Bài giảng Mạng máy tính - Chương 10: An toàn và an ninh thông tin - Nguyễn Linh Giang

An toàn và An ninh
Thông tin
Nguyễn Linh Giang.
Bộ môn Truyền thông
và Mạng máy tính.
I. Nhập môn An toàn thông tin 
II. Các phương pháp mã hóa ñối xứng
III. Các hệ mật khóa công khai
IV. Xác thực thông ñiệp
V. Chữ ký số và các giao thức xác thực
VI. Các cơ chế xác thực trong các hệ phân tán
VII. Bảo vệ các dịch vụ Internet
VIII. ðánh dấu ẩn vào dữ liệu
Tài liệu

 W. Stallings – Network and Internetwork
Security;

 Introduction to Cryptography – PGP

 D. Stinson – Cryptography: Theory and Practice
Chương I. Nhập môn
1. Nhập môn
2. Các dịch vụ, cơ chế an toàn an ninh thông tin và các
dạng tấn công vào hệ thống mạng
3. Các dạng tấn công
4. Các dịch vụ an toàn an ninh
5. Các mô hình an toàn an ninh mạng
Nhập môn
– Một số ví dụ về vấn ñề
bảo vệ an toàn thông tin:

 Truyền file
A B
C
A và B trao ñổi thông tin 
riêng tư
C chặn 
giữ thông 
tin trao 
ñổi giữa 
A và B
Nhập môn

 Trao ñổi thông ñiệp: 
Nhập môn

 Giả mạo: 
D E
F
D không thông tin E
F giả mạo 
D, gửi 
danh sách 
mới ñến E
Danh sách giả 
mạo
– Sự phức tạp trong bài toán Bảo mật liên mạng:

 Không tồn tại phương pháp thích hợp cho mọi trường
hợp.

 Các cơ chế bảo mật luôn ñi ñôi với các biện pháp ñối
phó.

 Lựa chọn những giải pháp thích hợp với từng ngữ cảnh
sử dụng.
Nhập môn
Dịch vụ và cơ chế an toàn an ninh
Các dạng tấn công

 Ba khía cạnh an toàn an ninh thông tin:
– Tấn công vào an ninh thông tin 
– Các cơ chế an toàn an ninh
– Các dịch vụ an toàn an ninh thông tin
– Phân loại các dịch vụ an toàn an ninh:

 Bảo mật riêng tư ( confidentiality

 Xác thực ( authentication ) 

 Toàn vẹn thông tin ( integrity )

 Chống phủ ñịnh ( nonrepudiation ) 

 Kiểm soát truy cập ( access control ) 

 Tính sẵn sàng ( availability )
Dịch vụ và cơ chế an toàn an ninh
Các dạng tấn công

 Các cơ chế an toàn an ninh
– Không tồn tại một cơ chế duy nhất;
– Sử dụng các kỹ thuật mật mã. 
Dịch vụ và cơ chế an toàn an ninh
Các dạng tấn công

 Các dạng tấn công.
– Truy nhập thông tin bất hợp pháp;
– Sửa ñổi thông tin bất hợp pháp;
– v.v và v.v ...
Dịch vụ và cơ chế an toàn an ninh
Các dạng tấn công
Các dạng tấn công vào hệ thống

 Các dạng tấn công vào hệ thống máy tính và mạng:
– Gián ñoạn truyền tin ( interruption ): 
Nguån th«ng tin N¬i nhËn th«ng tin
Luång th«ng tin th«ng
th−êng
Luång th«ng tin bÞ
gi¸n ®o¹n
Các dạng tấn công vào hệ thống
– Chặn giữ thông tin ( 
interception ):
– Sửa ñổi thông tin ( 
modification ):
Luång th«ng tin bÞ
chÆn gi÷
Luång th«ng tin bÞ
söa ®æi
– Giả mạo thông tin ( 
fabrication ).
Luång th«ng
tin bÞ gi¶ m¹o
Các dạng tấn công vào hệ thống
Các dạng tấn công vào hệ thống
Tấn công thụ ñộng

 Tấn công thụ ñộng
Mèi ®e däa thô ®éng
ChÆn gi÷ th«ng tin mËt
Gi¶i phãng néi dung
th«ng ®iÖp
Ph©n tÝch t¶i
– Các dạng tấn công thụ ñộng:

 Giải phóng nội dung thông ñiệp ( release of message
contents ).
– Ngăn chặn ñối phương thu và tìm hiểu ñược nội dung của
thông tin truyền tải.

 Phân tích tải ( traffic analysis ).
– ðối phương có thể xác ñịnh:

 Vị trí của các máy tham gia vào quá trình truyền tin, 

 Tần suất và kích thước bản tin.
Các dạng tấn công vào hệ thống
Tấn công thụ ñộng
– Dạng tấn công thụ ñộng rất khó bị phát hiện vì
không làm thay ñổi dữ liệu.
– Với dạng tấn công thụ ñộng, nhấn mạnh vấn ñề
ngăn chặn hơn là vấn ñề phát hiện.
Các dạng tấn công vào hệ thống
Tấn công thụ ñộng
Các dạng tấn công vào hệ thống
Tấn công chủ ñộng

 Dạng tấn công chủ ñộng.
– Dạng tấn công chủ ñộng bao gồm: sửa các dòng dữ liệu, ñưa
những dữ liệu giả, giả danh, phát lại, thay ñổi thông ñiệp, phủ
nhận dịch vụ. Mèi ®e däa chñ ®éng
Gi¸n ®o¹n truyÒn tin
( tÝnh s½n sµng)
Gi¶ m¹o th«ng tin
( tÝnh x¸c thùc)
Söa ®æi néi dung
( tÝnh toµn vÑn)

 Giả danh ( masquerade ): khi ñối phương giả mạo một
ñối tượng ñược uỷ quyền.

 Phát lại ( replay ): dạng tấn công khi ñối phương chặn
bắt các ñơn vị dữ liệu và phát lại chúng tạo nên các hiệu
ứng không ñược uỷ quyền;
Các dạng tấn công vào hệ thống
Tấn công chủ ñộng

 Thay ñổi thông ñiệp ( modification of message ): một
phần của thông ñiệp hợp pháp bị sửa ñổi, bị làm chậm
lại hoặc bị sắp xếp lại và tạo ra những hiệu ứng không
ñược uỷ quyền.

 Phủ nhận dịch vụ ( denial of service): dạng tấn công ñưa
ñến việc cấm hoặc ngăn chặn sử dụng các dịch vụ, các
khả năng truyền thông.
Các dạng tấn công vào hệ thống
Tấn công chủ ñộng
– Dạng tấn công chủ ñộng rất khó có thể ngăn chặn
tuyệt ñối. ðiều ñó yêu cầu phải bảo vệ vật lý mọi
ñường truyền thông tại mọi thời ñiểm.
– Mục tiêu an toàn: phát hiện và phục hồi lại thông
tin từ mọi trường hợp bị phá huỷ và làm trễ.
Các dạng tấn công vào hệ thống
Tấn công chủ ñộng
Các dịch vụ an toàn an ninh
ðảm bảo tính riêng tư ( Confidentiality )

 ðảm bảo tính riêng tư ( Confidentiality ).
– ðảm bảo tính riêng tư của thông tin: Bảo vệ dữ liệu
ñược truyền tải khỏi các tấn công thụ ñộng.
– Tương ứng với hình thức phát hiện nội dung thông ñiệp
( release of message content ) có một vài phương pháp
bảo vệ ñường truyền:

 Bảo vệ mọi dữ liệu ñược truyền giữa hai người sử dụng tại mọi
thời ñiểm:
– Thiết lập ñường truyền ảo giữa hai hệ thống và ngăn chặn mọi
hình thức phát hiện nội dung thông ñiệp.

 Ví dụ: VPN

 Bảo vệ các thông ñiệp ñơn lẻ hoặc một số trường ñơn lẻ của
thông ñiệp. 
– Không thực sự hữu ích;
– Trong nhiều trường hợp khá phức tạp;
– Yêu cầu chi phí lớn khi thực hiện.
– ðảm bảo tính riêng tư: bảo vệ luồng thông tin trao ñổi khỏi
các thao tác phân tích

 Yêu cầu: phía tấn công không thể phát hiện ñược các ñặc
ñiểm của quá trình truyền tin:
– Nguồn và ñích của thông tin;
– Tần suất, ñộ dài;
– Các thông số khác của luồng thông tin. 
Các dịch vụ an toàn an ninh
ðảm bảo tính riêng tư ( Confidentiality )

 ðảm bảo tính xác thực ( Authentication )
– Dịch vụ ñảm bảo tính xác thực:

 Khẳng ñịnh các bên tham gia vào quá trình truyền tin ñược xác
thực và ñáng tin cậy.
– ðối với các thông ñiệp ñơn lẻ:

 Các thông bá