Embed Size (px)
Citation preview
omybmayubtmovvdxusxvsajglfloetgtxekdkkfhujqwsbsfpbyhqhyncrogojpgnrqqkanknqbiimmjmgxduxdpfvaruxsktj
iakbtpmotagqfpeetilmlgdvdÁpdụnggiảipháp,triểnkhaimãhóatrênCSDLvàtruyềndữ liệuoxdlyklhpfdcjnqkmpekxhxslkpepqyfcpcglrfivdvfllqhajaoumrhajanhóm 4oixjmrhajaougrxglmugqncjkqmkvhswwvvbsvbkafnajqlljveufmfabshvrcxgdvdshypkjipioibaaxlkobrjqbqcsnfxhhwmnrekfskwvwlsrhuspmrbetcghmqudqagknlitaeuqtmspxklslitpvitpwcscosevehdumyohwjjgjqjcecqifqofrswwlrcahvkpgqfmsmrlxmgfsqwlcvqmsxctbqvehiymfsunwdpsycgelqeuupxlfxwhnkkbpneonsayuinxgwnpqxhkmbjqkmhhvmamsnckxqqsqeylcyfhjgqpcaoodm
Giới thiệu
• Hệ thống CSDL giúp cho công tác quản lý, khai thác và bảo vệ dữ liệu trởnên thuận tiện.
• Mặc dù vấn đề bảo vệ CSDL đã được thế giới nghiên cứu một cách rộng rãi cả về lý thuyết và thực hành, nhưng đây vẫn là bài toán thách đố giới chuyên môn.
Thống kê về lưu trữ
90
10
ngân hàng, kho tàng, quản lý cơ sở vật chất,
dân số, tài nguyên khoáng sản, sách trong thư
viện,...
thư tín , văn bản , các thông tin đồ hoạ khác
- Vấn đề bảo mật dữ liệu chưa được quan tâm
- Có thể còn có cả tính năng mã hóa/giải mã.
Khả năng bảo mật của hệ điều hành mạng:
- Khả năng phân quyền của hệquản trị CSDL
- Khả năng bảo mật của hệquản trị CSDL:
Thông tin trong CSDL cần được sử dụng chung, vậy nên việc dùng khoá riêng cho từng người sử dụng là không thích hợp.
Các vấn đề:
Thông tin trong CSDL cần phải được cập nhật, sửa đổi thường xuyên, nên không thể giải quyết theo hướng mã tệp -> nhất là với CSDL lớn
Việc mã hoá phải đáp ứng được yêu cầu của bài toán khai thác dữ liệu
Vì thông tin trong CSDL được lưu trữ lâu dài chứ không chỉ là những tệp dữ liệu đã được giải mã và có thể xoá đi nhanh chóng nên khi thay khoá, các tệp phải được giải mã bằng khoá cũ và mã lại bằng khoá mới. -> khối lượng công việc lớn
Các hình thức tấn công CSDL phổ biến
SQL Injection
Cross – site Scripting
Flood
Tận dụng hết khả năng an toàn sẵn có của hệ điều hành mạng và hệ quản trị CSDL
Có thể bảo mật CSDL ở những khía cạnh nào?
Bảo mật dữ liệu của CSDL trên đường truyền giống như các dịch vụmạng khác
Bảo mật trên đường truyền trong quá trình khai thác
Kiểm soát, phân quyền truy nhập
Ứng dụng
CSDL trung gian
CSDL
Xây
dựng
tầng
CSD
L tru
ng g
ian DL giải mã
DL mã hóa
Ứng dụng
Bảng ảo
CSDL
Sửdụ
ng cơ
chế
sẵn
có tr
ong
CSD
L
Truy xuất SD stored proceduce để giải
mã DL
Truy xuất insert, updateSD trigger và SP đểmã hóa DK
Mã hóa trên Cơ sở dữ liệu
Giới thiệu mã hóa MD5
• Một chiều
• Toàn vẹn dữ liệu
• Nền tảng cho nhiều ứng dụng mã hóa.
• SHA – 1 và MD5 được sử dụng khá phổ biến.
MD5
http://www.md5.net/
• Thông điệp ban đầu x sẽ được mở rộng thành dãy bit X có độ dài là bội số của 512. Mộtbit1 được thêm vào sau dãy bit x, tiếp đến là dãy gồm d bit 0 và cuối cùng là dãy 64 bit, biểu diễn độ dài của thông điệp x. Dãy gồm d bit 0 được thêm vào sao cho dãy X có độ dài là bội số 512.
• Đơn vị xử lý trong MD5 là các từ 32 bit nên dãy X sẽ được biểu diễn thành dãy các từ X[i] 32 bit: X = X[0] X[1] … X[n] với N là bội của 16.
• Đầu tiên, bốn biến A, B, C, D được khởi tạo. Những biến này được gọi là chaining variables.
• Bốn chu kỳ biến đổi trong MD5 hoàn toàn khác nhau và lần lượt sử dụng các hàm F, G, H và I. Mỗi hàm có tham số X, Y, Z là các từ 32 bit và kết quả là một từ 32 bit.
F ( X, Y, Z) = ( X ∧ Y) ∨ (( ¬X) ∧ Z)
G(X, Y, Z) = ( X ∧ Z) ∨ ( Y ∧ ( ¬ Z))
H ( X, Y, Z) = X ⊕ Y ⊕ Z
I ( X, Y, Z) = Y ⊕ ( X ∨ ( ¬ Z))
//Chú ý: Tất cả các biến đều là biến không dấu 32 bit và bao phủ mô đun 2^32 khi tính toán
var int[64] r, k
//r xác định số dịch chuyển mỗi vòng
r[ 0..15]:= {7, 12, 17, 22, 7, 12, 17, 22, 7, 12, 17, 22, 7, 12, 17, 22}
r[16..31]:= {5, 9, 14, 20, 5, 9, 14, 20, 5, 9, 14, 20, 5, 9, 14, 20}
r[32..47]:= {4, 11, 16, 23, 4, 11, 16, 23, 4, 11, 16, 23, 4, 11, 16, 23}
r[48..63]:= {6, 10, 15, 21, 6, 10, 15, 21, 6, 10, 15, 21, 6, 10, 15, 21}
//Sử dụng phần nguyên nhị phân của sin của số nguyên làm hằng số:
for i from 0 to 63
k[i]:= floor(abs(sin(i + 1)) × (2 pow 32))
//Khởi tạo biến:
var int h0:= 0x67452301
var int h1:= 0xEFCDAB89
var int h2:= 0x98BADCFE
var int h3:= 0x10325476
//Tiền xử lý:
append "1" bit to message
append "0" bits until message length in bits ≡ 448 (mod 512)
append bit (bit, not byte) length of unpadded message as 64-bit little-endian integer to message
//Xử lý mẩu tin trong đoạn 512-bit tiếp theo:
for each 512-bit chunk of message
break chunk into sixteen 32-bit little-endian words w[i], 0 ≤ i ≤ 15
//Khởi tạo giá trị băm cho đoạn này:
var int a:= h0
var int b:= h1
var int c:= h2
var int d:= h3
//Vòng lặp chính:
for i from 0 to 63
if 0 ≤ i ≤ 15 then
f:= (b and c) or ((not b) and d)
g:= i
else if 16 ≤ i ≤ 31
f:= (d and b) or ((not d) and c)
g:= (5×i + 1) mod 16
else if 32 ≤ i ≤ 47
f:= b xor c xor d
g:= (3×i + 5) mod 16
else if 48 ≤ i ≤ 63
f:= c xor (b or (not d))
g:= (7×i) mod 16
temp:= d
d:= c
c:= b
b:= b + leftrotate((a + f + k[i] + w[g]), r[i])
a:= temp
//Thêm bảng băm của đoạn vào kết quả:
h0:= h0 + a
h1:= h1 + b
h2:= h2 + c
h3:= h3 + d
• Định nghĩa các hàm:
- FF(a,b,c,d,Mj,s,ti):
a = b + ((a + F(b,c,d) + Mj + ti) <<< s)
- GG(a,b,c,d,Mj,s,ti):
a = b + ((a + G(b,c,d) + Mj + ti) <<< s)
- HH(a,b,c,d,Mj,s,ti):
a = b + ((a + H(b,c,d) + Mj + ti) <<< s)
- II(a,b,c,d,Mj,s,ti):
a = b + ((a + I(b,c,d) + Mj + ti) <<< s)
THIẾT KẾ BẢO MẬT CSDL
Cơ chếủy quyền (Grant) và thu hồi quyền (Revoke)
Thiết kế hệ quản trị CSDL (DBMS) an toàn
Thiết kế CSDL (DB) an toàn
Ủy quyền và thu hồi quyền
• Bảo mật là 1 trong những yếu tố đóng vai trò đến sự sống còn của cơ sở dữ liệu. Hầu hết các hệ quản trị cơ sở dữ liệu thương mại đều cugn cấp khả năng bảo mật dữ liệu với các chức năng sau:• Cấp phát quyền truy cập cơ sở dữ liệu cho người dùng và nhóm
người dùng, phát hiện và ngăn chặn những thao tác trái phép user trên DB
• Cấp phát quyền sử dụng các câu lệnh, các đối tượng cơ sở dữ liệu đối với người dùng
• Thu hồi (hủy bỏ) quyền của người dùng
Ủy quyền
• Sử dụng lệnh GRANT để cấp phát quyền cho người sử dụng trên các đối tượng CSDL (SELECT, INSERT, UPDATE, DELETE VÀ REFERENCES)
• Người sở hữu DB cấp phát quyền thực thi trên các lệnh (như CREATE TABLE, CREATE VIEW.....)
• Cấu trúc GRANT: chỉ có người sở hữu DB mới có thể cấp phát quyền cho người dùng DB
Ủy quyền (tiếp)
• Ví dụ:
Cấp phát quyền cho người dùng thuchanh trên bảng lớp
Cho phép người dùng thuchanh quyền xem hodem, ten, ngaysinh của các sinhvien
Ủy quyền (tiếp)
• Với quyền cấp phát như trên, người dùng thuchanh có thể thực hiện câu lệnh sau trên bảng sinhvien
• Nhưng câu lệnh sau lại không thực hiện được
Thu hồi quyền
• Câu lệnh Revoke: Dùng để thu hồi quyền đã cấp phát cho user
• Tương ứng với câu lệnh GRANT, REVOKE được sử dụng trong 2 trường hợp
• Thu hồi quyền đã cấp phát cho user trên DB
• Thu hồi quyền thực thi các lệnh trên DB đã cấp phát cho user
• Cú pháp câu lệnh REVOKE
Thu hồi quyền (tiếp)
• Ví dụ
Thu hồi quyền thực thi lệnh INSERT trên bảng LOP của user thuchanh
Thu hồi quyền đã cấp phát trên cột NGAYSINH (chỉ cho phép xem dữ liệu trên cột HOTEN và TEN)
THIẾT KẾ BẢO MẬT CSDL
Cơ chếủy quyền (Grant) và thu hồi quyền (Revoke)
Thiết kế hệ quản trị CSDL (DBMS) an toàn
Thiết kế CSDL (DB) an toàn
Kiến trúc DBMS an toàn
• Có 2 chế độ:• Chế độ «Hệ thống cao» (System High)
• Chế độ đa mức (Multilevel Mode); có các kiến trúc• Trusted subject
• Wood Hole: Integrity Lock, Kernelized, Replicated
DBMS – System High
• Tất cả user đều ởmức bảo mật cao nhất
• Người dùng phải xem xét lại tất cả dữ liệu trước khi đưa ra sửdụng
• Bảo mật thấp do phụ thuộc con người
DBMS – Multilevel Mode
• Trusted subject Architecture: mỗi chủ thểmang nhãn bảo mật DBMS được xem là chủ thể đáng tin cậy và được cho qua các điều khiển bắt buộc của Hệ điều hành• Ưu điểm:
• Bảo mật cao
• Ít tốn chi phi (overhead) trong thao tác truy xuất và cập nhật
• Nhược điểm• Cần nhiều đoạn code đáng tin cậy
DBMS – Multilevel Mode (Tiếp)
DBMS – Multilevel Mode (Tiếp)
• Interity lock: Một bộ lọc tin cậy (Trusted Filter) chịu trách nhiệm bảo vệ các đối tượng dữ liệu theo cơ chế đa mức bằng cách tạo vào gán các nhãn bảo mật, được gọi là tem (stamp)• Ưu điểm
• Phát hiện ra những thay đổi bất hợp pháp
• Chống Trojan Horses
• Sử dụng được ở những DBMS không tin cậy
• Nhược điểm• Cần quẩn lý các khóa
• Mối nguy hiểm từ suy luận (Inference Threat)
DBMS – Multilevel Mode (Tiếp)
DBMS – Multilevel Mode (Tiếp)
• Kernelized: Hệ điều hành tin cậy sẽ chịu trách nhiệm điều khiển truy cập ở cấp vật lý cho dữ liệu trong DB bằng cơ chế bảo vệbắt buộc (Mandatory Protection)• Ưu điểm:
• Dễ thực hiện• Mức độ an toàn cao
• Nhược điểm:• Tốn thêm chi phí (overhead)• Hệ điều hành chịu trách nhiệm bảo mật dữ liệu theo nhiều mức• Cần phải kết nối dữ Liệu từ nhiều mức khác nhau của CSDL• Khi thực hiện câu truy vấn của người dùng tin cậy cấp cao
DBMS – Multilevel Mode (Tiếp)
THIẾT KẾ BẢO MẬT CSDL
Cơ chếủy quyền (Grant) và thu hồi quyền (Revoke)
Thiết kế hệ quản trị CSDL (DBMS) an toàn
Thiết kế CSDL (DB) an toàn
Thiết kế CSDL (DB) an toàn
- Bảo mật cơ sở dữ liệu: là 1 hệ thống, quy trình hay 1 thủ tục để bảo vệ cơ sở dữliệu khỏi các tác động ngoài ý muốn: lạm dụng quyền hạn, vô ý hoặc cố ý trong truy cậpcơ sở dữ liệu.
- Các cơ chế bảo mật CSDL:+Xác thực+Điều khiển truy cập+Điều khiển toàn vẹn+Mã hóa
- Mã hóa:
+ Mức tập tin: không cung cấp mức độ bảo mật truy cập đến CSDL ởmức bảng, cột, dòng. Khôngphân quyền cho người sử dụng+ Mứcứng dụng: cho phép phân quyền, nhưng đòi hỏi sự thay đổi kiến trúc củaứng dụng thậm chíđòi hỏiứng dụng phải viết lại
- Bảngảo: tốc độ thực thi giảm.
- DBMS: giảm bớt sự rườm rà, nhất quán, dữ liệu được chia sẻ, tăng cường bảo mật, toàn vẹn dữliệu
Thiết kế CSDL (DB) an toàn
- Thiết kế CSDL an toàn gồm các bước sau:
+ Phân tích sơ bộ: nghiên cứu tính khả thi
+ Xây dựng các yêu cầu và chính sách bảo mật: xác định những yêu cầu bảo mật cho
các mối đe dọa.
+ Thiết kế luận lý
+ Thiết kế vật lý
+ Hiện thực
+ Kiểm tra
Thiết kế CSDL (DB) an toàn
Các mối đe dọa đến hệ thống
Các đặc tính của môi trường CSDL
Xem xét các nguy cơ của hệ thống
Phân loại hệ thống rủi ro cao hay thấp
Khả năng áp dụng các sản phẩm bảo mật hiện có
Khả năng tích hợp của các sản phẩm bảo mật: tính khả thi của sản phẩm
Hiệu suất của hệ thống sau được bảo mật
Phân tích sơ bộ
Lựa chọn chính sách bảo mật
Phải cân bằng giữa 3 tính chất sau tùy theo môi trường sử dụng:
- Tính bảo mật- Tính toàn vẹn- Tính tin cậy
- Nguyên tắc: Chia sẻ tối đa và quyền tối thiểu
Lựa chọn chính sách bảo mật
- Quyền: xác định ai có thể trao quyền hoặc hủy bỏ quyền truy cập.
- Phân quyền: phân nhóm người dùng, xác định các role và trách nhiệm của mỗi nhómđối với hệ thống.
- Tính thừa kế: truyền quyền cho bản sao, hay dẫn xuất (instance) của đối tượng.
Mã hóa trong truyền dữ liệu
Bảo vệ thông tin
dữ liệu
trong mạng truyền tin
Một mạng truyền tin số hoặc mạng máy tính bao gồm các trung tâm chuyển mạch thường được gọi là các nút mạng, nối với nhau bởi các đường truyền tin và các nút mạng đó lại
được kết nối với các bộ ghép kênh hoặc các bộ tập trung để dẫn đến trung tâm và các đầu cuối của mạng.
VD mạng điển hình gồm tập hợp các trung tâm chuyển mạch hoặc các nút được nối với nhau bởi các kênh truyền tin và các nút là các nơi dễ bị xâm nhập nhất trong hệ thống.
• Trên thực tế có hai hình thức gây hại chính cho dữ liệu truyền tin là hình thức chủ động (Active) và thụ động (passive). Hai hình thức này hướng đến:
• + Đánh cắp thông tin: Lắng nghe thông tin trên đường truyền, biết được thông tin về người gửi và người nhận nhờ vào thông tin được chứa trong các gói tin truyền trên hệ thống mạng.
• Hình thức này, kẻ xâm nhập có thể kiểm tra được tần số trao đổi, số lượng gói tin truyền đi và độ dài của gói tin này.
• Mục đích là xem thông tin, sao chép, đánh cắp nội dung thông tin (ví dụ nhưmật khẩu, thông tin vềngân hàng...) chứ không làm ảnh hưởng nguy hại vềmặt vật lý đối với dữ liệu hay làm sai lệch nội dung dữ liệu.
• + Phá hoại thông tin: Thay đổi nội dung dữ liệu, chèn thêm thông tin dữ liệu, phá hủy làm hỏng các gói tin, làm trễ thời gian truyền tin, sao chép lặp đi lặp lại dữ liệu…
• Mục đích : phá hỏng hay làm sai lệch nội dung thông tin.
Để bảo vệ thông tin dữ liệu trên đường truyền, ta hướng đến ba hình thức bảo
- Mật mã đường kết nối giữa các nút mạng
- Mật mã từ đầu cuối đến đầu cuối
- Mật mã từ nút mạng đến nút mạng
I.Mật mã đường kết nối giữa các nút mạng
• Áp dụng trong lớp 1(vật lý) và lớp 2( liên kết dữ liệu) của mô hình ISO.
• Thực hiện mật mã ởmức thấp, bằng cách xử lý các bit hoặc cá kí tự qua đường truyền kẻ xâm nhập đường truyền không biết gì về cấu trúc thông tin cũng nhưbên gửi và bên nhận
=>vừa che dấu được thông tin, vừa che dấu được đường đi và khối lượng thông tin truyền.
• Nhược điểm : Trường hợp nếu kẻ xâm phạm làm thay đổi 1 phần tin đã được mã hóa sẽ gây ra các biến đổi ngầu nhiên ở phần giải mã. Khắc phục hiện tượng này ởcác lớp thấp rất khó chỉ có thể thực hiện ở các lớp cao hơn với cấu trúc sửa đổi mã được lựa chọn thích hợp.
Mật mã từ nút mạng đến nút mạng
• Mỗi khóa mã được gắn với 1 đường truyền cụ thể
• Mã hóa chỉ thực hiện với các giữ liệu người sử dụng , các dữ liệu điều khiển và tiêu đề không mã hóa
• Vấn đềmã hóa và giải mã ở đây với các mã khóa khác nhau khi dữ liệu đi vào 1 đường truyền và này và đi ra một đường truyền khác. Chức năng đó được thực hiện bởi các Modul bảo mật đặt ở các nút mạng và được bảo vệ đặc biệt. Modul bảo mật có chứa tất cả các mã mà nút mạng cần sử dụng cho mỗi đường truyền của nó. Hình ảnh thể hiện nguyên lí thực hiện mật mã từ nút mạng đến nút mạng:
Mật mã từ đầu cuối đến đầu cuối
• -Nhược điểm : Phương pháp này làm cho dữ liệu người dùng an toàn nhưng không chống được tấn công phân tích tình huống, Các cuộc gọi và các gói thu có thể bị xâm nhập, phân tích khi chúng truyền qua mạng và chúng có thể có thông tin về cuộc gọi và số lượng các thông tin được truyền đi, vì trong các gói tin chỉ phần dữ liệu người sử dụng được mã hóa còn các dữ liệu đầu gói (dữ liệu điều khiển) thì không.
• => Một giải pháp tốt nhất đưa ra cho vấn đề này là mật mã hai lần,một lần ở các lớp thấp và 1 lần ở các lớp cao, trong đó :
• - Áp dụng mật mã từ đầu cuối đến đầu cuối bảo vệ “ các dữ liệu người dùng” trong mạng.
• - Áp dụng mật mã đường kết nối bảo vệ bí mật dòng lưu lượng trên các tuyến.
Ứng dụng “Hệ thống bảo vệ thư điện tử”
Quy trình mã hóa thư điện tử
Quy trình giải mã thư điện tử
Thank you
