1LỜI NÓI ĐẦU

Khoá luận trình bày về bảo đảm ATTT trong kiểm soát truy nhập. Khoá
luận tập trung vào một số phương pháp kiểm soát truy nhập, một số chính sách
truy cập, và một số kĩ thuật kiểm soát truy nhập.
Nội dung của khoá luận gồm:
Chương 1: Trình bày một số khái niệm cơ bản liên như: hệ mã hoá, chữ kí
điện tử, hàm băm. Ngoài ra, trình bày các yêu cầu và giải pháp bảo đảm ATTT.
Đồng thời cũng nêu ra các bài toán ATTT.
Chương 2: Cho chúng ta nh
ững hiểu biết chung về vấn đề kiểm soát truy
nhập. Phần này, tập trung vào trình bày một số phương pháp kiểm soát truy
nhập, chính sách truy nhập, và kĩ thuật kiểm soát truy nhập.
Trình bày 2 phương pháp thường được sử dụng trong kiểm soát truy nhập,
đó là kiểm soát truy nhập “thủ công” và kiểm soát truy nhập “tự động”.
Trình bày một số chính sách kiểm soát truy nhập. Ở phần này, cho chúng
ta cái nhìn tổng quan về các chính sách kiểm soát truy nhập.
Tiếp theo, khoá luậ
n trình bày 5 kĩ thuật kiểm soát truy nhập. Đó là, hệ
thống nhận dạng và xác thực, tường lửa, mạng riêng ảo, hệ thống phát hiện và
ngăn chặn xâm nhập, và tường lửa ứng dụng web. Ở phần này, ngoài việc cho
chúng ta có những khái niệm cơ bản, còn chỉ ra những ưu nhược điểm của từng
kĩ thuật.
Trong quá trình hoàn thành đồ án tốt nghiệp, người viết không tránh khỏi
thiếu sót. Rất mong nhận được sự đóng góp ý kiến của thấy cô và các bạn.
IPS (Intrustion Prevent System) Hệ thống ngăn chặn xâm nhập.
ISP (Internet Service Providers) Nhà quản lí thiết bị mạng.
LBAC (Lattice Based Access Control) Kiểm soát truy cập dùng lưới.
MAC (Mandatory Access Control) Kiểm soát truy cập bắt buộc.
NIC (Network Interface Card) Card giao tiếp mạng.
NIDS (Network base IDS)

PIN (Personal Identification Number ) Số định danh cá nhân

3
PKI (Public Key Infrastructure) Hạ tầng cơ sở khoá công khai.
RBAC (Role Base Access Control) Kiểm soát truy cập trên cơ sở vai trò.
SNMP (Simple Network Managerment
Protocol)
Giao thức quản lí mạng.

SSL (Secure Socket Layer) Khe cắm an toàn.
SYN (Synchronize) Đồng bộ.
TA (Trusted Authority) Cơ quan uỷ thác cấp chứng thực.
TCP (Transmission Control Protocol)

TCP/ IP (Transfer Control Protocol/
Internet Protocol)

UDP (User Datagram Protocol)

URL (Uniform Resource Locator)

WAF (Web Application Firewall) Tường lửa ứng dụng web.


D (Decrytion): tập các hàm giải mã có thể.
Với mỗi k ∈ K, có hàm lập mã e
k
∈ E, e
k
: P → C và hàm giải mã d
k
∈ D,
d
k
: C → P sao cho d
k
(e
k
(x)) = x , ∀ x ∈ P.
Mã hóa cho ta bản mã e
k
(P)= C.
Giải mã cho ta bản rõ d
k
(C)= P.

1.1.2 Một số hệ mã hóa thường dùng.
Hệ mã hóa đối xứng là hệ mã mà khi ta biết khóa lập mã, “dễ” tính được
khóa giải mã và ngược lại. Trong nhiều trường hợp khóa lập mã và giải mã là
giống nhau. Hệ mã hóa đối xứng yêu cầu người nhận và gửi phải thỏa thuận
khóa trước khi thông tin được gửi đi. Khóa này phải được giữ bí mật, độ an toàn
của hệ phụ thuộc vào khóa. Nếu khóa bị lộ thì rất dễ giải mã.
Một số
hệ mã hóa đối xứng: DES, RC2, RC4, RC5, IDEA, ...

∈ V, ver
k’’
: P

x A → {đúng, sai}, thoả mãn điều kiện
sau đây với mọi x ∈ P, y ∈ A:
ver
k’’
(x,y) = đúng, nếu y = sig
k’
(x)
sai, nếu y ≠ sig
k’
(x)

Một số chữ kí điện tử: RSA, Elgamal, DSS, ....

1.3 HÀM BĂM (HASH FUNCTION).
Giả sử D là tập các văn bản có thể. X là tập các văn bản tóm lược (đại
diện) có thể. Việc tìm cho mỗi văn bản một tóm lược tương ứng xác định một
hàm h: D→ X. Hàm h như vậy được gọi là hàm băm.
Hàm băm thường phải thỏa mãn các điều kiện sau:
+ Hàm băm phải là hàm không va chạm mạnh.
+ Hàm băm là hàm một phía.
+ Hàm băm phải là hàm không va chạm yếu.

6

1.4 TỔNG QUAN VỀ ATTT.
1.4.1 Một số khái niệm.

một trong những mục tiêu của các hệ mã hoá.
2) Yêu cầu bảo toàn thông tin.
Trong lĩnh vực ATTT, tính bảo toàn (toàn vẹn) bảo đảm các mục tiêu sau:
ngăn ngừa việc thay đổi thông tin trái phép của người dùng không có thẩm
quyền, ngăn ngừa việc vô ý thay đổi thông tin của người dùng có thẩm quyền,
duy trì tính nhất quán củ
a thông tin.

3) Yêu cầu sẵn sàng.
Tính sẵn sàng được thể hiện là thông tin được đưa đến người dùng kịp
thời, không bị gián đoạn. Mọi hành vi làm gián đoạn quá trình truyền thông tin,
khiến thông tin không đến được người dùng, chính là đang tấn công vào tính sẵn
sàng của hệ thống đó.

4) Yêu cầu xác thực.
Ngoài 3 đặc tính trên, người ta còn đưa ra tính xác thực. Tính xác thực là
đảm bảo thông tin cần được xác thực nguồn gốc. Tính xác thực th
ường đi kèm
với tính chống chối cãi, không cho phép người dùng chối bỏ thông tin của họ

1.4.4 Một số giải pháp chung bảo đảm ATTT.
1) Chính sách bảo đảm ATTT.
Là tập hợp các qui tắc áp dụng cho mọi đối tượng có tham gia quản lí, sử
dụng tài nguyên và dịch vụ mạng. Với mục tiêu là giúp người dùng biết được
trách nhiệm của mình trong việc bảo vệ các thông tin, đồng thời giúp nhà quản
trị thiết lập các biện pháp bảo đảm hữu hiệu trong quá trình trang bị, cấu hình
kiểm soát hoạt động của hệ thống và mạng.
2) Giải pháp bả
o đảm ATTT.
Là tập hợp các biện pháp nhằm bảo đảm ATTT.

d
ấu hiệu nào đó. Điều này dùng để mở khoá chương mục.
+ Những gì người dùng sở hữu bẩm sinh như vân tay, giọng nói, ...
2) Dịch vụ ủy quyền:
Xác định những gì mà một người dùng đã được xác thực có thể thi hành.

9
Sự ủy quyền: định nghĩa “quyền” và “phép” của người dùng trong một hệ
thống. Sau khi người dùng đã được chứng thực, thì việc ủy quyền chỉ định
những cái gì mà người dùng đó có thể thi hành trên hệ thống.

3) Dịch vụ qui trách nhiệm:
Nhận dạng và chứng thực những hành vi, hoạt động mà người dùng đã
thi hành trong khi họ đang sử dụng hệ thống.

2.1.1.2 Mậ
t khẩu.
1) Tiêu chuẩn mật khẩu an toàn.
Sử dụng tối thiểu 8 kí tự, nói chung mật khẩu dài thì độ an toàn cao hơn.
Mật khẩu gồm 3 trong 4 nhóm kí tự sau:
+ Kí tự “số”.
+ Chữ in.
+ Chữ thường.
+ Kí tự đặc biệt trên bàn phím như @, &, #, ….

2) Phương pháp tạo mật khẩu.
Mật khẩu do người dùng tạo ra:
Là mật khẩu do người dùng tạo ra cho mục đích riêng của họ. Tuy nhiên,
người dùng chọn m
ật khẩu thường là các thông tin cá nhân như tên người thân,

Như vậy có thể dùng các thuật toán mã hoá để tìm ra bản rõ tương ứng.
c) Các biện pháp dò tìm thông minh.
Sử dụng các virus dạng “Trojan Horse” để lấy cắp mật khẩu. Các virus
này có thể ghi lại mật khẩu khi khởi động máy hoặc làm giả thủ tục đăng nhập,
đánh lừa người dùng để lấy cắp mật khẩu, hoặc chứa từ điển để dò tìm mật khẩu.

4) Các biện pháp bảo vệ mật khẩu.
a) Bảo vệ mật khẩu đối vớ
i người dùng.
Người dùng cần tuân thủ các tiêu chuẩn lựa chọn mật khẩu; Không sử
dụng các từ có trong từ điển; Không ghi lại mật khẩu; Không tiết lộ mật khẩu;
Thường xuyên thay đổi mật khẩu, ngay cả khi không có nghi ngờ rằng mật khẩu
đã bị lộ.
b) Mật khẩu dùng một lần.

11
Là loại mật khẩu thay đổi mỗi lần sử dụng, thực chất đây là hệ thống xác
định người dùng bằng hỏi đáp. Hàm cho từng người là cố định nhưng các tham
số của mỗi lần xác nhận là khác nhau. Vì vậy câu trả lời của người dùng là khác
nhau, đồng nghĩa với việc mật khẩu là khác nhau.

c) Bảo vệ mật khẩu lưu trong máy.
File mật khẩu lưu trong máy cầ
n được mã hoá để chống lại việc truy nhập
và lấy cắp thông tin về mật khẩu. Thường sử dụng hai cách để bảo vệ là mã hoá
truyền thống và mã hoá một chiều.

d) Muối mật khẩu.
Có thể xảy ra trường hợp hai người khác nhau cùng dùng chung một mật
khẩu. Khi đó trong bản mã hoá sẽ có hai bản mã như nhau và đó là kẽ hở để có

Cơ chế muối mật khẩu như sau: mật khẩu và muối được mã hoá, bản mã
và muối tương ứng cùng được lưu trong file mật khẩu.
Khi người dùng nhập mật khẩu, nó sẽ được mã hoá cùng với muối, kết
quả được so sánh với bản mã đã lưu trữ.

2.2.2 Kiểm soát truy nhập “tự động”.

Để kiểm soát truy nhập “tự động”, hiện nay người ta dùng các giải pháp:
+ Tường lửa (Firewall).
+ Mạng riêng ảo (VPN).
+ Hạ tầng cơ sở khoá công khai (PKI).
Tường lửa:
Là thiết bị nhằm ngăn chặn sự truy nhập không hợp lệ từ ngoài vào mạng
bên trong. Nó thường gồm cả phần cứng và phần mềm. Tường lửa thường được
dùng theo phương thức ngăn chặn hay tạo các luậ
t đối với các địa chỉ khác nhau.
Tường lửa là tường chắn đầu tiên bảo vệ giữa mạng bên trong với mạng
bên ngoài. Nó là công cụ cơ sở được dùng theo một chính sách an toàn, để ngăn
ngừa truy nhập không được phép giữa các mạng.

Mạng riêng ảo:
Là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet)
để kết nối các địa điểm hoặc người dùng t
ừ xa với một mạng LAN ở trụ sở trung
tâm. Thay vì dùng kết nối phức tạp như đường dây thuê bao số, VPN tạo ra các
liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa
điểm hoặc người dùng ở xa.

Hạ tầng cơ sở khoá công khai:
Là hệ thống cung cấp và quản lí chứng chỉ số, thực hiện xác thực định