Chƣơng 3 : XÂY DỰNG ỨNG DỤNG
3.4. Demo chƣơng trình
Giao diện chính của chƣơng trình:
Hình 3.10 Giao diện chƣơng trình. Nhập tên đăng nhập, mật khẩu, thông tin trạm đo:
Hình 3.11 Đăng nhập.
Quá trình xác thực diễn ra, quá trình này gồm có hai công đoạn chính là: 1. Xác thực client với server sử dụng kỹ thuật xác thực SSL. 2. Xác thực ngƣời dùng.
Nếu quá trình này thành công thì vào đƣợc chƣơng trình, không thì không đƣợc vào. Khi đăng nhập thành công thì chƣơng trình hiển thị hộp thoại yêu cầu nhập khóa bí mật. Việc nhập này có hai cách là nhập trực tiếp bằng bàn phím hoặc thông qua files khóa lƣu trong thiết bị lƣu trữ nhƣ USB, Memory Card…Việc nhập trực tiếp đòi hòi phải nhớ khóa bí mật và nếu khóa phức tạp thì việc nhập khóa sẽ rất khó khăn, đôi khi việc xác thực đúng khóa bí mật cũng là một vấn đề cần chú ý vì nếu nhập sai thì thông tin mã hóa hoặc giải mã phía server phục vụ cho việc hiển thị trên website sẽ không đúng hoặc không giải mã đƣợc, cho nên cách nhập khóa đƣợc lƣu trong thiết bị lƣu trữ sẽ khắc phục đƣợc điều này.
Hình 3.12 Lựa chọn cách nhập khóa bí mật.
Nếu bỏ qua bƣớc nhập khóa bí mật hoặc nhập không đúng (khóa bí mật sẽ không đƣợc xác thực) thì vẫn vào đƣợc chƣơng trình nhƣng sẽ không thể thực hiện đƣợc chức năng nào nhƣ đăng ký mới phƣơng tiện đến kiểm định hoặc đo khí thải của phƣơng tiện.
Màn hình đăng ký thông tin:
Trƣờng hợp khóa bí mật không đƣợc nhập. Màn hình hiển thị thông tin đăng ký sẽ là các thông tin chƣa đƣợc giải mã lấy từ cơ sở dữ liệu hiển thị trên màn hình:
Hình 3.13 Đăng ký thông tin phƣơng tiện mới chƣa giải mã.
Trƣờng hợp khóa bí mật đƣợc nhập. Màn hình hiển thị thông tin đăng ký sẽ là các thông tin đã đƣợc giải mã sau khi lấy thông tin đã đƣợc mã hóa từ cơ sở dữ liệu về client và giải mã hiển thị trên màn hình:
Hình 3.14 Đăng ký thông tin phƣơng tiện mới đã giải mã.
Sau khi đăng ký thông tin và tiến hành lƣu lại thì thông tin đăng ký sẽ đƣợc mã hóa và gửi qua WebService lên cục và tiến hành lƣu lại thông tin này.
Thông tin đƣợc mã hóa trong cơ sở dữ liệu:
Hình 3.15 Dữ liệu đƣợc bảo mật trong CSDL. Tiến hành đăng ký kiểm định:
Thông tin phƣơng tiện đã đăng ký:
Đối với trƣờng hợp chƣa nhập khóa bí mật thì do thông tin về biển số của phƣơng tiện đƣợc lƣu dƣới dạng mã hóa trong cơ sở dữ liệu cho nên ở đây giả sử biết đƣợc thông tin biển số đã đƣợc mã hóa của một phƣơng tiện bất kỳ thì khi nhập thông tin biển số (dạng đã mã hóa của phƣơng tiện nhƣ xHna9ja==) thì thông tin đăng ký của phƣơng tiện sẽ lấy ở cục về chƣa đƣợc giải mã đƣợc hiển thị.
Ngƣợc lại đối với trƣờng hợp khóa bí mật đƣợc nhập chính xác thì để tiến hành kiểm định thì chỉ việc nhập biển số (dạng đọc đƣợc nhƣ 34H7879) thì thông tin biển số sẽ đƣợc mã hóa bằng khóa bí mật và so sánh trong cơ sở dữ liệu, nếu đúng thì server sẽ trả về thông tin đăng ký của phƣơng tiện dƣới dạng mã hóa và thông tin này sau đó sẽ đƣợc giải mã bằng khóa bí mật để hiển thị trên màn hình.
Hình 3.17 Thông tin phƣơng tiện đã đăng ký chƣa giải mã.
Thông tin phƣơng tiện đã đăng ký là thông tin đƣợc lấy từ Cục (đã mã hóa) về Trạm, sau đó đƣợc giải mã để hiển thị.
Hình 3.18 Thông tin phƣơng tiện đã đăng ký đã giải mã.
Tƣơng tự, sau khi đo kiểm định khí thải thì thông tin về kết quả kiểm định cũng đƣợc mã hóa trƣớc khi gửi lên mạng qua WebService, sau đó thông tin mã hóa đƣợc gửi lên Cục và lƣu trong CSDL.
3.5. Tóm tắt
Chƣơng 3 ứng dụng một số giải pháp đƣợc nghiên cứu ở chƣơng 2 để xây dựng ứng dụng, đảm bảo một số yêu cầu cơ bản về bảo vệ thông tin (ở đây là bảo mật CSDL ứng dụng).
KẾT LUẬN 1. Tính năng của đề tài:
Bảo đảm An toàn và Bảo mật cho Trung tâm tích hợp dữ liệu là một vấn đề đã và đang đƣợc quan tâm. Luận văn đã nghiên cứu một số giải pháp đảm bảo an ninh bao gồm an toàn và bảo mật cho Trung tâm tích hợp dữ liệu và ứng dụng một trong số những giải pháp đó xây dựng ứng dụng đảm bảo an ninh cho chƣơng trình kiểm định khí thải cho Cục Đăng Kiểm Việt Nam. Trong khi tiến hành xây dựng ứng dụng thì kết quả phân tích dựa vào việc đi khảo sát thực trạng ứng dụng hiện tại tại trung tâm tích hợp dữ liệu Cục Đăng Kiểm, và với đề tài này có thể áp dụng đƣợc đối với dụng tại Cục Đăng Kiểm.
2. Kết quả đạt đƣợc:
Đã xây dựng đƣợc ứng dụng thỏa mãn một số yêu cầu đặt ra nhƣ: - Xác thực ứng dụng client với server.
- Bảo vệ ứng dụng truy cập CSDL.
- Bảo vệ dữ liệu trên đƣờng truyền mạng công cộng. - Bảo vệ dữ liệu tại CSDL.
- Các tính năng của chƣơng trình (cập nhật, đăng ký, gửi nhận thông tin,...).
3. Những hạn chế cần khắc phục:
Tuy chƣơng trình đã đạt đƣợc một số yêu cầu đặt ra. Nhƣng việc bảo vệ thông tin chƣa tiến hành triệt để nhƣ triển khai VPN để bảo vệ thông tin theo hƣớng truyền,... chƣơng trình chỉ dừng lại việc thiết lập bảo vệ CSDL riêng lẻ, chƣa có đồng bộ giữa các server CSDL.
4. Hƣớng phát triển của đề tài:
Mục đích của đề tài mới chỉ tập trung vào nghiên cứu một số vấn đề đảm bảo an toàn và bảo mật thông tin trong một trung tâm tích hợp dữ liệu nhỏ, ở đây là trung tâm của Cục Đăng kiểm. Trong tƣơng lai sẽ cải tiến các tính năng của chƣơng trình đáp ứng đƣợc một số vấn đề đã nêu trong phần hạn chế.
TÀI LIỆU THAM KHẢO Tiếng Việt
[1]. Trịnh Nhật Tiến (2011), Giáo trình An Toàn Dữ Liệu, Trƣờng Đại học Công nghệ, Đại học Quốc gia Hà Nội.
[2]. Lê Đình Duy (2003), “Tấn công kiểu SQL Injection tác hại và phòng tránh” , Khoa CNTT, Đai học KHTN TPHCM, tr.1-5.
[3]. Nguyễn Vƣơng Thịnh (2008), “Bài giảng Hệ quản trị cơ sở dữ liệu”, Trƣờng Đại học Hằng hải, tr. 4,7,8,9,10.
Tiếng Anh
[4]. William Stallings (2002), Cryptography and Network Security: Principles and Practice, 3rd ed. Prentice Hall.
[5]. Wenbo Mao (2003), Modern Cryptography: Theory And Practice, Prentice Hall PTR.
[6]. Scott Klein (2007), Professional WCF Programming .NET Development with Windows Communication Foundation. pp. 18-26
[7]. Microsoft (2002), Building Secure ASP.NET Applications, pp. 216-230 [8]. IndraniBalasundaram and Dr. E. Ramaraj (2011), “An Approach to Detect
and Prevent SQL Injection Attacks in Database Using Web Service”, IJCSNS International Journal of Computer Science and Network Security, VOL.11 No.1, January.
[9]. Meg Coffin Murray Kennesaw State University, Kennesaw, GA, USA (2010), “Database Security: What Students Need to Know”, Journal of Information Technology Education: Innovations in Practice, Volume 9.