Bé gi¸o dôc vμ ®μo t¹o
Tr−êng ®¹i häc d©n lËp h¶i phßng
o0o
®å ¸n tèt nghiÖp
Ngμnh c«ng nghÖ th«ng tin



đồ án tốt nghiệp đại học hệ chính quy
Ngnh: Công nghệ Thông tin

Hải Phòng - 2007
Bộ giáo dục v đo tạo
Trờng đại học dân lập hải phòng
o0o

NGHIÊN CứU BảO ĐảM AN TON THÔNG TIN
BằNG KIểM SOáT TRUY NHậP

trờng đại học dân lập hải phòng Độc lập - Tự do - Hạnh phúc
o0o nhiệm vụ thiết kế tốt nghiệp Sinh viên: Đon Trọng Hiêp Mã số: 10276
Lớp: CT701
Ngnh: Công nghệ Thông tin
Tên đề ti:
Nghiên cứu bảo đảm an ton thông tin bằng kiểm soát truy nhập

nhiệm vụ đề ti
1. Nội dung v các yêu cầu cần giải quyết trong nhiệm vụ đề ti tốt nghiệp
a. Nội dung:

Ngời hớng dẫn thứ nhất:
Họ v tên:
Học hm, học vị:
Cơ quan công tác:
Nội dung hớng dẫn:

Ngời hớng dẫn thứ hai:
Họ v tên:

Học hm, học vị

Cơ quan công tác:
Nội dung hớng dẫn:
Đề ti tốt nghiệp đợc giao ngy 7 tháng 05 năm 2007
Yêu cầu phải hon thnh trớc ngy 31 tháng 07 năm 2007

Đã nhận nhiệm vụ: Đ.T.T.N

3. Cho điểm của cán bộ hớng dẫn:
( Điểm ghi bằng số v chữ )
Ngy tháng năm 2007
Cán bộ hớng dẫn chính
( Ký, ghi rõ họ tên ) Phần nhận xét đánh giá của cán bộ chấm phản biện đề ti
tốt nghiệp
1. Đánh giá chất lợng đề ti tốt nghiệp (về các mặt nh cơ sở lý luận, thuyết
minh chơng trình, giá trị thực tế, ) 1

MỤC LỤC
MỤC LỤC 1
LỜI CÁM ƠN 3
LỜI NÓI ĐẦU 4
CHƢƠNG 1: MỘT SỐ KHÁI NIỆM CƠ SỞ 7
1.1 KHÁI NIỆM MÃ HOÁ. 7
1.1.1 Hệ mã hóa. 7
1.1.2 Một số hệ mã hóa thƣờng dùng. 7
1.2 SƠ ĐỒ CHỮ KÍ ĐIỆN TỬ. 9
1.3 HÀM BĂM (HASH FUNCTION). 10
1.4 TỔNG QUAN VỀ ATTT. 11
1.4.1 Một số khái niệm. 11
1.4.2 Một số bài toán trong ATTT. 11
1.4.3 Các yêu cầu về đảm bảo ATTT. 12
1.4.4 Một số giải pháp chung bảo đảm ATTT. 13
CHƢƠNG 2: VẤN ĐỀ KIỂM SOÁT TRUY NHẬP. 14
2.1 MỘT SỐ PHƢƠNG PHÁP KIỂM SOÁT TRUY NHẬP. 14
2.1.1 Kiểm soát truy cập trực tiếp. 14
2.1.1.1 Hệ thống kiểm soát truy cập trực tiếp. 14
2.1.1.2 Mật khẩu. 16
2.2.2 Kiểm soát truy nhập “tự động”. 21
2.2 MỘT SỐ CHÍNH SÁCH TRUY CẬP. 22
2.2.1 Kiểm soát truy cập tuỳ quyền 22
2.2.3 Kiểm soát truy cập bắt buộc 24
2.3 MỘT SỐ KĨ THUẬT KIỂM SOÁT TRUY NHẬP. 25
3
LỜI CÁM ƠN

Em xin chân thành cám ơn PGS. TS Trịnh Nhật Tiến đã tận tình hướng
dẫn, giúp đỡ trong quá trình hoàn thành đồ án, cũng như các thầy cô trong khoa
CNTT trường ĐHDL Hải Phòng đã luôn tạo điều kiện cho chúng em hoàn thành
tốt nhiệm vụ được giao.
Em cám ơn gia đình và nhà trường đã luôn tạo điều kiện thuận lợi cho em
trong suốt quá trình học tập.
Hải phòng 21 tháng 7 năm 2007.
Sinh viên

Đoàn Trọng Hiệp.

thiếu sót. Rất mong nhận được sự đóng góp ý kiến của thấy cô và các bạn.

5
Bảng danh mục các từ, thuật ngữ

ACL (Access Control List)
Danh sách kiểm soát truy cập.
ATTT
An toàn thông tin.
CA (Certificate Authourity)
Tổ chức cấp chứng chỉ
Cisco ACL
Danh sách kiểm soát truy cập của
Cisco
CSDL
Cơ sở dữ liệu
DAC (Discretionary Access Control)
Kiểm soát truy cập tuỳ quyền.
DDoS (Distrubuted DoS)
Từ chối dịch vụ phân tán.
DES (Data Encrytion Standard)

DoS ( Denial of Service)
Từ chối dịch vụ.


PIN (Personal Identification Number )
Số định danh cá nhân

6
PKI (Public Key Infrastructure)
Hạ tầng cơ sở khoá công khai.
RBAC (Role Base Access Control)
Kiểm soát truy cập trên cơ sở vai trò.
SNMP (Simple Network Managerment
Protocol)
Giao thức quản lí mạng.

SSL (Secure Socket Layer)
Khe cắm an toàn.
SYN (Synchronize)
Đồng bộ.
TA (Trusted Authority)
Cơ quan uỷ thác cấp chứng thực.
TCP (Transmission Control Protocol)

TCP/ IP (Transfer Control Protocol/
Internet Protocol)

UDP (User Datagram Protocol)

URL (Uniform Resource Locator)

WAF (Web Application Firewall)
Tường lửa ứng dụng web.

D (Decrytion): tập các hàm giải mã có thể.
Với mỗi k  K, có hàm lập mã e
k
 E, e
k
: P  C và hàm giải mã d
k
 D,
d
k
: C  P sao cho d
k
(e
k
(x)) = x ,  x  P.
Mã hóa cho ta bản mã e
k
(P)= C.
Giải mã cho ta bản rõ d
k
(C)= P.

1.1.2 Một số hệ mã hóa thƣờng dùng.
Hệ mã hóa đối xứng là hệ mã mà khi ta biết khóa lập mã, “dễ” tính được
khóa giải mã và ngược lại. Trong nhiều trường hợp khóa lập mã và giải mã là
giống nhau. Hệ mã hóa đối xứng yêu cầu người nhận và gửi phải thỏa thuận
khóa trước khi thông tin được gửi đi. Khóa này phải được giữ bí mật, độ an toàn
của hệ phụ thuộc vào khóa. Nếu khóa bị lộ thì rất dễ giải mã.
Một số hệ mã hóa đối xứng: DES, RC2, RC4, RC5, IDEA,
Hệ mã hóa phi đối xứng là hệ mã mà khi biết khóa lập mã, khó” tính được

(x) = x
a
mod n.
Hàm giải mã: d
k „‟
(y) = y
b
mod n. 9
1.2 SƠ ĐỒ CHỮ KÍ ĐIỆN TỬ.

Chữ kí điện tử là thông tin đi kèm theo một tài liệu khác như văn bản,
hình ảnh, nhằm mục đích xác định người chủ của dữ liệu và đảm bảo tính
toàn vẹn của dữ liệu đó. Đồng thời nó còn cung cấp chức năng chống chối bỏ
của người gửi thông tin.
Sơ đồ kí điện tử gồm 5 thành phần (P, A, K, S, V) trong đó:
P là tập hữu hạn các văn bản có thể.
A là tập hữu hạn các chữ kí có thể.
K là tập hữu hạn các khóa có thể.


10
1.3 HÀM BĂM (HASH FUNCTION).

Giả sử D là tập các văn bản có thể. X là tập các văn bản tóm lược (đại
diện) có thể. Việc tìm cho mỗi văn bản một tóm lược tương ứng xác định một
hàm h: D X. Hàm h như vậy được gọi là hàm băm.
Hàm băm là một hàm với đầu vào là một văn bản có độ dài thay đổi, và
đầu ra là một văn bản tóm lược có độ dài cố định và đủ nhỏ.
Hàm băm thường phải thỏa mãn các điều kiện sau:
+ Hàm băm phải là hàm không va chạm mạnh:
Không có thuật toán tính trong thời gian đa thức để có thể tìm được x
1
, x
2
D
sao cho x
1
 x
2
và h(x
1
) = h(x
2

được các thông tin có giá trị.
Sniffer:
Trong bảo mật hệ thống sniffer được hiểu là công cụ (có thể là phần mềm
hoặc phấn cứng) “bắt” thông tin lưu chuyển trên mạng. Dùng thông tin đã thu
được, để “đánh hơi” lấy được thông tin có giá trị trao đổi trên mạng. Hoạt động
của sniffer giống như chương trình “bắt” thông tin gõ từ bàn phím (key capture).
Tuy nhiên, các tiện ích của key capture chỉ thực hiện trên một trạm làm việc cụ
thể. Còn sniffer thì có thể “bắt” được các thông tin trao đổi giữa nhiều trạm làm
việc với nhau.

1.4.2 Một số bài toán trong ATTT.
Bài toán bảo mật: giữ bí mật đối với những người không có thẩm quyền.
Bài toán toàn vẹn dữ liệu: kiểm chứng tính toàn vẹn của thông tin.
Bài toán xác nhận thực thể: xác định danh tính của một chủ thể.
Bài toán chữ kí: dùng để gắn một thông tin với một chủ thể xác định.
Bài toán không chối bỏ: ngăn ngừa việc chối bỏ trách nhiệm đối với một
cam kết đã có. 12

1.4.3 Các yêu cầu về đảm bảo ATTT.
1) Yêu cầu bảo mật thông tin.
Theo tổ chức quốc tế về chuẩn (International Organization for
Standardization – IOS) tính bí mật là thông tin chỉ được phép truy nhập bởi
người có quyền truy nhập. Đây là một trong ba đặc tính quan trọng nhất của
ATTT. Tính bí mật là một trong những mục tiêu của các hệ mã hoá.
Ví dụ: Hệ thống bán hàng qua mạng phải đảm bảo bí mật về thông tin tài
khoản của khách hàng.


Một chính sách bảo mật được coi là hoàn hảo nếu nó gồm các văn bản
pháp qui, kèm theo các công cụ bảo mật hữu hiệu và nhanh chóng giúp người
quản trị phát hiện, ngăn chặn các truy nhập trái phép.

2) Giải pháp bảo đảm ATTT.
Là tập hợp các biện pháp nhằm bảo đảm ATTT.
Ví dụ:
Để bảo đảm ATTT có 3 giải pháp chính :
(1) Kiểm soát truy nhập.
(2) “Che giấu thông tin”.
(3) Kiểm soát, xử lí “lỗ hỏng” thiếu an ninh.
Ví dụ:
Để kiểm soát truy nhập có 2 giải pháp chính:
Kiểm soát truy nhập “trực tiếp”.
Kiểm soát truy nhập “tự động”.
14
CHƢƠNG 2: VẤN ĐỀ KIỂM SOÁT TRUY NHẬP.

2.1 MỘT SỐ PHƢƠNG PHÁP KIỂM SOÁT TRUY NHẬP.
Kiểm soát truy nhập thường sử dụng 2 phương pháp sau:
Kiểm soát truy cập trực tiếp vào hệ thống thông tin (kiểm soát truy nhập

cá nhân (PIN). Việc này cần thiết cho việc truy cập chương mục.
+ Những gì người dùng đã có như thẻ thông minh (smart card) hoặc một
dấu hiệu nào đó. Điều này dùng để mở khoá chương mục.
+ Những gì người dùng sở hữu bẩm sinh như vân tay, giọng nói,
( phương pháp “sinh trắc học”).

2) Dịch vụ ủy quyền:
Xác định những gì mà một người dùng đã được xác thực có thể thi hành.
Sự ủy quyền: (sự hợp thức hóa (establishment) ) định nghĩa “quyền” và
“phép” của người dùng trong một hệ thống. Sau khi người dùng đã được chứng
thực, thì việc ủy quyền chỉ định những cái gì mà người dùng đó có thể thi hành
trên hệ thống.
Đa số các hệ điều hành đều định nghĩa các loại quyền và phép. Chúng
thường là mở rộng của 3 loại quyền truy cập chính sau: quyền đọc, quyền viết và
quyền thi hành.
+ Quyền đọc (R): người dùng có thể đọc nội dung tập tin, liệt kê danh
sách thư mục.
+ Quyền viết (W): người dùng có thể thay đổi nội dung của bản tin bằng
việc thi hành những thao tác sau: cộng thêm, tạo cái mới, xoá bỏ, đổi tên.
+ Quyền thi hành (E): nếu tập tin là chương trình ứng dụng, người dùng
có thể thi hành chương trình đó.

3) Dịch vụ qui trách nhiệm:
Nhận dạng và chứng thực những hành vi, hoạt động mà người dùng đã
thi hành trong khi họ đang sử dụng hệ thống.
16
2.1.1.2 Mật khẩu.

17
Chương trình trên hoạt động theo chu kì, để nếu mật khẩu bị lộ cũng chỉ
có hiệu lực trong thời gian nhất định (gọi là tuổi của mật khẩu). Tuy vậy, các
mật khẩu này thường không dễ nhớ, nên phải ghi lại. Các nghiên cứu cho thấy
người dùng thích dùng mật khẩu tự tạo hơn là các mật khẩu do máy tạo vì lí do
nhớ mật khẩu.

Những mật khẩu có thể hiệu chỉnh:
Đây là hướng thoả hiệp nhằm tận dụng ưu điểm của hai loại mật khẩu đã
nêu, mà không có các nhược điểm liên quan. Sơ đồ tạo mật khẩu có thể hiệu
chỉnh cho phép người quản trị hệ thống cung cấp cho người dùng một phần mật
khẩu, trên cơ sở đó người dùng có thể xây dựng mật khẩu mới theo tiêu chuẩn
đã đề ra. Sơ đồ được gọi là hiệu chỉnh vì người quản trị có thể thay đổi độ dài và
những thuộc tính khác của xâu kí tự được tạo ra.
Ví dụ: Giả sử người dùng được cung cấp xâu “t1h” và qui tắc là các kí tự
“t”, “1”, “h” phải xuất hiện trong mật khẩu sẽ được tạo ra theo đúng trật tự đã
cho. Người dùng có thể tạo mật khẩu: the1997hpu10, trong1hiep5, … Khi đó
mật khẩu mà người dùng tạo nên, thường có tính chất gợi nhớ đối với họ, vì vậy
họ có thể nhớ được. Đồng thời, nó cũng loại bỏ được những mật khẩu tồi.