Chứng thực – Phân quyền

CHỨNG THỰC – PHÂN QUYỀNAuthentication - Authorization© 2008, Vietnam-Korea Friendship IT CollegeChứng thực người dùng Chứng thực người dùng:Là quá trình thiết lập tính hợp lệ của người dùng trước khi truy cập thông tin trong hệ thống.Thường sử dụng phương pháp chung là username/password© 2008, Vietnam-Korea Friendship IT CollegeChứng thực người dùngusername/password CHAP Kerberos Password dùng 1 lần Thẻ password (Token password) Chứng chỉ (Certificates) Sinh trắc học Kết hợp nhiều phương pháp© 2008, Vietnam-Korea Friendship IT CollegeUsername/PasswordLà loại chứng thực phổ biến nhấtTruyền username/password đến ServerVí dụDial-up© 2008, Vietnam-Korea Friendship IT CollegeUsername/Password Các vấn đềThời gian duy trìThay đổi mật khẩu thường xuyên hay không?Có nguy cơ bị lấy mấtKeyloggersPhần mềm: theo dõi phím bấmPhần cứng: thiết bị gắn giữa bàn phím và CPU để theo dõi phím bấm© 2008, Vietnam-Korea Friendship IT CollegeUsername/Password Giải phápĐặt mật khẩu dàiBao gồm chử cái, số, biểu tượngThay đổi password: 01 tháng/lầnKhông nên đặt cùng password ở nhiều nơiXem xét việc cung cấp password cho aiVí dụ: Tomatotree650© 2008, Vietnam-Korea Friendship IT CollegeCHAP CHAP (Challenge Hanshake Authentication Protocol)Mật khẩu người dùng: bảo mậtSố ngẫu nhiên: dùng để mã hóaSử dụng trong remote login, PPP, PRAS, xác thực dịch vụ webTriển khai: MS CHAP version 2© 2008, Vietnam-Korea Friendship IT CollegeCHAP© 2008, Vietnam-Korea Friendship IT CollegeCHAP Hoạt động của CHAPClient gửi yêu cầuServer đưa ra challengeClient mã hóa (băm) challenge với secret và gửi cho ServerClient được xác thực khi kết quả giống nhau.© 2008, Vietnam-Korea Friendship IT CollegeKerberos Bắt đầu phát triển tại MIT năm 1980 Microsoft đưa Kerberos vào Windows 2000 và .NETTicket: sự cấp phép cụ thểTicket Grant Ticket (TGT): được đưa ra bởi Central Authority cho phép người dùng yêu cầu một dịch vụ nào đó.Key Distribution Center (KDC): máy chủ cung cấp cho Client TGT, chứng thực và cho phép user yêu cầu một dịch vụ nào đó.Ticket Granting Server (TGS): máy chủ kiểm tra Client có được phép nhận một ticket hay không.© 2008, Vietnam-Korea Friendship IT CollegeKerberos -2 Quá trình hoạt độngTGTTicketTicket© 2008, Vietnam-Korea Friendship IT CollegeKerberos -3 Kerberos ProcessChứng thực người dùngClient liên lạc với KDC yêu cầu chứng thựcTGT nhận được từ KDCCho phép client yêu cầu một dịch vụ cụ thể nào đóTicket cho dịch vụ được nhận từ TGSClient đưa ticket cho máy chủ ứng dụngKhi đã được chứng thực, quyền truy nhập được cấp cho người dùng© 2008, Vietnam-Korea Friendship IT CollegePassword sử dụng một lần Người dùng có chương trình sinh password Có thể gửi dạng “clear” qua môi trường không an toàn© 2008, Vietnam-Korea Friendship IT CollegeToken password Được coi là một trong những phương pháp an toàn nhất Thẻ bài mang một số thông tin cá nhân Người dùng ngoài mật khẩu còn phải có thẻ bài© 2008, Vietnam-Korea Friendship IT CollegeCertificates Một Server (Certificates Authority - CA) tạo ra các certificatesCó thể là vật lý: smartcardCó thể là logic: chữ ký điện tử Sử dụng public/private key (bất cứ dữ liệu nào được mã hóa bằng public key chỉ có thể giải mã bằng private key) Sử dụng “công ty thứ 3” để chứng thực© 2008, Vietnam-Korea Friendship IT CollegeCertificates - 2© 2008, Vietnam-Korea Friendship IT CollegeCertificates - 3Được sử dụng phổ biến trong chứng thực web, smart cards, chữ ký điện tử cho email và mã hóa email Nhược điểm Triển khai PKI (Public Key Infrastructure) kéo dài và tốn kém Smart cards làm tăng giá triển khai và bảo trì Dịch vụ CA tốn kém© 2008, Vietnam-Korea Friendship IT CollegeSinh trắc học Mống mắt/võng mạc Vân tay Giọng nói© 2008, Vietnam-Korea Friendship IT CollegeSinh trắc học-2 Ưu điểmCó thể rất chính xácNhanh: thời gian chứng thực nhỏ hơn 1sSự tác động của người dùng thấpKết hợp nhiều yếu tố: vân tay, võng mạc, giọng nói, Nhược điểmGiá thành: triển khai hệ thống sinh trắc học đòi hỏi chi phí cho phần cứng và phần mềm.Có thể nhận diện sai: mặc dù đúng người nhưng hệ thống không chấp nhận© 2008, Vietnam-Korea Friendship IT CollegeKết hợp nhiều phương pháp (Multi-factor) Sử dụng nhiều hơn một phương pháp chứng thựcMật khẩu/ PINSmart cardSinh trắc học Kết hợp nhiều phương pháp chứng thực tạo sự bảo vệ theo chiều sâu với nhiều tầng bảo vệ khác nhau© 2008, Vietnam-Korea Friendship IT CollegeKết hợp nhiều phương pháp (Multi-factor) Ưu điểmGiảm sự phụ thuộc vào passwordHệ thống chứng thực mạnh hơnCung cấp khả năng cho Provides Public Key Infrastructure (PKI) Nhược điểmTăng chi phí triển khai: đầu tư thiết bị, đào tạo người dùng và quản trịTăng chi phí duy trì: do tính không tương thích giữa các nhà SXChi phí nâng cấp: sự không ổn định của nhà SX© 2008, Vietnam-Korea Friendship IT CollegeĐiều khiển truy cập/Phân quyền SD Mô hình điều khiển truy cập Quá trình điều khiển truy cập Các loại điều khiển truy cập© 2008, Vietnam-Korea Friendship IT CollegeĐiều khiển truy cập Điều khiển truy cập là quá trình giới hạn quyền sử dụng của người dùng đã được chứng thực đối với tài nguyên hệ thống, cũng như hạn chế các tác động của người dùng đối với tài nguyên hệ thống và đảm bảo người dùng chỉ tác động được các tài nguyên trong phạm vi được cấp quyền đó.© 2008, Vietnam-Korea Friendship IT CollegeĐiều khiển truy cập Quá trình điều khiển truy cập Xác định người dùng (Identification) Name, Account no.IdentifieduseruserAccessControlmechanismUser XIdentification dataAuthentication dataAuthorization data© 2008, Vietnam-Korea Friendship IT CollegeĐiều khiển truy cập Chứng thực người dùngRemembered infoPossessed objectsPersonal characteristicsValid/invaliduseruserAccessControlmechanismUser XIdentification dataAuthentication dataAuthorization data© 2008, Vietnam-Korea Friendship IT CollegeĐiều khiển truy cập Phân quyền sử dụnguserAccessControlmechanismUser XIdentification dataAuthentication dataAuthorization dataObject resourcesAction requestsPermitted/deniedactions*Resource-HW-SW-Commodities(processor time, disc space)-Data *Action privileges-READ(direct read, statistical or aggregate data read only)- ADD(insert, append)- Modify (write)- Delete© 2008, Vietnam-Korea Friendship IT CollegeĐiều khiển truy cập Các loại điều khiển truy cậpTruy cập bắt buộcTruy cập tùy ýTruy cập theo người dùng© 2008, Vietnam-Korea Friendship IT CollegeĐiều khiển truy cập Điều khiển truy cập bắt buộc (Mandatory Access Control) Việc bảo vệ dữ liệu không được quyết định bởi người dùng thông thường Hệ thống yêu cầu phải bảo vệ dữ liệu Ví dụ: Thư mục dùng chung trên máy chủ, người dùng không thể thay đổi được© 2008, Vietnam-Korea Friendship IT CollegeĐiều khiển truy cập Điều khiển truy cập tùy ý (Discretionary Access Control Người dùng tự mình tạo quyền truy nhập Ví dụ: Chia sẻ máy in cho người khác sử dụng© 2008, Vietnam-Korea Friendship IT CollegeĐiều khiển truy cập Điều khiển truy cập theo người dùng (Role-based Access Control)- Quyền truy cập được định nghĩa theo vai trò của người dùng:* Adminstrator* Power User* Dial-up User* .© 2008, Vietnam-Korea Friendship IT CollegeTổng kếtChứng thực người dùng – phân quyền sử dụngKhái niệmCác phương pháp chứng thực người dùng© 2008, Vietnam-Korea Friendship IT CollegeThảo luậnNhóm 1: RADIUSNhóm 2: KerberosNhóm 3: CHAPNhóm 4: CertificateYêu cầu: mô tả hệ thống/ triển khai thực nghiệm trên môi trường giả lập© 2008, Vietnam-Korea Friendship IT College