Các yêu cầu và thành phần của mạng tin cậy (2)


Khi thực hiện chuyển dịch từ một mạng hướng phòng thủ sang mạng tin cậy thì cần đáp ứng một vài dịch vụ/yêu cầu bảo mật thiết yếu sau:

  • Nhận dạng
  • Xác thực
  • Cấp phép
  • Bảo mật
  • Toàn vẹn
  • Không thể chối từ

Nếu không có khả năng đảm bảo tất cả các dịch vụ trên vận hành chính xác trong mạng thì không thể thiết lập được một mạng tin cậy một cách đầy đủ. Còn trong các mạng hướng phòng thủ thì chú trọng tới các dịch vụ sau mà thôi: bí mật, toàn vẹn và xác thực. Dưới đây sẽ bàn thêm về 6 dịch vụ trên.

Nhận dạng (Identification) là bước đầu tiên trong quá trình xác thực, một đối tượng sẽ cung cấp một vài dữ liệu dùng để nhận dạng nó (như tên người dùng, mật khẩu, mã PIN, vân tay,…) cho dịch vụ xác thực.

Xác thực (Authentication) là quá trình xác định xem ai hoặc thứ gì đó có thực sự là người (hoặc là thứ) mà nó tuyên bố hay không. Hay nói cách khác, đây là việc xác minh nhận dạng của một người, một thiết bị, một chương trình… nào đó.

Cấp phép (Authorization) là quá trình xác định xem đối tượng (đã được xác thực) được phép làm những gì. Bước này thường xảy ra sau bước xác thực ở trên.

Bảo mật (Confidentiality) là việc đảm bảo tính bí mật, chỉ để những người được cấp phép mới có thể đọc được thông tin mang tính riêng tư.

Toàn vẹn (Integrity) là việc đảm bảo tính chính xác và tin cậy của thông tin, và bất kỳ sự thay đổi trái phép nào tới thông tin sẽ được phát hiện và ngăn chặn.

Chống chối từ (Non-repudiation) là việc đảm bảo rằng đối tượng đã gửi đi thông điệp không thể phủ nhận việc gửi đó và ngược lại, đối tượng đã nhận được thông điệp cũng không thể phủ nhận là chưa biết đến thông điệp đó.

Để triển khai những dịch vụ trên thì cần tới các công nghệ cốt lõi sau:

  • Mật mã
  • Chứng thực mạnh
  • Chữ ký số
  • Chứng chỉ số

Các công nghệ này gắn kết với nhau để cùng xây dựng nên một mạng tin cậy.

Mật mã

Đây là thành phần có vai trò rất quan trọng, là trái tim của bất cứ mạng tin cậy nào. Nó giúp đảm bảo bảo mật và toàn vẹn cho các thông điệp, cũng như nhận dạng và xác thực các đối tượng tham gia vào phiên truyền thông. Về cơ bản, mật mã được phân làm 2 loại chính: mã hóa đối xứng và mã hóa bất đối xứng.

Loại mã hóa đối xứng thường được gọi là mật mã khóa bí mật và cả hai bên đều sử dụng cùng một khóa để mã hóa và giải mã thông tin. Các thuật toán mã hóa đối xứng phổ biến như 3DES, AES, RC5.

Còn loại mã hóa bất đối xứng còn được gọi là mật mã khóa công khai và cần sử dụng một cặp khóa để mã hóa và giải mã. Nếu mã hóa bằng khóa thứ nhất (gọi là khóa công khai) thì chỉ có thể giải mã bằng khóa thứ hai (gọi là khóa bí mật) và ngược lại. DSA, RSA, Diffie-Hellman là ví dụ về các thuật toán mã hóa bất đối xứng nổi tiếng.

Ngoài ra trong mật mã còn có kỹ thuật băm một chiều (one-way hash) là một hàm nhận vào một thông điệp có chiều dài bất kỳ và tạo ra một chuỗi có chiều dài cố định được gọi là giá trị băm. Ví dụ, giá trị mà giải thuật băm MD5 tạo ra luôn là 128-bit, với SHA-1 là 160-bit. Hàm băm một chiều làm việc mà không cần sử dụng bất kỳ khóa nào và đặc biệt, từ kết quả băm cuối cùng thì rất khó (thường không thể) lần ngược lại thông điệp gốc ban đầu. Nó thường được dùng để kiểm tra tính toàn vẹn của thông điệp, tập tin.

Chứng thực mạnh

Để thỏa mãn yêu cầu này, hệ thống chứng thực cần phải sử dụng ít nhất 2 trong 3 yếu tố sau:

Thứ mà bạn biết (something you know): mật khẩu hoặc mã PIN là ví dụ điển hình cho phương thức chứng thực phổ biến nhất này. Cách này thì rẻ tiền, dễ triển khai nhưng có nhược điểm là nếu ai đó biết được bí mật này thì họ có thể đạt được quyền truy cập vào hệ thống.

Thứ mà bạn có (something you have): ví dụ cho phương thức chứng thực này là thẻ ATM, thẻ thông minh, thẻ truy cập, phù hiệu v.v… Hạn chế của cách này là những vật đó có thể bị mất hoặc đánh cắp và bị ai đó lạm dụng để truy cập trái phép vào hệ thống.

Đặc điểm duy nhất trên cơ thể bạn (something you are): là cách nhận diện dựa trên thuộc tính vật lý duy nhất của một người như võng mạc mắt, dấu vân tay. Phương pháp chứng thực này hiệu quả vì khó giả mạo hay sao chép nhưng lại mắc tiền để triển khai.

Các phương pháp chứng thực 2 yếu tố (two-factor authentication) trong thực tế thường thấy như sự kết hợp giữa mật khẩu với thẻ truy cập hoặc thẻ thông minh với sinh trắc học mang lại sự tin cậy, an toàn hơn chỉ là sử dụng tên người dùng và mật khẩu để đăng nhập vào hệ thống. Các kỹ thuật trong mật mã cũng được ứng dụng rộng rãi vào các phương thức xác thực như Kerberos, RADIUS, CHAP, NTLM, v.v…

Chữ ký số

Được tạo ra sử dụng kết hợp giữa hàm băm và mật mã khóa công khai để đảm bảo tính toàn vẹn, giúp xác thực nguồn gốc của thông điệp và đồng thời bên gửi không thể chối từ việc đã tạo ra thông điệp đó. Nó là một giá trị băm của thông điệp được mã hóa bằng khóa bí mật của bên gửi rồi được đính kèm với thông điệp gốc. Bên nhận sẽ dùng khóa công khai của bên gửi để giải mã phần chữ ký ra được giá trị băm của thông điệp rồi đối chiếu với giá trị mà nó thu được từ việc thực hiện lại hàm băm trên thông điệp gốc. Nếu hai giá trị đó giống nhau thì bên nhận có thể tin cậy được rằng thông điệp không bị thay đổi và nó chỉ được gửi từ bên sở hữu khóa công khai ở trên.

Chứng chỉ số

Là một tập tin giúp chắc chắn rằng khóa công khai thuộc về một thực thể nào đó như người dùng, tổ chức, máy tính và điều này được xác minh bởi một bên thứ ba đáng tin cậy thường gọi là CA (Certificate Authorities). Chứng chỉ số chứa các thông tin nhận dạng về thực thể như tên, địa chỉ, khóa công khai (cùng nhiều thông tin khác) và được ký số bởi khóa bí mật của CA.

Cuối cùng, tất cả 6 dịch vụ và 4 công nghệ nói trên được cung cấp và triển khai bởi một hạ tầng khóa công khai (Public Key Infrastructure – PKI) làm nền tảng cho các mạng tin cậy. Xem thêm loại bài về PKI cũng trên blog này.

–manthang.

3 comments

  1. Em làm thêm cái phân biệt giữa Authenticity và Non-repudiation cho dễ hiểu. Authenticity và Authentication đã có khác biệt rồi,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s