BỘ GIÁO DỤC VÀ ĐÀO TẠO TRUONG DAI HOC BACH KHOA HA NOL VŨ HOÀNG ANH KIÉM SOÁT TRUY CẬP ĐA MIỄN SỬ DUNG CHUNG THU s6 VÀ PHAN VAL Chuyên ngành: Kỹ Thuật Máy Tỉnh LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HQC : PGS.TS Nguyễn Linh Giang HàNệi 2017 Kiém soát tra' cập da mién sir dung clumg thir sé vee phan vai MUC LUC LOI CAM ON LOI CAM DOAN An. DANH MỤC TỪ VIẾT TÁT. DANH MỤC HÌNH ẢNH. MG DAU CHUONG 1: TONG QUAN ve KIEM SOAT TRUY CAP 11 Truy cập và điều khiển truy cập 1.2 Tiến trình điều khiển truy cập cesses 10 13 Chính sách, cơ chế kiểm soát truy cập thông tin tại Việt Nam.4 Hình thức xác thực phổ biển: i At 14.1 Xác thực đựa trên cải người dùng biết- Mật khẩu Cama &Pim).42 __ Xác thực sử dụng Khóa (Public-key cryptography), Chứng thư số.
Xác thực dựa trên đặc điểm bẩm sinh - Sinh trắc học.5 __ Các cơ chế điều khiển truy cập. Điều khiển truy cập tủy quyén (DAC - Discretionary Access s Conta) 1.2 Diéu khién truy cập bắt bude (MAC — Mandatory access control).3 Diéu khién truy cap dua trén vai trd (RBAC — Role based Access Control). 15 CHUONG 2: KIEM SOÁT TRUY CẬP TRÊN VAI VA THUOC TÍNH. wel? 24 Điều khiển truy cập dựa trên vai trò— RBAC.
Giới thiện, nền tảng và động lực của RBAC.2 Roles và các khai niệm sử dụng trong RBAC 19 3. M6 hinh tham chiéu RBAC 22 2. Ưu điểm và hạn chế của RBAC.2 Hạ tầng khóa công khai và chứng thư số (X509) 1.1 Hạ tầng khóa công khai PKI Chứng thư số - X509 trong xác thực. Khải niệm miền~ Domain.2 Miến trong truy cập RBAC 38 CHUONG 3: XÂY DỰNG VÀ THỬ NGHIỆM GIẢI PHÁP.1 Mô tả chức năng của hệthống.)) Kiểm sadl trợ cập đa mién sir dung ching th số và phân vai 32 Mé hinhhé théng - - 40 3.3 _ Thiết kể, cài đặt các thành phẩn.1 Lựa chọn giải pháp công nghệ.2 Xây dựng các modnle chức năng, - 4 3.33 Cai dit hé thống thử nghiệm giải pháp, - 48 3.4 Thử nghiệm giải pháp.42 Kết quà thử nghiệm và nhận xét 56 KET LUAN VA HUGNG PHAT TRIEN.cccccccccecessessneanisanasnanaeenaeceein: 5B TAT LIRU THAM KHẢO 60 THỤ LỤC.
Script generate eerver certificate - 61 2. Script tạo chứng thư sổ cho CA. Serip† tạo Chủng thư số cho người dúng 61 4, Cau hinh SSL cho apache server — hltpd-ssl. Cải đất hàm xác the.
_ Cải đại hàm phân quyền truy cập. Tam khéi tao menu hiển thi trén trang phia webserver. 6 Kiểm sadl trợ cập đa mién sir dung ching th số và phân vai 9 Tóm tất nội dung, kết quả thu được Luận văn trình bảy những kết quả nghiên cứu, tìm hiểu và khảo sát vẻ lý thuyết kiếm soát truy cập, mô hình kiếm soát truy cập trong đảm bảo an toàn an ninh thông, tín tài nguyên của một hệ thông thởng tín. Trên những cơ sở đó, đã xuất giải pháp kiểm soát truy cập, khai thác tài nguyên hệ thống đủng cách áp dụng cơ chế phần vai RBAC kết hợp Chứng thư số.
San đỏ, xây dựng mô phỏng giải pháp, đánh giá và số sảnh với. ö hình truyền thông. Ø) Phương pháp nghiên cứu Quả trình nghiên cứu được chia thành các phần lý thuyết và thực nghiêm như sau - _ Tìmhiễu lý thuyết chưng vệ kiểm soát truy cập: xác thực và phân quyền. -_ Nghiên cứu mô hình kiểm soát truy cập dựa trên vai trò và thuộc tỉnh.
- _ Nghiên cứu hạ tẳng khóa công khai PKI, chúng thư số X509: Dựng hệ thông PEI dua tran mã nguồn mở ljbea - Bra ta mô hinh kiểm soát truy cập mới sử đụng chứng thư số và phân vai RBAC ~_ Khảo sát và lựa tắc xrấ nguồn mở phủ hợp để xây đựng - _ Xây đựng mô hình giải pháp và thứ nghiệm: o_ Xây dựng web mỗ phỏng _ Xây dựng các module chức năng giã lập tính nâng hệ thông kiếm soát: xác thực, phân quyên. o_ Dựng môi trường, kịch bản thử nghiệm. Đảnh giả đựa trên các kết quả địt được. Kiểm sadl trợ cập đa mién sir dung ching th số và phân vai LỜI CẢM ƠN Để hoàn thành luận văn này, tôi xin bảy tô lòng biết ơn sâu sắc tới PŒS.
Nguyễn Linh Giang đã lận tỉnh hướng đẫu tôi trong suốt quá trình thực hiện nghiên củu và thứ nghiệm. Tôi xin chân thành cảm ơn các thây, cô trong Viện Công Nghệ Théng Tin và Truyền Thông Đại học Bách Khoa Hà Nội đã giáng dạy, truyền đạt cho tôi những kiến thức quy báu va tao moi điền kiện để tôi hoàn thành khóa học và thực hiện luận văn này. 'Tôi cững xin gửi lời cảm ơn đến anh Nguyễn Anh Vũ — Công ty Cổ phần Bkav, anh Võ Văn Giáp — Công ty Dữ liệu VNPT và cáo đồng nghiệp của tôi ở VNPT Dala - Vinaphone đã chia sẽ nhiều tài liêu và kinh nghiêm quy gia liên quan đến vẫn đề nghiền cửu của luận vẫn. Tôi cũng xin cảm em gia đỉnh, bạn bẻ đã chia sé, giúp đỡ tôi trong suốt quá hình hoc tập nghiên cửu thực hiện luận văn.
Xin trân trọng cảm ơn! Tà Môi, ngày 20 tháng 0Š nếm 2017 Người thực hiện Vai Hoang Anh Kiểm sadl trợ cập đa mién sir dung ching th số và phân vai DANH MỤC HÏÌNH ÄNI Hình 1.3-1: Cơ chế xác tực username paszword. Hình 13-2: Cơ chế xác thực dụa trên chứng thư số Hình 1. Mô hìnhxử lý xác thực sinh trắc- wikipedia.1-1: Mé hinh quan hé ho RBAC Tinh 2.1-2: Cac mé hinh RBAC Hinh 2. Mô hình RBAO0.14: Ví đụ mô hình phân c Hình 2.1-5: Mô hình RBAC:.
Mô hình RBACh.1-7: Mô hình RBAC:.3-1: Mô hình thành phẫn PK] Ilnh23.2 Ví dụ try cập đa miễn.2-1: Mô hình logie Hinh 3.2-1: Diagram Seqnence Hình 3.2-2: Quá trình xác thực.I: Thiết ké bang dữ liệu liên he roles-perrmission Hình 3.2: Sơ đồ quan hé gitta role, permission, user. Hình3 3: Lu dé diễn giải chuyển đi role và duyệt perrrissiơn mà role được gắn.3-1: Mô hình thữ nghiệm hệ thống. Kiểm sadl trợ cập đa mién sir dung ching th số và phân vai LỜI CẢM ƠN Để hoàn thành luận văn này, tôi xin bảy tô lòng biết ơn sâu sắc tới PŒS. Nguyễn Linh Giang đã lận tỉnh hướng đẫu tôi trong suốt quá trình thực hiện nghiên củu và thứ nghiệm.
Tôi xin chân thành cảm ơn các thây, cô trong Viện Công Nghệ Théng Tin và Truyền Thông Đại học Bách Khoa Hà Nội đã giáng dạy, truyền đạt cho tôi những kiến thức quy báu va tao moi điền kiện để tôi hoàn thành khóa học và thực hiện luận văn này. 'Tôi cững xin gửi lời cảm ơn đến anh Nguyễn Anh Vũ — Công ty Cổ phần Bkav, anh Võ Văn Giáp — Công ty Dữ liệu VNPT và cáo đồng nghiệp của tôi ở VNPT Dala - Vinaphone đã chia sẽ nhiều tài liêu và kinh nghiêm quy gia liên quan đến vẫn đề nghiền cửu của luận vẫn. Tôi cũng xin cảm em gia đỉnh, bạn bẻ đã chia sé, giúp đỡ tôi trong suốt quá hình hoc tập nghiên cửu thực hiện luận văn. Xin trân trọng cảm ơn! Tà Môi, ngày 20 tháng 0Š nếm 2017 Người thực hiện Vai Hoang Anh Kiểm sadl trợ cập đa mién sir dung ching th số và phân vai MO DAU 3) Lý du chụn đề tài Các hệ thông thông tăm hiện nay đều được trang bị cho mình nhưng cơ chế kiểm.
soát truy cập cơ bản nhằm đảm bảo am toàn, khai thác hiệu quả cho chính tải nguyễn. hệ thống của họ: xác thực, phân quyển, log v. Tuy nhiền, có rất nhiều van để tồn tại cằn phải xử lý cho mỗi một cơ chễ kiểm soát khi được áp dung như: @ Xác thưc người dùng với user/bm loken. dễ bị lần công, khó khăn cho người đìng trong việc quản lý các thông tin truy cập có nhân khí phải truy gập quả nều hệ thông, (i) Việc phân quyền khai thác tải nguyên trên hệ thống phức tạp với nhiều phân cấp người ding đủ) _ Không giảmsái và quản lý được người dùng trên hệ thống đặc biệt khi có sự thay đổi thing tin người dùng liên tục.
Với những lý đo nh vậy, cần thiết phải có những nghiên cửu, khảo sắt thực lế, từ đó đề xuất ra mdt co chế kiểm soát Iruy vập khắc nhằm giải quyết những vấn đề trêu b) Các kết quả nghiên cửu đã có Đã có những nghiên cứu, và đề xuất mô hình kiếm soát truy cập sử dụng chứng thư số và phân vai trước đây, như trong bài báo : Secure Information Sharing Using Attribute Certificates and Role Based Access Control - Ganesh Godavari and Edward Chow, Department of Computer Science University of Colorado, thye hién. Bai bao đưa ra mô hình kiếm soát truy dập sử dụng chứng thư số và phân vai RBAC hướng, đến giải quyết các vấn để @), Gi), (ai), tuy nhiên, việc cài đất, triển khai gặp nhiều khó khăn, khó áp dụng trên các hệ thống diện rộng, mang tính chất định tính. thiết phải nghiên cửu hoàn thiện mồ hình, tôi gián và phủ hợp với nửu câu thực tể của các tổ chức doanh nghiệp, để có thể áp dưng được cho nhiều hệ thông. €) Mục dích nghiên cứu Kiểm sadl trợ cập đa mién sir dung ching th số và phân vai LỜI CẢM ƠN Để hoàn thành luận văn này, tôi xin bảy tô lòng biết ơn sâu sắc tới PŒS.
Nguyễn Linh Giang đã lận tỉnh hướng đẫu tôi trong suốt quá trình thực hiện nghiên củu và thứ nghiệm. Tôi xin chân thành cảm ơn các thây, cô trong Viện Công Nghệ Théng Tin và Truyền Thông Đại học Bách Khoa Hà Nội đã giáng dạy, truyền đạt cho tôi những kiến thức quy báu va tao moi điền kiện để tôi hoàn thành khóa học và thực hiện luận văn này. 'Tôi cững xin gửi lời cảm ơn đến anh Nguyễn Anh Vũ — Công ty Cổ phần Bkav, anh Võ Văn Giáp — Công ty Dữ liệu VNPT và cáo đồng nghiệp của tôi ở VNPT Dala - Vinaphone đã chia sẽ nhiều tài liêu và kinh nghiêm quy gia liên quan đến vẫn đề nghiền cửu của luận vẫn. Tôi cũng xin cảm em gia đỉnh, bạn bẻ đã chia sé, giúp đỡ tôi trong suốt quá hình hoc tập nghiên cửu thực hiện luận văn.
Xin trân trọng cảm ơn! Tà Môi, ngày 20 tháng 0Š nếm 2017 Người thực hiện Vai Hoang Anh Kiểm sadl trợ cập đa mién sir dung ching th số và phân vai DANII MUC TU VIET TAT DAC Discretionary Access Contral MAC Mandatory Access Control RBAC Role Base Access Control ABAC Attribute Base Access Control PEL Public Key Infrastructure PMI Privilege Management Infastructure 509 X.