HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THONG ĐÈ TÀI: NGHIÊN CỨU PHƯƠNG PHÁP XÁC THỰC MOT LAN VÀ UNG DUNG TRONG THỰC TE TRAN THANH NHAN Hà Nội — 01/2024 HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG ĐÈ TÀI: NGHIÊN CỨU PHƯƠNG PHÁP XÁC THỰC MOT LÀN VÀ UNG DỤNG TRONG THUC TE Giảng viên hướng dẫn: PGS.TS Hoàng Xuân Dau Sinh viên thực hiện: Trần Thanh Nhàn Mã sinh viên: B19DCAT130 Lớp: B19CQAT02-B Khóa: 2019-2024 Hệ: Đại học chính quy Ha Nội — 01/2024 LỜI CẢM ƠN Những lời đầu tiên, em xin bày tỏ sự biết ơn sâu sắc tới PGS TS Hoàng Xuân Dậu — Khoa An toàn thông tin — Học viện Công nghệ Bưu chính Viễn thông đã đã tận tình hướng dẫn, chỉ bảo và tạo cho em những điều kiện tốt nhất từ khi bắt đầu cho tới khi hoàn thành đồ án tốt nghiệp của mình Em cũng xin gửi lời cảm ơn đến toàn thé các thầy cô trường Học viện Công nghệ Bưu chính viễn thông đã giảng dạy và tạo điều kiện cho em trong quá trình học tập và nghiên cứu tại trường Những kiến thức mà chúng em nhận được sẽ là hành trang giúp chúng em vững bước trong tương lai Cuối cùng, em xin cảm ơn gia đình, ban bẻ, người thân đã luôn ở bên dé động viên và là nguồn cổ vũ lớn lao, là động lực giúp em hoàn thành đồ án này Mặc dù đã cố gắng hoàn thành đồ án trong phạm vi và khả năng có thể Tuy nhiên sẽ không tránh khỏi những thiếu sót Em rất mong nhận được sự cảm thông và tận tình chỉ bảo của quý thầy cô và toàn thé các bạn Trần Thanh Nhàn LỜI CAM ĐOAN Em xin cam đoan đây là công trình nghiên cứu của riêng em, kết quả đạt được trong luận văn là sản phẩm của riêng cá nhân Trong toàn bộ nội dung của luận văn, những điều được trình bày hoặc là của cá nhân hoặc là được tổng hợp từ nhiều nguồn tải liệu Tất cả các tài liệu tham khảo đều có xuất xứ rõ ràng va được trích dẫn hợp pháp Các số liệu, kết quả nêu trong luận văn là trung thực Sinh viên Trần Thanh Nhàn ii NHAN XÉT, ĐÁNH GIÁ, CHO DIEM (Của người hướng dẫn) Điểm: (bang chữ: - c2 12211112v 21n 11 ) Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng chấm đồ án tốt nghiệp? ¬—— , ngày tháng năm 20 CAN BỘ - GIANG VIÊN HƯỚNG DAN (ky, họ tên) 11 MỤC LỤC 0989.909) 0017 30Ö:.5 i LOL CAM 629 VN ii NHẬN XÉT, ĐÁNH GIA, CHO DIEM csssssssesssesssesseessecsseesessessecsecseesseaseeses iii MỤC LUC ceeccscsscssssessessesscsessesuesucecsscsuceessssucsuceesucsucaesacsusaesacsucsnsatsucatsatsscaneaveneeees iv DANH MỤC HINH VE cccccccscssecscssesscseceesscsecsesersessecersassecsesersussesersessesecevseeesees vi DANH MỤC BANG BIEU.W ccccccsesscsessesscsecersscsecsessrsucsvsasevsvcacsvssecevsecavevseseees Vil DANH MỤC VIET TAT ucccccccscsecscsecsesececsececsesecsesuceesucessusecscavsvansusececavevaveneeees viii MG DAU . ÔỎ | CHƯƠNG 1: TONG QUAN VỀ XÁC THỰC NGƯỜI DÙNG - 2 1.1 Giới thiệu về cơ chế xác thực -: -:¿©++2x+2xt2x+zrxerxerxrrxezrrsred 2 1.1.1 Khái quát về xác thực 2.c s+.x+2.E+.EE.SE.EEE.EE.EE.EE.EEE.EE.EE-rk-err-re-rr-ex 2 1.1.2 Cac kỹ thuật xác thực .- c.S.c.12.21.12.1.12.v.1.9 11.118.1 1.1v nr-ưy 3 1.2 Giới thiệu về cơ chế xác thực một lần -.-.2.s+.s+.s+E.s.e Se.EE.eE.eEe.zs.rs.ss 9 1.2.1 Khái niệm xác thực một lần .2 + +.++.2+.+z.xz.x-+z-zx-er-xe-zs2ee¿s 9 1.2.2 Các loại SSO QQ TS 9 1.2.3 Ưu nhược điểm của xác thực một lần -.5.z.s.+x+.E+.ze.zz-ez-sc-ez 15 1.3 Kết chương 5-.5:.St St E1.2.1.211.21.11.211.21.11.21.11.11.111.11.11.x.e 16 CHƯƠNG 2: CAC GIAO THUC VÀ GIẢI PHÁP XÁC THUC MOT LAN 17 2.1 Các giao thức xác thực một 17 “ANH rà 009/112 17 2.1.2 Giao thức KerbeTOs .c.1.3.3.3.3.13.1.9.1 v.n v n -ờ23 “0 tr 290 6 5 28 2.1.4 Giao thức OAAuth . . -.S 2.0.11.122.23.11.11.11.1 H 2 1 -1x432 2.1.5 Giao thức SAML .ĂĂ S H v n v.e n.,36 2.1.6 Giao thức OpenID Connect .- ¿+.+.s +.3.*+.*£.‡++.se.vx.se.eee.xs.es.es 38 2.1.7 So sánh các giao thức xác thực một lẦn 5 c.c St t.r Erk.skr.rer.rrx.ses41 2.2 Các giải pháp xác thực một lần 2.-2 + ©.x+.EE.+E.££.E+E.E+.Er.Ee.rxe.rx-rk-rr-ee 42 2.2.1 Microsoft Azure Active Directory S©€TVIC€ cccs Sex 42 2.2.2 Ok ta n9 nh :lOẦAAAa 44 2.2.3, AWS vn a 46 P920 48 “SN {G ioi 0 ii) ::Ở:Ở::-OỎ O: ÔÔÔÔÔÔ©Ô 49 2.2.6 So sánh các giải pháp xác thực một lần s.2.s-z-+s-+-cs-z-se-+50 2.3 Kết chương 2.-5.2 S22.2 E2.112.112.11.211.21.121.12.112.112.11.211.21.121.1 1.1 x.e.51 CHUONG 3: CAI DAT VA TRIEN KHAL v cssessssesssssesssseecsneessneesneenneceneeenecens 52 sâm» 5 52 3.1.1 Các công cụ và nền tảng sử dụng 2-.2.+.x.+c.cc.xe.ez.re.rs.zr.re-d 52 St co 54 3.2 Thử nghiệm và đánh giá .-.(.c.3 33.2.1.11.3.25.1.1.51 Ee-rr-rs 59 SN“ hi 59 3.2.2 Dam Sia 63 3.3 Kết CUO cecceseeccccscsccsessesscscssesscsvcsesscsucssscsucsessessesucsessssscstssessesseees 64 4500070157-345 65 Tài liệu tham khảo - - c2 222223311111111E1 111 185355511111 E kg nen 66 DANH MỤC HÌNH VE Hình 1.1 Quá trình xác thực người dùng khi đăng nhập vào web server Hình 1.2 Minh họa quá trình xác thực và quá trình ủy quyễn -.2.s -5-5+-: Hình 1.3 Mô hình xác thực bằng sinh trắc hỌC 5-.5: S.E SE S.333 2E2.E132.E21.511.551-51 1-555-552 Hình 1.4 Các loại SSO theo từng tiêu chí . - H H n.g n g ư HÌnh 2.1 Mô hình hoạt động của LDAP 2-.52.2S.22.E2E.EE.EEE.EEE.EE.EEE.EE.EEE.Erk.rr-rrr-es Hình 2.2 Tìm kiếm phạm vi Base ¿2-.2 + E.+S£.+EEE.2E£.EEEE.EEE.EEE.EEEE.EEE.EEEE.EEE.rrkr-krk-rei Hình 2.3 Thao tác tìm kiếm phạm vi Onel€VeÌL . . .+ xx.x s e.r.v e.r- Hình 2.4 Thao tác tìm kiếm phạm vi subfFee .2.-2 2 ++.S+E.£E.£E.E+E.eE.£Ee.Ee.rx-zEe-rx-es Hình 2.5 Kịch bản hoạt động LDAP .- .2.G 2.S 132.111.21 115.111.2 1.15.111.111.19.1 1.9H ke-y Hình 2.6 Biểu tượng KerberOs 2c.s9.xe E9 E.9 1.911.211.211.211.211.211.211.11 111-11.-1xc-xe Hình 2.7 Mô hình hoạt động của KerberOs -. (.c2.2.2 3.21.11.211.12.11.1 1.1.18.1.11.2.51., Hình 2.8 Trình duyệt lần đầu truy cập vào máy chủ 2.s + s+.x+.£+.zx.zx-er-sz-xs-rs Hình 2.9 Trình duyệt xác thực với máy chủ CAS .-.-c.S.c 1.+ 1.v x e - Hình 2.10 Chuyển hướng một trình duyệt chưa xác định đến máy chủ CAS Hình 2.11 Chuyển hướng trình duyệt đến service sau khi đã xác thực .- Hình 2.12 Xác thực Service 'TIcket - - c2 2111111111111 1111155553 521111 vê, Hình 2.13 Ví dụ về cách OAuth 2.0 được sử dụng dé chia sẻ dữ liệu 5 : Hình 2.14 Hoạt động của 3-legged OAuth - c.2.1.121.111.11.111.1 1.11.111.11 181.11.111.1 -re, Hình 2.15 Hoạt động của 2-legged OAut(H . n g .nh H.ư Hình 2.16 Mô hình hoạt động của SAML, -.- .0 211.12 111.2 1.11 111.11 118.12.1.11.x r.ree Hình 2.17 Cách ma OpenID hoạt động ¿.(.2.2.3.2.21.122.11.112.11.1.1.18.11.15.8.21-15-, Hình 3.1 Mô hình hệ thống thử nghiệm xác thực một lần sử dụng Keycloak Hình 3.2 Cai đặt thành công Keycloak . .c c.1.31.112.11.13.11.11.11.11.11.18.1 1.158.11.1 -xe, Hình 3.3 Giao diện đăng nhập KeycÏOaĂ - c.1 v.n n g n g ư Hình 3.4 Giao diện chính sau khi đã đăng nhập -. 5 22.3.+.+.+s.ks.se.ss.ee.er-re-s Hình 3.5 Cài đặt thành công Grafana .-.- + 2 33.221.111.39.11 115.951.1.1.51.1.1.1.11.1-1-1 Hình 3.6 Giao diện đăng nhập Grafana khi chưa tích hợp Keycloak - Hình 3.7 Cai đặt thành công Splunk .- c 2 222.11.321.11.211.1 1.18.11.11.18.11.11.1-5 -xe, Hình 3.8 Giao diện đăng nhập cua Splunk khi chưa tích hợp KeyCloak Hình 3.9 Thêm thành công cÏI€Ti( - c2 33218321113EE5113 1 E Hình 3.10 Tệp cấu hình giao thức OpenID do Keycloak cung cấp -: Hình 3.11 Tệp cầu hình Grafana - is s 3E S351515151515555111115111115115511.511e1 Hình 3.12 Tệp cấu hình giao thức SAML do Keycloak cung cấp -s-5-: Hình 3.13 Cau hình SAML trên giao điên của Splunk .2:.5.¿©.2.2c.s+.s+-+s.z>-x+-2 Hình 3.14 Chỉnh sửa file authentiCafIO'I.COTIÍ .5 1.x.1.9 k g n g r-e59 Hình 3.15 Giao diện Grafana khi tích hợp thêm Keycloak "—— Hình 3.16 Giao điện login sau khi chuyển hướng đến Keycloak đa Hình 3.17 Giao điện splunk login sau khi chuyển hướng đến Keycloak - Hình 3.18 Đăng nhập vào Grafana -. k g nệ-t Hình 3.19 Giao diện login splunk thông báo c 5.2.2c.3.32.23 E£+.vE.Ese.er.eee.re.ser.es Hình 3.20 Giao diện phân quyền Viewer cho Úse 2 52.+Ee.EE.+E+.E£.EeE-e£-zxz2xz-ed Hình 3.21 Giao diện profile của User trên Grafana .- - 5c.3 x.*+.st.ss.er.re.ee.rs.re.rr-es Hình 3.22 Giao điện phân quyền Admin cho USeT 2.25.2.2 e£.E+.E£.E£.£2-Ee-zE-zE2ze-d Hình 3.23 Giao diện profile của User trên Grafana s.5 k y .- Bang DANH MỤC BANG BIEU Bang 2.1 So sánh các giao thức xác thựcC .-. . .¿55.c +.* + +.+e.vss.ee.rs.se.er.er-re 42 2.2 So sánh các giải pháp xác thực một lần - 2.s.+.c.z+.s-xs-c-ze-: 51 vil DANH MỤC VIET TAT Chữ viết tắt | Nghĩa tiếng Anh Nghĩa tiếng Việt AES Advanced Encryption Standard | Chuan mã hóa nâng cao AS Authentication Server May chu xac thuc ASP Active Server Pages Trang khởi động server CA Certification Authority Co quan chứng thực CAS Central Authentication Service | Dịch vụ chứng thực tập trung DES Data Encryption Standard Chuan mã hóa dữ liệu ID Identity Định danh IdP Identity Provider Nhà cung cấp xác thực KDC Key Distribution Center Trung tâm phân phối khóa LCD Liquid Crystal Display Màn hình tinh thê lỏng LDAP Lightweight Directory Access Giao Thức Truy Cap Thu Protocol Mục Nhẹ OTP One Time Password Mat khau dùng một lần OIN Okta Integration Network Mang tich hop Okta PIN REID Personal identification number | Số định danh cá nhân SAML Radio Frequency IDentification | Định danh băng sóng radio Security Assertion Markup SP Ngôn ngữ đánh dau bao mật Language SSL Nhà Cung Cấp Dịch Vụ Service Provider SSO Kênh liên lạc bảo mật Secure Sockets Layer TT Đăng nhập một lần Single Sign-on TGT Nhãn thời gian Time Granting Ticket TLS Vé cap phép cho Ticket- Ticket-Granting Ticket Granting Transport Layer Security Kênh vận chuyên bảo mật viii