Giáo trình Hệ điều hành - Chương 6: Các dịch vụ mạng máy tính

 và kết hợp chức năng của nó với thiết bị relay-host; do đó, chúng ta sẽ tiết kiệm được khá tiền bạc, tuy rào chắn an toàn có giảm đôi chút. Ngoài ra, chúng ta còn có một khả năng nữa, tiết kiệm hơn nhiều. Đó là sự kết hợp các chức năng của ba thiết bị thành chức năng bao quát của một thiết bị duy nhất, đó là cấu hình thiết bị kiểm tra và khống chế quay về đối ngẩu (dual-homed-host) như ở hình 6.24 ở dưới đây.
(hình 6.24 /262)
Ở đây, với việc chấp nhận một cơ chế an toàn như vừa nêu, sẽ xảy ra hiện tượng: Nếu kẻ tấn công đạt được việc bẻ gãy khóa hệ thống ứng phó đối ngẫu này, do đó, nó cũng bẻ gãy được bức tường chữa cháy. Từ lý do này có các hệ thống dùng các cơ chế thanh lọc để điều khiển người sử dụng. Một trong các cơ chế quen thuộc nhất là hệ thống canh giữ cerberus.
6.5.5. Nhận dạng cerberus
Hệ thống an toàn kiểu cerberus là một phần của dự án nhằm phát triển việc quản lý hệ thống cho một mạng với khoảng 1000 máy tính trạm ở viện nghiên cứu MIT của Mỹ. Ở một mạng như thế thì xuất hiện một câu hỏi, liệu tiến trình dò tìm muốn có một khả năng dịch vụ nào đó nó có đạt được sự ưu tiên cho nó không? Khi đó, vấn đề định dạng không chỉ giơi hạn tại thời điểm trình báo của người sử dụng, mà còn dẫn tới các khả năng dịch vụ ở trong mạng. Vì nó cũng là vấn đề nan giải, để gởi một mật lệnh bỏ ngỏ chưa mã hóa trên nhiều máy tính, do đó, ở trong dự án này, có ba giao thức khác nhau được chuyên môn hóa để giải quyết vấn đề an toàn.
Ý tưởng trung tâm của dự án này là ở chỗ, phải chốt lại việc dò tìm và pahỉ kết nối nội dung của người sử dụng vơi nhận dạng mà chìa khóa (kí hiệu s1 ) đã được chứa đựng. Khi khóa, một hàm khóa (kí hiệu f ) còn gọi là hàm bẩy (trap function) được sử dụng, hàm này không dễ dàng bị biến đổi. Nội dung đích xác của thông tin (kí hiệu y) và hàm của khóa f thì không phải được xác định một cách dễ dàng qua sự nhận dạng về f và y. Nói chung, khi đó có một hàm giải mã g(.) được sử dụng; hàm này có thể tái phục hồi các thông tin cũ vơi sự trợ giúp của một chìa khóa thứ hai (kí hiệu s2).Những quan hệ vừa nói được biểu diễn trong biểu thức sau:
 Thông tin = g (y,s2 ) = g (f(Thông tin, s1)s2 )
 Hay:
 Thông tin = gs2 (fs1 (Thông tin))
Có những hệ thống, mà tại đó, có thể dẫn tới f = y và s1 = s2; nhưng điều đó thì cũng không nhất thiết. Sau đây giới thiệu 3 giao thức để giải quyết vấn đề này.
 Giao thức trình báo (single sign on protocol )
Khi người sử dụng trình báo với kiểu nhận dạng cerberus, mọi việc sẽ dẫn ra một cách quen thuộc: người sử dụng điền mật lệnh của anh ta, khi đó, việc trinh báo cáo này được một tiến trình kiểm tra và thu nhận sự nhận dạng của server. Thêm vào đó, anh ta nhận được hai thứ: thứ nhất là các thông tin xác thực C, thứ hai là một vé (ticket ) đặc biệt TG, gọi là vé vào cổng.
Các thông tin xác thực C được khóa với mật lệnh P của người sử dụng và có thể được anh ta mở khóa một cách dễ dàng. Điều đó chứa đựng chìa khóa Sp(SB, TGS, tL,........) (6.2)
Chìa khóa này chỉ dẫn tới một sự giới hạn cần thiết:Nó chỉ hoạt động với một thiết bị phân bổ chìa khóa trung tâm, thiết bị này gọi là một server phân bổ vé TGS (ticket granting server), và tồn tại trong khoảng thời gian tL.
Khi tuổi thọ của một chìa khóa đàm luận tồn tại một cách tiện dụng khoảng 8 giờ đồng hồ, người sử dụng có thể đón nhận một chìa khóa ở TGS với sự trợ giúp của vé vào cổng TG cho các truy cập biến động (sao tệp tin,dich vụ in ấn, ......). Với vé vào cổng TG, đối với serverTGS, không chỉ người sử dụng chứa đựng chìa khóaSB,mà chứa đựng cả tuổi thọ của vé TG, tức là:
 TG=fST(SB, người sử dụng, tL,......) (6.3)
Vé vào cổng được khóa lại bởi mật lệnh ST của server TGS, do vậy, không có một trường hợp nào có thể dẫn tới sai sót được. Do đó, giao thức trình báo được kết thúc.
‚ Giao thức phân bổ chìa khóa (key distribution protocol):
Bây giờ, tiến trình người sử dụng muốn thực hiện một biến cố, do đó, anh ta không thể gởi ngay sự dò tìm bị khóa của anh ta tới server: Khi đó mọi việc hoàn toàn chưa biết, với chìa khóa nào làm cho thông tin đi tới bị khóa.Vì vậy, đầu tiên nó hỏi tới một thẩm cấp trung tâm chẳng hạn server TGS về một ticket (vào cổng làm việc)TT(transaction ticket ). Tương tự, trước đó tại server nhận dạng, người sử dụng gởi đi một sự dò tìm (về client, server, tuổi thọ, số biến ngẫu nhiên, ....)trong một bài text rõ ràng tới server phân bố vé vào cổng TGS và anh ta nhận trở lại một giấy chứng nhận đã được mã hóa SB cũng như một vé vào cổng TT. Trong giấy chứng nhận, tất cả những điều cần thiết được chứa đựng cho một biến cố mong muốn: chìa khóa SCSđối với biến cố giữa client và server, một số biến cố cũng như các sự chỉ dẫn thích hợp đều chứa đựng trong vé vào cổng TT, mà vé này đã được mã hóa với chìa khóa server SS.
ƒ Giao thức nhận dạng (authentication protocol):
Trong khoảng thời gian đã được chuyên môn hóa nhờ sự tồn tại ngắn ngủi của biến cố (khoảng 5 phút ), bấy giờ, client có thể dẫn ra một biến cố với vé vào cổng TT và mã hóa các dữ liệu của chúng với chìa khóa client và server: Máy chủ chấp nhận với vé vào cổng này, một biến cố (chẳng hạn sự nhận dạng )và ngoài ra với chìa khóa chứa đựng về cái đó, nó còn có thể mã hóa các dữ liệu tiếp theo.
Ba giao thức tóm lược ở trên đã bổ sung cho việc kết nối nhiều mạng LAN với nhiều domainserver (máy chủ khu vực ) làm việc với nhau nhờ một trong bốn yếu tố sau đây:Nếu một client muốn sử dụng tài nguyên của server ở một mạng LAN khác, do đó, đầu tiên, nó gởi đi một sự dò tìm tới một server phân phối ticket vào mạng LAN của nó, và qua đó, để có một biến cố được bảo đảm bởi một server phân phối ticket của mạng LAN láng giềng. Nếu mọi chuyện xảy ra tốt đẹp, người sử dụng dò hỏi tiếp tới server về một biến cố tiếp theo cho nó, và ngay khi đó, máy client này sẽ có một ticket cho việc xâm nhập một server mong muốn. Bây giờ, nó có thể trực tiếp sử dụng các tài nguyên mong muốn tại một server với một ticket và một mật lệnh khóa đã nhận.
Hệ thống nhận dạng kiểu cerberus thì thực ra rất khó; có một vài khó khăn cần phải vượt qua:
Dịch vụ chỉ hoạt động khi đồng hồ của tất cả các người sử dụng chạy đồng bộ với nhau, và do đó, các ngăn xếp thời gian được kiểm tra chặt chẽ. Điều này yêu cầu một hệ thống nhận dạng thời gian ở các khu vực mà không cân đồng hồ của đài phát thanh trung ương Mỹ để tránh được việc thao tác đồng hồ, vì điều này phải được tạo lập trên một dịch vụ tương tự.
Một ngăn xếp thời gian được tạo lập cố định đối với chìa khóa biến cố và chìa khóa đàm luận nảy sinh các vấn đề, khi biến cố xảy ra lâu hơn hay người sử dụng làm việc lâu hơn.
Chìa khóa biến cố và ticket biến cố có được đặt trong các tệp tin; các tệp tin này có thể được đọc trong phạm vi nhiều người sử dụng.
Do đó, nó là con đường hơi chậm để đi tới một hệ thống an toàn, đặc biệt khi nhiều hệ thống được kết nối với nhau với nhiều cơ chế khác nhau. Từ nguyên do này, các hoạt động của nhóm X/Open đã đạt được mục đích an toàn mạng với những phương hướng an toàn thông nhất, gọi là bản phương hướng an toàn cơ bản của nhóm X/Open(baseline security specification).
6.6. Các bài tập của chương 6
6.6.1. Các bài tập về trao đổi thông tin trong mạng 
Bài tập 6.1. Các giao thức xếp lớp
Trong nhiêu giao thức xếp lớp, mỗi lớp định roc khuôn dạng thích hợp phần đề mục của nó khi bắt đầu một thông tin. Tại mỗi lớp, mỗi lần trao đổi, thông tin được khảo sát như một gói dữ liệu, mà các gói này với một khuôn dạng và một đề mục thông tin thích hợp được dẫn tới lớp kế cạnh lần lượt từ trên xuống dưới.Nó sẽ chắc chắn hiệu nghiệm hơn, nếu chỉ có một đề mục duy nhất ở đầu thông tin, mà đề mục này chứa đựng toàn bộ các thông tin điều khiển.Tại sao điều này không được người ta thực hiện?
Bài tập 6.2.
Bộ vi xử lý SPARC là loại 32 Bit có địa chỉ Byte cuối lớn; còn bộ vi xử lý 386 là loại 16 Bit có địa chỉ Byte cuối nhỏ. Gỉa sử bộ vi xử lý SPARC gởi một chữ số hai tới bộ vi xử lý 386. Hỏi bộ vi xử lý 386 chỉ ra giá trị nào?(Bỏ qua lớp chuyên vận, xem hình 6.14).
Bài tập 6.3. Về định vị trong Internet
Gỉa sử Internet có một địa chỉ logic:134.106.21.30
a). Nó là chữ số 32 Bit nào,nếu tất cả các chữ số ở trong địa chỉ logic Internet sử dụng một số lượng các số lượng các Bit bằng nhau? Nó phù hợp với số thập phân nào?
b). Bạn hãy tìm ra máy tính nào thì đạt được địa chỉ này? Ghi chú:Bạn hãy sử dụng một dịch vụ mạng!
c). Cho một số 32 Bit có kiểu địa chỉ Byte cuối lớn. Một số thập phân nào được dẫn tới,nếu kiểu địa chỉ Byte cuối nhỏ được sử dụng?
d). Những số cổng nào sử dụng các dịch vụ sau: ftp, telnet và talk trên các máy tính của cơ quan bạn?Ghi chú:Bạn hãy xem lại ở trong Unix và tệp tin có đường dẫn/etc/services.
Bài tập 6.4. Gọi thủ tục trở lại
Việc thực thi các gọi thủ tục đã được trình bày(ở mục 6.2.2.). Cái gì phải được dốc làm để thay thế các RPCS(ở Unix)bằng các thủ tục con, hay để thay thế các thủ tục con bằng các RPCS?
Bài tập 6.5. Về an toàn 
Một phương tiện bất kỳ để đọc chọn các mật lệnh thì ở trong một chương trình, mà chương trình này thông báo lên màng hình "login:".Khi sử dụng một máy tính,người sử dụng phải trình báo tên và mật lệnh của anh ta.Nếu chương trình này ghi chép các dữ liệu và biểu thị một thông báo, chẳng hạn Password failure, please repeat you!hoặc tương tự và kết thúc. Nhưng điều đó cũng không làm người ta sực nhớ lại:ở đây,một mật lệnh đã bị lãng quên!Nếu người là bạn sử dụng hay nhà quản lý mạng, bạn có thể ngăn ngừa như thế nào cho hậu quả của một chương trình như vậy?
Bài tập 6.6.
Gỉa sử bạn nhận biết một virus xuất hiện ở trong máy tính của bạn. Dưới hoàn cảnh nào, người ta không thể đạt được việc làm sạch bộ nhớ ổ đĩa (cứng hoặc mềm )với một chương trình tìm kiếm virus?
Bài tập 6.7. Về bức tường lửa
Những nhược điểm của bức tường lửa là gì khi nghiên cứu các gói dữ liệu?
Bài tập 6.8. Về phương pháp cảnh giới cerberus
a). Sự khác nhau giữa hai khái niệm Authorize (ủy quyền) và Authentification (nhận dạng) là gì?
b). Trong phương pháp cerberus, hai chìa khóa được dùng thay vì một chìa để làm gì? Sự khác nhau hai chìa khóa đó là gì?