An ninh trong điện toán đám mây
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.57 MB, 85 trang )
Đồ án tốt nghiệp đại học
NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
Điểm hướng dẫn: ……(bằng số)
……(bằng chữ)
Hà Nội, ngày …… tháng …… năm 2012
Giảng viên hướng dẫn
TS.Vũ Trường Thành
VŨ THỊ THU HÀ _ D08VT2
Đồ án tốt nghiệp đại học
NHẬN XÉT CỦA CÁN BỘ PHẢN BIỆN
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
Hà Nội, ngày …… tháng …… năm 2012
Cán bộ phản biện
(Ký, ghi rõ họ tên)
VŨ THỊ THU HÀ _ D08VT2
Đồ án tốt nghiệp đại học MỤC LỤC
MỤC LỤC
MỤC LỤC
DANH MỤC HÌNH VẼ
DANH MỤC BẢNG BIỂU
THUẬT NGỮ VIẾT TẮT
VŨ THỊ THU HÀ _ D08VT2
Đồ án tốt nghiệp đại học DANH MỤC HÌNH VẼ
VŨ THỊ THU HÀ _ D08VT2
Đồ án tốt nghiệp đại học DANH MỤC BẢNG BIỂU
VŨ THỊ THU HÀ _ D08VT2
Đồ án tốt nghiệp đại học THUẬT NGỮ VIẾT TẮT
THUẬT NGỮ VIẾT TẮT
ACK Acknowledgment Xác nhận
AIS Administrative Information System
Hệ thống thông tin điều hành
BCC Business Cooperation Contract Hợp đồng hợp tác kinh doanh
CIFS Common Internet File System Giao thức truyền thông hệ thống file
DBMS Database Management System Hệ thống quản lý cơ sở dữ liệu
DC DataCenter
Trung tâm dữ liệu
DDoS Distributed Denial Of Service Từ chối dịch vụ phân tán
DHCP Dynamic Host Configuration Protocol Giao thức cấu hình Host động
DNS Domain Name System Hệ thống tên miền
DoS Denial of Service Từ chối dịch vụ
DRDoS Distributed Reflection Denial of Service Từ chối dịch vụ phản xạ phân tán
HTTP Hypertext Transfer Protocol Giao thức truyền tải siêu văn bản
IaaS Infrastucture as a Service Dịch vụ cơ sở hạ tầng
IDS Intrusion Detection System Hệ thống phát hiện xâm nhập
IPS Intrusion Prevention System Hệ thống chống xâm nhập
IT Information Technology Công nghệ thông tin
ITIL IT Infrastructure Library Agreement
Thư viện cơ sở hạ tầng công nghệ
thông tin
ISO
International Organization for Standardization
Tổ chức chuẩn hóa quốc tế
ISCSI Internet Small Computer System Interface
Giao diện hệ thống máy tính nhỏ
internet
LAN Local Area Network Mạng cục bộ
LDAP Lightweight Directory Access Protocol
Giao thức truy cập nhanh các dịch vụ
thư mục
MAC Media Access Control Điều khiển truy nhập môi trường
VŨ THỊ THU HÀ _ D08VT2
Đồ án tốt nghiệp đại học THUẬT NGỮ VIẾT TẮT
MD4 Message Digest 4 Tóm tắt thông điệp 4
NAS Network Attached Storage Mạng lưu trữ đính kèm
NIST National Institute of Standards and
Technology
Viện tiêu chuẩn và công nghệ quốc
gia Mỹ
NFS Network File System Hệ thống file mạng
PaaS Platform as a Service Dịch vụ nền tảng
POP3 Post Office Protocol Version 3 Giao thức bưu điện
TCP Transmission Control Protocol Giao thức điều khiển truyền vận
URL Uniform Resource Locator Đường dẫn
SAN Storage Area Network Khu vực lưu trữ mạng
SaaS Software as a Service Dịch vụ phần mềm
SIP Session Initialize Protocol Khởi tạo phiên giao thức
SLA Service Level Agreement Hợp đồng cung cấp dịch vụ
SYN Synchronize Đồng bộ hóa
RDC Remote Desktop Connection Kết nối máy tính để bàn từ xa
VLAN Virtual Local Area Network Mạng LAN ảo
VNPT
Tập đoàn Bưu chính Viễn thông Việt
Nam
VPN Virtual Private Network Mạng riêng ảo
VRS VNPT Reports System
Hệ thống báo cáo điều hành
WAN Wide Area Network Mạng diện rộng
VŨ THỊ THU HÀ _ D08VT2
Đồ án tốt nghiệp đại học LỜI MỞ ĐẦU
LỜI MỞ ĐẦU
Hiện nay, điện toán đám mây (“Cloud Computing”) đã và đang trở thành một
trong những thuật ngữ được nhắc đến nhiều nhất trong ngành công nghệ thông tin.
Thuật ngữ “Cloud Computing” được bắt nguồn từ ý tưởng đưa tất cả mọi vấn đề
như dữ liệu, phần mềm, dữ liệu tính toán,… lên trên mạng Internet. Chúng ta sẽ
không cần phải cài đặt phần mềm nữa mà tất cả được tập trung trong các trung tâm
dữ liệu hoặc phân tán ở trên mạng. Các máy chủ sẽ cung cấp các dịch vụ, giúp cho cơ
quan, tổ chức, doanh nghiệp có thể quản lý dữ liệu dễ dàng hơn, và họ sẽ chỉ trả chi
phí cho lượng sử dụng dịch vụ mà không cần phải đầu tư nhiều vào cơ sở hạ tầng cũng
như quan tâm nhiều đến công nghệ. Tuy nhiên, vấn đề đặt ra là làm thế nào để ngăn
ngừa các mối đe dọa từ internet, từ mạng nội bộ, từ con người với những dữ liệu ở dạng
số với yêu cầu cần phải bảo vệ? Bảo mật dữ liệu và rủi ro bảo mật đã trở thành mối
quan tâm hàng đầu của người sử dụng. Từ vấn đề trên, đồ án “An ninh trong điện
toán đám mây” tìm hiểu những kiến thức cơ bản về điện toán đám mây và vấn đề an
ninh, bảo mật thông tin trong điện toán đám mây.
Đồ án bao gồm những nội dung sau:
• Chương 1: Tổng quan về điện toán đám mây
• Chương 2: An ninh trong mạng internet
• Chương 3: An ninh và bảo mật trong điện toán đám mây
• Chương 4: Vmware_giải pháp cho cloud computing
Em xin chân thành cảm ơn TS.Vũ Trường Thành đã trực tiếp hướng dẫn, chỉ
bảo, định hướng và giúp đỡ tận tình trong suốt quá trình thực hiện đồ án này. Trong
quá trình tìm hiểu và nghiên cứu đồ án mặc dù đã có nhiều cố gắng, nhưng do khả
năng còn nhiều hạn chế nên chắc chắn đồ án không thể tránh khỏi những sai sót. Em
rất mong nhận được sự phê bình và góp ý của thầy cô trong hội đồng chấm đồ án.
Em xin chân thành cảm ơn!
Hà Nội, ngày 4 tháng 12 năm 2012.
Sinh viên thực hiện:
Vũ Thị Thu Hà
VŨ THỊ THU HÀ _ D08VT2 8
Đồ án tốt nghiệp đại học CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
1.1 Định nghĩa cloud computing – điện toán đám mây
Ngày nay, đối với các công ty, doanh nghiệp, việc quản lý tốt, hiệu quả dữ liệu
của riêng công ty cũng như dữ liệu khách hàng, đối tác là một trong những bài toán
được ưu tiên hàng đầu và đang không ngừng gây khó khăn cho họ. Để có thể quản lý
được nguồn dữ liệu đó, ban đầu các doanh nghiệp phải đầu tư, tính toán rất nhiều loại
chi phí như chi phí cho phần cứng, phần mềm, mạng, chi phí cho quản trị viên, chi phí
bảo trì, sửa chữa,… Ngoài ra họ còn phải tính toán khả năng mở rộng, nâng cấp thiết
bị, phải kiểm soát việc bảo mật dữ liệu cũng như tính sẵn sàng cao của dữ liệu.
Từ một bài toán điển hình như vậy, chúng ta thấy được rằng nếu có một nơi tin
cậy giúp các doanh nghiệp quản lý tốt nguồn dữ liệu đó, các doanh nghiệp sẽ không
còn quan tâm đến cơ sở hạ tầng, công nghệ mà chỉ tập trung chính vào công việc kinh
doanh của họ thì sẽ mang lại cho họ hiệu quả và lợi nhuận ngày càng cao hơn.
Thuật ngữ “cloud computing” còn được bắt nguồn từ ý tưởng đưa tất cả mọi
thứ như dữ liệu, phần mềm, tính toán, … lên trên mạng Internet. Chúng ta sẽ không
còn trông thấy các máy PC, máy chủ của riêng các doanh nghiệp để lưu trữ dữ liệu,
phần mềm nữa mà chỉ còn một số các “máy chủ ảo” tập trung ở trên mạng. Các “máy
chủ ảo” sẽ cung cấp các dịch vụ giúp cho doanh nghiệp có thể quản lý dữ liệu dễ dàng
hơn, họ sẽ chỉ trả chi phí cho lượng sử dụng dịch vụ của họ, mà không cần phải đầu tư
nhiều vào cơ sở hạ tầng cũng như quan tâm nhiều đến công nghệ. Xu hướng này sẽ
giúp nhiều cho các công ty, doanh nghiệp vừa và nhỏ mà không có cơ sở hạ tầng
mạng, máy chủ để lưu trữ, quản lý dữ liệu tốt. Vậy “cloud computing” là gì?
Định nghĩa:
• Theo Cisco System: “Điện toán đám mây là một khái niệm rộng, nhưng
theo quan điểm của chúng tôi, nó tương quan với các phương thức để
cung cấp cơ sở hạ tầng, dịch vụ và phần mềm thông qua mạng theo nhu
cầu, phù hợp với quy mô. Điện toán đám mây dựa trên một nền tảng ảo
hóa, trong đó các kho tài nguyên (ảo hóa) được tổ chức một cách linh
động vì lợi ích của các ứng dụng và phần mềm. Điều này sẽ làm thay đổi
cách thức các ứng dụng được viết ra và cung cấp” .
• Theo NIST (Viện tiêu chuẩn và công nghệ quốc gia Mỹ): “Điện toán đám
mây là một mô hình để hỗ trợ truy cập qua mạng thuận tiện, theo nhu cầu
vào một kho tài nguyên điện toán có thể định cấu hình được (như là tài
nguyên mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ) có thể được cung
cấp và thu hồi nhanh chóng với công sức quản lý hoặc tương tác của nhà
quản trị ở mức độ tối thiểu. Mô hình điện toán đám mây đảm bảo độ sẵn
sàng và được cấu thành từ năm đặc tính cần thiết, ba mô hình cung cấp
và bốn mô hình triển khai”.
VŨ THỊ THU HÀ _ D08VT2 9
Đồ án tốt nghiệp đại học CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
1.2 Các mô hình triển khai của điện toán đám mây
Các nguồn điện toán khổng lồ như phần mềm, dịch vụ sẽ nằm tại các máy
chủ ảo (đám mây) trên Internet thay vì trong máy tính gia đình và văn phòng để mọi
người kết nối và sử dụng mỗi khi họ cần.
Hiện nay, các nhà cung cấp đưa ra nhiều dịch vụ của điện toán đám mây theo
nhiều hướng khác nhau, đưa ra các chuẩn riêng cũng như cách thức hoạt động khác
nhau. Do đó, việc tích hợp các cloud để giải quyết một bài toán lớn của khách hàng
vẫn còn là một vấn đề khó khăn. Chính vì vậy, các nhà cung cấp dịch vụ đang có xu
hướng tích hợp các đám mây lại với nhau thành “sky computing”, đưa ra các chuẩn
chung để giải quyết các bài toán lớn của khách hàng.
Hình 1.1: Mô hình tổng quan của Cloud Computing
1.2.1 Đám mây công cộng - Public cloud
Đám mây công cộng là các dịch vụ đám mây được một bên thứ ba (người bán)
cung cấp. Chúng tồn tại ngoài tường lửa công ty và chúng được lưu trữ đầy đủ và được
nhà cung cấp đám mây quản lý.
Các đám mây công cộng cố gắng cung cấp cho người tiêu dùng với các phần tử
công nghệ thông tin tốt nhất. Cho dù đó là phần mềm, cơ sở hạ tầng ứng dụng hoặc cơ
sở hạ tầng vật lý, nhà cung cấp đám mây chịu trách nhiệm về cài đặt, quản lý, cung
cấp và bảo trì. Khách hàng chỉ chịu phí cho các tài nguyên nào mà họ sử dụng, vì thế
cái chưa sử dụng được loại bỏ.
Tất nhiên điều này liên quan đến chi phí. Các dịch vụ này thường được cung
cấp với "quy ước về cấu hình," nghĩa là chúng được phân phối với ý tưởng cung cấp
các trường hợp sử dụng phổ biến nhất. Các tùy chọn cấu hình thường là một tập hợp
con nhỏ hơn so với những gì mà chúng đã có nếu nguồn tài nguyên đã được người tiêu
VŨ THỊ THU HÀ _ D08VT2 10
Đồ án tốt nghiệp đại học CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
dùng kiểm soát trực tiếp. Một điều khác cần lưu ý là kể từ khi người tiêu dùng có
quyền kiểm soát một chút trên cơ sở hạ tầng, các quy trình đòi hỏi an ninh chặt chẽ và
tuân thủ quy định dưới luật không phải lúc nào cũng thích hợp cho các đám mây
chung.
1.2.2 Đám mây riêng - Private cloud
Đám mây riêng là các dịch vụ đám mây được cung cấp trong doanh nghiệp.
Những đám mây này tồn tại bên trong tường lửa công ty và chúng được doanh nghiệp
quản lý.
Các đám mây riêng đưa ra nhiều lợi ích giống như các đám mây chung thực
hiện với sự khác biệt chính: doanh nghiệp có trách nhiệm thiết lập và bảo trì đám mây
này. Sự khó khăn và chi phí của việc thiết lập một đám mây bên trong đôi khi có thể
có chiều hướng ngăn cản việc sử dụng và chi phí hoạt động liên tục của đám mây có
thể vượt quá chi phí của việc sử dụng một đám mây chung.
Các đám mây riêng đưa ra nhiều lợi thế hơn so với loại chung. Việc kiểm soát
chi tiết hơn trên các tài nguyên khác nhau đang tạo thành một đám mây mang lại cho
công ty tất cả các tùy chọn cấu hình có sẵn. Ngoài ra, các đám mây riêng là lý tưởng
khi các kiểu công việc đang được thực hiện không thiết thực cho một đám mây chung,
do đúng với các mối quan tâm về an ninh và về quản lý.
1.2.3 Đám mây lai- Hybrid cloud
Đám mây lai là một sự kết hợp của các đám mây công cộng và riêng. Những
đám mây này thường do doanh nghiệp tạo ra và các trách nhiệm quản lý sẽ được phân
chia giữa doanh nghiệp và nhà cung cấp đám mây công cộng. Đám mây lai sử dụng
các dịch vụ có trong cả không gian công cộng và riêng.
Các đám mây lai là câu trả lời khi một công ty cần sử dụng các dịch vụ của cả
hai đám mây riêng và công cộng. Theo hướng này, một công ty có thể phác thảo các
mục tiêu và nhu cầu của các dịch vụ và nhận được chúng từ đám mây công cộng hay
riêng, khi thích hợp. Một đám mây lai được xây dựng tốt có thể phục vụ các quy trình
nhiệm vụ-tới hạn, an toàn, như nhận các khoản thanh toán của khách hàng, cũng như
những thứ là không quan trọng bằng kinh doanh, như xử lý bảng lương nhân viên.
Hạn chế chính với đám mây này là sự khó khăn trong việc tạo ra và quản lý có
hiệu quả một giải pháp như vậy. Phải có thể nhận được và cung cấp các dịch vụ lấy từ
các nguồn khác nhau như thể chúng có nguồn gốc từ một chỗ và tương tác giữa các
thành phần riêng và chung có thể làm cho việc thực hiện thậm chí phức tạp hơn nhiều.
Do đây là một khái niệm kiến trúc tương đối mới trong điện toán đám mây, nên cách
thực hành và các công cụ tốt nhất về loại này tiếp tục nổi lên và bất đắc dĩ chấp nhận
mô hình này cho đến khi hiểu rõ hơn.
1.2.4 Đám mây cộng đồng- Community Cloud
Đám mây cộng đồng là đám mây liên quan đến việc chia sẻ cơ sở hạ tầng giữa
các tổ chức, các nhóm đối tượng có mục đích chia sẻ cùng một nội dung. Ví dụ như
VŨ THỊ THU HÀ _ D08VT2 11
Đồ án tốt nghiệp đại học CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
các tổ chức hay một nhóm đối tượng thuê những đám mây riêng để chia sẻ chung
những nôi dung về âm nhạc, phim ảnh, công nghệ, quân sự…
1.3 Các đặc tính của điện toán đám mây
5 đặc tính cơ bản (Essential characteristics):
• On-demand self-service – Tự phục vụ theo nhu cầu:
Khách hàng có thể tự tăng cường năng lực tính toán, ví dụ như thời gian server
hay không gian lưu trữ trên network, một cách hoàn toàn tự động dựa theo nhu cầu mà
không cần phải thương lượng với nhà cung cấp dịch vụ. Đặc tính này thường được biết
đến với tên gọi Pay-as-you-go
• Broad network access- Truy cập thông qua mạng băng thông rộng.
Truy cập mạng băng rộng. Khả năng tính toán được cung cấp thông qua
network và được truy cập thông qua một cơ cấu chuẩn, mà có thể dung bằng nhiều nền
tảng client khác nhau (như mobile phones, laptops, và PDA)
• Resource pooling – Quay vòng tài nguyên.
Tài nguyên điện toán của nhà cung cấp được quay vòng để phục vụ cho nhiều
khách hàng sử dụng một mô hình multi-tenant, với các tài nguyên thực và ảo hóa khác
nhau được cấp phát và tái cấp phát một cách động (dynamically) tùy thuộc vào yêu
cầu của khách hàng. Không phụ thuộc vị trí … khách hàng về tổng quát không có
quyền hay thậm chí là không có hiểu biết về vị trí chính xác của các tài nguyên được
cung cấp nhưng có thể xác định vị trí của các tài nguyên cấp cao hơn (ví dụ như nước,
bang, datacenter). Các tài nguyên bao gồm không gian lưu trữ, tính toán, bộ nhớ, băng
thông mạng và các máy ảo.
• Rapid elasticity - Co giãn nhanh.
Khả năng tính toán có thể được cung cấp một cách nhanh chóng và co giãn,
trong một số trường hợp là tự động, để có thể giãn ra hoặc co vào phụ thuộc vào nhu
cầu người dùng. Đối với khách hàng, tài nguyên hiện có được coi như như vô hạn và
có thể mua với bất kì số lượng nào vào bất kì thời gian nào.
• Measured Service.
Các hệ thống cloud tự động điều khiển và tối ưu hóa tài nguyên sử dụng bằng
cách trừu tượng hóa tương ứng với kiểu dịch vụ (lưu trữ, khả năng xử lý, băng thông,
và số người dùng active). Tài nguyên sử dụng có thể được giám sát, điều khiển và báo
cáo một cách trong suốt cho cả nhà cung cấp và khách hàng của dịch vụ đã dùng.
5 đặc tính trên do NIST đưa ra. Một số tài liệu đưa thêm đặc tính không phụ
thuộc vào địa điểm – Location Independence. Điều này có thể hiểu như có thể sử dụng
các dịch vụ của cloud computing từ mọi nơi. Tuy nhiên, đặc tính này có thể coi như
đồng nhất với đặc tính Broadband network access.
VŨ THỊ THU HÀ _ D08VT2 12
Đồ án tốt nghiệp đại học CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
1.4 Các loại hình dịch vụ
3 loại hình dịch vụ cơ bản mà cloud computing đang được triển khai là
Infrastucture as a Service (IssA), Platform as a Service (PaaS) và Software as a
Service (SaaS).
Hình 1.2: Các loại hình dịch vụ đối với Cloud computing
On-Premises: Các ứng dụng/dịch vụ On-premises được hiểu như các ứng dụng
và dịch vụ chạy trên nền tảng cơ sở hạ tầng của doanh nghiệp, chứ không phải trên
cloud. Đây là kiểu dịch vụ phổ biến hiện nay. Doanh nghiệp quản lý hoàn toàn về hạ
tầng mạng, hệ thống lưu trữ, máy chủ, ảo hoá, hệ điều hành, phần mềm tầng giữa, các
lớp runtime, dữ liệu và ứng dụng.
1.4.1 Dịch vụ cơ sở hạ tầng IaaS (Infrastucture as a Service)
Những kiến trúc ảo xếp chồng là một ví dụ của xu hướng mọi thứ là dịch vụ và
có cùng những điểm hơn hẳn một máy chủ cho thuê. Không gian lưu trữ và các thiết bị
mạng tập trung, máy trạm thay vì đầu tư mua nguyên chiếc thì có thể thuê đầy đủ dịch
vụ bên ngoài. Những dịch vụ này thông thường được tính chi phí trên cơ sở tính toán
chức năng và lượng tài nguyên sử dụng (và từ đó ra chi phí) sẽ phản ảnh được mức độ
của hoạt động. Đây là một sự phát triển của những giải pháp lưu trữ web và máy chủ
cá nhân ảo. Tên ban đầu được sử dụng là dịch vụ phần cứng (HaaS) và được tạo ra bởi
một nhà kinh tế học Nichlas Car vào tháng 3 năm 2006, nhưng điều này cần thiết.
Nhưng từ này đã dần bị thay thế bởi khái niệm dịch vụ hạ tầng vào khoảng cuối năm
2006.
Những đặc trưng tiêu biểu:
VŨ THỊ THU HÀ _ D08VT2 13
Đồ án tốt nghiệp đại học CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
- Cung cấp tài nguyên như là dịch vụ: bao gồm cả máy chủ, thiết bị mạng, bộ nhớ,
CPU, không gian đĩa cứng, trang thiết bị trung tâm dữ liệu.
- Khả năng mở rộng linh hoạt
- Chi phí thay đổi tùy theo thực tế
- Nhiều người thuê có thể cùng dùng chung trên một tài nguyên
- Cấp độ doanh nghiệp: đem lại lợi ích cho công ty bởi một nguồn tài nguyên tích toán
tổng hợp.
Bảng 1.1: Một số lợi ích và thách thức của IaaS
Lợi ích của IaaS Thách thức của IaaS
Hệ thống được quản lý bởi SLA giảm
bớt được các lỗ thủng
Thu nhập cao hơn trên tài nguyên
Giảm chi phí do:
+ Ít phần cứng hơn
+ Giảm bớt chi phí không gian
+ Tăng tính tự động hoá và giảm bớt sự
can thiệp của các nhà quản trị
+ Giảm bớt tiêu thụ năng lượng
Khả năng đạt được tiêu thụ theo yêu
cầu – consumption on demand.
Tính di động - portability của các ứng
dụng
Sự hoàn thiện của các công cụ quản lý
hệ thống
Tích hợp qua giới hạn của Cloud
Các vấn đề về bảo mật bên trong
1.4.2 Dịch vụ nền tảng PaaS (Platform as a Service)
Cung cấp nền tảng tính toán và một tập các giải pháp nhiều lớp. Nó hỗ trợ việc
triển khai ứng dụng mà không quan tâm đến chi phí hay sự phức tạp của việc trang bị
và quản lý các lớp phần cứng và phần mềm bên dưới, cung cấp tất cả các tính năng cần
thiết để hỗ trợ chu trình sống đầy đủ của việc xây dựng và cung cấp một ứng dụng và
dịch vụ Web sẵn sàng trên Internet mà không cần bất kì thao tác tải hay cài đặt phần
mềm cho những người phát triển, quản lý tin học, hay người dùng cuối. Nó còn được
biết đến với một tên khác là cloudware.
Cung cấp dịch vụ nền tảng (PaaS) bao gồm những điều kiện cho qui trình thiết
kế ứng dụng, phát triển, kiểm thử, triển khai và lưu trữ ứng dụng có giá trị như là dịch
vụ ứng dụng như cộng tác nhóm, sắp xếp và tích hợp dịch vụ Web, tích hợp cơ sở dữ
liệu, bảo mật, khả năng mở rộng, quản lý trạng thái, phiên bản ứng dụng, các lợi ích
cho cộng đồng phát triển và nghiên cứu ứng dụng. Những dịch vụ này được chuẩn bị
như là một giải pháp tính hợp trên nền Web.
Những đặc trưng tiêu biểu:
- Phục vụ cho việc phát triển, kiểm thử, triển khai và vận hành ứng dụng giống như là
môi trường phát triển tích hợp
VŨ THỊ THU HÀ _ D08VT2 14
Đồ án tốt nghiệp đại học CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
- Các công cụ khởi tạo với giao diện trên nền Web.
- Kiến trúc đồng nhất
- Tích hợp dịch vụ Web và cơ sở dữ liệu
- Hỗ trợ cộng tác nhóm phát triển
- Công cụ hỗ trợ tiện tích
Bảng 1.2: Một số lợi ích và thách thức của PaaS
Lợi ích của PaaS Thách thức của PaaS
Pay-as-you-go đối với môi trường phát
triển, test và kinh doanh
Cho phép các nhà phát triển tập trung
vào mã ứng dụng
Nền tảng toàn cầu
Loại bỏ các phụ thuộc phần cứng và
các vấn đề về dung lượng (Capacity
concerns)
Tính co giãn sẵn có
Mô hình triển khai đơn giản
Điều hành
Bị trói với nhà cung cấp
Mở rộng mẫu hình bảo mật với nhà
cung cấp
Khả năng kết nối
Sự tin cậy đối với SLA của bên thứ 3.
1.4.3 Dịch vụ phần mềm SaaS (Software as a Service)
Dịch vụ phần mềm (SaaS) là một mô hình triển khai ứng dụng mà ở đó người
cung cấp cho phép người sử dụng dịch vụ theo yêu cầu. Những nhà cung cấp SaaS có
thể lưu trữ ứng dụng trên máy chủ của họ hoặc tải ứng dụng xuống thiết bị khách
hàng, vô hiệu hóa nó sau khi kết thúc thời hạn. Các chức năng theo yêu cầu có thể
được kiểm soát bên trong để chia sẻ bản quyền của một nhà cung cấp ứng dụng thứ ba.
Những đặc trưng tiêu biểu:
- Phần mềm sẵn có đòi hỏi việc truy xuất, quản lý qua mạng.
- Quản lý các hoạt động từ một vị trí tập trung hơn là tại mỗi nơi của khách hàng, cho
phép khách hàng truy xuất từ xa thông qua Web.
- Cung cấp ứng dụng thông thường gần gũi với mô hình ánh xạ từ một đến nhiều hơn
là mô hình 1:1 bao gồm cả các đặc trưng kiến trúc, giá cả và quản lý.
- Những tính năng tập trung nâng cấp, giải phóng người dùng khỏi việc tải các bản vá
lỗi và cập nhật.
- Thường xuyên tích hợp những phần mềm giao tiếp trên mạng diện rộng
Bảng 1.3: Một số lợi ích và thách thức của SaaS
Lợi ích của SaaS Thách thức của SaaS
Tốc độ
Giảm chi phí ban đầu, có khả năng
Yêu cầu mô hình bảo mật với nhà
cung cấp (sự riêng tư và quyển sở hữu
VŨ THỊ THU HÀ _ D08VT2 15
Đồ án tốt nghiệp đại học CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
giảm chi phí toàn bộ
Chuyển một phần/tất cả trách nhiệm
hỗ trợ
Loại bỏ các nguy cơ về giấy phép
Loại bỏ nguy cơ về tương thích phiên
bản
Giảm ảnh hưởng của phần cứng
dữ liệu)
Điều hành và quản lý chi phí
Đồng bộ giữa client và vendor
migration
Hỗ trợ người dùng cuối tích hợp
Khả năng co giãn
1.5 Xu hướng phát triển của điện toán đám mây
1.5.1 Các lợi ích và hạn chế của điện toán đám mây
Trước hết, phải nói rằng cloud-computing hoàn toàn không phải phải là một
kiến trúc phần mềm mới. Như Lawrence Ellison, chủ tịch tập đoàn Oracle từng phát
biểu: Cloud computing chỉ là “những gì chúng ta đã làm” và “việc duy nhất cần thay
đổi trong thời gian tới là quảng cáo”. Có thể thấy qua việc minh họa các dạng dịch vụ
cloud computing ở trên, như các dịch vụ máy chủ riêng ảo, hosting, webmail,… đều đã
được nhắc đến từ lâu, trước khi thuật ngữ cloud-computing xuất hiện. Nhiều người còn
cho rằng, cloud computing là một thuật ngữ mang tính marketing hơn là một xu hướng
thật sự. Đây còn là vấn đề gây tranh cãi.
Tuy nhiên, ko thể phủ nhận cloud-computing đã thật sự hiện hữu và đem lại
những lợi ích thật sự cho ngành công nghiệp phần mềm và người dùng. Có thể kể đến
trường hợp của The New York Times, đã xử lý thành công hàng terabytes (nghìn tỷ
byte) dữ liệu với hàng trăm “compute units” của Amazon EC2 (sẽ được trình bày dưới
đây) chỉ trong 36h. Nếu không phải là cloud computing, có thể đã mất đến hàng tuần
hoặc hàng tháng để xử lý toàn bộ dữ liệu này, với chi phí cao hơn nhiều.
Trong vài năm trở lại đây, với sự tham gia của các tập đoàn phần mềm lớn như
Microsoft, Google, hay Amazon, cloud computing đã có những bước tiến mạnh mẽ.
Đầu tiên, đó là việc cung cấp một nền tảng lập trình hợp nhất. Điều này cho phép các
nhà phát triển có thể nhanh chóng xây dựng ứng dụng đám mây trên nền tảng mà công
ty cung cấp, với những cấu trúc và API được thiết kế dành riêng cho cloud-computing.
Thứ hai, một công cụ quản lý hợp nhất, cho phép khách hàng sử dụng cloud-
computing có thể tuỳ biến dịch vụ cho phù hợp với nhu cầu của mình một cách đơn
giản và dễ dàng. Những điều này khiến cloud-computing có thể trở thành một xu
hướng nổi bật trong thời gian tới.
1.5.1.1 Lợi ích của Cloud-computing
Hãy tưởng tượng một công ty với khoảng 100 nhân viên cần sử dụng các hệ
thống phần mềm văn phòng cũng như nghiệp vụ. Để hệ thống này có thể là việc một
cách hiệu quả, chi phí bỏ ra là không nhỏ: Chi phí mua phần cứng (máy chủ, máy tính
cá nhân cho từng nhân viên, các thiết bị mạng), phần mềm (hệ điều hành, các phần
mềm văn phòng và nghiệp vụ), chi phí nhân công (thuê người lắp đặt, cài đặt, quản trị,
VŨ THỊ THU HÀ _ D08VT2 16
Đồ án tốt nghiệp đại học CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
bảo trì hệ thống). Chi phí này là không nhỏ và khiến nhiều công ty gặp khó khăn trong
việc triển khai tin học hóa doanh nghiệp.
Ngoài ra, có thể trong hoạt động của doanh nghiệp, có những lúc tải của hệ
thống vượt qua năng lực hiện có. Để phục vụ điều này thì doanh nghiệp buộc phải
nâng cấp hệ thống của mình, thêm máy chủ, cải tiến phần mềm. Chi phí này là rất lớn.
Nhưng sau khi nâng cấp hệ thống, có những lúc tải lại xuống thấp, khiến cho năng lực
hệ thống trở nên lãng phí.
Với Cloud Computing, những vấn đề này được giải quyết một cách căn bản:
- Không cần hệ thống máy chủ và hệ thống mạng nội bộ trong công ty, chỉ cần các
máy client chi phí thấp được kết nối mạng Internet.
- Giảm bớt chi phí phần mềm vì không cần các phần mềm nghiệp vụ cài riêng. Có thể
chỉ cần một hệ điều hành và một trình duyệt để làm việc.
- Giảm bớt chi phí nhân công vì không cần quản trị hệ thống.
- Giảm bớt chi phí điện năng lãng phí(Go Green)
- Linh hoạt và mềm dẻo khi có thay đổi về tải. Khi cần tải nặng, hệ thống có thể tự
tăng khả năng xử lý của mình lên mà không cần can thiệp, và cũng tự động giảm năng
lực xử lý của mình khi tải thấp
1.5.1.2 Hạn chế của Cloud computing
Tuy nhiên, cloud computing không phải là giải pháp toàn diện và có thể áp
dụng cho mọi trường hợp phần mềm. Nói cách khác, cloud computing sẽ không hoàn
toàn thay thế các giải pháp dịch vụ phần mềm hiện có:
Trước hết, dữ liệu của doanh nghiệp, cá nhân được upload lên trên cloud. Điều
này đồng nghĩa với doanh nghiệp, cá nhân phải tin tưởng vào nhà cung cấp dịch vụ.
Ngoài ra, ở một số doanh nghiệp với dữ liệu đặc thù, như ngân hàng, có những luật
quy định doanh nghiệp phải lưu trữ dữ liệu của khách hàng on-premises. Trong những
trường hợp như vậy, việc triển khai ứng dụng trên public cloud là điều không thể.
Tốc độ truy xuất ứng dụng. Với một số dịch vụ, người dùng không thể xác định
hay thiết lập vị trí của dữ liệu (trừu tượng hoá hoàn toàn ở cấp độ trung tâm dữ liệu).
Nếu người dùng và trung tâm dữ liệu ở xa nhau, thì sẽ dẫn đến hạn chế trong tốc độ
truy xuất và tăng độ trễ. Để giải quyết vấn đề này, một số nhà cung cấp đưa ra giải
phái CDN – Content Delivery Network, cho phép lưu trữ các dữ liệu mà người dùng
thường xuyên truy cập ở một trung tâm dữ liệu gần với họ, nhằm tăng tốc độ truy xuất
và giảm độ trễ. Ví dụ với Amazon S3 và dịch vụ Blob của Windows Azure Storage.
Ngoài ra, bảo mật là vấn đề rất lớn. Nhà cung cấp dịch vụ cam kết bằng hợp
đồng, nhưng đối với một số khách hàng bảo mật chỉ có thể đạt được mức độ cần thiết
khi họ toàn quyền kiểm soát dữ liệu (cả về phần cứng và phần mềm – vật lý và logic)
và áp dụng các chính sách phù hợp.
Theo khảo sát của InformationWeek:
VŨ THỊ THU HÀ _ D08VT2 17
Đồ án tốt nghiệp đại học CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
Hình 1.3: Mối quan tâm đối với cloud computing
1.5.2 Điện toán đám mây – xu hướng phát triển
Ngày càng có nhiều công ty tham gia vào quá trình phát triển các ứng dụng điện
toán đám mây tiêu biểu như Microsoft, Google, Intel, IBM…đã và đang tạo ra một thị
trường rộng lớn các ứng dụng điện toán đám mây, đem lại nhiều sự lựa chọn hơn cho
các cá nhân, tổ chức có mong muốn “mây hóa” các ứng dụng và dữ liệu của mình.
Theo đánh giá của các chuyên gia hàng đầu về điện toán đám mây việc phát triển điện
toán đám mây trong tương lai sẽ tập trung vào 3 vấn đề chính bao gồm: Khả năng liên
kết (Federated), tự động hóa (Automated) và nhận biết thiết bị đầu cuối (Client aware).
Đây cũng là các cách tiếp cận mới với vấn đề tự động hóa CNTT cho phép đáp ứng
những yêu cầu của người dùng bằng cách mới, hiệu quả hơn và tiết kiệm chi phí hơn.
Các đám mây liên kết sẽ cho phép sắp xếp nhanh hơn các tài nguyên, trong khi các
đám mây có khả năng nhận biết thiết bị đầu cuối sẽ tận dụng những tính năng đặc thù
của mỗi thiết bị theo cách tối ưu.
Hiện nay, điện toán đám mây không còn là công nghệ mới mà đang hứa hẹn trở
thành một khái niệm mang tính phổ thông và “hiển nhiên” trong tương lai. Một số xu
hướng phát triển của điện toán đám mây:
• Sự phát triển của đám mây di động (mobile cloud): Apple iCloud, Amazon Cloud và
dịch cụ điện toán đám mây trên Windows Phone đang giúp công nghệ này trở nên đại
trà. Nhu cầu lưu trữ thông tin trên đám mây và khả năng truy cập bất cứ khi nào họ cần
sẽ giảm bớt "gánh nặng" cho thiết bị. Nỗi lo mất điện thoại vì "mọi dữ liệu quan trọng
như số liên lạc, ảnh, video… nằm cả trong đó" sẽ không còn bởi thông tin đã được tự
VŨ THỊ THU HÀ _ D08VT2 18
Đồ án tốt nghiệp đại học CHƯƠNG I: TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
động sao lưu lên đám mây và người sử dụng có thể thoải mái xóa dữ liệu từ xa để
tránh tình trạng dữ liệu bí mật, riêng tư rơi vào tay kẻ xấu.
• Sự nở rộ của đám mây lai (hybrid cloud): Đám mây lai là sự giao thoa của hai hay
nhiều mô hình đám mây, như như kết hợp giữa public cloud (các dịch vụ cloud được
cung cấp cho mọi người sử dụng rộng rãi và private cloud (cơ sở hạ tầng và các dịch
vụ được xây dựng để phục vụ cho một tổ chức, doanh nghiệp duy nhất). Điều này sẽ
giúp khai thác những điểm mạnh nhất của từng mô hình, mang đến khả năng bảo vệ
dữ liệu an toàn hơn, nhưng cũng linh động và gần gũi hơn với người sử dụng. Năm tới
sẽ có ngày càng nhiều doanh nghiệp vừa và lớn sẽ chuyển sang mô hình này. Theo
Gartner, tổng giá trị cho các dịch vụ đám mây hiện thời là gần 2,4 tỷ USD và đến năm
2013 sẽ đạt gần 8,1 tỷ USD.
• Sự tiến hóa của bảo mật đám mây: Bảo mật luôn là đề tài nóng và là một trong
những nguyên nhân chính khiến các tổ chức có liên quan đến các dữ liệu nhạy cảm
lưỡng lự trong việc đón nhận. Họ lo ngại hacker tìm cách xâm nhập vào kho thông tin
nằm trên đám mây, do đó việc liên tục tạo ra những phương pháp bảo mật kiểu mới, an
toàn và hiệu quả là mục tiêu hàng đầu của các chuyên gia phát triển trong năm 2012.
• Cuộc cách mạng môi trường làm việc di động: Tương tự e-mail thay đổi cách con
người liên lạc với bạn bè và đồng nghiệp, cloud được cho là đang tạo ra con đường gửi
và lưu trưc thông tin nhanh chóng và thông suốt hơn bao giờ hết. Với khả năng truy
cập và làm việc từ xa, công việc sẽ được giải quyết dễ dàng hơn mà không bị ngắt
quãng.
• Dịch vụ phần mềm (SaaS) mở rộng thành dịch vụ IT (ITaaS): SaaS sẽ không chỉ giới
hạn trong lĩnh vực CRM mà dần có tầm ảnh hưởng đến cả cơ sở hạ tầng IT. Một lĩnh
vực mới đang nổi lên trên thị trường là IT as a Service (dịch vụ IT), trong đó các
doanh nghiệp sẽ "tiêu thụ" IT, biến nó trở thành một dịch vụ trong doanh nghiệp. Bạn
có thể hình dung một thế giới mà ở đó việc triển khai các ứng dụng trên toàn cầu chỉ
mất 2 tiếng thay vì 2 tháng, các chuyên gia phát triển sẽ sử dụng một nền tảng tự phục
vụ để cung cấp và triển khai ứng dụng thay vì phải thông qua một quá trình thủ công
tốn kém nào đó, hoặc một người có thể quản lý 10.000 server thay vì chỉ 100 server.
1.6 Tổng kết chương I
Chương I đã trình bày những kiến thức cơ bản về các khái niệm, mô hình triển
khai, các loại hình dịch vụ và các đặc tính của điện toán đám mây. Qua đó chúng ta có
thể thấy được rằng điện toán đám mây hơn hẳn điện toán truyền thống ở nhiều khía
cạnh như dễ dàng sử dụng, khả năng mở rộng và độ sẵn sàng đáp ứng cao, cung cấp
nhanh theo yêu cầu và đáng kể đến nhất là mức chi phí sẽ đỡ tốn kém hơn so với việc
sử dụng điện toán truyền thống khi mà chúng ta chỉ phải chi trả cho những gì mình sử
dụng thay vì phải đầu từ trang thiết bị máy móc đắt tiền. Do vậy, điện toán đám mây
đã và đang trở thành xu thế công nghệ hiện nay.
VŨ THỊ THU HÀ _ D08VT2 19
Đồ án tốt nghiệp đại học CHƯƠNG II: AN NINH TRONG MẠNG INTERNET
CHƯƠNG II: AN NINH TRONG MẠNG INTERNET
2.1 Tổng quan về an ninh trên mạng internet
2.1.1 Mạng máy tính là gì?
Mạng máy tính là mạng các máy tính được kết nối với nhau theo tiêu chuẩn
nhất định sao cho hai máy có thể trao đổi thông tin với nhau. Các máy tính được nối
qua đường dây cáp, đường dây điện thoại, đường dây dữ liệu tốc độ cao hoặc qua vệ
tinh để chúng có thể chia sẻ tài nguyên và thông tin.
2.1.2 Khái niệm mạng Internet
Internet là một hệ thống gồm các mạng máy tính được liên kết theo chuẩn giao
thức TCP/IP trên phạm vi toàn thế giới, tạo điều kiện thuận lợi cho các dịch vụ truyền
dữ liệu, đăng nhập từ xa, thư tín điện tử,…Internet là một phương pháp ghép nối các
mạng máy tính hiện hành, phát triển một cách rộng răi tầm hoạt động của các mạng kết
nối vào.
Hình 2.1: Mô hình mạng Internet
- Mạng LAN (Local Area Network): là mạng các máy tính kết nối trong phạm vi nhỏ
như trong một toà nhà với đường kính tối đa khoảng 10km.
- Server: là chương trình khi một dịch vụ trên toàn mạng chấp nhận các yêu cầu đến từ
mọi nơi trên mạng, thi hành các yêu cầu và trả về kết quả cho nơi yêu cầu. Máy chứa
chương tŕnh Server cũng được gọi là Server hoặc máy chủ.
- Client: là chương trình gửi yêu cầu đến Server, nhận kết quả trả về. Máy chứa
chương trình Client cũng được gọi là Client hoặc máy khách.
2.1.3 An ninh, an toàn trên mạng Internet
Mạng máy tính toàn cầu Internet là mạng của các mạng máy tính được kết nối
với nhau qua giao thức TCP/IP nhằm trao đổi và xử lý thông tin tương hỗ. Các mạng
được điều hành hoạt động bởi một hoặc nhiều loại hệ điều hành mạng. Như vậy, hệ
VŨ THỊ THU HÀ _ D08VT2 20
Đồ án tốt nghiệp đại học CHƯƠNG II: AN NINH TRONG MẠNG INTERNET
điều hành mạng có thể điều phối một phần của mạng và là phần mềm điều hành đơn vị
quản lý nhỏ nhất trên toàn bộ mạng.
Điều khác nhau giữa mạng máy tính và xã hội loài người là đối với mạng máy
tính chúng ta phải quản lý tài sản khi mà các ngôi nhà đều luôn mở cửa. Các biện pháp
vật lý là khó thực hiện vì thông tin và thiết bị luôn cần được sử dụng.
Trên hệ thống mạng mở như vậy, bảo vệ thông tin bằng mật mã là ở mức cao
nhất song không phải bao giờ cũng thuận lợi và không tốn kém. Thường thì các hệ
điều hành mạng, các thiết bị mạng sẽ lãnh trách nhiệm lá chắn cuối cùng cho thông tin.
Vượt qua lá chắn này thông tin hầu như không còn được bảo vệ nữa.
Gối trên nền các hệ điều hành là các dịch vụ mạng như: Thư điện tử (Email),
WWW, FTP, News, làm cho mạng có nhiều khả năng cung cấp thông tin. Các dịch
vụ này cũng có các cơ chế bảo vệ riêng hoặc tích hợp với cơ chế an toàn của hệ điều
hành mạng.
Internet là hệ thống mạng mở nên nó chịu tấn công từ nhiều phía kể cả vô tình
và hữu ý. Các nội dung thông tin lưu trữ và lưu truyền trên mạng luôn là đối tượng tấn
công. Nguy cơ mạng luôn bị tấn công là do người sử dụng luôn truy nhập từ xa. Do đó
thông tin xác thực người sử dụng như mật khẩu, bí danh luôn phải truyền đi trên mạng.
Những kẻ xâm nhập tìm mọi cách giành được những thông tin này và từ xa truy nhập
vào hệ thống. Càng truy nhập với tư cách người dùng có quyền điều hành cao càng thì
khả năng phá hoại càng lớn.
Nhiệm vụ bảo mật và bảo vệ vì vậy mà rất nặng nề và khó đoán định trước.
Nhưng tựu trung lại gồm ba hướng chính sau:
• Bảo đảm an toàn cho phía server
• Bảo đảm an toàn cho phía client
• Bảo mật thông tin trên đường truyền
2.2 Tìm hiểu một số kỹ thuật tấn công xâm nhập máy chủ dữ liệu ảo
2.2.1 Kỹ thuật tấn công qua các lỗ hổng của cơ chế xác thực
2.2.1.1 Các kiến thức cơ bản về xác thực người dùng
Khi người sử dụng muốn truy nhập vào một hệ thống máy tính, thông thường
người sử dụng cần cung cấp các thông tin nhận dạng cho máy tính. Khi nhận được các
thông tin ấy, máy tính kiểm tra xem người sử dụng có quyền truy nhập vào hệ thống
không. Đây cũng là một nguyên tắc cơ bản được áp dụng cho một người khi muốn trao
đổi thông tin với người khác: Trước tiên cần phải xác định người tham gia trao đổi
thông tin có đúng là người muốn trao đổi không, do đó cần phải có một phương thức
để cung cấp đặc điểm nhận dạng nhằm đảm bảo người trao đổi thông tin là hợp lệ. Quá
trình này được gọi là xác thực người sử dụng.
Trên thế giới cũng như ở Việt Nam, vấn đề xác thực người dùng đang được
quan tâm và đã có nhiều giải pháp được sử dụng và nghiên cứu. Có rất nhiều cách để
xác thực, người sử dụng có thể cung cấp các thông tin mà chỉ có người sử dụng mới
VŨ THỊ THU HÀ _ D08VT2 21
Đồ án tốt nghiệp đại học CHƯƠNG II: AN NINH TRONG MẠNG INTERNET
biết như mật khẩu, mã số cá nhân, hoặc người sử dụng có thể cung cấp các thông tin
riêng khác như số chứng minh thư, thẻ từ, thẻ thông minh, Trong đó, mỗi giải pháp
lại có những ưu điểm và nhược điểm riêng khác nhau.
2.2.1.2 Khái niệm về xác thực người dùng
Xác thực người dùng là một quá trình qua đó hệ thống có thể xác minh rằng
một ai đó thực sự là họ. Quá trình xác thực sẽ xác định xem một người có phải là
người được sử dụng hệ thống không, nó thường đi kèm với quá trình xác định quyền
hạn của người dùng trong hệ thống.
2.2.1.3 Các giải pháp xác thực người dùng phổ biến
a. Giải pháp sử dụng tên và mật khẩu
Đây là giải pháp truyền thống hay được sử dụng nhất, là giải pháp sử dụng tài
khoản của hệ thống. Mỗi tài khoản bao gồm tên truy nhập và mật khẩu. Tên truy nhập
dùng để phân biệt các người dùng khác nhau (thường là duy nhất trong hệ thống), còn
mật khẩu để xác thực lại người sử dụng tên đó có đúng là người dùng thật sự không.
Mật khẩu thường do người sở hữu tên truy nhập tương ứng đặt và được giữ bí mật chỉ
có người sở hữu tên truy nhập đó biết.
Khi người dùng muốn đăng nhập và sử dụng tài nguyên hệ thống thì phải đăng
nhập bằng cách nhập tên và mật khẩu của mình. Trước hết, hệ thống sẽ đối chiếu tên
truy nhập của người dùng nhập vào với cơ sở dữ liệu tên người dùng, nếu tồn tại tên
người dùng như vậy thì hệ thống tiếp tục đối chiếu mật khẩu được nhập vào tương ứng
với tên truy nhập trong cơ sở dữ liệu. Qua 2 lần đối chiếu nếu thỏa mãn thì người đăng
nhập là người dùng hợp lệ của hệ thống.
• Ưu điểm của giải pháp xác thực người dùng
Thiết kế và sử dụng đơn giản, tốn ít tài nguyên. Hệ thống chỉ gồm một cơ sở dữ
liệu người dùng với hai thông tin chủ yếu là tên truy nhập và mật khẩu, tương ứng với
mỗi tên truy nhập là quyền sử dụng của người đó trong hệ thống, do đó các thông tin
này không chiếm nhiều tài nguyên. Người dùng dễ hiểu và dễ sử dụng.
Chi phí để thực hiện giải pháp này là rẻ so với các giải pháp khác. Nó không
phụ thuộc vào các thiết bị phần cứng mà chỉ dựa trên phần mềm. Giải pháp này có khả
năng làm việc trên mọi hệ điều hành. Vì thế, việc thực hiện giải pháp này khá dễ dàng
và không tốn kém.
• Nhược điểm của giải pháp xác thực người dùng
Giải pháp này có nhược điểm lớn nhất là không có được sự bảo mật cao. Vì
người dùng thường có tên đăng nhập nhiều người dùng có. Mặt khác, người dùng
thường chọn mật khẩu dễ nhớ hoặc chung mật khẩu cho nhiều tài khoản, do vậy dễ bị
tấn công. Kẻ tấn công có nhiều phương pháp để đạt được mật khẩu như thâm nhập vào
hệ thống đọc file mật khẩu, dự đoán mật khẩu, vét cạn các từ trong từ điển để tìm mật
khẩu, hoặc có thể lừa người dùng để lộ mật khẩu. Cũng có một số biện pháp để tăng
thêm tính bảo mật cho giải pháp này như; đặt mật khẩu phức tạp: Mật khẩu phải chứa
tối thiểu 6 ký tự, không trùng với tên đăng nhập, chứa các loại ký tự là chữ cái, chữ số,
VŨ THỊ THU HÀ _ D08VT2 22
Đồ án tốt nghiệp đại học CHƯƠNG II: AN NINH TRONG MẠNG INTERNET
ký tự đặc biệt. Nếu đặt như vậy thì kẻ muốn tấn công cũng sẽ rất khó đoán được mật
khẩu.
Thay đổi mật khẩu: Quy định sau một thời gian nhất định mật khẩu sẽ không
còn tác dụng đối với hệ thống và người dùng phải đặt lại mật khẩu khác. Mật khẩu sẽ
được thay đổi nên khả năng kiểm soát tình trạng an toàn của mật khẩu cao hơn.
Mã hóa thông tin: Trong môi trường làm việc là mạng internet, những nhà thiết
kế thường dùng biện pháp mã hóa thông tin đăng nhập từ một máy khách nào đó trước
khi chúng được gửi đi tới máy chủ của hệ thống. Do đó, khả năng bị mất cắp mật khẩu
sẽ giảm đi rất nhiều khi kẻ xấu bắt gói tin đăng nhập trên đường truyền.
Hiện nay, giải pháp mật khẩu sử dụng một lần (one - time password) được sử
dụng rất nhiều trong các ứng dụng. Các mật khẩu trong danh sách chỉ có thể sử dụng
một lần duy nhất mà không thể sử dụng lại trong những lần đăng nhập sau. Có hai
cách để hệ thống mật khẩu sử dụng một lần có thể làm việc là;
Danh sách các mật khẩu được tạo ra một cách ngẫu nhiên bởi hệ thống và được
sao làm hai bản, một bản cho người dùng và một bản cho hệ thống.
Danh sách mật khẩu được tạo ra theo yêu cầu của người sử dụng và được hệ
thống công nhận.
Quá trình thực hiện: Sử dụng thuật toán MD4 (hiện nay là MD5) từ một giá trị
cho trước (do người dùng hoặc do máy ngẫu nhiên tạo ra) để tạo ra khóa đầu tiên, tiếp
tục áp dụng thuật toán MD4 cho khóa đầu tiên để được khóa thứ hai, và cứ áp dụng
liên tục thuật toán MD4 để sinh ra các khóa nối tiếp nhau. Khi xác thực người dùng,
hệ thống phải biết một trong các khóa (khóa thứ n), nó sẽ hỏi người dùng khóa trước
đó (khóa thứ n - 1). Nếu người dùng nhập đúng khóa n - 1 thì hệ thống sẽ cho người
dùng đăng nhập và ghi lại khóa n - 1 vào bộ nhớ. Đến lần đăng nhập sau, hệ thống sẽ
hỏi người dùng khóa thứ n - 2,…
Khi dùng thuật toán MD4 để sinh ra kết quả thì kết quả hầu như không thể suy
ngược lại giá trị đầu vào nên hệ thống không thể tìm ra được khóa thứ n-1 là gì, mặc
dù khi biết cả khóa thứ n.
Tuy nhiên, theo cách này kẻ xấu vẫn có thể tấn công. Nếu người dùng tự thiết
lập giá trị đầu vào để xây dựng hệ thống khóa thì rất có thể nó sẽ được đoán ra theo
các cách giống như khi đoán các mật khẩu thông thường. Đối với những từ đoán được,
kẻ tấn công sẽ áp dụng thuật toán MD4 để sinh ra các khóa và sẽ thử hết các khóa này
cho đến khi tìm được khóa người dùng đang sử dụng. Còn trong trường hợp hệ thống
sẽ tự sinh ra giá trị ban đầu và một lượng mật khẩu đủ dùng trong một thời gian nào
đó, người dùng sẽ có một danh sách các mật khẩu được đánh thứ tự. Về phía người
dùng, họ sẽ không thích phải dùng nhiều mật khẩu. Điều này gây phiền toái cho người
dùng và khả năng bị mất cắp danh sách khóa là rất cao. Ngoài ra, kẻ tấn công còn có
thể dùng phương pháp bắt gói tin đăng nhập của người dùng để lấy mật khẩu.
VŨ THỊ THU HÀ _ D08VT2 23
Đồ án tốt nghiệp đại học CHƯƠNG II: AN NINH TRONG MẠNG INTERNET
• Ứng dụng của phương pháp xác thực người dùng
Giải pháp này đã và đang được sử dụng rất nhiều trong các ứng dụng. Nó được
ứng dụng trên một máy tính và đặc biệt được ứng dụng cả trên mạng. Kể cả các cơ
quan, tổ chức không có điều kiện kinh tế để có thể trang bị cho hệ thống mạng của
mình các đường truyền tốc độ cao thì vẫn có thể sử dụng giải pháp này. Bởi vì, thông
tin truyền và lưu trữ chỉ bao gồm tên đăng nhập và mật khẩu. Dung lượng truyền đi
trên đường truyền nhỏ nên dù đường truyền có băng thông không lớn thì thông tin này
cũng được truyền đi trong một khoảng thời gian chấp nhận được.
Các ứng dụng tiêu biểu hiện nay đang sử dụng giải pháp xác thực bằng mật
khẩu như: Hệ điều hành (Windows, Unix, ), các dịch vụ thư điện tử, thương mại điện
tử,
b. Giải pháp dùng thẻ thông minh
Thẻ thông minh (smart cart) là một thẻ plastic có kích cỡ như thẻ tín dụng được
trang bị một vi mạch dùng để chứa bộ nhớ và một mạch xử lý với hệ điều hành để
kiểm soát bộ nhớ.
Nó có thể lưu trữ dữ liệu về thông tin cá nhân, tiền hoặc một số thông tin khác
mà sự thay đổi của chúng cần được kiểm soát chặt chẽ. Ngoài ra, nó có thể lưu trữ các
khóa mã hóa để người dùng có thể nhận dạng qua mạng, chữ ký điện tử, Đặc biệt,
hiện nay thẻ thông minh có hỗ trợ chứng nhận số. Nó mã hóa dữ liệu và kiểm tra tính
hợp lệ của các giao dịch qua mạng. Đây là một giải pháp rất hiệu quả và linh động cho
các vấn đề về xác thực người dùng.
Hiện nay, các cơ quan tổ chức dùng thẻ rất nhiều. Đầu tiên, những thông tin cần
thiết cho việc nhận dạng các nhân viên trong cơ quan, tổ chức sẽ được lưu vào bộ nhớ
của thẻ. Sau đó, nó được cung cấp cho các nhân viên tương ứng với các thông tin đó.
Mỗi cơ quan, tổ chức khác nhau sẽ có các yêu cầu về thông tin xác thực khác nhau
nhưng thường là các thông tin như tên truy nhập, mật khẩu và một số thông tin cá nhân
khác.
Trong hệ thống thông tin đòi hỏi phải có xác thực người dùng, nhân viên trong
tổ chức chỉ cần đưa thẻ vào thiết bị đọc thẻ và nhập vào một mã số bí mật nào đó để
xác nhận với hệ thống là chính họ là người sở hữu chiếc thẻ đó. Khi đã nhập đúng mã
này, thiết bị đọc thẻ sẽ đọc các thông tin nhận dạng được ghi trong thẻ và chuyển các
thông tin này đến hệ thống, sau đó hệ thống sẽ kiểm tra chúng với cơ sở dữ liệu người
dùng.
• Ưu điểm của giải pháp dùng thẻ thông minh
Nhờ vào kiến trúc vật lý và logic của thẻ mà đã giảm được rất nhiều các nguy
cơ gây mất an toàn thông tin. Mọi hoạt động của thẻ đều được kiểm soát bởi hệ điều
hành nên các thông tin cần giữ bí mật sẽ không thể lấy ra được từ thẻ. Các thông tin
bên trong thẻ không thể bị kẻ xấu lấy cắp như các thông tin được lưu trữ trong các
phần mềm hệ quản trị cơ sở dữ liệu thông thường.
VŨ THỊ THU HÀ _ D08VT2 24
Đồ án tốt nghiệp đại học CHƯƠNG II: AN NINH TRONG MẠNG INTERNET
Các khóa bí mật dùng cho chữ ký điện tử và nhận dạng đều được lưu trữ bên
trong thẻ. Nhà sản xuất thẻ cũng như người sở hữu thẻ đều không thể biết được các
khóa này. Vì vậy, chúng không thể bị lấy cắp hay bị sao chép.
Mỗi chiếc thẻ đều có số nhận dạng PIN để tránh việc đánh cắp và bị kẻ xấu sử
dụng. Trước khi sử dụng thẻ, người dùng phải nhập vào số PIN của thẻ. Cơ chế quản
lý số PIN của thẻ cũng rất an toàn bởi vì số PIN gần như không thể đoán ra được. Mặt
khác, thẻ quy định số lần nhập tối đa, nếu số lần nhập không chính xác liên tục đến
con số quy định thì thẻ sẽ tự động khóa. Muốn mở khóa thì người dùng phải liên hệ
với cơ quan quản lý thẻ. Tương tự, nếu nhập không chính xác liên tiếp đến một số nào
đó thẻ sẽ bị khóa vĩnh viễn và không thể sử dụng lại nữa. Như vậy, việc sử dụng thẻ là
rất an toàn và thuận tiện. Giờ đây người dùng thay vì phải nhớ nhiều số mà chỉ phải
nhớ một số, còn các thông tin nhận dạng đều ở trong thẻ. Trong trường hợp thẻ bị mất
cắp, kẻ lấy cắp cũng không thể sử dụng được thẻ vì không có số PIN.
• Nhược điểm của giải pháp dùng thẻ thông minh
Tuy giải pháp này đã hạn chế được sự mất cắp thẻ bằng cách kết hợp thẻ với
một số PIN nhưng vẫn có thể bị đánh cắp cả thẻ và cả số PIN.
Để áp dụng giải pháp này, các cơ quan phải trang bị thêm các thiết bị như thiết
bị đọc thẻ, thiết bị ghi, các phần mềm hỗ trợ, Số lượng và giá thành của các thiết bị
này không phải là nhỏ, do đó khá là tốn kém.
Các dịch vụ hỗ trợ phổ biến cho việc xác thực bằng thẻ là chưa đầy đủ. Các
dịch vụ thư điện tử, các dịch vụ thương mại, cần đến xác thực trên Internet đều chưa
hỗ trợ xác thực bằng thẻ. Hiện nay, hầu như các nhà cung cấp giải pháp xác thực bằng
thẻ đều phát triển các dịch vụ theo mô hình riêng của mình, sử dụng các thiết bị riêng
chưa thống nhất, do đó khả năng liên hệ giữa các hệ thống hầu như không có.
• Ứng dụng của giải pháp dùng thẻ thông minh
Đây được coi là giải pháp tương đối hoàn chỉnh và được nhận định là có tiềm
năng lớn. Hiện nay, trên thế giới có rất nhiều công ty lớn đang phát triển những giải
pháp xác thực hoàn thiện hơn về cả mức độ an toàn và khả năng linh động trong việc
sử dụng thẻ. Có rất nhiều quốc gia đã sử dụng công nghệ này để làm chưng minh thư,
thẻ rút tiền ngân hàng, Giải pháp này ngày càng được sử dụng nhiều hơn do sự phát
triển về khoa học công nghệ, giá thành của thẻ cũng như của các thiết bị có liên quan
giảm đi rất nhiều trong thời gian vừa qua. Tổ chức chuẩn hóa quốc tế ISO đã và đang
đưa ra những tiêu chuẩn thống nhất trong việc xây dựng và phát triển thẻ.
2.2.2 Kỹ thuật tấn công qua các lỗ hổng của các cổng dịch vụ
Hiện nay có nhiều hành động quét thăm dò trên internet, chủ thể tấn công vào
một máy tính nạn nhân và tìm ra địa chỉ IP và các địa chỉ mạng của nạn nhân.
Đối với một Client thông thường hoặc Server khi tham gia vào mạng internet
thì nguy cơ bị attacker nhòm ngó là không thể tránh khỏi. Để thực hiện được ý đồ nào
đó của attacker thì công việc đầu tiên của attacker là thực hiện công việc rà quét, và
liệt kê mạng của nạn nhân. Với một số công cụ attacker có thể sử dụng sẽ là các trình
VŨ THỊ THU HÀ _ D08VT2 25
