Tải bản đầy đủ (.pdf) (197 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kinh tế - Quản lý

tìm hiểu các mô hình bảo mật và mã hóa cơ sở dữ liệu xây dựng thử nghiệm hệ cho thuê phần mềm kế toán bán lẽ trên mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.28 MB, 197 trang )

Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 1
LI CM N
Chúng em xin chân thành cm ntpth quý thy cô khoa Công Ngh
Thông Tin trng Khoa HcT Nhiên đãtntìnhging dy, truyn đtnhng
kinthc, kinh nghim quý báu cho chúng em và đcbitlàthyCao ng Tân
đãb ra rtnhiucôngscvàtâmhuyt đ hng dn chúng em hoàn thành lun
vnnày.
Chúng tôi cng xin chân thành cm ntpth bè bncùnglp đã cùng
chung vai gng scgiúpđ và chia s kinthctrong sutbnnmhc.
Licuicùng, t tn đáy lòng chúng con xin chân thành cm ncha m
vi công lao sinh thành và dng dc trong sutbao nhiêunmvtv nuôi chúng
con nhc khôn lnnênngi.
Thành ph H Chí Minh, tháng 7 nm2003
Võ Thy Hoàng Dung
Võ TunSn
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 2
Mc lc
CHNG I T VN  VÀ GII THIU  TÀI 4
CHNG II CÁC VN  BO MT DATABASE 5
THÁCH THCV VN  BOMTD LIU 5
NHNG NHN NH SAI LM V BO MT 5
CÁC HNG BOMTH THNG 5
YÊU CUV NGUYÊN TCBOMTD LIU 7
YÊU CUV BOMTTRÊNMÔITRNG INTERNET 8
RIROTRONGBOMT DATA 9
NGITHAMGIABOV H THNG 10
BOV DATA BÊN TRONG DATABASE 11


GIITHIUKHÁINIM DATABASE SECURITY 11
QUYNCA SYSTEM VÀ OBJECT 11
QUNLÝQUYNCA SYSTEM VÀ OBJECT 12
BOMTMC ROLE 15
MÃ HÓA DATA TRÊN SERVER 15
C CH
 TOÀN VN DATABASE 16
BOV DATA TRÊN MÔI TRNG NETWORK 16
GI
ITHIUVÀBOMTDATATRONGMÔITRNG MNG 16
BOV DATA LÚC TRUYNTRÊNMNG 16
MBOANTOÀNTRONGH THNG THREE-TIER 18
CHNG THCUSERVI DATABASE 19
GIITHIUV CHNG THCNGI DÙNG 19
CHNG THCBNG PASSWOWD 19
CHNG THCNGHIÊMNGT 20
CHNG THCVÀY QUYNBNG PROXY 22
SINGLE SIGON 23
S DNG VÀ TRIN KHAI SECURE DIRECTORY 24
GIITHIU 24
TP TRUNG THÔNG TIN CHIA S VI LDAP 24
BOV DIRECTORY 25
BOMT NG DNG DA TRÊN DIRECTORY 26
CHNG III PKI VÀ VN  CHNG THC THÔNG TIN 28
3.1 PKI LÀ GÌ ? 28
3.1.1 MÃ HOÁ KHOÁ BÍ M
T 28
3.1.2 MÃ HOÁ KHOÁ CÔNG KHAI 29
3.2 SO SÁNH U KHUYT IMGIAHAIPHNG PHÁP 30
3.2.1 PHNG PHÁP MÃ HOÁ KHOÁ BÍ MT 30

3.2.2 PHNG PHÁP MÃ HOÁ KHOÁ CÔNG KHAI 30
3.3 NG DNG CA MÃ HOÁ 30
3.3.1 PHNG PHÁP MÃ HOÁ KHOÁ BÍ MT 30
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 3
3.3.2 PHNG PHÁP MÃ HOÁ KHOÁ CÔNG KHAI 31
3.4 NG DNG CAMÃHOÁTRONG TÀI 34
CHNG IV CÁC MÔ HÌNH MÃ HÓA C S D LIU 35
4.1 TMQUANTRNG CAVIC MÃ HÓA 35
4.2 CHINLCXÁCTHC 35
4.3 THI IMGIIMÃVÀMÃHÓAH THNG 35
4.3.1 GII MÃ VÀ MÃ HOÁ DATABASE LÚC LOGIN VÀ LOGOUT 35
4.3.2 GIIMÃVÀMÃHOÁDATABASEKHICÓCÂUTRUYVN 36
4.4 CÁC MÔ HÌNH MÃ HOÁ C S D LIU 36
4.4.1 CÁC CHINLCMÃHOÁ-GII MÃ KHI LOGIN VÀ LOGOUT VÀO H THNG 36
4.4.2 CÁC CHINLCMÃHÓA-GIIMÃKHICÓS TRUY VN NH THNG 38
4.4.3 CÁC CHINLCT HP 39
4.5 MÔ HÌNH D LIUTHUÊPHNMM 40
4.5.1 MIUSERTHUÊPHNMMCÓMT DATABASE RIÊNG 41
4.5.2 CÁC USER THUÊ PHNMMDÙNGCHUNGMT DATABASE 41
4.6 THUT TOÁN MÃ HÓA AES 41
CHNG V CÁC MÔ HÌNH CA NG DNG 42
5.7 GIITHIUV NG DNG 42
5.7 KHOSÁTB MÁY K TOÁN TRONG THCT 43
5.2.1 NGUYÊN TCT CHCB MÁY K TOÁN 43
5.2.3 NHIMV CAB MÁY K TOÁN 43
5.2.3 C CUT CHCB MÁY K TOÁN 44
5.2.4 CÁC HÌNH THCT CHCB MÁY K TOÁN 46
5.7 MÔ T NG DNG 48

5.3.1 T IND LIUNGHIPV K TOÁN 48
5.3.2 YÊU CUCA NG DNG 54
5.3.3 MÔ T NG DNG 56
5.7 MÔ HÌNH THCTH KTHP 56
5.4.1 MÔ HÌNH QUAN NIMD LIU 56
5.7 MÔ HÌNH QUAN H 93
5.6 MÔ HÌNH X LÍ 96
5.7 USECASE DIAGRAM 166
5.7.2 MÔ HÌNH 166
5.7.2 DANH SÁCH USE-CASE 167
5.7.3 CT USE-CASE 168
CHNG VI GIAO DIN CA NG DNG 184
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 4
Chng I t vn đ và gii thiu đ tài
Ngày nay , mng Internet đã tr thành nn tng chính cho s trao đi thông tin
trên toàn cu. Mt cách rõ ràng là Internet đã và đang tác đng lên nhiu mt ca
đi sng chúng ta t vic tìm kim thông tin, trao đi d liu đn vic hot đng
thng mi, hc tp nghiên cu và làm vic trc tuyn.
S tác đng ca Internet càng mnh m hn khi mà các doanh nghip nhn
thy Internet là môi trng thun li cho hot đng kinh doanh, là c hi cho h
m rng th trng. Bên cch đó, các Chính ph cng tìm thy  Internet mt gii
pháp hu hiu giúp h trong công tác điu hành và qun lí hành chính xã hi.
iu đó đã thúc đy s ra đi ca Chính ph đin t và Thng mi đin t.
Trong bi cnh kinh doanh hin nay ti Vit Nam, phn ln các doanh nghip
đu  quy mô va và nh. Nhng doanh nghip này có nhng u đim :
• Sn phm và dch v sát vi nhu cu ca đi b phn xã hi.
• Huy đng trc tip ngun vn nhàn ri trong nhân dân và s dng đc
phn ln ngun nhân lc hin có.

• C cu, b máy t chc, qun lí gn nh, linh đng, phù hp vi giai đon
đu ca nn kinh t th trng và nng lc qun lí hin ti ca ngi Vit Nam.
• D chuyn đi c cu sn phm theo nhu cuca th trng.
Và bên cnh đó, các doanh nghip này cng có nhng mt hn ch:
• Hn ch v vn.
• Hn ch v k thut công ngh, sc cnh tranh.
• Nhân s v IT hu nh không có hoc có rt ít, cha tht s đáp ng đc
nhng yêu cu ca doanh nghip trong vic cp nht thông tin v th trng, v
sn phm, v giao dch đin t.
• Các hot đng tác nghip ch yu làm bng tay, cha khai thác ht s h
tr đc lc ca máy tính.
Xut phát t nhng hn ch trên, gii pháp tin hc hoá doanh nghip đem li
hiu qu vô cùng ln khi nó s dng đc ti đa ngun lc và tit kim đc ti
đa ngunvn.
Ý tng v gii pháp cho thuê phn mm k toán trên mng Internet đã giúp
các doanh nghip gii quyt đc các vn đ:
• Không cn phi b ra chi phí ln đ mua phn mmk toán trong khi tn
sut s dng thp (t 2 å 4 ln trong 1 nm) mà ch cn mt khon tin nh đ
thuê phn mm.
• Luôn có đc phiên bn mi nht ca phn mm.
• Tránh đc các kh nng sai sót.
• áp ng đc nhu cu tin hc hoá.
Tuy nhiên, có mt vn đ mà các doanh nghip luôn quan tâm khi tham gia vào
hot đng Thng mi đin t là vn đ v kh nng bo mt các thông tin ca
h trc các mi đe da:
• S mo danh đ truy cp bt hp pháp ngun thông tin.
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 5
• S tn công ca hacker vào doanh nhip nhm mc đích phá hoi hay cnh

tranh không lành mnh.
• Thông tin “nhy cm” có th b “nghe trm”.
Do đó, trc khi đa các hot đng kinh doanh ca mình lên Internet, vn đ
hàng đu ca các doanh nghip là phi đm bo an ninh cho h thng mng ca
mình đng thi đmbo an toàn cho nhng giao dch mà h tham gia. iu này có
th thc hin đc bng cách áp dng mt chính sách bo mt hp lí, s dng
công ngh phù hp.
 tài “Tìm hiu các mô hình bo mt và mã hoá c s d liu; Xây dng
th nghim h cho thuê phnmm k toán bán l trên mng” đáp nhu đc
cu thc t v nghip v k toán cng nh v nhu cu bo mt thông tin ca các
doanh nghip, giúp doanh nghip đáp ng đc các mc tiêu kinh doanh an toàn,
hiu qu.
Chng II Các vn đ bo mt database
Thách thc v vn đ bo mt d liu
Nhng nhn đnh sai lm v bo mt
Nhng nhn đnh sai lm v bo mt khin rt nhiu ngimc li trong
cách thit k phng án bo mt. ây là mt s các sai lmthng gp đó
• Hacker gây nên l thng v bo mt
å Thc cht, 80% data b mt do ngi bên trong h thng gây nên.
• Mã hóa là đ đ bo mt data.
å Thc cht, Mã hóa ch là 1 yu t trong vn đ bo mt.  đt đc
đn s bo mt cn nhiu yu t khác nhiu khin truy cp, Toàn vn d
liu, Tính sn sàng ca h thng và Kim soát.
• Firewall là đ đ bo mt data.
å Thc cht, các cuc tn công t Internet vn thành công 40% dù đã có
firewall
Do đó, đ có đc phng thc bo mt data hiu qu thì chúng ta cn hiu
nhng yêu cu bo mt thích hp cho h thng c th cng nh mm mng ca
s đe da đi vi data.
Các hng bo mt h thng

Trong môi trng Internet hin nay, nguy c đi vi d liu có giá tr và
nhy cm càng ln hn bao gi ht.
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 6
Chúng ta phi bo v database và server ti ni đt chúng, qun tr và bo
v quyn ca database user, đm bo đc tính bí mt v thông tin thng mi
ca khách hàng khi h truy cp database. Cùng vi s phát trin liên tc ca
Internet thì him ha đi vidata truyn trên Internet cng tng lên theo hàm
m.
 bo v tt c các phn t trên trên h thng máy tính phctp, chúng ta
cn bit đn bo mt theo nhiu chiu hng nh sau
Các hng Nguyên tC BO MT
Physical i vi ngi dùng không đc chng thc, h không th truy
cp vào máy tính ca chúng ta  mc vt lí. iu này có ngha
chúng ta phi gi máy tính trong trng thái bo mt vt lí.
Personnel Ngi có trách nhim qun tr và bo mt data trong h thng ca
chúng ta phi là ngi đáng tin cy. Vì th, cn phài có cuc sát
hch, kim tra tht k v t cách đo đc trc khi quyt đnh
tuyn dng.
Procedural Procedure dùng trong h thng phi dùng đúng data. Ví d 1
ngi chu trách nhim v backup data thì nhim vu duy nht ca
ngi đó là đm bo data đc backup và running. Mt ngi
khác chu trách nhim to ra các report v payroll và sales data thi
nhim v duy nht ca ngi y là kim tra và xác nhn tính toàn
vn ca data. Cách khéo léo nht là phân chia các nhim v, vai
trò cho user.
Technical Lu tr, truy cp, s dng và truyn data phi đc an toàn bng
nhng k thut thi hành theo nhng chính sách ca chúng ta.
Cân nhc cn thn v ri ro c th ca data đ chc rng nhng gii pháp

mà chúng ta đa ra tht s s gii quyt đc vn đ. Trong 1 s trng hp
đc bit, gii pháp k thut có th không thích hp vì ví d trong khi user ri
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 7
bàn làm vic, ngi khác có th xâm nhp. Trong trng hp này, không có k
thut nào có th gii quyt đc bài toán : Bo mt môi trng làm vic !!!
Yêu cu v nguyên tc bo mt d liu
Tính bí mt
Mt h thng an toàn phi đm bo đc tính bí mt ca data. iu đó có
ngha rng h thng đó ch cho phép user đc xem đúng data mà h có quyn
xem. Confidentiality bao gm các mt sau:
2.1 1.1 Tính riêng t trong truynthông
Làm sao chúng ta có th đm bo đc tính bí mt trong truyn thông? Bí
mt là mt khái nim rt rng. i vi mi cá nhân, nó liên quan đn kh
nng kim soát các thông tin v sc khe, công vic và credit card. i vi
kinh doanh, nó liên quan đn nhng bí mt v thng mi, thông tin đc quyn
v quy trình và sn phm, s phân tích v cnh tranh, cng nh là tip th và
bán hàng. i vi Chính ph, nó liên quan đn nhng vn đ nh bí mt v li
ích quc gia
2.1 1.2 Lu tr an toàn d liu nhy cm
Làm sao chúng ta có th đm bo đc data vn bí mt sau khi chúng
đc tng hp. Mt khi d liu bí mt đc đa vào database, tính toàn vn và
bí mt ca nó cn đc bo v trên server
2.1 1.3 Chng thc ngi dùng
Làm sao chúng ta bit đc ngi hay t chc nào có quyn xem data.
Chng thc là 1 cách thc đ giúp cho vic quyt đnh nên tin tng, cp
quyn cho ai. Nhng phng thc chng thc s giúp chúng ta bit đc Mr.
A chính la user A, Mr.B chính là user B, bit đc ai là ngi mo danh
2.1 1.4 Giám sát truy cp

Làm sao data có th hin th ra riêng bit cho tng user ? Access Control
là kh nng phân chia database đ hin th cho tng ngi riêng bit. C ch
giám sát truy cp theo tng đn v là mc đ mà database đc truy cp khác
nhau nh theo các table, view, row, column
Tính toàn vn
Mt h thng an toàn đm bo rng data mà nó lu gi là hp l. Toàn
vndata bao gm các khía cnh:
• Ch có ngi dùng đc chng thc mi có quyn thay đi data
• Toàn vn là kh nng duy trì các mi quan h đúng đn ca database
theo nh nhng quy đnh ca database
• Database phi đc bo v trc nhng virus có kh nng sa đi data
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 8
• Truyn thông trên mng cn đc bo v trc nguy c b mt, sa
hay nghe trm data
Tính snsàng
Mt h thng an toàn phi làm cho data luôn sn sàng đ phc v ngi
dùng, không đc chm tr.Nhng cách thc tn công Denial–of –Service s
làm cho h thng t chi, không cho phép ngi dùng truy cp và s dng data
ca h.Tính sn sàng ca h thng bao gm các khía cnh sau:
KH
NNG
MÔ T
Resistance H thng an toàn phi sn sàng đi phó vi nhiu tình hung khác
nhau khi b tn công.
Scalability áp ng đc s lng ln user cùng lúc truy cp và s dng tài
nguyên.
Flexibility Qun tr h thng có toàn quyn qun lý s lng user.
Ease of

Use
Bo mt không ngn tr user thc hin công vic ca h.
Yêu cu v bo mt trên môi trng Internet
Thun li và khó khn ca Internet
Mng Internet giúp các doanh nghip s dng thông tin đc hiu qu
hn bng cách cho phép khách hàng, nhà cung cp, ngi lao đng, đi tác
đc truy cp nhng thông tin thng mi mà h cn.
Mng Internet cng đa ra cách thc cnh tranh mi gia các nhà kinh
doanh, ct gim đc chi phí, tng đc thi gian làm vic.
i li, nguy c đ mtnhng thông tin nhy cm cng gia tng theo
nhng thun li bi thông tin không ch đc cung cp cho đúng ngi dùng
mà còn có th b hacker ly trm
S gia tng truy cp data
Mt trong nhng hiu qu hàng đu ca Internet là tính trc tip. Nhng
kiu cách truyn thng ca li kinh doanh c nh đt hàng qua th bu đin
hay gi đin thoi đu không còn tn ti trong thng mi đin t. Khách hàng
gi đây có th online đ làm bt c điu gì theo kiu What you see is what you
get –WYSIWYG ( Cái bn thy là cái bn có )
Trong môi trng làm vic c, mi thông tin nhy cm đu qua tay nhân
viên bt chp h có đáng tin hay không. Trong e-bussiness, bng nhng chính
sách phân quyn, nhân viên ch đc tip xúc vi thông tin theo thm quyn
ca h.
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 9
Vic đa ra e-bussiness cng làm gia tng s ngi tham gia truy cp
Internet đ ly thông tin h cn. Khi đó, Company s không bit đc nhng ai
đang truy cp đn thông tin ca mình. Qun lí truy cp đ cung cp đúng thông
tin cho ngi dùng là điu ht sc cn thit.
Cng đng đa ngi dùng

S lng ngi dùng ngày càng tng s dng Internet truy cp vào nhng
h thng e-bussiness không nhng làm tng theo nhng ri ro cho h thng mà
còn đem li nhng gii pháp ch ra các ri ro y.
Scalability
H thng dùng trên Internet phi h tr nhiu user hn h thng không
dùng Internet. Theo tiêu chí này, dù cho s nhiu các tp đoàn kinh doanh theo
kiu c có hàng ngàn khách hàng thì s ít các tp đoàn kinh doanh trên Internet
sn sàng đáp ng cho hàng triu khách hàng.
Manageability
C ch truyn thng gp rt nhiu khó khn, tn rt nhiu chi phí cho vic
qun lí user. i vi h thng s dng Internet, công vicqun lí user tr nên
d dàng hn nhiu, tit kim v thi gian, tin bc, lu tr cng nh truy xut.
Interoperability
Trong c ch truyn thng, 1 công ty phi qun lí tt các thành phn ca
h. Trong e-bussiness, company s trao đi data vi ngi khác và đ h t
qun lí thông tin ca mình nh khách hàng, nhà cung cp, đi tác.
Ri ro trong bo mt data
S gi mo thông tin
Bo mt trong truyn thông là điu cn thit đ tránh vic data b nhìn
thy hay sa đi trên đng truyn. Môi trng mng phân tán làm cho k xu
li dng đ thc hin vic thay đi ni dùng thông tin khi nó đc truyn gia
các site.
Ví d nh thông tin chuyn tin gia 2 tài khon trong 2 nhà bng là 100
$, hacker có th bt đc thông tin này t nhà bng A, sa li là 10.000 $ ri
chuyn tip cho nhà bng B. Sau đó li bt thông tin xác nhn đã chuyn tin
t nhà bng B xác nhn đã chuyn 10.000$ sa thành 100$ đ chuyn cho nhà
bng A
Nghe trm và ly trm d liu
Trên môi trng WAN và Internet, đng truyn mng là luôn không an
toàn, đc bit là đi vi các kt ni không dây dng sóng. iu này khin cho

Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 10
data có giá tr luôn b dòm ngó bi bt c ai. Nhng “con b”luônđc cài
trên mng đ có th nghe trm, n cp username và password.
S gi mo đnh danh User
Nh đã nêu trên, vic gi mo User đ hành đng phi pháp gây ra rt
nhiu tn tht cho các h thng e-bussiness. Vic đnh dng 1 user gi đây
không còn  trong phm vi username và password mà phi có s tr giúp ca
k thut đnh danh khác nh PKI
Mtkhu và nhng him ho liên quan
Trong 1 h thng ln, 1 user tng tác vi rt nhiu dch v, ng dng và
do đó h cng có tng ng nhiu username và password. Vì th, user có
khuynh hng đt nhng password ging nhau cho nhng h thng khác nhau
đ tránh phi nh nhiu password. ây là 1 điu tai hibi vì khi b l
password  1 nicng có ngha là b l  nhiu ni. Sau đây là mt s điu cn
tránh
• Tránh đt nhng password d đoán
• Dùng chung password cho nhiu ng dng
• t password quá phc tp đ ri chính user cng khó nh nên phi
lu password trong máy tính å hacker có th ly password t máy tính
S truy cp bt hp pháp đn Table và Column
Trong database có nhng thông tin quan trng mà ngay c user hp l
cng không đc xem đn. Do đó, cn qun lí database  mc column đ có
th che du đc nhng thông tin này.
C ch theo vt
Nu ngi qun tr không có c ch theo vt hành đng ca user thì s
dn đn vic user có th chi b trách nhim ca h sau khi đã làm điu gì đó.
Vì th, cn phi có 1 c ch đáng tin cy đ giám sát nhng ai đang làm gì trên
h thng.

Yêu cu qun lí ngi dùng phc tp
H thng có hàng nghìn, thm chí hàng trm nghìn user vì th vic qun lí
username và password là c mt gánh nng cah thng. Cn phân tng user
đ có th qun lí d dàng hn
Ngi tham gia bo v h thng
H thng bo mt phc tp đòi hi 1 đi ng đm bo cho vn đ an ninh.
i ng y gm
I TNG
TRÁCH NHIM
User Chu trách nhim cho nhng hành đng hp pháp, bo v
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 11
cn thn thông tin nhy cmvà password ca mình. User
phi chđng tham gia trong vn đ bo mt.
Database
Administrator
Chu trách nhim to và qun lý các user, gán quyn cho
h thng và các đi tng, phân quyn theo role cho các
user
Operating System
Administrator
Có trách nhim duy trì các c ch bo mt cp thp  H
điu hành.
Network
Administrator
Có trách nhim đmbo an toàn truyn thông trên mng.
Application
Administrators
Có trách nhim trin khai các ng dng theo hng bo

mt.
Trusted Application
Administrator
Có trách nhim to và qun lý các user ca nhng ng
dng tin cy cng nh các quyn li liên quan.
Enterprise Security
Manager
Có trách nhim duy trì s an toàn cho directory, qun lý
toàn din ngi dùng.
Bo v data bên trong database
Gii thiu khái nim database security
Bí mt, toàn vn, và sn sàng là nhng tiêu chun ca bo mt database.
Ai đc quyn truy cp data ? User đc thy nhng phn nào ca data ?
Nhng thao tác nào trên database mà user có th thc hin ? User có th xem
data nhy cm khi cn thit ?
y quyn là công vic trao cho user, program hay process quyn đc
truy cp thc th hay tp các thc th. Các quyn này có th là read only hay
read/write.
Quyn ca system và object
Quyn hn là s cho phép truy cp mang tính thi hành, ví d nh quyn
đc query trên table. Quyn hn đc cp cho user theo quyt đnh ca user
cp cao – Administrator. Quyn hn đc cp cho user hp l đ kt ni
database, thao tác trên databse.
Có 2 mng quyn hn chính:
System Privileges
ây là quynrt ln, thng thì ch Administrators và Application
Developers mi có đc quyn này. Quyn này đc thao tác trên khp
database, k c thao tác cp quyn cho user khác
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn

Trang 12
Schema Object Privilages
Quyn đc thao tác trên database thng đc đnh bi quyn đc truy
cp vào chính database đó. Schema object privileges cho phép các user thc
hin các hành đng riêng bit trên mt đi tng riêng bit.
Schema Object Privilage cho table cho phép gán các quyn thao tác trên
table cho user. Administrator có th gán các thao tác INSERT, UPDATE,
DELETE, SELECT nh là các quyn cho các user riêng bit. Tng t nh th
cho mc column.
Qun lý quyn ca system và object
User có th s dng username và password đ truy cp vào database.
Nhng đó mi ch là mc đu tiên. S phân quyn bao gm:
S dng Roles đ qun lí quyn hn
C ch Role đc s dng đ cung cp chng thc. Mt ngi hay 1
nhóm ngi có th cùng đc gán 1 Role hay 1 nhóm các Role. Bng cách
đnh ngha chi tit 1 tp các Role, administrator có th d qun lý vic phân
quyn.
Có 4 cp đ chính v Role
Database Role
Database Role là nhng quyn hn liên quan đn 1 công vic c th nào
đó trên Database đc gán cho User. Vì Role d qun lí hn quyn hn nên
Privilege bình thng s đc gán cho Role ch không gán trc tip cho User.
Các đc tính ca Role giúp cho d qun tr:
• Tng gim quyn ca user: bng cách tng hay gim Role cho user
• Qun lí đng các quyn hn : khi quyn hn thay đi, chi có quyn
gán cho Role là thay đi , khong nht thit phi thit lp li quyn hn
cho tng user.
• Gán quyn t Application: ng dng database có th đc thit k đ
enable hay disable role cho user khi user s dng Application đó.
Khoa CNTT

Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 13
Global Role
Global Role là 1 thành phn ca enterprise user security. 1 Global Role
ch dùng đc cho 1 database, nhng có có th đc gán cho 1 Enterprise Role
đnh ngha bi 1 Enterprise Directory. Mc dù global role đc qun lý trong 1
directory, quyn hn thc s ca nó li cha đng trong database mà nó đc
đnh ngha
Chúng ta có th to ra global role cc b bng cách gán privileges và
roles cho nó nhng không th gán global role cho user hay cho 1 role nào khác.
Khi 1 Enterprise User c gng kt ni vi database, Enterprise Directory s dò
và tr ra global role thích hp.
Enterprise Role
Enterprise Role là 1 cu trúc directory, lu gi các global roles cho nhiu
database. Nhng global role này s đc gán cho các enterprise user.
Application Role
Mt vn đ bo mt tn ti lâu nay là s hn ch vic truy cp database
ca user đ ngn nga vic user truy cp trc tip đn database. Ví d nh
Web-based Application. Ngày nay, đây là vn đ bo mt cc kì khó khn vì
các ng dng s dng rt nhiu cách đ to kt ni vi database å to ra nhiu
l hng
Có 1 cách khc phc vn đ này là s dng secure application role, role
đc thi hành bi 1 package. Database đc đm bo rng ch có package
đáng tin cy mi đc truy cp đ ly thông tin
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 14
S dng Stored Procedures đ qun lý quyn hn
Bng cách s dng Stored Procedures, chúng ta có th hn ch các thao
tác ca user trên database. User ch có th truy cp vào database thông qua các

Stored Procedures đc đnh ngha sn. Các Stored Procedures đc gán sn
các quyn hn khi nó đc to ra. Khi đó, cng nh mô hình roles, user không
làm vic trc tip vi privilege mà làm vic vi Stored Procedures, các Stored
Procedures này s thi hành các privilege tng ng.
S dng Network Facilities đ qun lý quyn hn
Các roles có kh nng ánh x ra các dch v bên ngoài vì th, chúng ta có
th qun,lý tp trung và qun tr tt c tài nguyên mng. Khi đó, quyn hn
đc cp qua Network, và database đã đc che ph gn ht.
S dng View đ qun lý quyn hn
Ngoài vic gán quyn c th cho user  tng table, ta còn có th cho phép
user quyn đc truy cp vào View ca table. C ch này đem li 2 mc bo
mt:
• View ch có th truy cp hu hn ti mt s column đnh sn trong
table.
• View cung cp c ch bo mt da trên giá tr cho thông tin trên table.
Vì vy, mnh đ WHERE trong đnh ngha ca View s ch show ra
nhng row đã đnh sn.
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 15
Bo mt mc role
Mt hng bo mt database khác là hng truy cp database  mc row.
 mi table, s truy cp vào tng row da trên tính cht công vic ca user.
Trc đây, nhng view phc và đng đc s dng trong c ch bo mt mc
row. Ngày nay có thêm 2 c ch mi đ lam vic này: Virtual Private Database
– VPD và Label – Based Access Control
Complex and Dynamic View
View phc và View đng là nhng k thut trc đây đc dùng trong c
ch bo mt mc row.
View phc hình thành khi Application Designer xây dng nhng table

bo v ngi dùng kt vi các table ng dng vi 1 table bo mt da trên tên
ca ngi dùng ng dng. Cách tip cn này đòi hi rt nhiu đnh ngha View
phc mà phi đc duy trì khi thay đi yêu cu v bo mt.
Cách tip cn khác là to ra các View đng. Cách này s dng dynamic
DDL execution utilities đ đnh ra 1 đnh ngha view mi da trên đnh danh
ca ngi dùng ng dng. Cách này tn quá nhiu chi phí.
Application Query Rewrite: Virtual Private Database
Virtual Private Database là kh nng thc hin các câu truy vn đuc b
sung da trên chính sách bo mt đc vit trong package và liên quan ticác
table, view. Nó cung cp mt cách thc điu khin truy cp tt là: data-driven,
context-dependent, và row-based. ây là k thut mu cht đ xây dng nhng
h thng ba tng đ đa ra mission-critical resources cho khách hàng và đi
tác.
Label – Based Access Control
Label – Based Access Control cho phép mt t chc gán nhng label lên
các data row, điu khin vic truy cp thông qua các nhãn này, và phi luôn
chc chn rng data đuc gán đúng label. Kh nng qun lí label mt cách t
nhiên là mt thun li rt ln cho e-bussiness trong vic cung cp đúng thông
tin cho đúng ngi  đúng mcbo mt d liu
Mã hóa data trên server
Mã hoá là 1 k thut che du data, khi đó ch ngi đc y quyn mi
hiu đc nidùngca data đã đc mã hoá. Nu ch mã hoá thì cha đ đ
bo mt data. Bo v d liu trên database còn bao gm Access Control, Data
Integrity, và Auditing
Các vn đ v mã hoá đc đt ra:
• Ch có ngi mã hoá data mi có th gii mã data đó
• Mã hoá không che du đc ngi qun tr ti cao ca h thng vì h
có toàn quyn trên database.
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn

Trang 16
• Cn đi theo quy trình mã hoá data ri mi đanó xung database.
Ngc li, khi truy xut database, ly data đã đc mã hoá lên ri gii mã
• Không nên mã hoá các khoá chính và khoá ngoi å tn chi phí dành
cho tìm kim
• Thut toán mã hoá. La chn thut toán phù hp s ct gim đc chi
phí cho vn đ truy cp database.
C ch toàn vn database
S toàn vn d liu đm bo rng data trong database là đúng đn và phù
hp. C ch toàn vn d liu có th chia ra thành nhiu c ch mà chúng h tr
cho toàn vn h thng đng thi chúng cng phi tuân theo các tính cht toàn
vn database có liên quan: entity integrity, referential integrity, transaction
integrity và bussiness rules.
Toàn vn h thng kiu truyn thng đm bo rng data đc đa vào h
thng phi ging vi nidùngca data khi ly ra. Hn na, data không b thay
đi hay xoá bi 1 user không đc y quyn.
Database còn phi đm bo rng data phi kt dính vi các quy đnh trong
thng mi, nh là khi đc DBA hay Application developer xác đnh. Các
ràng buc toàn vn cng nh các c ch kim li database có th đc dùng đ
qun lý nhng lut v toàn vn d liu ca database.
Bo v data trên môi trng network
Gii thiu và bo mt data trong môi trng mng
Nhng vn đ v bo mt ngày càng phc tp trong môi trng mng.
Chúng ta phi luôn kim soát đc các trng thái ca mng v truy cp, v
truyn ti đ chc chn rng thông tin không b tht thoát hay b l trên đng
truyn. Có rt nhiu k thut cho phép mã hoá thông tin nhm bo đm
• Data phi đc gi bí mt
• Data không b sa đi
• Data không b trùng lp
• Các packet không b mt. Nu mt phi đc nhn bit đ gi li.

Bo v data lúc truyn trên mng
Giám sát truy cp thông qua mng
Qun lí truy cp thông qua tng trung gian
Chúng ta có th cu hình 1 tng trung gian đ có th qun lí các kt ni t
1 cng đng đa ngi dùng.  thc hin điu này, chúng ta có th dùng
Oracle Connection Manager. Công c này cho phép nhóm các kt ni ca
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 17
client thành 1 kt ni đn đn database, nh th s làm gia tng s kt nithc
ca Client mà vn không làm tng kt ni đn database.
Chúng ta cng có th lc t IP ngun, t IP đích và t host name. Khi đó,
chúng ta có th đm bo rng kt ni ch có th đn t nhng ni có IP hp l.
Native Network Capabilities (Valid Node Checking)
Trong trng hp database cha nhng thông tin nhy cm, chúng ta cn
thit phi chc chn mt kt ni phi t 1 đim c đnh trên mng, do 1 user c
th đng nhp.
Database Enforced Network Access
Chúng ta có th s dng c ch Virtual Private Database (đã bàn trong
phn Secure Application Role  mc 2) đ hn ch truy cp database t các
Node trong mng. Cách này cng đòi hi các kt ni phi đc xác nhn đúng
IP, đúng user.
Ví d: User A có quyn truy cp đn table NHANVIEN. Nhng điu này
ch có th thc hin đc khi user này truy cp vào table ti mt máy tính ca
phòng Qun lí Nhân s. Nu cng là user A nhng ti 1 phòng ban khác nh
K toán chng hn, thì user A cng không truy cp vào table NHANVIEN
đc.
Mã hoá d liu trên đng truyn
Mã hoá giúp thông tin nhy cmtruyn trên mng đc an toàn hn. Mã
hoá là s chuyn đi thông tin t dng thy đc sang dng không thy đc.

Mun đc đc thông tin đã mã hoá thì cn phi có khoá gii mã. Mã hoá là 1
c ch bo mt rt mnh vì nu không s hu khoá gii mã, hacker hu nh
không th dò đc khoá bng thut toán đ gii mã thông tin.
Vn đ khó khn chính là vic phát hành khoá, chia s khoá gia các bên
tham gia vì  đây tim n nguy c rt ln làm mt khoá. Public Key
Infrastructure – PKI có th gii quyt tt vn đ này bng cách đa ra mt c
ch phân phi khoá hp lí cùng vi các t chc có uy tín, đ thm quyn đ
cung cp khoá. ( Xem chng PKI ).
Secure Socket Layer Protocol
Giao thc Secure Socket Layer – SSL Protocol, do Netscape Corporation
phát trin, là mt chun công nghip đc chp nhn rng rãi cho an toàn tng
vn chuyn mng. Hin ti, SSL Protocol đc tt c các trình Web Server và
Web Browser h tr. SSL Protocol cung cp các c ch chng thc, mã hoá và
toàn vn d liu trong PKI.
Khác vi các c ch chng thc da trên username và password, ch
chng thc client vi server – mà điu này là nguy him khi Server là gi mo,
SSL Protocol còn cung cp c ch chng thc 2 chiu gia Client và Server.
Trong e-bussiness, điu này càng có ý ngha khi Client bit chính xác mình đã
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 18
tr tin cho đúng nhà cung cp dch v và nhà cung cp dch v cng bit ai
đang giao dch vi mình.
Firewalls
 loi tr các đim yu, tim n nguy c ca h tng mng, chúng ta có
th chn cách gi data t giao thc này sang giao thc khác mà không phi vt
v trong vic mã hoá và gii mã.  làm đc điu này, chúng ta có nhng
cách truuyn data thông qua nhng biên giao thc mng.
Môi trng mng Internet cho phép chúng ta kt ni mng cc b ca
mình ra bên ngoài mng công cng. iu này nh con dao hai li bi ngoài

vic đem li nhng hiu qu trong công vic, nó tim n nguy c b tn công t
bên ngoài vào.
Firewall là 1 đim kim soát trên mng dùng đ ngn nga s xâm nhp
bt hp pháp t bên ngoài. Nó làm vic nh mtb lc, lc ra nhng user
không hp l bng đi ch IP đc trích ra t các packet do user gi vào bên
trong mng cc b. Firewall hot đng da trên tp nhng lut. Chúng có danh
sách lut trên đó cho phép nhng user nào đc phép hay không đc phép đi
vào mng cc b.
m bo an toàn trong h thng three-tier
Chng thc Proxy đ đm bo an toàn Three – Tier
Mt đc đim bo mt quan trng cho h thng three-tier là kh nng y
quyn cho các user đã đc chng thc t tng trung gian vi database, ngha
là user hp l đc truy cp database t các tng trung gian. Nó bo v data ti
Server bng cách ngn nga, không cho phép nhng user bt hp pháp truy
cp database thông qua Internet. iu này thc hin bng cách nó xác nhn
user hp l thông qua application và to kt ni cho user vi database.
Java Database Connectivity (JDBC)
Chúng ta có th dùng công ngh Java đ truyn data mt cách an toàn
trong môi trng three-tier. Là mt ngôn ng hng đi tng, đc lp vi h
thng, hng mng và an toàn, Java đc hu ht các Application Developer
la chn đ phát trin ng dng mng.
JDBC (Java Database Connectivity) là 1 API chun công nghip cho phép
mtchng trình vit bng Java gi các câu lnh SQL timt database liên
đi tng nh Oracle. JDBC cho phép các server  tng trung gian truy cp ti
database bng cách nhân danh user.
Java applet có th luôn truyn data trên mt kênh an toàn. Chúng ta cng
có th to đc mt kt mi an toàn ti database thông qua Java Server Pages
–JSP bi:
• Tt c các giao thc đu đc bo v.
• H tr tt JDBC-Oracle Call Interface.

Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 19
• H tr two-tier và three-tier.
Có 2 cách ng dng Java Security
• Lp trình  trình JDBC client
• Cu hình nó nh dng mt mã mng c bn
Chng thc user vi database
Gii thiu v chng thcngi dùng
iu c bn ca bo mt là chúng ta phi bit user ca mình là ai ? Trc
tiên, chúng ta phi đnh danh đc user, sau đó mi xác đnh quyn hn ca h.
User phi đc chng thc bng nhiu cách khác nhau trc khi h đc
phép to ra các phiên làm vic vi database.
• Trong chng thc database, chúng ta có th đnh ngha user đ thông
qua đó, database chng thc và y quyn.
•  chng thc bên ngoài, ta có th đnh ngha user s đc chng thc
bng h điu hành hay dch v mng.
• Hn na, user cng có th đc chng thc thông qua SSL Protocol.
• i vi enterprise user, enterprise directiry đc dùng đ chng thc
h thông qua enterprise role.
Chng thc bng passwowd
Password là mt trong nhng dng c bn ca chng thc. User phi cung
cp đúng password đ có th thit lp kt ni ti database. Bng cách này, user
đc chng thc bi các thông tin lu tr trong database. Password đc to
cùng lúc vi user, đc lu trong data dictionary  dng mã hoá. User hp l
có th thay đi password bt c lúc nào.
H thng bo mt da trên password đòi hi password phi luôn đc bo
mt mi lúc. Tuy nhiên, password thng luôn b tn hi do n cp, do gi mo
hoc do s dng không đúng cách. Mt s bc sau đây làm tng đc đim vn
có ca password và cung cp gii pháp bo mt tt hn:

• Chính sách qun lý password nên đ cho các DBA và các nhân viên an
ninh điu khin thông qua user profiles.
• DBA có th thit lp các chun v đ phc tp cho password, ví d nh
chiu dài ti thiu ca password.
• Password nên là 1 t vô ngha, không nên là tên hay ngày sinh ca ai đó
• Password có th b khóa, hay ht thi hn s dng sau 1 s ln s dng
đnh trc. iu này yêu cu user phi thay đi password thng xuyên.
• Ngn cm s dng li password sau 1 thi gian xác đnh.
• Khi 1 user c th có s ln login b li vt quá gii hn cho phép,
account ca user đó phi b khóa.
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 20
Chng thc nghiêm ngt
Vic có 1 trung tâm đ chng thc tt c các thành viên trong mng nh
client vi server, server vi server, ngi dùng vi c client ln server … là 1
trong nhng cách thc hu hiu đ tìm ra nhng mi đe da vi các node
mng. Strong Authentication có th đc thit lp bng cách s dng hai tác
nhân chng thc: s kt hp gia cái user bit và cái user có.
Chng thc nghiêm ngt đem li nhng li ích quan trng nh:
• Có nhiu c ch chng thc kh thi nh dùng Smart Card, Kerberos,
hay h điu hành
• Nhiu dch v chng thc trên mng nh Kerberos và DCE h tr
Single Signon. iu này có ngha rng user s nh ít password hn.
• Khi dùng c ch chng thc bên ngoài, database s không mt chi phí
đ làm vic này – chi phí truy cp database là rt quan trng, nh hng ti
tc đ truy xut ca h thng.
Mt s phng pháp chng thc nghiêm ngt đc s dng trong h thng
phân tán:
Kerberos và CyberSafe

Kerberos – do Hc vin Công ngh Massachusetts đa ra là mt h thng
chng thc th 3 tin cy. ây là mt h thng min phí, không phi tr tin.
Kerberos da trên s chia s bí mt. Nó coi nh h thng th 3 là an toàn,
cung cp kh nng single signon, lu tr tp trung password, chng thc kt
ni database, nâng cao bo mt PC. Tt c điu này đc thc hin thông qua
Server chng thc Kerberos hay thông qua CyberSafe ActiveTrust, mt server
chng thc thng mi da trên Kerberos.
C ch đng kí 1 ln Kerberos – Kerberos single signon, đem đn mt s
li ích. Vi vic lu tr tp trung duy nht 1 password, nó ct gim đc chi
phí qun tr và ch yêu cu user nh 1 password mà thôi. Nó cho phép điu
khin thi gian truy cp mng, và bng cách s dng c ch mã hoá DES cùng
vi c ch kim li CRC – 32, nó ngn nga đc nhng truy cp bt hp
pháp và trùng lp packet. Hn na nó còn h tr nhng kt ni database t
ngi dùng. Mt database h tr Kerberos có th phát sinh ID ca client đn
database k tip cho nhng ngi dùng truy cp thng qua h thng Kerberos
single signon.
CyberSafe là phiên bn thng mi ca Kerberos, có thêm mt s đc
đim cng nh h tr bao gm h tr CyberSafe ActiveTrust Server.
CyberSafe tp trung bo mt và cung cp c ch đng nhp 1 ln. Ging
Kerberos, nó da trên password nhng cung cp 1 c ch chng thc mnh
hn rt nhiu.
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 21
Radius
Giao thc RADIUS (Remote Authentication Dial-In User Service) là mt
giao thc chun công nghip đc chp nhn nh là mtphng thc truyn
thông thông dng. RADIUS cung cp cho user các c ch chng thc, y
quyn và thanh toán gia client và Authentication Server. Nó đc s dng
hu ht  các t chc cho phép user truy cp t xa. Các h thng xí nghip đu

da trên RADIUS bi nó đc chp nhn rng rãi, bi tính kh chuyn, bi
kh nng tp trung thông tin cu các user đ d dàng và ct gim chi phí trong
cho vic qun lý ca nó.
Token Cards
Token Cards cung cp mt phng thc gm hài nhân t cho vic chng
thc user vi database.  có th truy cp đc, user phi s hu 1 card thc
s và phi bit password.
Token Card có th phát trin tính d dùng thông qua nhng c ch khác
nhau. Mt s Token Card có th hin th đng mt ln password mà đc đng
b vi dch v chng thc. Server có th kim tra password bt c lúc nào
bng cách liên h vi dch v chng thc.
Nhng li ích ca Token Card
LIÍCH MÔT
Chng thc
mnh
 gi danh user, k gi mo phi có token card cng nh là con s
đnh dng cá nhân – personal identification number (PIN) đ s
dng card. Vì th, nó đc gi là c ch chng thc 2 nhân t.
D s dng Users ch cn nh s PIN, thay vì phi nh nhiu password
D qun lý
password
S qun lý password cng d dàng hn do ch có token card thay
cho nhieu password
Nâng cao
trách nhim
Token cards cung cp mt c ch chng thc mng hn; users vì
th càng phi có trách nhim vi nhng hàng đng ca mình.
Smart Cards
Ging nh credit card, smart card là mt thit b phn cng, có b nh và
vi x lý và ch đc đc bi b đc smart card ti v trí ca client. Smart card

có nhng tin ích:
LIÍCH MÔT
Tng tính
bo mt
Smart cards da trên chng thc 2 nhân t. Smart card có th b
khoá, và ch user tht s s hu card mi bit đc s PIN đ m nó.
Tng hiu
sut
Mt s smart cards phc tp cha nhng chip làm nhim v mã hoá
(cng hoá phn mm) có th đt tc đ mã hoá tt hn mã hoá bng
phn mm. Smart card cng đc dùng đ lu username.
Kh nng Users login bng cách s dng đu đc smart card  bt kì ni nào
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 22
truy cp t
xa
cùng vi s PIN. Khi smart card đc kích hot bng đúng s PIN,
nó s chng thc user vào h thng mà user tng tác.
B nh Vì smart card dùng b nh nên nó có th lu tr nhng th nh
khoá mã hoá, khoá riêng hay chng thc đin t.
Môi trng máy tính phân tán DCE
DCE là mt tp các dch v mng phc tp hot đng gia nhiu h thng
trung gian đ cung cp môi trng phân tán. Nhng dch v mng này bao
gm RPCs (Remote Procedure Calls), dch v th mc, dch v bo mt, tiu
trình, dch v file phân tán, h tr diskless và dch v thi gian phân tán.
DCE là phn đm nm gia ng dng phân tán vi h điu hành và dch
v mng., da trên mô hình client/server. Bng cách s dng các công c và
dch v do DCE cung cp, user có th to, dùng và duy trì ng dng phân tán
chy trên môi trng mng phc tp.

Biometrics
Nhng gii pháp v nhn dng sinh hc cng là nhng gii pháp chng
thc mnh. Nó da trên các nhn dng v du vân tay, v ging nói đ chng
thc.
PKI
H tng kin trúc khoá công khai PKI là tp hp các th tc, các chính
sách đc dùng đ đm bo tính an toàn ca thông tin. Nó cung cp phng
pháp mã hoá, điu khin truy cp cng nh là nhng kh nng bo mt bng
chng thc đin t. (Xem thêm  chng PKI)
Chng thc và y quyn bng proxy
Trong môi trng đa tng, nh là s giám sát tin trình mt transaction,
vic kim soát tính an toàn ca nhng ng dng  tn trung gian bng cách duy
trì đnh danh và quyn hn cu user cng nh giám sát hành đng ca user là
điu cn thit. Proxy Authentication cho phép chúng ta thc hin điu đó. Nó
có mt s phân nhánh nh sau:
• Trong 1 s trng hp, nó cho phép ng dng công nhn chng thc
user bng cách gi chng thc lên database server.
• Cho phép DBA điu chnh li nhng user nào đc phép truy cp đn
database server thông qua nhng ng dng c th.
• Cho phép ngi qun tr kim soát hành đng ca các ng dng –
nhng hàng đng do user thc hin thông qua ng dng.
Hình sau mô t chng thc trong môi trng đa tng
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 23
Proxy Authentication có kh nng h tr:
• Database users
• Enterprise users
• Application users mà database không bit đn
Mt trong nhng tin li ca tng trung gian là Connection Pooling. Nó

cho phép nhiu user cùng chia s mt kt ni đn database. Trong môi trng
c, s có rt nhiu kt ni đn database và điu này gây ra mt s bt li v
qun lý kt ni, v tài nguyên h thng.
Single sigon
Ngi dùng Intranet thông thng s dng nhiu password đ chng thc
cho nhiu ng dng khác nhau mà h s dng. Dùng nhiu password gây ra
nhiu rc ri. User s gp khó khn trong vic nh nhiu password khác nhau
vì th hoc h ch chn 1 password cho tt c các ng dng hoc ghi li
password  đâu đó. Bn thân DBA cng gp nhiu khó khn vì phi qun lý
nhiu password.
Single Signon (SSO) loi tr nhng khó khn này. Nó cho phép user ch
dùng 1 password đ chng thc ti nhiu Server khác nhau mà user đó có liên
quan. Nó loi tr nhu cu s dng nhiu password, và thêm vào đó, nó đn
gin hoá vic qun lí username và password.
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 24
S dng và trin khai secure directory
Gii thiu
Ngi qun tr h thng ngày nay phi qun lí rt nhiu thông tin phc
tp ca user, gi cho database luôn sn sàng và an toàn. Nhng vic này ngày
càng khó khn và đy thách thc cùng vi vic phát trin v công ngh và phát
trin enterprise user.
Ngi qun tr h thng phi qun lí nhiu account cho mi user dn đn
tình trng h dành ht tài nguyên cho vic qun lí user. Nhng thông tin chung
đc dùng bi nhiu ng dng nh: username, đa ch c quan, s đin thoi,
quyn hn…làm cho data tr nên d tha, mâu thun, làm tng chi phí qun lý.
Song song đó cng tn ti mt s vn đ v bo mt. Ví d nh mt
ngi không còn làm vic cho 1 company na thì ngày cui cùng anh ta  li
company cng là ngày ma account ca anh ta phi b xoá s đ tránh b lm

dng. Nhng, trong môi trng s dng xí nghip ln, vic phân tán rt nhiu
username và password gây ra khó khn cho vic qun lý s thay đi trên ca
DBAs.
Vic qun lý bo mt enterprise user phi c th cho tng user, cho vic
qun tr, cng nh cho tng vn đ bo mt. Cách tt nht là lu tr tp trung
và qun lí nhng thông tin liên quan đn user trong trong dch v th mc
LDAP nh Oracle Internet Directory. Khi đó, khi 1 nhân viên thay đi công
vic, administrator ch cn thay đi thông tin v account tng ng ca nhân
viên ti 1 ni – Oracle Internet Directory. S tp trung này va ct gim chi
phí qun tr, va làm cho mng xí nghip an toàn hn.
Tp trung thông tin chia s vi LDAP
Ngày nay, thông tin mng đc lu tr  nhiu h thng và  nhiu đnh
dng th mc khác nhau. Vi nhng đòi hi mi ca môi trng Internet, ca
công ngh v e-bussiness, thì cn thit có nhng bc tin v c s h tng
nói chung nh nguyên tc v qun tr, v cu hình cho tt c data và tài nguyên
đ có th gim đc chi phí cho vn đ này.
Công ngh Lightway Directory Access Protocol (LDAP) ban đu đc
phát trin ti i hc Michigan và hinti đã đc chp nhnlà mt chun
công nghip và sn sang cho s ng dng rng rãi.
S h tr LDAP Server cung cp mt c ch tp trung đ an lí và cu
hình mt mng phân tán. LDAP sđóng vai trò nh mt kho cha tp trung đ
cha các database network component, chính sách ngi dùng và đangi
dùng, bov và chng thc ngi dùng.
LDAP cung cp nhng c ch rt mnh đ bov thông tin
C IMDIN GII
Khoa CNTT
Lunvn tt nghip–VõThy Hoàng Dung–VõTun Sn
Trang 25
Toàn vn d
liu

m bo rng data, k c password, không b sa đi, không b
xoá hay b lp trong sut quá trình truyn ti.
Bí mt d liu
m bo data không th b phát hin trong sut quá trình truyn
ti bng cách s dng Mã hoá khoá công khai. Trong Mã hoá
khoá công khai, ngi gi s mã hoá data bng khoá công khai
ca ngi nhn và ch ngi nhn mi đc đc thông tin khi
gii mã bng khoá bí mt ca mình.
Bo v
Password
Lu tr password o dng bm nhm ngn nga k xu có th
đc đc hay gii mã đc chúng
Chính sách
qun lí
password tp
trung
Cho phép mi directory có đc chính sách qun lí tp trung cho
user và account ca directory đó.
Chng thc
m bo rng nhng thông tin đnh danh ca User, ca Host,
ca Client là hp l
y quyn
m bo rng User ch có th nhìn thy, sa đi hay xoá nhng
thông tin thuc v h hay thuc v quyn hn qun lí ca h.
 có th tn dng đc nhng đc đim trên, điu du tiên chúng ta phi
làm là chc chn rng directory bn thân nó cng phi an toàn.
Bo v directory
Phn này mô t vic giám sát s truy cp đn directory.
Chng thc ngi dùng Directory
Chng thc là quá trình mà directory server s xác nhn đnh danh ca

user khi h truy cp vào directory.  kim tra đnh danh causer, ca host,
ca client, directory cung cp các tùy chn chng thc sau:
LA CHN
MÔ T
Chng thc nc
danh
Users đn gin ch vic b trng field username và password
khi h login. Mi user nc danh có quyn thao tác nhng gì mà
quyn hn đã quy đnh đi vi user nc danh.
Chng thc đn
gin
Client đnh danh chính mình vi directory bng cách gi
username và password ca mình đn directory thông qua môi
trng mng và không có mã hoá
Chng thc s
dng SSL
Chng thc thông qua s trao đi Chng thc đin t đc cp
bi Chng thc y quyn (Certificate Authorities) tin cy.
Chng thc
thông qua tng
trung gian
Chng thc thông qua tng trung gian nh RADIUS server hay
servlet t phc v LDAP.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×