóa bât đối xứng.
1.3.7 Mã hóa khóa bất đối xứng (Asymetric cryptography)
Trong mã hóa khóa bất đối xứng, thuật toán được thiết kế sao cho cần hai khóa, một
khóa để mã hóa thông tin và một khóa để giải mã thông tin. Một khóa được giữ bởi bên
nhận và được giữ bí mật. Khóa này được gọi là khóa bí mật (private key). Một khóa khác
có thể được tạo ra có sẵn với mọi bên và được gọi là khóa công khai (public key). Mặc dù
những khóa được tính toán thông qua những quá trình toán học và được ghép cặp với
nhau, nó không thể cho tất cả những mục đích thực tế để xác định khóa bí mật từ khóa
công khai. Với việc sử dụng của khóa công khai và khóa bí mật, tên tổng quát hơn của
mã hóa khóa bất đối xứng là mã hóa khóa công khai (public-key cryptography). Mã hóa
khóa công khai có lẽ là một sự tiến bộ đáng kể nhất trong lịch sử 3000 năm của ngành mã
hóa. Nó sử dụng một ứng dụng thông minh của những khái niệm lí thuyết số.
Thông tin được mã hóa với khóa bí mật chỉ có thể được giải mã với khóa công khai
và ngược lại, thông tin được mã hóa với khóa công khai có thể chỉ được giải mã với khóa
bí mật. Bằng sự kết hợp, điều này đề xuất những cơ hội rất có ý nghĩa cho việc thiết lập
việc truyền nhận bảo mật. Ví dụ như bên gởi có thể mã hóa một thông điệp với một khóa
Trang 23
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
công khai và chỉ bên nhận có thể giải mã nó (với khóa bí mật) như được trình bày trong
hình 2.2. Như chúng ta ám chỉ, có nhiều vấn đề hơn trong việc thiết lập việc truyền nhận
bảo mật mà đơn giản mã hóa thông tin. Ví dụ trong hình 2.2 một người nào đó có thể gởi
thông điệp bởi vì khóa công khai được biết đối với mọi người, và bên nhận không biết có
phải bên gởi thực sự là người mà anh ta nói trái ngược với mã hóa khóa đối xứng nếu
chúng ta biết để chắc chắn chỉ bên gởi và bên nhận có khóa, sau đó chỉ có bên nhận có
thể đã gởi thông điệp.
Hình 2.2 Mã hóa và giải mã sử dụng việc mã hóa khóa bất đối xứng
Sự phát minh công khai đầu tiên của phương pháp mã hóa bất đối xứng sử dụng hai
khóa (mặc dù không phải là cặp khóa công khai và khóa bí mật) do Whitfield Diffie,
Martin Hellman và Ralph C. Merkle vào năm 1976. Bằng sáng chế được cấp cho
Hellman, Diffie và Merkle được chuyển nhượng đến Đại học Standford vào năm 1980.
Thuật toán trao đổi khóa Diffie-Hellman cho phép hai nhóm mỗi nhóm có một khóa bí
mật đề lấy khóa bí mật của nhóm khác theo cách bảo mật.
Phương pháp thì đơn giản. Nó bao gồm nhiều số mà được đồng ý bởi nhiều nhóm,
một số nguyên tố p và một cơ số g mà không cần được giữ bí mật và hai khóa bí mật, một
ở bên A gọi là a và một ở bên B gọi là b cần giữ bí mật bởi mỗi bên. Bên A tính toán g
a
Trang 24
ĐIỆN TOÁN LƯỚI VÀ ĐÁM MÂY 2014
mod p và gởi đến bên B. Bên B tính toán g
b
mod p và gởi đến bên A. Bên A tính toán (g
b
mod p)
a
mod p và bên B tính toán (g
a
mod p)
b
mod p, cả hai có cùng kết quả giống nhau
bởi vì (g
b
mod p)
a
mod p = (g
a
mod p)
b
mod p. Giá trị này là một khóa bí mật dùng chung
và sau đấy có thể được sử dụng bởi cả hai nhóm để mã hóa những thông điệp sử dụng mã
hóa đối xứng. Có những ràng buộc trong việc chọn những giá trị làm cho phương pháp
bảo mật. Những con số a, b và p cần rất lớn trái lại việc tìm kiếm thấu đáo đơn giản sẽ bẻ
được mã và p nên là nguyên tố hoặc có một thừa số nguyên tố lớn. g không cần lớn và
tổng quát 2 hoặc 5 được sử dụng.
Ronal L. Rivest, Adi Shamir và Leonard Adleman nghĩ ra một thuật toán khóa công
khai gọi là RSA (Rivest, Shamir and Adleman) vào năm 1977. Những khóa trong RSA
có chiều dài thường nằm trong khoảng từ 512 đến 2048 bit, chiều dài khóa càng lớn thì
độ bảo mật tốt hơn.
Nhiều thông điệp được mã hóa có thể có phần đầu và phần cuối mà có thể dự đoán, ví
dụ “Dear Fred, … Sincerely Tom”. Trong hầu hết trường hợp, việc đệm thêm được sử
dụng cho cả hai phần đầu và phần cuối của thông điệp để gây khó khăn hơn để giải mã.
Việc lấy mũ với những trọng số lớn có thể được thực hiện bởi việc nhân lặp đi lặp lại.
Tuy nhiên quá trình sẽ chậm khi thực thi toán mod trên số rất lớn. Như vậy thuật toán
chậm và chậm hơn mã hóa khóa đối xứng.
Mã hóa khóa công khai có thể cung cấp cho việc chống thái thoát (non-repudiation)
cơ bản có nghĩa là những nhóm không thể từ chối rằng họ liên quan hoặc trong ngữ cảnh
này có thể xác nhận rằng bên gửi là nguồn của thông điệp. Nếu bên gởi mã hóa một
thông điệp với khóa bí mật của họ, điều này có thể chỉ được mã hóa với khóa công khai
của họ như được trình bày trong hình 2.3. Cơ bản bên gởi không thể từ chối họ đã gởi ra
một thông điệp nếu họ mã hóa nó với khóa bí mật của họ. Mỗi người có truy xuất đến
khóa công khai và có thể giải mã nó. Chú ý rằng không đầy đủ để mã hóa một cách đơn
Trang 25
