Bài viết đề cập đến nghiên cứu giải pháp chứng thực tập trung, qua đó xây dựng hệ thống chứng thực tập trung thông qua Web API (Application Programming Interface) để xác thực tài khoản người dùng về một cơ sở dữ liệu nhất quán.
12 Journal of Transportation Science and Technology, Vol 35, Feb 2020 NGHIÊN CỨU CÁC GIẢI PHÁP CHỨNG THỰC TÀI KHOẢN TẬP TRUNG CHO CÁN BỘ GIẢNG VIÊN, CÔNG NHÂN VIÊN VÀ SINH VIÊN TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI THÀNH PHỐ HỒ CHÍ MINH RESEARCH SOLUTIONS FOR AUTHORIZATION OF CONCENTRATED ACCOUNTS FOR EMPLOYEES, TEACHERS, AND STUDENTS IN THE HO CHI MINH CITY UNIVERSITY OF TRANSPORT Bùi Dương Thế, 2Đặng Nhân Cách Trung tâm Dữ liệu Công nghệ thông tin Đại học Giao thông vận tải Thành phố Hồ Chí Minh 1,2 Tóm tắt: Trong năm gần đây, Trường Đại học Giao thông vận tải Thành phố Hồ Chí Minh tích cực triển khai áp dụng Công nghệ thông tin lĩnh vực quản lý, dạy học Nhà trường Mỗi sản phẩm công nghệ thông tin đưa vào sử dụng trước sở liệu người dùng lưu trữ độc lập, việc quản lý tài khoản người dùng khó khăn, người dùng phải nhớ nhiều tài khoản, mật khác Bài báo đề cập đến nghiên cứu giải pháp chứng thực tập trung, qua xây dựng hệ thống chứng thực tập trung thông qua Web API (Application Programming Interface) để xác thực tài khoản người dùng sở liệu quán Tất ứng dụng công nghệ thông tin sau triển khai chứng thực qua hệ thống này, giúp cho Nhà trường quản lý tài khoản người dùng tập trung cán bộ, giảng viên, sinh viên dùng tài khoản để truy cập vào ứng dụng mà Nhà trường cho phép Từ khóa: Chứng thực, chứng thực tập trung, quản lý tập trung Chỉ số phân loại: 1.4 Abstract: In recent years, Ho Chi Minh City University of Transport has successfully implemented Information Technology in all areas of educational management and administration The former IT products allowing user database separately stored have triggered diverse issues for user account management when the users have to remember different accounts and passwords simultaneously Therefore, this article will focus on centralized authentication solution, thereby building a centralized authentication system through Web API (Application Programming Interface) to consolidate user accounts into a consistent database In the future, all state of the art applications then will be examined and deployed by this system in order to manage user accounts attentively Not only staff, lecturers but also students will use one unique account for accessibility to any school applications allowed Keywords: Authentication, centralized certification, centralized management Classification number: 1.4 Giới thiệu Hiện nay, Trường Đại học Giao thông vận tải Thành phố Hồ Chí Minh (ĐH GTVT TP.HCM) áp dụng nhiều hệ thống thông tin vào quản lý, đào tạo học tập Nhưng phần nhiều ứng dụng có sở liệu quản lý tài khoản người dùng riêng biệt Vì khó khăn công tác quản lý sử dụng như: Bộ phận quản trị phải nhiều thời gian tạo tài khoản quản trị hệ thống; người dùng phải nhớ nhiều tài khoản với hệ thống khác thuộc Trường Trong nghiên cứu nhóm khai thác vấn đề sau: • Nghiên cứu giải pháp chứng thực tập trung tài khoản người dùng; • Đồng tài khoản người dùng sở liệu chung; • Xây dựng hệ thống chứng thực cho phép phần mềm, ứng dụng kết nối để xác thực tài khoản người dùng tập trung đầu mối Mục tiêu nghiên cứu đưa người dùng cần tài khoản (username password) nhất, truy cập vào ứng dụng cho phép ứng dụng phần mềm người dùng phân quyền theo nhu cầu riêng TẠP CHÍ KHOA HỌC CƠNG NGHỆ GIAO THÔNG VẬN TẢI, SỐ 35-02/2020 Khi hệ thống vận hành, người quản lý tài khoản người dùng hệ thống nhất, người dùng cần nhớ tài khoản truy cập vào hệ thống cho phép Khi cập nhật thông tin người dùng tất ứng dụng liên quan cập nhật, khóa tài khoản đó, hệ thống cần khóa lần tài khoản bị khóa khóa lại tất ứng dụng lại, hệ thống lúc an tồn, tránh thiếu xót việc quản lý Các nghiên cứu liên quan Ngày nay, có nhiều hệ thống chứng thực, giải pháp phương thức xác thực tài khoản người dùng tập trung sử dụng 13 phổ biến Từ xây dựng hệ thống chứng thực phù hợp với hệ thống nội sở hạ tầng để triển khai thử nghiệm, đánh giá độ ổn định, độ tin cậy khả mở rộng cao Dưới mô tả phương pháp sử dụng phổ biến: OpenID [1] tiêu chuẩn chứng thực tập trung, cho phép đối tác, website, tổ chức muốn sử dụng để chứng thực người dùng Các nhà phát triển website không cần phải xây dựng phần đăng ký đăng nhập hệ thống họ Từ OpenID người dùng chứng thực nhiều website khác mà cần tài khoản, mật để sử dụng Hình Mơ hình chứng thực OpenID OAuth2 [2] phương thức chứng thực tập trung, giúp cho ứng dụng, website chia sẻ thơng tin với mà không cần cung cấp thông tin username password Tuy nhiên thông tin người dùng cung cấp số thông tin mức hạn chế định Trong đó: - Authentication: Xác thực người dùng thơng qua việc đăng nhập; - Authorization: Cấp quyền truy cập vào thông tin người dùng SAML [3] (Security Assertion Markup Language) xuất từ lâu đời, tiêu chuẩn mở để trao đổi liệu xác thực ủy quyền bên, đặc biệt nhà cung cấp nhận dạng nhà cung cấp dịch vụ Khi người dùng truy cập thơng tin nhà cung cấp dịch vụ khác liên kết Hình Mơ hình chứng thực SAML LDAP [4] (Lightweight Directory Access Protocol) giao thức dựa mơ hình Client Server, cho phép Client chứng thực, kết nối truy cập tài nguyên theo phần quyền từ Server Một số ứng dụng website ứng dụng dùng giao thức để chứng thực người dùng, chia sẻ tài nguyên thông tin thông qua Server Active Directory 14 Journal of Transportation Science and Technology, Vol 35, Feb 2020 Hình Mơ hình chứng thực LDAP SSO [3] Single Sign On chế xác thực yêu cầu người dùng đăng nhập lần với tài khoản mật để truy cập vào nhiều ứng dụng phiên làm việc Hình Mơ hình chứng thực SSO Trên phương pháp chứng thực sử dụng rộng rãi ngày Trong báo này, qua việc tiến hành phân tích cách vận hành hệ thống chứng thực trên, từ lựa chọn điểm tiện dụng phù hợp để xây dựng cho Trường ĐH GTVT TPHCM hệ thống chứng thực riêng biệt phù hợp với nhu cầu thực tế API [5] viết tắt từ Application Programming Interface (giao diện lập trình ứng dụng) phương thức, giao thức kết nối với thư viện ứng dụng khác API cung cấp khả cung truy xuất đến tập hàm hay dùng Và từ trao đổi liệu ứng dụng Hình API cho phép hầu hết ứng dụng kết nối Web API hỗ trợ restful đầy đủ phương thức :get/post/put/delete liệu giúp cho xây dựng HTTP service cách đơn giản nhanh chóng Ngồi có khả hỗ trợ đầy đủ thành phần HTTP: URI, request /response headers, caching, versioning, content forma Khi xây dựng API URL API để bên thứ ba dễ dàng gửi request liệu đến máy chủ cung cấp nội dung thông qua giao thức HTTP HTTPS Tại web server cung cấp nội dung, ứng dụng nguồn thực kiểm tra xác thực có tìm đến tài ngun thích hợp để tạo nội dung trả kết Server trả kết theo định dạng JSON XML thông qua giao thức HTTP/HTTPS Tại nơi yêu cầu ban đầu ứng dụng web ứng dụng di động, liệu JSON/XML đọc để lấy liệu Sau có liệu thực tiếp hoạt động lưu liệu đến sở liệu, hiển thị liệu… Thực trạng hệ thống Trong phần nhằm mô tả lại thực trạng hệ thống gặp nhiều vấn đề gây khó khăn cho người quản lý người dùng trình sử dụng Hình Mô tả cấu trúc lưu tài khoản người dùng Hình 5.Ví dụ cấu trúc API Hình mơ tả lại cách xây dựng, quản lý tài khoản người dùng ứng dụng phần mềm cũ đó: - Người viết ứng dụng phần mềm không quán cấu trúc bảng liệu tài khoản; TẠP CHÍ KHOA HỌC CÔNG NGHỆ GIAO THÔNG VẬN TẢI, SỐ 35-02/2020 - Mỗi quản trị viên khởi tạo tài khoản theo ý muốn mình, khơng tn thủ quy luật hay sách nội Như vậy, người dùng buộc phải nhớ tài khoản mình, đổi mật phải đổi mật hệ thống phần mềm Phương pháp đồng hóa tài khoản Trong nghiên cứu tiến hành đồng tài khoản người dùng mối nhất, nơi lưu trữ tài khoản tập trung, xác thực tập trung, quản lý người dùng tập trung Với phương pháp xem xét nhu cầu thực tế tương lai, cần xác định xây dựng hạ tầng mạnh mẽ, ổn định, khả mở rộng cao để đáp ứng nhu cầu cho thực tế ứng dụng tích hợp để phát triển Hình Phương pháp đồng tài khoản 4.1 Phương pháp đồng - Xây dựng sở liệu (DB New) mơ hình liệu quan hệ, đủ lớn, để có khả mở rộng, liên kết với thông tin nhân (HR); - Trên sở liệu cũ tạo thêm trường (mans) có liệu trùng với sở liệu (username) 4.2 Phương pháp thực - Nếu tài khoản biết rõ thơng tin tiến hành cập nhật thêm trường (mans) cho tài khoản đó; - Các tài khoản chưa rõ thông tin cho người dùng tự cập nhật trường (mans); - Trên sở liệu (DB New) chọn cách đặt tên tài khoản người dùng có quy tắc, nhằm gợi nhớ cho người dùng Hệ thống chứng thực tập trung Đề tài nghiên cứu xây dựng quy trình vận hành hệ thống chứng thực tập dựa kiến 15 trúc API đơn giản, dễ triển khai, phù hợp với sở hạ tầng sẵn có Nhà trường, đáp ứng đa tảng kết nối truy xuất liệu Hình Mơ hình xử lý chứng thực tập trung AC: Authenticate Center; DB New: Cơ sở liệu tài khoản người dùng đồng Quy trình xử lý sau: - Người dùng login vào ứng dụng; - Ứng dụng kết nối với AC; - AC kết nối với DB New; - DB New trả kết cho AC; - Ứng dụng nhận kết trả cho người dùng thông qua trạng thái sau: + 200: Đăng nhập thành công có đủ thơng tin đăng nhập; + 404: Thơng báo khơng tìm thấy tài khoản; + 401: Thơng báo đăng nhập khơng thành cơng; + 403: Khơng có quyền truy cập; + 500: Các lỗi khác Trong trường hợp kết đăng nhập có mã trạng thái 200 ứng dụng kiểm tra tài khoản có tồn cở sở liệu hay không, chưa, hệ thống tạo tài khoản để truy cập ứng dụng, trường hợp tài khoản tồn cho phép truy cập ứng dụng cập nhật thông tin cần thiết khác Bảo mật thông tin An tồn bảo mật thơng tin người dùng vấn đề quan trọng Bởi ứng dụng phép kết nối lấy thông tin tài khoản để xác thực cho người dùng, nghiên cứu đưa sách bảo mật kết nối, truy xuất thông tin sau: - Ứng với tài khoản, khởi tạo hệ thống, người quản trị cấp cho tài khoản dùng dịch vụ phép sử dụng; - Đối với ứng dụng kết nối, hệ thống tạo khóa (key), thơng qua ứng dụng truy xuất thơng tin tài khoản người dùng; 16 Journal of Transportation Science and Technology, Vol 35, Feb 2020 - Những ứng dụng dịch vụ chứng thực sử dụng kết nối nội kết nối thông qua Access list, Iptables, Firewall; - Đối với tài khoản người dùng, hệ thống mã hóa thơng tin trước gửi xác thực kèm theo dịch vụ SSL Kết luận 7.1 Kết đạt Trong nghiên cứu này, đưa giải pháp chứng thực tập trung đồng thời phối hợp với nhu cầu thực tế, sở hạ tầng, mục đích sử dụng, từ xây dựng cho Nhà trường dịch vụ chứng thực tập trung, đem lại thuận tiện cho người quản lý người dùng cán bộ, giảng viên, sinh viên Như vậy, với tài khoản người dùng truy cập vào dịch vụ cấp phép, qua triển khai dịch vụ chứng thực tập trung cho ứng dụng thuộc quản lý Nhà trường để đánh giá tính hiệu quả, ổn định hệ thống xây dựng Các dịch vụ triển khai: - Hệ thống đào tạo trực tuyến; - Hệ thống thi ngoại ngữ đầu vào; - Hệ thống SMS; - Hệ thống hỗ trợ trực tuyến; - Hệ thống wifi; - Hệ thống tin nội giảng viên; - Hệ thống thư viện trực tuyến Trong trình triển khai từ ngày 15/6/2017, nghiên cứu đạt kết khả quan, hệ thống hoạt động ổn định Từ cho thấy, ứng dụng phát triển sau sử dụng dịch vụ chứng thực tập trung Trung bình ngày hệ thống xử lý 4000 đến 5000 lượt chứng thực 7.2 Hướng phát triển Đề tài nghiên cứu hữu ích cho Trường, cơng ty doanh nghiệp lớn muốn phát triển hệ thống chứng thực tập trung cho đa tảng ứng dụng, nhằm quản lý tài khoản người dùng thuận tiện cho người sử dụng Lời cảm ơn Đề tài nghiên cứu hỗ trợ từ nguồn kinh phí nghiên cứu khoa học Trường Đại học Giao thông vận tải TP HCM (MS KH1633) Tài liệu tham khảo [1] J Bellamy-McIntyre, C Luterroth, G Weber, “OpenID and the enterprise: A model-based analysis of single sign-on authentication”, Proc IEEE Int Enterp Distrib Object Comput Work EDOC, tr 129–138, 2011 [2] M Jones, B Campbell, P Identity, C Mortimore, “JSON Web Token ( JWT ) Profile for OAuth Client Authentication and Authorization Grants”, 2014 [3] K D L andjames E Lewis, “Web Single Sign-On Authentication using SAML”, 2009 [4] R F Sari S Hidayat, “Integrating web server applications with LDAP authentication: Case study on human resources information system of UI”, 2006 Int Symp Commun Inf Technol Isc., tr 307–312, 2006 [5] G C c Shyue Ping Ong a,⇑, Shreyas Cholia b, Anubhav Jain b, Miriam Brafman b, Dan Gunter b K A P B, “The Materials Application Programming Interface (API): A simple, flexible and efficient API for materials data based on REpresentational State Transfer (REST) principles”, Comput Mater Sci 97, tr 209–215, 2015 Ngày nhận bài: 7/2/2020 Ngày chuyển phản biện: 12/2/2020 Ngày hoàn thành sửa bài: 4/3/2020 Ngày chấp nhận đăng: 11/3/2020 ... cầu thực tế, sở hạ tầng, mục đích sử dụng, từ xây dựng cho Nhà trường dịch vụ chứng thực tập trung, đem lại thuận tiện cho người quản lý người dùng cán bộ, giảng viên, sinh viên Như vậy, với tài. .. New) chọn cách đặt tên tài khoản người dùng có quy tắc, nhằm gợi nhớ cho người dùng Hệ thống chứng thực tập trung Đề tài nghiên cứu xây dựng quy trình vận hành hệ thống chứng thực tập dựa kiến... nhớ tài khoản mình, đổi mật phải đổi mật hệ thống phần mềm Phương pháp đồng hóa tài khoản Trong nghiên cứu tiến hành đồng tài khoản người dùng mối nhất, nơi lưu trữ tài khoản tập trung, xác thực