TẠP CHÍ KHOA HỌC VÀ CÔNG NGHỆ, ĐẠI HỌC ĐÀ NẴNG SỐ 1(74) 2014 QUYỂN II NGHIÊN CỨU KIẾN TRÚC VÀ XÂY DỰNG HỆ THỐNG CHỨNG THỰC TẬP TRUNG CHO ĐẠI HỌC ĐÀ NẴNG RESEARCH ON ARCHITECTURE AND CONSTRUCTION OF CE[.]
TẠP CHÍ KHOA HỌC VÀ CƠNG NGHỆ, ĐẠI HỌC ĐÀ NẴNG - SỐ 1(74).2014.QUYỂN II NGHIÊN CỨU KIẾN TRÚC VÀ XÂY DỰNG HỆ THỐNG CHỨNG THỰC TẬP TRUNG CHO ĐẠI HỌC ĐÀ NẴNG RESEARCH ON ARCHITECTURE AND CONSTRUCTION OF CENTRAL AUTHENTICATION SYSTEM FOR THE UNIVERSITY OF DANANG Mai Trần Trung Hiếu, Trịnh Công Duy, Hồ Phan Hiếu Đại học Đà Nẵng; Email: mtthieu@sdc.ud.edu.vn, congduy@gmail.com, hophanhieu@gmail.com Tóm tắt – Xác thực người dùng hoạt động tiên phần mềm yêu cầu bảo mật Với hệ thống lớn gồm nhiều ứng dụng chạy nhiều tảng khác sử dụng chung kho liệu người dùng, chứng thực tập trung xem kỹ thuật tối ưu, hỗ trợ xác thực tài khoản mà không tạo nên dư thừa liệu Bài báo trình bày khái niệm, kiến trúc chứng thực tập trung phân tích số khiếm khuyết đặc trưng phần mềm sử dụng liệu riêng lẻ Từ đó, chúng tơi nghiên cứu mơ hình đề xuất áp dụng cho Đại học Đà Nẵng Mơ hình đề xuất thực nghiệm số sản phẩm phần mềm (hệ thống điều hành tác nghiệp, hệ thống quản lý nghiên cứu khoa học ) cho thấy hiệu việc phát triển quản lý liệu Abstract – User authentication is the precondition in the security software For the applications which are different in many details but use the same user data, Central Authentication System is an optimal technique which supports account management without data redundancy In this paper, we present concept, structure of central authentication and analyze disadvantages of software product which uses separate data Then, we research on architecture and propose the model for The University of Danang The proposed model has been applied to some software products (operations management system, scientific research time management system for The University of Danang) and the results show the effectiveness for developing and managing data Từ khóa – chứng thực tập trung; xác thực người dùng; quản lý liệu; Đại học Đà Nẵng; phát triển phần mềm; LDAP Key words – central authentication; user authentication; data management; the university of Danang; software development; LDAP Đặt vấn đề khơng thể thiếu kiến trúc Windows, đóng vai trò hệ thống chuẩn tập trung, dùng để tự động hóa việc quản lý mạng liệu người dùng, bảo mật nguồn tài nguyên phân phối, cho phép tương tác với thư mục khác Active Directory quản lý tất liệu tất người dùng máy tính dịch vụ mạng Active Directory kiểm tra, chứng thực tài khoản theo sách bảo mật Ví dụ, người dùng đăng nhập vào máy tính hệ thống, Active Directory kiểm tra mật nhập xác định người dùng quản trị viên hay người sử dụng bình thường Nếu chứng thực, Active Directory cung cấp khung nhìn mang tính cấu trúc để từ dễ dàng truy cập quản lý tất tài nguyên mạng [2] Active Directory sử dụng giao thức truy cập thư mục LDAP, đề cập đến khái niệm mục 2.2 Chứng thực hoạt động phần mềm bảo mật Đặc biệt phần mềm cần tương tác người sử dụng chứng thực, ngồi mục đích để đảm bảo vấn đề an ninh phần mềm, cịn sở, để truy xuất thơng tin người dùng Thông tin cần thiết để chứng thực gồm: • Tên đăng nhập; • Mật Chính thế, để chứng thực phần mềm cần xây dựng nên kho liệu người dùng để phục vụ đối chiều truy xuất Vấn đề đặt nằm hệ thống có quy mơ lớn, gồm nhiều phần mềm, nhiều ứng dụng với mục đích sử dụng khác nhau, hoạt động nhiều tảng tách biệt lại cần dùng chung nguồn liệu người sử dụng Thông thường, khác biệt đó, xen lẫn với tính cục bộ, nên ứng dụng thường xây dựng riêng cho chức chứng thực quản lý người dùng Điều tạo nên dư thừa liệu, bất động mặt thông tin lưu trữ quan trọng hết gây rắc rối, khó khăn cho người sử dụng Hiện nay, nhiều hệ thống phần mềm lớn giới Việt Nam sử dụng chứng thực tập trung giải pháp cho vấn đề đó, như: Google, Microsoft, FPT, Viettel người dùng đánh giá cao hiệu sử dụng 2.1.2 Những đơn vị Nội dung nghiên cứu 2.1 Active Directory 2.1.1 Khái niệm Active Directory dịch vụ thư mục tạo Microsoft, tích hợp hầu hết hệ điều hành Windows Server Active Directory phần 14 Hình 1: Cấu trúc đơn vị Active Directory Active Directory tổ chức cách sử dụng kiểu đơn vị hay cấu trúc thư mục Bốn đơn vị chia thành forest, domain, organizational unit site [2] • Forests: Nhóm đối tượng, thuộc tính cú Mai Trần Trung Hiếu, Trịnh Công Duy, Hồ Phan Hiếu pháp thuộc tính Active Directory • Domain: Nhóm máy tính chia sẻ, tên sở liệu thành viên chúng • Organizational Unit (OU): Nhóm mục miền Chúng tạo nên kiến trúc thứ bậc Active Directory 2.2 Lightweight Directory Access Protocol - LDAP 2.2.1 Tổng quan giao thức tính thực thể “givenName” tên, “sn” họ, “mail” email Ngoài ra, quản trị hệ thống tạo tham số cho thực thể LDAP, tùy thuộc vào mục đích sử dụng 2.3 SSO CAS SSO (Single Sign On) chế quản lý truy cập xác thực lần cho phép truy cập tài nguyên từ nhiều thống phần mềm khác Nó giúp tránh phải xác thực nhiều lần Khi ứng dụng đăng xuất ứng dụng khác đăng xuất theo (Single Sign Out) Dịch vụ chứng thực tập trung (Central Authentication Service - CAS) giao thức dựa SSO, hoạt động web Mục đích CAS cho phép người dùng truy cập nhiều ứng dụng khác cần đăng nhập lần [3] Giao thức CAS bao gồm thành phần: trình duyệt website Client, ứng dụng website cần chứng thực máy chủ CAS Một thành phần dịch vụ bổ sung, giống máy chủ chứa liệu để truy xuất trình hệ thống hoạt động LDAP phần Active Directory, LDAP giao thức ứng dụng truy cập cấu trúc thư mục Nó thiết kế dựa giao thức Internet TCP/IP [4] Một cấu trúc thư mục tập hợp đối tượng có thuộc tính hay đặc điểm tương tự xếp theo lơgic thành nhiều cấp bậc Ví dụ thường thấy danh bạ điện thoại Trong đó, cá nhân hay tổ chức xếp theo thứ tự tên có thuộc tính địa số điện thoại Vì mẫu cấu trúc thư mục LDAP tương đối đơn giản nên thường dùng để xác nhận người sử dụng hệ thống thông tin Client bắt đầu phiên việc kết nối đến máy chủ LDAP qua cồng mặc định 389 Sau Client gửi yêu cầu đến máy chủ máy chủ phản hồi câu trả lời Tất thông tin chuyển giao sử dụng Basic Encoding Rules (BER) Client gửi yêu cầu sau [4]: • Bắt đầu kết nối • Tìm kiếm: Tìm kiếm trả thực thể thư mục • So sánh: Kiểm tra trả tên thực thể trùng với đối số gửi lên • Thêm thực thể • Xóa thực thể Hình 3: Quy trình hoạt động CAS • Sửa thực thể Khi Client truy cập ứng dụng cần chứng thực, • Di chuyển xóa thực thể ứng dụng chuyển đến CAS CAS chứng thực, • Đóng kết nối thường kiểm tra tên đăng nhập mật so với sở 2.2.2 Cấu trúc thực thể liệu Nếu chứng thực thành công, CAS chuyển Cấu trúc thực thể LDAP sau: ứng dụng kèm theo Ticket bảo mật Các ứng dụng khác muốn chứng thực liên lạc với CAS qua kết nối dn: cn=John Doe, dc=example, dc=com cn: John Doe bảo mật cung cấp mã Ticket CAS gửi givenName: John ứng dụng thơng tin người sử dụng chứng thực thành sn: Doe cơng trước telephoneNumber: +1 888 555 6789 telephoneNumber: +1 888 555 1232 mail: john@example.com manager: cn=Barbara Doe,dc=example,dc=com objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: person objectClass: top Hình 2: Cấu trúc thực thể LDAP[4] “dn” tên phân biệt thực thể, khơng phải đối số mà khơng phải thuộc tính thực thể “cn=John Doe” RDN thực thể (Relative Distinguished Name), “dc=example, dc=com” đường dẫn thư mục chứa thực thể “dc” viết tắc “Domain Component” Những dòng khác thuộc Đề xuất mơ hình cho Đại học Đà Nẵng Đại học Đà Nẵng gồm có nhiều trường, phân hiệu thành viên, nhiều ban trung tâm trực thuộc Hiện có khoảng 2.300 giảng viên, nhân viên với 90.000 sinh viên công tác học tập đơn vị Mặc dù hoạt động theo chức nhiệm vụ riêng, đơn vị, sở xuyên suốt với nguồn lực (nhân thiết bị) cấu tổ chức Theo định hướng áp dụng khoa học, công nghệ nay, ngày nhiều sản phẩm phần mềm sử dụng để phục vụ quản lý hoạt động đơn vị Tuy nhiên, thực tế chưa có liên kết, kế thừa lẫn sản phẩm Hầu hết ứng dụng mang tính cục hoạt động riêng lẻ, tách biệt theo mục đích sử dụng Qua q trình phân tích nghiên cứu, chúng tơi xin đề 15 TẠP CHÍ KHOA HỌC VÀ CƠNG NGHỆ, ĐẠI HỌC ĐÀ NẴNG - SỐ 1(74).2014.QUYỂN II xuất mơ hình chứng thực tập trung sử dụng chung liệu người dùng để áp dụng cho Đại học Đại Nẵng Hình 4 Một số kết thực nghiệm Hệ thống chứng thực tập trung cho Đại học Đà Nẵng xây dựng thành công Framework CakePHP [1] bước đầu đưa vào khai thác sử dụng Hiện hệ thống hoạt động tên miền: http://id.udn.vn Một số hệ thống quản lý khác Đại học Đà Nẵng tích hợp chức chức thực tập trung vào chức đăng nhập quản lý người dùng, như: • Hệ thống điều hành tác nghiệp: http://dieuhanh.udn.vn • Hệ thống quản lý cơng sản: http://congsan.udn.vn • Hệ thống quản lý nghiên cứu khoa học: http://nckh.udn.vn Kết luận Hình 4: Mơ hình đề xuất áp dụng cho Đại học Đà Nẵng Bảng 1: Chú thích mơ hình đề xuất Thành phần Chú thích Active Directory: Là nơi chứa toàn liệu người dùng hệ thống Central Authentication Service: Dịch vụ chứng thực tập trung phục vụ cho hệ thống Web Servers: Những máy chủ web đơn vị sử dụng CAS để chứng thực Applications: Những ứng dụng tảng khác web, cần sử dụng liệu người dùng Sử dụng LDAP để truy xuất liệu người dùng từ Active Directory Kết nối đến máy chủ để sử dụng dịch vụ chứng thực tập trung (CAS) Người sử dụng Việc sử dụng chung nguồn liệu người dùng xây dựng dịch vụ chứng thực tập trung góp phần tạo nên đồng thông tin lưu trữ phần mềm Đồng thời giảm thiểu dư thừa liệu hướng đến lợi ích người sử dụng Mơ hình xây dựng áp dụng số sản phẩm phần mềm cụ thể cho thấy hiệu cao việc quản lý liệu khả phát triển mở rộng sau Giải pháp trình bày báo triển khai cho đơn vị hay dự án phần mềm cần dùng chung nguồn liệu người dùng Về phía Đại học Đà Nẵng, cần tích hợp vào hệ thống ứng dụng hoạt động xây dựng sau chức chứng thực tập trung để tiết kiệm chi phí tăng hiệu công tác quản lý, sử dụng phát triển mở rộng Tài liệu tham khảo [1] [2] [3] [4] David Golding, Beginning CakePHP, Published by Apress, 2008 http://en.wikipedia.org/wiki/Active_Directory http://en.wikipedia.org/wiki/Central_Authentication_Service http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol (BBT nhận bài: 11/12/2013, phản biện xong: 02/01/2014) 16 ... KHOA HỌC VÀ CƠNG NGHỆ, ĐẠI HỌC ĐÀ NẴNG - SỐ 1(74).2014.QUYỂN II xuất mơ hình chứng thực tập trung sử dụng chung liệu người dùng để áp dụng cho Đại học Đại Nẵng Hình 4 Một số kết thực nghiệm Hệ thống. .. thống chứng thực tập trung cho Đại học Đà Nẵng xây dựng thành công Framework CakePHP [1] bước đầu đưa vào khai thác sử dụng Hiện hệ thống hoạt động tên miền: http://id.udn.vn Một số hệ thống. .. mềm cần dùng chung nguồn liệu người dùng Về phía Đại học Đà Nẵng, cần tích hợp vào hệ thống ứng dụng hoạt động xây dựng sau chức chứng thực tập trung để tiết kiệm chi phí tăng hiệu công tác quản