.c
om

PGS. Nguyễn Linh Giang
Bộ mơn Truyền thơng và
Mạng máy tính

cu

u

du
o

ng

th

an

co

ng

Nhập mơn An tồn thơng tin

CuuDuongThanCong.com

/>

I.

II.

Các hệ mật khóa đối xứng (mã hóa đối xứng)
Các hệ mật khóa cơng khai ( mã hóa bất đối xứng )

an

II.

III.
IV.

ng

II.

Cơ sở bài tốn xác thực
Xác thực thơng điệp
Chữ ký số và các giao thức xác thực
Các cơ chế xác thực trong các hệ phân tán

du
o

I.

th

Bài toán xác thực


III.

co

Nhập mơn An tồn thơng tin
Đảm bảo tính mật

I.

ng

.c
om

Nội dung

An tồn an ninh hệ thống
II.

Phát hiện và ngăn chặn xâm nhập ( IDS, IPS )
Lỗ hổng hệ thống

u

I.

cu

IV.


2
CuuDuongThanCong.com

/>

–

ng
an

cu

u

–

th

–

W. Stallings “Networks and Internetwork security”
W. Stallings “Cryptography and network security”
Introduction to Cryptography – PGP
D. Stinson – Cryptography: Theory and Practice

ng

–

co


Tài liệu môn học:

du
o

l

.c
om

Nội dung

3
CuuDuongThanCong.com

/>

co

cu

u

l

du
o

l


ng

th

l

Phân cấp khóa
Quản trị và phân phối khóa trong sơ đồ mã
hóa đối xứng
Quản trị khóa trong sơ đồ mã hóa cơng khai
Chia sẻ khóa phiên bí mật bằng hệ mã hóa
cơng khai
Đảm bảo tính mật

an

l

ng

.c
om

Chương IV. Tin cậy hai bên

l

4
CuuDuongThanCong.com


/>

.c
om

Quản trị và phân phối khóa trong mã
hóa đối xứng

ng

Đặt vấn đề:
–
Trong kỹ thuật mật mã truyền thống, hai phía tham gia
vào truyền tin phải chia sẻ khố mật Þ khố phải
được đảm bảo bí mật : phải duy trì được kênh mật
phân phối khóa.
–
Khóa phải được sử dụng một lần: Khố phải được
thường xun thay đổi.
–
Mức độ an tồn của bất kỳ hệ mật sẽ phụ thuộc vào kỹ
thuật phân phối khoá.

cu

u

du
o


ng

th

an

co

l

5
CuuDuongThanCong.com

/>

Phân phối khóa khơng tập trung: Khố được A lựa
chọn và phân phối vật lý tới B.
Phân phối khóa tập trung: Người thứ ba C lựa chọn
khoá và phân phối vật lý tới A và B.
Nhận xét:

du
o

l

u

–


Hai kỹ thuật này khá cồng kềnh khi các bên tham gia vào
trao đổi thông tin với số lượng lớn.

cu

–

ng

th

–

co

Một số kỹ thuật phân phối khố.

an

l

ng

.c
om

Quản trị và phân phối khóa trong mã
hóa đối xứng


6
CuuDuongThanCong.com

/>

Ít nhất có hai cấp khố :
l

Dữ liệu
được mã
hóa

cu
Khóa
chính

Dữ liệu

Bảo vệ
không bằng
mật mã

Việc giao tiếp giữa hai tram đầu cuối sẽ
được mã hoá bằng một khoá tạm thời gọi
là khoá phiên.
– Khoá phiên sẽ được sử dụng trong
thời gian một kết nối lôgic như trong
mạng ảo hoặc liên kết vận chuyển,
sau đó sẽ được loại bỏ.
– Khố phiên được truyền dưới dạng

mã hố bằng mã chính ( master key ).
Khố chính này được chia sẻ giữa
KDC và trạm đầu cuối hoặc người sử
dụng.

an
th
ng

Bảo vệ bằng
mật mã

u

Khóa
phiên

Bảo vệ bằng
mật mã

du
o

Sử dụng
phân
cấp khóa

Dữ liệu

co


–

ng

.c
om

Quản trị và phân phối khóa trong mã
hóa đối xứng

7
CuuDuongThanCong.com

/>

an

th

l
l

cu

l

Người sử dụng A muốn thiết lập kết nối lôgic với người sử dụng
B.
Hai phía trao đổi thơng tin u cầu khóa phiên sử dụng một lần

để bảo mật dữ liệu truyền qua kết nối.
Phía A có khóa mật KMA, khóa này chỉ có A và KDC biết.
Phía B có khóa mật KMB, khóa này chỉ có B và KDC biết.

ng

–

Giả thiết: mội người sử dụng cùng chia sẻ một khóa mật chính
với trung tâm phân phối khóa ( KDC ).
Tiền đề:

du
o

–

co

Kịch bản q trình phân phối khóa.

u

l

ng

.c
om


Quản trị và phân phối khóa trong mã
hóa đối xứng

l

8
CuuDuongThanCong.com

/>

(1)Yêu cầu || N1

ng

[IDA; EKMA[Yêu cầu cấp
khóa; IDB]; N1]

du
o

l

Kịch bản phân
phối khóa sử
dụng sơ đồ mã
hóa đối xứng

th

an


A->KDC: KDC: xác thực
A.

Trung tâm
phân phối
khóa KDC

(2)EKa[Ks || Yêu cầu || N1]
(2')EKa[Ks || Yêu cầu || N1||EKb[Ks ||IDA, Yêu cầu || N1]]

u

–

co

Yêu cầu:

cu

l

ng

.c
om

Quản trị và phân phối khóa trong
mã hóa đối xứng


CuuDuongThanCong.com

Bên khởi
tạo liên kết
A

(3)EKb[Ks ||IDA, Yêu cầu || N1]

/>
Bên nhận
liên kết B


B cần xác thực:

l

–

A cần xác thực:
l
l

Xác thực B.
Xác thực phiên làm
việc với B.

Trung tâm
phân phối

khóa KDC

an
th

KS || IDA ]: bằng
khóa Kb.
Tính tịan vẹn của
Ekb[ KS || IDA ].
Xác thực A.

u

l

Nguồn gốc của Ekb[

ng

l

(1)Yêu cầu || N1

Kịch bản phân
phối khóa sử
dụng sơ đồ mã
hóa đối xứng

(2)EKa[Ks || Yêu cầu || N1|| EKb(Ks, IDA||N1)]


(3) EKb[Ks || IDA||N1]

du
o

–

co

Vấn đề xác thực:

cu

l

ng

.c
om

Quản trị và phân phối khóa trong mã
hóa đối xứng

Bên khởi
tạo liên kết
A

Các bước phân phối khóa

(4) EKs[N1||N2]

(5) EKs[ f(N2 )]

10
CuuDuongThanCong.com

Bên nhận
liên kết B

/>
Các bước
xác thực


ng

.c
om

Quản trị và phân phối khóa trong mã
hóa đối xứng

co

Kịch bản phân phối khóa khơng tập trung

du
o

Bên nhận
liên kết B


(2)EMKm[Ks || Yêu cầu || IDB || f(N1) || N2)]

cu

u

Bên khởi
tạo liên kết
A

ng

th

an

(1)Yêu cầu || N1

(3) EKs[ f(N2 )]

11
CuuDuongThanCong.com

/>

Bài tốn phân phối khóa: tập trung xây dựng kênh
mật phân phối khóa phiên bí mật.
Hai hướng sử dụng mật mã khóa cơng khai:
l


cu

u

l

Phân phối khóa cơng khai;
Sử dụng mã hóa khóa cơng khai để phân phối khóa
phiên

du
o

–

ng

th

–

co

Các mơ hình quản lý khóa

an

l


ng

.c
om

Quản lý khóa trong sơ đồ mật mã khóa
cơng khai

12
CuuDuongThanCong.com

/>

–

an

cu

u

–

th

–

Công bố công khai
Công bố thư mục công khai
Trung tâm ủy quyền khóa cơng khai

Chứng thư khóa cơng khai

ng

–

co

Các mơ hình

du
o

l

ng

.c
om

Phân phối khóa cơng khai

13
CuuDuongThanCong.com

/>

Các bên tham gia trao đổi thông tin tự công bố
khóa cơng khai;
Điểm mạnh: đơn giản.

Điểm yếu:
l

du
o

–

Một người thứ 3 có thể giả mạo khóa cơng khai;
Bên C giả mạo bên nhận tin B, gửi khóa cơng khai của
mình KPC cho A;
A mã hóa các bản tin gửi cho B bằng khóa KPC của C;
B khơng đọc được bản tin A gửi
C có thể đọc được bản tin A gửi B

cu

–

u

–

ng

th

–

co


Cơng bố cơng khai

an

l

ng

.c
om

Phân phối khóa cơng khai

–
–

14

–

CuuDuongThanCong.com

/>

–

Có bên thứ ba C được ủy quyền quản lý khóa cơng khai;
Bên thứ ba C tạo cho mỗi bên tham gia trao đổi thông tin một
thư mục lưu trữ khóa;

Các bên đăng ký và gửi khóa cơng khai tới C. Q trình đăng
ký có thể thực hiện trên kênh bảo mật.
Các bên có thể thay thế khóa cơng khai theo nhu cầu

du
o

l
l

u

–

Khi đã sử dụng khóa nhiều lần để mã hóa lượng dữ liệu lớn;
Khi khóa riêng cần phải thay thế

cu

–

ng

th

–

co

Quản lý thư mục khóa cơng khai


an

l

ng

.c
om

Phân phối khóa công khai

15
CuuDuongThanCong.com

/>

–

co

an

th

ng

Vấn đề xác thực đối với bên thứ ba C.

du

o

l

Điểm yếu:
l

Nếu thám mã biết được khóa riêng của C

u

–

Bên C định kỳ cơng bố tồn bộ thư mục khóa hoặc
cập nhật;
Các bên có thể truy cập thư mục khóa qua các kênh
bảo mật.

cu

–

ng

.c
om

Phân phối khóa cơng khai

–

–

Tồn bộ các khóa cơng khai được lưu trữ có thể bị giả mạo.
Có thể nghe trộm các thông điệp do các bên trao đổi .

16
CuuDuongThanCong.com

/>

Bên thứ ba được
ủy quyền PKA
tham gia lưu giữ
khóa;
Các bên A, B biết
khóa cơng khai
của PKA;

an

(1)u cầu
khóa KPB || T1

cu

u

–

Trung tâm

quản lý
khóa PKA

Kịch bản quản lý
khóa cơng khai
(5)EKRpka[KPA || u cầu || T2]

(2)EKRpka[KPB || u cầu || T1]

du
o

ng

–

co

Ủy quyền khóa
cơng khai

th

l

ng

.c
om


Phân phối khóa cơng khai

(4)u cầu khóa
KPA || T2

(3) EKpb[IDA||N1]

Bên khởi
tạo A

Bên nhận
B
(6) EKPA[N1||N2]
(7) EKPB[ f(N2 )]

17
CuuDuongThanCong.com

/>
Các bước
xác thực


–
–

an

th


ng

–

du
o

–

Trung tâm cấp phát chứng thư số CA;
Chỉ cần xác nhận khóa cơng khai một lần;
Khơng cần truy cập CA mỗi khi cần khóa cơng khai;
Khóa cơng khai sẽ do các bên tự quản lý;
Sơ đồ hoạt động:
l
l
l

Các bên gửi khóa cơng khai tới CA để chứng thực;
Nhận chứng thư số từ CA kèm thời gian hiệu lực;
Các bên xuất trình chứng thư số trong các giao dịch;

u

–

co

Chứng chỉ khóa cơng khai


cu

l

ng

.c
om

Phân phối khóa cơng khai

18
CuuDuongThanCong.com

/>

ng

th

an

(1)Yêu cầu cấp phát
chứng thư số || KPA

co

Trung tâm
cấp phát
chứng chỉ

số CA

ng

.c
om

Phân phối khóa cơng khai

(1)u cầu cấp phát
chứng thư số || KPB

(2)Chứng thư số B

cu

u

du
o

(2)Chứng thư số A

Kịch bản cấp phát
chứng thư số

Bên A

CuuDuongThanCong.com


(3) Chứng thư số A
Chứng thư số:
- Số serial của chứng thư số;
- Thông tin riêng của người sở hữu;
- Khóa cơng khai của người sở hữu;
- Chứng thực của CA: mã hóa bằng
khóa riêng của CA – KRCA
- Thời hạn hiệu lực của chứng thư số
- Đảm bảo tính tồn vẹn của chứng
thư số
- Thuật toán mật mã
(4) Chứng thư số B

Bên B

/>

–
–
–
–

du
o

ng

Sơ đồ kèm xác thực
A gửi B: EKPB(N1||IDA)
B gửi A: EKPA(N1||N2)

A gửi B: EKPB(N2)
A gửi B: EKPB(EKRA(KS))

u

l

an

–

A gửi B: KPA || IDA
B tạo khóa phiên Ks và gửi lại A: EKPA(KS)

th

–

co

Sơ đồ đơn giản:

cu

l

ng

.c
om


Phân phối khóa mật đối xứng sử dụng
mã hóa cơng khai

20
CuuDuongThanCong.com

/>

–

co

Các cơ chế đảm bảo an toàn hệ thống:
Cơ chế bảo mật đường liên kết ( link encryption approaches ).
Mỗi đường truyền thơng có thể bị tấn cơng đều được kết nối với các
thiết bị mã hóa tại hai đầu Þ mọi quá trình truyền tải trên đường đều
được bảo mật.
Nhược điểm:
–

–

cu

u

–

Yêu cầu nhiều thiết bị mã hóa – giải mã đối với mạng lớn.

Thông điệp phải được giải mã mỗi khi đi vào bộ chuyển mạch gói bởi vì bộ
chuyển mạch cần phải đọc địa chỉ ( vitual circuit number ) trong phần đầu gói
tin để định tuyến cho gói.
Như vậy thơng điệp là một điểm yếu tại mỗi bộ chuyển mạch. Do đó nếu phải
làm việc với mạng cơng cộng, người sử dụng khơng thể kiểm sốt được an
tồn thơng tin tại nút mạng.

du
o

l

ng

th

l

an

1.

ng

.c
om

Đảm bảo tính riêng tư

21

CuuDuongThanCong.com

/>

co

Cơ chế bảo mật đầu – cuối ( end – to – end encryption
approaches ).
Q trình mã hóa mật được thực hiện tại hai hệ thống đầu cuối.
Máy trạm nguồn mã hóa thơng tin và được truyền qua mạng tới
trạm đích.
Trạm nguồn và trạm đích cùng chia sẻ khóa mật và do đó có thể
giải mã thơng điệp.
Dạng bảo mật này cho phép bảo đảm an toàn đối với các tấn công
vào các điểm kết nối hoặc các điểm chuyển mạch.
Dạng bảo mật này cho phép người sử dụng yên tâm về mức độ an
toàn của mạng và đường liên kết truyền thơng.

l

cu

u

l

du
o

l


ng

th

l

an

–

ng

.c
om

Đảm bảo tính riêng tư

22
CuuDuongThanCong.com

/>

co

Thủ tục đệm luồng truyền tải:

Khóa

th


an

–

ng

.c
om

Đảm bảo tính riêng tư

ng
du
o

Mã hóa

cu

u

Bản rõ rời
rạc

Bản
mật liên
tục

Bộ tạo sinh

dữ liệu ngẫu
nhiên liên tục

23
CuuDuongThanCong.com

/>

l

ng

Giải quyết vấn đề giả mạo khóa cơng khai.
Bên thứ 3 chứng thực khóa cơng khai.
– u cầu giao dịch chứng thực mỗi khi có phiên trao đổi
thơng tin: phức tạp, làm tăng giao dịch trong mạng
– Cấp chứng chỉ số xác nhận chủ thể cho các bên tham gia
trao đổi thông tin.
l Các thông tin xác nhận chủ thể
l ID của chứng chỉ.
l Dấu hiệu đặc trưng xác định duy nhất chủ thể: khóa
cơng khai (quan hệ 1-1 với khóa riêng bí mật).
l Dấu xác thực của bên cấp chứng chỉ số: mã hóa bằng

cu

u

du
o


ng

th

l

co

Quản lý khóa cơng khai

an

–

.c
om

Kết chương

24

CuuDuongThanCong.com

/>

ng

.c
om


Kết chương

Thời hạn hiệu lực của chứng chỉ số.
Dấu hiệu để xác thực tính tồn vẹn về mặt nội
dung của chứng chỉ số.

co

l

cu

u

du
o

ng

th

an

l

25
CuuDuongThanCong.com

/>