Bài giảng An toàn hệ thống thông tin - Chương 6: Chứng thực thực thể (Entity Authentication) - Nguyễn Thị Hạnh
07/01/2018
CHỨNG THỰC THỰC THỂ
(Entity Authentication)
GV: Nguyễn Thị Hạnh
Nội dung chính
1. Giới thiệu chứng thực thực thể
2. Chứng thực bằng Passpword
3. Chứng thực bằng Challenge-Response
4. Chứng thực bằng ZERO-KNOWLEDGE
5. Chứng thực bằng Biometrics
(Cryptography & Network Security. McGraw-Hill, Inc., 2007.,
Chapter 14)
1
07/01/2018
1. Chứng thực thực thể
˗ Chứng thực thực thể (Entity Authentication):
là một kỹ thuật được thiết kế cho phép một bên (party) chứng
minh sự nhận dạng (identity) của một bên khác.
˗ Entity là gì:
Có thể là một con người, tiến trình, client, hoặc một server.
Thực thể mà identity cần được chứng minh được gọi là người
thỉnh cầu (Claimant); bên mà cố gắng chứng minh identity
của claimant được gọi là người thẩm định (verifier)
Sự khác biệt
˗ Chứng thực thông điệp
(Message authenticaton or
data-orign aunthentcation):
˗ Chứng thực thực thể (Entity
Authentication)
° Không cần xảy ra theo thời
gian thực; Ví dụ: Alice gửi
° Theo thời gian thực. Ví dụ:
Alice cần online và tham gia
tiến trình giao tiếp, thông điệp
chỉ được trao đổi khi được
chứng thực
thông điệp cho Bob, khi Bob
chứng thực thông điệp thì Alice
có thể không cần phải có mặt
ngay trong tiến trình giao tiếp
° Chứng thực cho từng thông
điệp
° Chứng thực trong suốt section
2
07/01/2018
Các loại vật chứng (Verification Categories)
Clainmant có thể trình ra identify của cô ta cho Verifer. Có ba loại
vật chứng:
˗ Something known: Là một bí mật chỉ được biết bởi clainmant
mà có thể được kiểm tra bởi verifier. Ví dụ: Password, Pin,
secret key, private key.
˗ Something possessed: là một thứ mà có thể chứng minh
nhận dạng của claimant. Ví dụ: passport, bằng lái xe, chứng
minh nhân dân, credit card, smart card
˗ Something inherent: là một đặc tính vốn sẳn có của Claimant.
Ví dụ: Chữ ký thông thường, vân tay, giọng nói, đặc tính khuôn
mặt, võng mạc, và chữ viết tay.
2. Passwords
˗ Là phương pháp đơn giản và lâu đời nhất, được gọi là
Password-based Authentication, password là một thứ mà
claimant biết.
˗ Một Password được dùng khi một người dùng cần truy xuất
một hệ thống để sử dụng nguồn tài nguyên của hệ thống.
˗ Mỗi người dùng có một định danh người dùng (user
identification) công khai và một password bí mật.
˗ Có 2 cơ chế password:
° Fixed password
° và one-time password
3
07/01/2018
2.1 Fixed Password
˗ Là một password được dùng lặp đi lặp lại mỗi lần truy xuất
˗ Có 3 cơ chế được xây dựng theo hướng này
° User ID và Password File
° Hashing the password
° Salting the password
° Two identification techniques are combined
2.1 Fixed Password
˗ User ID và Password File
° Rất thô sơ, User ID và Password được lưu trong một tập tin.
° Để truy xuất tài nguyên, người dùng gửi bản rõ của User ID
và Password đến hệ thống. Nếu Password trùng khớp với
Password trong hệ thống, thì quyền truy xuất được gán
ngược lại từ chối.
4
07/01/2018
2.1 Fixed Password
˗ User ID và Password File
2.1 Fixed Password
˗ Hashing the password
5
07/01/2018
2.1 Fixed Password
˗ Salting the password
2.1 Fixed Password
˗ Two identification techniques are combined
A good example of this type of authentication is the use of an ATM card with a
PIN (personal identification number).
6
07/01/2018
2.2 One-Time Password
˗ One-time Passoword:
là một password mà được sử dụng chỉ một lần. Loại
password này làm cho các tấng công eavesdropping và
salting vô tác dụng. Có 3 hướng:
2.2 One-Time Password
Hướng 1: User và System thỏa thuận một danh sách các
Password
° Mỗi Password trong danh sách được dùng một lần
° System và User phải giữ gìn danh sách Password
° Nếu User không dùng các password một cách tuần tự thì System phải
thực hiện tìm kiếm và so khớp
° Password chỉ hợp lệ một lần và không sử dụng lại
7
07/01/2018
2.2 One-Time Password
Hướng 2: User và System thỏa thuận cập nhật một cách
tuần tự Password
° User và System thỏa thuận một Password gốc, P1 mà
Password này chỉ hợp lệ cho lần đầu tiên truy suất.
° Trong quá trình truy xuất lần đầu tiên này, user phát sinh
một password mới P2, và mã hóa password này với khóa
là P1, P2 là password cho lần truy xuất kế tiếp và cứ thế
tiếp tục phát sinh Pi+1 từ Pi cho lần truy xuất thứ Pi+1
° Nếu đối phương đoán ra được P1 thì có thể tìm được tất
cả các Password khác
2.2 One-Time Password
Hướng 3: User và System tạo ra một Password được cập
nhật một cách tuần tự sử dụng hàm băm.
˗ Hướng này được đề xuất bởi Leslie Lamport
˗ User và System đồng thuận một Password gốc, P0 và số
đếm n. System tính hn(P0) với hn được áp dụng hàm băm lần
thứ n
hn(x)=h(hn-1(x)), hn-1(x)=h(hn-2(x)), …, h2(x)=h(h (x)), h1(x)=h(x)
˗ System lưu nhận dạng của user thông qua giá trị n và giá trị
hn(P0)
8
07/01/2018
2.2 One-Time Password
˗ Lamport one-time password
3. Challenge-Response
˗ Dùng chứng thực bằng Password, để chứng mnh nhận dạng
Claimant cần trình ra password bí mật, tuy nhiên password này
có bị tiết lộ
˗ Với chứng thực bằng Challenge-reponse, claimant chứng
mình rằng cô ta biết một bí mật (secret) mà không cần gửi
chúng đi. Nói cách khác, clamant không cần gửi bí mật cho
verifier, verifier hoặc có hoặc tự tìm ra chúng
˗ Challege là một giá trị biến đổi theo thời gian được gửi bởi
Verifier, Response là kết quả của một hàm được áp dụng
trên challenge
9
07/01/2018
3. Challenge-Response
Có 3 hướng chính để tạo nên Challenge-reponse
˗ Using A Sysmetric-Key Cipher
˗ Using Keyed-Has Functions
˗ Using An Asymmetric-Key Cipher
˗ Using Digital Signature
3.1 Using A Sysmetric-Key Cipher
˗ Bí mật (secret) ở đây là khóa bí mật được chia sẻ giữa
Claimant và Verifier. Sử dụng hàm mã hóa áp dụng cho
challenge này. Có vài hướng theo cơ chế này
˗ Hướng 1: Nonce challenge
10
07/01/2018
3.1 Using A Sysmetric-Key Cipher
˗ Hướng 1: Nonce challenge
3.1 Using A Sysmetric-Key Cipher
˗ Hướng 2: Timestamp challenge
11
07/01/2018
3.1 Using A Sysmetric-Key Cipher
˗ Hướng 3: Bidirectional authentication
3.2 Using Keyed-Hash Functions
˗ Thay vì dùng mã hóa/giải mã cho chứng thực thực thể, chúng
ta cũng có thể dùng một Keyed-has function (MAC)
˗ Keyed-hash function
12
07/01/2018
3.3 Using an Asymmetric-Key Cipher
˗ Sử dụng mã hóa khóa bất đối xứng, Secret là private key của Claimant.
Claimant phải chỉ ra rằng private của cô ta có liên quan đến Public key
bằng cách Verifier mã hóa challenge bằng cách dùng Public key của
claimant, sau đó claimant giải mã bằng private key
˗ Có hai hướng theo cơ chế này.
3.3 Using an Asymmetric-Key Cipher
˗ Hướng 1: Unidirectional, asymmetric-key authentication
13
07/01/2018
3.3 Using an Asymmetric-Key Cipher
˗ Hướng 2: Bidirectional, asymmetric-key
3.4 Using Digital Signature
˗ Digital Signature được dùng để chứng thực thực thể. Claimant
dùng Private để tạo chữ ký
˗ Hướng 1: Digital signature, unidirectional
14
07/01/2018
3.4 Using Digital Signature
˗ Hướng 2: Digital signature, bidirectional authentication
4. ZERO-KNOWLEDGE
˗ Trong chứng thực Challenge-response, bí mật của claimant không được
gửi đến verifier, mà Claimant áp dụng một hàm trên challenge gửi bởi
Verifier mà bao gồm cả bí mật của cô ta. Trong vài phương pháo
Challenge-response, verifier biết bí mật của claimant, mà có thể bị lạm
dụng bời những verifier không trung thực. Nói một cách khác, Verifier có
thể trích lọc ra được những thông tin về bí mật từ claimant bằng cách
chọn trước một tập các challenge.
˗ Trong chứng thực Zero-knowlegge, Clainmant không tiết lộ bất kỳ cái gì
mà có thể gây nguy hại đến bảo mật của bí mật. Claimant chứng minh
với verifier rằng cô ta biết một bí mật mà không hề tiết lộ nó.
15
07/01/2018
4.1 Giao thức Fiat_Shamir
4.1 Giao thức Fiat_Shamir
˗ Ví dụ: Cave Example
16
07/01/2018
4.2 Giao thức Feige-Fiat-Shamir
4.3 Giao thức Guillou-Quisquater
17
07/01/2018
5. Biometrics
˗ Sinh trắc học (Biometric) là phép đo lường về các đặc tính sinh lý học
hoặc hành vi học mà nhận dạng một con người . Sinh trắc học đo lường
các đặc tính mà không thể đoán, ăn cắp hoặc chia sẻ.
˗ Chúng ta sẽ thảo luận các vấn đề sau
° Components (thành phần)
° Enrollment (ghi nhận vào)
° Authentication (chứng thực)
° Techniques (Kỹ thuật)
° Accuracy (độ chính xác)
° Applications (các cứng dụng)
Components
˗ Vài Component cần cho sinh trắc học, bao gồm các thiết bị thu nhận đặc
tính của sinh trắc học, xử lý các đặc tính sinh trắc học, và thiết bị lưu trữ.
18
07/01/2018
Enrollment
˗ Trước khi dùng bất cứ kỹ thuật sinh trắc học để chứng thực, đặc tính
tương ứng của mỗi người trong cộng động cần phải có sẳn trong CSDL,
quá trình này được gọi là enrollment
Authentication
˗ Chứng thực (Authentcation) được thực hiện bởi sự thẩm tra (Verification)
hoặc nhận dạng (identication)
° Verification: Đặc tính của một người được so khớp với một mẫu tin
đơn trong CSDL để xác định cô ta có phải là người mà cô ta đang tự
khai không
° Identication: Đặc tính của một người được so khớp với tất cả các mẫu
tin có trong CSDL để xác định cô ta có một mẫu tn trong CSDL.
19
07/01/2018
Techiques
˗ Các kỹ thuật sinh trắc học có thể được chia thành hai hướng chính: sinh
lý học và dáng điệu học
Accuracy
˗ Độ chính xác (Accuracy) của các kỹ thuật sinh trắc học được đo lường
bằng cách dùng hai tham số:
° False Rejection Rate (FRR)
° False Acceptance Rate (FAR)
20
Tải về để xem bản đầy đủ
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng An toàn hệ thống thông tin - Chương 6: Chứng thực thực thể (Entity Authentication) - Nguyễn Thị Hạnh", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
File đính kèm:
- bai_giang_an_toan_he_thong_thong_tin_chuong_6_chung_thuc_thu.pdf