ĐẠI HỌC THÁI NGUYÊN
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
SYVILAY KEOVIVANH
NGHIÊN CỨU MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN
NINH VÀ XÁC THỰC TRONG TÍCH HỢP NGƯỜI DÙNG
ĐA MIỀN DỊCH VỤ CỦA CỔNG THÔNG TIN ĐIỆN TỬ
VIỆN KHOA HỌC XÃ HỘI QUỐC GIA LÀO
LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
Thái Nguyên năm 2020
ĐẠI HỌC THÁI NGUYÊN
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
SYVILAY KEOVIVANH
NGHIÊN CỨU MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN NINH VÀ XÁC THỰC
TRONG TÍCH HỢP N
64 trang |
Chia sẻ: huong20 | Ngày: 13/01/2022 | Lượt xem: 463 | Lượt tải: 1
Tóm tắt tài liệu Luận văn Nghiên cứu một số giải pháp đảm bảo an ninh và xác thực trong tích hợp người dùng đa miền dịch vụ của cổng thông tin điện tử viện khoa học xã hội quốc gia Lào, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
NGƯỜI DÙNG ĐA MIỀN DỊCH VỤ CỦA CỔNG
THÔNG TIN ĐIỆN TỬ VIỆN KHOA HỌC XÃ HỘI QUỐC GIA LÀO
Chuyên ngành: Khoa học máy tính
Mã số: 8 48 01 01
LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
Người hướng dẫn khoa học: TS. Nguyễn Đức Bình
Thái Nguyên - 2020
i
LỜI CẢM ƠN
Trước tiên, tôi xin được gửi lời cảm ơn đến các quý thầy cô đã giảng dạy
trong chương trình Cao học do Trường Đại học Công nghệ thông tin và Truyền
thông tổ chức, những người đã truyền đạt cho tôi những kiến thức hữu ích về khoa
học máy tính, làm cơ sở cho tôi thực hiện tốt luận văn này.
Tôi xin chân thành cảm ơn TS. Nguyễn Đức Bình đã tận tình hướng dẫn cho
tôi trong thời gian thực hiện luận văn. Mặc dù trong quá trình thực hiện luận văn
gặp nhiều khó khăn, nhưng với sự hướng dẫn của Thầy, tôi đã học hỏi được nhiều
bài học kinh nghiệm quý báu, là nền tảng để tôi hoàn thiện được nội dung luận văn
của mình.
Tôi cũng xin gửi lời cảm ơn đến tất cả các đồng nghiệp đang làm việc tại
Viện Khoa học xã hội quốc gia Lào đã tận tình giúp đỡ tôi trong việc thu thập thông
tin, lấy số liệu về hệ thống làm cơ sở dữ liệu cho luận văn.
Sau cùng tôi xin gửi lời biết ơn sâu sắc đến các anh, chị trong lớp và gia đình
đã luôn tạo điều kiện tốt nhất cho tôi trong suốt quá trình học cũng như thực hiện
luận văn.
Do thời gian có hạn và kinh nghiệm nghiên cứu khoa học của bản thân còn
hạn chế nên luận văn còn nhiều thiếu sót, rất mong nhận được ý kiến góp ý của
Thầy/Cô và các anh chị học viên.
Thái Nguyên, tháng năm 20
Học viên
Keovivanh SYVILAY
ii
LỜI CAM ĐOAN
Tôi xin cam đoan những kết quả trong luận văn là của việc tìm hiểu, nghiên
cứu và có trích dẫn, tham chiếu đến các nguồn tư liệu tin cậy. Nội dung luận văn
chưa từng được công bố hay xuất bản dưới bất kỳ hình thức nào.
Tất cả phần mã nguồn của chương trình thuộc nội dung luận văn này đều do
tôi tự thiết kế và xây dựng, trong đó có sử dựng một số thư viện chuẩn và các thuật
toán được các tác giả xuất bản công khai và miễn phí trên mạng Internet.
Thái Nguyên, tháng 11 năm 2020
Tác giả luận văn
Keovivanh SYVILAY
iii
MỤC LỤC
LỜI CẢM ƠN .............................................................................................................. i
LỜI CAM ĐOAN ....................................................................................................... ii
MỤC LỤC ................................................................................................................. iii
DANH MỤC HÌNH ẢNH .......................................................................................... v
DANH MỤC CÁC TỪ VIẾT TẮT ........................................................................... vi
MỞ ĐẦU ..................................................................................................................... 1
CHƯƠNG 1 TỔNG QUAN VỀ ĐẢM BẢO AN NINH VÀ XÁC THỰC NGƯỜI
DÙNG ......................................................................................................................... 5
1.1. Hệ thống thông tin và vấn đề đảm bảo an ninh ............................................... 5
1.1.1 Các vấn đề hệ thống thông tin ................................................................... 5
1.1.2. Phân loại các hệ thống thông tin .............................................................. 6
1.1.3. Đặc điểm hệ thống thông tin dữ liệu Viện khoa học xã hội quốc gia Lào7
1.2. Vấn đề bảo mật, an toàn và xác thực người dùng .......................................... 10
1.2.1. Vấn đề an ninh thông tin ........................................................................ 10
1.2.2. Hệ thống thông tin đa miền dùng dịch vụ .............................................. 11
1.2.3. Vấn đề an ninh trong hệ thống thông tin đa người dùng ........................ 13
CHƯƠNG 2 MỘT SỐ PHƯƠNG PHÁP ĐẢM BẢO AN NINH VÀ XÁC THỰC
TRONG TÍCH HỢP NGƯỜI DÙNG ĐA MIỀN DỊCH VỤ ................................... 15
2.1. Yêu cầu về đảm bảo an ninh và xác thực trong các hệ thống đa miền dịch vụ .... 15
2.1.1. Một số vấn đề an ninh trong hệ thống đa miền dịch vụ ......................... 15
2.1.2. Yêu cầu về xác thực trong hệ thống đa miền dịch vụ ............................ 17
2.2. Các phương pháp đảm bảo an ninh cho người dùng đa miền dịch vụ .......... 19
2.2.1. Nguyên lý mã hóa ................................................................................... 19
2.2.2 Phương pháp ký số và quản lý khóa ........................................................ 21
2.2.3. Phương pháp bảo mật định danh người dùng......................................... 23
2.2.4. Phương pháp bảo mật CSDL .................................................................. 27
iv
2.3. Các phương pháp đảm bảo xác thực danh tính người dùng đa miền dịch vụ 34
2.3.1. Xác thực đăng nhập Single sign on (SSO) ............................................. 34
2.3.2. Xác thực hai yếu tố SMS, Voice, Call, Email ........................................ 35
CHƯƠNG 3 XÂY DỰNG GIẢI PHÁP ĐẢM BẢO AN NINH VÀ XÁC THỰC
NGƯỜI DÙNG ĐA MIỀN DỊCH VỤ CHO CỔNG THÔNG TIN ĐIỆN TỬ VIỆN
KHOA HỌC XÃ HỘI QUỐC GIA LÀO ................................................................. 38
3.1. Đặt vấn đề ...................................................................................................... 38
3.2. Hiện trạng và nhu cầu đảm bảo an ninh và xác thực người dùng đa miền dịch vụ .... 39
3.2.1 Về phần cứng ........................................................................................... 41
3.2.2 Về phần mềm ........................................................................................... 41
3.3. Giải pháp triển khai thử nghiệm sử dụng đăng nhập một lần SSO cho hệ
thống cổng thông tin điện tử Viện khoa học xã hội quốc gia Lào ........................ 42
3.3.1 OpenID Connect và SSO ......................................................................... 46
3.3.2 Xác thực người dùng với OpenID Connect ............................................. 47
3.4. Cài đặt thử nghiệm và đánh giá hiệu quả ...................................................... 48
3.4.1. Cài đặt và cấu hình SSL cổng thông tin với Liferay ............................. 48
KẾT LUẬN VÀ ĐỀ NGHỊ ....................................................................................... 54
TÀI LIỆU THAM KHẢO ......................................................................................... 55
v
DANH MỤC HÌNH ẢNH
Hình 2.1: Chuẩn MD5 ............................................................................................... 20
Hình 2.2: Quy trình ký và thấm tra chữ ký số ........................................................... 21
Hình 2.3: Quá trình ký vào tài liệu điện tử sử dụng Private Key ............................. 22
Hình 2.4: Quản lý khóa sử dụng Private key ............................................................ 23
Hình 2.5: Các đặc trưng sinh trắc học phổ biến ........................................................ 25
Hình 2.6: Mô hình client - server .............................................................................. 28
Hình 2.7: Mô hình trao đổi dữ liệu ........................................................................... 29
Hình 2.8: Trao đổi thông tin theo giao thức SSL ...................................................... 32
Hình 2.9: Xác thực bằng mã code ............................................................................. 36
Hình 3.1: Khởi tạo Server và cổng thông tin điện tử với Liferay ............................. 48
Hình 3.2: Tạo chứng chỉ số ....................................................................................... 49
Hình 3.3: File chứng chỉ số ....................................................................................... 49
Hình 3.4: Cài đặt chứng chỉ số .................................................................................. 50
Hình 3.5: Thử nghiệm chứng chỉ số .......................................................................... 50
Hình 3.6: Cài đặt SSL xác thực người dùng sử dụng dịch vụ Google ...................... 51
Hình 3.7: Cài đặt SSL trong Facebook ..................................................................... 51
Hình 3.8: Tích hợp xác thực người dùng vào cổng thông tin ................................... 52
Hình 3.9: Cấu hình OpenID ...................................................................................... 52
vi
DANH MỤC CÁC TỪ VIẾT TẮT
Tên tiếng Anh Tên tiếng Việt Từ viết tắt
Vitual Private Network Mạng riêng ảo VPN
Single Sign On đăng nhập một lần SSO
Database Cơ sở dữ liệu CSDL
Secure Sockets Layer chứng chỉ số SSL
Uninterruptible Power Supplier Bộ lưu trữ điện dự phòng UPS
Database management system Hệ quản trị cơ sở dữ liệu DBMS
Xtensible Markup Language Ngôn ngữ đánh dấu mở rộng XML
Internet protocol suite Bộ giao thức liên mạng TCP/IP
Local Area Network Mạng cục bộ LAN
Advanced Encryption Standard Chuẩn mã hóa tiên tiến AES
Windows Communication Nền tảng kết nối WCF
Foundation
1
MỞ ĐẦU
1. Lý do chọn đề tài
Cổng thông tin điện tử được xây dựng với mục tiêu là điểm truy cập tập
trung và duy nhất; tích hợp các kênh thông tin các dịch vụ, ứng dụng cho phép thực
hiện trao đổi dữ liệu với các hệ thống thông tin tích hợp, đồng thời thực hiện cung
cấp trao đổi thông tin với người sử dụng thông qua một phương thức thống nhất dựa
trên nền tảng Web không hạn chế về không gian và thời gian. Với đặc điểm đó
Cổng thông tin điện tử là lựa chọn phù hợp cho nhiều tổ chức cơ quan có nhu cầu
lưu trữ, trao đổi thông tin lớn và đa dạng như Viện Khoa học xã hội quốc gia Lào.
Bên cạnh đó, nhằm hỗ trợ nhiều đối tượng người dùng được cung cấp và sử
dụng định danh từ các nhà cung cấp định danh khác nhau (đa miền dịch vụ) có thể
thực hiện trao đổi thông tin với cổng thông tin thông qua một phương thức thống
nhất dựa trên nền tảng. Cổng thông tin thường được hỗ trợ cơ chế tích hợp và đăng
nhập một lần (Single Sign On). Tuy nhiên mỗi nền tảng công nghệ lại có khả năng
và cơ chế hỗ trợ riêng biệt. Điều này dẫn tới các vấn đề về an ninh và xác thực
thông tin người dùng.
Những lí do trên thúc đẩy việc nghiên cứu một cách đầy đủ các yếu tố liên
quan đến vấn đề an ninh và xác thực thông tin người dùng cổng thông tin điện tử
Viện Khoa học xã hội quốc gia Lào. Đề tài này cung cấp góc nhìn tổng thể về đặc
điểm người dùng đa miền dịch vụ, cũng như các vấn đề an ninh và cơ chế xác thực
người dùng tương tác với cổng thông tin điện tử Viện Khoa học xã hội quốc gia
Lào. Từ đó cung cấp một số giải pháp để giải quyết các vấn đề an ninh và xác thực
cơ bản đối với cổng thông tin điện tử Viện Khoa học xã hội Lào, bao gồm các vấn
đề chính yếu sau: Cơ chế quản trị và tích hợp người dùng từ một miền dịch vụ, quản
trị an ninh đối với người dùng từ các miền dịch vụ và quản lý cơ chế xác thực thông
tin người dùng từ các miền dịch vụ.
Ngày nay, lĩnh vực bảo mật an toàn thông tin đang được nghiên cứu, phát
triển và ứng dụng rộng rãi trong nhiều hệ thống thông tin nhằm đảm bảo một hệ
thống có tính bảo mật, tin cậy và sẵn sàng. Đặc biệt là những hệ thống cơ sở dữ liệu
2
lưu trữ lớn hoặc cổng thông tin tích hợp dữ liệu cần phải có những giải pháp đảm
bảo an toàn và bí mật trong hệ thống đào tạo, nghiên cứu. Người ta đều xây dựng và
triển khai các cổng thông tin tích hợp dữ liệu nhưng việc nghiên cứu các giải pháp
đảm bảo an toàn và bảo mật thì chưa được quan tâm nhiều. Vấn đề này ở Lào là một
trong vấn đề mới cần được quan tâm đầu tư, chính vì vậy việc nghiên cứu giải pháp
đảm bảo an toàn và bảo mật, tính xác thực người dùng cho cổng thông tin điện tử là
rất cần thiết. Để triển khai nội dung trên thì chúng ta cần tập trung xem xét các vấn
đề an toàn bảo mật thông tin, các công nghệ triển khai cho cổng thông tin điện tử,
trên cơ sở đó đề xuất giải pháp đảm bảo an toàn và bảo mật cho cổng thông tin.
Triển khai xây dựng giải pháp thử nghiệm cho một số ứng dụng đảm bảo an toàn,
bảo mật thông tin và xác thực người dùng đa miền dịch vụ cho cổng thông tin điện
tử Viện khoa học xã hội Quốc gia Lào.
2. Tính thực tiễn của đề tài
Lĩnh vực nghiên cứu, đào tạo không ngừng phát triển. Tiếp cận và tích hợp
đa miền dịch vụ để nâng cao chất lượng nghiên cứu, đào tạo là điều rất cần thiết đối
với Viện Khoa học xã hội Quốc gia Lào. Với sự phát triển mạnh mẽ của ngành
Công nghệ thông tin, một trong những ngành mũi nhọn của nhiều quốc gia trên thới
giới. Sự phát triển vượt bậc đó là kết quả tất yếu của việc ứng dụng của nó trong
nhiều lĩnh vực khác nhau trong cuộc sống như: giáo dục, y tế, kinh tế, khoa học, xây
dựng nó đã trở thành một phần không thể thiếu được trong cuộc sống hàng ngày của
con người. Trong kỷ nguyên bùng nổ thông tin, việc tìm kiếm thông tin từ những
nguồn dữ liệu khác nhau, tích hợp đa miền dịch vụ, đa hệ thống vào chung một
cổng để giao tiếp và sử dụng là nhu cầu thiết thực cho người dùng hiện nay. Tuy
nhiên, một hệ thống lớn bao gồm nhiều dịch vụ, phần mềm nhỏ sẽ gặp phải vấn đề
bảo mật an toàn thông tin và xác thực người dùng. Các nguy cơ bị đánh cắp dữ liệu
người dùng, truy cập không cho phép, phá hoại dữ liệuthường xuyên xảy ra và
mang đến hậu quả thiệt hại lớn. Xuất phát từ những thực tế trên, tôi đã chọn đề tài
“Nghiên cứu một số giải pháp đảm bảo an ninh và xác thực trong tích hợp người
dùng đa miền dịch vụ của cổng thông tin điện tử Viện Khoa học xã hội Quốc gia
Lào” để nghiên cứu cho luận văn thạc sĩ của mình.
3
3. Mục tiêu nghiên cứu
Mục tiêu và nội dụng của luận văn này là nghiên cứu một số giải pháp đảm
bảo an ninh và xác thực trong tích hợp người dùng đa miền dịch vụ của cổng thông
tin điện tử Viện Khoa học xã hội Quốc gia Lào. Để giải quyết các vấn đề trên thì đề
tài tập trung vào các vấn đề sau:
Nghiên cứu về an toàn bảo mật thông tin, mật mã, xác thực thông tin.
Nghiên cứu về mô hình hệ thống, công nghệ, và thuật toán liên quan tới cổng
thông tin điện tử.
Đề xuất được những giải pháp đảm bảo an toàn và bảo mật cho cổng thông
tin điện tử Viện Khoa học xã hội Quốc gia Lào.
Triển khai xây dựng thử nghiệm đảm bảo an toàn và bảo mật thông tin, xác thực
người dùng cho cổng thông tin điện tử Viện Khoa học xã hội Quốc gia Lào.
4. Đối tượng và phạm vi nghiên cứu
Lý thuyết
Tìm hiểu đặc điểm người dùng đa miền dịch vụ hệ thống cổng thông tin điện tử.
Tìm hiểu một số phương pháp đảm bảo xác thực người dùng đa miền dịch vụ.
Tìm hiểu một số phương pháp đảm bảo an ninh trong tích hợp người dùng đa
miền dịch vụ.
Lựa chọn phương pháp đảm bảo an ninh và xác thực trong tích hợp người
dùng đa miền dịch vụ phù hợp với cổng thông tin điện tử Viện Khoa học xã
hội Lào.
Thực nghiệm
Thực hiện thử nghiệm các tham số đối với các tham số của một số phương
pháp đảm bảo an ninh và xác thực người dùng đa miền.
Phân tích, đánh giá kết quả thu được.
4
Cài đặt và cấu hình thử nghiệm hệ thống đảm bảo an toàn an ninh và xác
thực người dùng đa miền dịch vụ cổng thông tin điện tử Viện Khoa học xã
hội Lào.
5. Phương pháp nghiên cứu
Nghiên cứu một số phương pháp đảm bảo an ninh và xác thực người dùng đa
miền dịch vụ đã được công bố ở trong và ngoài nước. (Từ nguồn học liệu tại trường
Đại học Công nghệ thông tin và Truyền thông, các nhà khoa học, các tạp chí mạng),
thực hiện khảo sát và đưa ra ưu/nhược điểm của các phương pháp; lựa chọn phương
pháp phù hợp có thể đảm bảo an toàn an ninh và xác thực;
Nghiên cứu một số phương pháp cơ chế đảm bảo xác thực thông tin người
dùng đa miền dịch vụ đã được công bố; lựa chọn phương pháp có hiệu quả cao nhất.
Nghiên cứu một số phương pháp đảm bảo an ninh trong tích hợp người dùng
đa dịch vụ đã được công bố; lựa chọn giải pháp đảm bảo an toàn tốt nhất.
Cài đặt và cấu hình thử nghiệm hệ thống đảm bảo an ninh và xác thực người
dùng cho cổng thông tin người dùng cổng thông tin điện tử Viện Khoa học xã hội
Lào; phân tích và đánh giá kết quả thu được; so sánh hiệu quả trong các trường hợp
sử dụng thực tế.
6. Bố cục luận văn
Luận văn bao gồm: mục lục, phần mở đầu, phụ lục.
Chương 1: Tổng quan về đảm bảo an ninh và xác thực người dùng
Chương 2: Một số phương pháp đảm bảo an ninh và xác thực trong tích hợp
người dùng đa miền dịch vụ.
Chương 3: Xây dựng giải pháp đảm bảo an ninh và xác thực người dùng đa
miền dịch vụ cho cổng thông tin điện tử Viện khoa học xã hội Quốc gia Lào.
Kết luận và đề nghị.
5
CHƯƠNG 1
TỔNG QUAN VỀ ĐẢM BẢO AN NINH VÀ XÁC THỰC NGƯỜI DÙNG
1.1. Hệ thống thông tin và vấn đề đảm bảo an ninh
1.1.1 Các vấn đề hệ thống thông tin
An ninh mạng đặt ra các vấn đề với các tổ chức, doanh nghiệp, cá nhân. Đặc
biệt, với đặc trưng có mặt ở khắp nơi, liên tục thu thập thông tin về hoạt động của
con người, môi trường xung quanh và liên tục kết nối, hàng chục tỷ thiết bị đang
hoạt động trên thế giới có thể bị lợi dụng để tạo ra những mạng lưới thu thập thông
tin với phạm vi hoạt động cực rộng, len lỏi vào từng khía cạnh của đời sống con
người, tạo ra những nguy cơ chưa từng có với các tổ chức, cá nhân trước hoạt động
của tội phạm mạng. Có thể nói, đề tài về bảo đảm an ninh thông tin (ANTT) đang là
một trong những vấn đề được ưu tiên toàn cầu, khu vực và mỗi quốc gia.
Các giải pháp bảo vệ an ninh thông tin trong thời đại công nghệ số:
Một là thống nhất và nâng cao nhận thức về an toàn thông tin trong thời kỳ
kỹ thuật số. Xác định công tác bảo đảm an ninh, phòng, chống vi phạm và tội phạm
mạng là một bộ phận trọng yếu của cuộc đấu tranh bảo vệ an ninh quốc gia, giữ gìn
trật tự, an toàn xã hội, là nhiệm vụ của cả hệ thống các cấp, các ngành, cho đến từng
cơ quan, đoàn thể.
Hai là coi trọng việc đẩy mạnh xây dựng nguồn nhân lực ANTT Lào cả số
lượng lẫn chất lượng. Đào tạo thêm nhiều kỹ sư thuộc các chuyên ngành an ninh
mạng, đảm bảo nhu cầu khát nhân lực hiện nay. Không chỉ đảm bảo về mặt số
lượng, cần phải nâng cao chất lượng trong ngành bằng việc đào tạo đội ngũ giảng
dạy có phương pháp và quy trình chuẩn.
Ba là tăng cường năng lực và nâng cao một bước hiệu quả quản lý nhà nước
về công nghệ thông tin và truyền thông, về ANTT, an ninh mạng. Tiếp tục xây
dựng, hoàn thiện hệ thống pháp luật về an ninh mạng, quy chuẩn về an toàn thông
tin. Kiện toàn tổ chức bộ máy thực thi quản lý nhà nước về an ninh, an toàn mạng
thông tin quốc gia, hệ thống các đơn vị chuyên trách về ANTT, công nghệ thông
tin. Hoàn thiện hệ thống quản lý theo pháp luật, đảm bảo.
6
Bốn là xây dựng mô hình phát triển và sử dụng công nghệ thông tin phù hợp
với luật pháp, trên cơ sở tôn trọng quyền tự do và những quyền cơ bản khác của con
người, đồng thời không can thiệp công việc nội bộ lẫn nhau; phản đối mọi hình thức
lợi dụng vấn đề “tự do thông tin”, “nhân quyền”, “dân chủ” trên không gian mạng
để xâm hại lợi ích của các quốc gia, quyền và lợi ích hợp pháp của các công dân.
Năm là chủ động có phương án, chiến lược phòng chống các cuộc tấn công
mạng. Lập kế hoạch triển khai khi có sự cố sảy ra để không bị động trước những tấn
công bất thường [11].
Vai trò của an ninh thông tin ngày càng quan trọng kéo theo nhu cầu về
nguồn nhân lực ngày càng gia tăng. Ở Lào, ngành an ninh thông tin và quản trị
mạng đang được rất nhiều bạn trẻ theo học.
Trung tâm tích hợp dữ liệu được hiểu là một khu vực mà trong đó tích hợp
cơ sở dữ liệu (CSDL) của các ứng dụng trong một cơ quan, tổ chức, doanh nghiệp
và trong đó có các kết nối mạng, máy chủ chạy ứng dụng CSDL thực hiện việc trao
đổi dữ liệu giữa tổ chức,...với CSDL trung tâm qua mạng cục bộ, mạng Internet.
Ngoài việc đảm bảo an toàn cho nơi lưu trữ dữ liệu thì việc đảm bảo an ninh
cho bản thân dữ liệu cũng rất quan trọng. Tuỳ theo cách thức dữ liệu được truy xuất
và lưu trữ thì vấn đề về đảm bảo an ninh cho dữ liệu có các điều kiện khác nhau. Ví
dụ như việc đảm bảo an ninh cho dữ liệu được lưu trữ lại CSDL thì cần phải chống
lại những nguy cơ mất an ninh cho dữ liệu như: trộm cắp dữ liệu, sửa đổi trái phép.
Bảo đảm tính toàn vẹn dữ liệu và an ninh cho dữ liệu khi dữ liệu được trao đổi cho
ứng dụng thì cần bảo vệ dữ liệu trên đường truyền. Do đó việc đảm bảo an ninh, an
toàn và xác thực người dùng trên cổng thông tin là thiết yếu và cũng là vấn đề lớn
mà Viện khoa học xã hội Quốc gia Lào cần phải nghiên cứu, triển khai trên thực tế.
1.1.2. Phân loại các hệ thống thông tin
Hệ thống thông tin là một tập hợp và kết hợp của các thành phần sử dụng đề
thu thập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm
phục vụ các mục tiêu của tổ chức; có thể là thủ công nếu dựa vào các công cụ như
giấy, bút. Hệ thống thông tin hiện đại là hệ thống tự động hóa dựa vào máy tính
7
(phần cứng, phần mềm) và các công nghệ thông tin học còn hệ thống thông tin quản
lý được phân loại theo cấp bậc quản lý như sau:
- Hệ thống thông tin quản lý (Management Information System-MIS)
- Hệ thống xử lý giao địch (Transactions Processing Systems- TPS)
- Hệ tự động văn phòng (Office Automation Systems- OAS)
- Hệ thống chuyên môn (Knowledge Word System- KWS)
- Hệ hỗ trợ quyết định (Decision Support System – DSS)
- Hệ thông tin hỗ trợ lãnh đạo (Executive Support Systems- ESS)
1.1.3. Đặc điểm hệ thống thông tin dữ liệu Viện khoa học xã hội quốc gia Lào
Để đảm bảo các hệ thống ứng dụng công nghệ thông tin (CNTT) hoạt động
tốt trên mạng Internet, đa số các cơ quan đã bước đầu quan tâm thực hiện theo các
quy định của pháp luật nhằm đảm bảo an toàn, an ninh thông tin trong hoạt động
ứng dụng CNTT cho cơ sở.
Hệ thống phần mềm dùng chung, phần mềm chuyên ngành, phần mềm ứng
dụng nội bộ cơ bản được đảm bảo an toàn, an ninh thông tin đều được sự hỗ trợ tích
cực của các chuyên gia, công ty cung cấp phần mềm. Hàng năm, Viện Khoa học Xã
hội quốc gia Lào cũng tổ chức các lớp đào tạo, tập huấn về CNTT nhằm nâng cao
trình độ giúp cho cán bộ, công chức, chủ động thực hiện các biện pháp bảo đảm an
toàn, an ninh thông tin; nâng cao kiến thức về chuyên môn và kỹ năng sử dụng
CNTT, đảm bảo an toàn thông tin mạng cho đội ngũ cán bộ chuyên trách CNTT
trong cơ quan. Đồng thời yêu cầu các đơn vị trực thuộc tổ chức kiểm tra, rà soát và
đánh giá tổng thể về công tác đảm bảo an toàn thông tin cho các hệ thống thuộc
phạm vi quản lý, tổ chức thực hiện các biện pháp kỹ thuật cơ bản đảm bảo an toàn
thông tin cho trang thông tin điện tử.
Tuy nhiên, công tác đảm bảo an toàn thông tin mạng ở Viện khoa học xã hội
quốc gia Lào vẫn chưa được cập nhật với mặt bằng chung của khu vực và thế giới.
Hệ thống mạng kết nối ngang hàng, thiếu các trang thiết bị đảm bảo an toàn thông
tin mạng, các hệ thống thông tin còn tồn tại lỗ hổng bảo mật, tiềm ẩn nguy cơ gây
8
mất dữ liệu, lây nhiễm các phần mềm độc hại ảnh hưởng đến ứng dụng và phát triển
CNTT.
Mặt khác, kinh phí tổng thể đầu tư cho xây dựng hạ tầng kỹ thuật CNTT và
công tác đảm bảo an toàn và an ninh thông tin còn hạn chế; việc đảm bảo an toàn,
an ninh thông tin đối với các hệ thống thông tin nói chung và các hệ thống thư điện
tử, quản lý văn bản và điều hành, trang thông tin điện tử nói riêng chưa được quan
tâm đầu tư tương xứng. Đa số mới chỉ dừng lại ở mức trang bị các phần mềm diệt
virus có bản quyền cho các máy tính, chưa có biện pháp đảm bảo an toàn an ninh
thông tin được cài đặt đồng bộ trên toàn cơ quan do vậy khả năng phòng chống
virus, bảo mật không cao.
Đội ngũ cán bộ chuyên viên phụ trách an toàn, an ninh thông tin tại Viện
khoa học xã hội quốc gia Lào còn thiếu, cần được đào tạo, tập huấn chuyên sâu về
an toàn, an ninh thông tin. Do đó để đảm bảo an toàn, an ninh thông tin trong hoạt
động của Viện khoa học xã hội quốc gia Lào hiện nay cần có những giải pháp, cơ
chế chính sách cụ thể nhằm hạn chế nguy cơ mất ATTT trên môi trường mạng,
ngăn ngừa mã độc, phần mềm gián điệp tấn công vào các hệ thống thông tin trọng
yếu, máy tính cá nhân của cán bộ, công chức, viên chức. Trong đó cần ưu tiên thực
hiện ngay một số biện pháp sau:
Một là, nâng cao nhận thức của cán bộ, công chức, viên chức trong đơn vị về
mức độ quan trọng của việc đảm bảo an toàn, an ninh thông tin. Thường xuyên tổ
chức đào tạo, tập huấn, tuyên truyền về công tác đảm bảo an toàn, an ninh thông tin;
tổ chức diễn tập, đào tạo chuyên sâu ATTT để nâng cao trình độ, chuyên môn
nghiệp vụ cán bộ chuyên trách CNTT.
Hai là, thường xuyên kiểm tra, rà soát, đánh giá mức độ đảm bảo ATTT cho
hệ thống mạng nội bộ (LAN) gồm: Máy chủ, máy trạm, thiết bị mạng, phần cứng,
phần mềm hệ thống và các hệ thống thông tin, phần mềm ứng dụng nhằm đánh giá
tổng thể mức độ ATTT mạng, kịp thời phát hiện và xử lý sự cố, lỗ hổng, ngăn chặn,
bóc gỡ mã độc tấn công vào hệ thống mạng.
9
Ba là, về phòng chống mã độc, virus, phần mềm gián điệp: Cách hiệu quả
nhất để có thể ngăn chặn, phòng ngừa các phần mềm độc hại trên lây nhiễm trên hệ
thống mạng máy tính của đơn vị đó là phải triển khai cài đặt phần mềm chống virus
cho tất cả các máy chủ, máy trạm và thiết bị di động trong hệ thống mạng. Sử dụng
cơ chế phòng chống tấn công, truy nhập trái phép vào hệ thống mạng, tự động phát
hiện và loại trừ mã độc được truyền tải từ thư điện tử, file đính kèm, từ các trang
web độc hại trên mạng Internet. Thường xuyên cập nhật phiên bản mới, bản vá lỗi
của hệ điều hành, phần mềm chống virus. Kiểm soát chặt chẽ cài đặt phần mềm trên
máy chủ, máy trạm, không cài đặt phần mềm không rõ nguồn gốc hoặc không có
bản quyền; cử cán bộ thường xuyên theo dõi hoạt động của cổng/trang thông tin
điện tử của đơn vị nhằm tránh các cuộc tấn công deface gây ảnh hưởng đến việc
cung cấp thông tin phục vụ người dân và doanh nghiệp. Thiết lập cơ chế bảo mật
cho mạng không dây như thay đổi các tham số mặc định của thiết bị, mã hóa dữ
liệu, đặt mật khẩu truy cập ở mức an toàn cao nhất.
Xây dựng, ban hành quy chế về đảm bảo an toàn, an ninh thông tin trên môi
trường mạng trong hoạt động nội bộ của đơn vị. Bố trí kinh phí thường xuyên cho
việc triển khai các biện pháp đảm bảo ATTT trong nội bộ cơ quan, mua sắm trang
thiết bị CNTT chuyên dụng như thiết bị tường lửa (Firewall), thiết bị lưu trữ dữ
liệu, phần mềm phòng chống virus; tăng cường đào tạo tập huấn
Khi hệ thống bị tấn công, xảy ra sự cố hoặc nguy cơ mất ATTT cần nhanh
chóng cách ly hệ thống với môi trường mạng, áp dụng mọi biện pháp để khắc phục
và hạn chế thiệt hại ở mức thấp nhất.
Công tác đảm bảo an toàn, an ninh thông tin trong hoạt động của Viện khoa
học xã hội quốc gia Lào đang là một nhiệm vụ quan trọng và không thể thiếu trong
công tác ứng dụng CNTT và hoạt động chỉ đạo điều hành. Do đó, phải thường
xuyên kiểm tra, rà soát, đánh giá mức độ an toàn bảo mật để đơn vị đưa ra giải pháp
kịp thời để đối phó, ngăn chặn các nguy cơ rủi ro có thể xảy ra bất cứ lúc nào [10].
10
1.2. Vấn đề bảo mật, an toàn và xác thực người dùng
1.2.1. Vấn đề an ninh thông tin
Với một nền tảng công nghệ vững mạnh và ngày càng phát triển, mở rộng,
việc giám sát các thông tin an ninh trong hệ thống là thật sự cần thiết. Điều này sẽ
giúp cho công tác kiểm soát một hệ thống với rất nhiều thành phần khác nhau được
quản lý, cảnh báo tập trung và tự động đưa ra phân tích, đánh giá đối với từng thành
phần cũng như tổng thể hệ thống một cách kịp thời. Hơn thế nữa, việc giám sát còn
cho phép tương quan, xâu chuỗi các sự kiện của nhiều hệ thống khác nhau nhằm
đưa ra luồng thông tin chính xác từ các cuộc tấn công để từ đó xác định nguồn gốc
và có biện pháp xử lý kịp thời.
Ngoài ra, giải pháp An ninh thông tin còn cho phép đo lường, quản lý rủi ro
và quản lý việc tuân thủ các quy trình kinh doanh quan trọng để mang lại những
hiệu quả:
1. Phát hiện các vấn đề bảo mật và đưa ra thời gian xử lý sự cố an ninh thông
tin từ việc thu thập dữ liệu từ tất cả các nền tảng công nghệ, phần mềm, ứng dụng.
Tương quan các sự kiện với các ngữ cảnh khác nhau, dò quét các sự cố nghiêm
trọng, đồng thời giám sát các hành vi của người dùng, phát hiện các mối đe dọa từ
bên trong.
2. Đưa ra các báo cáo về tính tuân thủ của hệ thống CNTT dựa theo các tiêu
chuẩn quốc tế ISO 27001, PCI-DSS, NISTmột cách tự động hay bất kỳ khi nào tổ
chức yêu cầu. Quản lý sự cố và tổ chức các sự kiện trên toàn bộ hệ thống với một
giao diện thân thiện, thống nhất và hiệu quả hơn.
Theo Cục An ninh thông tin Lào, phần mềm độc hại mã hóa tống tiền; lừa
đảo trực tuyến, lây nhiễm phần mềm độc hại trên mạng xã hội; tấn công có chủ
đích; lỗ hổng khi kết nối Internet; hay tấn công mạng vào các hạ tầng viễn thông và
công nghệ thông tin là những vấn đề nóng về an toàn thông tin.
Lừa đảo trực tuyến, lây nhiễm phần mềm độc hại trên mạng xã hội
Cùng với sự phát triển phổ biến của mạng xã hội đặc biệt là những trang
mạng xã hội có đông người sử dụng như Facebook, nhiều đối tượng xấu đang sử
11
dụng mạng xã hội làm nền tảng để lừa đảo trực tuyến hay phát tán những phần mềm
độc hại, gây ra những rủi ro, mất an toàn thông tin cho người sử dụng.
Với một lượng người dùng mạng xã hội và Internet không ngừng gia tăng tại
Lào như hiện nay thì các nguy cơ mất an toàn thông tin từ mạng xã hội sẽ vẫn tiếp
tục là một xu hướng nóng trong năm 2019 và các năm tiếp theo.
Tấn công có chủ đích (APT)
Trong vài năm trở lại đây xu hướng tấn công có chủ đích (APT) đang diễn
biến hết sức phức tạp trên diện rộng. Đây là hình thức tấn công tinh vi và rất khó
phát hiện do kẻ tấn công sử dụng các kỹ thuật mới để ẩn nấp và những cuộc tấn
công này nhằm vào những người dùng hay các hệ thống quan trọng nhằm đánh cắp
thông tin, phá hoại hệ thống và có thể xem là mối rủi ro nguy hiểm th...truyền.
Mô hình bảo mật trên đường truyền:
Hình 2. 7: Mô hình trao đổi dữ liệu
30
Do dữ liệu trao đổi theo hai chiều từ client đến server và ngược lại, nên có
những nguy cơ gặp phải như sau:
- Không chắc rằng việc trao đổi thông tin là đúng đối với đối tượng cần
trao đổi.
- Dữ liệu trên mạng có thể bị chặn, cho nên dữ liệu có thể bị một đối
tượng thứ 3 khác đọc trộm hay còn gọi là attacker.
- Ngoài ra nếu attacker chặn được dữ liệu thì có thể sửa đổi dữ liệu
trước khi gửi nó đến người nhận.
Để thực hiện điều này thì ứng dụng giao thức SSL để bảo vệ dữ liệu trong
quá trình trao đổi giữa tất cả các dịch vụ. SSL sẽ giải quyết vấn đề thứ nhất bằng
cách cho phép 1 cách tùy chọn mỗi bên trao đổi có thể chắc chắn về định danh của
phía đối tác trong một quá trình gọi là xác thực (authentication). Một khi các bên đã
đuợc xác thực thì SSL sẽ cung cấp một kết nối đuợc mã hóa giữa hai bên để truyền
bảo mật các message. Việc mã hóa trong quá trình trao đổi thông tin giữa hai bên
cung cấp sự riêng tư, bí mật, do đó giải quyết đuợc vấn đề thứ hai. Thuật toán mã
hóa đuợc sử dụng bao gồm có hàm băm mã hóa tuơng tự nhu checksum, nó đảm
bảo rằng dữ liệu không bị thay đổi trong quá trình truyền dẫn, và do đó hàm băm sẽ
giải quyết vấn đề thứ 3.
Tuy nhiên cần chú ý là cả hai việc xác thực và mã hóa đều là tùy chọn, và nó
phụ thuộc vào các bộ mã hóa đuợc đàm phán giữa hai đối tuợng.
Tiến trình SSL:
Việc trao đổi dữ liệu trên mạng sử dụng SSL bắt đầu với việc trao đổi thông
tin qua lại giữa client - server, sự trao đổi này còn gọi là SSL handshake.
Có 3 mục tiêu chính của SSL handshake là:
- Đàm phán các thuật toán mã hóa (cipher suite).
- Xác thực định danh (tùy chọn).
- Hình thành cơ chế bảo mật thông tin bằng cách thỏa thuận các cơ chế
mã hóa.
31
Đàm phán các cipher suite:
Một phiên SSL bắt đầu với việc đàm phán giữa client và server xem cipher
suite nào chúng sẽ sử dụng. Một cipher suite là một tập các thuật toán mã hóa mà
máy tính có thể dùng để mã hóa dữ liệu. Bao gồm có thông tin về các thuật toán
trao đổi khóa công khai và các thuật toán thỏa thuận khóa, các hàm băm mã hóa.
Client nói với server các cipher suite nào nó có sẵn và server lựa chọn cipher suite
tốt nhất có thể chấp nhận.
Xác thực server:
Trong SSL thì buớc xác thực là buớc tùy chọn, việc xác thực server cho phép
client chắc chắn rằng chính server sẽ đại diện cho đối tuợng mà client tin tuởng. Để
chứng minh server thuộc về một tổ chức mà nó khẳng định là đại diện, thì server sẽ
phải đua ra chứng chỉ khóa công khai của nó cho client. Nếu chứng chỉ này là hợp
lệ thì client có thể chắc chắn về định danh của server.
Thông tin trao đổi qua lại giữa client và server cho phép chúng thỏa thuận 1
khóa bí mật chung, ví dụ như RSA, client dùng khóa công khai của server, có đuợc
từ chứng chỉ khóa công khai, để mã hóa thông tin khóa bí mật. Client gửi thông tin
khóa bí mật đã được mã hóa đến server, chỉ có server mới có thể giải mã các thông
tin này do quá trình giải mã phải cần đến khóa riêng của server.
Gửi dữ liệu đã mã hóa:
Lúc này thì cả client và server có thể truy cập đến khóa bí mật chung. Với
mỗi bản tin thì chúng ta dùng đến hàm băm mã hóa, đã được chọn trong bước đầu
tiên của tiến trình và chia sẻ thông tin bí mật, để tính toán 1 giá trị HMAC để gắn
kèm vào thông điệp. Sau đó thì chúng ta sử dụng khóa bí mật và thuật toán khóa bí
mật đã được thỏa thuận trước của tiến trình này để mã hóa dữ liệu và HMAC an
toàn. Sử dụng phương thức này, client và server có thể trao đổi thông tin với nhau
một cách an toàn với dữ liệu đã băm và mã hóa.
Giao thức SSL:
SSL handshake là sự trao đổi thông tin giữa client và server trước khi gửi các
message đã được mã hóa.
32
Client hello
Certiftcate tùy chọn
Client key exchange
Certificate verify tùy chọn
Change cipher spec
2.Server hello
Finish
Certificate tùy chọn
Encrypted data
Certiftcate request tùy chọn
Close messages
5.Server key exchange tùy chọn
ó.Server hello done
Change cipher spec
Finished
Encrypted data
Clo.se message
Hình 2. 8: Trao đổi thông tin theo giao thức SSL
Các thông điệp SSL được gửi theo thứ tự sau:
- Client hello: Client gửi đến server các thông tin bao gồm có phiên bản
SSL cao nhất và 1 danh sách các cipher suite mà nó hỗ trợ. Thông tin cipher suite
bao gồm có các thuật toán mã hóa và kích thước khóa.
- Server hello: Server chọn ra phiên bản SSL cao nhất và cipher suite tốt
nhất mà cả client và server hỗ trợ, gửi thông tin này về cho client.
- Certificate: Server gửi cho client 1 chứng chỉ hoặc một chuỗi chứng chỉ,
về cơ bản thì 1 chuỗi chứng chỉ bắt đầu bằng chứng chỉ khóa công khai của server
và kết thúc bằng chứng chỉ gốc của tổ chức có thẩm quyền chứng chỉ. Thông điệp
này là tùy chọn nhưng được dùng bất cứ khi nào xác thực server là cần thiết.
- Certificate request: Nếu server cần xác thực client thì sẽ gửi cho client 1
yêu cầu xem chứng chỉ, trong các ứng dụng internet thì các message này ít khi được
gửi đi.
33
- Server key exchange: Server gửi cho client 1 message trao đổi khóa trong
khi khóa công khai được gửi ở phần 3 bên trên thì không đủ cho việc trao đổi khóa.
- Server hello done: Server thông báo với client là việc đã hoàn thành các
message đàm phán ban đầu.
- Certificate: Nếu server cần chứng chỉ từ client trong bước 4 thì client gửi
chuỗi chứng chỉ tương ứng, tương tự như cách thức server làm ở trong bước 3.
- Client key exchange: Client sinh ra thông tin được dùng để trao đổi khóa
trong mã hóa khóa đối xứng, với RSA, client mã hóa thông tin khóa này bằng khóa
công khai của server rồi gửi đến server.
- Certificate verify: Message này được gửi đi khi client đưa ra chứng chỉ
như trên. Mục tiêu của client là cho phép server hoàn thành tiến trình xác thực
client. Khi message này được dùng thì client gửi thông tin với chữ ký số được tạo ra
bằng hàm băm mã hóa, khi server giải mã thông tin này bằng khóa công khai của
client thì server có thể xác thực được client.
- Change cipher spec: Client gửi message báo server thay đổi kiểu mã hóa.
- Finished: Client nói với server rằng server đã sẵn sàng để trao đổi dữ liệu
một cách an toàn.
- Change cipher spec: Server gửi thông điệp báo cho client thay đổi kiểu
mã hóa.
- Finished: Server thông báo với client rằng server đã sẵn sàng để bắt đầu
trao đổi dữ liệu an toàn và kết thúc SSL handshake.
- Encrypted data: Client và server trao đổi với nhau, sử dụng thuật toán mã
hóa đối xứng và hàm băm đã thỏa thuận ở bước 1 và 2. Và dùng khóa bí mật mà
client gửi cho server trong message 8.
- Closed message: Kết thúc 1 kết nối, mỗi bên gửi 1 message close-notify
để thông báo rằng kết nối đã bị đóng.
Trong quá trình này, nếu các tham số được sinh ra trong 1 phiên SSL được
lưu lại thì chúng có thể được dùng lại cho các phiên SSL sau và việc này sẽ cho
phép trao đổi bảo mật nhanh hơn.
34
2.3. Các phương pháp đảm bảo xác thực danh tính người dùng đa miền dịch vụ
2.3.1. Xác thực đăng nhập Single sign on (SSO)
2.3.1.1. Khái niệm về SSO
Single sign on là một cơ chế xác thực yêu cẩu người dùng đãng nhập vào chỉ
một lần với một tài khoản và mật khẩu để truy cập vào nhiều ứng dụng trong một
phiên làm việc (session).
2.3.1.2. Lợi ích mà SSO mang lại
Trước khi có đăng nhập một lần (SSO), một người sử dụng đã phải nhập các
tài khoản và mật khẩu cho từng ứng dụng mỗi khi họ đăng nhập vào các ứng dụng
khác nhau hoặc các hệ thống trong cùng một phiên (session). Điều này có thể tốn
nhiều thời gian, đặc biệt là trong môi trường doanh nghiệp, nơi mà thời gian là tiền
bạc, nhưng thời gian lại bị lãng phí bởi vì nhân viên phải đăng nhập nhiều lần.
SSO thường được thực hiện thông qua một mô-đun xác thực phần mềm riêng
biệt hoạt động như một cửa ngõ vào tất cả các ứng dụng yêu cầu đăng nhập. Các
mô-đun xác thực người dùng và sau quàn lý truy cập vào các ứng dụng khác. Nó
hoạt động như một kho dữ liệu chung cho tất cả các thông tin đăng nhập được yêu
cầu. Ví dụ: hệ thống của Google khi người dùng chỉ cần đăng nhập 1 lần thì họ có
thể sử dụng các dịch vụ của Google hay Yahoo mà không đòi hỏi đăng nhập 1 lần
nữa như Gmail, Google Plus, Youtube. Mặc dù SSO rất tiện lợi, nhưng nó cũng là
một vấn đề về an ninh. Nếu hệ thống SSO bị tổn thương, một kẻ tấn công có quyền
truy cập không giới hạn cho tất cả các ứng dụng chứng thực của các module SSO.
Cơ chế SSO đảm bảo cho người dùng hợp pháp có thể truy nhập vào rất
nhiều dịch vụ khác nhau trên hệ thống mạng phân tán nhưng chỉ phải sử dụng một
tài khoản duy nhất. Người sử dụng chỉ cần đăng ký và đăng nhập duy nhất một lần
vào hệ thống, khi đó trong phiên làm việc của mình họ có thể truy cập ngay lập tức
vào các dịch vụ liên kết của hệ thống phân tán mà không phải đăng ký thêm định
danh và thông qua quá trình đăng nhập lần nữa.
Hiện nay có nhiều phương pháp khác nhau được đưa ra nhằm mục đích ứng
dụng cơ chế này, nhưng trên các thử nghiệm thực tế hầu hết các phương pháp đó
35
đều không ngăn chặn được các tấn công một cách có chủ ý từ bên ngoài. Một số
phương pháp có kèm theo cơ chế đồng bộ thời gian để loại bỏ các truy nhập trái
phép, nhưng điều đó dẫn đến việc tăng chi phí tính toán. Với qui mô và tầm vóc của
một cổng thông tin điện tử của một Viện cấp quốc gia, Viện khoa học xã hội quốc
gia Lào sẽ đi tiên phong trong việc triển khai giải pháp SSO giúp người sử dụng chỉ
cần dùng một tài khoản và mật khẩu SSO duy nhất có thể sử dụng được tất cả các
ứng dụng tin cậy [13].
2.3.2. Xác thực hai yếu tố SMS, Voice, Call, Email
2.3.2.1. Tổng quan về xác thực hai yếu tố
Vấn đề về bảo mật hiện nay đang là một trong những bước tiến rất quan
trọng đối với thế giới. Để tránh các vấn đề về rò rỉ thông tin hay sự xâm nhập của
các thành phần xấu ở không gian mạng người ta đưa ra rất nhiều cách thức, trong đó
phương pháp bảo mật thông tin bằng cách xác thực 2 yếu tố rất được chú ý.
Xác thực 2 yếu tố được viết tắt là 2FA (Two-factor authentication) hay còn
được gọi là xác minh ở bước 2, là hình thức bảo mật yêu cầu phải sử dụng 2 bước
để xác minh người dùng đăng nhập vào tài khoản. Phương pháp này thường đi kèm
với điện thoại để tăng cường bảo mật cho tài khoản của chúng ta.
Ví dụ như cần đăng nhập vào tài khoản Viện khoa học xã hội quốc gia Lào
của mình với các thiết bị quen thuộc thì có thể không cần phải xác minh bất cứ điều
gì nhưng nếu đăng nhập vào một thiết bị lạ thì hệ thống sẽ nhắc nhở và gửi SMS về
để xác minh danh tính. Đây thật sự là một cách bảo mật rất đáng tin cậy.
2.3.2.2. Cách thức hoạt động của xác thực 2 yếu tố
Phương thức xác thực 2 yếu tố là phương thức đăng nhập 2 lớp, lớp thứ nhất
là đăng nhập bình thường (Username và Password), lớp thứ hai là một lớp bảo mật
tin cậy để xác minh danh tính. Thông thường lớp thứ 2 sẽ có những dạng sau đây:
- Sử dụng câu hỏi bảo mật để xác minh danh tính thật sự sau khi đăng nhập;
- Gửi một tin nhắn SMS đến số điện thoại đã cung cấp;
- Dữ liệu sinh trắc học (vân tay hoặc khuôn mặt, thậm chí là giọng nói);
36
- Sử dụng khoá bảo mật là một thiết bị nhỏ (thường ở dạng nhỏ gọn như ổ
cứng USB) để chứng minh người đăng nhập. Khi các dịch vụ cần xác minh thì chỉ
cần kết nối khóa với điện thoại, máy tính bảng hoặc máy tính cá nhân;
- Sử dụng các ứng dụng tạo mã xác minh trên điện thoại hay máy tính cá
nhân như: Google Authenticator hay Authy.com.
Hình 2. 9: Xác thực bằng mã code
2.3.2.3. Những phương pháp xác thực 2 yếu tố phổ biến
Dưới đây là những cách bảo mật xác thực 2 yếu tố phổ biến hiện nay:
Gửi tin nhắn SMS, Call đến số điện thoại đã cung cấp: cách này sẽ thuận
tiện hơn việc điện thoại luôn đi kèm bên người. Tuy nhiên cách này có thể
gặp sự cố ở phía nhà mạng điện thoại nếu không nhận được tin nhắn xác thực.
Gửi link đăng nhập qua Email đăng ký tài khoản: sau khi nhận thông tin
đăng nhập, website sẽ tự sinh ra một đường link để gửi cho người dùng. Lúc
này người sử dụng đăng nhập bằng cách click vào đường link trong hộp thư đăng
ký tài khoản.
Google Authenticator: Đây là ứng dụng điện thoại đơn giản và hiệu quả do
chính Google phát triển. Chỉ cần quét mã QR đối với những tài khoản thiết
lập để bảo mật và bắt đầu xác thực danh tính.
37
Authy.com : Đây là dịch vụ cung cấp các giải pháp xác thực 2 yếu tố an toàn
và phổ biến nhất hiện nay. Điểm khác biệt của Authy so với Google
Authenticator là hỗ trợ trên nhiều thiết bị và lưu trữ thông tin mã xác thực
trên máy chủ của Authy.com. Do đó sử dụng Authy.com giúp khôi phục lại
được mã xác thực nhanh chóng khi điện thoại bị mất hay bị hỏng.
Microsoft Authenticator, LastPass Authenticator: tương tự các dịch vụ trên.
38
CHƯƠNG 3
XÂY DỰNG GIẢI PHÁP ĐẢM BẢO AN NINH VÀ XÁC THỰC NGƯỜI
DÙNG ĐA MIỀN DỊCH VỤ CHO CỔNG THÔNG TIN ĐIỆN TỬ VIỆN
KHOA HỌC XÃ HỘI QUỐC GIA LÀO
3.1. Đặt vấn đề
Cổng thông tin điện tử Viện Khoa học xã hội quốc gia Lào được xây dựng
với mục tiêu là điểm truy cập tập trung và duy nhất; các thông tin đa dịch vụ, ứng
dụng cho phép thực hiện trao đổi dữ liệu với các hệ thống thông tin tích hợp, đồng
thời thực hiện cung cấp trao đổi thông tin với người sử dụng thông qua một phương
thức thống nhất dựa trên nền tảng Web không hạn chế về không gian và thời gian.
Điều đó thúc đẩy việc nghiên cứu một cách đầy đủ các yếu tố liên quan đến vấn đề
an ninh và xác thực thông tin người dùng cổng thông tin điện tử Viện Khoa học xã
hội quốc gia Lào, đưa ra một số giải pháp để giải quyết các vấn đề an ninh và xác
thực cơ bản đối với cổng thông tin điện tử Viện Khoa học xã hội Lào, bao gồm các
vấn đề chính sau: Cơ chế quản trị và tích hợp người dùng từ một miền dịch vụ, quản
trị an ninh đối với người dùng từ các miền dịch vụ và quản lý cơ chế xác thực thông
tin người dùng từ các miền dịch vụ.
Tiếp cận và tích hợp đa miền dịch vụ để nâng cao chất lượng nghiên cứu,
đào tạo là điều rất cần thiết đối với Viện Khoa học xã hội Quốc gia Lào. Với sự
phát triển mạnh mẽ của ngành CNTT, một trong những ngành mũi nhọn của nhiều
quốc gia trên thế giới. Sự phát triển vượt bậc đó là kết quả tất yếu của việc ứng
dụng của nó trong nhiều lĩnh vực khác nhau trong cuộc sống như: giáo dục, y tế,
kinh tế, khoa học, xây dựng nó đã trở thành một phần không thể thiếu được trong
cuộc sống hàng ngày của con người. Trong kỷ nguyên bùng nổ thông tin, việc tìm
kiếm thông tin từ những nguồn dữ liệu khác nhau, tích hợp đa miền dịch vụ, đa hệ
thống vào chung một cổng để giao tiếp và sử dụng là nhu cầu thiết thực cho người
dùng hiện nay. Tuy nhiên, một hệ thống lớn bao gồm nhiều dịch vụ, phần mềm nhỏ
sẽ gặp phải vấn đề bảo mật an toàn thông tin và xác thực người dùng. Các nguy cơ
bị đánh cắp dữ liệu người dùng, truy cập trái phép, phá hoại dữ liệuthường xuyên
xảy ra và mang đến hậu quả thiệt hại lớn. Điều đó dẫn đến việc nghiên cứu và đưa
39
ra các giải pháp đảm bảo an ninh và xác thực người dùng trong hệ thống tích hợp đa
miền dịch vụ dành cho cổng thông tin là điều rất quan trọng,. cấp thiết và cần phải
thực hiện ngay.
Mục tiêu và nội dụng của luận văn này là nghiên cứu một số giải pháp đảm
bảo an ninh và xác thực trong tích hợp người dùng đa miền dịch vụ của cổng thông
tin điện tử Viện Khoa học xã hội Quốc gia Lào. Để giải quyết các vấn đề trên thì đề
tài tập trung vào các vấn đề như: Nghiên cứu về an toàn bảo mật thông tin, mật mã,
xác thực thông tin; Nghiên cứu về mô hình hệ thống, công nghệ, và thuật toán liên
quan tới cổng thông tin điện tử;- Đề xuất được những giải pháp đảm bảo an toàn và
bảo mật cho cổng thông tin điện tử Viện Khoa học xã hội Quốc gia Lào và Triển
khai xây dựng thử nghiệm đảm bảo an toàn và bảo mật thông tin, xác thực người
dùng cho cổng thông tin điện tử Viện Khoa học xã hội Quốc gia Lào.
Trong hoạt động của Viện khoa học xã hội quốc gia Lào có rất nhiều thông
tin mật không công khai trên mạng Internet nhưng vẫn có thể bị lấy cắp do mục đích
xấu. Việc đánh cắp thông tin mật có thể được thực hiện dưới nhiều hình thức như: lấy
cắp văn bản in hay lấy cắp thông tin số, cung cấp thông tin nội bộ cho bên ngoài. Cách
tốt nhất để phòng tránh nguy cơ này là phải có những chính sách bảo mật được thiết
kế tốt. Những chính sách có thể giúp người quản lý bảo mật thông tin thu thập
thông tin, từ đó điều tra và đưa ra những kết luận chính xác, nhanh chóng. Khi đã có
một chính sách tốt, người quản trị có thể sử dụng các kỹ thuật điều tra số (forensics)
để truy vết các hành động tấn công.
Có rất nhiều phương pháp bảo mật và định danh người dùng đã được nêu ở
chương 2. Trong phạm vi nghiên cứu của luận văn này, tác giả sẽ tập trung trình
bày phương pháp sử dụng SSO để xác thực người dùng đa miền dịch vụ là phương
pháp chính.
3.2. Hiện trạng và nhu cầu đảm bảo an ninh và xác thực người dùng đa miền
dịch vụ
Thông tin, dữ liệu được ví như tài sản trong nhà của chúng ta vậy. Nếu
chúng ta để quên hoặc làm mất ở đâu đó thì rất có thể thông tin đó sẽ bị mất, hoặc bị
40
chiếm đoạt. Còn đối với chuyên ngành CNTT thì bảo mật thông tin được ví như hệ
thống máy tính, dữ liệu Đó là những tài sản vô cùng quan trọng, giá trị.
Hiện nay tình hình hacker ngày càng nguy hiểm, khó lường. Việc đảm bảo
tính năng bảo mật thông tin là vô cùng quan trọng vì thông tin đó có thể liên quan
tới cá nhân, tới công ty và doanh nghiệp của chúng ta. Nếu để lộ thông tin ra ngoài
hoặc kém bảo mật thì chuyện tin tặc nhòm ngó là khả năng rất cao.
An ninh thông tin là việc bảo đảm thông tin trên mạng không gây phương hại
đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp
pháp của tổ chức, cá nhân.
Liên quan đến nội dung này, để hiểu rõ hơn vấn đề, chúng ta tìm hiểu một số
khái niệm liên quan sau:
- Dịch vụ Internet bao gồm dịch vụ truy nhập Internet và dịch vụ kết nối
Internet:
Dịch vụ truy nhập Internet là dịch vụ cung cấp cho người sử dụng Internet
khả năng truy nhập đến Internet;
Dịch vụ kết nối Internet là dịch vụ cung cấp cho doanh nghiệp cung cấp
dịch vụ truy nhập Internet, doanh nghiệp cung cấp dịch vụ ứng dụng viễn thông khả
năng kết nối với nhau để chuyển tải lưu lượng Internet.
- Thông tin trên mạng là thông tin được lưu trữ, truyền đưa, thu thập và xử
lý thông qua mạng.
- Thông tin tổng hợp là thông tin được tổng hợp từ nhiều nguồn thông tin,
nhiều loại hình thông tin về một hoặc nhiều lĩnh vực quân sự, chính trị, kinh tế, văn
hóa, xã hội.
- Hệ thống thông tin là tập hợp các thiết bị viễn thông, công nghệ thông tin
bao gồm phần cứng, phần mềm và cơ sở dữ liệu phục vụ cho hoạt động lưu trữ, xử
lý, truyền đưa, chia sẻ, trao đổi, cung cấp và sử dụng thông tin.
- Trang thông tin điện tử là trang thông tin hoặc một tập hợp trang thông tin
trên môi trường mạng phục vụ cho việc cung cấp và trao đổi thông tin.
Trong nội dung luận văn này, tác giả đã sử dụng một số phương pháp được
đề cập tại chương 2 nhằm ứng dụng xây dựng giải pháp xác thực đa người dùng cho
41
cổng của cổng thông tin điện tử Viện KH xã hội Quốc gia Lào. Trong đó, có các
giải pháp về phần cứng (Firewall, chính sách quản lý tập trung thiết bị phần
cứng) và phần mềm (Giao thức truyền thông bảo mật – SSL, xác thực hai bước,
Đăng nhập một lần - SSO, mã hoá ...). Cụ thể như sau:
3.2.1 Về phần cứng
Máy chủ Viện khoa học xã hội Quốc gia Lào được trang bị theo đề án trước
đây, được sử dụng để lưu trữ và chia sẻ tài nguyên nội bộ. Các phòng ban của Viện
đã được trang bị thiết bị tin học cho các chuyên viên của phòng, ban thực hiện công
tác chuyên môn nghiệp vụ. Hệ thống máy in hiện tại đang được gắn trực tiếp vào
các máy tính của các chuyên viên mà công việc đòi hỏi phải sử dụng in ấn nhiều,
không có cơ chế quản lý tập trung máy in, không xây dựng chính sách trong việc in ấn.
Viện khoa học xã hội Quốc gia Lào đã thực hiện kết nối mạng nội bộ (mạng
LAN) cáp nhưng hệ thống mạng LAN chưa chuyên nghiệp và các thiết bị không tập
trung tại Phòng Server nên khó khăn cho việc quản lý và khắc phục sự cố. Hệ thống
mạng không dây đã được kết nối và cấu hình nhưng thiết bị nhiều nơi sóng yếu và
chập chờn.
Nhu cầu kết nối Internet của người dùng tại Viện khoa học xã hội Quốc gia
Lào tương đối cao nên việc xây dựng hệ thống bảo mật (Firewall) về cả phần cứng,
phần mềm là rất cần thiết. Đảm bảo việc an toàn thông tin và duy trì hoạt động
thường xuyên của cổng thông tin điện tử.
3.2.2 Về phần mềm
Hiện tại Viện khoa học và xã hội quốc gia Lào đang có rất nhiều hệ thống
phần mềm riêng biệt phục vụ cho hoạt động của Viện như: phần mềm nhân sự, phần
mềm kế toán, phần mềm đào tạo, phần mềm văn bản điều hành, thư viện, phần mềm
xem camera....
Việc tích hợp tất cả các phần mềm, dịch vụ đang được Viện sử dụng vào
cổng thông tin mang lại rất nhiều lợi ích, giúp nâng cao hiệu suất làm việc. Cổng
thông tin được hoạt động trên nền tảng web, máy chủ đặt tại phòng server của Viện,
được bảo vệ với hệ thống tường lửa (firewall), bảo vệ Cơ sở dữ liệu, hệ thống
42
backup CSDL và tích hợp đăng nhập SSO cùng các giải pháp đăng nhập captcha,
xác thực hai yếu tố.
3.3. Giải pháp triển khai thử nghiệm sử dụng đăng nhập một lần SSO cho hệ
thống cổng thông tin điện tử Viện khoa học xã hội quốc gia Lào
Với sự bùng phát ngày càng tăng nguy cơ lừa đảo và mức độ rủi ro trong các
giao dịch thương mại trực tuyến trên Internet, để nâng cao tính đảm bảo cho các
giao dịch trực tuyến chống lại nguy cơ đánh cắp danh tính có thể đề xuất giải pháp
bước đầu như sau:
1. Nâng cấp hệ thống xác thực 1 yếu tố dựa trên Mật khẩu lên xác thực 2 yếu tố.
2. Sử dụng chương trình dò quét để xác định và ngăn chặn tấn công lừa đảo
(phishing) lấy cắp thông tin nhạy cảm như mật khẩu, số thẻ tín dụng.
3. Tạo người dùng để họ nhận thức thấu đáo về tính quan trọng và cần thiết
của xác thực danh tính trong môi trường điện tử.
4. Nhấn mạnh tầm quan trọng trong việc chia sẻ thông tin và cộng tác giữa
ngành công nghiệp dịch vụ tài chính, chính phủ với những nhà cung cấp công nghệ.
Trong bốn đề xuất ở trên, nếu làm tốt được đề xuất thứ nhất thì khối lượng
công việc được thực hiện trong đề xuất thứ 2 và thứ 3 được giảm đi rất nhiều. Theo
hướng dẫn của FFIEC nhằm nâng tính bảo mật và đảm bảo tính khả thi khi đưa vào
ứng dụng, xác thực 2 yếu tố là sự lựa chọn tối ưu cho các giao dịch và truy cập trực
tuyến của ngành tài chính, ngân hàng, chứng khoán và bảo hiểm.
SSO là một cơ chế xác thực yêu cầu người dùng đăng nhập vào chỉ một lần
với một tài khoản và mật khẩu để truy cập vào nhiều ứng dụng trong một phiên làm
việc (session). Trước khi có SSO, một người sử dụng đã phải nhập các tài khoản và
mật khẩu cho từng ứng dụng mỗi khi họ đăng nhập vào các ứng dụng khác nhau
hoặc các hệ thống trong cùng một phiên. Điều này rõ ràng có thể tốn nhiều thời
gian, đặc biệt là trong môi trường thông tin đa phương tiện như hiện nay, khi mà
người sử dụng phải đăng nhập mỗi khi họ truy cập vào một hệ thống mới từ máy
tính của họ. Do vậy, với hệ thống có nhiều website và ứng dụng thì việc sử dụng
SSO là rất cần thiết nhằm đem lại nhiều thuận tiện cho người dùng và tăng tính
năng bảo mật.
43
Ví dụ: người dùng sử dụng các dịch vụ của google: gmail, scholar, youtube,
google plus, drive... khi chưa có SSO thì với mỗi dịch vụ ta phải nhập thông tin để
xác thực. Với SSO người dùng chỉ cần sử dụng một email duy nhất của google để
có thể đăng nhập và khai thác sử dụng tất cả các dịch vụ và ứng dụng của google.
Điều đó thực sự mang lại sự thuận tiện và tiết kiệm thời gian cho người dùng, khi
không phải đăng kí bất kì tài khoản nào khác nữa.
Đăng nhập là quá trình người dùng sử dụng định danh và các thông tin bí
mật khác thiết lập một kết nối bảo mật với hệ thống, định danh và các thông tin bí
mật của người dùng đã được người dùng đăng ký từ trước với hệ thống. Quá trình
người dùng đăng nhập bao gồm hai bước xác thực và ủy quyền, trong đó:
Xác thực (Authentication): Kiểm tra một người dùng có hợp lệ hay không
thông qua các phương thức xác thực của hệ thống. Xác thực được coi là cốt lõi của
quá trình đăng nhập trong một hệ thống thông tin. Chúng ta có thể sử dụng các phương
pháp xác thực như: username, password, thẻ thông minh, hay dùng sinh trắc học...
Ủy quyền (Authorization): Là quá trình kiểm chứng một người dùng đã được
xác thực có đủ quyền truy cập vào tài nguyên mà người dùng yêu cầu hay không.
Tài nguyên yêu cầu có thể phụ thuộc vào chính sách tên miền (cấp quyền theo tên
miền) hoặc một chính sách đặc biệt nào đó (ví dụ cấp quyền theo cấp).
SSO chỉ được triển khai sau khi đã xây dựng được hệ thống xác thực và phân
quyền. SSO có nhiệm vụ cung cấp cho người dùng quyền truy cập nhiều tài nguyên
web, các ứng dụng trong phạm vi cho phép chỉ với một lần đăng nhập (xác thực).
Tại cổng thông tin Viện khoa học và xã hội Quốc gia Lào hệ thống xác thực
truy nhập một lần được triển khai ứng dụng theo SSO OpenId và SSO Facebook và
hiện nay có nhiều giải pháp SSO được giới thiệu và đưa vào sử dụng trên thực tế như:
- Open Single SignOn (OpenSSO) hoạt động dựa trên Token.
- Central Authentication Service (CAS)
- Tivoli Access Manager for Enterprise Single SignOn.
- SSO OpenId connect and SSO Facebook
Các thông số kĩ thuật cổng thông tin điện tử Viện KH xã hội Quốc gia Lào: Chạy
trên nền tảng framework Liferay phiên bản 7.2.0-ga1, sử dung hệ quản trị cơ sở dữ
44
liệu Postgresql phiên bản 11.4.2. Một số thông số kĩ thuật liên quan đến tính năng
được cung cấp bởi công thông tin điện tử Viện KH xã hội Quốc gia Lào, bao gồm:
1. Quản lý tài khoản
Thêm nhóm người dùng
Sửa nhóm người dùng
Xoá nhóm người dùng
Tìm kiếm nhóm người dùng
Thêm người dùng
Sửa người dùng
Xoá người dùng
Kích hoạt / khoá tài khoản người dùng
Tìm kiếm người dùng
Phân quyền nhóm người dùng
Phân quyền người dùng
Đăng nhập
Đăng nhập SSO
Quên mật khẩu
2. Quản lý trang tin
Thêm module trang tin
Sửa module trang tin
Xoá module trang tin
Cấu hình module trang tin
Thiết lập bố cục trang tin
3. Quản lý cổng thông tin
Tạo vai trò cho các nhóm người dùng
Tạo vai trò cho người dùng
Cấu hình đăng nhập SSO
Cấu hình ngôn ngữ cổng thông tin
Cấu hình kiểm duyệt bình luận tin bài
Phân quyền duyệt tin bài
4. Quản lý danh mục bài viết
Thêm danh mục bài viết
Sửa danh mục bài viết
Xoá danh mục bài viết
Tìm kiếm danh mục
Phân quyền danh mục
Liên kết danh mục đến bài viết
5. Quản lý bài viết
Thêm bài viết
45
Sửa bài viết
Xoá bài viết
Tìm kiếm bài viết
Xuất bản bài viết
Xem phiên bản bài viết
Quản lý bình luận bài viết
6. Tìm kiếm, khai thác bài viết
Tìm kiếm bài viết
Xem thông tin bài viết
Bình luận bài viết
7. Quản lý tài liệu và đa phương tiện
Thêm tài liệu
Sửa tài liệu
Xoá tài liệu
Tìm kiếm tài liệu
Liên kết tài liệu đến bài viết
Ưu khuyết điểm của cơ chế đăng nhập một lần
Ưu điểm
- Tiết kiệm thời gian cho người sử dụng trong việc đăng nhập vào nhiều
dịch vụ được cung cấp trên các nền tảng khác nhau của hệ thống phân tán.
- Tăng cường khả năng bảo mật thông qua việc giúp người sử dụng không
cần nhớ nhiều thông tin đăng nhập (định danh và mật khẩu).
- Giúp cho người quản trị hệ thống tiết kiệm thời gian trong việc tạo lập hay
loại bỏ người dùng trên hệ thống, cũng như thay đổi quyền của một hay
một nhóm người dùng nào đó.
- Tiết kiệm thời gian khi tái lập lại mật khẩu cho người dùng.
- Bảo mật các cấp độ của việc thoát hay truy xuất hệ thống.
- Người phát triển ứng dụng không cần thiết phải hiểu và thực hiện nhận
dạng bảo mật trong ứng dụng của họ, điều họ cần làm là liên kết đến một
máy chủ định danh đã được bảo đảm, việc này giúp những người dùng của
họ có thể truy cập vào các dịch vụ khác cũng liên kết đến máy chủ đó như
họ.
46
- Tạo nên sự đồng bộ giữa các dịch vụ và ứng dụng trong cùng một hệ
thống thông tin phục vụ người dùng.
Khuyết điểm
- Đòi hỏi cơ sở hạ tầng của toàn bộ hệ thống phải bảo đảm.
- Do nhiều domain cùng sử dụng chung cơ sở dữ liệu người dùng nên việc
xác thực khi người dùng đăng ký với hệ thống phải chặt chẽ, nếu không
sẽ rất dễ vi phạm việc đảm bảo an ninh cho hệ thống.
- Cần có cơ chế xác thực đảm bảo khi truyền các thông tin định danh người
dùng giữa người sử dụng với các máy chủ dịch vụ khác nhau.
- Chi phí để triển khai hệ thống SSO là rất tốn kém, cả về phần mềm, phần cứng
lẫn nguồn nhân lực, cần phải có sự tính toán cẩn thận trước khi triển khai.
3.3.1 OpenID Connect và SSO
Hình dung một trường hợp chúng ta truy cập vào một trang web và nó yêu
cầu chúng ta phải đăng ký một tài khoản. Thông thường chúng ta sẽ nhập vào một
hoặc nhiều form bao gồm các thông tin user name, password, address, phone
number, email, và sau đó một email hoặc SMS được gửi tới chúng ta. Bước tiếp
theo là điền vào mã xác thực hoặc bấm vào link trong email để xác thực tài khoản
vừa đăng ký. Nói cách khác, tài khoản web của chúng ta là một định danh duy nhất
của chúng ta trên thế giới ảo Internet.
OpenID Connect là một lớp xác thực (authentication layer) trên nền tảng
OAuth 2.0, một framework dùng cho việc xác thực.
OpenID Connect giúp các client kiểm tra user thông qua các authorization
server, đồng thời với đó là lấy các thông tin cơ bản của user đó bằng cách gọi đến
REST API. OpenID Connect dùng JSON Web Tokens (JWT) trong đó việc
authentiation dựa vào các token string trao đổi qua lại giữa client và authentication
ser
Các file đính kèm theo tài liệu này:
- luan_van_nghien_cuu_mot_so_giai_phap_dam_bao_an_ninh_va_xac.pdf