Đang tải... (xem toàn văn)
Máy vi tính ngày nay đã trở thành một phần tất yếu của cuộc sống. Chúng ta cần máy tính ở khắp mọi nơi, có thể là cho công việc, nghiên cứu hoặc trong bất kỳ lĩnh vực nào. Khi việc sử dụng máy tính trong cuộc sống hàng ngày của chúng ta tăng lên, các nguồn tài nguyên máy tính mà chúng ta cũng cần tăng lên. Đối với các công ty lớn như Google và Microsoft, khai thác các nguồn tài nguyên như vậy khi họ cần không phải là một vấn đề lớn. Nhưng khi nói đến doanh nghiệp nhỏ hơn, các nguồn tài nguyên lớn như vậy trở thành một yếu tố rất lớn tác động đến kinh doanh. Với những vấn đề lớn về cơ sở hạ tầng CNTT như máy hỏng, treo ổ cứng, lỗi phần mềm, v.v.. Đó thật sự là những vấn đề rất đau đầu cho các doanh nghiệp. Điện toán đám mây cung cấp một giải pháp cho tình trạng này. Điện toán đám mây là một cuộc dịch chuyển cách mạng trong đó việc tính toán sẽ được chuyển từ máy tính cá nhân và thậm chí cả các máy chủ ứng dụng doanh nghiệp, cá nhân đến một đám mây máy tính. Đám mây là một hình tượng để chỉ đến tập các máy chủ ảo hóa có thể cung cấp các nguồn tài nguyên của máy tính khác nhau cho khách hàng của họ. Người sử dụng của hệ thống này chỉ cần được quan tâm tới các dịch vụ máy tính đang được yêu cầu. Cái chi tiết bên dưới hệ thống của nó như thế nào thì được ẩn khỏi người dùng. Các dữ liệu và các dịch vụ cung cấp nằm trong các trung tâm dữ liệu của đám mây có khả năng mở rộng lớn và có thể được truy cập ở bất kỳ đâu, từ bất kỳ thiết bị được kết nối trên thế giới.
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN TÌM HIỂU CÁC CƠ CHẾ KIỂM SỐT TRUY CẬP TRÊN ĐIỆN TOÁN ĐÁM MÂY HÀ NỘI 2020 Nhận xét thầy cô : ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ……………………………………………………………………………………… PHỤ LỤC Lời nói đầu Chương 1: Tổng quan điện toán đám mây .5 1.Tổng quan lịch sử đời điện toán đám mây .5 Chương 2: Các chế kiểm soát truy cập điện toán đám mây 2.1 chế kiểm soát truy cập 2.1.1: Danh sách điều khiển truy cập (ACL) 2.1.2: Kiểm soát truy cập bắt buộc (MAC) .8 2.1.3: Kiểm soát truy cập tùy ý (DAC) 2.1.4: Kiểm sốt truy cập dựa vai trị (RBAC) .8 2.1.5: Kiểm soát truy cập dựa thuộc tính (ABAC) 2.2 phân tích chế kiểm sốt truy cập 13 Chương 3: Tổng kết 15 3|Page Lời nói đầu Máy vi tính ngày trở thành phần tất yếu sống Chúng ta cần máy tính khắp nơi, cho cơng việc, nghiên cứu lĩnh vực Khi việc sử dụng máy tính sống hàng ngày tăng lên, nguồn tài nguyên máy tính mà cần tăng lên Đối với công ty lớn Google Microsoft, khai thác nguồn tài nguyên họ cần vấn đề lớn Nhưng nói đến doanh nghiệp nhỏ hơn, nguồn tài nguyên lớn trở thành yếu tố lớn tác động đến kinh doanh Với vấn đề lớn sở hạ tầng CNTT máy hỏng, treo ổ cứng, lỗi phần mềm, v.v Đó thật vấn đề đau đầu cho doanh nghiệp Điện toán đám mây cung cấp giải pháp cho tình trạng Điện tốn đám mây dịch chuyển cách mạng việc tính tốn chuyển từ máy tính cá nhân chí máy chủ ứng dụng doanh nghiệp, cá nhân đến đám mây máy tính Đám mây hình tượng để đến tập máy chủ ảo hóa cung cấp nguồn tài nguyên máy tính khác cho khách hàng họ Người sử dụng hệ thống cần quan tâm tới dịch vụ máy tính yêu cầu Cái chi tiết bên hệ thống ẩn khỏi người dùng Các liệu dịch vụ cung cấp nằm trung tâm liệu đám mây có khả mở rộng lớn truy cập đâu, từ thiết bị kết nối giới 4|Page Chương 1: Tổng quan điện toán đám mây 1.Tổng quan Điện tốn đám mây cơng nghệ đầy hứa hẹn lên nhanh chóng nhiều cơng ty CNTT áp dụng số lợi ích mà cung cấp, chẳng hạn dung lượng lưu trữ lớn, chi phí đầu tư thấp, ảo hóa, chia sẻ tài nguyên, v.v lưu trữ lượng lớn liệu thông tin đám mây truy cập từ nơi, lúc sở trả tiền cho lần sử dụng Vì nhiều người dùng chia sẻ liệu tài nguyên lưu trữ đám mây nên cần phải cung cấp quyền truy cập vào liệu cho người dùng phép truy cập liệu Điều thực thông qua lược đồ kiểm soát truy cập cho phép người dùng xác thực ủy quyền truy cập liệu từ chối truy cập cho người dùng trái phép Trong báo này, đánh giá toàn diện tất lược đồ kiểm sốt truy cập có thảo luận với phân tích lịch sử đời điện toán đám mây Thuật ngữ điện toán đám mây xuất bắt nguồn từ ứng dụng điện toán lưới (grid computing) thập niên 1980, điện toán theo nhu cầu (utility computing) phần mềm dịch vụ (SaaS) Một cột mốc cho điện toán đám mây xuất Salesforce.com năm 1999, mà tiên phong khái niệm ứng dụng doanh nghiệp cung cấp thông qua trang web đơn giản Công ty dịch vụ mở đường cho chuyên gia công ty phần mềm thống để cung cấp ứng dụng Internet Sự phát triển Amazon Web Services năm 2002, cung cấp dịch vụ dựa đám mây bao gồm lưu trữ, tính tốn trí tuệ nhân tạo thơng qua Amazon Mechanical Turk Sau vào năm 2006, Amazon mắt điện toán đám mây Elastic Compute (EC2) dịch vụ web thương mại cho phép công ty nhỏ, cá nhân thuê máy tính mà để chạy ứng dụng máy tính “Amazon EC2/S3 dịch vụ sở hạ tầng điện tốn đám mây truy cập rộng rãi đầu tiên”, Jeremy Allaire, giám đốc điều hành Brightcove Brightcove 5|Page chuyên cung cấp SaaS tảng video trực tuyến đến Vương quốc Anh đài truyền hình báo chí Một cột mốc lớn đến năm 2009, với Web 2.0 bước tiến triển lớn, Google công ty khác bắt đầu cung cấp ứng dụng doanh nghiệp dựa trình duyệt, dịch vụ Google Apps Trong năm 2008, Nick Carr, chuyên gia công nghệ thông tin cộng tác với nhiều tờ báo chuyên ngành uy tín, thường nhận xét sáng kiến IBM gọi Dự án KittyHawk, dự án đưa vào sử dụng cơng nghệ có tên Blue Gene Dự án mong muốn tạo “máy tính quy mơ tồn cầu chia sẻ có khả lưu trữ tồn Internet ứng dụng” Từ khóa: - kiểm sốt truy cập dựa vai trị; - kiểm sốt truy cập dựa thuộc tính; - mã hóa dựa thuộc tính 6|Page Chương 2: Các chế kiểm soát truy cập điện toán đám mây 2.1 chế kiểm soát truy cập Kiểm soát truy cập chế mà người dùng cấp từ chối quyền truy cập vào liệu nhằm mục đích cung cấp bảo mật quyền riêng tư cho liệu bảo vệ liệu khỏi người dùng trái phép độc hại Cloud lưu trữ lượng lớn thông tin nhạy cảm người dùng chia sẻ người dùng khác đám mây Do đó, để bảo vệ thơng tin nhạy cảm khỏi người dùng độc hại, chế kiểm soát truy cập sử dụng Ở đây, người dùng tài nguyên định danh tính, dựa họ cấp từ chối quyền truy cập vào liệu Các phương thức gọi phương thức kiểm sốt truy cập dựa nhận dạng Ví dụ phương pháp Danh sách điều khiển truy cập (ACL), Hệ thống kiểm soát truy cập dựa người dùng (UBAC), Cơ chế điều khiển truy nhập dựa vai trò (RBAC) chế chế kiểm soát truy cập dựa thuộc tính (ABAC) Một lĩnh vực mà kiểm soát truy cập sử dụng rộng rãi chăm sóc sức khỏe y tế, tiếp cận thông tin nhạy cảm bệnh nhân cấp cho chuyên gia y tế, nhân viên bệnh viện, nhà nghiên cứu nhà hoạch định sách Kiểm soát truy cập đạt nhiều tầm quan trọng mạng xã hội trực tuyến 2.1.1: Danh sách điều khiển truy cập (ACL) Trong chế này, tên tất người dùng đăng ký với đặc quyền truy cập họ đối tượng hệ thống cụ thể trì danh sách Các đối tượng hệ thống thư mục tệp tệp riêng lẻ Các đặc quyền truy cập khả đọc, ghi thực thi tệp Danh sách kiểm soát truy cập thường tạo người quản trị hệ thống chủ sở hữu đối tượng Vì vậy, người dùng yêu cầu sử dụng liệu tài nguyên từ đám mây, danh sách kiểm tra để xác minh xem người dùng đăng ký hay chưa Nếu nằm danh sách, người dùng cấp quyền truy cập liệu tài nguyên Một số hệ điều hành sử dụng danh sách điều khiển truy cập 7|Page hệ thống dựa tảng Windows NT / 2000, UNIX, Novetw’s Netware Mỗi hệ điều hành sử dụng triển khai khác cho danh sách điều khiển truy cập Nhược điểm: Nó sử dụng môi trường tĩnh với số lượng người dùng hạn chế Mơi trường điện tốn đám mây hệ thống phân tán lớn sử dụng phương pháp kiểm soát truy cập để kiểm soát truy cập, chủ yếu số lượng người dùng động lớn, tham gia mơi trường cách động, số lượng lớn tài ngun cơng trình linh hoạt mạng 2.1.2: Kiểm soát truy cập bắt buộc (MAC) Đó nghị định sách tồn hệ thống phép truy cập Cơ chế dựa vào hệ thống để kiểm soát truy cập đó, người dùng cá nhân khơng thể thay đổi quyền truy cập [8] Nhược điểm: MAC không linh hoạt, dẫn đến thất vọng người dùng họ khơng thể thay đổi động sách truy cập Ngồi ra, khó tốn để thực 2.1.3: Kiểm soát truy cập tùy ý (DAC) Phương pháp tập trung vào khái niệm người dùng có quyền kiểm sốt tài ngun hệ thống Kiểm sốt truy cập đối tượng (ví dụ, tệp tài nguyên) hệ thống để lại theo ý chủ sở hữu đối tượng xác định quyền truy cập đối tượng đó, định người dùng cấp quyền truy cập vào tài nguyên người dùng bị hạn chế truy cập tài nguyên Nhược điểm: Vì người dùng phép điều khiển quyền truy cập đối tượng, chế làm cho hệ thống dễ bị công Trojan Horse việc bảo trì hệ thống ngun tắc bảo mật vơ khó khăn hệ thống DAC 2.1.4: Kiểm soát truy cập dựa vai trò (RBAC) Trong phương pháp này, sách bảo mật trì thơng qua cấp quyền truy cập cho vai trị thay cho người dùng cá nhân Ở đây, hệ thống gán vai trò cho tất người dùng vai trò gán tập hợp đặc quyền truy cập Do đó, vai trị xác định quyền truy cập người dùng vào hệ thống sở vai trị cơng việc Các vai trị gán cho người dùng dựa khái niệm đặc quyền tối thiểu, tức vai trò gán với số lượng 8|Page quyền tối thiểu cần thiết cho công việc cần thực Nếu, lúc nào, đặc quyền cho vai trị thay đổi, sau thêm xóa quyền Do đó, người dùng cần truy cập vào đám mây, xác thực danh tính phép truy cập liệu tài nguyên sở đặc quyền giao cho vai trò gán cho Điều dẫn đến việc bảo trì hệ thống tổng thể dễ dàng hiệu việc xác minh sách bảo mật Nhược điểm: Phương pháp phù hợp với hệ thống có số lượng người dùng vai trò hạn chế có thể, vai trị người dùng thay đổi Tuy nhiên, phương pháp mở rộng miền quản trị, vấn đề phát sinh, khó để định đặc quyền vai trị Do đó, phương pháp khơng thể sử dụng mơi trường điện tốn đám mây tính chất động Các phương thức kiểm sốt truy cập dựa danh tính, cụ thể ACL, MAC, DAC RBAC gọi phương thức kiểm soát dựa xác thực yêu cầu ghép nối chặt chẽ miền Những phương pháp cung cấp kiểm soát truy cập hạt thơ có hiệu hệ thống phân tán khơng thay đổi, nơi có nhóm người dùng có dịch vụ biết Vì phát triển mạng người dùng ln tăng lên, việc kiểm sốt truy cập dựa nhận dạng tìm thấy thiếu sức mạnh để hỗ trợ phát triển lớn Hơn nữa, IBAC vấn đề hệ thống phân tán khó khăn việc quản lý truy cập vào hệ thống nguồn lực có thể, lỗ hổng Để cung cấp khả kiểm sốt truy cập chi tiết mơi trường lớn, phân tán động đám mây, điều khiển truy cập dựa thuộc tính (ABAC) đề xuất 2.1.5: Kiểm sốt truy cập dựa thuộc tính (ABAC) Trong ABAC, người dùng gán thuộc tính quyền truy cập cấp cho người dùng có thuộc tính định cần thiết để truy cập liệu tài nguyên Người dùng cần có khả chứng minh họ sở hữu thuộc tính mà họ tuyên bố sở hữu Đối với mục đích này, phương pháp kiểm sốt truy cập dựa việc xác thực người dùng trang web thời điểm yêu cầu Theo cách đó, ABAC phần mở rộng RBAC với tính ủy quyền quyền sở hữu thuộc tính, phân cấp thuộc tính can thiệp thuộc tính ABAC phù hợp với môi trường đám mây bao gồm số lượng lớn đông 9|Page người dùng, dung lượng lưu trữ lớn cấu trúc mạng động linh hoạt ABAC bao gồm bốn yếu tố cụ thể là, người yêu cầu, tài nguyên, dịch vụ môi trường -Người yêu cầu: người gửi yêu cầu tới đám mây gọi hành động dịch vụ -Tài nguyên: Một nhiều dịch vụ hoạt động dựa -Dịch vụ: phần mềm phần cứng với giao diện dựa mạng xác định trước hoạt động -Môi trường: chứa thơng tin hữu ích cho việc đưa định truy cập Các sách truy cập xác định dựa thuộc tính tất bốn yếu tố Với yếu tố tiếp cận, kiểm soát truy cập đủ linh hoạt để có nhiều sách nhiều tên miền, là, khơng, khơng phải trường hợp với mơ hình điều khiển truy cập truyền thống, chẳng hạn ACL có sách bảo mật riêng Ngồi ra, cung cấp khả mở rộng cần thiết cho quy mô lớn hệ thống phân phối Kiểm sốt truy cập dựa vai trị (RBAC) Kiểm sốt truy cập dựa thuộc tính (ABAC) sử dụng mã hóa nguyên thủy gọi mã hóa dựa thuộc tính (ABE), cho phép liệu thơng tin mã hóa theo số sách truy cập sau lưu trữ đám mây Ở đây, người dùng có tập thuộc tính cung cấp khóa tương ứng Chỉ người dùng có thuộc tính phù hợp giải mã liệu thơng tin lưu trữ đám mây Hình 1: Ví dụ cấu trúc truy nhập ABAC Hình minh họa sách truy cập dạng truy cập, 10 | P a g e đại diện cho thuộc tính nút bên cổng logic, chẳng hạn AND OR Giả sử Alice bác sĩ từ bệnh viện Bangalore Ben bác sĩ từ bệnh viện Delhi Chỉ họ truy cập hồ sơ sức khỏe bệnh nhân Một sách truy cập biểu diễn dạng hàm Boolean sau: (DOC=ALICE ˄ HOSP=BLR) ˅ (DOC=BEN ˄ HOSP=DLH) Các cổng logic AND OR biểu diễn cách sử dụng ký hiệu ˄ ˅ tương ứng hàm Boolean Nói chung, sách truy cập có dạng: (a1 ˄ a2 ˅ a3) ˄ (a1 ˅ a2 ˅ a3) a1, a2 a3 thuộc tính ˄ ˅ cổng logic hỗ trợ hình thành sách truy cập điều khiển truy cập dựa thuộc tính Chính sách truy cập cho biết người dùng sở hữu thuộc tính thỏa mãn cấu trúc truy cập định phép truy cập liệu đám mây ABE có hai kiểu mã hóa : +Mã hóa dựa thuộc tính sách mã hóa (CP-ABE) + Mã hóa dựa thuộc tính sách khóa (KP-ABE) 11 | P a g e + Mã hóa dựa thuộc tính sách mã hóa (CP-ABE): Nó mã hóa nguyên thủy đầy hứa hẹn để kiểm soát truy cập chi tiết liệu chia sẻ có số ưu điểm bảo mật chống lại cơng mã hóa, khả áp dụng cho Mã hóa dựa thuộc tính sách (KP-ABE), kích thước khóa cơng khai mã có kích thước, vv Trong CP-ABE, thuộc tính liên quan đến cấu trúc truy cập khóa bí mật liên kết với mã dành cho lý lược đồ gọi Mật mã dựa thuộc tính sách mã hóa Đề án tương tự RBAC sử dụng để cung cấp kiểm soát truy cập nhiều ứng dụng hệ thống y học Trong lược đồ này, sách truy cập xác định chủ sở hữu liệu [11] Do đó, phù hợp cho ứng dụng điều khiển truy cập bao gồm bốn thời gian đa thức xác suất Thuật tốn Thiết lập, Mã hóa, Tạo khóa Giải mã Hình Hình 2: Mã hóa thuộc tính dựa sách mã hóa (CP-ABE) +Mã hóa dựa thuộc tính sách (KP-ABE): Đó mối quan tâm CP-ABE Trong sơ đồ này, mã gắn nhãn mã hóa với tập thuộc tính Mỗi khóa riêng tư liên kết với cấu trúc truy cập, định loại mã mà khóa giải mã KP-ABE đặt tên cấu trúc truy cập định khóa riêng Đề án 12 | P a g e bao gồm bốn thuật tốn, cụ thể là, Thiết lập, Mã hóa, Tạo khóa Giải mã Hình KP-ABE tìm thấy ứng dụng phân tích pháp lý an tồn hệ thống truyền hình trả tiền cho lần xem KP-ABE cung cấp kiểm soát truy cập liệu chi tiết hoạt động hiệu tạo / xóa tệp tài trợ người dùng Hình 3: Mã hóa thuộc tính dựa sách (KP-ABE) 2.2 phân tích chế kiểm sốt truy cập Cơ chế Quản lí Nhược điểm Điều khiển truy cập theo danh sách (ACL) Người quản trị hệ thống Kiểm soát truy cập bắt buộc (MAC) Hệ thống 13 | P a g e Giới hạn số lượng người sử dụng, khơng có khả mở rộng, không linh hoạt Giới hạn số lượng người sư dụng, khơng Ứng dụng Windows NT/2000,nền tảng UNIX, Novell’s Netware Chính phủ ứng dụng quân ứng dụng linh hoạt, khó thực Kiểm sốt truy cập tùy ý (DAC) Dữ liệu chủ Dễ nhạy cảm sở hữu với cơng Trojan horse, khó khăn việc bảo trì xác minh Kiểm sốt truy Vai trò hệ Giới hạn số cập dựa vai thống lượng người sư trị (RBAC) dụng, khơng có khả mở rộng Kiểm sốt truy Các thuộc tính Khơng có nhiều cập dựa cơng việc thuộc tính thực (ABAC) nêu nhiệm vụ liệu quan trọng Cơ sở liệu ứng dụng web Tổ chức y tế, học viện Tổ chức phủ, hệ thống chăm sóc sức khỏe, bảo hiểm, viễn thông tàu sân bay Bảng :các đặc điểm chế kiểm soát truy cập Bảng liệt kê phương pháp kiểm soát truy cập thảo luận trước khảo sát văn học cung cấp phân tích tồn diện họ cho người có trách nhiệm cung cấp chế kiểm sốt truy cập phương pháp.Nó liệt kê nhược điểm phương pháp với ứng dụng kèm 14 | P a g e Chương 3: tổng kết Trong báo cáo này, đánh giá tồn diện phương pháp kiểm sốt truy cập khác thực hiện, từ đó, thấy chế kiểm sốt truy cập đóng vai trị quan trọng việc cung cấp bảo mật cho liệu lưu trữ đám mây.Ngoài ra, chế cần phải linh hoạt khả mở rộng qua nhiều tên miền.Kiểm sốt truy cập dựa thuộc tính cung cấp tính linh hoạt khả mở rộng thông tin nhạy cảm đám mây với tính bảo mật xác thực người dùng.Do đó, mã hóa dựa thuộc tính (ABE) tìm thấy chế kiểm sốt quyền truy cập thích hợp mơi trường điện tốn đám mây.Ngồi ra, khu vực lên quan tâm lĩnh vực nghiên cứu điện toán đám mây 15 | P a g e ... 2: Các chế kiểm soát truy cập điện toán đám mây 2.1 chế kiểm soát truy cập 2.1.1: Danh sách điều khiển truy cập (ACL) 2.1.2: Kiểm soát truy cập bắt buộc (MAC) .8 2.1.3: Kiểm. .. dựa thuộc tính 6|Page Chương 2: Các chế kiểm soát truy cập điện toán đám mây 2.1 chế kiểm soát truy cập Kiểm soát truy cập chế mà người dùng cấp từ chối quyền truy cập vào liệu nhằm mục đích cung... khiển truy cập (ACL), Hệ thống kiểm soát truy cập dựa người dùng (UBAC), Cơ chế điều khiển truy nhập dựa vai trò (RBAC) chế chế kiểm soát truy cập dựa thuộc tính (ABAC) Một lĩnh vực mà kiểm sốt truy