BÁO cáo THỰC HÀNH môn học cơ sở hạ tầng công nghệ thông tin tên chủ đề bài thực hành 1+2 BVTW hue

Kerberos là một giao thức chứng thực mạng, nó cho phép các cá nhân giao tiếp với một mạng không an toàn bằng cách xác thực người dùng này với người dùng khác theo một chế bảo mật và an t

BÁO CÁO THỰC HÀNH Môn học: Cơ Sở Hạ Tầng Công Nghệ Thông Tin Tên chủ đề: Bài thực hành 1+2 BVTW_Hue

GVHD: Nguyễn Thị Anh Thư Ngày báo cáo: 31/03/20212

1 THÔNG TIN CHUNG:

Lớp: IE101.M21.CNCL

1 Phan Trọng Tuấn (nhóm

trưởng) 20522126 20522126@gm.uit.edu.vn

2 Nguyễn Công Tuấn 20522115 20522115@gm.uit.edu.vn

3 Võ Chí Trường 20522092 20522092@gm.uit.edu.vn

4 Nguyễn Hoàng Tiếng 20522014 20522014@gm.uit.edu.vn

5 Trương Nguyên Phương 20521780 20521780@gm.uit.edu.vn

2 ĐÁNH GIÁ KHÁC:

Tổng thời gian thực hiện 2 ngày

Link Video thực hiện

(nếu có)

Ý kiến (nếu có)

+ Khó khăn

+ Đề xuất …

Điểm tự đánh giá x/10

CÂU HỎI

Câu 1: Dựa vào kết quả khảo sát của bệnh viện Trung Ương Huế, hãy mô tả các thành phần cấu tạo CSHT

CNTT của bệnh viện bao gồm:

a) Phần cứng

b) Phần mềm

c) Tài nguyên mạng

d) Dịch vụ khác

Câu 2: Trình bày tổng quan (khái niệm, phương thức hoạt động, chức năng)

về các chủ đề sau:

a) Giao thức thực hiện bảo mật (protocol) Kerberos.

b) Giao thức thực hiện bảo mật (protocol) Secure Socket Layer (SSL).

c) Giao thức thực hiện bảo mật (protocol) PGP.

d) Giao thức thực hiện bảo mật (protocol) S/MIME.

Câu 3: Dựa vào sơ đồ quy trình và kết quả khảo sát, hãy phát họa mô hình hoạt động của quy trình khám bệnh tại bệnh viện Trung Ương Huế có ứng dụng công nghệ thông tin.

Câu 4: Phân tích ưu, nhược điểm và đưa ra giải pháp phát triển trong tương lai cho từng thành phần cấu tạo CSHT CNTT của bệnh viện Trung Ương Huế.

PHẦN TRÌNH BÀY Câu 1: Mô tả các thành phần cấu tao CSHT của bệnh viện Trung Ương Huế

a) Phần Cứng:

Hệ thống đường dây và các thiết bị đính kèm: Đây là một hệ thống mạng tương đối hoàn chỉnh

Máy chủ: Chú trọng đến các giải pháp an toàn về dữ liệu:

• Lắp đặt 01 máy chủ và 01 máy backup

• Giải pháp sao lưu: qua máy con và qua CDROM hàng ngày

• Giải pháp về nguồn điện: Tất cả các thiết bị mạng cũng như các máy con đều được gắn vào hệ

thống điện ưu tiên của bệnh viện và hệ thống lưu trữ điện

Máy con: tổng số máy con tham gia vào mạng khoảng: 50 máy

b) Phần Mềm:

- Tính năng của chương trình quản lý bệnh nhân:

 Quản lý bệnh nhân ngay từ khi mới nhập viện, đồng thời cấp số nhập viện và tem nhập

 nhập liệu như tạm ứng, nhập thuốc, xét nghiệm, quyết toán

 Ghi nhận được toàn bộ các số liệu chuyên môn khám

 chữa bệnh trên từng bệnh nhân, từ đó nắm được toàn bộ các hoạt động chuyên môn hàng ngày của các khoa phòng trong toàn bệnh viện và trình ban giám đốc lúc 8 giờ 30 sáng

 Lưu trữ hồ sơ bệnh nhân ra viện một cách khoa học viện

 Tem nhập viện: là một hình thức “số nhập viện lưu động”, giúp cho việc xác định một cách chính xác bệnh nhân trong quá trình Giúp cho việc trích lập các số liệu chuyên môn, nghiên cứu khoa học được chính xác và nhanh chóng

- Tính năng của chương trình thu phí:

 Áp dụng hình thức thu phí mới: Tạm ứng nhiều lần và thanh toán một lần Do đó rất tiện lợi cho bệnh nhân và làm đơn giản thủ tục thu phí, bệnh viện chỉ viết hóa đơn tài chính 1 lần duy nhất khi bệnh nhân ra viện

 Công khai về mọi chi phí của bệnh nhân hàng ngày và khi ra viện Giúp bệnh nhân có thể yên tâm về các khoản chi tiêu trong thời gian nằm viện, đảm bảo tính công bằng trong công tác chăm sóc về y tế

mà Bộ y tế rất quan tâm

 Các chế độ miễn giảm được điều chỉnh một cách thích hợp, chính xác Tạo điều kiện cho người nghèo, diện chính sách được hưởng đầy

đủ các ưu tiên về chăm sóc sức khỏe của Nhà nước ta

 Quản lý tài chính một cách khoa học ở mọi lĩnh vực thu chi

 Giảm thiểu tối đa các khoản thất thu cho bệnh viện

- Tính năng của chương trình quản lý dược:

 Quản lý được số nhập-xuất-tồn hàng ngày Giúp cho việc quản lý nguồn thuốc, lên dự trù thuốc được chính xác và cập nhật

 Quản lý được việc phân bổ thuốc cho bệnh nhân, khoa phòng được chính xác, đầy đủ

c) Tài Nguyên Mạng:

- Áp dụng công nghệ cáp quang (đối với 03 đường dây chính - backbone)

- Tất cả các thiết bị mạng được gắn vào hệ thống điện ưu tiên của bệnh viện và hệ thống lưu trữ điện

d) Dịch Vụ Khác:

- Tài liệu in ấn:

 Hồ sơ bệnh án

 Báo cáo hàng ngày, hàng tháng, hàng quý về số lượng bệnh nhân vào viện , xuất viện

 Biên lai viện phí

 Báo cáo nhập, xuất, tồn, lên dự trù thuốc

 Hồ sơ của nhân viên

Câu 2: Tổng quan về các giao thức thực hiện bảo mật

a) Giao thức thực hiện bảo mật Kerberos:

- Khái niệm: Là một giao thức mật mã dùng để xác thực trong các mạng

máy tính hoạt động trên những đường truyền không an toàn Kerberos là một giao thức chứng thực mạng, nó cho phép các cá nhân giao tiếp với một mạng không an toàn bằng cách xác thực người dùng này với người dùng khác theo một chế bảo mật và an toàn Kerberos ngăn chặn việc nghe trộm thông tin cũng relay attacks, và đảm bảo tính toàn vẹn của dữ liệu Kerberos hoạt động theo mô hình client/server và nó thực hiện quá trình chứng thực chiều – cả người dùng và dịch vụ xác thực lẫn Kerberos được xây dựng dựa mô hình mã hóa khóa đối xứng và đòi hỏi một thành phần thứ ba tin cậy (trusted third party) tham gia vào quá trình chứng thực

- Phương thức hoạt động: Kerberos được thiết kế dựa trên giao thức

Needham-Schroeder Kerberos sử dụng một bên thứ ba tham gia vào quá trình nhận thực gọi là "trung tâm phân phối khóa" ( key distribution

center - KDC) KDC bao gồm hai chức năng: "máy chủ xác thực"

(authentication server - AS) và "máy chủ cung cấp vé" (ticket granting server - TGS) "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh nhân dạng của người sử dụng Mỗi người sử dụng (cả máy chủ và máy khách) trong hệ thống chia sẻ một khóa chung với máy chủ Kerberos Việc sở hữu thông tin về khóa chính là bằng chứng để chứng minh nhân dạng của một người sử dụng Trong mỗi giao dịch giữa hai người sử dụng trong hệ thống, máy chủ Kerberos sẽ tạo ra một khoá phiên dùng cho phiên giao dịch đó

- Sau đây là mô tả một phiên giao dịch (giản lược) của Kerberos Trong

đó: AS = Máy chủ nhận thực (authentication server), TGS = Máy chủ cấp vé (ticket granting server), SS = Máy chủ dịch vụ (service server) Một cách vắn tắt: người sử dụng nhận thực mình với máy chủ

nhận thực AS, sau đó chứng minh với máy chủ cấp vé TGS rằng mình đã được nhận thực để nhận vé, cuối cùng chứng minh với máy chủ dịch vụ

SS rằng mình đã được chấp thuận để sử dụng dịch vụ

- Người sử dụng nhập tên và mật khẩu tại máy tính của mình (máy khách)

- Phần mềm máy khách thực hiện hàm băm một chiều trên mật khẩu nhận được Kết quả sẽ được dùng làm khóa bí mật của người sử dụng

- Phần mềm máy khách gửi một gói tin (không mật mã hóa) tới máy chủ dịch vụ AS để yêu cầu dịch vụ Nội dung của gói tin đại ý: "người dùng XYZ muốn sử dụng dịch vụ" Cần chú ý là cả khoá bí mật lẫn mật khẩu đều không được gửi tới AS

- AS kiểm tra nhân dạnh của người yêu cầu có nằm trong cơ sở dữ liệu của mình không Nếu có thì AS gửi 2 gói tin sau tới người sử dụng:

- Gói tin A: "Khóa phiên TGS/máy khách" được mật mã hóa với khóa bí mật của người sử dụng

- Gói tin B: "Vé chấp thuận" (bao gồm chỉ danh người sử dụng (ID), địa chỉ mạng của người sử dụng, thời hạn của vé và "Khóa phiên TGS/máy khách") được mật mã hóa với khóa bí mật của TGS

- Khi nhận được 2 gói tin trên, phần mềm máy khách giải mã gói tin A để

có khóa phiên với TGS (Người sử dụng không thể giải mã được gói tin

B vì nó được mã hóa với khóa bí mật của TGS) Tại thời điểm này, người dùng có thể nhận thực mình với TGS

- Khi yêu cầu dịch vụ, người sử dụng gửi 2 gói tin sau tới TGS:

- Gói tin C: Bao gồm "Vé chấp thuận" từ gói tin B và chỉ danh (ID) của yêu cầu dịch vụ

- Gói tin D: Phần nhận thực (bao gồm chỉ danh người sử dụng và thời điểm yêu cầu), mật mã hóa với "Khóa phiên TGS/máy khách"

- Khi nhận được 2 gói tin C và D, TGS giải mã D rồi gửi 2 gói tin sau tới người sử dụng:

- Gói tin E: "Vé" (bao gồm chỉ danh người sử dụng, địa chỉ mạng người sử dụng, thời hạn sử dụng và "Khóa phiên máy chủ/máy khách") mật mã hóa với khóa bí mật của máy chủ cung cấp dịch vụ

- Gói tin F: "Khóa phiên máy chủ/máy khách" mật mã hóa với "Khóa phiên TGS/máy khách"

- Khi nhận được 2 gói tin E và F, người sử dụng đã có đủ thông tin để nhận thực với máy chủ cung cấp dịch vụ SS Máy khách gửi tới SS 2 gói tin:

- Gói tin E thu được từ bước trước (trong đó có "Khóa phiên máy chủ/máy khách" mật mã hóa với khóa bí mật của SS)

- Gói tin G: phần nhận thực mới, bao gồm chỉ danh người sử dụng, thời điểm yêu cầu và được mật mã hóa với "Khóa phiên máy chủ/máy khách"

- SS giải mã "Vé" bằng khóa bí mật của mình và gửi gói tin sau tới người

sử dụng để xác nhận định danh của mình và khẳng định sự đồng ý cung cấp dịch vụ:

- Gói tin H: Thời điểm trong gói tin yêu cầu dịch vụ cộng thêm 1, mật mã hóa với "Khóa phiên máy chủ/máy khách"

- Máy khách giải mã gói tin xác nhận và kiểm tra thời gian có được cập nhật chính xác Nếu đúng thì người sử dụng có thể tin tưởng vào máy chủ

SS và bắt đầu gửi yêu cầu sử dụng dịch vụ

- Máy chủ cung cấp dịch vụ cho người sử dụng

- Chức năng: có khả năng chống lại việc nghe lén hay gửi lại các gói tin

cũ và đảm bảo tính toàn vẹn của dữ liệu

b) Giao thức thực hiện bảo mật Secure Socket Layer (SSL):

– Khái niệm:

 SSL viết tắt của Secure Socket Layer là một giao thức (protocol) cho phép bạn truyền đạt thông tin một cách bảo mật và an toàn qua mạng

Là lớp bảo mật cung cấp mã hóa để bảo mật các kết nối giữa máy khách và máy chủ (thường được định nghĩa là hai hệ thống điện tử tương tác với nhau) Trong trường hợp này, ứng dụng khách là trình duyệt, ứng dụng dành cho thiết bị di động hoặc bất kỳ thiết bị kết nối nào khác

 Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi qua rất nhiều các hệ thống độc lập mà không có bất kỳ sự

bảo vệ nào với các thông tin trên đường truyền Không một ai kể cả người sử dụng lẫn Web server có bất kỳ sự kiểm soát nào đối với đường đi của dữ liệu hay có thể kiểm soát được liệu có ai đó thâm nhập vào thông tin trên đường truyền

 Để bảo vệ những thông tin mật trên mạng Internet hay bất kỳ mạng TCP/IP nào, SSL đã kết hợp những yếu tố sau để thiết lập được một giao dịch an toàn:

 +Xác thực: đảm bảo tính xác thực của trang mà bạn sẽ làm việc ở đầu kia của kết nối Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác thực của người sử dụng

 +Mã hoá: đảm bảo thông tin không thể bị truy cập bởi đối tượng thứ

ba Để loại trừ việc nghe trộm những thông tin “ nhạy cảm” khi nó được truyền qua Internet, dữ liệu phải được mã hoá để không thể bị đọc được bởi những người khác ngoài người gửi và người nhận

 +Toàn vẹn dữ liệu: đảm bảo thông tin không bị sai lệch và nó phải thể hiện chính xác thông tin gốc gửi đến

– Phương thức hoạt động:

 SSL được phát triển bởi Netscape, ngày nay giao thức SSL đã

được sử dụng rộng rãi trên World Wide Web trong việc xác thực

và mã hoá thông tin giữa client và server Tổ chức IETF (Internet Engineering Task Force ) đã chuẩn hoá SSL và đặt lại tên là TLS (Transport Layer Security) Mặc dù là có sự thay đổi về tên nhưng TSL chỉ là một phiên bản mới của SSL Phiên bản TSL 1.0 tương đương với phiên bản SSL 3.1 Tuy nhiên SSL là thuật ngữ được sử dụng rộng rãi hơn

 Sau khi quy trình bắt tay 3 bước của TCP được thiết lập, SSL thông thường sẽ thiết lập theo trình tự các bước như sau:

 Bước 1: Client sẽ gửi tin nhắn "hello" lên server, tin nhắn này cũng bao gồm thông tin về TLS version, cipher suites mà client có thể

sử dụng, và một chuỗi ký tự ngẫu nhiên gọi là "client random"

 Bước 2: Khi nhận được tin "hello" từ client, server sẽ gửi lại tin nhắn "server hello", tin nhắn này bao gồm cả SSL certificate, cipher suite mà server sẽ sử dụng, và một chuỗi ký tự ngẫu nhiên gọi là "server random"

 Bước 3: Khi nhận được tin "server hello" từ server, client sẽ lấy SSL certificate trong tin nhắn đó và gửi yêu cầu tới CA (là nơi cấp SSL certificate cho server) để xác thực xem mình có đang nhận tin

từ chính chủ hay không

 Bước 4: Client gửi một chuỗi ký tự ngẫu nhiên gọi là "premaster secret", chuỗi ký tự này được mã hoá bằng public key có trong SSL certificate nhận từ server Chuỗi ký tự này chỉ được giải mã bằng private key mà server đang giữ

 Bước 5: Server nhận chuỗi ký tự trên và dùng private key để giãi

mã nó

 Bước 6: Cả 2 phía client và server sẽ tạo các khoá session key từ

"client random", "server random" và "premaster secret" Từ giờ, các tin nhắn gửi và nhận ở 2 phía sẽ được mã hoá và giải mã bằng các session key này

 Bước 7: Client gửi tin "finished" đã được mã hoá bằng session key

ở trên

 Bước 8: Server gửi tin "finished" đã được mã hoá bằng session key

ở trên

 Bước 9: Từ giờ trở đi, các tin nhắn gửi và nhận ở 2 phía sẽ sử dụng session key để mã hoá và giải mã

 Hai hệ thống mã hóa chi phối cách SSL hoạt động là:

 Mã hóa bất đối xứng (Asymmetric Cryptography) Mã hóa bất đối xứng còn được gọi là mã hóa không đối xứng hoặc mật mã khóa công khai Trong mật mã bất đối xứng, có hai cặp khóa: khóa công khai và khóa riêng Cả hai đều tham gia vào quá trình mã hóa hoặc giải mã dữ liệu

 Mã hóa đối xứng (Symmetric Cryptography) Trong mã hóa đối xứng, chỉ có một khóa có sẵn cho cả máy khách và máy chủ Khóa này mã hóa và giải mã dữ liệu

 SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật

có thể hỗ trợ cho rất nhiều ứng dụng Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức ứng dụng tầng cao hơn như

là HTTP, IMAP và FTP

 SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục

đã được chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:

 Xác thực server: Cho phép người sử dụng xác thực được server muốn kết nối Lúc này, phía browser sử dụng các kỹ thuật mã hoá công khai để chắc chắn rằng certificate và public ID của server là

có giá trị và được cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của client Điều này rất quan trọng đối với người dùng Ví dụ như khi gửi mã số credit card qua mạng thì người dùng thực sự muốn kiểm tra liệu server sẽ nhận thông tin này có đúng là server mà họ định gửi đến không

 Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn kết nối Phía server cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xem certificate và public ID của server có giá trị hay không và được cấp phát bởi một CA (certificate

authority) trong danh sách các CA đáng tin cậy của server không Điều này rất quan trọng đối với các nhà cung cấp Ví dụ như khi một ngân hàng định gửi các thông tin tài chính mang tính bảo mật tới khách hàng thì họ rất muốn kiểm tra định danh của người nhận

 Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server được mã hoá trên đường truyền nhằm nâng cao khả năng bảo mật Điều này rất quan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư Ngoài ra, tất cả các dữ liệu được gửi đi trên một kết nối SSL đã được mã hoá còn được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ liệu ( đó là các thuật toán băm – hash algorithm)

 Giao thức SSL bao gồm 2 giao thức con:

 Giao thức SSL record: xác định các định dạng dùng để truyền dữ liệu

 Giao thức SSL handshake (gọi là giao thức bắt tay) : sử dụng SSL record protocol để trao đổi một số thông tin giữa server và client vào lấn đầu tiên thiết lập kết nối SSL

– Chức năng:

 Xác thực website, giao dịch

 Nâng cao hình ảnh, thương hiệu và uy tín doanh nghiệp

 Bảo mật các giao dịch giữa khách hàng và doanh nghiệp, các dịch

vụ truy nhập hệ thống

 Bảo mật webmail và các ứng dụng như Outlook Web Access, Exchange, và Office Communication Server

 Bảo mật các ứng dụng ảo hó như Citrix Delivery Platform hoặc các ứng dụng điện toán đám mây

 Bảo mật dịch vụ FTP

 Bảo mật truy cập control panel

 Bảo mật các dịch vụ truyền dữ liệu trong mạng nội bộ, file sharing, extranet

 Bảo mật VPN Access Servers, Citrix Access Gateway …

c) Giao thức thực hiện bảo mật PGP:

- Khái niệm: Pretty Good Privacy (PGP) là một giao thức bảo mật được

các doanh nghiệp và tổ chức sử dụng để mã hóa dữ liệu qua mạng PGP kết hợp cả quyền riêng tư và xác thực mật mã để mã hóa, cũng như giải

mã tất cả các loại file qua mạng, cho dù đó là email, file văn bản, đa phương tiện, thư mục hoặc phân vùng

- Phương thức hoạt động:

 PGP hoạt động bằng cách đặt các lớp bảo mật được mã hóa lên trên phần nội dung dựa trên văn bản của ứng dụng

 Trong trường hợp email client, PGP bảo mật nội dung email bằng thuật toán mã hóa, xáo trộn văn bản theo cách mà nếu bị chặn thì cũng không thể đọc được

 Với nội dung của một email được xáo trộn, key tương ứng cần thiết

để “mở khóa” mã đó cũng được mã hóa, thường sử dụng public key (khóa công khai) do RSA hoặc Diffie-Hellman cung cấp Sau đó, email được mã hóa, cùng với key mã hóa tương ứng được gửi đến người nhận

 Khi gói này đến email client của người nhận, ứng dụng sẽ sử dụng private key (khóa riêng tư) để mở khóa mã hóa email và sau đó giải

mã nội dung

- Chức năng: