BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP HCM BÁO CÁO MÔN HỌC Đề tài: OPENID Mơn học: BẢO MẬT THƠNG TIN Chun ngành: MẠNG MÁY TÍNH Giảng viên hướng dẫn: ThS Văn Thiên Hoàng Sinh viên thực hiện: Trần Hoàng Nhật Nguyễn Đăng Khoa Huỳnh Nhật Trường Nguyễn Hoài Minh Vương Lớp: 10LDTHM1 TP Hồ Chí Minh, 5/2012 MỤC LỤC CHƯƠNG 1: TỞNG QUAN VỀ OPENID 1.1 Tổng quan OpenID dịch vụ định danh (Identify) chia sẻ, hệ thống đăng nhập lần khơng có tính tập trung, cho phép người sử dụng đăng nhập nhiều website khác định danh số, tránh việc sử dụng tài khoản mật khác cho website OpenID định chuẩn mở, miễn phí phân quyền cho phép người dùng điều khiển thông tin cá nhân cơng khai Internet Một OpenID dạng liên kết URL, URL tên miền website URL nhà cung cấp định danh OpenID Khi đăng nhập với tài khoản OpenID, bạn phải đăng nhập vào Nhà cung cấp dịch vụ định danh để kiểm tra tính hợp lệ tài khoản OpenID phương thức giúp bạn xác thực tài khoản đăng ký provider mà bạn tin tưởng cho phép người dùng thực việc đăng nhập vào lần sau 1.2 Lịch sử phát triển Phiên OpenID phát triển vào tháng năm 2005 Brad Fitzpatrick, tác giả trang web cộng đồng LiveJournal, làm việc cho cơng ty Six Apart, ban đầu có tên Yadis (“Yet another distributed identity system": hệ thống đăng nhập phân tán), gọi OpenID sau tên miền www.openid.net trao cho Six Apart để sử dụng cho dự án Tháng 6/2005, thảo luận người dùng cuối nhà phát triển từ công ty phần mềm NetMesh khả hợp tác OpenID LID (Một giao thức tương tự phát triển NetMesh) Kết hợp tác giao thức Yadis phát triển giữ tên gọi OpenID Giao thức OpenID công bố tháng 24/10/2005, sau hội thảo Internet Identity Workshop diễn vài ngày Tháng 12, nhà phát triển SXIP (Simple Extensible Identity Protocol) XRI (Một chuẩn nhận dạng Internet) bắt đầu tích hợp vào OpenID, thay nhận dạng URL ban đầu, OpenID phát triển thành chuận nhận dạng đầy đủ cho danh tính người sử dụng Phiên OpenID 2.0 xuất Ngày 31/1/2007, Symantec công bố hổ trợ OpenID trang dịch vụ sản phẩm Một tuần sau, ngày 6/2/2007, Microsoft kết hợp với JanRain, Sxip, VeriSign (Những tổ chức tham gia phát triển OpenID) tuyên bố hổ trợ OpenID xem xét khả tương tác OpenID MS CardSpace (Một phương thức nhận dạng Microsoft), với việc xem xét vấn đề bảo mật cho phát triển OpenID Giữa tháng 2, AOL hổ trợ thử nghiệm OpenID OpenID sau đại gia Yahoo, Google quan tâm, kéo theo mạng xã hội website có lượng người sử dụng lớn bắt đầu hổ trợ OpenID (Trở thành Provider WebApp hổ trợ OpenID) 1.3 Ứng dụng giải pháp công nghệ 1.3.1 Ứng dụng – Website, mạng xã hội, phần mềm lập trình, Ebank, Windows – Giúp người dùng dễ dàng đăng ký đăng nhập, thao tác xử lý nhanh đơn giản Hoàn toàn phụ thuộc vào việc lựa chọn nhà cung cấp dịch vụ từ phía người dùng tin cậy – Khả tích hợp, triển khai, chế quản lý bảo mật thông tin người dùng cao – Giải tốn lập trình nhanh (kết nối chứng thực qua nhà dịch vụ cho việc xử lý đăng nhập) mà không cần xây dựng chức xử lý đăng nhập cục – Giúp người dùng dễ dàng sử dụng nhiều ứng dụng khác với tài khoản – Cho phép hệ thống sử dụng tài khoản có trước từ bên ngồi dùng tài khoản tạo bên hệ thống: • Chứng thực qua email: Địi hỏi người dùng sau đăng kí tài khoản site phải kích hoạt tài khoản thơng qua email • Chứng thực tay: Tất tài khoản tạo người quản trị • Khơng chứng thực: Người dùng cần đăng kí tài khoản xong, không cần xác nhận qua email 1.3.2 Giải pháp OpenID giúp người dùng website xác thực quyền truy cập, cho phép người dùng đăng nhập vào ứng dụng web khác định danh số (Digital Indentity) Giúp thay thủ tục đăng ký, xác thực, đăng nhập truyền thống bước đăng nhập 1.4 Các thành phần hệ thống quản lý định danh Các hệ thống quản lý định danh đa dạng phong phú Mỗi hệ thống có danh sách thành phần, cách hoạt động, cách giao tiếp khác Tuy nhiên, hệ thống quản lý định danh thơng thường có thành phần: Hình 1.1 Các thành phần hệ thống định danh – Relying Party: dịch vụ sử dụng chế định danh để chứng thực Ví dụ, số trang web sử dụng chế đăng nhập người dùng để định danh trang zing, trang eplay Hiện có nhiều thành phần Relying Party mạng Phần lớn số hỗ trợ định danh hệ thống khác tài khoản email Yahoo hay Gmail Hình 1.2 Ví dụ thành phần Relying Party – Identity Provider (IdP): thành phần có nhiệm vụ quản lý thuộc tính định danh người dùng hệ thống IdP có chức truyền thơng tin cần thiết để thực chứng thực đến Relying Party sau xác định người dùng sử dụng dịch vụ Hiện có nhiều hệ thống tiếng xây dựng thành phần Identity Provider cho riêng dựa chế hệ thống OpenID Google, Yahoo… – Identity Selector (IS): thành phần trung gian hệ thống, cầu nối người dùng, Relying Party, Identity Provider Mọi hoạt động thành phần điều khiển trực tiếp người dùng 1.5 Quy trình hoạt động hệ thống quản lý định danh Hình 1.3 Quy trình hoạt động hệ thống quản lý định danh Quy trình hệ thống quản lý định danh minh họa Hình 1.3 bao gồm bước sau để thực trình chứng thực: – Bước 1: Người dùng cung cấp thông tin Identity Provider cho thành phần Identity Selector – Bước 2: Thành phần Identity Selector tự động giao tiếp với thành phần Relying Party Sau đó, Identity Selector truyền thơng tin Identity Provider người dùng cung cấp bước đến thành phần Relying Party – Bước 3: Thành phần Relying Party sử dụng thông tin người dùng cung cấp để kết nối với thành phần Identity Provider (thơng qua kênh truyền an tồn) Sau đó, Relying Party gởi danh sách tên thuộc tính cần thiết để thực định danh đến thành phần Identity Provider thơng qua kênh truyền an tồn thiết lập – Bước 4: Thành phần Identity Provider tạo thuộc tính cần định danh mà thành phần Relying Party yêu cầu bước Sau đó, Identity Provider ký xác nhận thơng tin tạo chữ ký Cuối cùng, Identity Provider truyền thông điệp ký Identity Selector – Bước 5: Identity Selector lên thông tin định danh tương ứng Sau đó, người dùng kiểm tra thơng tin xác nhận có truyền thuộc tính định danh đến Relying Party hay khơng – Bước 6: Các thuộc tính định danh truyền đến Relying Party người dùng xác nhận bước – Bước 7: Relying Party kiểm tra thuộc tính định danh trả kết cho người dùng CHƯƠNG 2: PHƯƠNG THỨC HOẠT ĐỘNG CỦA OPENID 2.1 Giao tiếp giữa các thành phần hệ thống OpenID OpenID cung cấp cho người dùng URI để đăng nhập vào Relying Party khác URI đóng vai trị thuộc tính định danh quản lý Identity Provider Sự giao tiếp thành phần hệ thống OpenID với URI địa Identity Provider thể hình 2.1 Hình 2.1 URI là địa chỉ của Identity Provider Tuy nhiên, URI không thiết phải địa Identity Provider Ví dụ, URI thật Identity Provider lưu máy khác hình 2.2 Trong trường hợp này, hệ thống phải sử dụng hệ thống Web Server Location of Identifier URI để xác định địa URI thật Identity Provider Hình 2.2 URI khơng phải là địa chỉ của Identity Provider 2.2 Cơ chế hoạt động của OpenID OpenID có hai chế giao tiếp Smart mode Dumb mode Hai chế dựa khả Relying Party Trong chế độ Smart mode, Relying Party có khả lưu lại khóa chia sẻ bí mật cho việc chứng thực sau Ngược lại, chế độ Dumb mode, Relying Party khơng có khả lưu trữ thông tin nên phải thực thêm số bước để hồn tất q trình chứng thực 2.2.1 Cơ chế Smart mode Quy trình định danh hệ thống OpenID chế độ Smart Mode chia làm quy trình sau: – Quy trình xác định thành phần Identity Provider – Quy trình gởi thuộc tính định danh – Quy trình kiểm tra thuộc tính định danh Quy trình xác định thành phần Identity Provider 2.2.1.1 Hình 2.3 Quy trình xác định thành phần Identity Provider Quy trình xác định thành phần Identity Provider gồm bước hình 2.3: – Bước 1.1: Người dùng nhập địa URL Relying Party vào Browser – Bước 1.2: Dựa vào URL người dùng nhập vào, Browser giao tiếp với thành phần Relying Party – Bước 1.3: Relying Party trả Browser trang đăng nhập có hỗ trợ OpenID có textbox yêu cầu người dùng nhập vào URI Identity Provider – Bước 1.4: Browser hiển thị trang đăng nhập cho người dùng – Bước 1.5: Người dùng điền URI Identity Provider vào Browser Sau điền vào URI, người dùng nhấn nút “Đăng nhập” – Bước 1.6: Browser chuyển thông tin URI người dùng nhập vào đến Relying Party Relying Party lấy thông tin URI người dùng nhập vào để xác định thành phần Identity Provider tương ứng URI người dùng nhập vào có hai loại: ... bình Sự đời giao thức trao đổi khóa Diffie-Hellman xem bước mở đầu cho lĩnh vực mã hóa khóa cơng khai Hình 2.10 Mơ hình trao đổi khóa Diffie-Hellman Diffie-Hellman thuật tốn dùng để trao đổi khóa... máy chủ SASL gửi phản ứng SASL phù hợp với client Ứng dụng tḥt toán Diffie-Hellman Mơ hình trao đổi khóa Diffie-Hellman Năm 1976, Whitfield Diffie Martin Hellman đưa giao thức để trao đổi... để bảo vệ tính bí mật liệu Tuy nhiên, Diffie-Hellman lại có ích giai đoạn trao đổi khóa bí mật thuật tốn mật mã đối xứng Thuật tốn trao đổi khóa Diffie-Hellman dựa phép logarit rời rạc Cho trước