BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Lương Trần Tuấn Anh CƠ CHẾ ĐỊNH DANH VÀ QUẢN LÝ TRUY NHẬP TRÊN ĐIỆN TOÁN ĐÁM MÂY Chuyên ngành: Công nghệ thông tin LUẬN VĂN THẠC SĨ KỸ THUẬT CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN TS Trần Hoàng Hải Hà Nội – 2014 LỜI CAM ĐOAN Tôi xin cam đoan công trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa công bố công trình khác Tác giả Lương Trần Tuấn Anh Nhận xét người hướng dẫn: DANH MỤC BẢNG Tên bảng Bảng Bảng Nội dung Công cụ Windows Azure SDK Một số hạn chế development storage Trang 77 79 DANH MỤC HÌNH Tên hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình 10 Hình 11 Hình 12 Hình 13 Hình 14 Hình 15 Hình 16 Hình 17 Hình 18 Hình 19 Hình 20 Hình 21 Hình 22 Hình 23 Hình 24 Hình 25 Hình 26 Hình 27 Hình 28 Hình 29 Hình 30 Hình 31 Hình 32 Hình 33 Nội dung Mô hình điện toán đám mây Các mức dịch vụ “đám mây” Mô hình dịch vụ điện toán đám mây Các công môi trường điện toán đám mây Quá trình identity federation Kiến trúc Identity federation dynamic management Kiến trúc Active Bundle Mã giả cho việc tạo ActiveBundle Sơ đồ trình tự cho GetEncryptionKey Cấu trúc active bundle với bảo mật siêu liệu Kiến trúc IdM Wallet Kiến trúc điều khiển truy cập môi trường đám mây Quy trình Access Control môi trường đám mây Cấu trúc Windows Azure Platform Ứng dụng Windows Azure chạy Microsoft data-center Các thành phần Windows Azure Ứng dụng Windows Azure chứa Web role Worker role Bộ lưu trữ Windows Azure gồm: Blob, Table, Queue Fabric Controller Fault Domains Update Domain Các dịch vụ bên SQL Azure Cơ sở liệu quan hệ SQL Azure Database Đồng liệu SQL Azure Database CSDL khác Tạo project azure Visual Studio Thêm vào role cho project Role Setting Kích thước máy ảo Role Setting tab Settings Thẻ Endpoint cho Web role Thẻ Local Storage Thẻ Certificates Thêm Web role hay Worker role Trang 10 14 19 28 29 35 38 39 40 44 51 56 59 60 60 61 62 64 65 65 66 67 68 73 73 74 74 74 75 76 76 77 Hình 34 Hình 35 Hình 36 Hình 37 Hình 38 Hình 39 Hình 40 Hình 41 Hình 42 Hình 43 Hình 44 Hình 45 Giao diện Development Emulator Development Storage Sơ đồ liệu Azure Email Service Mailing Lists Subscribers Messages Create Message Email Message Processing Ngăn chặn trùng lặp email Quá trình Subscription Mailinglist table Message table 78 79 80 81 81 82 82 83 84 84 85 87 MỤC LỤC LỜI CAM ĐOAN DANH MỤC BẢNG DANH MỤC HÌNH MỞ ĐẦU Lý chọn đề tài Mục đích đề tài Đối tượng phạm vi nghiên cứu Phương pháp nghiên cứu Bố cục luận văn CHƯƠNG I: ĐIỆN TOÁN ĐÁM MÂY & VẤN ĐỀ BẢO MẬT TRÊN ĐIỆN TOÁN ĐÁM MÂY I Điện toán đám mây Điện toán đám mây ? Mô hình điện toán đám mây 10 Đặc điểm điện toán đám mây 13 Các loại dịch vụ điện toán đám mây 14 Một số nhà cung cấp dịch vụ điện toán đám mây 15 II Vấn đề bảo mật điện toán đám mây 16 Rủi ro an ninh điện toán đám mây 16 Sự riêng tư tác động riêng tư đám mây 20 Trust – Sự tin tưởng 22 CHƯƠNG II: DANH TÍNH VÀ ĐIỀU KHIỂN TRUY CẬP TRONG MÔI TRƯỜNG ĐIỆN TOÁN ĐÁM MÂY 24 I QUẢN LÝ DANH TÍNH 24 Danh tính quản lý danh tính 24 Các chức hệ thống IdM 25 Federation Identity Management Single Sign On 27 Những hệ thống IdM phổ biến 31 II PHƯƠNG PHÁP ĐƯỢC ĐỀ XUẤT TRONG IdM 33 Active Bundles 33 Phương pháp đề xuất nhằm bảo vệ PII điện toán đám mây 42 III ACCESS CONTROL 47 Thế Access Control ? 47 Giải thích Access Control 47 Access Control Và User Profile Management 48 Mô hình Access Control Model cho môi trường điện toán đám mây 49 Kiến trúc đề xuất cho Access Control môi trường điện toán đám mây 51 uy trình làm việc mô hình Access Control môi trường đám mây 56 CHƯƠNG III: WINDOWS AZURE PLATFORM - LÀM VIỆC VỚI DỰ ÁN AZURE TRONG VISUAL STUDIO 58 I Tổng quan Windows Azure Platform 58 Giới thiệu 58 Kiến trúc Windows Azure Platform 58 II LÀM VIỆC VỚI DỰ ÁN AZURE TRONG VISUAL STUDIO 71 Thiết lập môi trường lập trình 71 a Windows Azure Development Emulator 71 b Môi trường lập trình 72 Làm việc với dự án azure Visual Studio 72 a Tạo project Visual Studio 72 b Thiết lập cấu hình Roles 74 c Làm việc với Cloud Service Role 76 d Làm việc với Storage Service 77 e Công cụ Windows Azure SDK 77 Triển khai ứng dụng 80 3.1 Mô tả ứng dụng 80 3.2 Tổng quan Front-end 81 3.3 Tổng quan Back-end 83 3.4 Azure Tables 85 3.5 Azure Queues 87 3.6 Azure Blobs 88 3.7 Một số code ứng dụng 89 MỞ ĐẦU Lý chọn đề tài Trong năm gần đây, điện toán đám mây nhiều người dùng, doanh nghiệp nhắc tới công cụ hữu hiệu việc ảo hóa, sử dụng tài nguyên mạng nhận nhiều quan tâm nhà khoa học máy tính Điện toán đám mây liên quan đến khái niệm công nghệ mạng, ảo hóa mạng bao gồm khái niệm phần mềm dịch vụ, với xu hướng công nghệ bật khác Trong đề tài chủ yếu vấn đề dựa vào Internet để đáp ứng nhu cầu điện toán đảm bảo an toàn thông tin người dùng… Điện toán đám mây hay điện toán máy chủ ảo mô hình điện toán sử dụng công nghệ máy tính phát triển dựa vào mạng Internet Thuật ngữ "đám mây" mạng Internet kết cấu hạ tầng bên Các vấn đề bảo mật liên quan không ngăn bùng nổ công nghệ ưa chuộng điện toán đám mây khả giải đáp ứng nhu cầu kinh doanh Để đảm bảo an toàn cho đám mây điện toán, cần nắm vai trò phát triển công nghệ Rất nhiều câu hỏi tồn xung quanh ưu khuyết điểm sử dụng điện toán đám mây tính bảo mật, hữu dụng quản lí ý xem xét Bảo mật đề tài người dùng thắc mắc nhiều nhiều câu hỏi đặt để định liệu việc triển khai điện toán đám mây có phù hợp hay không có nên chọn mô hình cho phù hợp: cá nhân, công cộng hay hai Với lý trên, quan tâm lựa chọn đề tài “Cơ chế định danh quản lý truy nhập điện toán đám mây.” Mục đích đề tài Nghiên cứu phương pháp tăng cường bảo mật cho điện toán đám mây Từ đưa giải pháp giúp doanh nghiệp, tổ chức, người dùng cá nhân có biện pháp bảo mật thích hợp nhằm hạn chế thấp rủi ro cung cấp tham gia sử dụng dịch vụ điện toán đám mây Đối tượng phạm vi nghiên cứu Tập trung nghiên cứu vấn đề bảo mật, chế định danh quản lý truy cập điện toán đám mây, tìm hiểu Windows Azure Platform ứng dụng điện toán đám mây Phương pháp nghiên cứu Kết hợp nghiên cứu lý thuyết, tìm hiểu tình hình an ninh bảo mật điện toán đám mây, đánh giá nguy tiềm tàng đề xuất giải pháp tăng cường chế an ninh bảo mật điện toán đám mây Bố cục luận văn Nội dung luận văn chia làm chương sau:  Chương I: Điện toán đám mây & vấn đề bảo mật điện toán đám mây  Chương II: Danh tính điều khiển truy nhập điện toán đám mây  Chương III: Windows Azure Platform – Làm việc với dự án Azure Visual Studio CHƯƠNG I: ĐIỆN TOÁN ĐÁM MÂY & VẤN ĐỀ BẢO MẬT TRÊN ĐIỆN TOÁN ĐÁM MÂY I Điện toán đám mây Điện toán đám mây ? Theo Wikipedia: “Điện toán đám mây (cloud computing) mô hình điện toán có khả co giãn (scalable) linh động tài nguyên thường ảo hóa cung cấp dịch vụ mạng Internet” Điện toán đám mây, gọi điện toán máy chủ ảo, mô hình điện toán sử dụng công nghệ máy tính phát triển dựa vào mạng Internet Hình 1: Mô hình điện toán đám mây Điện toán đám mây “một mô hình điện toán nơi mà khả mở rộng linh hoạt công nghệ thông tin cung cấp dịch vụ cho nhiều khách hàng sử dụng công nghệ Internet” Theo Gartner - tổ chức nghiên cứu thị trường toàn cầu Theo Ian Foster: “Một mô hình điện toán phân tán có tính co giãn lớn mà hướng theo co giãn mặt kinh tế, nơi chứa sức mạnh tính toán, kho lưu trữ, tảng dịch vụ trực quan, ảo hóa co giãn linh động, phân phối theo nhu cầu cho khách hàng bên thông qua Internet” Theo Viện Tiêu chuẩn Công nghệ (NIST) đưa nghĩa định nghĩa sau: “Điện toán đám mây mô hình cho phép vị trí thuận tiện, khách hàng truy cập mạng theo yêu cầu chia sẻ tài nguyên máy tính nhanh chóng từ nhà cung cấp Trong trường hợp xấu phải cung cấp dịch vụ hoạt động mức tương tác” Mô hình điện toán đám mây Theo định nghĩa, nguồn điện toán khổng lồ phần mềm, dịch vụ nằm máy chủ ảo Internet thay máy tính gia đình văn phòng (trên mặt đất) để người kết nối sử dụng họ cần Hiện nay, nhà cung cấp đưa nhiều dịch vụ điện toán đám mây theo nhiều hướng khác nhau, đưa chuẩn riêng cách thức hoạt động khác Do đó, việc tích hợp đám mây để giải toán lớn khách hàng vấn đề khó khăn Chính vậy, nhà cung cấp dịch vụ có xu hướng tích hợp đám mây lại với đưa chuẩn chung để giải toán lớn khách hàng 1.1 Bên đám mây Bên “đám mây” dịch vụ mà tập dịch vụ Các tầng định nghĩa mức dịch vụ cung cấp Hình 2: Các mức dịch vụ “đám mây” Ba tầng dịch vụ định nghĩa là: tầng Hạ tầng (Infrastructure), tầng Nền tảng (Platform), tầng Ứng dụng (Application) Phía tầng phần cứng tầng ảo hóa 10 trường hợp thể worker role khác kéo work item tương tự Đây tính độc quyền cho thuê Azure queues tạo điều kiện thuận lợi cho việc chia sẻ khối lượng công việc nhiều trường hợp worker role Ứng dụng Azure Email Service sử dụng hai queues có tên AzureMailQueue AzureMailSubscribeQueue  AzureMailQueue Hàng đợi AzureMailQueue phối hợp việc gửi email cho danh sách email Worker role A đặt work item vào hàng đợi cho email gửi đi, worker role B kéo work item khỏi hàng đợi tiến hành gửi email Một hàng đợi work item chứa chuỗi, chuỗi có dấu phẩy phân cách bao gồm ngày theo lịch trình tin nhắn, giá trị MessageRef, EmailAddress, cộng với flag cho biết item tạo sau worker role ngừng hoạt động khởi động lại Worker role B sử dụng giá trị để tìm kiếm row bảng message table có chứa tất thông tin cần thiết để gửi email Nếu restart flag cho thấy khởi động lại, worker B đảm bảo đảm bảo email chưa gửi trước có gửi  AzureMailSubscribeQueue Hàng đợi AzureMailSubscribeQueue điều phối việc gửi email xác nhận subscription Để đáp ứng lại gọi phương thức dịch vụ, phương thức dịch vụ đặt work item vào queue Worker role B kéo work item khỏi queue gửi email xác nhận subscription 3.6 Azure Blobs Những người quản trị Azure Mail Service đặt nội dung email dạng HTML file htm dạng văn đơn giản tập tin txt Khi họ 88 xếp email, họ tải lên tập tin trang web Create Message, ASP.NET MVC điều khiển trang lưu trữ tải tập tin lên Azure blob 3.7 Một số code ứng dụng  Code để tạo tables, queue, blob container phương thức Application_Start: private static void CreateTablesQueuesBlobContainers() { var storageAccount = CloudStorageAccount.Parse(RoleEnvironment.GetConfigurationSettingValue ("StorageConnectionString")); var tableClient = storageAccount.CreateCloudTableClient(); var mailingListTable = tableClient.GetTableReference("MailingList"); mailingListTable.CreateIfNotExists(); var messageTable = tableClient.GetTableReference("Message"); messageTable.CreateIfNotExists(); var blobClient = storageAccount.CreateCloudBlobClient(); var blobContainer = blobClient.GetContainerReference("azuremailblobcontainer"); blobContainer.CreateIfNotExists(); var queueClient = storageAccount.CreateCloudQueueClient(); var subscribeQueue = queueClient.GetQueueReference("azuremailsubscribequeue"); subscribeQueue.CreateIfNotExists(); }  Thêm lớp thực thể MailingList vào thư mục Models public class MailingList : TableEntity { public MailingList() 89 { this.RowKey = "mailinglist"; } [Required] [RegularExpression(@"[\w]+", ErrorMessage = @"Only alphanumeric characters and underscore (_) are allowed.")] [Display(Name = "List Name")] public string ListName { get { return this.PartitionKey; } set { this.PartitionKey = value; } } [Required] [Display(Name = "'From' Email Address")] public string FromEmailAddress { get; set; } public string Description { get; set; } }  Thêm MailingList MVC controller: public class MailingListController : Controller { private CloudTable mailingListTable; 90 public MailingListController() { var storageAccount = Microsoft.WindowsAzure.Storage.CloudStorageAccount.Parse(RoleEnvironme nt.GetConfigurationSettingValue("StorageConnectionString")); var tableClient = storageAccount.CreateCloudTableClient(); mailingListTable = tableClient.GetTableReference("mailinglist");  Thêm lớp thực thể Subscriber vào thư mục Models: public class Subscriber : TableEntity { [Required] public string ListName { get { return this.PartitionKey; } set { this.PartitionKey = value; } } [Required] [Display(Name = "Email Address")] public string EmailAddress { get { return this.RowKey; 91 } set { this.RowKey = value; } } public string SubscriberGUID { get; set; } public bool? Verified { get; set; } }  Thêm Subscriber MVC controller: private async Task GetListNamesAsync() { List lists = new List(); var query = (new TableQuery().Where(TableQuery.GenerateFilterCondition ("RowKey", QueryComparisons.Equal, "mailinglist"))); TableContinuationToken token = null; OperationContext ctx = new OperationContext(); TableQuerySegment currentSegment = null; while (currentSegment == null || currentSegment.ContinuationToken != null) { currentSegment = await mailingListTable.ExecuteQuerySegmentedAsync(query, token, webUIRetryPolicy, ctx); lists.AddRange(currentSegment.Results); token = currentSegment.ContinuationToken; } return lists; 92 }  Thêm lớp thực thể Message vào thư mục Models: public class Message : TableEntity { private DateTime? _scheduledDate; private long _messageRef; public Message() { this.MessageRef = DateTime.Now.Ticks; this.Status = "Pending"; } [Required] [Display(Name = "Scheduled Date")] [DataType(DataType.Date)] public DateTime? ScheduledDate { get { return _scheduledDate; } set { _scheduledDate = value; this.PartitionKey = value.Value.ToString("yyyy-MM-dd"); } } public long MessageRef { get 93 { return _messageRef; } set { _messageRef = value; this.RowKey = "message" + value.ToString(); } } [Required] [Display(Name = "List Name")] public string ListName { get; set; } [Required] [Display(Name = "Subject Line")] public string SubjectLine { get; set; } public string Status { get; set; } }  Thêm Message MVC controller: private async Task SaveBlobAsync(string blobName, HttpPostedFileBase httpPostedFile) { var blob = blobContainer.GetBlockBlobReference(blobName); using (var fileStream = httpPostedFile.InputStream) { await blob.UploadFromStreamAsync(fileStream); } } 94 KẾT LUẬN Luận văn nghiên cứu, tìm hiểu điện toán đám mây, chế định danh quản lý truy nhập điện toán đám mây, tảng Windows Azure Platform đề xuất cho việc xây dựng, triển khai ứng dụng điện toán đám mây Luận văn chủ yếu tập trung vào vấn đề sau:  Khái niệm điện toán đám mây theo quan điểm nhà cung cấp dịch vụ Những rủi ro an ninh người dùng nên làm để giảm thiểu rủi ro đám mây  Nghiên cứu giải pháp cho danh tính, quản lý danh tính người dùng mô hình đề xuất cho vấn đề Access Control điện toán đám mây  Hệ điều hành đám mây Windows Azure Thực triển khai ứng dụng azure thử nghiệm nhằm cho thấy làm để tạo triển khai ứng dụng web ASP.NET MVC multi-tier chạy dịch vụ Azure cloud sử dụng Azure Storage tables, queues, blobs Kết nghiên cứu, tìm hiểu cho thấy: Lợi IdM đề xuất: Khả sử dụng liệu nhận dạng máy chủ không đáng tin cậy Ưu điểm IdM đề xuất mang lại là: Độc lập đáng tin cậy, tương tác SP người sử dụng Cung cấp thông tin tối thiểu cho SP SP nhận thông tin cần thiết Tính di động cao Mô hình Access Control đề xuất môi trường điện toán đám mây giải số vấn đề xác thực người dùng lạ, đến từ lĩnh vực, với giải pháp an ninh khác ủy quyền quyền truy cập họ dịch vụ đám mây Vì chế hiệu cho Access Control nhằm đáp ứng tất yêu cầu kiểm soát truy cập lĩnh vực điện toán đám mây, việc nghiên cứu thêm cần thực lĩnh vực Với Windows Azure doanh nghiệp tạo sở hạ tầng với tính linh hoạt độ bảo mật cao, đồng thời sẵn sàng để mở rộng có nhu cầu, kết nối hiệu sở hạ tầng chỗ với đám mây 95 TÀI LIỆU THAM KHẢO Amos Fiat, Adi Shamir (1986), How to prove Yourself: Practical Solutions to Identification and Signature Problems, CRYPTO Abdul Raouf Khan (2012), Access Control In Cloud Computing Environment, ARPN Journal of Engineering and Applied Science, vol 7, no 5, pp 613-615 Ernesto Damiani (2005), New Paradigms for Access Control in Open Environments, Signal Processing and Information Technology, Proceedings of the Fifth IEEE International Symposium, pp 540- 545 Kumar Gunjan, G.Sahoo, R.K.Tiwari (2012), Identity Management in Cloud Computing –A Review, B.I.T, India Manoj V Thomas, K Chandra Sekaran (2013), An Access Control Model for Cloud Computing Environments, Karnataka, India Shim, S.S.Y., Geetanjali Bhalla, Vishnu Pendyala (2005), Federated identity management, Computer, vol.38, no.12, pp 120-122 96 PHỤ LỤC [1]Dịch vụ Amazon EC2 Amazon Elastic Compute Cloud (EC2) tảng sở cho môi trường điện toán đám mây Amazon cung cấp EC2 giúp cho việc tạo ra, khởi động dự phòng ứng dụng ảo cho cá nhân hay doanh nghiệp cách đơn giản [2]Application Programming Interface – API giao diện mà hệ thống máy tính hay ứng dụng cung cấp phép yêu cầu dịch vụ tạo từ chương trình máy tính khác, và/hoặc cho phép liệu trao đổi qua lại chúng Chẳng hạn, chương trình máy tính (và thường phải) dùng hàm API hệ điều hành để xin cấp phát nhớ truy xuất tập tin Nhiều loại hệ thống ứng dụng thực API, hệ thống đồ họa, sở liệu, mạng, dịch vụ web, số trò chơi máy tính Đây phần mềm hệ thống cung cấp đầy đủ chức tài nguyên mà lập trình viên rút từ để tạo nên tính giao tiếp người máy Một trình ứng dụng sử dụng để yêu cầu thi hành dịch vụ cấp thấp hệ điều hành máy tính thực Hệ giao tiếp lập trình ứng dụng giúp ích nhiều cho người sử dụng cho phép tiết kiệm nhiều thời gian tìm hiểu chương trình mới, khích lệ người dùng nhiều ứng dụng [3]Phishing phương thức công nhằm có thông tin từ sở liệu web cách giả mạo thực thể đáng tin cậy, thông tin tên số thẻ tín dụng, số an sinh xã hội, thông tin cá nhân khác người sử dụng nhà cung cấp dịch vụ khác [4]SQL injection kỹ thuật cho phép kẻ công lợi dụng lỗ hổng việc kiểm tra liệu đầu vào ứng dụng web thông báo lỗi hệ quản trị sở liệu trả để inject (tiêm vào) thi hành câu lệnh SQL bất hợp pháp, Sql injection cho phép kẻ công thực thao tác, delete, insert, update,… sỡ liệu ứng dụng, chí server mà ứng dụng chạy, lỗi thường xãy ứng dụng web có liệu 97 quản lý hệ quản trị sở liệu SQL Server, MySQL, Oracle, DB2, Sysbase [5]Cross-Site Scripting hay gọi tắt XSS thay gọi tắt CSS để tránh nhầm lẫn với CSS-Cascading Style Sheet HTML kĩ thuật công cách chèn vào website động ASP, PHP, CGI, JSP thẻ HTML hay đoạn mã script nguy hiểm gây nguy hại cho người sử dụng khác Trong đó, đoạn mã nguy hiểm đựơc chèn vào hầu hết viết Client-Site Script JavaScript, JScript, DHTML thẻ HTML [6]Multi-tenancy đề cập đến nguyên tắc kiến trúc phần mềm, nơi trường hợp phần mềm chạy máy chủ, phục vụ nhiều khách hàng khác nhau, khách hàng gọi tenant (người thuê) Trong mô hình Multitenancy, tài nguyên cấp phát “động” cho nhiều khách hàng khác nhau, khách hàng luân phiên sử dụng tài nguyên cấp phát chung Như khách hàng nhu cầu, tài nguyên rảnh hệ thống thu hồi lại cấp phát cho khách hàng khác có nhu cầu [7]Hypervisor VMM phần phần mềm máy tính, phần mềm phần cứng tạo chạy máy ảo Một máy tính mà hypervisor chạy nhiều máy ảo định nghĩa máy chủ Mỗi máy ảo gọi máy khách Hypervisor trình diễn hệ điều hành khách với tảng điều hành ảo quản lý thực thi hệ điều hành khách Nhiều trường hợp, hệ điều hành đa dạng, khác chia sẻ tài nguyên phần cứng ảo hóa [8]SSL-Secure Sockets Layer Đây tiêu chuẩn an ninh công nghệ toàn cầu tạo liên kết mã hóa máy chủ web trình duyệt Liên kết đảm bảo tất liệu trao đổi máy chủ web trình duyệt bảo mật an toàn SSL đảm bảo tất liệu truyền máy chủ web trình duyệt mang tính riêng tư, tách rời SSL chuẩn công nghiệp 98 sử dụng hàng triệu trang web việc bảo vệ giao dịch trực tuyến với khách hàng họ [9]Dynamic Provisioning công cụ “thận trọng vĩ mô - macro-prudential” giúp nâng cao tính đắn ngân hàng giúp giảm thiểu phần procyclicality gọi tính đồng chu kỳ hệ thống ngân hàng Giải thích tính đồng chu kỳ: Trong lý thuyết chu kỳ kinh doanh, biến kinh tế tương quan dương tăng trưởng đồng thời với toàn kinh tế gọi đồng/cùng chu kỳ Những biến tăng toàn kinh tế giảm gọi phản chu kỳ [10];[11]Onboarding Offboarding Trong quản lý danh tính, onboarding bổ sung danh tính nhân viên để nhận dạng quản lý truy cập hệ thống tổ chức (identity and access management system - IAM) Thuật ngữ sử dụng nhân viên thay đổi vai trò tổ chức cấp quyền truy cập mở rộng truy cập Ngược lại, offboarding đề cập đến trình IAM xung quanh việc loại bỏ danh tính nhân viên rời khỏi tổ chức Thuật ngữ sử dụng để mô tả hạn chế quyền truy cập định nhân viên thay đổi vai trò tổ chức Thủ tục onboarding offboarding phải ghi lại để đảm bảo tuân thủ yêu cầu quy định Để tránh lỗi kết từ thủ tục offboarding xử lý tay, chuyên gia đề nghị tự động hóa trình thông qua hệ thống quản lý nhân lực [12]SAML: định dạng liệu mở dựa tiêu chuẩn XML để trao đổi liệu xác thực ủy quyền bên, đặc biệt nhà cung cấp nhận dạng cung cấp dịch vụ SAML sản phẩm OASIS Security Services Technical Committee SAML có từ năm 2001; cập nhật gần SAML từ năm 2005 [13]Hệ thống Anonymous credential cho phép người dùng xác thực thân theo cách thức privacy-preserving (riêng tư, bảo toàn riêng tư) Trong hệ thống 99 chứng (credentials), người dùng Alice có credentials từ tổ chức, sau đó, cô chứng minh cho tổ chức (hoặc bên khác) cô đưa credentials thích hợp Trong hệ thống Anonymous credential, cô làm điều mà không tiết lộ điều khác danh tính Trong thực tế, chí đảm bảo cô sử dụng chứng lần thứ hai, không nói hai tương tác liên quan đến người dùng Không không xác định danh tính Alice, mà cách theo dõi giao dịch khác Alice [14]Siêu liệu (metadata) dạng liệu miêu tả liệu Trong sở liệu, metadata dạng biểu diễn khác đối tượng sở liệu Trong sở liệu quan hệ metadata định nghĩa bảng, cột, sở liệu, view nhiều đối tượng khác Trong kho liệu, metadata dạng định nghĩa liệu như: bảng, cột, báo cáo, luật doanh nghiệp hay quy tắc biến đổi Metadata bao quát tất phương diện kho liệu [15]Fiat-Shamir Identification Scheme loại zero-knowledge proof song song phát triển Uriel Feige, Amos Fiat, Adi Shamir năm 1988 Giống tất zero-knowledge proof, cho phép bên, ví dụ bên A, chứng minh cho bên khác, bên B, bên A sở hữu thông tin bí mật mà không tiết lộ thông tin bí mật cho bên B Tuy nhiên, Fiat-Shamir Identification Scheme sử dụng mô-đun số học trình xác minh song song mà giới hạn số lượng thông tin liên lạc bên A bà bên B Trong lĩnh vực mật mã, zero-knowledge proof zero-knowledge protocol phương pháp mà theo bên (bên cung cấp) chứng minh với bên (bên xác minh) tuyên bố đưa đúng, mà không chuyển tải thông tin thực tế tuyên bố [16]Tấn công man-in-the-middle: Có thể hiểu nôm na kiểu công kẻ nghe trộm MITM hoạt động cách thiết lập kết nối đến máy tính nạn nhân relay message chúng Trong trường hợp bị công, nạn nhân 100 tin tưởng họ truyền thông cách trực tiếp với nạn nhân kia, thực luồng truyền thông lại bị thông qua host kẻ công Và kết host không thông dịch liệu nhạy cảm mà gửi xen vào thay đổi luồng liệu để kiểm soát sâu nạn nhân [17]SOAP (Simple Object Access Protocol): Một tiêu chuẩn W3C, giao thức sử dụng XML để định nghĩa liệu dạng văn (plain text) thông qua HTTP SOAP cách mà Web Service sử dụng để truyền tải liệu Vì dựa XML nên SOAP giao thức không phụ thuộc platform ngôn ngữ lập trình [18]REST: Representation State Transfer – REST cấu trúc giao diện cho hệ thống triển khai truy cập thông qua network Các entry point hệ thống trừu tượng hoá vào web resource Trong REST, tài nguyên có siêu liệu định danh URL Các thao tác tài nguyên mở thông qua URL, URL tương tác với tài nguyên trả đại diện, tài liệu hay đối tượng nhị phân Ví dụ, URL cho blob, queue table trình bày đại diện REST URL cho tài nguyên kiểu lưu trữ Truy vấn REST URL trả đại diện thích hợp cho tài nguyên, ví dụ file blob hay queue message [19]ADFS (Active Directory Federation Services) giải pháp cho phép người dùng truy cập ứng dụng web cần lần đăng nhập cho dù người dùng ứng dụng nằm mạng tổ chức hoàn toàn khác Thông thường ứng dụng thuộc mạng người dùng thuộc mạng khác, người dùng yêu cầu nhập tài khoản thứ hai để truy cập ứng dụng (đăng nhập thứ cấp) Với ADFS người dùng không yêu cầu đăng nhập thứ cấp tài khoản thứ hai mối quan hệ tin cậy thiết lập mạng Trong môi trường liên đoàn (federated), tổ chức tiếp tục quản lý tài 101 khoản riêng tổ chức bảo vệ ứng dụng thừa nhận tài khoản truy cập từ tổ chức khác [20]Claims: Claims thuật ngữ, dịch mang nghĩa tuyên bố Nhưng “tuyên bố” gây khó hiểu Từ “khai báo” làm dễ hiểu Claim “khai báo” thuộc tính thân chủ thể chủ thể khác “Khai báo” name, identity, key, group, privilege – đặc quyền, khả Các Claim đưa nhà cung cấp, chúng cho nhiều giá trị sau đóng gói security token phát hành tổ chức phát hành, thường biết đến security token service (STS) Claims kéo theo mối quan hệ tin tưởng rõ ràng với tổ chức phát hành (issuer), ứng dụng bạn tin tưởng claim người dùng thời tin tưởng thực thể ban hành claim Sự tin tưởng rõ ràng tiếp cận dựa claims, không tiềm ẩn nguy tiếp cận xác thực ủy quền quen thuộc khác Claims cung cấp trừu tượng hóa mạnh mẽ cho danh tính 102 ... ĐIỆN TOÁN ĐÁM MÂY & VẤN ĐỀ BẢO MẬT TRÊN ĐIỆN TOÁN ĐÁM MÂY I Điện toán đám mây Điện toán đám mây ? Mô hình điện toán đám mây 10 Đặc điểm điện toán đám. .. cộng hay hai Với lý trên, quan tâm lựa chọn đề tài Cơ chế định danh quản lý truy nhập điện toán đám mây. Mục đích đề tài Nghiên cứu phương pháp tăng cường bảo mật cho điện toán đám mây Từ đưa... mật điện toán đám mây Bố cục luận văn Nội dung luận văn chia làm chương sau:  Chương I: Điện toán đám mây & vấn đề bảo mật điện toán đám mây  Chương II: Danh tính điều khiển truy nhập điện toán