BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - BÙI ĐỨC HƯNG HỆ THỐNG QUẢN LÝ KHÓA TẬP TRUNG HỖ TRỢ XÁC THỰC LỚP SỬ DỤNG OTP CHO MẠNG CÁC MÁY CHỦ QUY MÔ LỚN LUẬN VĂN THẠC SĨ KỸ THUẬT CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN Hà Nội – 2018 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - BÙI ĐỨC HƯNG HỆ THỐNG QUẢN LÝ KHÓA TẬP TRUNG HỖ TRỢ XÁC THỰC LỚP SỬ DỤNG OTP CHO MẠNG CÁC MÁY CHỦ QUY MÔ LỚN LUẬN VĂN THẠC SĨ KỸ THUẬT CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS TS NGUYỄN LINH GIANG Hà Nội - 2018 Lời cảm ơn Đầu tiên, em xin gửi lời cảm ơn trân thành đến thầy giảng viên hướng dẫn PGS.TS Nguyễn Linh Giang, thầy giúp em định hướng chọn lựa đề tài nghiên cứu Nhờ có hướng dẫn, dìu dắt, động viên góp ý chun mơn thầy mà em hồn thành đề tài nghiên cứu Tiếp đến em muốn gửi lời cảm ơn tới tập thể thầy cô, anh chị nghiên cứu sinh Bộ môn Mạng máy tính, viện Cơng nghệ thơng tin Truyền thơng tạo điều kiện mơi trường, sơ vật chất, phịng thí nghiệm kinh nghiệm nghiên cứu để giúp em thực tính tốn, đo đạc đề tài luận văn Cuối cùng, em muốn gửi lời cảm ơn tới gia đình, bạn bè ln sát cánh để động viên, hỗ trợ hy sinh thầm lặng người để em tập trung hồn tồn vào cơng việc nghiên cứu Tóm tắt Với phát triển sở hạ tầng hệ thống mạng máy tính nguy an tồn thơng tin kèm theo cao, liệu không quản lý cách tập trung mà lưu trữ phân tán nhiều nơi, điều trở thành kẽ hở để tin tặc khai thác thông tin người dùng truy cập trái phép vào hệ thống máy chủ quan tổ chức Chính em lựa chọn đề tài cho luận văn thạc sĩ để xây dựng giải pháp cho phép tăng cường khả quản lý tập trung an tồn thơng tin cho hệ thống mạng máy tính Trong luận văn, em tập trung xem xét đánh giá hệ thống quản lý truy cập máy chủ nay, vốn hạn chế kiến trúc giải pháp gây khó khăn việc quản lý tập trung Song song với đó, em thực đề xuất xây dựng hệ thống cho phép quản lý dễ dàng thuận tiện với người dùng, đồng thời thêm vào nhân tố xác thực bổ sung bên cạnh chế xác thực truyền thống có để tăng mức độ bảo mật cho việc truy cập vào máy chủ Mục lục Chương : Nhiệm vụ đề tài………………………………………………………………………… Đặt vấn đề…………………………………………………………………………………… Phát biểu tốn, nguy cơng nghệ sử dụng………………………………………….9 Cấu trúc luận văn tổng kết chương….…………………………………………………… 10 Chương 2: Xây dựng giải pháp………………………………………………………………………… 11 Phân tích thực trạng giải pháp có nay………………………………………… 11 1.1 Các cách thức phổ biến để truy cập máy chủ…………………………………………… 11 1.1.1 Keybox…………………………………………………………………………… 11 1.1.2 Userify…………………………………………………………………………… 12 1.1.3 RCDevs Spankey………………………………………………………………… 13 1.2 Đánh giá…………………………………………………………………………………14 Cơ sở lý thuyết giải pháp………………………………………………………………….14 Xây dựng giải pháp kiến trúc tổng thể cho giải pháp……………………………………….16 3.1 Một số yêu cầu thực tế từ toán……………………………………………………… 16 3.2 Đề xuất mơ hình quản lý khóa tập trung BKPortal……………………………………….17 3.3 Mơ hình phân rã chức u cầu tính chi tiết hệ thống………………19 3.3.1 Chức đăng nhập bước……………………………………………………….19 3.3.2 Chức quản lý thống kê giao diện Dashboard…………………………… 19 3.3.3 Chức quản lý máy chủ……………………………………………………… 20 3.3.4 Chức quản lý người dùng…………………………………………………… 20 3.3.5 Chức quản lý quyền truy cập…………………………………………………20 3.3.6 Các chức BKPortal agent…………………………………………………20 3.4 Đặc tả chi tiết thiết kế hệ thống………………………………………………………… 20 3.5 Thiết kế sở liệu………………………………………………………………… 69 Tóm tắt tổng kết nội dung chương…………………………………………………………79 Chương : Phát triển thử nghiệm hệ thống………………………………………………………… 80 Triển khai cài đặt hệ thống ……………………………… ………………………………80 1.1 Cấu hình vật lý cài đặt hệ thống………………………………………………………….80 1.2 Kiến trúc triển khai hệ thống ………………………… ……………………………… 80 Kết cài đặt hệ thống………………………………………………………………………81 Thử nghiệm kịch công cách giải dạng công hệ thống……………86 Đo đạc hiệu hệ thống quản lý khóa………………………………………………….89 Tóm tắt tổng kết nội dung chương…………………………………………………………91 Chương : Kết luận………………………………………………………………………………………92 Đánh giá công việc làm được………………………………………………………… 92 Định hướng phát triển tương lai……………………………………………………… 92 Tài liệu tham khảo……………………………………………………………………………………… 93 Bảng mô tả thuật ngữ Thuật ngữ OTP Định nghĩa One Time Password, loại mật sử dụng lần sử dụng lớp bảo vệ thứ hai việc đăng nhập vào hệ thống SSH Secure Shell, shell bảo mật, hỗ trợ người dùng truy cập từ xa đến hệ thống thông qua giao diện dịng lệnh Người dùng Là người dùng thơng thường hệ thống Quản trị viên Quản trị hệ thống Là quản trị viên công ty tổ chức mà triển khai hệ thống vào sở hạ tầng mình, có quyền thực thao tác cơng ty quản lý Là người quản trị cao toàn hệ thống, có quyền thực thao tác tồn hệ thống Quản trị dự án Là người quản trị dự án đó, có quyền điều khiển nhóm máy chủ PI Privacy Idea, tảng mã nguồn mở giúp hỗ trợ nhiều phương thức xác thực toàn vẹn liệu STT Danh sách hình vẽ Hình Keybox…………………………………………………………………………………………… 12 Hình Userify…………………………………………………………………………………………… 13 Hình RCDevs Spankey………………………………………………………………………………… 14 Hình Kiến trúc hệ thống………………………………………………………………………………….17 Hình BKPortal Server………………………………………………………………………… ……… 18 Hình BKPortal linux agent……………………………………………………………………………….19 Hình Mơ hình phân rã chức năng……………………………………………………………………… 19 Hình Lược đồ Use case hệ thống…………………………………………………………………… 21 Hình Đăng nhâp vào BKPortal………………………………………………………………………… 22 Hình 10 Màn hình đăng nhập………………………………………………………………………………23 Hình 11 Biểu đồ luồng xử lý đăng nhập……………………………………………………………………24 Hình 12 Đăng nhập vào máy chủ………………………………………………………………………… 24 Hình 13 Biểu đồ luồng liệu đăng nhập máy chủ……………………………………………………… 26 Hình 14 Biểu đồ luồng liệu đăng nhập máy chủ offline…………………………………………………27 Hình 15 Xem Dashboard………………………………………………………………………………… 27 Hình 16 Màn hình chức xem Dashboard…………………………………………………………… 29 Hình 17 Biểu đồ luồng mơ tả chức xem Dashboard………………………………………………… 30 Hình 18 Quản lý thơng tin cá nhân…………………………………………………………………………30 Hình 19 Màn hình chức quản lý thơng tin cá nhân……………………………………………………31 Hình 20 Biểu đồ luồng xử lý thông tin cá nhân…………………………………………………………… 32 Hình 21 Thêm token OTP………………………………………………………………………………….33 Hình 22 hình thêm OTP………………………………………………………………………………34 Hình 23 Biểu đồ luồng xử lý thêm token OTP…………………………………………………………… 35 Hình 24 Thêm SSH token tạo cặp khóa mới………………………………………………………….35 Hình 25 hình chức thêm SSH token tạo cặp khóa………………………………………….36 Hình 26 Biểu đồ luồng xử lý thêm SSH token…………………………………………………………… 37 Hình 27 Thêm SSH token cách tải lên khóa cơng khai……………………………………………….37 Hình 28 hình chức tải lên khóa cơng khai……………………………………………………….39 Hình 29 Biểu đồ luồng xử lý tải lên khóa cơng khai……………………………………………………… 40 Hình 30 Xem danh sách dự án…………………………………………………………………………… 40 Hình 31 hình chức xem danh sách dự án……………………………………………………… 41 Hình 32 Biểu đồ luồng mơ tả xem danh sách dự án……………………………………………………… 42 Hình 33 Xem danh sách máy chủ………………………………………………………………………… 42 Hình 34 hình xem danh sách máy chủ……………………………………………………………… 43 Hình 35 Biểu đồ luồng xử lý xem danh sách máy chủ…………………………………………………… 44 Hình 36 Xem chi tiết máy chủ…………………………………………………………………………… 44 Hình 37 hình chức xem chi tiết máy chủ……………………………………………………… 45 Hình 38 Biểu đồ luồng xử lý xem chi tiết máy chủ…………………………………………………………46 Hình 39 Tìm kiếm………………………………………………………………………………………….46 Hình 40 Cài đặt agent………………………………………………………………………………………47 Hình 41 Biểu đồ luồng xử lý cài đặt agent………………………………………………………………….48 Hình 42 Tự động cập nhât agent………………………………………………………………………… 48 Hình 43 Biểu đồ luồng xử lý tự động cập nhật agent……………………………………………………….50 Hình 44 Tự động thêm người dùng vào danh sách truy cập……………………………………………… 50 Hình 45 Biểu đồ luồng xử lý thêm người dùng vào danh sách truy cập…………………………………….52 Hình 46 Cài đặt tự động agent cụm máy chủ………………………………………………………… 52 Hình 47 Biểu đồ luồng xử lý cài đặt tự động agent cụm máy chủ……………………………………54 Hình 48 Quản lý nhóm máy chủ……………………………………………………………………….55 Hình 49 Tạo nhóm máy chủ mới………………………………………………………………………… 55 Hình 50 hình chức tạo nhóm máy chủ mới………………………………………………………56 Hình 51 Biểu đồ luồng xử lý tạo nhóm máy chủ mới………………………………………………………57 Hình 52 Gán quyền truy cập máy chủ…………………………………………………………………… 57 Hình 53 hình gán quyền truy cập máy chủ…………………………………………………………….58 Hình 54 Biểu đồ luồng xử lý gán quyền truy cập máy chủ………………………………………………….60 Hình 55 Quản lý máy chủ………………………………………………………………………………….60 Hình 56 Thêm máy chủ mới……………………………………………………………………………… 61 Hình 57 hình thêm máy chủ mới…………………………………………………………………… 62 Hình 58 Biểu đồ luồng xử lý thêm máy chủ mới………………………………………………………… 63 Hình 59 Gán quyền truy cập máy chủ………………………………………………………………… ….63 Hình 60 hình gán người dùng vào máy chủ………………………………………………………… 64 Hình 61 Biểu đồ luồng xử lý gán quyền truy cập máy chủ………………………………………………….65 Hình 62 Chỉnh sửa SUDOER…………………………………………………………………………… 65 Hình 63 Biểu đồ luồng xử lý chỉnh sửa SUDOER………………………………………………………….66 Hình 64 Kích hoạt / Vơ hiệu hóa người dùng………………………………………………………………66 Hình 65 Thay đổi quyền người dùng………………………………………………………………… 67 Hình 66 Đồng với BKPortal Key Server từ Linux agent……………………………………………… 68 Hình 67 Biểu đồ luồng xử lý đồng người dùng………………………………………………………….69 Hình 68 Mơ hình ERD kiến trúc BKPortal…………………………………………………………….70 Hình 69 Kiến trúc triển khai hệ thống…………………………………………………………………… 80 Hình 70 Truy cập vào trang chủ Portal quản lý khóa tập trung ……………………………………… 81 Hình 71 Quản trị viên tạo máy chủ Portal để chuẩn bị đồng ……………………… ……… 82 Hình 72 Portal tự động sinh mã cài đặt agent cho máy chủ vật lý ……………………………………….…82 Hình 73 Agent cài đặt lên máy chủ tự động đồng với Portal quản lý khóa …………………… 83 Hình 74 Quản trị viên tạo token OTP cho người dùng truy cập vào hệ thống Portal máy chủ vật lý … 83 Hình 75 Gán khóa truy cập công khai tương ứng với người dùng ………………………………………….84 Hình 76 Agent thực cài đặt tự động lên máy chủ vật lý ……………………………………………….85 Hình 77 Thực ssh vào máy chủ, Portal thực bước xác thực yêu cầu OTP người dùng 86 Hình 78 Hiệu đồng 1000 máy chủ …………………………………………………………….89 Hình 79 Hiệu đồng 2000 máy chủ…………………………………………………………… 90 Hình 80 Hiệu đồng 3000 máy chủ…………………………………………………………… 91 Danh sách bảng Bảng Danh sách bảng liệu………………………………………………………………….…………71 Bảng account_active………………………………………………………………………….………….72 Bảng admin…………………………………………………………………………………….……… 72 Bảng company…………………………………………………………………………………….…… 72 Bảng config…………………………………………………………………………………….……… 73 Bảng fp_ability…………………………………………………………………………………….…….73 Bảng fp_role…………………………………………………………………………………….……….73 Bảng fp_role_ability…………………………………………………………………………………… 73 Bảng fp_user…………………………………………………………………………………….……….73 Bảng 10 fp_user_role………………………………………………………………………………………73 Bảng 11 group…………………………………………………………………………………….……….74 Bảng 12 machine…………………………………………………………………………………….…….74 Bảng 13 machine_localuser……………………………………………………………………………… 75 Bảng 14 machine_session………………………………………………………………………………….75 Bảng 15 machinetoken…………………………………………………………………………………….76 Bảng 16 passwordreset…………………………………………………………………………………….76 Bảng 17 project…………………………………………………………………………………….………76 Bảng 18 project_admin…………………………………………………………………………………….77 Bảng 19 realm…………………………………………………………………………………….……… 77 Bảng 20 token…………………………………………………………………………………….……… 77 Bảng 21 token_infor……………………………………………………………………………………….78 Bảng 22 user…………………………………………………………………………………….…………78 Bảng 23 user_machine_group…………………………………………………………………………… 79 ... - BÙI ĐỨC HƯNG HỆ THỐNG QUẢN LÝ KHÓA TẬP TRUNG HỖ TRỢ XÁC THỰC LỚP SỬ DỤNG OTP CHO MẠNG CÁC MÁY CHỦ QUY MÔ LỚN LUẬN VĂN THẠC SĨ KỸ THUẬT CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN NGƯỜI HƯỚNG... cầu bất minh lên hệ thống quản lý khóa 2. 2 Cơng nghệ sử dụng tốn Về mặt cơng nghệ, hệ thống đề xuất sử dụng công nghệ tảng Python kỹ thuật caching để giảm tải cho phía server Hệ thống hoạt động... thích hợp máy chủ hệ thống quản lý khóa bị gián đoạn (có thể bị hacker cơng) làm cho người dùng kết nối đến máy chủ vật lý nữa, điều làm gián đoạn người dùng máy chủ hệ thống quản lý khóa khơng