BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Nguyễn Ngọc Điệp

NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP TÍCH HỢP
MẬT MÃ VÀO QUÁ TRÌNH TRUYỀN TIN ĐẢM BẢO
AN TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH

LUẬN ÁN TIẾN SĨ KỸ THUẬT

Hà Nội - 2017


BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Nguyễn Ngọc Điệp

NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP TÍCH HỢP MẬT
MÃ VÀO QUÁ TRÌNH TRUYỀN TIN ĐẢM BẢO AN
TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH

CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN
MÃ SỐ: 62.48.01.04

LUẬN ÁN TIẾN SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC:
PGS.TS HOÀNG MINH


các đồng chí Lãnh đạo Viện Khoa học - Công nghệ mật mã, nơi tôi đang công tác đã
tạo điều kiện thuận lợi, hỗ trợ và giúp đỡ tôi trong suốt quá trình học tập, nghiên cứu
thực hiện luận án.
Tôi xin trân trọng cảm ơn các bạn bè người thân và gia đình đã cổ vũ, động viên
giúp đỡ, tạo điều kiện cho tôi hoàn thành luận án.

Nghiên cứu sinh

ii


MỤC LỤC

LỜI CAM ĐOAN ............................................................................................................ i
LỜI CẢM ƠN ................................................................................................................. ii
MỤC LỤC ...................................................................................................................... iii
DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT .................................................... vi
DANH MỤC CÁC HÌNH VẼ...................................................................................... viii
DANH MỤC CÁC BẢNG............................................................................................. ix
MỞ ĐẦU ..........................................................................................................................1
CHƯƠNG I: TỔNG QUAN VỀ GIẢI PHÁP CAN THIỆP MẬT MÃ VÀO HỆ
THỐNG MẠNG DÙNG GIAO THỨC TCP/IP ..............................................................7
1.1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG ..................................7
1.1.1. Một số khái niệm cơ bản về an toàn thông tin .......................................................7
1.1.2. Các nguy cơ mất an toàn thông tin .........................................................................8
1.1.3. Các hình thức tấn công thông tin trên mạng ..........................................................8
1.1.4. Một số biện pháp an toàn .....................................................................................10
1.1.5. Các dịch vụ an toàn ..............................................................................................10
1.1.5.1. Dịch vụ bí mật ...................................................................................................11
1.1.5.2. Dịch vụ xác thực................................................................................................12

THAM SỐ HỆ MẬT RSA VÀ THUẬT TOÁN MÃ KHỐI .........................................44
2.1. GIỚI THIỆU CHUNG ............................................................................................44
2.2. XÂY DỰNG TIÊU CHUẨN THAM SỐ CHO HỆ MẬT RSA ............................46
2.2.1. Một số tiêu chuẩn tham số RSA an toàn đã được công bố ..................................47
2.2.2. Phương pháp xác định ngưỡng an toàn của Lenstra và Verheul .........................49
2.2.2.1. Ngưỡng an toàn .................................................................................................49
2.2.2.2. Độ dài modulo của hệ mật RSA ........................................................................50
2.2.2.3. Bảng tính ngưỡng an toàn và độ dài modulo an toàn cho hệ mật RSA ............51
2.2.3. Xác định ngưỡng an toàn theo quan điểm riêng ..................................................51
2.2.3.1. Luận cứ xác định đối tượng tấn công ...............................................................51
2.2.3.2. Công thức xác định các ngưỡng an toàn cho đến năm y (y2016) ..................52
2.2.4. Phương pháp mã hóa liên tiếp và tiêu chuẩn cho số công khai ...........................55
2.2.4.1. Một số công thức, định nghĩa ............................................................................55
2.2.4.2. Giải bài toán RSA bằng phương pháp mã hóa liên tiếp ...................................56
2.2.4.3. Phân tích modulo n của hệ RSA bằng phương pháp mã hóa liên tiếp .............57
2.2.4.4. Tiêu chuẩn cho tham số e ..................................................................................59
2.3. MỘT ĐỀ XUẤT MA TRẬN AN TOÀN, HIỆU QUẢ CHO TẦNG TUYẾN
TÍNH TRONG CÁC MÃ PHÁP DẠNG AES ..............................................................61
2.3.1. Một số định nghĩa, khái niệm...............................................................................63
2.3.2. Phép MixColumns sử dụng ma trận dịch vòng và ma trận tựa vòng 4x4 ............64
2.3.3. Phân tích phép biến đổi MixColumns của AES ...................................................66
2.3.4. Đề xuất ma trận tuyến tính tựa vòng cho AES ....................................................68
2.3.5. Đánh giá cài đặt theo quan điểm phần mềm ........................................................71
2.3.6. Đánh giá về độ an toàn, số điểm bất động của tầng tuyến tính ............................74
2.3.7. Kết quả cài đặt thực nghiệm.................................................................................76
KẾT LUẬN CHƯƠNG 2...............................................................................................79
CHƯƠNG III: TÍCH HỢP MẬT MÃ TRONG GIAO THỨC VÀ BỘ PHẦN MỀM
BẢO MẬT DỮ LIỆU TRÊN ĐƯỜNG TRUYỀN ........................................................81
3.1. BỘ PHẦN MỀM OPENVPN .................................................................................81
3.1.1. Giới thiệu bộ phần mềm OpenVPN .....................................................................81

DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT
#(a)
#(b)
#{(X,Y)}
#S
N
*
N

e| N
Gcd(a,b)
Lmc(a,b)
AES
ACL
DLP
DoS
DDoS
ECC
ESP

FPGA
HMAC
KDF
IKE
IDPS
IP
IPSec
ISO

Lực lượng của a

Local Area Network
Maximum Distance Separable
Man In The Middle
Multi Protocol Label Switching
Open System Interconnection

QoS

Quality Of Service

LAN
MDS
MITM

N

Chuẩn mã hóa dữ liệu mở rộng
Danh sách điều khiển truy nhập
Bài toán Logarith rời rạc
Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ phân
tán
Hệ mật Elliptic
Đóng gói mã hóa dữ liệu
Mảng cổng lập trình dạng trường
Hàm băm có xác thực
Hàm dẫn xuất khóa
Trao đổi khóa trên Internet
Hệ thống phát hiện và ngăn chặn
truy cập

Transport Control Protocol
Transport Layer Security
User Datagram Protocol
Virtual Networking Interface
Virtual Private Network

Mạng thay thế - hoán vị
Giao thức bảo mật tầng Socket
Hệ mật khóa công khai RSA
Giao thức điều khiển truyền tin
Giao thức bảo mật tầng vận tải
Giao thức gói dữ liệu người dùng
Giao diện mạng ảo
Mạng riêng ảo

vii


DANH MỤC CÁC HÌNH VẼ
Hình 1.1: Các hình thức tấn công thông tin trên mạng máy tính ................................... 9
Hình 1.2: Cấu trúc của giao thức TCP/IP .................................................................... 16
Hình 1.3: Cấu trúc gói tin IP ........................................................................................ 17
Hình 1.4: Mô hình bảo mật thông tin dùng kỹ thuật mật mã ........................................ 23
Hình 1.5: Mô hình mã hóa khóa đối xứng .................................................................... 24
Hình 1.6: Mô hình mã hoá dùng khoá công khai.......................................................... 25
Hình 1.7: Giao thức bắt tay SSL ................................................................................... 32
Hình 1.8: Giao thức bản ghi SSL .................................................................................. 33
Hình 1.9: Tấn công ChangeCipherSpec ....................................................................... 35
Hình 1.10: Tấn công quay lui thuật toán trao đổi khóa ............................................... 37
Hình 3.1: Sơ đồ khối tổng quát của OpenVPN ............................................................. 82

TCP/IP
Bảng 2.1. Bảng tính a(y) và n(y) cho lĩnh vực kinh tế - xã hội

51

của Lenstra và Verheul
Bảng 2.2. Bảng tính các giá trị a(y) và n(y) cho lĩnh vực kinh tế - xã hội

54

Bảng 2.3. Bảng tính các giá trị ngưỡng an toàn theo các phương pháp

54

Bảng 2.4. Danh sách 16 đa thức nguyên thủy bậc 8 trên

70
2

Bảng 2.5. So sánh cài đặt kiểu bit-slice các ma trận MDS 4x4

74

Bảng 2.6. Kết quả cài đặt thực nghiệm thuật toán cho 1 vòng mã hóa

76

Bảng 2.7. Kết quả cài đặt thực nghiệm tốc độ mã hóa của BC_VPN

77

phương thức tấn công ngày càng tinh vi, phức tạp có thể dẫn đến mất mát, sai lệch
thông tin, thậm chí có thể làn sụp đổ hoàn toàn hệ thống thông tin của các cơ quan
chính phủ, các ngân hàng, doanh nghiệp. Trong quá trình đẩy mạnh ứng dụng, phát
triển công nghệ thông tin, hội nhập quốc tế, với sự phát triển nhanh chóng của các
mạng thông tin truyền thông, các hệ thống thông tin phân tán và đặc biệt là mạng
thông tin toàn cầu Internet thì nhu cầu đảm bảo an ninh an toàn thông tin càng trở
lên cấp thiết. An toàn thông tin một vấn đề vừa mang tính thời sự, vừa mang tính
thách thức không chỉ đối với các chuyên gia tin học mà còn đối với sự phát triển của
các hệ thống thông tin toàn cầu.
Đã từ lâu vấn đề bảo mật thông tin là một công việc quan trọng đối với mọi
Quốc gia, nó nhằm mục đích giữ cho thông tin được an toàn bằng kỹ thuật mật mã.
Khi chưa có mạng máy tính, thông tin được lưu trữ trên các máy tính được bảo vệ
chủ yếu bằng các biện pháp vật lý, nghiệp vụ. Các thông tin cần giữ bí mật sẽ được
mã hóa trước khi truyền trên kênh công khai. Khi các máy tính được kết nối với
nhau thành mạng, do nhu cầu sử dụng tài nguyên chung và liên lạc với nhau, các
thông tin trên mỗi máy tính dễ dàng bị truy nhập từ một máy tính khác. Đồng thời,

1


các thông tin trao đổi trên môi trường mạng cũng dễ dàng bị đánh cắp, sửa đổi, giả
mạo [51], [53], [62], [63].
An toàn mạng máy tính là tổng thể các giải pháp về mặt tổ chức và kỹ thuật
nhằm ngăn cản mọi nguy cơ làm tổn hại đến hệ thống mạng. Sự cần thiết phải hội
nhập các dịch vụ vào cùng một hạ tầng cơ sở mạng thống nhất (tất cả trong một) là
một xu thế tất yếu. Các nhà quản lý, cung cấp dịch vụ mạng cố gắng triển khai
những công nghệ mới nhất vào hạ tầng cơ sở mạng của mình, an ninh mạng trở
thành một chức năng then chốt trong việc xây dựng và duy trì các mạng hiện đại
của mọi tổ chức. Các nguyên tắc nền tảng để xây dựng hệ thống mạng an toàn bao
gồm: tính bí mật, tính toàn vẹn, tính sẵn sàng [7], [8], [26], [49], [53]. Tùy thuộc

Mô hình, hệ thống mạng sử dụng bộ giao thức TCP/IP cần bảo đảm an ninh,
an toàn. Các chuẩn giao thức bảo mật mạng, tập trung vào các giải pháp mật mã và
khả năng tích hợp các thành tố mật mã vào bộ giao thức SSL/TLS để bảo mật dữ
liệu trên đường truyền.
1.4 Phạm vi nghiên cứu
- Luận án tập trung vào nghiên cứu, lựa chọn giải pháp tích hợp mật mã vào
giao thức bảo mật dữ liệu trên đường truyền trong mô hình mạng TCP/IP.
- Nghiên cứu đề xuất giải pháp nâng cao hiệu quả thực thi, độ an toàn của giao
thức SSL/TLS, hệ mật RSA và thuật toán mã hóa dữ liệu cho bài toán bảo
mật dữ liệu trên đường truyền.
1.5 Cách tiếp cận và phương pháp nghiên cứu
- Tổng hợp các kết quả nghiên cứu mới, các giải pháp về an toàn và bảo mật
thông tin trên các máy tính và trên hệ thống mạng.
- Trên cơ sở kiến trúc an ninh chung của mô hình OSI, các giao thức bảo mật
mạng, thông qua khảo sát, phân tích, đánh giá các kết quả đã nghiên cứu từ
đó đề xuất giải pháp nâng cao hiệu quả bảo mật dữ liệu trên đường truyền.
- Dựa trên phương pháp phân tích lý thuyết (sử dụng lý thuyết và kỹ thuật mật
mã hiện đại), tính toán giải tích, chứng minh bằng toán học và kiểm chứng
thông qua việc cài đặt, thử nghiệm thực tế để chứng minh tính đúng đắn,
hiệu quả của các kết quả nghiên cứu.

3


1.6 Nội dung nghiên cứu
- Nghiên cứu, lựa chọn giải pháp tích hợp mật mã vào giao thức bảo mật dữ
liệu trên đường truyền trong mô hình mạng TCP/IP để bảo mật thông tin trên
mạng. Phân tích cấu trúc giao thức SSL/TLS, các điểm yếu an ninh và một
số tấn công cơ bản dựa trên các điểm yếu còn tồn tại của bộ giao thức.
- Nghiên cứu đề xuất giải pháp để nâng cao hiệu quả thực thi các thuật toán

lục của luận án.
Phần mở đầu: Phân tích tình hình hiện tại, tính cấp thiết của vấn đề nghiên cứu
và đề xuất nhiệm vụ nghiên cứu.
Chương 1: Tổng quan về giải pháp can thiệp mật mã vào hệ thống mạng dùng
giao thức TCP/IP.
Chương này hệ thống hóa các khái niệm cơ bản về an ninh an toàn trên mạng
máy tính. Phân tích bộ giao thức TCP/IP và khả năng tích hợp mật mã vào các tầng
trong mô hình giao thức TCP/IP để bảo mật thông tin;
Phân tích bộ giao thức SSL/TLS, các thành phần cơ bản trong bộ giao thức,
chỉ ra những điểm yếu mất an ninh, an toàn trong giao thức và những giải pháp khắc
phục. Xác định rõ vai trò của hệ mật RSA và thuật toán mã khối trong giao thức
SSL/TLS để xây dựng ứng dụng bảo mật dữ liệu trên đường truyền.
Chương 2: Nâng cao hiệu quả thực thi, độ an toàn của các tham số hệ mật
RSA và thuật toán mã khối.
Trong chương này, luận án trình bày một số kết quả nghiên cứu đề xuất mới
về tiêu chuẩn số mũ công khai trong hệ mật RSA trong lĩnh vực kinh tế - xã hội và
thuật toán mã hóa dữ liệu định hướng cho ứng dụng bảo mật dữ liệu trên đường
truyền.
- Thứ nhất, luận án đưa ra một tiêu chuẩn mới đối với số mũ công khai trong hệ
mật RSA (kết quả nghiên cứu được đăng trong bài báo số 05) và cập nhật bổ
sung giả thiết xác định độ dài modulo an toàn.
- Thứ hai, luận án nghiên cứu đề xuất được ma trận an toàn và cài đặt hiệu quả
dựa trên ma trận tựa vòng cho tầng tuyến tính trong các mã khối dạng AES
(kết quả nghiên cứu được đăng trong bài báo số 06).
Chương 3: Tích hợp mật mã trong giao thức và bộ phần mềm bảo mật dữ liệu
trên đường truyền.

5



trong các thiết bị vật lý như ổ đĩa, thẻ nhớ…hoặc được truyền qua kênh công khai.
Những thông tin có giá trị luôn luôn chịu những mối đe dọa của những người không
được ủy quyền. Họ có thể là những kẻ tấn công bất hợp pháp hoặc những người
trong nội bộ cơ quan, tổ chức có thông tin cần bảo vệ. Khái niệm “An toàn thông
tin” (Information security) chỉ ra các yêu cầu đối với việc bảo vệ thông tin bao gồm:
- Tính bí mật (Confidentality): Đảm bảo rằng thông tin không bị lộ hoặc bị
khám phá bởi những người không được ủy quyền.
- Tính xác thực (Authentication): Đảm bảo rằng người gửi và người nhận
thông tin không bị mạo danh.
- Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin không bị thay đổi hoặc bị
phá hủy bởi những người không được ủy quyền.
- Tính sẵn sàng (Availibility): Đảm bảo rằng những người hợp pháp không bị
từ chối truy nhập một cách không chính đáng tới thông tin và tài nguyên.
Một mối đe doạ (threat) là một người, một vật, một sự kiện, hay một ý định
gây ra một số nguy hiểm đối với tài nguyên, dưới dạng tính bí mật, toàn vẹn, sự khả
dụng, hoặc tính sử dụng hợp pháp của tài nguyên. Một cuộc tấn công (attack) là thể

7


hiện thực tế của một mối đe doạ. Các biện pháp bảo vệ (safeguard) là các điều khiển
vật lý, các cơ chế, các chính sách và các thủ tục bảo vệ các tài nguyên khỏi các mối
đe doạ. Những điểm có thể bị tổn thương (vulnerability) là những điểm yếu trong
một cách bảo vệ, hay nơi thiếu sự bảo vệ.
Sự rủi ro (risk) là độ đo đánh giá tính dễ bị tổn thương thực sự kết hợp với
khả năng tấn công thành công. Độ rủi ro cao nếu giá trị của tài sản có thể bị tổn
thương cao, và khả năng tấn công thành công cao. Ngược lại, độ rủi ro thấp nếu giá
trị của tài sản có thể bị tổn thương thấp, và khả năng tấn công thành công thấp. Việc
phân tích độ rủi ro có thể cung cấp một cách định lượng để xác định xem chi phí
trong các cách bảo vệ có được đảm bảo hay không.

Đích
thông tin

Nguồn
thông tin

(b) Ngăn chặn thông tin

(c) Chặn bắt thông tin

Đích
thông tin

Nguồn
thông tin

Đích
thông tin

Nguồn
thông tin

Đích
thông tin

Nguồn
thông tin

(d) Thay đổi thông tin


- An toàn môi trường: bảo vệ nơi lưu trữ thông tin; kiểm tra việc ghi dấu, sao
chép, và sự phá hoại thông tin nhạy cảm.
- An toàn nguồn phát: kiểm soát tần số radio (RF) và các nguồn phát tín hiệu
điện từ khác (gọi là bảo vệ TEMPEST).
- Kiểm soát chu kỳ sống: thiết kế, thực thi, đánh giá, xác nhận hệ thống đáng
tin cậy; lập trình các chuẩn và các điều khiển, quản lý tài liệu.
Để đảm bảo an toàn mạng máy tính một cách hiệu quả cần phải sử dụng phối
hợp các biện pháp đối phó từ các lớp khác nhau. Những biện pháp bảo vệ có thể bảo
đảm chống lại hầu hết các mối đe doạ, nhưng mỗi sự bảo vệ đều có giá của nó. Mỗi
cơ quan, tổ chức sử dụng mạng cần xem xét một cách cẩn thận chi phí bảo vệ so với
giá tiềm năng của một cuộc tấn công thành công.
1.1.5. Các dịch vụ an toàn
Trong ngữ cảnh truyền thông máy tính, các cách bảo vệ an toàn chính được
gọi là các dịch vụ an toàn. Các dịch vụ an toàn tổng quát (khái niệm dịch vụ an toàn
và các dịch vụ an toàn tổng quát xuất phát từ chuẩn kiến trúc an toàn ISO/IEC
7498-2) bao gồm:

10


- Dịch vụ giữ bí mật (Confidentiality service): bảo vệ chống lại thông tin bị lộ
hoặc bị khám phá do các thực thể không được phép.
- Dịch vụ xác thực (Authentication service): cung cấp sự đảm bảo về định danh
của thực thể nào đó (một người hoặc một hệ thống).
- Dịch vụ toàn vẹn dữ liệu (Data integrity service): bảo vệ chống lại dữ liệu bị
thay đổi, xoá, hoặc thay thế trái phép.
- Dịch vụ chống chối bỏ (Non-repudiation service): bảo vệ chống lại một nhóm
trao đổi truyền thông từ chối một cách không đúng khi trao đổi xảy ra.
- Dịch vụ kiểm soát truy nhập (Access control service): bảo vệ chống lại việc
sử dụng hoặc thao tác trái phép trên các tài nguyên.

TCP trong bộ giao thức TCP/IP.
- Dịch vụ bí mật không kết nối (connectionless confidentiality service): bảo vệ
dữ liệu của một khối dữ liệu không kết nối. Dịch vụ này được dùng cho giao
thức không kết nối như IP trong bộ giao thức TCP/IP.
- Dịch vụ bí mật trường lựa chọn (selective field confidentiality): chỉ bảo vệ
các trường được chỉ định trong một khối dữ liệu. Dịch vụ này thường được
dùng trong việc bảo vệ các cơ sở dữ liệu.
1.1.5.2. Dịch vụ xác thực
Các dịch vụ xác thực cung cấp sự đảm bảo về định danh của người hoặc vật
nào đó. Điều này có nghĩa là khi một ai đó đòi hỏi có một định danh cụ thể (ví dụ,
tên người dùng cụ thể), thì một dịch vụ xác thực sẽ cung cấp một phương tiện khẳng
định yêu cầu này là đúng. Dịch vụ xác thực đảm bảo rằng việc truyền thông là xác
thực nghĩa là cả người gửi và người nhận không bị mạo danh. Trong trường hợp có
một thông báo đơn như một thư điện tử hay một yêu cầu kết nối, dịch vụ xác thực
đảm bảo với bên nhận rằng thông báo đến từ đúng bên nêu danh. Trong trường hợp
có một giao dịch đang xảy ra, dịch vụ xác thực đảm bảo rằng hai bên giao dịch là
xác thực và không có kẻ nào giả danh làm một trong các bên trao đổi. Nói một cách
khác, dịch vụ xác thực yêu cầu nguồn gốc của thông báo được nhận dạng đúng với
các định danh đúng. Xác thực là rất quan trọng trong các dịch vụ an toàn, bởi vì tất
cả các dịch vụ an toàn khác chỉ có ý nghĩa khi thông tin được xác thực. Xác thực là

12


cách thức để chống lại sự giả danh mà nó có thể dẫn tới sự tổn thương của các dịch
vụ khác.
Xác thực áp dụng trong một ngữ cảnh cụ thể, nghĩa là ngữ cảnh mà ở đó định
danh được đưa ra. Hai trường hợp quan trọng trong dịch vụ xác thực là:
- Một định danh được đưa ra bởi một nhóm từ xa tham gia vào một liên kết
hoặc phiên truyền thông. Dịch vụ xác thực trong trường hợp này được hiểu là

chứng minh thông báo đã nhận được bởi người nhận hợp pháp. Mục đích chính của
dịch vụ không thể chối bỏ là bảo vệ những người dùng truyền thông chống lại các
mối đe doạ từ những ngườì dùng hợp pháp khác, mà không phải là những kẻ tấn
công lạ mặt. Dịch vụ này có thể đảm bảo rằng các bằng chứng để giải quyết việc
tranh cãi là không thể bác bỏ được.
Về cơ bản, không thể chối bỏ có thể áp dụng cho bất kỳ một loại sự kiện nào
ảnh hưởng tới hai hoặc nhiều nhóm. Nếu chúng ta chỉ hạn chế các mối quan tâm tới
các môi trường mạng máy tính, thì kịch bản không thừa nhận có thể được chia
thành hai trường hợp phân biệt:
- Không thừa nhận nguồn gốc: Không thừa nhận là có một nhóm cụ thể khởi
sinh một mục dữ liệu cụ thể.
- Không thừa nhận sự phân phát: Không thừa nhận một mục dữ liệu cụ thể
được phát cho một nhóm cụ thể.
1.1.5.5. Dịch vụ kiểm soát truy nhập
Kiểm soát truy nhập là khả năng hạn chế và kiểm soát truy nhập đến các hệ
thống máy tính và các ứng dụng theo các đường truyền thông. Mỗi thực thể muốn
truy nhập đều phải được định danh hay xác nhận có quyền truy nhập phù hợp. Mục
đích của điều khiển truy nhập là bảo vệ chống lại truy nhập trái phép tới tài nguyên
mạng. Khái niệm truy nhập trái phép bao gồm sử dụng trái phép, tiết lộ trái phép,
thay đổi trái phép, sự phá hoại trái phép và việc đưa ra các lệnh trái phép. Điều
khiển truy nhập tham gia trực tiếp vào việc thực hiện các dịch vụ bí mật, toàn vẹn
và sẵn sàng của thông tin. Dễ nhận thấy vai trò của kiểm soát truy nhập đối với tính
bí mật và tính toàn vẹn của thông tin. Đối với thuộc tính sẵn sàng nó kiểm soát:
- Ai có thể đưa ra các câu lệnh quản trị mạng mà các lệnh này ảnh hưởng trực
tiếp tới tính sẵn sàng của mạng;

14