Hệ thống quản lý định danh với thông tin định danh trên thiết bị di động
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.25 MB, 85 trang )
iii
LI ii
MC LC iii
THUT NG VÀ CÁC T VIT TT vi
DANH SÁCH BNG vii
DANH SÁCH HÌNH viii
u 1
1
3
7
1.4 Ni dung lu 7
2 8
nh danh s 8
nh danh 8
nh danh s 8
2.1.3 Phân loi thunh danh 10
10
2.2.1 Gii thiu 10
12
15
16
16
2.3.2 Tính tin dng 18
2.4 Phân loi h thng qunh danh 19
2.4.1 H thng qunh danh tp trung 19
2.4.2 H thng qunh danh da trên phân tích d lii dùng 21
2.4.3 H thng qunh danh phân tán 22
2.5 Mt s h thng qunh danh hin nay 23
iv
2.5.1 Microsoft CardSpace 24
2.5.2 Kin trúc Higgins 25
2.5.3 Bandit 25
2.5.4 OpenID 26
ng quan v h thng OpenID 28
28
3.2 Quy trình giao tip gia các thành phn 29
nh thành phn Identity Provider 30
3.2.2 Quy trình gi thunh danh 31
3.2.3 Quy trình kim tra thunh danh 33
3.3 Nhng v i vi OpenID 34
3.3.1 V v 34
3.3.2 Các v v tính tin dng 36
39
xut 39
nh danh s dng MobileIdP 42
4.2.1 V 42
ng gii quyt 42
4.2.3 Quy trình hong 43
4.2.4 Phân tích quy trình 45
ng hp Relying Party không h tr OpenID49
4.3.1 V 49
ng gii quyt 49
4.3.3 Quy trình hong 50
4.3.4 Phân tích quy trình 54
Th nghim h thng 56
5.1 Th nghim h thng 56
5.2 Các ch 57
5.2.1 Thành phn MobileIdP 57
5.2.2 Thành phn Identity Provider 59
v
5.2.3 Thành phn Relying Party 60
5.2.4 Thành phn Coordinator 61
5.2.5 Thành phn Plugin Browser 62
5.3 Kt qu th nghim 64
65
6.1 Kt qu tài 65
ng phát trin 66
TÀI LIU THAM KHO 67
Ph lP CA OPENID 71
Ph lc B DANH SÁCH CÁC H THNG LN CÓ H TR OPENID 80
Ph lc C DANH MC CÔNG TRÌNH 81
ix
i vi Relying Party không h tr OpenID 51
n thông tin t ng lên các ng dng ca window 53
Hình 5.1 Các cha thành phn MobileIdP 58
Hình 5.2 Màn hình qun lý thunh danh 58
Hình 5.3 Thành phn Identity Provider 60
Hình 5.4 Thành phn Relying Party 61
Hình 5.5 Thành phn Coordinator 61
Hình 5.6 Chn thông tin t ng vào Yahoo và Google Talk 62
n thông tin t p ca Google 63
n thông tin t ng p Google Mail 63
n t ng URI vào trang LiveJournal[29] 64
1
Nội dung chương 1 trình bày tổng quan về hệ thống quản lý định danh, nhu cầu
của hệ thống quản lý định danh hiện nay, đồng thời nêu lên mục đích, nội dung và ý
nghĩa của đề tài. Nội dung tóm tắt của từng chương trong luận văn được trình bày ở
cuối chương.
1.1
i dùng phi thc hi nh danh khi vào mt h
thng i dùng hp lh c s dng rt ph bin
m gii; t nh p vào BIOS,
n nh nh danh phc tu vân tay, nhn din khuôn mt,
ging nói Hình 1.1 minh ha mt s dnh danh trên nhng h thng khác nhau
dng username, password, nhn dng khuôn mt, tròng mt, vân tay
Hình 1.1 Mt s dnh danh
i dùng s dng các h thng khác nhau. Mi h thng l
ch thc hinh danh khác nhau. Vì vi dùng cm th qun lý
2
nhng thunh danh ca mình. Trong nhing hp, i dùng không th
s dng h thng vì không nh thunh danh. Thm chí, i dùng còn rt d
b l nh danh gia nhng h thng khác nhau. Ví d, i dùng s dng nhm ln
thunh danh hop vào các trang gi mo d l các thông
tin v username và password. T nhn ti, các h thng qunh
danh s i giúp qun lý các thunh danh ci dùng nhm
bo tính an toàn và tính tin di dùng thc hin quá tnh danh.
Các thunh danh r ng và phong phú. Vì vy, ni ta tin hành
phân loi các thu thun tin cho quá trình qung,
thunh danh c phân làm hai loi[47]:
Thuộc tính nhận dạngc phân bing v
du vân tay, khuôn mt, tròng mt)ng thông tin c nh và duy
nhi.
Thuộc tính thông tin: là nhng thuc tính mô t thông tin chung v i
i tính, quê quán, công vi ).
Hin nay, có rt nhi qun lý thunh danh. Da trên nhng c
m và x lý các thunh danhn hành phân h thng
qunh danh làm ba loi [2]:
Hệ thống định danh tập trung: là h thng mà mi thu nh danh
ti mt.
Hệ thống quản lý định danh dựa trên sự phân tích dữ liệu người dùng: là h
thng có quá trình phân tích các d lii dùng có các
x lý phù hp. Ví d, các trang web bán sn phm da trên thông tin v
ngh nghi tu nhng chic qung cáo phù hp vi
i tiêu dùng.
Hệ thống định danh không tập trung: là h thng mà các thunh
danh có th nhing.
Các h thng qunh danh rt ph bing. Vì vy, các h thng qun
nh danh cn phi có mt s tiêu chun nh
chuc quan tâm nht hin nay là tính [48] và tính tin dng[36]. Hai tiêu
3
chun này không nhm bo bo mt ca các thunh danh, mà còn
mang li cm giác thoi dùng khi s dng h thng.
Ngày nay, nhiu h thng qu c s dng r
thng Sxipper[42], Keepass Password Safe[10]m ni bt ca các h thng
này là không nhng v ng hong máy tính cá nhân,
môi ng mng, thit b ng ), ng v nh danh
cn qun lý a ch, email, ngày sinh Tuy nhiên, mi h
thng li có giao thnh di thông tin và cách s dng khác nhau[31]. Vì
vy, nhu cu cn phi có mt h thng qunh danh liên hp[17], là h thng có
nh ra các tiêu chu i các h thng qunh danh sn
a, nhng tiêu chui giúp cho các h thng qunh danh
sau này có th d dàng tích hp vào h thng qunh danh liên hp có sn. Phn
ln các h thng qu nh danh hi ca h
thng qu nh danh liên h [3], Bandit[34], Higgin[43],
OpenID[38] ). Vì vy, trong phm vi ca lu s dng thut
ng h thng qunh danh thay cho thut ng h thng qunh danh liên
hp.
Mt s h thng qu nh danh ln ni ting hin nay là Window
CardSpace[3], Bandit[34], Higgin[43], OpenID[38]. Window CardSpace là
h thng khá hoàn chc Microsoft xây dng có th hong trên các máy có
h u hành window. Ngoài ra, các h thng mã ngun m ni ting là Higgin,
Bandit c s dng ti ph bin ti các trung tâm nghiên cu ng sn
phm c th trong các bài báo khác nhau[1][18]. Bên c thng mã ngun m
OpenID c s dng ph bin trên mng. Cu2009, 9 triu trang
web trên ms dng h thng OpenID[26].
1.2
V quan trng nht ca h thng qunh danh là bo v thunh
danh ci dùng. Tuy nhiên, thunh danh hin nay phn l
trên mng (OpenID, Bandit, Higgin). Vì vy, nu thành phn qunh danh không
i dùng s rt d b rò r. Ngoài ra, nhng h thng qun lý
4
thông tin trên máy tính cá nhân ci dùng (
Cardspace). Tuy nhiên, qnh danh ch có th s dc trc tip trên các
thunh danh. Vì vy, phm vi s dng ca h thng qun lý
nh danh s b hn ch i dùng có th s dng nhiu máy tính khác nhau.
Hin nay, các thit b ng (SmartCard[32]n thong[1] )
trin rt mnh m c v t ln kh ng x lý. Vì vy, nhiu công trình nghiên
cu xut các gii pháp khác nhau thunh danh trên thit b tin
ng v an toàn bo mt thông tin cao[1][32]. Tuy nhiên, các gii pháp này có
hn ch kt hp thunh danh trên thit b ng vi
các thông tin trên các h thng khác.
tin hành phân tích nhm ca vi thuc tính
nh danh trên các thành phn khác nhau. Da trên kt qu phân tích, c
xut gii pháp phân loi thunh danh thành hai phn:
Thuộc tính định danh quan trọng: trên thit b ng
thông tin v mã s tài khon s d mua bán trc tuyn qua mng,
thông tin v bnh nhân trong các h thn sc khe hoc tâm lý
Thit b ng là nhng thit b c qun lý trc tip
bn thong Vì vây, các thông tin
s ng thit b này.
Thuộc tính định danh thông thường ti mt server trên mng
a ch, email Vi các thông tin thông
ng trên mi dùng vn có th thc hinh danh
i vi nhng h thng ch cn nhng thunh danh ng
khi không có thit b ng.
Bên c, quá trình tích hp vào các h thng qunh danh có sn trên
mng là mt v n. Ví d, nhiu trang web trên mng nên rt
quen thuc vi dùng (Yahoo Mail, Google Mail ). Vì vy,
p có th là tr ngi cho nhii dùng khác nhau. Gii pháp là s dng
ng n các thông tin vào nhng trang web hay nhng ng dng
trên máy tính cá nhân có sn. Nhiu phn m dng gii pháp này nh
5
Phn mm tích hp sn trong các trình duyt Firefox, Internet Explorer,
Chrome có kh i nh i
c. Các trình duy có kh li nhng
thông tin ci dùng c cho nhng ln .
Tuy nhiên, khuym ca trình duyt là ch s dc cho mt máy
c nh. Khi qua m nh danh không còn
na.
nh danh có th s dc trên mng, ngoài ch n
thông tin t ng vào các trang web, mt s
s dng thunh danh cho nhiu máy khác nhau b
nhng thu nh danh trên m Sxipper[42], Passpack[22]
Tuy nhiên, khuym ca các phn m thunh
danh trên web. Thunh danh i dùng qun lý trc
tiu này di dùng rt d b l thông tin nu server qun lý
c tt.
Gi qun lý hiu qu các thông tin trên các thit b
ng SmartCard[32], USB, n tho ng[1] m ca
thit b ng là c qun lý trc tip bi dùng an toàn
thông tin cao. Tuy nhiên, các phn mm trên n tho ng qun lý
thunh danh ch s dc cho các trình duyt trên thit b di
ng b hn ch v c ca màn hình hin th hn mm
LastPass[12], RoboForm[40] trên USB khi cn
nh danh phi chép th u này gây bt tin cho
i dùng và rt d b l thông tin. SmartCard ng ch s dng
cho các phn mnh danh chuyên bit và có t x lý không cao.
Hình 1.2 minh ha quá trình s dng SmartCard thc hinh danh.
- Bước 1: SmartCard s có thit b cm nhn din hình nh
trên trang web.
- Bước 2 i dùng s s dng d nh danh trên
SmartCard.
7
1.3
Lum các mc tiêu sau:
xut mô hình ci ti thunh danh quan trng
trên thit b ng. Thc hi m bo tính an toàn
thuc tính nh danh và tính tin dng i v xut.
xut mô hình ci tin s dng thit b nh danh trên nhng
h thng có sn không h tr OpenID trên c ng dng trên ng
ng mng. Thc hin phân tích các
m b n tho l ra nhng thành phn
n h thng.
Trin khai h th xut ngoài thc t a h
th xut vi các h thng qunh danh khác liên quan.
1.4 Ni dung lu
Ni dung ca luc trình bày gm 6
: M u trình bày tng quan v h thng qunh danh,
nhu cu ca h thng qunh danh hin nay ng thi nêu lên mc
tài.
trình bày chi tit
v h thng qunh danh, bao gm các nguyên tc, mô hình hong
chung, mt s h thng qunh danh hin nay, cùng mt s v khi
xây dng h thng qunh danh.
: Tng quan v h thng OpenID trình bày tng quan v h
thng OpenID. H thng này s c chúng tôi s dng làm nn t ci
tin trong lu.
ng 4: trình bày v
.
: Th nghim h thng trình bày v phn th nghim h thng
ngh.
: trình bày v nhng kt qu
c trong lung phát trin ca lu.
8
Ni dung ca trình bày chi tit v h thng qunh danh, bao
gm các nguyên tc, mô hình hong chung, mt s h thng qunh danh hin
nay, cùng mt s v khi xây dng h thng qunh danh.
2.1 nh danh s
2.1.1 nh danh
t chc WP2 cho rnh danh (identity) là tp các thu
mô t mi hoc mt vt[47]. Ví d, mi công nhân Vic mô
t thông qua các thuc tính s chng minh nhân dân, h tên, ngày sinh, nguyên quán.
Mt ví d khác ging viên mi hc mô t thông qua tp các thuc
tính v mã s cán b, h ngng, các thunh danh
cha trong mt vt th nh danh. Ví d, các thuc tính h tên, ngày sinh, nguyên
quán, hình nh vân tay cha trong chng minh nhân dân ci dùng.
Trong thc t, mt vt th nh danh s dng cho mt mnh. Chng
hn, th cán b ca mt ging viên ch s dng trong phm vi mi hc nào
ng vt th nh danh có th s dng cho nhiu ng cnh khác
nhau. Ví d, th chng minh nhân dân có th s dng i Hc
Khoa Hc T Nhiên thi cui môn, ho nh quyn công dân ca chính sinh
2.1.2 nh danh s
T nh danh, t ch rnh danh s
nh danh s (digital identity) c s
trên các thit b n t[47].
T , Phillip Windley rng khái ninh danh s: nh
danh s là d liu mô t duy nht mi hay mt vc gi là ch th hay
thc th theo ngôn ng cnh danh s). Ngoài ranh danh s còn cha thông tin
v mi quan h ca ch th vi các thc th khác[45].
9
s
Do c, k
nhau[9]. tp thu nh danh mt ch th có th chia thành nhiu
phn, mi phn s tr nhinhau.
Ví d: khi rút tin máy ATM, ni dùng s phi mang chng minh
ng thi phi ký vào giy xác nhn rút tin. Nhân viên ngân hàng s kim
tra th công nhng thuc tính trên chng minh nhân dân và ch ký xem có khp vi
u tt c các thuc tính u khp, nhân viên ngân
hàng mi tii dùng rút tin. Ngày nay, i dùng ch cn th ATM
và password ca th. Nhân viên ngân hàng không cn phi kim tra các thông tin mt
cách th a.
Nhn xét: Trong ví d minh ha vic áp dng s dnh danh s vào quá trình
nh danh làm nâng cao tính tin dnh danh
trong ví d c thc hii s kt hp ca hai tp thuc tính nh danh: tp thông
tin trên chng minh nhân dân và thông tin v ch ký ; hay tp thông tin
trên th ATM và thông tin v password hin nay. a, các tp thuc tính nh
danh có th t nhiu S kt hnh
nh danh th gii thnh danh s s dng chung
thunh danh cho các h thi dùng có th s dng chung
username và password cho hai h thng khác nhau là Yahoo Messenger và Yahoo
Mail single sign on[41].
c khoa hc máy tính, tt c d li i dng các bit. Vì
vy thut ng nh danh s có th xem là mt. Trong phm vi lu
này, thut ng nh danh s c s dng thay cho thut ng nh danh s.
Hin ti có rt nhiu thuc tính c s dng thc hi
tin qu nh danh, ni ta tin hành phân loi các thuc tính
nh danh.
10
2.1.3 Phân loi thuc tính nh danh
Các thuc tính c phân làm hai loi[47]:
Thuc tính nhn dng: là thuc tính mô t thông tin duy nht mà ch có ch
th hu. Nói cách khác, thuc tính nhn dng có th dùng
phân bit các thành phn nh danh khác nhau. Ví d ta có th dùng
thuc tính là du vân tay, khuôn mt[44] phân bit nh
danh.
Thuc tính thông tin: là các thuc tính mô t chung v m ng.
Thuc tính chung này mô t thông tin v mng. Thuc tính thông
tin có th i tính, h và tên, quê quán, ngày
sinhng, có th trí công vi
i dùng g vic bùng n s nh danh.
i dùng có xp x 25 tài khon yêu cu password, và h phi gõ 8
password mi ngày[14] gim s ng các password phi nhi dùng có xu
ng s dng chung username và password cho nhiu tài khon khác nhau[16]u
này dn v rt d b l password gia các h thng. Ví d, k tn công to ra
mt trang web gi và d p. N i dùng s dng chung
username và password l gii quyt v này, cn
phi có mt h thng qun lý các thunh danh ci dùngó là h thng
qunh danh.
2.2 qun lý
2.2.1 Gii thiu
H thng qunh danh (Digital Identity Management System) là h thng
qun lý nhng thunh danh ci dùng[47].
Ngày nay, r có rt nhiu h thng qu nh danh; mi h
thng li có giao thnh di thông tin và cách s dng khác nhau[31]. Vì
vy, nhu cu cn có mt h thng qun lý tt c các h thng qunh danh ca
qun lý Federated Identity
Management System). H thng qunh danh liên hp là h thng mô t các
11
công ngh, tiêu chun và các ng hp s d nh danh có th
c s dng xuyên sut trên nhiu h thng khác nhau[23]. Các h thng tiêu chun
ca h thng qunh danh liên hp không nhng giúp cho các h thng có th d
dàng giao tic vi nhau, mà còn h tr cho các h thnh danh sau này có
th d dàng tích hp vào h thng.
Mng hic nhiu i quan tâm n lý
nh danh trên thit b ng[1][12][32][40]. Vi nh danh trên thit b di
ng có nhm sau:
ng: ng, các thuc tính n thoi qun
t c y,
i dùng có th s dng bt kì dch v/h thng nào.
Tính tin cy: i dùng có th ki n thoi không b tn công
hoc có th bit ngay khi b mt cp. D liu có th c bo v bi
password cn thoi (mã pin). T thi gian mn thon thi gian
báo mng rt ngn, k tn công khó có kh gii mã thông tin
bên trong.
Tính tp trung: n tho tp trung các thunh danh quan
trng ci dùngi dùng s yên tâm thông tin quan trng không
b rò r ra bên ngoài.
Nhn xét: Da trên nhm ca thit b ng, lu n
vic ci tin h thng qunh danh kt hp vn thong. Các gii pháp
thông tin trên thit b ng cp trong nhiu công trình[1][32].
Tuy nhiên, trong các giu thc hi tt c các thunh danh
trên thit b ng. Vì vy, các h thng có hn ch là không th nh danh khi
n thong. Tuy nhiên, trong thc t có nhnh danh vi thông
ing thông tin này không cn thit ph
tr trên thit b ng. H thng ci tin ci quyt v này bng
cách phân loi thu nh danh mt phn thông tin trên mng, mt
phn thông tin trên thit b di ng, góp phn to nên tính linh ho
12
nh danh. Chi tit v h thng ci tin s c trình bày trong nh
tip theo.
2.2.2
Các h thng qunh danh rng và phong phú. Mi h thng có th có
danh sách các thành phn, cách hong, cách giao tip khác nhau. Tuy nhiên, trong
h thng qunh danh ng có các thành phn:
Relying Party: là dch v s dn chng thc.
Identity Provider và qun lý thunh danh.
Identity Selector: là thành phn trung gian ca h thng, là cu ni gia
i dùng, Relying Party, Identity Provider.
Hình 2.1 minh ha quá trình giao tip ca các thành phn này vi nhau. Phn tip
theo s trình bày chi tit ca các thành phn này.
Relying Party
Identity Provider
Identity Selector
Hình 2.1 chính
Relying Party
Relying Party (RP) là dch v s d chng thc[33]. Ví d,
mt s trang web s d i dùng trang zing,
trang eplay Hình 2.2 minh hnh danh s dng username và password
vp ca zing và hình bên php ca
eplay.
14
Thành phn Identity Selector ni ting là Cardspace tích hp sn trong h u
hành t Window Vista tr lên vi tính tin dng cao. Tuy nhiên, CardSpace không th
thc hii vi nhng máy có h u hành khác. H thng OpenID s
dng trình duyt (browser) làm thành phu này mang li tính
tin di dùng trên mngi dùng duyt web không cn pht
thêm bt kì mt phn mm nào ngoài Browser có sn. Tuy nhiên, thành phn Identity
Selector ca OpenID còn hn ch i dùng phi nh a ch ca Identity
Provider. Vì vy, trong mô hình ci tin ca luci tin thành phn
Identity Selector h tr nh a ch Identity Provider mt cách t ng mang li tính
tin dng cho h thng OpenID. Hình 2.3 minh ha thành phn Identity Selector ca
CardSpace và OpenID.
Hình 2.3 Thành phn Identity Selector ca CardSpace và OpenID
Information Card
Information Card (InfoCard) là th cha nhng thông tin nh danh có hai
loi[33]:
Managed Card: Thuc tính chi tit ca tc qun lý bi thành
phn Identity Provider. InfoCard cho bit có nhng loi thuc tính
nào cùng v a ch Identity Provider ng. Khi i dùng cn
nhng thuc tính chi tit, h thng s s dng a ch ca Identity Provider
giao tip và ly các thunh danh ng.
Self-issued Card: c qun lý bi dùng, các thuc tính
nh danh s . Trong ng hp nàyi dùng có th
t to nhng d liu cn thi chng thc mà không cn phi thông qua
Identity Provider.
15
Trong các h thng khác nhau, thành phn Information
d indow Cardspace là mt th
ch là mng dn URL c minh ha trong Hình 2.4.
Hình 2.4 Information Card ca Window Cardspace và OpenID
2.2.3 chính
3
4
7
Relying Party
Identity Selector
1
2
5
6
Identity Provider
Hình 2.5 Quy trình hong ca h thng qunh danh
Quy trình ca mt h thng qunh danh c minh ha trong Hình 2.5 bao
gc chính sau thc hin quá trình chng thc:
c 1i dùng s cung cp thông tin v Identity Provider cho thành
phn Identity Selector.
c 2: Thành phn Identity Selector s t ng giao tip vi thành phn
truyn các thông tin v Identity
i dùng cung cp n thành phn Relying Party
c 3: Thành phn Relying Party s s di dùng cung
c kt ni vi thành phn Identity Provider (thông qua mt kênh truyn
nshquoc.pip.verisignlabs.com
16
gi danh sách tên các thuc tính cn thit
thc hi n thành phn Identity Provider thông qua kênh
truyn an toàn c thit lp.
c 4: Thành phn Identity Provider s to các thuc tính cnh danh
mà thành phn Relying Party yêu cu
ký xác nhn các thông tin mình to ra bng ch ký ca mình. Cui cùng,
Identity Provider s truy Identity Selector.
c 5: Identity Selector s hi ng.
Sau i dùng s kim tra các thông tin này và xác nhn có truyn
nhng thun Relying Party hay không.
c 6: Các thu nh danh s c truy n Relying Party nu
i dùng xác nhn c 5.
c 7: Relying Party s kim tra nhng thunh danh và tr v kt
qu i dùng.
: t s c chính ca h thng qunh danh. Quy trình
nh danh chi tit thông qua h thng OpenID s c chúng tôi trình bày trong
.
2.3
Trong vic xây dng các h thng qunh danh, cn có nhng tính cht làm
ng ca h thng. Các tính chm:
m bo các thuc an toàn.
Tính tin dngm bi dùng cm thy thoi mái trong quá trình s
dng h thng.
Hai tính cht này s c trình bày chi tit trong phn tip theo.
2.3.1
Pfitzmann và Hansen[36] 2000 liên quan v
Nhc s dng rt ph bi cn tính [46].
Phiên bn cp nht vc liên tc cp nht trong website ca tác gi cho cng ng
nghiên cu[35]tóm tt mt s m chính:
17
Tính nặc danh
Tính nc danh (anonymity) m bi dùng có th s dng tài nguyên hay
dch v mà không b l nh danh. n trong
h thng (Identity Provider và Relying Party), không mt thành phn nào khác bit
dng dch v trên mng.
Tính không thể liên kết
i dùng có th s dng nhiu ngun tài nguyên hay dch v khác nhau trên
mng, tuy nhiên phm bo nhi khác không liên kt nhng thông tin này
suy ra mt s m n i dùng. Ví d, i dùng s dng cùng
lúc dch v email ca Google và Yahoo, h thng ph m bo k tn công
không th phát hin ra hai a ch email là ca cùng mi dùng. Ví d khc phc,
ni dùng có th s dng các username khác nhau cho các h thng email khác
nhau.
Tính an toàn thông tin
Tính an toàn thông tin n kh l thông tin cá nhân cho các t
chc bên ngoài. T chc này có th là cng trên mng, các nhà cung cp dch v
hoc các k t Tính chc bit quan trng khi chúng tôi ci tin mô
hình OpenID có sn. H thng ca chúng tôi phm bo rng không l thuc tính
nh danh cho t chc bên ngoài. Ví d, trong h thng ci tin có s dng truyn
thông tin qua li t n thon máy tính bên ngoài, vì vy ph
không cho nhng thông tin b l ra bên ngoài bng
truyn.
Tính bí danh
H thng không nhng phi m bo không l các thunh danh, mà
còn phi chu trách nhin các honh danh ca i dùng. Ví d, vic s
dng dch v n thoi và tr l nh danh.
là các t chc bên ngoài không th bin thoi. Tính bí
danh gn ging tính nc danh. Trong khi tính nm bo không bii
18
s dng h thc li trong tính bí danh, k tn công vn có th bii
s dng h thi nào.
2.3.2 Tính tin dng
T chc FIDIS[48] tính tin dng ca mt h
thng qunh danh. Bao gm các tính cht sau:
Tính dễ hiểu
Tính d hiu nhm bi dùng hi v h thng. Nu không
hic các khái nim trong h thi dùng s không th s dng h thng
Khả năng phòng tránh lỗi
Các h thng qunh danh không ch có kh u li mà còn phi m
bo cung cp các h tr, cnh báo, phn hn nc khi các li bo mt
nghiêm trng xy ra.
Ví d: Khi có k tn công xâm nhp h thng, h thng qunh danh phi tin
ng thi cung cp các thông tin cn thii dùng v k tn
công a ch IP, thi gian, c t Mt ví d khác là trong
ng hi dùng có nhiu thành ph thc hin quá trình
p. H thng qunh danh phm bo hin th và
rõ ràng v các thành phn Identity Provideu này h tr i dùng không gây
nhm ln trong quá trình chn thành ph thc hin quá trình
nh danh.
Khả năng tương thích với các chức năng vốn có của hệ thống
Thông ng, h thng qunh danh là mc ph trong quá trình thc
hin nghip v c th ci dùng. Ví d, i dùng mua hàng trên mng,
tc khi thanh toán s thc hinh danh. Tính cht này nhm bo
rng h thng qunh danh phi tích hp vi h thng nghip v chính sao cho
mang li tính tin di dùng. H tht vi
h thng có sn.
19
Khả năng kiểm soát có nhận thức
H thng phi li dùng có
th kim soát mi hong ca h thng. i dùng còn phi có cm giác
làm ch c h thng. Quy trình h thng phi tránh nhng thao tác tha hoc không
to ci dùng.
Tính thân thiện
Các cha h thng phi thân thii dùng. H thng phi
i dùng cm th Mc tiêu chính ca
h thng qunh danh là bo mi dùng. Tuy nhiên, nu h thng
quá phc tng không th s dc. Vì vy, h thng
phng trong quá trình bo v thông tin và tính thân thii vi dùng.
Nhn xét: Các tính cht v n dng c trình bày i
nhiu dng khác nhau nhi gii. Ví d, by luc trình
bày bi Kim Cameron[14], các lut bo v d liu ca khi cng chung Châu
Âu[11], mt s lut bo v thông tin cho nhi c khác nhau ca Quc Hi
M[17]u này mt ln na cho thy rng: các tính chc bit quan trng,
xây d thng xut ca chúng
tôi trong lu
2.4 Phân loi h thng qun lý nh danh
H thng quc phân làm ba loi chính[2] là h thng qun lý
nh danh tp trung, h thng qunh danh da trên phân tích d lii dùng
và h thng qunh danh không tp trung. Mi loi có nhc
trình bày v ba loi h thng qunh danh
áp dng mt s m ca các h thng cho h th
xut .
2.4.1 H thng qunh danh tp trung
Gail-Joon Ahn[2] cho rng: H thng qunh danh tp trung là h thng mà
tt c nh danh ci dùng s , chng thc mp
20
nh danh tp trung duy nht (Identity Provider) thuc v cùng mt h thng qun lý
nh danh.
Trong h thng qunh danh tp trung, ni dùng không có quyn t qun
lý thông tin ca mình. Tt c thunh danh n chng thc,
phân quyc qun lý tp trung trên mt Identity Provider duy nht. H thng
Microsoft Active Directory[24] là mt trong nhng h thng qunh danh tp
trung. Hình 2.6 minh ha các thành phn chính ca h thng Microsoft Active
Directory.
Hình 2.6 Microsoft Active Directory[24]
Ưu điểm
Kh n lý thunh danh tt.
D dàng truy xut và qun lý (thêm xoá sa) các thunh danh.
Không b trùng lp thunh danh.
Firewall Services
Configuration
Security Policy
VPN policy
E-mail Servers
Mailbox info
Address book
Other NOS
User registry
Security
Policy
Applications
Server config
Single Sign-On
App-specific
directory info
Policy
Windows Servers
Services
Printers
File shares
Policy
Windows Clients
Mgnt Profile
Network info
Policy
Windows Users
Account info
Privileges
Profiles
Policy
Active Directory
A focal Point for:
Manageability
Security
Interoperability
Other
Directories
White pages
E-Commerce
Internet
Network Devices
Configuration
QoS policy
Security policy
21
i dùng không cn phi nh nh danh c
nh danh c mt Identity Provider duy
nht.
Tp trung bo v d liu ch Identity Provider.
Khuyết điểm
Không thích h nh danh cá nhân vì vi ph
Quá trình hp nht gia hai h thng qun lý tp trung gp nhi
ng các h thng qunh danh t
nh danh khác nhau[5].
D lic qun lý tp trung ti Identity Provider. Vì vy, khi h thng
nh danh gp v, toàn b h thng s b tê lit.
Mc to và cp bi h thng máy
ch. Khi nm thông tin v thi gian ngi dùng truy cp Identity Provider,
i tn công có th bii dùng s dng dch v. u này
làm vi phi dùng.
i dùng mun s dng dch v thì phi cùng mng vi h thng qun lý
nh danh (có th trong mt mng ni b). Vì vy các h thng các mng
ni b khác không th s dng các dch v u này vi phm kh
ca h thng.
ng, h thng qu nh danh t c dùng trong phm vi
trong mt công ty hoc mt t chc nhnh.
2.4.2 H thng qun lý nh danh da trên phân tích d lii dùng
Các h thng qunh danh da trên phân tích d lii dùng ng có
chkhai thác d liu phân lonh danh. Ví d, h thng s d
tui, ngh nghip c b trí trang web cho phù hp (các trang bán hàng
m phm, thi trang ).
m cnh danh da trên s phân tích d lii
dùng là giúp cho h thng linh ho n th các thông tin liên
22
quan, hoc có th ng thông tin qung cáo phù hp. Vì vy, h thng qun lý
nh danh này phù hp cho các ng di.
Tuy nhiên, nu pnh danh d trên s phân tích d lii
dùng không tt s dn thông tin hin th u này có th khin
i dùng thiu hoc tha nhng thông tin cn thit.
2.4.3 H thng qunh danh phân tán
H thng qunh danh phân tán là h thng mà thunh danh i
dùng s và chng thc các Identity Provider khác nhau[2].
D liu ca h thng qunh danh phân tán ng c qun lý trc tip bi
i dùng. Tuy nhiên, trong mt s ng hp, cn phi có t chc th ba chng
nhn d lii dùng hp l. Thunh danh có th trong máy
tính cá nhân, hoc các Identity Provider khác nhau trên mng. H thng mã ngun m
Keepass Password Safe[10] minh ha trong Hình 2.7 là mt trong nhng h thng
qunh danh thc hin theo phân tán.
Hình 2.7 [10]
Ưu điểm
Do h thng có nhiu Identity Provider vì vn
công tp trung trên mt Identity Provider.
23
c phân tán nhiu Identity Provider. Vì vy trong
ng hp mt Identity Provider gp v, i dùng vn có th ly
thông tin mt Identity Provider thc hin vic chng thc.
H thng có th có nhiu Identity Provider thunh danh.
Vì vy, h thng ng hi dùng b truy vt khi s dng
dch v trên mng thi phm vi s dng cng
mt Identity Provider thng qunh danh
tp trung.
Khuyết điểm
Tn ti nhiu Identity Provider gây bt tin cho vic qunh danh ca
i dùng, khi mun truy xut nhinh danh h phi ti
nhp vào nhiu h thng.
i dùng phi nh c Identity Provider nào s thunh
danh mà mình cn truy xut hoc chnh sa.
Mi mt h thng Identity Provider u yêu cu có nh danh
Vì vy, i dùng li phi ghi nh nh danh này.
n.
Nhn xét: Da trên nhm ca các h thng qunh danh. Chúng tôi
xut xây dng mô hình tn dng nhm ca hai h thng qunh
danh tp trung và h thng qunh danh không tp trung. Th nht là xây dng
thành phn Identity Provider trên thit b ng ch qun lý tp trung các thông
tin quan tr bo mi vi s dng. Th hai là vn duy trì
các thành phn Identity Provider khác trên m qun lý các thunh danh
ng, ít quan trng. Hai thành phn này có th kt hp v thc hin
cùng mnh danh.
2.5 Mt s h thng qunh danh hin nay
Hit nhiu h thng qunh danh trên th gii. Trong phn này
chúng tôi s gii thiu mt s h thng qunh danh ph bin.
