đề tài nghiên cứu các phương pháp thực hiện và hướng dẫn định danh và cách xác định chính sách ủy quyền

Với mong muốn tìm hiểu về việc sử dụng định danh và uỷ quyền để bảo mật hệ thống thông tin nên nhóm chúng em đã chọn đề tài “Nghiên cứu: các phương pháp thực hiện và hướng dẫn định danh

Trang 1

TRƯỜNG ĐẠI HỌC KIÊN TRÚC HÀ NỌI KHOA CÔNG NGHỆ THÔNG TIN

BAO CAO TIỂU LUẬN

MON HOC: AN TOAN VA BAO MAT HE THONG THONG TIN

DE TAI: NGHIEN CUU CAC PHUONG PHAP THUC HIEN VA HUONG DAN ĐỊNH DANH

VÀ CÁCH XÁC ĐỊNH CHINH SACH UY QUYEN

Giảng viênHD : ThS Trần Văn Thắng

Nhóm thục hiện : Nhóm 7 - 21CN4

Thanh vién © Phạm Quang Trường Anh - 2155010019

o Tran Mai Trang - 2155010264

Nguyễn Hà Thanh - 2155010244

Hoàng Ngọc Bảo -

Hà Nội, 03/2024

Trang 2

MỤC LỤC

LỜI MỞ ĐẦU 5555-22 2H ,HHnH HH HH HH HH He He 3

CHƯƠNG 1: ĐỊNH DANH SH HH ng TH HH HH HH HH HH re 4 1.1 Tổng quan về định danh (identification): 5-55: SSc 2x22 stxersrrrkee 4 DDD, BRAT NIM e.e 4

TM GINS e 4

1.2 Các phương pháp định đanh: - cà HH HH ky 4 1.2.1 Phương pháp I: Người dùng tự nhập thông tin về danh định: 5

1.2.2 Phương pháp 2: Sử dụng danh định số hoá: eccccccccccccccccee ó

1.3 Hướng dẫn định danh: - 6 t5 2E S22 SE EEEErrrrrrrrrrrrei 8

CHƯƠNG 2: UY QUYÊN - 2c ch ThỊ Hàng TH Hà TH HH nà nh HH Hàng dt ọ

2.1 _ Tổng quan về uỷ quyền (authorizafion): ¿55c 5+t22Sxetxxeexvrekkkrsrrrsrkee ọ PZANY ' : 9

2.2 Cac hinh thire uy quyén throng gapi ccccccccsscsssesssessssccssssssssecssessuesesseesseeseeseess 9 2.3 Cach xdc dinh chinh sdch uy Quy@nt cccccccccsssessssessssssssessssscsseccssecssecsscaseesueeeeess 10 23.1 NKhúi HIỆM: HH HH HH HH HT HH HT HH 10 2.3.2 Các thành phần của chính sách uỷ qHyÈH: coi si 11 2.3.3 Các bước xác định chính sách uỷ qH)ỀH: ằăăc coi cciesiiirerreeo 11

x00.) 08 13 TÀI LIỆU THAM KHẢO 5: 225cS2 22322122111 11 1111211 1111111 c1 rerree 13

Trang 3

LOI MO DAU

An toàn và bảo mật hệ thông thông tin đang là vấn đề được quan tâm rất nhiều,

là một chủ đề rộng và liên quan đến nhiều lĩnh vực Trong thời đại công nghệ số hiện nay, việc sử dụng định danh và uỷ quyền đóng vai trò quan trọng trong việc bảo vệ thông tin và hạn chế rủi ro an ninh mạng Các tô chức và doanh nghiệp ngày càng phụ thuộc vào các ứng dụng, dịch vụ trực tuyến, và lưu trữ đữ liệu điện tử Số lượng người dùng và tài khoản trong hệ thống cũng tăng lên, đồng thời các mối đe dọa an ninh mạng cũng ngày càng tình vị và phức tạp

Với mong muốn tìm hiểu về việc sử dụng định danh và uỷ quyền để bảo mật hệ thống thông tin nên nhóm chúng em đã chọn đề tài “Nghiên cứu: các phương pháp thực hiện và hướng dẫn định danh (identiication), cách xác định chính sách ủy quyền (author1zation)”

Với việc tìm hiểu nghiên cứu cùng với sự giúp đỡ của thầy Trần Văn Thăng trong qua trình làm bài tiểu luận, chúng em đã hoàn thành bài tập này Chúng em xin chân thành cảm ơn thây, đã tận tình hướng dẫn chúng em trong suốt quá trình làm và hoàn thiện bài tập lớn này

Tuy đã rất cô gắng đề hoàn thành tốt bài tập lớn này nhưng do thời gian có hạn,

kiến thức và kinh nghiệm hạn chế nên trong quá trình làm bài không tránh khỏi những

sai sót Rất mong được sự góp ý của thầy để bài tiểu luận của chúng em được hoàn thiện hơn nữa

Trang 4

Điều khiến truy nhập (Access control) là một trong 4 cơ chế bảo mật phô biến hiện nay Nó được định nghĩa là một quy trỉnh được thực hiện bởi một thiết bị phần cứng hay một module phần mềm, có tác dụng chấp thuận hay từ chối một sự truy nhập

cụ thé đến một tài nguyên cụ thê Định danh (Identifcaton) và uỷ quyền (Authorization) lần lượt là bước đầu tiên và bước cuối cùng đề thực hiện điều khiển truy nhập

CHƯƠNG I1: ĐỊNH DANH

1.1 Téng quan vé dinh danh (identification):

Ld Khai niém:

Dinh danh (identification) la quá trình xác định và xác minh danh tính của một

cá nhân, một đối tượng, một hệ thống, hoặc công nhận danh tính của một đối tượng Đây là một phần quan trọng của nhiều quy trình và hệ thống, đề xác thực tài khoản người dùng trên mạng đến kiểm soát truy cập vào các khu vực nhạy cảm

Ví dụ: khi sinh viên muốn đăng nhập tài khoản vào trang tín chỉ của trường, cần

phải nhập mã sinh viên và mật khẩu để xác minh danh tính và truy cập tài khoản

Như vậy, định danh (Identification) là quá trình xử lý nhận dạng một chủ thể

khi truy cập vào hệ thống

1.12 Mục đích:

Mục đích chính của định danh là tìm kiếm sự tổn tại và quyền hạn cho người dùng

Cu thé, là:

- _ Xác minh danh tính: Định danh giúp xác minh rằng một cá nhân hoặc đối tượng

là ai đó, dựa trên các thông tin cá nhân, thuộc tính hoặc đặc điểm đặc biệt Nó giúp đảm bảo rằng một người dùng được xác định chính xác và không đánh lừa

hệ thống

- Bảo mật: Định đanh là một phần quan trọng trong việc đảm bảo an ninh thông tin và hệ thông Nó giúp ngăn chặn truy cập trái phép và bảo vệ thông tin quan trọng hoặc tải sản của một tô chức hoặc hệ thống

- Quản lý truy cập: Định danh giúp quản lý và kiểm soát quyền truy cập của người dùng đến các tài nguyên, hệ thống hoặc dịch vụ Nó đảm bảo rằng chỉ những người dùng có quyên hạn thích hợp mới có thê truy cập và sử dụng các tài nguyên đó

1.2 Các phương pháp định danh:

Hiện nay, có 2 phương pháp định danh phô biến đó là: người dùng tự nhập thông tin về danh định, sử dụng danh định số hoá

Trang 5

1.2.1 Phương pháp 1: Người dùng tự nhập thông tin về danh định:

Phương pháp nảy là phương pháp định danh phô biến hiện nay

a Định danh dựa trên tên đăng nhập (username): người dùng chọn tên đăng nhập duy nhất để xác định danh tính của họ

-_ Ưu điểm:

+ Đơn giản, dễ triển khai vì chỉ yêu cầu người dùng chọn một tên để sử dụng

+ Tiết kiệm chỉ phí và nguồn lực so với các hình thức xác thực phức tạp hơn

+ Người dùng để nhớ tên đăng nhập của mình

- Nhược điểm:

+ Anninh, bảo mật được đảm bảo ở mức độ thấp hơn do tên đăng nhập dễ

bị đánh cắp, phát tán

+ Không thể xác thực danh tính của người dùng một cách chắc chắn Có thê xảy ra trường hợp giả mạo

+ Khả năng bị tấn công đánh cắp tài khoản cao hơn nếu tên đăng nhập bị

lộ

Như vậy, phương pháp này thích hợp với các ứng dụng không yêu cầu độ bảo mật cao Cần kết hợp thêm các yếu tố xác thực khác

b Định danh dựa trên địa chỉ email: Sử dụng địa chỉ email duy nhất của người dùng làm phương thức xác thực danh tính

- Ưu điểm:

+ Moi người dùng thường chỉ có một địa chỉ email duy nhất nên có khả năng xác thực danh tính tốt hơn username

+ Việc quản lý và duy trì email khó bi gia mao hon so với tên đăng nhập + Email được sử dụng rộng rãi nên tiện cho người dùng

- Nhược điểm:

+ Có thể bị đánh cắp nêu mật khâu email yếu Ảnh hưởng đến an toàn tài

khoản

Không thê xác thực trực tiếp danh tính của người dùng qua email Người dùng có thê sử dụng chung email nên khó khang dinh danh tinh của từng cá nhân

Như vậy, phương pháp này phù hợp với nhiều ứng dụng Tuy nhiên, phương pháp này nên kết hợp thêm các yếu tổ xác thực khác như mật khâu, xác thực 2 bước đề tăng độ an toàn

Trang 6

Ngoài ra, còn rất nhiều phương pháp định danh người dùng tự nhập thông tin về danh định: định danh dựa trên số điện thoại, mật khâu (password),

1.2.2 Phương pháp 2: Sử dụng danh định số hoá:

a Danh định sinh trắc học(Biometric indentity): nhận dạng khuôn mặt, quét tròng mắt, nhận dạng vân tay,

-_ Ưu điểm:

+ Mức độ xác thực cao, gần như hoàn toàn loại trừ nguy cơ giả mạo danh

tính

+ Các đữ liệu sinh trắc học như vân tay, mắt, khuôn mặt là duy nhất đối với mỗi người

+ Khó bị lộ thông tin hoặc tấn công giả mạo hơn các phương pháp truyền thống

- Nhược điểm:

+ Tốn kém chi phi dau tư thiết bị, công nghệ hỗ trợ

+ Người dùng phải tiễn hành quá trình quét sinh trắc gây mắt thời gian,

phiền toái

+ Yêu cầu kỹ thuật cao, dễ gặp sự cố kỹ thuật

Như vậy, phương pháp này chủ yếu áp dụng khi cần đảm bảo bảo mật, an ninh cao

nhất

b Danh định máy tính(computer indentity): là các thông tin định danh và xác định một máy tính trong mạng hoặc hệ thống Các thành phần danh định máy tính phô biến bao gồm tên máy tính, địa chỉ MAC (Media Access Control), va dia chi IP (Internet Protocol)

- Ưu điểm:

+ Xác định và định danh: Danh định máy tính giúp xác định mỗi máy tính trong mạng hoặc hệ thông một cách độc nhất Điều này cho phép các hệ thống và quản trị viên nhận biết và giao tiếp với các máy tính cụ thế một cach dé dang

+ Quan ly va theo déi: Danh dinh may tinh cung cap kha nang quan ly va theo dõi các máy tính trong mạng Với danh định máy tính, quản trị viên

có thê kiêm soát quyền truy cập, áp dụng các chính sách bảo mật, và giám sát hoạt động của các máy tính

+ Xác thực và bảo mật: Danh định máy tính được sử dụng để xác thực danh tính của máy tính trong quá trình truy cập vào hệ thống hoặc dịch

vụ Điều này giúp đảm bảo rằng chỉ những máy tính được phép mới có thê truy cập và sử đụng các tài nguyên

Trang 7

- Nhược điểm:

+ Xung đột và trùng lặp: Trong một mạng lớn, có thê xảy ra xung đột hoặc trùng lặp danh định máy tính khi hai máy tính cùng sử dụng cùng một thông tin định danh Điều này gây khó khăn trong việc xác định và tương tác với các máy tính cụ thé

Thay đổi và cập nhật: Danh định máy tính có thế thay đổi theo thời gian

khi máy tính được cấu hình lại hoặc cập nhật thông tin định danh Điều này có thể làm mắt đi tính nhất quán và khó khăn trong việc quản lý và

theo đõi các máy tính

Xác định giả mạo: Một máy tính có thé giả mạo danh định của một máy tính khác bằng cách sửa đôi thông tin định danh, như địa chỉ MAC hoặc địa chỉ IP Điều nảy đe dọa tính toàn vẹn va bảo mật của danh định máy

tính

Tóm lai, dé dam bảo tính chính xác và bảo mật của danh định máy tính, cần áp dụng các biện pháp bảo vệ và xác thực phù hợp

c Danh định số (digital indentity): là một hình thức định danh và xác định cá nhân,

tô chức hoặc thiết bị số trong môi trường kỹ thuật số Nó cho phép một thực thê kết nỗi, truy cập và giao tiếp trực tuyến trong các hệ thống và địch vụ khác nhau Hai thành phần quan trọng của danh định số là chứng nhận số và thẻ thông minh

Ưu điểm:

+ Xác thực: Chứng nhận số được sử dụng để xác thực danh tính của một thực thế trong môi trường kỹ thuật số Nó cho phép người dùng hoặc tô chức chứng minh rằng họ là chủ sở hữu hợp pháp của thông tin và có quyên truy cập vào các dịch vụ và tải nguyên

Bảo mật: Chứng nhận số sử dụng mã hóa và chữ ký số để đảm bảo tính toàn vẹn và bảo mật của thông tin Nó giúp ngăn chặn các cuộc tấn công giả mạo và truy cập trái phép vào đữ liệu và hệ thống

Tin cậy: Chứng nhận số được phát hành bởi các cơ quan uy tín và có thé được kiểm tra tính hợp lệ Điều này tạo ra su tin tưởng và đáng tin cậy trong việc xác định danh tính trong môi trường kỹ thuật số

- Nhược điểm:

+ Quản lý: Quá trình phát hành và quản lý chứng nhận số có thể phức tạp

và đòi hỏi sự kiểm soát chặt chẽ Việc bảo vệ khóa riêng tư và quản lý chứng chỉ yêu cầu một hệ thống quản lý mạnh mẽ dé đảm bảo tính bảo mật và tin cậy của chứng nhận

Trang 8

+ Phụ thuộc: Sự xác thực dựa trên chứng nhận số yêu cầu sự tương tác với các bên thứ ba hoặc cơ quan phát hành Điều nay co thể tạo ra một mức

độ phụ thuộc và trì hoãn trong việc xác thực danh tính

® Thẻ thông minh (Smart Card):

- Uudiém:

+ Di động: Thẻ thông minh có thế được mang theo và sử dụng trên nhiều thiết bị khác nhau Điều này tạo ra tính di động và linh hoạt trong việc truy cập vào dịch vụ và tài nguyên từ bất kỳ đâu

+ Bảo mật: Thẻ thông minh thường được mã hóa và bảo vệ bằng mật khâu hoặc các biện pháp bảo mật khác Nó giúp ngăn chặn truy cập trái phép

và đảm bảo tính toàn vẹn của thông tin cá nhân

+ Đa chức năng: Thẻ thông minh có thể được sử dụng cho nhiều mục đích, bao gồm xác thực danh tính, truy cập vào mạng, thanh toán điện tử vả lưu trữ thông tin cá nhân

- Nhược điểm:

+ Mất mát và hỏng hóc: ThéThông minh là thiết bị vật lý và có thé bi mat

mát hoặc hỏng hóc Nếu mắt thẻ thông minh, người dùng có thê mất quyên truy cập vào các dịch vụ và tải nguyên quan trọng

+ Phụ thuộc vào thiết bị đọc: Thẻ thông minh yêu cầu một thiết bị đọc đặc biệt dé doc va giao tiếp với nó Điều này có thể tạo ra một sự phụ thuộc

và hạn chế trong việc sử dụng thẻ thông minh

+ Bảo mật vật lý: Mặc dù thẻ thông minh được bảo vệ bằng mật khẩu hoặc

mã PIN, nhưng nếu thiết bị bị đánh cắp hoặc mất mát, thông tin trong thẻ

có thê bị tiếp cận trái phép

Như vậy, chứng nhận số và thẻ thông minh là hai phương tiện quan trọng đề xác định danh tính trong môi trường kỹ thuật số Sự lựa chọn giữa hai phương tiện này phụ thuộc vào yêu cầu và ngữ cảnh sử dụng

1.3 Hướng dẫn định danh:

- Pao Tao và Nâng Cao Ý Thức: Cung cấp đảo tạo định kỳ cho nhân viên về các nguy cơ và biện pháp bảo mật liên quan đến định đanh Tăng cường ý thức

về tầm quan trọng của việc bảo vệ thông tin cá nhân

- Quan Ly Rai Ro: Thực hiện quá trình quản lý rủi ro để xác định và đánh giá

các rủi ro liên quan đến định danh Xác định biện pháp ngăn chặn và giảm nhẹ rui ro

Trang 9

Giám Sát Hệ Thống: Thiết lập hệ thống giám sát liên tục dé theo đõi hoạt động của người đùng và phát hiện bất kỳ hành vi nghi ngờ nào có thể đe dọa đến thông tin định danh

- Chuẩn Bị cho Sự Cố: Phát triển kế hoạch ứng phó với sự cố để nhanh chóng

và hiệu quả đối phó với bất kỳ ví phạm bảo mật nào liên quan đến định danh

- Tuân Thủ Luật Lệ và Quy định: Đảm bảo rằng mọi hoạt động liên quan đến

định danh tuân thủ đầy đủ các luật lệ và quy định về bảo mật thông tin

- Kiếm Tra và Đánh Giá Định Danh: Thực hiện các kiêm tra định ky dé dam bao rang các biện pháp định danh đang hoạt động hiệu quả và được cập nhật theo thoi gian

CHUONG 2: UY QUYEN

2.1 Tổng quan về uỷ quyền (authorization):

21,1, Khai niém:

Ủy quyền (authorization) là quá trình cho phép một người hoặc một đối tượng khác thực hiện một số hành động hoặc truy cập vào các tài nguyên, thông tin hoặc chức năng mà người được ủy quyền không có quyền truy cập hoặc thực hiện Quá trình authorization diễn ra sau quá trình xác định danh tính nhằm xác định mức độ quyền sử dụng các tệp, cơ sở dữ liệu, ứng dụng con hoặc tài nguyên khác

Ví dụ: ở ví dụ trong mục I.1.I ta đã nhắc đến định đanh khi sinh viên muốn

đăng nhập vào trang tín chỉ của trường, sau khi đã nhập thông tin cần thiết và hệ thống

đã xác thực (authentication) tài khoản đang vào hệ thống là đúng thì tiếp theo đến quá trình hệ thống sẽ xác định quyền (phân quyền) của tài khoản hiện tại vừa mới được xác thực Cụ thể ở đây, quá trình uỷ quyền xác định những chức năng mà sinh viên có thé truy cập và sử dụng trong trang tín chỉ đó

Như vậy uỷ quyền là quá trình gán quyền được phép hoặc không được phép truy cập vào đối tượng

2.12 Mục dich:

Mục đích chính của ủy quyền là đảm bảo rằng chỉ những người được ủy quyền mới có thé truy cập vào các tài nguyên hoặc thực hiện các hành động cụ thể Cụ thể:

- _ Cho phép người dùng thực hiện các hành động được cấp phép

- _ Truy cập các tài nguyên được bảo vệ

- _ Ngăn chặn truy cập trái phép và sử dụng sai mục đích

Trang 10

2.2 Các hình thức uỷ quyền thường gặp:

Có nhiều hình thức ủy quyền phô biến, bao gồm:

Ủy quyền theo vai trò (Role-based authorizadon): Trong hình thức này, quyền truy cập được gán cho các vai trò cụ thể Mỗi người dùng được gán một hoặc nhiều vai trò và quyền truy cập của họ được xác định dựa trên vai trò mà

họ đang đảm nhiệm Ví dụ trong WordPress có các role như là Subscriber, Contributor, Author, Editor, Administrator và mỗi một role sẽ có những quyền khác nhau và mỗi người dùng sẽ được phân role có quyền tương ứng Đối với những hệ thống có nhiều người dùng thi role-based 1a cach tiếp cận tốt nhất để tiết kiệm thời gian trong việc phân quyền

Uý quyến dựa trên đối tượng (Objec(-based authorization): Kiểm soát truy cập dựa trên đối tượng thực hiện ủy quyền người dùng băng cách sử dụng các quyền để xác định những gì mỗi người dùng có thể làm đối với các đối tượng

mà họ có quyền truy cập Ví đụ những đối tượng trong nhóm A, B duoc phan quyền chỉnh sửa các bài viết trong danh mục Nhưng đối tượng trong nhóm A chỉ chỉnh sửa được bài viết trong danh mục C, đối trượng trong nhóm B chỉ chỉnh sửa bài viết trong danh mục D Nói chung, cách này sẽ phân quyền cho từng đối tượng cụ thê bất kỳ đối tượng nào không được cấp quyền rõ ràng đều

bị cắm

Ủy quyền dựa trên nguyên tắc (Policy-based authorization): Trong hinh thức này, quyền truy cập được xác định dựa trên các nguyên tắc và điều kiện cụ thể Các nguyên tắc và điều kiện này có thể bao gồm các yếu tô như vai trò, thuộc tính của người dùng, thời gian và địa điểm Ví dụ, một hệ thống ngân hàng có thế áp dụng nguyên tắc "chỉ cho phép người dùng có số dư tài khoản lớn hơn 0 và đang ở trong nước truy cập vào chức năng rút tiền"

Ủy quyền dựa trên nguồn gốc (Attribute-based authorization): Irong hình thức này, quyên truy cập được xác định dựa trên các thuộc tính của đối tượng hoặc tài nguyên Các thuộc tính này có thể bao gồm thông tin như loại tài nguyên, quyền sở hữu, nhãn, v.v Ví dụ, một hệ thống quản lý tài liệu có thể áp dụng quyền truy cập "chỉ cho phép người đùng có quyền sở hữu tài liệu và nhãn 'nội bộ' truy cập vào tài liệu"

Ủy quyền dựa trên mức độ (Hierarchical authorization): Trong hình thức này, quyền truy cập được xác định dựa trên mức độ của người dùng hoặc đối tượng Các mức độ nảy có thê bao gồm các cấp bậc, vị trí, cấp độ, v.v Ví dụ, một hệ thống quản lý nhân sự có thể áp đụng quyền truy cập "chỉ cho phép quản lý câp cao truy cập vào thông tin lương của nhân viên"

10

Tiêu đề	Nghiên cứu các phương pháp thực hiện và hướng dẫn định danh và cách xác định chính sách ủy quyền
Tác giả	Phạm Quang Trường Anh, Pham Thu Phương, Tran Mai Trang, Nguyễn Hà Thanh, Hoàng Ngọc Bảo
Người hướng dẫn	ThS. Trần Văn Thắng
Trường học	Trường Đại Học Kiến Trúc Hà Nội
Chuyên ngành	An Toàn Và Bảo Mật Hệ Thống Thông Tin
Thể loại	Tiểu Luận
Năm xuất bản	2024
Thành phố	Hà Nội

Định dạng
Số trang	14
Dung lượng	1,31 MB