Tóm tắt luận văn Thạc sĩ Công nghệ thông tin: Nghiên cứu giải pháp tích hợp chữ ký số cho ứng dụng dựa trên công nghệ Sharepoint

Luận văn đã trình bày chi tiết các vấn đề cơ bản của an toàn thông tin, các nguy cơ mất an ninh an toàn thông tin, hàm băm, chữ ký số; một số ứng dụng văn phòng điện tử; đồng thời trình bày chi tiết về công nghệ Sharepoint, các thành phần của Sharepoint, các lỗ hổng bảo mật, giải pháp bảo mật đã có của Sharepoint và đề xuất phương pháp mới, có tính khả thi cao và an toàn hơn cho Sharepoint.

TÓM TẮT NỘI DUNG LUẬN VĂN

1 Nội dung của đề tài, các vấn đề cần giải quyết:

Chương I: Tổng quan về an toàn bảo mật thông tin và công nghệ SharePoint

 Nghiên cứu về an toàn bảo mật thông tin

 Các nguy cơ mất an ninh an toàn

 Lý thuyết về mật mã, mã hóa khóa công khai và ứng dụng

 Một số ứng dụng văn phòng điện tử và SharePoint

Chương II: Nghiên cứu giải pháp tích hợp chữ ký số cho công nghệ SharePoint

 Nghiên cứu về SharePoint và bảo mật trong SharePoint

 Nghiên cứu giải pháp bảo mật an toàn thông tin dựa trên công nghệ SharePoint

 Lựa chọn giải pháp phù hợp, có tính khả thi cao để tích hợp chữ ký số vào ứng dụng văn phòng điện tử, dựa trên công nghệ SharePoint

Chương III: Xây dựng ứng dụng tích hợp chữ ký số cho ứng dụng hệ điều hành tách nghiệp văn phòng điển tử dựa trên SharePoint

 Phân tích thiết kế, xây dựng giải pháp đã chọn vào thực tế

 Ứng dụng và tích hợp hạ tầng khóa công khai, tích hợp chữ ký số nhằm nâng cao tính bảo mật cho hệ thống văn phòng điện tử, dựa trên công nghệ SharePoint

 Cài đặt thử nghiệm chương trình demo

CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN VÀ CÔNG

NGHỆ SHAREPOINT

I Tổng quan về an toàn bảo mật thông tin

1.1 Tổng quan

Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về điện tử

- viễn thông và công nghệ thông tin không ngừng được phát triển ứng dụng thì các quan niệm ý tưởng và biện pháp bảo vệ thông tin dữ liệu cũng được đổi mới

Các phương pháp bảo vệ an toàn thông tin dữ liệu có thể được quy tụ vào ba nhóm sau:

- Bảo vệ bằng các biện pháp hành chính

- Bảo vệ bằng các biện pháp kỹ thuật(phần cứng)

- Bảo về bằng thuật toán(phần mềm)

An toàn thông tin gồm các nội dung sau:

- Tính bí mật: tính kín đáo riêng tư của thông tin

- Tính xác thực của thông tin, bao gồm xác thực đối tác( bài toán nhận danh), xác thực thông tin trao đổi

- Tính trách nhiệm: đảm bảo người gửi thông tin không thể thoái thác trách nhiệm về thông tin mà mình đã gửi

1.2 Các nguy cơ mất an toàn bảo mật thông tin

Có 4 loại mối đe dọa an toàn bảo mật thông tin như sau:

- Chặn bắt (Interception): Chỉ những thành phần không được phép nhưng cũng có

thể truy cập đến các dịch vụ hoặc dữ liệu, “nghe trộm” thông tin trên đường truyền

- Đứt đoạn (Interruption): là đe dọa làm cho dịch vụ bị mất dữ liệu hay hư hỏng,

không dùng được nữa

- Thay đổi (Modification): là hiện tưởng thay đổi dữ liệu hay can thiệp vào dịch vụ

làm cho chúng không còn dữ được các đặc tính ban đầu

- Giả mạo (Fabrication): là hiện tượng thêm vào dữ liệu ban đầu các dữ liệu hay dịch

vụ đặc biệt mà không thể nhận biết để đánh cắp thông tin hệ thống

1.3 Hệ mã hóa

Hệ mật mã là một hệ gồm 5 thành phần: M, C, K, E, D

M(message): tập các bản rõ C(ciphertext): tập các bản mã K(key): tập các khóa

E(encryption): tập các quy tắc mã hóa D(decryption): tập các quy tắc giải mã

Hình 3: Mô hình sửa dụng hàm băm bên gửi

Hình 4: Mô hình sử dụng hàm băm bên nhận

3 Hàm băm giúp xác định được tính toàn vẹn dữ liệu của thông tin: mọi thay đổi, dù

là rất nhỏ, trên thông điệp cho trước

Thuật toán băm phổ biến : Là thuật toán Secure Hash Standard (SHS) , gồm 5 thuật toán

hàm băm SHA-1, SHA-256, SHA-384, SHA- 512, SHA-224

1.5 Chữ ký số

Chữ ký số dựa trên nền tảng mật mã khóa bất đối xứng, mỗi chủ thể truyền thông sẽ có một cặp khóa riêng/công khai, khóa riêng được chủ thể giữ bí mật và khóa công khai được công bố công khai, nếu chỉ biết khóa công khai thì không thể tìm ra khóa riêng tương ứng Khi sử dụng chữ ký số trong truyền thông sẽ đảm bảo được các tính chất sau:

 Xác thực được định danh của người gửi và nguồn gốc của thông điệp bởi vì chỉ có người gửi mới có thể tạo ra chữ ký có giá trị và được xác minh đúng đắn khi sử dụng khóa công khai tương ứng để xác minh

 Bất kỳ một sử đổi nào trên thông điệp trên đường truyền đều dẫn đến kết quả quá trình xác minh chữ ký là không chính xác nên đảm bảo được tính toàn vẹn của dữ liệu được gửi

 Chỉ có người chủ khóa riêng mới có thể ký số, chính vì vậy mà người này sẽ không thể chối bỏ trách nhiệm của mình khi đã ký gửi các bản tin

 Không thể tạo ra một văn bản với một chữ ký có sẵn chính vì vậy mà không thể dùng lại chữ ký

Bản chất của quá trình ký lên bản tin chính là sử dụng khóa bí mật của mình để mã hóa bản tin Nếu áp dụng đúng nghĩa như vậy thì sẽ nảy sinh một số vấn đề khi bản tin lớn, vấn đề này xuất phát từ chính bản thân chữ ký số là sử dụng mật mã khóa công khai

Hình 5: Lược đồ ký

Hình 6: Lược đồ xác thực

II Tổng quan về Sharepoint

SharePoint là một chuẩn công nghệ của Microsoft để xây dựng portal dựa trên nền tảng NET, gồm có thành phần sau: Windows SharePoint Service (WSS), SharePoint Portal Server (SPS) và Webpart

2.1 Windows Sharepoint Services (WSS)

WSS là một dịch vụ chạy trên nền hệ điều hành Windows Server Nó cung cấp nền tảng cho việc xây dựng các Web Portal mang tính cộng tác để chia sẻ thông tin cũng như tài liệu giữa các thành viên trong một nhóm hay trong một tổ chức nào đó một cách dễ dàng và đáng tin cậy Người dùng có thể truy cập đến một Web site WSS bằng cách sử dụng một trình duyệt hoặc thậm chí thông qua các đặc trưng về tính cộng tác được tích hợp trong các sản phẩm của Microsoft như Word hoặc Excel Trong WSS có các khái niệm như: documents, tasks, contacs, events… chúng là những thông tin dùng trong việc trao đổi giữa các người dùng WSS cũng cung cấp cơ sở hạ tầng bên dưới cho phép tạo giao diện người dùng thông qua các công nghệ như Smart Page hoặc Web Part, đó là một đặc trưng rất mạnh mẽ của SharePoint bởi vì mỗi trang WSS cung cấp một giao diện người

dùng với khả năng mở rộng và cá nhân hóa cao độ Windows SharePoint Services đồng thời cũng cung cấp nền tảng để phát triển các ứng dụng, chẳng hạn các cổng thông tin điện

tử, hội thảo trực tuyến dựa Web, e – mail… Môi trường WSS cũng được thiết kế để dễ dàng và linh động hơn trong việc triển khai, quản trị cũng như phát triển các ứng dụng

Hình 7: Kiến trúc của WSS

Kiến trúc của WSS không dựa trên trạng thái của các máy chủ Web, thay vào đó

nó được xây dựng dựa trên một kỹ thuật lưu trữ tích hợp, nơi mà tất cả các dữ liệu dựa trên dạng bảng (list) và các tài liệu liên quan đến Web site được chứa trong cơ sở dữ liệu SQL Server Kỹ thuật lưu trữ này cho phép triển khai WSS từ một máy chủ sang thành một cụm mát chủ một cách dễ dàng

WSS có hai kiểu cấu hình: : stand-alone hoặc server farm, tùy theo quy mô của từng ứng dụng cụ thể mà ta nên chọn kiểu cấu hình nào cho phù hợp Đối với các ứng dụng nhỏ

ta có thể cấu hình theo kiểu stand-alone, còn đối với các ứng dụng lớn hơn (chẳng hạn áp dụng cho các tổ chức lớn hoặc các nhà cung cấp dịch vụ) thì ta có thể cấu hình theo kiểu server farm Sau đây ta sẽ trình bày về 2 kiểu này

2.2 Share point portal server (SPS)

SharePoint Portal Server là một sản phẩm dùng để xây dựng các Portal quy mô xí nghiệp, nó được thiết kế để đáp ứng mục đích tích hợp (intergration), hợp tác (collaboration), tùy biến và cá nhân hóa (personalization & customization) trong các tổ chức doanh nghiệp có qui mô vừa và lớn Nó cho phép tổ chức phát triển một cổng thông tin thông minh nhằm kết nối người dùng, nhóm, kiến thức… vì thế mọi người lấy được các thông tin liên quan về công việc để giúp họ làm việc và hợp tác một cách hiệu quả hơn

Kiến trúc:

SPS mở rộng phương pháp lưu trữ so với WSS bằng cách đưa ra hai khái niệm mới là Area

và Listing Area và Listing được dùng để tổ hợp nội dung từ các vùng khác Một Area là

một “thùng chứa” các Listing và các Area con Listing chứa các liên kết tới các tài liệu, trang web, hay các WSS list Điểm mấu chốt của Listing là ở chỗ nó cho phép liên kết tới các nội dung không phải là portal ví dụ như thư mục chia sẻ, các thư mục công cộng của Microsoft Exchange, các WSS site, Lotus Notes, như hình sau:

Windows 2003 File Server Shared Folder

SPS/WSS Deployment

Exchange Server Public Folder

WSS Deployment WSS Site

UNIX-based Web Server Public Web Site

IBM Application Server Lotus Notes

Navigate & Search SPS Portal Site

 Một Web Part đã được biên dịch sẽ chạy nhanh hơn một đoạn mã Script, mặt khác với Web Part ta có thể không cần công bố mã nguồn

 Bảo mật và điều khiển truy nhập đến nội dung bên trong Web Part

 Thực hiện các Web Part có khả năng kết nối với nhau

 Tương tác với các đối tượng được đưa ra bởi WSS (chẳng hạn ta có thể viết một Web Part để lưu trữ các tài liệu vào trong thư viện tài liệu của WSS)

 Điều khiển lưu trữ cho Web Part bằng cách sử dụng các công cụ dựa trên lưu trữ (buit-in cache tools)

 Sử dụng các tiện ích với môi trường phát triển phong phú cũng như chế độ gỡ lỗi trong Visual Studio NET

 Tạo ra một lớp cơ sở cho các Web Part khác kế thừa

Hình 9: Xây dựng một Web Part Page

2.4 Bảo mật trong Share Point

Microsoft Office SharePoint Server (MOSS) và Windows SharePoint Services (WSS) mang đến khả năng thu thập dữ liệu từ nhiều nguồn khác nhau và công bố các dữ liệu này trên một địa điểm tập trung để người dùng có thể truy cập Tuy nhiên các quản trị viên SharePoint cần phải xem xét để bảo đảm các thông tin quan trọng đó không bị tiết lộ rộng rãi đối với tất cả mọi người

Hình dưới đây sẽ cho ta thấy những nơi cần bảo mật trong Sharepoint

Hình 10: Những nơi cần bảo mật trong Sharepoint

Kết chương: trong Chương I, tác giả đã trình bày những vấn đề cơ bản trong An toàn bảo mật thông tin, các nguy cơ mất an toàn thông tin, hệ mã hóa, hàm băm, chữ ký số Tác giả cũng đưa ra các vấn đề cần nghiên cứu trong công nghệ Sharepoint, các thành phần chính của Sharepoint, các lỗ hổng bảo mật của Sharepoint và cơ chế bảo mật hiện

có Chương tiếp theo, tác giả sẽ trình bày về các phương pháp bảo mật được đề xuất trong Sharepoint và lựa chọn giải pháp bảo mật mới

CHƯƠNG II: NGHIÊN CỨU GIẢI PHÁP TÍCH HỢP CHỮ KÝ SỐ CHO CÔNG

NGHỆ SHAREPOINT

I Các giải pháp bảo mật thông tin cho Sharepoint

1.1 Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS

Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS): Phát hiện tấn công, và

có thể khởi tạo các hành động để ngăn chặn tấn công IDS phát hiện tấn công bằng cách phân tích bản sao của lưu lượng mạng và cung cấp thông tin về chúng Tuy nhiên IDS không tự động cấm hoặc ngăn chặn các cuộc tấn công

Hệ thống ngăn chặn xâm nhập(Intrusion Prevent System-IPS): Chặn sự xâm nhập trước khi nó tấn công vào bên trong mạng, cung cấp khả năng bảo vệ mạng dựa vào định danh, phân loại và ngăn chặn mối đe dọa IPS làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ các lưu lượng mạng bất hợp pháp

Do Sharepoint có thể được phát trên hệ thống mạng Intranet, Extranet hoặc Internet nên

có ba lý do để ta xem xét sử dụng công nghệ này làm giải pháp bảo mật cho Sharepoint:

 Cung cấp khả năng điều khiển truy cập mạng

 Tăng mức độ kiểm soát những gì đang chạy trên mạng

Cảnh báo các nguy cơ về tấn công và ngăn chặn chúng

1.2 Mạng riêng ảo (VPN)

VPN là một hệ thống mạng có khả năng tạo ra một mạng kết nối dựa trên một nhà cung cấp mạng nào đó Mạng kết nối này được bảo vệ sự lưu thông trên mạng và cung cấp sự riêng tư, sự chứng thực và toàn vẹn thông tin qua các thuật toán mã hóa

Các dạng kết nối trong VPN bao gồm:

 Site to site: loại này thường được áp dụng cho các tổ chức có nhiều chi nhánh con

và giữa các chi nhánh cần trao đỏi thông tin với nhau

 Remote access: loại này áp dụng cho các tổ chức, cá nhân muốn truy cập vào mạng riêng từ một địa điểm ở xa

 Intranet/Internet VPN: loại này áp dụng cho một số tổ chức mà quá trình truyền dữ liệu giữa một số bộ phận cần đảm bảo tính riêng tư Đây là dạng kết nối cần thiết để đảm bảo an toàn thông tin cho Sharepoint

1.3 Bảo mật thông tin bằng thuật toán

Như đã trình bày ở mục 1.1, bảo mật thông tin bằng thuật toán là một trong những phương pháp bảo mật thông tin có thể áp dụng cho Sharepoint, và nó rất an toàn Thay vì việc ta tìm cách hạn chế việc xâm phạm trái phép các thông tin được lưu chuyển trên đường truyền mạng, ta sẽ sử dụng các thuật toán mật mã để mã hóa dữ liệu chuyển đi kết hợp với các giải pháp xác thực để nếu có bị đánh cắp, kẻ lấy được thông tin cũng không biết được nội dung là gì

Trong luận văn, tác giả đề xuất sử dụng kết hợp hai thuật toán AES và RSA để tích hợp vào Sharepoint

II Lựa chọn giải pháp tích hợp chữ ký số vào ứng dụng văn phòng điện tử

 Tránh được rủi ro về mặt con người, nếu như có sự xáo trộn nhân sự, thay đổi người quản trị hệ thống

 Việc có thể xây dựng phần mềm từ một bên thứ ba, sẽ tránh được việc tiết lộ thông tin nội bộ

Để xây dựng ứng dụng tích hợp chữ ký số vào Sharepoint, ta cần sử dụng một usb token

để áp dụng ký số Vậy usb token là:

 Là thiết bị phần cứng để tạo khóa cặp khóa bí mật và công khai, đồng thời lưu trữ khóa bí mât của người sử dụng

 Dung lượng của usb token chỉ khoảng hơn 1Mb nhưng có tốc độ xử lý cao, lưu giữ khóa bí mật bằng một mật mã cá nhân gọi là mã pin Trong quá trình sử dụng, nếu nhập sai mã pin quá 5 lần, token sẽ bị khóa

 Một usb token có thể lưu trữ nhiều chứng thư số nhưng chỉ có một mật khẩu bảo vệ duy nhất

2.2 Tính khả thi của giải pháp

Nhờ những ưu điểm đã được phân tích bên trên, tác giả đánh giá giải pháp này có tính khả thi cao

1 Người quản trị của Sharepoint không cần am hiểu về lập trình, vẫn có thể tích hợp được ứng dụng chữ ký số vào hệ thống

2 Chỉ phải bỏ ra chi phí một lần, có thể tái sử dụng ứng dụng nhiều lần

3 Hiện nay ở Việt Nam đã có đơn vị cung cấp dịch vụ chứng thực số, thủ tục nhanh gọn, giá thành rẻ Điều này giúp cho việc các cơ quan, doanh nghiệp hoặc cá nhân

có thể đăng ký sử dụng nhanh chóng, dễ dàng

4 Chữ ký số của mỗi người là duy nhất trong một khoảng thời gian, và được pháp luật bảo vệ, chính bởi vậy người sở hữu chữ ký không thế chối bỏ trách nhiệm của mình, đảm bảo tính an toàn thông tin rất cao

5 Cơ quan, doanh nghiệp chỉ cần tích hợp ứng dụng ký số vào Sharepoint, còn người

sử dụng chỉ cần một thiết bị nhỏ gọn duy nhất là usb token, thuận tiện cho việc sử dụng

6 Việc kết hợp chữ ký số và mã hóa thông tin, tạo nên 2 tầng bảo mật Để vượt qua hai tầng bảo mật này là điều chưa thể xảy ra trong thời điểm hiện tại, chính bởi vậy

có thể coi giải pháp này là an toàn tuyệt đối hiện nay

Kết chương: Trong chương này, tác giả đã đưa ra các giải pháp bảo mật sẵn có trong Sharepoint, đề xuất các giải pháp mới có tính khả thi và độ bảo mật cao hơn Từ những

đề xuất đó, phân tích ưu nhược điểm và đưa ra lựa chọn giải pháp thích hợp nhất Chương sau, tác giả sẽ đi sâu phân tích và xây dựng ứng dụng demo cho giải pháp được lựa chọn

CHƯƠNG III: XÂY DỰNG ỨNG DỤNG TÍCH HỢP CHỮ KÝ SỐ CHO ỨNG DỤNG HỆ ĐIỀU HÀNH TÁC NGHIỆP VĂN PHÒNG ĐIỂN TỬ DỰA TRÊN

SHAREPOINT

I Phân tích thiết kế

1 Xây dựng bài toán

Một hệ điều hành tác nghiệp văn phòng điện tử hướng đến việc giải quyết các công việc văn phòng, thủ tục hành chính của đơn vị như xử lý công văn đến, công văn đi và các giấy tờ văn bản khác Hệ thống giúp việc chia sẻ thông tin trong nội bộ trở nên dễ dàng, thuận tiện hơn, nâng cao chất lượng cũng như năng suất làm việc, kiểm soát chặt chẽ quá trình giải quyết công việc Nhưng vấn đề đặt ra là làm sao đảm bảo an toàn thông tin cho các văn bản được truyền đi trên internet, intranet? Giải pháp đưa ra là trong quá trình chia

sẻ tài liệu văn bản, văn bản đó phải được tích hợp việc mã hóa và ký số để đảm bảo các tiêu chí về an ninh an toàn thông tin

2 Phân tích thiết kế

Hệ thống tượng trưng cho một đơn vị sự nghiệp gồm các phòng ban được phân cấp Người dùng trong hệ thống được cấp quyền truy cập khác nhau, mỗi người dùng có username và password để đăng nhập vào hệ thống và được cấp một chữ ký số riêng biệt Khi chia sẻ tài liệu lên hệ thống, luồng công việc sẽ được thực hiện như sau:

 User đăng nhập vào hệ thống bằng tài khoản được cấp

 Trước khi upload tài liệu lên, user cần mã hóa và ký số vào tài liệu dựa vào ứng dụng trên hệ thống

 Hệ thống gửi email thông báo đến người quản trị, thông báo có tài liệu mới được tải lên

 Người quản trị duyệt tài liệu gửi lên, chỉ những người được cấp quyền mới có thể nhìn thấy tài liệu trên hệ thống

Người dùng khác xác thực văn bản và giải mã để có thể xem được nội dung thống

3 Xây dựng giải pháp

Hệ thống được xây dựng dựa trên công nghệ Share Point của Microsoft, Windowserver

2012, Microsoft SQL 2012, Office 2013, hệ thống mã hóa RSA, usb token ký số Các yêu cầu về hệ thống cụ thể như sau: