BỘ GIÁO DỤC VÀ ĐÀO TẠO
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC DÂN LẬP HẢI PHÒNG
TRƯỜNG ĐẠI HỌC DÂN LẬP HẢI PHÒNG
NGÀNH CÔNG NGHỆ THÔNG TIN
NGÀNH CÔNG NGHỆ THÔNG TIN
===
===


===
===
BÁO CÁO ĐỒ ÁN TỐT NGHIỆP
BÁO CÁO ĐỒ ÁN TỐT NGHIỆP


Đề tài :
Đề tài :
Giải pháp xác thực người dùng
Giải pháp xác thực người dùng


ISO 9001:2000
Giáo viên hướng dẫn: TS. Phạm Hồng Thái
CN. Lương Việt Nguyên
NỘI DUNG ĐỀ TÀI
NỘI DUNG ĐỀ TÀI
I. Vấn đề an ninh an toàn mạng
I. Vấn đề an ninh an toàn mạng
II. Mạng không dây
II. Mạng không dây

III. Xác thực người dùng
III. Xác thực người dùng
IV. Công nghệ Captive Portal
IV. Công nghệ Captive Portal
V.Sử dụng RADIUS xác thực trong WLAN
V.Sử dụng RADIUS xác thực trong WLAN
I.
I.
VẤN ĐỀ AN NINH AN TOÀN MẠNG
VẤN ĐỀ AN NINH AN TOÀN MẠNG
Đặc điểm chung của một hệ thống mạng là có
Đặc điểm chung của một hệ thống mạng là có
nhiều người sử dụng chung và phân tán về mặt địa
nhiều người sử dụng chung và phân tán về mặt địa
lý nên việc bảo vệ tài nguyên rất phức tạp.
lý nên việc bảo vệ tài nguyên rất phức tạp.
Tổng quan có 3 giải pháp cơ bản :
Tổng quan có 3 giải pháp cơ bản :

Giải pháp về phần cứng.
Giải pháp về phần cứng.

Giải pháp về phần mềm.
Giải pháp về phần mềm.

Giải pháp về con người.
Giải pháp về con người.
II. MẠNG KHÔNG DÂY
II. MẠNG KHÔNG DÂY
Công nghệ không dây là công nghệ cho phép một

Công nghệ không dây là công nghệ cho phép một
hoặc nhiều thiết bị giao tiếp được với nhau mà không
hoặc nhiều thiết bị giao tiếp được với nhau mà không
cần những kết nối vật lí hay nói cách khác là kết nối mà
cần những kết nối vật lí hay nói cách khác là kết nối mà
không cần đến dây cáp mạng.
không cần đến dây cáp mạng.
Mục đích chính : cung cấp cho người dùng khả năng
Mục đích chính : cung cấp cho người dùng khả năng
truy cập thông tin ở bất cứ đâu và tại bất kì thời điểm
truy cập thông tin ở bất cứ đâu và tại bất kì thời điểm
nào với các thiết bị có vị trí liên tục thay đổi.
nào với các thiết bị có vị trí liên tục thay đổi.
II. MẠNG KHÔNG DÂY
II. MẠNG KHÔNG DÂY
Công nghệ phổ biến của mạng không dây
Công nghệ phổ biến của mạng không dây

Công nghệ TDMA
Công nghệ TDMA

Công nghệ GSM
Công nghệ GSM

Công nghệ CDMA
Công nghệ CDMA

Công nghệ WiFi
Công nghệ WiFi


Công nghệ WiMax
Công nghệ WiMax

Công nghệ GPRS
Công nghệ GPRS
III. XÁC THỰC NGƯỜI DÙNG
III. XÁC THỰC NGƯỜI DÙNG
Xác thực người dùng là một quá trình qua
Xác thực người dùng là một quá trình qua
đó hệ thống có thể xác minh rằng một ai đó
đó hệ thống có thể xác minh rằng một ai đó
thực sự là họ. Quá trình xác thực sẽ xác định
thực sự là họ. Quá trình xác thực sẽ xác định
xem một người có phải là người được sử dụng
xem một người có phải là người được sử dụng
hệ thống không.
hệ thống không.


Nó thường đi kèm với quá trình xác định
Nó thường đi kèm với quá trình xác định
quyền hạn của người đó trong hệ thống.
quyền hạn của người đó trong hệ thống.
III. XÁC THỰC NGƯỜI DÙNG
III. XÁC THỰC NGƯỜI DÙNG
1. Giải pháp sử dụng tên và mật khẩu
1. Giải pháp sử dụng tên và mật khẩu

Là giải pháp sử dụng tài khoản của hệ thống. Mỗi tài
Là giải pháp sử dụng tài khoản của hệ thống. Mỗi tài

khoản bao gồm tên truy nhập và mật khẩu.
khoản bao gồm tên truy nhập và mật khẩu.
Qua 2 lần đối chiếu nếu thỏa mãn thì người đăng nhập
Qua 2 lần đối chiếu nếu thỏa mãn thì người đăng nhập
là người dùng hợp lệ của hệ thống.
là người dùng hợp lệ của hệ thống.

Thiết kế và sử dụng đơn giản, tốn ít tài nguyên.
Thiết kế và sử dụng đơn giản, tốn ít tài nguyên.


Dễ dàng và không tốn kém.
Dễ dàng và không tốn kém.

Không có được sự bảo mật cao.
Không có được sự bảo mật cao.


III. XÁC THỰC NGƯỜI DÙNG
III. XÁC THỰC NGƯỜI DÙNG
Một số biện pháp để tăng thêm tính bảo mật
Một số biện pháp để tăng thêm tính bảo mật

Đặt mật khẩu phức tạp
Đặt mật khẩu phức tạp

Thay đổi mật khẩu
Thay đổi mật khẩu

Mã hóa thông tin trong môi trường làm việc là mạng

Mã hóa thông tin trong môi trường làm việc là mạng



Giải pháp mật khẩu sử dụng một lần
Giải pháp mật khẩu sử dụng một lần
Các ứng dụng tiêu biểu hiện nay đang sử dụng : Hệ điều
Các ứng dụng tiêu biểu hiện nay đang sử dụng : Hệ điều
hành (Windows, Unix…), các dịch vụ thư điện tử, thương
hành (Windows, Unix…), các dịch vụ thư điện tử, thương
mại điện tử…
mại điện tử…
III. XÁC THỰC NGƯỜI DÙNG
III. XÁC THỰC NGƯỜI DÙNG
2. Giải pháp dùng thẻ thông minh
2. Giải pháp dùng thẻ thông minh

Người dùng đưa thẻ vào thiết bị đọc thẻ và nhập vào
Người dùng đưa thẻ vào thiết bị đọc thẻ và nhập vào
một mã số bí mật.
một mã số bí mật.


Thiết bị đọc thẻ sẽ đọc các thông tin nhận dạng được
Thiết bị đọc thẻ sẽ đọc các thông tin nhận dạng được
ghi trong thẻ và chuyển đến hệ thống.
ghi trong thẻ và chuyển đến hệ thống.
Hệ thống sẽ kiểm tra với cơ sở dữ liệu người dùng.
Hệ thống sẽ kiểm tra với cơ sở dữ liệu người dùng.


An toàn và dễ sử dụng
An toàn và dễ sử dụng
Các thông tin bên trong thẻ khó bị lấy cắp.
Các thông tin bên trong thẻ khó bị lấy cắp.

Vẫn bị lấy cắp cả thẻ và số PIN.
Vẫn bị lấy cắp cả thẻ và số PIN.
Tốn kém
Tốn kém
III. XÁC THỰC NGƯỜI DÙNG
III. XÁC THỰC NGƯỜI DÙNG
3.
3.
Giải pháp xác thực sử dụng các kỹ thuật sinh trắc học
Giải pháp xác thực sử dụng các kỹ thuật sinh trắc học



Dựa vào một số bộ phận đặc biệt của con người như dấu
Dựa vào một số bộ phận đặc biệt của con người như dấu
vân tay, hình dạng lòng bàn tay, mắt, giọng nói …
vân tay, hình dạng lòng bàn tay, mắt, giọng nói …

Khó thay đổi các bộ phận dùng trong xác thực.
Khó thay đổi các bộ phận dùng trong xác thực.
Khó bị đánh cắp.
Khó bị đánh cắp.
Có mức độ an toàn cao nhất.
Có mức độ an toàn cao nhất.




Thông tin có thể bị thay đổi.
Thông tin có thể bị thay đổi.
Tốn kém.
Tốn kém.
Đưa giải pháp này vào các ứng dụng trên Internet là rất
Đưa giải pháp này vào các ứng dụng trên Internet là rất
khó khăn.
khó khăn.
III. XÁC THỰC NGƯỜI DÙNG
III. XÁC THỰC NGƯỜI DÙNG
Các giao thức xác thực phổ biến :
Các giao thức xác thực phổ biến :

Giao thức thử thách và trả lời
Giao thức thử thách và trả lời

Giao thức xác thực không tiết lộ bí mật
Giao thức xác thực không tiết lộ bí mật

Giao thức biến đổi mật khẩu
Giao thức biến đổi mật khẩu

Giao thức sử dụng mật khẩu một lần
Giao thức sử dụng mật khẩu một lần

Giao thức sử dụng chứng chỉ số
Giao thức sử dụng chứng chỉ số



IV. CÔNG NGHỆ CAPTIVE PORTAL (CP)
IV. CÔNG NGHỆ CAPTIVE PORTAL (CP)
Hoạt động :
Hoạt động :
CP sẽ bắt buộc một máy muốn sử dụng Internet thì
CP sẽ bắt buộc một máy muốn sử dụng Internet thì
trước tiên phải sử dụng trình duyệt để tới một trang để
trước tiên phải sử dụng trình duyệt để tới một trang để
xác thực.
xác thực.
CP chuyển hướng trình duyệt tới thiết bị xác thực,
CP chuyển hướng trình duyệt tới thiết bị xác thực,
đến khi người dùng mở một trình duyệt và thử truy cập
đến khi người dùng mở một trình duyệt và thử truy cập
Internet.
Internet.


Trình duyệt sẽ được chuyển hướng tới trang đăng
Trình duyệt sẽ được chuyển hướng tới trang đăng
nhập hoặc thanh toán hoặc một bảng thông báo về các
nhập hoặc thanh toán hoặc một bảng thông báo về các
quy định mà người dùng phải tuân theo và yêu cầu người
quy định mà người dùng phải tuân theo và yêu cầu người
dùng phải chấp nhận các quy định đó trước khi truy cập
dùng phải chấp nhận các quy định đó trước khi truy cập
Internet.
Internet.
IV. CÔNG NGHỆ CAPTIVE PORTAL (CP)

IV. CÔNG NGHỆ CAPTIVE PORTAL (CP)
Một số cách để triển khai một CP
Một số cách để triển khai một CP

Chuyển hướng bằng HTTP
Chuyển hướng bằng HTTP
Nếu một máy khách chưa xác thực truy cập đến một
Nếu một máy khách chưa xác thực truy cập đến một
website, trình duyệt sẽ yêu cầu địa chỉ IP tương ứng với
website, trình duyệt sẽ yêu cầu địa chỉ IP tương ứng với
tên miền từ máy chủ.
tên miền từ máy chủ.
Trình duyệt gửi một yêu cầu HTTP đến địa chỉ IP đó.
Trình duyệt gửi một yêu cầu HTTP đến địa chỉ IP đó.
Yêu cầu này sẽ bị firewall chặn lại và chuyển tiếp tới một
Yêu cầu này sẽ bị firewall chặn lại và chuyển tiếp tới một
máy chủ chuyển tiếp.
máy chủ chuyển tiếp.


Máy chủ chuyển tiếp phản hồi với một trả lời HTTP để
Máy chủ chuyển tiếp phản hồi với một trả lời HTTP để
chuyển hướng máy khách tới CP.
chuyển hướng máy khách tới CP.


IV. CÔNG NGHỆ CAPTIVE PORTAL (CP)
IV. CÔNG NGHỆ CAPTIVE PORTAL (CP)

Chuyển hướng bằng DNS

Chuyển hướng bằng DNS
Nếu một máy khách chưa xác thực truy cập đến một
Nếu một máy khách chưa xác thực truy cập đến một
website, trình duyệt sẽ yêu cầu địa chỉ IP tương ứng
website, trình duyệt sẽ yêu cầu địa chỉ IP tương ứng
với tên miền từ máy chủ DNS.
với tên miền từ máy chủ DNS.
Thay vì trả về IP chính xác của tên miền website,
Thay vì trả về IP chính xác của tên miền website,
máy chủ DNS sẽ trả về IP của CP.
máy chủ DNS sẽ trả về IP của CP.
IV. CÔNG NGHỆ CAPTIVE PORTAL (CP)
IV. CÔNG NGHỆ CAPTIVE PORTAL (CP)
Hạn chế :
Hạn chế :
Khi địa chỉ IP và MAC của một máy tính khác đã
Khi địa chỉ IP và MAC của một máy tính khác đã
được xác thực thì một máy tính bất kì có thể giả mạo
được xác thực thì một máy tính bất kì có thể giả mạo
địa chỉ IP và MAC của máy tính đó và do đó được
địa chỉ IP và MAC của máy tính đó và do đó được
phép đi qua gateway.
phép đi qua gateway.
Những platform không có trình duyệt hỗ trợ HTTP
Những platform không có trình duyệt hỗ trợ HTTP
thì không thể sử dụng nhiều loại CP.
thì không thể sử dụng nhiều loại CP.
V. SỬ DỤNG RADIUS CHO QUÁ TRÌNH
V. SỬ DỤNG RADIUS CHO QUÁ TRÌNH
XÁC THỰC TRONG WLAN

XÁC THỰC TRONG WLAN
Khi quá trình xác thực bắt đầu được sử dụng, máy
Khi quá trình xác thực bắt đầu được sử dụng, máy
chủ trả về một RADIUS Thách thức truy nhập. Bộ
chủ trả về một RADIUS Thách thức truy nhập. Bộ
dịch vụ truy cập mạng NAS sẽ chuyển thông tin đến
dịch vụ truy cập mạng NAS sẽ chuyển thông tin đến
người dùng từ xa.
người dùng từ xa.
Người dùng sẽ phải trả lời đúng các yêu cầu xác
Người dùng sẽ phải trả lời đúng các yêu cầu xác
nhận, sau đó NAS sẽ chuyển tới một thông báo
nhận, sau đó NAS sẽ chuyển tới một thông báo
RADIUS Yêu cầu truy nhập.
RADIUS Yêu cầu truy nhập.
V. SỬ DỤNG RADIUS CHO QUÁ TRÌNH
V. SỬ DỤNG RADIUS CHO QUÁ TRÌNH
XÁC THỰC TRONG WLAN
XÁC THỰC TRONG WLAN
Nếu máy chủ sau khi kiểm tra các thông tin của
Nếu máy chủ sau khi kiểm tra các thông tin của
người dùng hoàn toàn thoả mãn sẽ cho phép sử dụng
người dùng hoàn toàn thoả mãn sẽ cho phép sử dụng
dịch vụ.
dịch vụ.
Nếu không thoả mãn sẽ ngắt kết nối với người
Nếu không thoả mãn sẽ ngắt kết nối với người
dùng.
dùng.
RADIUS Thanh toán làm nhiệm vụ ghi lại quá

RADIUS Thanh toán làm nhiệm vụ ghi lại quá
trình xác thực của người dùng vào hệ thống, khi kết
trình xác thực của người dùng vào hệ thống, khi kết
thúc phiên làm việc NAS sẽ gửi một thông tin
thúc phiên làm việc NAS sẽ gửi một thông tin
RADIUS Yêu cầu thanh toán.
RADIUS Yêu cầu thanh toán.


the end
the end
Em xin chân thành cảm ơn !
Em xin chân thành cảm ơn !