Xỏc thực ngƣời dựng

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Vấn đề bảo mật cơ sở dữ liệu trong cơ sở dữ liệu phân tán (Trang 85 - 92)

Giải phỏp xõy dựng cú tớnh an toàn và bảo mật cao với cỏc cơ chế và cụng cụ an toàn tớch hợp đảm bảo cho hệ thống hoạt động an toàn và ổn định. Với cỏc cơ chế và cụng cụ bảo mật, hệ thống cú khả năng đảm bảo an toàn dữ liệu và độ bảo mật cao, trỏnh tỡnh trạng hệ thống bị hacker thõm nhập.

Do vậy, mục đớch chung nhất của việc bảo mật là trỏnh cho những ngƣời khỏc làm những cụng việc mà bạn khụng muốn trờn hệ thống ứng dụng hay cơ sở dữ liệu lƣu trữ trờn hệ thống . Hệ thống bảo mật và an toàn dữ liệu của hệ thống đƣợc xõy dựng dựa trờn một số cỏc nguyờn tắc:

- Đảm bảo sự bớ mật của thụng tin (Confidentiality): Hệ thống bảo mật phải bảo đảm thụng tin trong hệ thống khụng đƣợc phổ biến khi khụng đƣợc phộp. - Trỏnh đƣợc việc sửa đổi trỏi phộp thụng tin.

- Đảm bảo khả năng hiệu lực (Availability): Cú thể khởi động khi hệ thống cần.

- Khả năng xỏc nhận tớnh hợp lệ (Authentication): Cú khả năng xỏc định tớnh hợp lệ của ngƣời sử dụng, của hệ thống....

- Đảm bảo khả năng thừa nhận (Nonrepudiation): Đảm bảo rằng thụng tin đó đƣợc gửi đi và thụng tin đó đƣợc đọc

- Cú khả năng kiểm soỏt truy nhập (Access Control): Đảm bảo chỉ những ngƣời đƣợc phộp mới cú quyền truy nhập thụng tin.

- 84 -

Hỡnh 4.4. Mụ hỡnh xỏc thực truy cập hệ thống

Hệ thống bảo mật của mạng thụng tin đƣợc xõy dựng trờn cơ sở xỏc định cỏc yếu tố cú thể gõy nờn việc tấn cụng bất hợp phỏp vào mạng. Núi chung cú thể chia thành 4 loại tấn cụng bất hợp phỏp:

- Loại gõy nờn sự giỏn đoạn (Interruption): Tấn cụng vào khả năng hiệu quả, hiệu lực của hệ thống

- Loại tấn cụng vào hệ thống phũng chống của mạng (Interception): Tấn cụng vào khả năng giữ gỡn bớ mật của hệ thống

- Loại thay đổi thụng tin (Modification): Tấn cụng vào tớnh thống nhất của thụng tin

- Loại tấn cụng giả mạo (Fabrication): Tấn cụng vào khả năng xỏc nhận tớnh hợp lệ

IV.3.1.1. Lựa chọn giải phỏp

Hệ thống quản lý thụng tin Xuất nhập cảnh xõy dựng cơ chế xỏc thực (authentication), quản lý phiờn truy cập, cơ chế phõn quyền cũng nhƣ cỏc dịch vụ bảo mật khỏc. Điều này nhằm đảm bảo một cỏch chắc chắn rằng chỉ những ngƣời dựng đƣợc phộp mới cú thể truy cập vào cỏc thụng tin và dịch vụ đƣợc quản lý trờn hệ thống và chỉ truy cập đƣợc cỏc thụng tin nằm trong giới hạn quyền truy cập của mỡnh. Nhƣ vậy cỏc thụng tin nhạy cảm luụn đƣợc bảo vệ chống lại cỏc truy cập bất hợp phỏp.

- 85 -

chúng nhận ra rằng cỏc hệ thống xỏc thực 1 yếu tố đó khụng cũn đủ mạnh để bảo vệ thụng tin của hệ thống trƣớc cỏc tấn cụng ngày càng tinh vi của kẻ xấu trong điều kiện xu hƣớng phỏt triển hạ tầng thụng tin hiện nay ngày càng mạnh. Bờn cạnh đú, cỏc yờu cầu về phỏt hiện, ngăn chặn những hành vi lừa đảo, truy cập trỏi phộp để giảm thiểu

cỏc rủi ro cho hệ thống cũng nhƣ tiện lợi cho việc giỏm sỏt và quản trị hệ thống nờn yờu cầu đƣa ra giải phỏp tối ƣu, phự hợp với điều kiện ngành là vụ cựng cần thiết.

Thực tế là hiện nay cú rất nhiều cụng nghệ và phƣơng phỏp để xỏc thực danh tớnh trong giao dịch điện tử. Những phƣơng phỏp đú sử dụng mật khẩu, số định danh cỏ nhõn, chứng chỉ số sử dụng PKI, cỏc thiết bị bảo mật vật lý nhƣ Smart Card, mật khẩu dựng 1 lần (OTP), USB, yếu tố sinh trắc học để bảo vệ danh tớnh. Mức độ bảo mật phụ thuộc vào từng nhúm cụng nghệ và đối

tƣợng hay những giao dịch cụ thể cần đƣợc bảo vệ. Tớnh đảm bảo của phƣơng phỏp xỏc thực dựa trờn 3 yếu tố cơ bản sau:

1. Something a person knows: Thƣờng đƣợc sử dụng là số PIN, mật khẩu

2. Something a person has: Đƣợc hiểu nhƣ cỏc thiết bị vật lý: SmartCard, Token…

3. Something a person is: Đƣợc hiểu là những đặc tớnh sinh trắc học: Võn

tay, mống mắt

Phƣơng phỏp xỏc thực nhiều yếu tố sẽ đảm bảo an toàn hơn phƣơng phỏp xỏc thực 1 yếu tố để chống lại nguy cơ lừa đảo. Sử dụng từ 2 yếu tố trở nờn đƣợc gọi là Xỏc thực mạnh. Chi phớ của việc đầu tƣ vào những hệ thống xỏc thực cũng tăng dần theo mức độ bảo mật của hệ thống. Mặc dự vậy, một hệ thống xỏc thực thành cụng khụng chỉ dựa vào yếu tố cụng nghệ mà cũn phụ thuộc và rất nhiều những thành phần khỏc nhƣ: Cỏc chớnh sỏch bảo mật, cỏc hƣớng dẫn thực thi an toàn thụng tin, khả năng quản lý và giỏmsỏt hệ thống. Và đặc biệt một hệ thống cú

hiệu quả thỡ phải đƣợc ngƣời dựng chấp nhận (tớnh dễ sử dụng/giỏ thành), đảm bảo tốt tớnh bảo mật, tớnh mở rộng và tƣơng thớch với hệ thống ứng dụng hiện tại và tƣơng lai.

Xuất phỏt từ yờu cầu nghiệp vụ và điều kiện phỏt triển hạ tấng kỹ thuật, giải phỏp xỏc thực đƣợc nghiờn cứu và ứng dụng dựa trờn sự kết hợp giữa phƣơng

- 86 -

Xỏc thực 2 yếu tố (Two-factor authentication) là phƣơng phỏp xỏc thực yờu cầu yếu tố phụ thuộc vào nhau để chứng minh tớnh đỳng đắn của một danh tớnh. Xỏc thực 2 yếu tố dựa trờn những thụng tin mà ngƣời dựng biết (mật khẩu) cựng với những gỡ mà ngƣời dựng cú(SmartCard, Token,…) để chứng minh danh tớnh. Với hai yếu tố kết hợp đồng thời, tin tặc sẽ gặp rất nhiều khú khăn để đỏnh cắp đầy đủ cỏc thụng tin này. Nếu 1 trong 2 yếu tố bị đỏnh cắp cũng chƣa đủ để tin tặc sử dụng. Phƣơng phỏp này đảm bảo an toàn hơn rất nhiều so với phƣơng phỏp xỏc thực truyền thống dựa trờn 1 yếu tố là Mật khẩu. Do vậy, hệ thống sẽ cấp phỏt mỗi ngƣời sử dụng một user name/ password riờng và kốm theo một SmartCard trờn đú cú lƣu thụng tin về mó số cỏ nhõn - ID personal.

Bắt đầu ngay từ lớp xỏc thực chung, cho phộp xỏc thực ngƣời dựng ngay khi truy cập thụng qua username/password hoặc qua một trang bảo mật (thụng qua cơ chế truyền thụng bảo mật SSL, hỗ trợ cỏc mức bảo mật SSL 64-bit và 128-bit). Hệ thống đƣợc hỗ trợ nhiều cơ chế xỏc thực khỏc nhau. Khi ứng dụng nhận đƣợc một yờu cầu từ ngƣời sử dụng, tựy thuộc vào phƣơng phỏp xỏc thực nào đƣợc cấu hỡnh, mà ứng dụng sẽ đƣa ra phƣơng thức xỏc thực ngƣời dựng phự hợp. Cú thể kiểm tra xỏc thực trong cơ sở dữ liệu hệ thống hoặc từ một cơ sở dữ liệu ngƣời sử dụng bờn ngoài qua giao thức LDAP (Lightweight Directory Access Protocol)

Cỏc thụng tin, tài nguyờn trong hệ thống cú thể đƣợc bảo mật riờng rẽ và cũng cú thể đơn giản là khụng liệt kờ ra đối với những ngƣời dựng khụng đƣợc phộp, hoặc hƣớng ngƣời sử dụng khụng đƣợc phộp tới một trang ứng dụng cụ thể nào đú. Chỳng cũng cú thể đƣợc bảo vệ thụng qua cơ chế vai trũ đó đƣợc định nghĩa.

- 87 -

Hỡnh 4.5. Mụ hỡnh ứng dụng xỏc thực

IV.3.1.2. Nguyờn lý hoạt động của giải phỏp xỏc thực

Trong kiến trỳc của hệ bảo mật nõng cao Oracle, cho thấy rằng hệ bảo mật nõng cao Oracle thao tỏc tại tầng phiờn làm việc bờn trờn SSL và sử dụng TCP/IP tại tầng vận chuyển. Điều này cho phộp ngƣời dựng chạy SSL đồng thời với cỏc thủ tục hố trợ khỏc

Hỡnh sau đõy mụ tả một cấu hỡnh mà trờn đú SSL đƣợc sử dụng kết hợp với một số phƣơng phỏp xỏc thực khỏc đƣợs hỗ trợ bởi hệ bảo mật nõng cao Oracle

Hỡnh 4.6. Nguyờn lý hoạt động ứng dụng giải phỏp SSL

Trong trƣờng hợp này, SSL đƣợc sử dụng để thiết lập khởi tạo cỏi bắt tay (xỏc thực mỏy chủ) và một phƣơng phỏp xỏc thực khỏc đƣợc chọn để sử dụng xỏc thực mỏy trạm.

Smart card

- 88 -

2. SSL thực hiện một cỏi bắt tay trong khi đú mỏy chủ tự xỏc thực tới mỏy

trạm, cả trạm và mỏy chủ thụng qua loại mó hoỏ nào đƣợc sử dụng

3. Mỗi lần SSL hoàn tất việc bắt tay thành cụng, ngƣời dựng cố truy cập

vào CSDL

4. Mỏy chủ CSDL Oracle xỏc thực ngƣời dựng với mỏy chủ xỏc thực ko

sử dụng phƣơng phỏp xỏc thực của SSL mà sử dụng phƣơng phỏp xỏc thực RADIUS

5. Theo xỏc minh của mỏy chủ xỏc thực, Mỏy chủ CSDL oracle gỏn quyền

truy cập và cấp phộp cho ngƣời dựng, và sau đú ngƣời dựng cú thể truy cập vào cỏc ứng dụng trờn hệ thống một cỏch an toàn bằng cỏch sử dụng SSL

Về phớa ngƣời sử dụng, mỗi cỏn bộ sẽ sử dụng mó số thẻ cỏn bộ ID card, OTP(Mobile, ) hoặc Smart card để truy nhập.

IV.3.1.3. Qui trỡnh hoạt động

Khi ngƣời dựng sử dụng chế độ xỏc thực khụng đồng bộ, ngƣời dựng khụng cần đăng nhập tờn đăng nhập và mật khẩu tại chuỗi kết nối SQL*Plus. Thay vào đú một giao diện đồ hoạ với ngƣời dựng sẽ hỏi những thụng tin này sau trong tiến trỡnh xử lý.

Trỡnh tự xỏc thực :

- Ngƣời dựng cố gắng kết nối đến mỏy chủ CSDL oracle qua giao diện đăng nhập của hệ thống. Tại đõy, hệ thống yờu cầu ngƣời dựng đăng nhập thụng tin Tài khoản/ Mật khẩu sử dụng.

- 89 -

Mó tài khoản/Mật khẩu của Nhà đầu tƣ là chớnh xỏc, dịch vụ xỏc thực sẽ gửi Mó tài khoản tới Mỏy chủ xỏc thực.

- Mỏy chủ xỏc thực sẽ sinh ra yờu cầu xỏc nhận về số thẻ tƣơng ứng với Mó tài khoản nhận đƣợc và gửi yờu cầu về Mỏy chủ dịch vụ.

- Mỏy chủ dịch vụ sẽ chuyển yờu cầu xỏc thực tới mỏy chủ Web. - Mỏy chủ Web sẽ thể hiện yờu cầu đú trờn màn hỡnh ứng dụng.

- Ngƣời sử dụng, trƣớc khi trả lời yờu cầu thụng tin xỏc thực đú, cần phải xỏc thực lại ứng dụng của hệ thống cú phải là ứng dụng thật hay khụng bằng cỏch kiểm tra số serial trờn thẻ cỏn bộ đƣợc phỏt của mỡnh với số serial trờn mànhỡnh ứng dụng. Nếu chỳng giống nhau thỡ đú chớnh là ứng dụng thật đƣợc cung cấp bởi hệ thống của cơ quan Cục. Khi đú ngƣời dựng sẽ nhập giỏ trị về số thẻ cỏ nhõn tƣơng ứng. (Vớ dụ: 005 - 184).

- Thụng tin trả lời của ngƣời sẽ đƣợc chuyển tới mỏy chủ xỏc thực. Sau khi kiểm tra, mỏy chủ xỏc thực sẽ trả lại kết quả tới ngƣời dựng thụng qua Mỏy chủ dịch vụ và Mỏy chủ Web.

- Nếu kết quả kiểm tra đỳng thỡ Nhà đầu tƣ sẽ đăng nhập thành cụng và cú thể sử dụng cỏc ứng dụng của hệ thống (vớ dụ: Chƣơng trỡnh cấp phỏt hộ chiếu, chƣơng trỡnh cấp phỏt thị thực, …). Nếu sai thỡ Nhà đầu tƣ sẽ nhận đƣợc thụng bỏo và nguyờn nhõn sai.

Số Seri #005 Mó cỏ nhõn

- 90 -

Hỡnh 4.9: Trỡnh tự xỏc thực

Ƣu điểm

- Tăng thờm một tầng bảo mật an toàn, hiệu quả cho cụng đoạn chứng thực ngƣời dựng.

- Hạn chế rủi ro khi mật khẩu khi bị lộ.

- Mật khẩu đƣợc thay thế mới sau 3 lần đăng nhập sai mang lại giải phỏp an toàn tuyệt đối cho hệ thống ứng dụng.

- Mỗi Token Card chứa một thuật túan sinh mó và đồng bộ với hệ thống riờng biệt, trỏnh đƣợc việc hacker búc tỏch tỡm ra giải thuật sinh mó để chiếm quyền sử dụng.

- Hệ thống khả thi dễ triển khai và kiểm soỏt.

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Vấn đề bảo mật cơ sở dữ liệu trong cơ sở dữ liệu phân tán (Trang 85 - 92)

Tải bản đầy đủ (PDF)

(105 trang)