Luận văn xác thực và thẩm Định trong các hệ thống Đăng nhập một lần

Thực tế trước khi có SSO, mỗi người sử dụng đã phải nhập các tài khoản va mật khảu cho từng ứng dụng hoặc các hệ thông khác nhau trong cùng một phiên sessiơn.. tai Bénh viện cho pháp th

TRUONG DAI HOC BACH KHOA HA NOI

LUAN VAN THAC Si

Xác thực và thâm định trong các hệ thống đăng nhập một lần

Vũ Tuấn Anh

Vta2712@gmail.com

gành: Công nghệ thông tin

Giảng viên hướng dẫn: PGS LS Nguyễn Lánh Cang

HÀ NỘI, 2020

TRUONG BAI HOC BACH KHOA HA NOI

LUẬN VĂN THẠC SĨ

Xác thực và thấm định trong các hệ thống đăng nhập một lần

Vũ Tuấn Anh Vta2712@gmail.com

"Ngành: Công nghệ thông tin

Giảng viên hướng dẫn: PGS TS Nguyễn Linh Giang

Chữ ký cia GVHD

Ha Néi, 2020

BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC

CỘNG HÒA XÃ HỘI CHỮ NGIĨA VIỆT NAM

Độc lập — Tự do — lạnh phúc

Tio và tên tác giá luận văn: Vũ Tuấn Anh

"Đề tài luận văn: Xác thực và thẩm định trong các hệ thông đăng nhập một lần

Chuyên ngành: Công nghệ thông tin

Mã số SV: CA180130

"Tác giả, Người hưởng dẫn khoa học và Hội đồng chấm luận văn xác nhận

tác giả đã sửa chữa, bỗ sung luận văn theo biên bản hợp Hội đồng ngày

27/06/2020 với các nội dụng sau:

86 sung mô tả bài toán thực tế khi áp dụng SSO

vào hệ thông hiện tại

B6 sung giải pháp giải quyết bài toán thực tế và

phân tích lý do lựa chọn giải pháp

>

Bé sung ly do lya chon PHP Laravel Framework | 323 | 32-33

Hỗ sung lý do lựa chọn giao thức Oauth2 323 33

3 Sửa lại chức năng của Firewall Fortigate 323và | 33vá

ning SSO

8 Đổ sung thêm đánh giá của cáo chuyên gia

Tổ sung thêm kết luận chỉ ra các hạn chế và khó

khăn của hệ thống S8O khi triển khai

Giáo viên hướng dẫn

PGS ‘I'S Nguyén Linh Giang

CHU TICILIIGI BONG

PGS TS Truong Thi Digu Lint

Ngày tháng năm

Tác giả luận văn

Vũ Tuấn Anh

h

LOT CAM ON

Đầu liên, tôi xin được gũi lời cảm ơn sâu sắc nhất tới Thấy giáo — PGS.TS Nguyễn Linh Giang - trưởng bộ môn Truyền thông và Mạng máy tỉnh, Viện Công

nghé théng tin va Truyền thông, Trường Đại học Bách Khoa Hà Nội đã hướng đẫn

và cho tôi những lời khuyên trong quá trình thực hiện luận vẫn này

Tiếp theo, tôi xin chân thành cảm ơn các thấy cô trong Viên Công nghệ thông

‡m và truyền thông, Viện dào tạo sau dại học, Trường, Đại học Bách Khoa Hà Nội

đã tạo điều kiện cho tôi trong suốt quá trình học tập và nghiên cứu tại trường,

Ngoài ra, tôi xin cắm ơn dễ tài KC.01.15/16-20 dã hỗ trợ tôi trong quả trình thực hiện luận văn Nghiền cứu này được tài trợ bãi Quỹ Phút triển khaa hoc va

công nghệ Quắc gia (NAFOSTED) trong để tài mã số 102 02- 2019.314

Cuối cùng, tôi xin bảy tỏ lòng cảm ơn tới những người thân trong gia đỉnh,

Tấn bè đã động viên và giúp đỡ để lôi hoàn thành bản luận van may

đã Nội, ngày thắng năm 2020

Tac gia LVTHS

Vii Tuan Anh

2.2.1, Cáo đổi tượng trong CAutHP cácneeereerssorsseo.v TÔ)

2.3 Sơ dé tudng hoạt động

3 Dăng ký thông tin ung dime!

3.3 Các cấp ủy quyển con nnrreereireeeerrrre cesses BB

2.3.1 Cấp ủy quyển sử đựng mã ủy quyền (Authorization Code 23

2.3.3 Cấp ủy quyển bằng passwerd (Password)ÈL 26 3.4, Cap ủy quyên bang théng tin img dung (Client Credentials) 26

2.4, Uu diém va nhuge diém của OAUTH2

CHUONG 3: ĐỂ xuấi giải pháp xây dung hệ tàng SSO sử dụng giao thức

OAuth? tai Bénh vin YHCTTW

img dung CWTT tại Bệnh viên Ÿ Học cỗ tuyển TW

31 Giải thiệu v

3.1.1 Giới thiệu chung về Bệnh viện

3.1.3 Hạ ting trang thiết bi, ứng dụng CNTT tai Bệnh viên

3.2 Giải pháp xây dựng hệ thống SSO si dung giao thite OAuth 2.0

3.2.1 Các thuận lợi và khỏ khăn tại Bệnh viện

3.2.2 Hải toán thực tế đặt TA cành HH ae

3.2.3 Lựa chọn giải pháp

3.3 Phân tích và thiết kế tổng quan hệ thông

3.3.1 Dễ xuất mô hình hạ tâng thiết bị tại Bệnh viện

3.3 Kiến trúc hệ thẳng thông tin:

3.4 Mục tiêu của giải pháp

3.5 Ưu điểm và nhược diễm của giải pháp

3.6 Phạm vi thử nghiệm

3.7 Thử nghiệm HH HH HH gian

3.7.1 Môi trường thử nghiệm cevvneenteetveeseeeee

3.7.2 Tién banh thit nghiém

Chương 4: Kết luận vả để xất hướng phát triển

4.1 Kết luận

4.2 Dễ xuất hướng phát triển

TÀI LIỆU THAM KHẢO

DANH MỤC KÝ HIỆU, CÁC CHỮ VIẾT TẮT

Hệ thống đăng nhập môi lần

SSO Single sign-on

AT Artificial Intelligence Trĩ tuệ nhận tạo:

PKL Public key infrastructure Ha tang khóa công khai

LDAP Liphtweight Direetory Acoess | Giao thức truy cập thư mục nhẹ TrotecoL

DANH MỤC HÌNH ẢNH

Hinh 1: Giỏi thiệu về SSOP" se ¬".-

Hình 2: Phân loại các phương thức xác thựcE31,

Tình 3: Cách thức hoại động của Single sign-onl1,

Hinh 4: Cách thức hoạt động của OpenLD Conneetl,

Tĩnh 5: Cách thức hoạt động của SAMLI?]

Tinh 6: Cách thức hoạt động cúa OAuth2f1l,

1Hình 7: Cách thức hoạt động của KerberosL], ii oeniiriiee

Hình 8: Sơ để luồng hoạt động OAuth2E]

Hinh 9: Sơ đỏ hoạt dộng Authorization Codell, occrecee

Tinh 10: So dé hoat dng Implicit!

Hình 11: Mô hình kiên trúc vật lý hiện tại

Hình 12: Mô hình hạ tầng thiết bị đề xuất

Tĩnh 13: Kiên trúc hệ thẳng thông tin

Hình 14: Sơ để khối chức năng hệ thông Single sign-on str dumg OAuth?

Hình 15: Sơ đỗ hoạt động của hệ thống, o 2c ve errrrertrrreree

Tình 16: Khởi tạo môi trường Webserver trên máy tính cả nhân

Tỉnh 17: Giao điện trắc định của dir an Laravel

Hình 18: Tạo cơ sở dữ liệu trong PhpMy Admin (Xampp)

Tình 19: Sửa lại code trong file AppServiceProvider.php

Tình 20: Thêm thing bao ‘Trait Notifiable’ vao trong file User php

Hinh 2L: Thay đổi driver của api trong file auth.php co c2

Tình 29: Khai báo các Vue component trong file app js

Hình 23: Quần lý Usr trên 8erver OguthÔ cà non

1lình 24: Dăng ký route cho phản tin tức sc ccccvc sec vtrrrerrrtirrrrrree

Hinh 25: Ding ky route cho Websitel

Tình 26: Hiển thị cải đặt kế

nỗi Oaulh2 Server trên Website]

Tlinh 27: Lum cau hình kết nối Oauth2 vào cơ sở dữ liệu

Hình 28: Thục hiện đăng nhập tải khoản bằng Server Oauth2

Hình 39: Hàm Callback sau khi login thành công bằng Oauth2

Tĩnh 30: Màn hình Welcome - Hiển thị thông tin tài khoản người đừng,

THhh 31: Tạo đatabase cho websile2

; File khỏi động ,bat để kích hoạt khởi dông Projcct

Khởi đẳng thành công 3 server trên 3 port

Hình 34: Các bước cài đặt biến môi trường PHP

Củi đặt biển môi trường PHP thành công

Bộ code thứ nghiệm gồm 4 thư mục

Sau khi import CSDE thanh céng

Trang chit Cauth2 Server

Giao diện trang quan th wos cessenssessenerseesonetsta ieee

Giao diện trang quân lý tin tức

Giao diện chức năng chỉnh sửa tín tite

TToàn thành các bước cầu hình oài đặt 35O

Câu tình Oamh2 Cliemt trên WebsiteT

Câu hình Oauth2 Chent trên Wcbsitc2 "“—

Thông bảo người đùng có đồng ý ủy quyền hay không?

Mu hình đăng nhập thành công trên Webistel

: Đăng ký tài khoản trên Oauth2 SerVET, con nieirerriis Tĩnh 42:

Hình 43:

.Mân hình dăng nhập thành công trên Webiste2 cs

DANH MỤC BÁNG BIẾU Bang 1: Xếp hạng các loại xác thực tử 1 (thấp) đến 3 (cao)?! ¬ Bang 2: Danh sách một số sản phẩm SSO đã được triển khai bởi các công ty lớn

MOP:

1 Dat van dé

Cách mạng công nghiệp 4.0 có ảnh hưởng rat manh mé dén tat ca cac

nghành nghé, cde lĩnh vực khác nhau tại Việt Nam trong đó có nghành Y tổ Hiện

nay, các cơ quan quản lý cùng các doanh nghiệp vấn đang tim kiếm các giải pháp

công nghệ nhằm hướng tới xây đựng “Bệnh viện thông minh”

Đệnh viện thông minh có thế hiểu với ý nghĩa đơn giãn nhất là bệnh viện

có đội ngữ thầy thuốc giỏi, cơ sở vật chất hiện đại và ứng dụng công nghệ thông tin để tôi ưu hóa, tự động hóa các quy trình và hoạt động tại bệnh viện Hệ thẳng Bệnh viện thông minh dược xây dựng lên tử rất nhiều các yếu tô khác nhaư như trang bị hạ tầng CNTT hiện đại, các ứng dụng phần mềm phục vụ việc khám chữa bệnh, các ứng đụng phân mềm quản lý điền hành, chuyển đối số hóa các

thông Iin đữ liệu, tích hợp ứng dựng các công nghệ nhận dạng mới (giọng nói, vị

trí, sinh trắc học ), ứng đụng trí tuệ nhân tao (AD va các công nghệ mới hỗ trợ

hoại động quần lý bệnh viên và việc cuối cùng là việc đâm bão an toàn thông tin bảo mật

Theo xu hướng phát triển chung của thời đại, mỗi người sẽ dan din phải sử

dụng nhiều các ứng đựng kháo nhan thông qua nhiều tài khoân kháo nhau và phải

l nhớ mật mã riêng cho từng, tải khoản Thực tế trước khi có SSO, mỗi người

sử dụng đã phải nhập các tài khoản va mật khảu cho từng ứng dụng hoặc các hệ

thông khác nhau trong cùng một phiên (sessiơn) Điều nảy rõ rảng gây ra tốn nhiều thời gian, trong môi trường Y tế cũng như trong tất cá môi trường đặc thủ

khac, mdi phút mỗi giây thời gian đêu rất đáng quý

Trong môi trường Ý tế các thủ tục hành chính không quá phức tạp rhưng

khả rườm rả vả mất thời gian như trong các khâu xếp hàng chờ, đăng ký khám,

chuẩn bị giấy tờ, kiếm tra giấy tò Vi vậy thay vi phải ngồi chờ hoặc phải qua

nhiền bộ phận để làm các thủ lục hành chính (các loợi giấy lờ) thì người bệnh có thê đăng ký hẹn khám trước và xem trước những giấy tờ cần phải chuẩn bị, quy

trình đăng ký khám trước khi đến khám Việc này không chỉ giúp cho giảm thời

gian chờ rất nhiều cho bệnh nhận mà con làm giảm áp lực cho người nhà bệnh

nhân cũng như làm tăng cơ hội chữa trị cho bệnh nhân mỗi khi đến khám Ngoài

ra, bệnh nhân côn có thể xem các thông tin Ý tế chính xác, chứnh thống, xi tư

1

vấn hỏi đáp khám bệnh và nhận phân hồi từ các chuyên gia đâu nghành day kink nghiệm, dịa chỉ mua thuốc uy tín trên hệ thông website của Bệnh viện cht bang một tài khoản đuy nhất Hiện nay trên các trang mạng xã hội luôn tốn tại những,

thông Hin không chính thống, xuyên lạc gầy hoang mang xã hội, việu xây dựng

xmột hệ thông thông tin chỉnh xác, ưu trú, chính thông nhằm đảm bảo quyền lợi

của mọi người khi tham gia đêu được minh bạch, rõ ràng và công bằng Do vậy,

xây dung bệnh viên thông mình với giải pháp SSO là rất cân thiết

2 Phương pháp để xuất

Hiện nay có nhiều giải pháp kỹ thuật khác nhau cho phép xây đựng hệ thống SSO Các giải pháp nảy déu có những ưu diễm, nhược diễm riêng Đứng, trên phương diện người phụ trách triển khai hệ thống tửủ việc lựa chọn một giải pháp phù hợp với đơn vị mình là rất quan trọng, đồng thời tiêu chí “An toàn,

bảo mật thông tin” phải đặt lên hàng đầu

Mục đích nghiên cứu cửa luận văn: Tập trung nghiên cứu giải pháp xây

dung hé théng SSO giao thie chun OAuth? tai Bénh viện cho pháp thực thí các nhiệm vu liên quan đến xác thực (authentication) và thâm định (ủy quyền)

(authorization) cưng cấp quyền truy cập tài ngưyên người đừng kết hợp với mô

hình hạ tầng trang thiết bị phần cứng để tăng cường tính bão mật cho hệ thông Người dùng đăng nhập vào một hệ thông sẽ tự dộng ding nhập vào tất cả các hệ

thông còn lại trong một phiên đáng nhập Giải pháp tạo nên táng cơ sở giúp cho

Tệnh viện có

ây dụng nghiệp vụ quần lý lập trưng Nẵng cao trải nghiệm, tính

thân thiện, để sứ dụng, tính bảo mật thông tin cho người ding, tinh an toản, tính:

bảo mật, tính khỏi phục, sao lưu khỏi phục dữ liệu cho hệ thắng Tăng cường ứng đụng Công nghệ thông tin (CNTT) trong quản lý hành chính bệnh viên góp phần

hiện đại hỏa, tiền tới mục tiêu xây dựng lệnh viện thông minh

Đôi tượng nghiên cứu của luận văn baa gồm: Cơ chế đăng nhập một lần

SSO, giao thức OAuth2, mô hình trang thiết bị hạ tầng

Phạm vi nghiên cứu của luận văn: lệ thông CNTT tại Bệnh viện Y học

cổ truyền Trưng trơng

Để thực hiện dược mục đích nghiên cửu nêu trên, phương pháp nghiên cứu

sử đụng trang luận văn là phương pháp nghiên ot lý thuyết và kết hợp với

phương pháp triển khai thờ nghiệm Để có thể làm được Ứa tác giã phải thư thập

3

tai liệu từ nhiều nguồn thông tim khác nhau bao gồm: Tnlemel, sách báo và những

người có kinh nghiệm

Trong các chương sau của luận văn tôi sẽ khải quát lại các khái niệm về hệ thông đăng nhập một lẫn SSO và giao thức chuẩn OAuth2 Dựa trên diều kiến thực tế tại đơn vị công tác của bản thân dé dé xuất giải pháp xây dựng hệ thống

đàng nhập một lân, mô hình ha tang thiét bi cho phủ hop va tổng kết lại các kết

quả dạt được, các kết luận mới, dễ xuất hướng phat triển

3 Bỗ cục luận văn

Bồ cục luận văn nội dung chỉnh gẻm 4 chương:

Chương 1: Cơ chế đãng nhập một lần (SSO): Trinh bay các vẫn dễ liên quan đến SSO (giới thiệu, một số giao thức xác thực, một số giải pháp, ưu, nhược

điểm, rúi ro khi triển khai)

Chương 2: Giaa thức OAuth2: Trình bày các vấn đề liên quan dến giao

thức OAuth2 (giới thiệu, nguyên hy hoại động, các cấp ủy quyền, các hoạt động

khác, ưu, nhược điễm)

Chương 3: Đề xuất giải pháp xây dựng hệ thẳng SSO sử dụng giao thức

OAuth2 tại Bệnh viện VHCTTH: Trình hày về các vẫn đề liên quan đến giải

pháp xây dựng hệ thông SSO sử dụng giao thức O4Auth2 tại Bệnh vién YHCTTW

(bài toán thực tế, giải pháp, mục tiêu của giải pháp, ưu diễn, nhược diễm của

giải pháp, phân tích thiết kế tổng quan hệ thẳng) và các vấn đề liên quan đến thứ

nghiệm

Chương 4: Kết luận và đề xuẤt hướng phát triển: Tổng kết các kết quả đạt

được, đóng góp mới, kết luận môi và đề xuất huóng phát triển tiếp theo cho giải

pháp

Phụ lục tài liệu tham khảo

CHƯƠNG 1: CO CHE DANG NHAP MOT LAN (SSO) 1.1 Giới thiệu về SSO

1.1.1 Khái niệm

Đăng nhập một lần (SSO) là dịch vụ xác thực phiên vả người dùng cho phép người dùng cuối nhập một bộ thông tin đăng nhập (có thê gồm tên và mật khẩu) để cỏ quyên truy cập vào nhiều ứng dụng Trong dịch vụ web SSO co ban,

module agent trén may chi ứng dụng sẽ truy xuất thông tin xác thực cho từng

người dùng từ máy chủ SSO chuyên dụng, đồng thời xác thực chéo người dùng

qua kho lưu trữ người dùng dưởi dạng thư mục LDAPH'L Dịch vụ xác thực người dùng cuối cho tất cả các ứng dụng mả người ding đã được cấp quyên vả loại bỏ lời nhắc nhập mật khẩu tiếp theo cho các ứng dụng riêng lẻ trong củng

một phiên!9k

Trước khi cé SSO, ngudi dủng phải quan lỷ nhiều tải khoản va mật khâu Hình 1: Giới thiệu vẻ SSOR®I khác nhau để truy cập các ứng dụng website, phản mềm, hệ thông, khác nhau

4

Điều đỏ gây khĩ khăn cho người dùng trong việc quản lý lài khoản, ghỉ nhớ và

sử dụng các tài khoăn một cách nhanh chĩng Do đĩ, hệ thống SSO sẽ dem lai nhiều thuận tiện cho người dùng trong việc quản lý thay vì quân lý trên nhiều tải

khoản khác nhau thì chỉ phải quân lý một tải khoản duy nhất Tuy nhiên, việc bảo xuật trên một tài khoăn duy nhất như “7 con đao 2 lưỡi”, việc quản lý tài khốn,

sử đụng một tài khoản sẽ để đàng, thuận tiện hơn rât nhiêu nhìmg, đồng thời rủi

ro, sự thiểu an tồn thơng tin bảo mật cũng bị đây lên cao Nêu khơng may tai khốn gốc bi tin tic dinh cắp thì một loạt thơng tin cá nhân sẽ bị truy cập trải phép De vậy, hệ thơng SSO nên kết hợp các loại hình xác thực khác nhan được trình bảy trong mục 1.1.2 dễ tăng cường tỉnh bảo mật của hệ thống là diều rất

quan trọng

Đăng nhập là quá trình người đùng sử dụng định danh và các thơng tỉn bâo

muật khác dễ kết nối bảo mậL với hệ thống, thơng thường là đùng ID

Cdentification) va mật khâu Quá trình đăng nhận gồm 2 bước xác thục và thẩm định (đy quyền)

- Xác thực (Authentication): Xác thực người dùng cĩ hợp lệ khơng thơng

qua các phương thức xác thực của hệ thống, ph biển nhật là username/password, Trgội ra cịn mội số phương pháp xác thực khác

- ‘Tham dinh (Gy quyén) (Authorization): La qua trinh kiém tra sau khi

người ding dai được xác thực cĩ đồng ý ứng dụng bên thứ 3 truy cập vào tải

Trguyên lấy thơng tin người dùng hay khơng?

1.1.2 Các phương pháp xác thực

Xác thực (Authentication) là một hành động nhằm chứng thục một người,

„một cá nhân hay một doi tung nao đĩ Xác thực cho phép xác dụnh đổi tượng sử dụng hiện tại la ai vả cĩ mặt ở đầy hay khơng? Theo cách hiểu đơn giản nhất, quả

trình xác thựo (Authentication) là đi tim câu trã lời cho câu hỏi “Bạn là ai?”

Các phương pháp xác thực cĩ thẻ chia thành 3 loại dựa theo các đặc diễm

của chúng

Hình 2: Phan loai cae phurong Chic xic thc!!!

Knowledge-based authentication””Ì (xác thực theo trí thức): Dây là

phương thức sử dụng rộng rãi nhất liện nay Phương thức sử dụng mật khẩu bằng các chuối ký tự, hình ảnh, nhận đạng khuôn mặt hay sử dụng mã số cá nhân

(PINs) Đối với mạng Internet không đảm bảo về an ninh, đi

© thực thường sử

dụng chúng chỉ số (Digital Cerlificatcs) and chữ ký số (Digilal Signatures) Chủng dược cung cấp bởi một hạ tầng khỏa công khai (PKI) bao gồm một cặp

khỏa mật mã công khai và riêng tư

Possession-based authenticatianL2l (xác thực theo sự sứ hữu): Dựa vào

những gi mả người dùng có, phố biến là các loại thể từ Tuy nhiên nhược điểm

của phương thức này là thẻ cá nhân có thể bị chiếm đoạt hay lây cắp bởi các thủ doạn tỉnh vi Vì vậy phương thúc này phải kết hợp giữa thể và các loại mã PIN

để có thể sử dụng

Biometric-based authentication"! (x4c thwe theo sinh trắc hoc): Day 1a

phương thức xác thực dựa trên các đặc diểm sinh lý, hảnh vị của người dùng, do

là các đặc điểm đã được chúng minh là có thể xác thực như vẩn tay, vong mac, khuân mặt, giạng nói Phương thức này đem lại biệu quả bảo mật rất cao vì nó

không để đăng bị dánh cắp Tuy nhiện phương thức này chủ yếu được sử dụng trong các hệ thông quan trọng, nơi yêu câu độ bảo mật cao vị chỉ phí triển khai

rất lớn

Bang 1: Xếp hạng các loại xác thực từ 1 (thấp) đến 3 (cao)?!

Hình 3: Cách thức hoat dong ctia Single sign-on!"!

SSO hoạt động theo các bước tuần tự như sau:

1 Người dùng lần đầu truy cập domain]

2 Domain] sẽ chuyển hướng về trang login AuthServer đề xác thực người

dùng

3 AuthServer thực hiện xác thực với thông Hn nhận được từ trang đăng

4 AuthServer thực hiện lưu “eoekie' với thông tin xác thực của domain!

5 AulliServer git ‘token’ va chuyén hướng về domain]

6 Domaml xác tực với “token” nhận được cho phép người dùng uy cập hệ

7 Domainl thực hiện lưu trữ “cookie” với thông tin “tokcn' xác thực nhận

được

8 Người đùng lân đầu truy cập domain?

9 Domain2 chuyển hướng vẻ trang login AutliServer dễ xác thực người ding

10 AuthServer nhận thông tin tir ‘cookie’ & bude 4 dé kiém tra xác thực

11 AuthServer giti ‘token’? va chuydn hung vé domain?

12 Dormain2 xác thục với “tdken' nhận đượp cho phép người dùng truy cập hệ

thống

13 Domain2 thực hiện lưu trữ 'cookie' với thông từì “token xác thục nhận được

1.2 Các gian thức xắc thực SSO phổ iến

Giao thức xác thực là loại giao thức mã hớa với mục dịch chứng thực các

đổi tượng Tiện nay có rất nhiều các giao thức xác thực được str dung (Pap,

Chap, Radius, Kerheras, Open Id, OAul2, Saml2 ) , tuy nhiên phố biến nhật

hiện nay là các giao thức: OAuth2, Open 1d, Saml2 vì chúng tuân theo chuân

chung và có nhiều tmì điểm và giao thức Kerberos những nằm gần đây bắt đầu

được sử dụng nhiều hơn

1.2.1 Giao thức OpenL)

+ Khái niệm

OpenID là một chuẩn mỗ cho xác thực (AuthenHieation) Được phát triển

bởi tổ chức phi lợi nhuận 'OpenIÐ Fonndation", OpenID cho phép người dùng

có thể được xác thực bởi rất nhiên website sử đụng địch vụ của bên thứ ba Người dùng có thể đăng nhập tới nhiều webstie không hệ Hiên quan tới nhau mà

không cần đứng những định danh (LIsemame) và mật khẩu (Password) riêng cho

mdi websilel?l, Phiên bản mới nhật của OpenTD la OpenTD Connect

s* Cách thức hoạt động của OpenID Connect

Hình 4: Cách thức hoạt động của OpenID Connect!!!

Quy trình hoạt động diễn ra theo các bước như saut9

(A) Người dùng sẽ truy cập bên thứ ba và yêu câu truy cập:

(B) Bén thir 3 giti ‘Authentication_request’ cho OpenID provider, mô tả

‘scope’ sé dugc yéu cau va ‘Response_type’ muon nhan được;

() OpenID provider yêu cầu user xác nhận danh tỉnh sau đó sẽ cho phép

bên thứ 3 các quyền trong *seope”;

(D) OpenID provider gửi lại bén thir 3 ‘Authentication_Response’ chira théng tin mudn 6 bude (A) thudng sé la ‘ID_Token’ va ‘Access_token’,

(E, F) Bên thử 3 sẽ dùng ‘Access_token’ dé trao déi thông tin mà minh

mong muốn

1.2.2 Giao thức SAML

SAML (Security Assertion Markup Language) là giao thức 'chuẩn mở' cho

phép nhà cung cấp nhận dang (Identity Provider) xác thực người dùng va ủy quyền cho người dùng sử dụng một địch vụ nào đó của nhả cung cấp dịch vụ

(Service Provider) ma không bắt buộc người dùng phải tạo tải khoản đăng nhập vao dich vu dol)

s* Cách thức hoạt động:

Cac thanh phan chinh

-Identity Provider (IdP): Nha cung cấp nhận dạng,

-Service Provider (SP): Nhà cung cấp dịch vụ

-SP Private Key: Được thông nhất, trao đổi trước giữa SP và IdP bằng cách

Đước 1: Người dùng thực hiện 1 yêu cầu đăng nhập tới SP

Bước 2: Phía SP sẽ tạo ra một 'SAML RequesP để gửi toi IdP,

‘SAML_Request’ nay sẽ được chính 'SP` ký điện tử (sign) bằng chữ kỷ của SP

(chữ ký của SP ở đây chỉnh là khỏa bí mật của SP)

Bước 3: Phía IdP khi nhận được 'SAML,_Request' từ SP sẽ phải xác thực chữ ký cỏ đúng lả của SP hay không bằng cách dùng khỏa private (SP private

ky dién tit (sign) vao ‘SAML_Response’ bang khéa bi mat ctia IdP

- Khdng uhiing TdP ky vio ‘SAMT._Respanse’ ma TdP cing sé ma héa cde két qua dé ligu (SAML_Assertions) co trong ‘SAML Response’ bing, khéa céng khai của SP,

Bước 5: Khi SP nhận dược “SAMT, Response”, nó sẽ thực hiện những việc sau

- Dùng khóa công khai của IđP đế xác thực xem có đúng là kết quả được gửi từ IắP hay không (đây chính là phần xúc thực mà QAuth và OAuth2 không

có) Khóa công khai của IdP cũng giống như nói ở trên, có thể lấy thông qua metadata url ciia IdP hofc 4 thé duoc trao đối trước

- Nếu xác thực dùng, chữ ký, SP sẽ tiếp tục dùng khóa công khai của chính minh để giải mã 'SAML_Assertions' đã được mã hỏa từ phía IđP

- Lay cae théng tin đữ liệu người đủng trong “SAML,_Assertions" đễ đăng

Thập người dùng vào hệ thống ofin chink tinh, va tra vé cho người địng thông

nguyên được bão vệ Khi chủ sở hữu lai nguyên là một người, nó được gọi là

người ding cudi

-Resource Server: Máy chủ lưu trữ các tải nguyên được bảo về, có khả

măng chốp nhận và đếp ứng các yêu cần lài nguyên được bảo vệ bằng

*Access_token’

-Client (Application): Mét img dung yêu câu tải nguyên được bão vệ thay

mặt cho resotrcc ownor và với sự chứng thực của tài nguyên đó

-Authorization Server : Máy clủ phát hảnh 'Access_toleen' cho client sau

Khi xác thực thành công resource owner và nhận được ủy quyền

Hình 6: Cách thức hoạt động của OAuth2f

Quy trình hoạt động diễn ra theo các bước như sau

A Client yéu cầu ủy quyền đề truy cập vao Resource Server thông qua

Resource Owner

B, Néu Resource Owner tiy quyên cho yêu cầu trên, Client sẽ nhân được giấy ủy quyên từ phía Resource Owner (dưới dạng mot ‘token’ string nao dé ching

hạn)

€ Client gửi thông tin định danh (ID) của mình kèm theo giấy ủy quyên

của Resource Owner tới Authorization Server

D Nếu thông tin định danh được xác thực vả giấy ủy quyên hợp lệ, Authorization Server sé tra vé cho Client ‘Access_token’ Dén đây quả trình ủy quyền hoàn tắt

E Để truy cập vào tài nguyên (resource) từ Resource Server va lay thong

tin, Client sẽ phải đưa ra *Access token` đẻ xác thực

E Nếu 'Access token` hợp lệ, Resource Server sẽ trả vẻ dữ liệu của tài

nguyên đã được yéu cau cho Client

1.2.4 Giao thức Kerberos

+* Khái niệm:

Kerberosl?l là một giao thức mật mã dùng đề xác thực trong các mạng máy:

tính hoạt động trên những đường truyền không an toàn Giao thức Kerberos cỏ

khả năng chồng lại việc nghe lén hay gửi lại các gói tin cũ vả dam bao tinh toàn ven của dữ liệu Mục tiêu khi thiết kế giao thức nảy lả nhằm vào mô hình client - server và đảm bảo xác thực cho cả hai chiêu Giao thức được xây dựng dựa trên

mã hoả đối xứng và cần đền một bên thứ ba mà cả hai phía tham gia giao dịch tin

chủ mà hoạt động dựa trên một máy chủ chứng thực tập trung KDC (Key

Distribution Centre) KDC cung cấp vé cho việc chứng thực người đủng và bảo

mật truyền thông bởi khoả phiên trong vẻ gồm 3 pha và 6 bước trao đôi

- Pha 1: Client chủng thực AS (Authentication Server) biết khoá mật của

tất cả người dùng được lưu giữ trên một cơ sở đữ liệu tập trung)

+ AS_REQ là yêu cầu người dùng xác thực ban đầu (khởi tạo dịch vụ) yêu cau nay được chuyên trực tiếp tới các thành phần được gọi là KDC

Authentication Server (AS),

+ AS_REP là trả lời của ruáy chủ xác thực đề yêu cầu trước đỏ VỀ cơ bân

nó chứa IGT Gnd hoa bang each sit dmg khỏa Tữ5 bị mật) và khỏa phiên (được

mmã hóa bằng khóa bí mật của người dừng yếu cẩu)

- Pha 2: Clicnt x4 thuc TGS (Ticket Granting Server) cung cấp vé dịch

vụ cho phép người dùng truy nhập vào các máy chủ trên mạng)

+TŒS_REQ là yếu cầu từ khách hàng đến (TGS) cho một vẻ thông hành

VỀ cơ bản nó chứa TGT (mã hóa bằng cách sử dụng khỏa TGS bi mat) va khoa

phiên (được mã hóa bằng khỏa bí mnật của người dừng yêu cầu),

| TGS_REP 1a tra léi của Cấp vé máy chủ để yêu cầu trước đó.Nắm bên

trong là vẻ dịch vụ theo yêu câu (dược mã hỏa với khóa bí mật của dịch vụ) và

phiên địch vụ một khóa tạo ra bởi TGS và được rnã hóa bằng khỏa phiên trước

dé due tao ra bai AS

- Pha 3: Khách hàng truy cập và được cấp pháp sử dụng địch vụ

+ AP REO là yêu cần khách hàng gửi tới một máy chủ ứng đụng dé truy

cập vào một địch vụ Các thành phân là các địch vụ bán vé thu được từ TGS với

thư trả lời trước và nhân thực một lần nữa dược tạo ra bởi khách hàng, nhưng lần

này được mã hóa bằng khóa phiến địch (tạo ra bởi TGS),

+ ÁP_REP là trả lời rằng các máy chủ ứng dụng cung

ấp cho khách hàng

dễ chứng mình nó thực sự là máy chú của khách hang là mong muốn Goi nay

không phải lúc nào cũng được yêu câu Các khách hàng yêu cầu máy chủ cho nó

1.3 Mật số sản phẩm S§Q đã được triển khai hỡi rác rông ty lớn

Bảng 2: Danh sách một số sản phẩm SSO d& dược triển khai bởi các công ty lớn

with plugins for various

services/protocols Active

Broadcom

identities (SAMI and OTDC)

C, and complete auditing of all access to the web

solution with single sign-on

(SSO), Multi Factor Authentication aud Active Directory integration

Hewlett-

Propriet Web and Federated Single

IccWall SSO| Packard

ary Sign-On Solution 1interprise

Works with Kerberos (e.g Active Directory) and other

authentication mechanisms

PowerLinux, IBM i, 5/08,

OS/400, ATX) even when the

user name dilTers

Web, enterprise & Federated

Propriet Acces TBM Yes Identity Manager provides

Active Directory), standard

Red Hat Yes protocols (OpenID Connect, Single Sign- souree

OAuth 2.0 and SAMI 2.0)

On)

for Web, clustering

16

and single sign on

Red Hat Single Sign-On is version of Keycloak for which RedHat provides

commercial support

‘Yes, used mn Open

Identity OponAM CDDI with OpenD | entitlements and federation

Identity WSO2 Open Yes Connect, OAuth 2.0, SCIM,

Data Market Propriet

Corporation, ary

1.4, Ue diém, nhuge điểm và rủi ro khi trién khai SSO

Un diém:

- Liệ thông SSO rất phù hợp với xu thể phát triển của thời đại công nghiệp

4.0 khi mà thương mại điện tử đang phát triển võ củng mạnh mẽ, thời đại mà thời gian cũng chính hà tiên bạo, sự ign dung, lĩnh hoạt và sự thông minh được đột lên

cao IIệ thống S3O tạo ra nên tảng cơ sở giúp cho đơn vị xây đựng nghiệp vụ quản

lý tập tung

-D ngưi ử dụng: Hệ thống SSO giúp cho người đừng trơng việc quản ly tai khoán, ghi nhớ vả sử dụng các tài khoản một cách nhanh chóng, để đăng hơn thay vì quản lý nhiền tài khoản thì người dùng phải quản lý một tải

khoản duy nhất, diễu này là ưu điểm dồng thời cũng, là rủi ro của hệ thống SSG trong vấn để bảo mật của người dung, nàng cao trái nghiệm, tỉnh thân thiện, dễ

sử dụng cho người dùng,

-Đỗi với người quản trị hệ thống:

+ Người quản trị chỉ cản bảo mật và quân lý thông tin đăng ký của người

dùng một lần, vi vậy có thể giâm đưng lượng cơ sở dữ liệu và tránh được các

18

xung đột nảy sinh do phối xử lý mật khẩu của các hệ thống khác nhau, tặng khả

xăng, mớ rộng và triển khai các chiến lược bao mat

! Người quân trị có thể thay đối và cập nhật thông tin được bảo mật của người dùng khi cẩn thiết, tuột cách dé dàng hơn số với việc thay dỗi ở lừng hệ thống riêng lẻ mà người đúng, đó được phép truy cập Điều nảy rất hữu ích khi

Do vậy cần có kế hoạch rõ ràng trước vả trong, quả trình triển khai

- Việc xử lý một loạt các hệ thống con có tích hợp giải pháp SSO khéng

đơn giản, bởi vì mỗi hệ thống con có thể hoạt động trên các nên phân cứng và

phần mềm khác nhau Vì vậy, khi cài đặt sẽ phải giải quyết nhiều vẫn để liên

quan đền tính tương thích và đẳng bộ giữa cáo hệ thống

~ Các kỹ thuật mang tính mở áp dụng với hệ thống hoặc chưa được chuẩn hóa, hoặc chưa dược cung cấp, có thể gay mau thuần và không tương thích với

cáo săn phẩm khác

Rai ro:

- Mic da ding nhap mét lan là một tỉnh năng rất tiện lợi dối với người

đủng, nhưng lại tiềm ân nhiều rủi ro trong việc bảo mật Khi mả kẻ tân công khi

giảnh quyển kiếm soát thông tin đăng nhập SSO của người đứng sẽ cô quyền truy

cập vào mọi ửng dụng mà người dùng có thể truy cập, dẫn đến gia tăng mức độ

thiệt hại rất lớn

- Pé tranh các truy cập trải phép, điều cân thiết là toàn bộ các yến tô khi triển khai SSO cần phải được kết hợp với quản trị định danh chặt chế, các loại

tình xác thực phủ hợp để nâng cao tinh baa mat của hệ thông và điểu này cũng

Tiên quan đến riược diem cia SSO.

CHUONG 2: GIAO THU'C OAUTH

2.1 Giới thiệu về OAuth2

OAuth2F] là một chuẩn mở để xác thực (Authentication), thâm định (ủy quyền) (authorization) nhờ đó ứng dụng bên thử 3 có thể đại điện cho người dùng truy cập vào tài nguyên người dùng nằm trong một dịch vu nao do

OAuth? = Open + Auth (Authentication: xác thực nguời ding théng qua

việc đăng nhập, Authorization: cap quyén truy e4p vao cac Resource)

2.2 Nguyên lý hoạt động

2.2.1 Các đổi tượng trong OAnth2

Oauth2 bao gồm 4 thành phần chính:

-Resource Owner: Một thực thể có khả năng cắp quyền truy cập vào một tải

ngưyên được bão vệ Khi chủ sẽ hữu tải nguyên là một người, nó được gọi là

người dùng cuốt

-Resource Server: Máy chủ lưu trữ các tài ngưyên được bảo vệ, cô khả

năng chấp nhân và đáp ứng các yêu cầu tải nguyên được bảo vệ bằng

*Access_token’

-Client (Application): Mét img dung yêu câu tải nguyên được bão vệ thay

xnặi cho resouroc owner và với sự chứng thực của tải nguyên đó

- Authorization Server ; May chu phat hanh ‘Access_token’ cho client sau

khi xác thực thanh céng resource owner và nhận được ủy quyên

2.2.2 Sơ đỗ luỗng hoạt động

Sơ đồ luồng hoat dộng, của OAuth2 mỏ tá tương tác giữa 4 đối tượng bao

gềm các bude sau:

20

|Abstract Protocol Flow

1 Authorization Request

User

2 Authonzation Grant { nica on

Anpiication 3 Authorization Grant Authioneanen

Hinh 8: So dé luéng hoat động OAuth2!

Sơ đỏ luông hoạt động OAuth2 theo tuần tự sau:

Bước 1: Application yêu cầu ủy quyên đề truy cập vao Resource Server thông

qua User

Bước 2: Nếu User ủy quyền cho yéu cau trén, Application sé nhan duge giay uy quyén (Authorization_code) tit phia User

Bước 3: Application gửi thông tin dinh danh (ID) ctia minh kém theo

‘Authorization_code’ ciia User toi Authorization Server

Bước 4: Nêu thông tin định danh được xác thực vả 'Authorization_code"

2.2.3 Đăng ký thông tin ứng dụng]

Trước khi tích hợp OAuth2 của một dịch vụ được cung cấp (Facebook,

Github, Google) trong ứng đụng Cần phải đăng ký ứng dụng với dịch vụ đó với

các thông tin chính:

Application name: Tên ửng dụng

Appleation websilo: Trang web ting dung

Chuyển hưởng URL hay Callbaek URL: Đường din của ứng dụng dễ nhận kết quả khi quá trình ủy quyển hoản tất, nhận các thông tin như mã ủy quyển,

‘Access_token’

2.2.4, Client LD va Client Seerct!)

Sau khi đáng ky ứng dụng với địch vụ, ClienID va Client Secret sé dugc tạo ra bôi dịch vụ

Clent ld: Là một chuỗi ký tụ, dùng để nhận diện ứng dụng bởi dịch vụ

Client Secret: La ma bi mat ding dé xac thuc Client TD của ứng dung

2.2.5 Các hoạt động khác

2.2.5.1 Sử dụng *Access token' để lấy đữ HiệuP!

Sau khi có được thâng tin “Access toker", ứng dựng có thể truy cập tải nguyên của người dùng (hông qua các request POST Giới hạn rong plumm vi truy cập, cho đến khi mã thông bảo hết hạn hoặc bị thu hải

a mã thông bảo truy cập đổ hết bạn hoặc nếu không thi không hợp

lệ, AFI sẽ trả vẻ lỗi không hợp lệ

2.2.5.2 Yêu cầu gửi 'Access token' móiP]

Mỗi 'Acccss token' thường có thời gian sóng nhất dịnh Khi truy cập tài nguyên nếu 'Access token' hết hạn Appplication sẽ nhận được mã lỗi "Invalid

token’ Error” Lic nay application phải gửi một yên cầu đến Atth Server để thực hiện lây *Acoss_Ioken' mới đưới dạng POST roquosl

An c ann.ắằắ.ằẶốốố ẽ nẽc

L6elienr sd=CLIBXT_ITi&eLent sserst=CLIENT_SECR

[pipers ee) oka

2.3 Các cấp ủy quyền

Trong sơ dé luéng hoat déng OAuth2, ty quyén (Authorization Grant) được sử dụng bởi ứng dung dé lay ‘Access token’ Véi ‘Access token’ ứng dung được cập phép đề lây được tài nguyên của người dùng

Các dạng ủy quyền phụ thuộc vào cách thức ứng dụng yêu cầu xác thực và dang ủy quyền được hỗ trợ bởi máy chủ ủy quyền (Authorization server)

2.3.1 Cấp ủy quyền sử dụng mã ủy quyền (Authorization Code)"

Đây là hình thức ủy quyền phổ biển nhất hay được sử dụng hiện nay

Hình 9: Sơ đồ hoạt động Authorization Code!

s* Sơ đồ hoạt động Authorization Code tuần tự như sau:

Người dùng truy cập ứng dụng

1 Yêu cầu Authorization_code

Application giti User link den noi de bat dau qua trinh nhan

Authorization_code

ient_id=CLIENT_ ID&chuyén huéng_uri=CALLBACK URL&scope=read

2 User ty quyén cho Application

Khi User truy cập vào link, nhập thông tin xác thực người dùng Sau khi xác thực xong, User sẽ được hỏi cỏ cho phép/ từ chỏi Applieation truy cập thông tin của mình không?

3 Application nhận Authorization_code

Nếu User cho phép Applicalien truy cập vào thông tin od niin, Auth Sorver

sẽ chuyển hưởng người dùng đến ApplicationChuyén huongURL ( dé ding ký ở

bước 2.3.3) Tại day Application sé liu Jai Authorization_code

4 Application yéu cau ‘Acccss_ token”

Sau khi nhận được Authorization code Application cén thy hign request

é lay ‘Access_token’

aE raed 1 masta

5 Application nhan ‘Access token?

Néu qua trinh iy quyén (authorization) thanh céng Auth Server sé chuyến hướng người dùng về chuyển hướngRI, kèm theo ‘Access token’

(CATION DCM?

Tic nay Application di duoc User dy quyén (ruy cap Application co thé sit

dung ‘Acecss_token’ dé truy cập tải nguyên của địch vụ đã dược Usor cho phép cho t6i khi ‘Access token’ hét han sit dung

2.3.2 Cần úy quyền ngằm định (ImpliciÙE!

Loại ủy quyền này thường được sử dụng cho các ứng dụng di dộng hay các

ng dụng chạy trẻn trình di (vd: Firel’ox Extension) Vi Hi do khéng thé bao mat được théng tin Authorization_code tai Client Loai ủy quyển này không thực

hiện xác thực 1D của Application, không cần phải trao đổi Authorization_code

Implicit khéng hd tro ‘refesh_token’

2

Hinh 10: So dé hoat dong Implicit!*!

s* Sơ đồ hoạt động Implicit tuần tu như sau:

1 Implicit Authorization Link

Tuong tu Authorization Code, r được đưa tới một link đề yêu cau

“Access_token’ tir Auth Server (với response_type la ‘token’)

https://OAUTH_SERVER.DOMAIN/authorize?response_type=‘token’ &client_1

d=CLIENT_ID&chuyên huong_un=CALLBACK URL&scope=read

2 User ủy quyên cho Application

Khi User truy cập vảo link, nhập thông tin xác thực người dùng Sau khi

xác thực xong, User sẽ được hỏi có cho phép/ từ chối Application truy cap thông tin của mình không?

3 Browser nhận *Access_token' thông qua chuyển hướng URI

Sau khi User cấp phép cho Application Auth Server

chuyển hưởng về chuyển hướng URI (đã đăng kỷ ở bước trước đó)

4 Browser duy tri ‘Access_1

Sau khi Browser được chuyển hướng vẻ chuyển hướng URI, nhiém vụ của

broser la duy tri “Access_token’ va điều hưởng quay trở lại ứng dụng

§ Application trích xuất ‘Access_token’

Sau khi điêu hưởng, 'Access token` được trích xuât kèm các thông tin khác

từ chuyển hướng URI

6 ‘Access_token? duve giri dén Application

Thông tin ‘Access_token’ trich xuất 6 bude 5 duge dinh kém khi diéu

hướng quay trở lại Applieation

Trắc này quá trình quả trình xác thực, ủy quyền hoàn tất

2.3.3 Cấp ủy quyền bằng password (Password)P1

Loại ủy quyển này được sử đụng cho những ứng dụng được tin tưởng bởi

Auth Server Lúc nảy User phải cung cấp usemame, password tực tiếp cho Application để lẫy “Access token’ Quá trình diễn ra hết sức đơn gián và nhanh

chóng

2.3.4 Cập ủy quyên băng thông tin ứng dung (Client Credentials)®!

T,oại ủy quyển này được sử dụng cho việc Iruy cập vào chính thông tín tải khoản của Applicatien tại địch vụ để lây thông tin của Application hay cập nhật

thông lin (nô tá, chuyên hướng _ứi ) Tại đây không có sự ham gia ctia User

sử dựng OAuth 2.0 dd dọc dữ liệu của người dùng từ một ứ

cung cap quy trinh authorization cho web, img dung may tinh dé ban và thiết bị

đi động Dây là một img dung web phia may chit sir dung authorization code va không tương tác với thông tin dăng nhập của người dùng

- Tính bảo mật, tính an toàn: OAuth 2.0 là một giao thúc dụa trên S8L (Secure Sockets Layer) đảm bảo đữ liệu piữa máy chủ web và trình đuyệt vẫn giữ được tính riêng tự để lưu token truy cập của tgười dùng, OAulh 2.0 đựa trên

85L, được sử dụng để đảm bảo các giao thức bảo mật và đang được sử dựng để

giữ an toàn cho dữ liệu

- Tính riêng tư: Nó cho phép truy cập bạn chế vào dữ liệu của người dùng

và cho phép truy cập khi authorization token hét hạn Nó có khả năng chia sẻ đữ

26

liêu cho người đùng mà không phải tiết lộ thông ta có nhân Nó để đàng hơn để thực hiện và cung cấp xác thực mạnh mẽ hơn

s# Nhược điểm:

- OAul2 cần phải dược xây dựng ci 2 pia server va clienl, ngoài ra

OAuth? tach authorization server va resource server ra cling khiến cho việc xây

đụng mắt nhiễu công sức

- Nếu các trang web yêu thích của bạn được kết nổi với máy chủ trung tâm

và tải khoăn trung tâm bj hack, thi né sẽ din đến các ảnh hưởng nghiêm trọng trên một số trang web liên kết thay vi chỉ một

CHUONG 3: DE XUAT GTAT PHAP XÂY DUNG HỆ THONG SSO SU

DUNG GIAO THỨC OAUTH2 TẠI BỆNH V

3.1 Giới thiện về ứng đụng CNTT tại Bệnh viện Y Học cổ truyền TW

3.1.1 Giới thiệu chung về Bệnh viện

Bệnh viện Y học cổ truyền Trung ương là bệnh viện đâu ngảnh về YHCT -

Trang tâm hợp tác vẻ y học có truyền (YIICT) của Tổ chức y tế thể giới tại Việt

Nam Bệnh viện có 34 khoa phỏng và trung tâm được chúa thành 4 khối: lâm sảng, edn lam sang, cdc trung tâm vả khỏi các phỏng ban chức năng Lệnh viện

cá S00 cán bộ, công chúc, viên chức, người lao động Bệnh viện có 630 giường bệnh, có các khoa lêm sảng Nội, Ngoại, Phụ, Nội Nhi, Châm cứu dưỡng sinh,

Lão, IHỗi sức cấp cứu, Da liễu, Kiểm soát và Diễu tị Ưng bướu, Khám chủa

bệnh tự nguyên chất lượng cao, Khoa khám bệnh, Khoa thận tiết niệu và nam

học, Khoa da khoa ngũ quan, Khoa cơ xương khớp; với dây đủ các trang tiết bi

hiện đại dé phục vụ cho chẩn đoán, điều trị và nghiên cứu khoa học Kê từ khi

thành lập, với chức răng và riiệm vụ chính là kế thừa, phát huy và phát triển YHCT, kết hợp YHCT với YHHĐ trong diễu trị và dự phòng, bệnh viên đã đạt

được rất nhiều thành tựu trong phát triển YHCT

3.1.2 Hạ tầng trang thiết bi, img dung CNTT tai

ệnh viện

Bệnh viện hiện dang có 5 tòa nhà triển khai hạ tầng hệ thống mạng, Hệ

thông mạng của Bệnh viện với khoảng 200 máy tính bao gởm máy bản và một số

may laptop, trong dé khoảng một nửa số máy tính dược phép kết nói ra ngoài 1Intemet, một nửa chỉ được phép kết nỗi mạng, Lan Trong đó có 7 máy chú phục

vụ các hoạt động, ứng đụng CNTT của Bệnh viện Các máy chủ chủ yên chạy hệ

điều hành Windows Server 2012 R2 Các may tram mét sé cdi windows XP, da

số cài các hệ điều hành khác nh Windows 7, Windows 10, hau hết trong số đỏ

đêu cải chương trình diệt virus Kaspersky ban quyền Các thiết bị mạng như Core

Switch, Switch, Router, Firewall cứng ŒireWall Fortigate), nguồn diện dự phòng, 'UPS, 2 đường truyền mạng tốc độ cao

3.2 Giải pháp xây dựng hệ thống SSO sứ dụng giao thức OAuth 2.0

3.2.1 Các thuận lợi và khó khăn tại Bệnh viện

s* Thuận lợi

28

~ Bệnh viện đã có nên Ling cơ sở vẺ hạ tảng trang thiết bị, phòng máy chủ trang bị tương dễi dây đủ

- Sự ủng hộ của lãnh đạo Bệnh viện cho việc phát triển ing dung CNIT

trong quân lý hành chỉnh

- Hằng năm có ngân sách trong việc phát triển ứng dụng CNET nhưng,

không nhiều

4 Khó khẩn:

- Không có nhiều kinh phi cho việc phát triển ứng dụng CNVT tại đơn vị

- Thiếu thốn nhân lực trong việc phát triển, quản ly và duy trì hệ thắng

CNTT

- TIệ thống phòng máy chủ của Bénh viện chưa có cá nhân chuyên trách đâm nhiệm, nhiều dịch vụ về hạ tảng tại Bệnh viện đang phải thuê đem vị thứ 3

hổ trợ cài đặt máy chủ, bảo trì hệ thống, nâng cắp hệ thống,

- Hệ thẳng cèn rời rạc, thiểu sự liên kết, tính năng an toàn bão mật thông tin

chưa cao, thính thoảng vẫn bị lỗi hệ thống,

3.2.2 Bài toán thực tế đặt ra

sử Bài tan thủ nhất: Xây dựng nghiệp vụ quản lý tập trung

~ Với hình thức quân lý tập trung, điêu trấy có nghữa là mọi vẫn để liên quan

sẽ dược tập trung tại một nơi vả một cá nhân hay một tổ chức sẽ có trách nhiệm

đưa ra quyết định xử lý và ban hành

Ý nưững dễ giải quyết bài toán ð dây là: Xây dựng một hệ thống dộc lập cụ thé la ‘Auth Server" chịu trách nhiệm quán lÿ tất cả những vẫn đề liên quan đồn

tài khaản người dùng truy cập vào các hệ thông khác nhau trong cùng một hệ

sinh thái của đơn vị, từ đó có thể nghiên cứu, triển khai nhiều phương án bảo mật khác nhau trên hệ thông này

# Bài toán thủ hai: Nâng cao tính trải nghiệm, tính thân thiện, dễ sử: dụng, tỉnh bão mật thông tìn cho người dùng lhả sử dụng hệ thẳng các

Website Y tế cũa Bệnh viện

- Hiện nay Bệnh viện chạy 2 trang website và web app chính là: Trang tin

tức nghiên cứu khoe học, trang phản mềm quản lý khám chữa bệnh (IS) Ngoài

za, Bệnh viện đang xây đụng loạt cáo trang website khác: trang mua bản thuốc,

trang kháuu bệnh trực tuyến, trang chấm sóc đình đưỡng