Luận văn Thạc sĩ Công nghệ thông tin: Nghiên cứu giải pháp tích hợp chữ ký số cho ứng dụng dựa trên công nghệ sharepoint

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

HOÀNG THẾ THẮNG

NGHIÊN CỨU GIẢI PHÁP TÍCH HỢP CHỮ KÝ SỐ CHO ỨNG DỤNG DỰA TRÊN CÔNG NGHỆ SHAREPOINT

LUẬN VĂN THẠC SỸ CÔNG NGHỆ THÔNG TIN

Hà Nội – 2016

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

HOÀNG THẾ THẮNG

NGHIÊN CỨU GIẢI PHÁP TÍCH HỢP CHỮ KÝ SỐ CHO ỨNG DỤNG DỰA TRÊN CÔNG NGHỆ SHAREPOINT

Ngành: Công nghệ thông tin

Chuyên ngành: Hệ thống thông tin

Mã số: 60480104

LUẬN VĂN THẠC SỸ CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC:

TS. HỒ VĂN HƯƠNG - TS. NGUYỄN VIẾT THẾ

Hà Nội – 2016

LỜI CẢM ƠN

Đầu tiên, tôi xin gửi lời cảm ơn chân thành và sâu sắc tới Tiến sĩ Hồ Văn Hương và Tiến sĩ Nguyễn Viết Thế, những người đã trực tiếp hướng dẫn, tận tình chỉ bảo giúp đỡ tôi trong suốt thời gian tôi thực hiện luận văn này.

Tôi cũng được gửi lời cảm ơn đến các thầy cô giảng viên trong và ngoài trường Đại học Công Nghệ - Đại học Quốc Gia Hà Nội, những người đã tận tâm giảng dạy, cho tôi những kiến thức quý báu trong thời gian tôi học tập và nghiên cứu tại trường.

Cuối cùng, tôi xin gửi lời biết ơn sâu sắc tới gia đình, bạn bè luôn động viên,

tạo điều kiện tốt nhất giúp tôi có thể thực hiện được luận văn này.

Em rất mong nhận được ý kiến đóng góp từ Thầy, Cô giáo và các bạn quan

tâm để hoàn thiện và phát triển đề tài đi xa hơn nữa.

Xin trân trọng cảm ơn!

Hà Nội, ngày 27 tháng 10 năm 2016

Học viên

Hoàng Thế Thắng

i

LỜI CAM ĐOAN

Tôi xin cam đoan rằng những nghiên cứu được trình bày trong luận văn này dưới sự hướng dẫn của Tiến sĩ Hồ Văn Hương và Tiến sĩ Nguyễn Viết Thế là của tôi. Những gì tôi viết ra không sao chép từ các tài liệu, không sử dụng các kết quả của người khác mà không trích dẫn cụ thể.

Tôi xin cam đoan chương trình tích hợp chữ ký số vào Sharepoint trình bày trong luận văn là do tôi tự phát triển, không sao chép mã nguồn của người khác. Nếu sai tôi hoàn toàn chịu trách nhiệm theo quy định của Trường Đại học Công Nghệ - Đại học Quốc Gia Hà Nội.

Hà nội, ngày 27 tháng 10 năm 2016

Học viên

Hoàng Thế Thắng

ii

MỤC LỤC

LỜI CẢM ƠN ........................................................................................................ i

LỜI CAM ĐOAN .................................................................................................. ii

MỤC LỤC ............................................................................................................ iii

DANH MỤC HÌNH VẼ ....................................................................................... vi

DANH MỤC TỪ VIẾT TẮT ............................................................................. viii

MỞ ĐẦU ............................................................................................................... 1

CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN VÀ CÔNG NGHỆ SHAREPOINT ............................................................................. 3

1. An toàn bảo mật thông tin ............................................................................. 3

1.1. Tổng quan ............................................................................................... 3

1.2. Các nguy cơ mất an toàn bảo mật thông tin ........................................... 4

1.3. Hệ mật mã ............................................................................................... 5

1.3.1. Định nghĩa ........................................................................................ 5

1.3.2. Mã hóa khóa đối xứng ..................................................................... 6

1.3.3. Mã khóa khóa công khai .................................................................. 9

1.4. Hàm băm ............................................................................................... 13

1.5. Chữ ký số .............................................................................................. 14

1.5.1. Giới thiệu ....................................................................................... 14

1.5.2. Quá trình ký ................................................................................... 14

1.5.3. Xác thực chữ ký ............................................................................. 15

2. Công nghệ Sharepoint ................................................................................. 16

3.1. Windows Sharepoint Services (WSS) .................................................. 17

2.1.1. Tổng quan về WSS ........................................................................ 17

2.1.2. Kiến trúc của WSS ......................................................................... 17

2.1.3. Cấu hình WSS ................................................................................ 21

2.1.4. Máy chủ ảo và Web IIS ................................................................. 22

2.1.5. Site và Site Collection .................................................................... 24

2.2. Share point portal server (SPS) ............................................................ 26

iii

2.2.1. Tổng quan về SPS .......................................................................... 26

2.2.2. Kiến trúc của SPS .......................................................................... 28

2.3. Webpart ................................................................................................. 30

2.3.1. Tổng quan về Webpart ................................................................... 30

2.3.2. Kiến trúc ......................................................................................... 31

2.3.3. Tùy biến và cá nhân hóa Webpart.................................................. 32

2.4. Bảo mật trong Sharepoint ..................................................................... 32

CHƯƠNG II: NGHIÊN CỨU GIẢI PHÁP TÍCH HỢP CHỮ KÝ SỐ CHO CÔNG NGHỆ SHAREPOINT ........................................................................... 36

1. Các giải pháp bảo mật thông tin cho Sharepoint ......................................... 36

1.1. Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS .............. 36

1.1.1. Khái quát chung ............................................................................. 36

1.1.2. Hoạt động ....................................................................................... 36

1.1.3. Hạn chế........................................................................................... 37

1.2. Mạng riêng ảo (VPN) ........................................................................... 38

1.2.1. Khái quát chung ............................................................................. 38

1.2.2. Các giao thức thường dùng trong VPN ......................................... 38

1.2.3. Ưu nhược điểm của VPN ............................................................... 39

1.3. Bảo mật thông tin bằng thuật toán ........................................................ 39

1.3.1. Ưu điểm .......................................................................................... 39

1.3.2. Nhược điểm .................................................................................... 40

2. Lựa chọn giải pháp bảo mật cho ứng dụng văn phòng điện tử dựa trên công nghệ Sharepoint ............................................................................................... 40

2.1. Lý do lựa chọn ...................................................................................... 40

2.2. Tính khả thi của giải pháp .................................................................... 41

CHƯƠNG III: XÂY DỰNG ỨNG DỤNG TÍCH HỢP CHỮ KÝ SỐ CHO ỨNG DỤNG HỆ ĐIỀU HÀNH TÁC NGHIỆP VĂN PHÒNG ĐIỂN TỬ DỰA TRÊN SHAREPOINT .................................................................................................... 43

1. Phân tích thiết kế ......................................................................................... 43

1.1. Xây dựng bài toán ................................................................................. 43

iv

1.2. Phân tích thiết kế................................................................................... 43

1.3. Xây dựng giải pháp ............................................................................... 45

1.3.1. Môi trường cài đặt .......................................................................... 45

1.3.2 Thiết bị ký số ................................................................................... 46

1.3.3. Quá trình ký số ............................................................................... 46

1.3.4. Quá trình xác thực .......................................................................... 48

2. Cài đặt thử nghiệm chương trình demo ....................................................... 49

2.1. Cấu hình Sharepoint Server 2013 ......................................................... 49

2.2. Tích hợp ứng dụng vào Sharepoint....................................................... 53

KẾT LUẬN ......................................................................................................... 62

TÀI LIỆU THAM KHẢO ................................................................................... 63

v

DANH MỤC HÌNH VẼ

Hình 1: Quá trình mã hóa ...................................................................................... 5

Hình 2: Quá trình giải mã ...................................................................................... 6

Hình 3: Mã hóa khóa bí mật .................................................................................. 8

Hình 4: Mã hóa khóa công khai .......................................................................... 11

Hình 5: Xác thực thông tin .................................................................................. 11

Hình 6: Ký và mã hoá với khóa công khai .......................................................... 12

Hình 7:Lược đồ ký .............................................................................................. 15

Hình 8: Lược đồ xác thực .................................................................................... 16

Hình 9: Kiến trúc của WSS ................................................................................. 18

Hình 10:WSS cần một CSDL cấu hình và một hoặc nhiều CSDL nội dung ...... 19

Hình 11: Khung nhìn mức cao về WSS .............................................................. 20

Hình 12: Server Farm .......................................................................................... 22

Hình 13: Mỗi Web site IIS có thể được cấu hình như là một máy chủ ảo chạy WSS ..................................................................................................................... 23

Hình 14: Site collections ..................................................................................... 24

Hình 15: Kiến trúc của một SPS ......................................................................... 28

Hình 16: Webpart Page ....................................................................................... 32

Hình 17: Những nơi cần bảo mật trong Sharepoint ............................................ 34

Hình 18: Luồng công việc xử lý mã hóa, ký số và upload ................................. 44

Hình 19: Xác thực và giải mã.............................................................................. 45

Hình 20: Trang chủ Sharepoint ........................................................................... 54

Hình 21: Màn hình bảo mật ................................................................................ 54

Hình 22: Mở file muốn tải lên Sharepoint .......................................................... 55

Hình 23: Chọn menu Mã hóa .............................................................................. 55

Hình 24: Kết quả mã hóa..................................................................................... 56

Hình 25: Màn hình ký số ..................................................................................... 56

Hình 26: Chọn chứng thư số từ token ................................................................. 57

vi

Hình 27: Nhập mã PIN để ký số ......................................................................... 57

Hình 28: Ký số thành công .................................................................................. 58

Hình 29: Tải tài liệu lên Sharepoint .................................................................... 58

Hình 30: Danh sách các tài liệu được chia sẻ ..................................................... 59

Hình 31: Chọn chứng thư số từ token để xác thực ............................................. 59

Hình 32: Xác thực thành công ............................................................................. 60

Hình 33: Chức năng giải mã ............................................................................... 60

Hình 34: Kết quả giải mã .................................................................................... 61

vii

DANH MỤC TỪ VIẾT TẮT

Advanced Encryption Standard AES

Business Data Connectivity BDC

Cơ sở dữ liệu CSDL

Intrusion Detect System IDS

Intrusion Prevent System IPS

ISAPI

Internet Server Applications Program Interface

Public key infrastructure PKI

SharePoint Portal Server SPS

VNCERT

Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam

Virtual Private Network VPN

Windows SharePoint Service WSS

viii

MỞ ĐẦU

Ngày nay công nghệ thông tin đang rất phát triền, chúng ta đang sống trong một thế giới phẳng, chính bởi vậy một nhu cầu thiết thực là làm sao trao đổi thông tin nhanh hơn, chính xác hơn, thuận tiện hơn và đặc biệt là an toàn hơn. Từ đó, các nhà nghiên cứu liên tục đưa ra các công nghệ mới nhằm đáp ứng tốt hơn các đòi hỏi. Việc trao đổi thông tin trong các đơn vị hành chính sự nghiệp không chỉ dừng lại ở việc trao đổi trực tiếp mà cần phải tiếp cận nhanh hơn và điều khiển từ xa, chính bởi vậy, các hệ thống tác nghiệp cho ứng dụng văn phòng được ra đời.

Hiện này có nhiều hệ thống tác nghiệp cho ứng dụng văn phòng như eOffice, mOffice, Lotus Notes, Sharepoint, nhưng những hệ thống này đều chưa có giải pháp đảm bảo an ninh, an toàn thông tin thực sự hiệu quả; nguy cơ về mất an ninh, an toàn thông tin là rất thường trực, dẫn đến việc đảm bảo bảo mật thông tin là rất cần thiết.

An toàn thông tin bao gồm các nội dung sau:

 Tính bí mật: là tính kín đáo riêng tư của thông tin

 Tính xác thực của thông tin: là tính đảm bảo sự xác thực, nguồn gốc của

thông tin

 Tính trách nhiệm: để đảm bảo thông tin được đưa ra luôn có người chịu

trách nhiệm với nó.

Khi thông tin được truyền trên mạng, để đảm bảo an toàn thông tin có hiệu quả, ngoài việc sử dụng các công cụ mạng thì việc xác thực thông tin của chính tác giả là rất quan trọng.

Có nhiều giải pháp để bảo mật thông tin, trong số đó, xác thực là một biện pháp có độ tin cậy cao. Để xác thực thông tin, chữ ký số là một giải pháp tối ưu. Chữ ký số hiện nay có nhiều loại, nhiều thuật toán xây dựng và rất khó để phá vỡ, nó có thể được hiểu như con dấu điện tử của người phát hành tài liệu trong giao dịch điện tử. Chữ ký số đã được chứng minh về mặt kỹ thuật đảm bảo an ninh, duy nhất và không thể giả mạo được. Chữ ký số được lưu trữ trong thiết bị đặc biệt (USB Token), bảo vệ bởi mật khẩu nên có mức đảm

1

bảo an ninh cao. Chính bởi vậy, tác giả đề xuất phương pháp sử dụng chữ ký số để giải quyết vấn đề đảm bảo an ninh, an toàn thông tin cho các hệ thống tác nghiệp, đặc biệt là các hệ thống dựa trên công nghệ Share Point.

Luận văn chia làm ba chương:

Chương I: Tổng quan về an toàn bảo mật thông tin và công nghệ SharePoint

Trình bày những vấn đề cơ bản trong An toàn bảo mật thông tin, các nguy cơ mất an toàn thông tin, hệ mã hóa, hàm băm, chữ ký số. Tác giả cũng đưa ra các vấn đề cần nghiên cứu trong công nghệ Sharepoint, các thành phần chính của Sharepoint, các lỗ hổng bảo mật của Sharepoint và cơ chế bảo mật hiện có.

Chương II: Nghiên cứu giải pháp tích hợp chữ ký số cho công nghệ SharePoint

Trình bày một số phương pháp bảo mật có thể áp dụng cho Sharepoint như IDS/IPS, VNP, tích hợp chữ ký số; phân tích ưu nhược điểm của các phương pháp này, từ đó lựa chọn giải pháp tối ưu nhất để áp dụng.

Chương III: Xây dựng ứng dụng tích hợp chữ ký số cho ứng dụng hệ điều hành tách nghiệp văn phòng điện tử dựa trên SharePoint

Tập trung phân tích thiết kế, xây dựng giải pháp và phát triển ứng dụng thử nghiệm giải pháp tích hợp chữ ký số cho ứng dụng.

2

CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN VÀ CÔNG NGHỆ SHAREPOINT

1. An toàn bảo mật thông tin

1.1. Tổng quan

Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các công nghệ liên tục được phát triển thì các yêu cầu, biện pháp bảo vệ thông tin ngày càng cấp thiết. Bảo vệ an toàn thông tin liên quan đến rất nhiều lĩnh vực đời sống và các biện pháp bảo vệ cũng rất đa dạng, nhưng có thể được quy tụ vào ba nhóm sau1:

 Bảo vệ bằng các biện pháp hành chính

 Bảo vệ bằng các biện pháp kỹ thuật(phần cứng)

 Bảo về bằng thuật toán(phần mềm)

Thông tin có thể tồn tại ở nhiều loại môi trường, nhưng môi trường khó bảo vệ nhất và cũng là môi trường đối phương dễ xâm nhập nhất đó là môi trường mạng. Biện pháp hiệu quả nhất và kinh tế nhất hiện nay trên là biện pháp bảo vệ bằng thuật toán.

An toàn thông tin gồm các nội dung sau:

 Tính bí mật

 Tính xác thực

 Tính trách nhiệm

Có hai loại hành vi xâm phạm thông tin dữ liệu đó là: vi phạm chủ động và vi phạm thụ động. Vi phạm thụ động chỉ có thể lấy được thông tin nhưng có thể ko nắm được các thông tin bí mật, nhưng vi phạm chủ động là dạng vi phạm có thể làm thay đổi nội dung hoặc làm ảnh hưởng đến gói tin tại thời điểm đó hoặc sau đó. Vi phạm chủ động có thể dễ phát hiện nhưng rất khó để ngăn chặn hiệu quả.

Tuy nhiên có thể có nhiều phương pháp chống lại các hành vi vi phạm nhưng

một thực tế là không có một phương pháp nào là an toàn tuyệt đối.

1 Theo mục 1.1 của [6]

3

1.2. Các nguy cơ mất an toàn bảo mật thông tin

Các nguy cơ mất an ninh an toàn thông tin do nhiều nguyên nhân, đối tượng gây hại rất đa dạng. Theo số liệu thống kê mới nhất về bảo mật thông tin của Symantec, Việt Nam đứng thứ 11 toàn cầu về các hoạt động đe dọa tấn công mạng2. Những xu hướng đe dọa bảo mật ngày càng gia tăng mà Việt Nam cần phải quan tâm là: tấn công có chủ đích cao cấp, các mối đe dọa trên di động, các vụ tấn công độc hại và đánh cắp dữ liệu.

Có 4 loại mối đe dọa an toàn:

 Đánh chặn (Interception): Chỉ những thành phần không được phép nhưng

chặn dữ liệu trên đường truyền để “nghe trộm” thông tin.

 Đứt đoạn (Interruption): chỉ hình thức làm hư hỏng, sai khác dữ liệu,

không sử dụng được nữa.

 Thay đổi (Modification): chỉ hình thức thay đổi thông tin dữ liệu, làm dữ

liệu mang một ý nghĩa khác

 Giả mạo (Fabrication): chỉ hình thức thêm vào dữ liệu hoặc dịch vụ khác

để giả mạo đánh cắp thông tin.

Trong 9 tháng đầu năm 2015, VNCERT đã phát hiện 18.085 website bị nhiễm mã độc và lây lan mã độc đến các máy tính trong mạng, trong đó có 88 website/cổng thông tin điện tử của các cơ quan Nhà nước, 7.421 tấn công thay đổi giao diện (deface), trong đó có 164 website/cổng thông tin điện tử của các cơ quan Nhà nước. Bên cạnh đó, hầu hết địa phương không có bộ phận an ninh thông tin, nhân sự chuyên trách cũng chỉ là một vị trí kiêm nhiệm của bộ phận CNTT3

Khối doanh nghiệp cũng gặp phải rất nhiều khó khăn trong việc tránh khỏi các mối đe dọa. Các hình thức ngày càng tinh vi hơn, từ việc gửi virus qua các phần mềm online cho đến những cuộc tấn công có chủ đích, sử dụng phần mềm độc hại đánh cắp thông tin. Họ phải chịu chi phí rất lớn cho việc bảo vệ đảm bảo an toàn thông tin, đặc biệt là các thông tin nội bộ.

2 Theo nghiên cứu của voer.edu.vn năm 2015

3 Theo VNCERT năm 2015

4

Hiện nay, ngoài các cách trao đổi, lưu trữ thông tin truyền thống, các đơn vị hành chính sự nghiệp, các doanh nghiệp tư nhân đã ứng dụng văn phòng điện tử như là một phần tất yếu. Các ứng dụng này được xây dựng dựa trên các công nghệ mới, mang lại nhiều thuận lợi như Microsoft Share Point, IBM Lotus Notes… Các hệ thống văn phòng điện tử giúp cơ quan, tổ chức trao đổi thông tin, đưa ra nhưng quyết định không chỉ có tính đại chúng mà rất nhiểu thông tin mật, chính vì vậy, việc xác thực và bảo mật thông tin trở nên rất cần thiết, đặc biệt trong các tổ chức về an ninh, quốc phòng.

1.3. Hệ mật mã

1.3.1. Định nghĩa

Hệ mật mã là một hệ gồm 5 thành phần: M, C, K, E, D

M(message): tập các bản rõ C(ciphertext): tập các bản mã K(key): tập các khóa E(encryption): tập các quy tắc mã hóa D(decryption): tập các quy tắc giải mã C = Ek(P) và P = Dk(C)

Sơ đồ

Hình 1: Quá trình mã hóa

5

Hình 2: Quá trình giải mã

1.3.2. Mã hóa khóa đối xứng

1.3.2.1. Khái niệm

Theo mục [1.6] của [6], Mã khóa đối xứng còn được gọi là mã hóa khóa bí mật. Đây là phương pháp mã hóa sử dụng cặp khóa đối xứng, người gửi và người nhận sẽ dùng chung một khóa để mã hóa và giải mã thông điệp. Khóa phải được giữ bí mật và chỉ hai người biết.

Ví dụ thuật toán AES:

AES được xây dựng trên nguyên lý thiết kế lưới giao hoán – thay thế (substitution-permutation network). Đây là một hệ mã có tốc độ tốt trong cả cài đặt phần mềm cũng như phần cứng. AES không theo mẫu thiết kế mạng Feistel, thay vào đó các thao tác cơ bản được thực hiện trên các khối ma trận dữ liệu 4*4 (bytes), được gọi là các trạng thái (state). Số vòng lặp của AES là một tham số xác định trên cơ sở kích thước khóa: 10 vòng lặp cho khóa 128 bit, 12 cho 192 bit, 14 cho 256 bit.

Quy trình mã hóa sử dụng bốn phép biến đổi chính:

 AddRoundKey: cộng mã khóa của chu kỳ vào trạng thái hiện hành. Độ

dài của mã khóa của chu kỳ bằng với kích thước của trạng thái. Các byte được thế thông qua bảng tra S-box. Đây chính là quá trình phi tuyến của thuật toán. Hộp S-box này được tạo ra từ một phép biến đổi khả nghịch trong trường hữu hạn GF (28) có tính chất phi tuyến. Để chống lại các tấn công dựa trên các đặc tính đại số, hộp S-box này được tạo nên bằng cách kết hợp phép nghịch đảo với một phép biến đổi affine khả

6

nghịch. Hộp S-box này cũng được chọn để tránh các điểm bất động (fixed point).

 SubBytes: thay thế phi tuyến mỗi byte trong trạng thái hiện hành thông

qua bảng thay thế (S-box). Các hàng được dịch vòng một số bước nhất định. Đối với AES, hàng đầu được giữ nguyên. Mỗi byte của hàng thứ 2 được dịch vòng trái một vị trí. Tương tự, các hàng thứ 3 và 4 được dịch vòng 2 và 3 vị trí. Do vậy, mỗi cột khối đầu ra của bước này sẽ bao gồm các byte ở đủ 4 cột khối đầu vào. Đối với Rijndael với độ dài khối khác nhau thì số vị trí dịch chuyển cũng khác nhau

 MixColumns: trộn thông tin của từng cột trong trạng thái hiện hành. Mỗi

cột được xử lý độc lập. Bốn byte trong từng cột được kết hợp lại theo một phép biến đổi tuyến tính khả nghịch. Mỗi khối 4 byte đầu vào sẽ cho một khối 4 byte ở đầu ra với tính chất là mỗi byte ở đầu vào đều ảnh hưởng tới cả 4 byte đầu ra. Cùng với bước ShiftRows, MixColumns đã tạo ra tính chất khuyếch tán cho thuật toán. Mỗi cột được xem như một đa thức trong trường hữu hạn và được nhân với đa thức: c(x) = 3x3 + x2 + x + 2(modulo x4 + 1)

 ShiftRows : dịch chuyển xoay vòng từng dòng của trạng thái hiện hành

với di số khác nhau. Khóa con được kết hợp với các khối. Khóa con trong mỗi chu trình được tạo ra từ khóa chính với quá trình tạo khóa con Rijndael; mỗi khóa con có độ dài giống như các khối. Quá trình kết hợp được thực hiện bằng cách XOR từng bít của khóa con với khối dữ liệu.

Quy trình mã hóa được tóm tắt lại như sau:

 Thực hiện thao tác AddRoundKey đầu tiên trước khi thực hiện các chu kỳ

mã hóa.

 Nr – 1 chu kỳ mã hóa bình thường, mỗi chu kỳ bao gồm bốn bước biến đổi liên tiếp nhau:SubBytes, ShiftRows, MixColumns, và AddRoundKey.

Thực hiện chu kỳ mã hóa cuối cùng: trong chu kỳ này thao tác MixColumns

được bỏ qua.

7

1.3.2.2. Ứng dụng

Độ an toàn của phương pháp này phụ thuộc vào sự bí mật của khóa, nếu khóa

bị lộ ra ngoài, bất kỳ ai cũng có thể biết được thông tin dữ liệu.

Hình 3: Mã hóa khóa bí mật

Loại mã hóa này sử dụng trong môi trường mà khoá dễ dàng được di chuyển và môi trường có thể tin cậy về độ an toàn, như một phòng ban, hay một nhóm nhỏ.

1.3.2.3. Ưu nhược điểm của mã hóa khóa đối xứng

a. Ưu điểm:

 Tốc độ mã hóa nhanh

b. Nhược điểm

 Hai bên bắt buộc phải tiến hành thống nhất với nhau về khóa mật thì mới

có thể truyền thông an toàn.

 Việc phân phối khóa mật tới những người tham gia vào quá trình truyền

tin thông qua các kênh an toàn có thể dẫn đến việc bị lộ khóa.

 Nếu phải trao đổi thông tin với nhiều đối tác, mỗi đối tác sử dụng một khóa mật thì việc quản lý số lượng lớn khoá mật là điều hoàn toàn không dễ dàng.

8

1.3.3. Mã khóa khóa công khai

1.3.3.1. Khái niệm

Theo mục [1.6] của [6], Mã hóa khóa công khai là một dạng mã hóa cho phép người sử dụng trao đổi các thông tin mật mã mà không cần phải trao đổi các khóa chung bí mật trước đó. Mã hóa khóa công khai sử dụng một cặp khóa, một khóa bí mật chỉ một người biết, một khóa công khai được đưa ra ngoài để nhiều người có thể sử dụng. Trong hai khóa đó, một khóa dùng để mã hóa, một khóa dùng để giải mã, và không thể tìm ra khóa bí mật nếu chỉ biết khóa công khai.

Ví dụ

Thuật toán được Ron Rivest, Adi Shamir và Len Adleman (R.S.A) mô tả lần đầu tiên vào năm 1977. Thuật toán mã hóa RSA thoả mãn 5 yêu cầu của một hệ mã hiện đại:

 Độ bảo mật cao (nghĩa là để giải mã được mà không biết khoá mật thì

phải tốn hàng triệu năm).

 Thao tác nhanh(thao tác mã hoá và giải mã tốn ít thời gian).

 Dùng chung được.

 Có ứng dụng rộng rãi.

 Có thể dùng để xác định chủ nhân (dùng làm chữ ký điện tử).

Hoạt động:

Thuật toán RSA có hai khóa:

 Khóa công khai (Public key): được công bố rộng rãi cho mọi người và

được dùng để mã hóa

 Khóa bí mật (Private key): Những thông tin được mã hóa bằng khóa công

khai chỉ có thể được giải mã bằng khóa bí mật tương ứng

Tạo khóa:

Bước 1:B (người nhận) tạo hai số nguyên tố lớn ngẫu nhiên p và q

9

Bước 2: Tính n=p*q và Φ(n) = (p-1)(q-1)

Bước 3: Chọn một số ngẫu nhiên e (0< e < Φ(n)) sao cho ƯCLN(e,Φ(n))=1

Bước 4: Tính d = e-1 bằng cách dùng thuật toán Euclide. Tìm số tự nhiên x sao cho: d = (x * Φ(n) + 1)/e

Bước 5:

 n và e làm khoá công khai (public key),

 d làm khoá bí mật (pivate key).

Mã hóa và Giải mã:

Bước 1: A nhận khoá công khai của B.

Bước 2: A biểu diễn thông tin cần gửi thành số m (0 <= m <= n-1)

Bước 3: Tính c = me mod n

Bước 4: Gửi c cho người nhận B

Bước 5: Giải mã: tính m = cd mod n.

1.3.3.2. Bảo vệ thông tin với mật mã khoá công khai

a. Bảo vệ tính bí mật thông tin

Giả sử A muốn gửi cho B một thông điệp M, A sẽ phải:

 Mã hóa thông điệp M bằng khóa công khai của B.

 Gửi bản mã thông điệp cho B.

Khi B nhận được thông điệp đã được mã hóa của A, B sẽ sử dụng khóa riêng

của mình để giải mã thông điệp đó.

10

Hình 4: Mã hóa khóa công khai

Với phương pháp này, chỉ có B là người có khóa bí mật mới giải mã được. Tuy nhiên, ta không xác thực được thông tin được mã hóa là do ai gửi, vì khóa công khai được nhiều người xử dụng.

b. Xác thực thông tin

A muốn mọi người biết được rằng tài liệu M là của chính A gửi, A có thể sử

dụng khóa riêng của mình để ký lên tài liệu M.

Khi B nhận được tài liệu, B sẽ sử dụng khóa công khai để xác thực chữ ký, vì

chỉ có A mới có khóa bí mật để tạo chữ ký ký lên tài liệu đó.

Hình 5: Xác thực thông tin

11

Nếu chỉ sử dụng chữ ký để xác thực thông tin, thì người khác vẫn xem được nội dung của thông tin mặc dù không xác thực được chính xác thông tin là của ai.

c. Bảo vệ bí mật và xác thực thông tin

Để đảm bảo thông tin vừa bí mật vừa xác thực, chúng ta phải thực hiện mã hóa hai lần:

 Đầu tiên, A phải ký thông điệp bằng khóa riêng của mình để đảm bảo tính

xác thực

 Sau đó, A sử dụng khóa công khai của B để mã hóa tiếp thông điệp vừa

được mã hóa để đảm bảo tính bí mật

Sau đó, A gửi bản mã cuối cùng đến B. B nhận được, sẽ làm giải mã theo thứ tự ngược lại để lấy được bản tin rõ.

Hình 6: Ký và mã hoá với khóa công khai

1.3.3.3. Ưu nhược điểm của hệ mật mã khóa công khai

a. Ưu điểm

 Tiện lợi do các bên không cần chia sẻ khóa

 Do chỉ có một người giữ khóa bí mật nên độ an toàn sẽ cao hơn rất nhiều

12

 Hỗ trợ công nghệ chữ kí số cùng với các kết quả trả về từ hàm băm đảm bảo được tính xác thực nguồn, tính toàn vẹn dữ liệu và hỗ trợ chống chối bỏ trách nhiệm.

b. Nhược điểm

 Tốc độ mã hóa chậm nên khó được dùng một cách độc lập trong mật mã.

 Cần phải có một đơn vị đủ tin cậy đứng ra chứng thực người dùng với

khóa công khai tương ứng.

1.4. Hàm băm

Hàm băm là giải thuật nhằm sinh ra các giá trị băm tương ứng với mỗi khối dữ liệu (có thể là một chuỗi kí tự, một đối tượng trong lập trình hướng đối tượng, v.v...). Giá trị băm đóng vai gần như một khóa để phân biệt các khối dữ liệu, tuy nhiên, người ta chấp hiện tượng trùng khóa hay còn gọi là đụng độ và cố gắng cải thiện giải thuật để giảm thiểu sự đụng độ đó. Hàm băm thường được dùng trong bảng băm nhằm giảm chi phí tính toán khi tìm một khối dữ liệu trong một tập hợp (nhờ việc so sánh các giá trị băm nhanh hơn việc so sánh những khối dữ liệu có kích thước lớn). Có 5 thuật toán băm an toàn SHA-1, SHA-2241 , SHA-256, SHA- 384 và SHA-512.

Một số tính chất của hàm băm:

 Hàm băm là hàm một chiều, nên rất khó để khôi phục lại thông điệp ban

đầu từ thông điệp rút gọn.

 Tuy nhiên hàm băm h không phải là một song ánh, tức là có thể xảy ra việc trùng thông điệp rút gọn. Đây là một điểm yếu có thể bị lợi dụng.

 Hàm băm giúp xác định được tính toàn vẹn dữ liệu của thông tin: mọi thay đổi, dù là rất nhỏ, trên thông điệp cho trước đều làm thay đổi thông điệp rút gọn tương ứng. Tính chất này hữu ích trong việc phát sinh, kiểm tra chữ kí điện tử, các đoạn mã chứng nhận thông điệp, phát sinh số ngẫu nhiên, tạo ra khóa cho quá trình mã hóa…

13

1.5. Chữ ký số

1.5.1. Giới thiệu

Chữ ký là mô hình sử dụng các kỹ thuật mật mã để gắn với mỗi người sử dụng một cặp khóa công khai - bí mật và qua đó có thể ký các văn bản cũng như trao đổi các thông tin mật. Khóa công khai thường được phân phối thông qua chứng thực khóa công khai. Quá trình sử dụng chữ ký số bao gồm 2 quá trình: tạo chữ ký và xác thực chữ ký.

Sử dụng chữ ký số trong truyền thông sẽ đảm bảo được các tính chất sau:

 Xác thực được định danh của người gửi và nguồn gốc của thông điệp

 Bất kỳ một sử đổi nào trên thông điệp làm cho kết quả xác minh chữ ký là

không chính xác nên đảm bảo được tính toàn vẹn của dữ liệu.

 Chỉ người giữ khóa bí mật mới có thể ký số, nên không thể chối bỏ trách

nhiệm

 Không thể tạo ra một văn bản với một chữ ký có sẵn chính vì vậy mà

không thể dùng lại chữ ký.

Bản chất của quá trình ký lên bản tin chính là sử dụng khóa bí mật của mình để mã hóa bản tin. Nếu áp dụng đúng nghĩa như vậy thì sẽ nảy sinh một số vấn đề khi bản tin lớn, vấn đề này xuất phát từ chính bản thân chữ ký số là sử dụng mật mã khóa công khai. Chính vì vậy mà kỹ thuật sử dụng chữ ký số với hàm băm được đề cập dưới đây là giải pháp được sử dụng hiện nay.

1.5.2. Quá trình ký

Đưa thông điệp qua hàm băm, kết quả thu được là một đoạn bit được gọi là

giá trị băm đảm bảo 2 tính chất:

 Tính duy nhất: mỗi thông điệp đưa qua hàm băm đều thu về một đại diện

duy nhất

 Tính một chiều: không thể dịch ngược từ thông điệp rút gọn để có văn bản

gốc

Đoạn bit đặc trưng này được mã hóa bằng khóa bí mật của người gửi và được đính kèm vào “văn bản”, rồi gửi đến người nhận – đoạn bit được mã hóa này chính là chữ ký số (digital signature).

14

Hình 7:Lược đồ ký

1.5.3. Xác thực chữ ký

Quá trình xác thực sẽ thực hiện như sau:

 Đưa dữ liệu gốc qua hàm băm để thu được thông điệp rút gọn

 Lấy đoạn bit được mã hóa, giải mã bằng khóa công khai để thu được

thông điệp rút gọn.

 So sánh hai thông điệp rút gọn vừa thu được ở hai bước trên, nếu giống

nhau có thể kết luận:

o Dữ liệu nhận được có tính toàn vẹn

o Dữ liệu nhận được là do chính người gửi gửi đi

Như vậy tính chống chối bỏ và tính xác thực được kiểm tra và xác nhận. Lúc

này người nhận tin rằng, khóa công khai đó đại diện hợp pháp cho người gửi.

Lược đồ xác thực chữ ký số được mô tả bằng hình vẽ dưới đây:

15

Hình 8: Lược đồ xác thực

2. Công nghệ Sharepoint

SharePoint là một chuẩn công nghệ của Microsoft để xây dựng portal dựa trên nền tảng .NET, gồm có thành phần sau: Windows SharePoint Service (WSS), SharePoint Portal Server (SPS) và Webpart.

WSS là các service “nền” chạy trên máy, có chức năng tạo ra các trang SharePoint cũng như tạo ra các môi trường thực thi cần thiết; ta có thể xem như nó là “một người” tạo ra và vận hành cơ sở hạ tầng ở bên dưới.

SPS là được xây dựng dựa trên nền WSS, nó gắn bó mật thiết với WSS nhưng có thêm các thành phần dịch vụ phong phú hơn và giống như “một người tổ hợp nội dung”.

Webpart là một công nghệ nhằm tạo ra các thành phần của trang Web có tính tùy biến cao cũng như sự linh động trong đó, nó được thi hành trên một cơ sở hạ tầng mà WSS đã cung cấp. Trong chương này ta sẽ trình bày ba khía cạnh nêu trên: windows sharepointservices, sharepoint portal server và webpart.

16

3.1. Windows Sharepoint Services (WSS)

2.1.1. Tổng quan về WSS

WSS là một dịch vụ chạy trên nền hệ điều hành Windows Server. Nó cung cấp nền tảng cho việc xây dựng các Web Portal mang tính cộng tác để chia sẻ thông tin cũng như tài liệu giữa các thành viên một cách dễ dàng và đáng tin cậy(Microsoft, 2007). Người dùng có thể truy cập đến một Web site WSS bằng cách sử dụng một trình duyệt hoặc thậm chí thông qua các đặc trưng về tính cộng tác được tích hợp trong các sản phẩm của Microsoft như Word hoặc Excel.

Trong WSS có các khái niệm như: document, task, contact, event… chúng là những thông tin dùng trong việc trao đổi giữa các người dùng. WSS cũng cung cấp cơ sở hạ tầng bên dưới cho phép tạo ra các site con (sub-sites) với tính tùy biến cao, đó là một đặc trưng rất mạnh mẽ của SharePoint bởi vì mỗi trang WSS cung cấp một giao diện người dùng với khả năng mở rộng và cá nhân hóa cao. Windows SharePoint Services đồng thời cũng cung cấp nền tảng để phát triển các ứng dụng, chẳng hạn các cổng thông tin điện tử, hội thảo trực tuyến dựa Web, e – mail… Môi trường WSS cũng được thiết kế để dễ dàng và linh động hơn trong việc triển khai, quản trị cũng như phát triển các ứng dụng.

Các web site được xây dựng dựa ASP.NET, được thiết kế và được cấu hình bởi người quản trị cũng như người dùng, từ đó tạo ra các ứng dụng hoàn chỉnh. WSS cũng sẵn có nhiều Webpart và có thể đem vào sử dụng được ngay; tuy nhiên, các Webpart cũng có thể được phát triển bởi một bên thứ ba.

WSS cung cấp mô hình đối tượng dựa trên nền tảng .NET giúp lập trình với các đối tượng này, chẳng hạn SPList, SPWeb, SPSite…

2.1.2. Kiến trúc của WSS

Hệ thống WSS được xây dựng ở phía trên của Windows Server, IIS và ASP.NET. Hình sau cho thấy sự tương thích giữa WSS và các thành phần khác:

17

Hình 9: Kiến trúc của WSS

WSS là thế hệ thứ hai của công nghệ SharePoint, thế hệ thứ nhất được xây dựng dựa trên nền IIS có tên là SharePoint Team Services (STS). Nền STS tương tự như WSS, trong đó nó cung cấp một môi trường hợp tác để chia sẻ các dữ liệu dựa trên danh sách (list-based data) và các tài liệu (documents). Tuy nhiên STS không được xây dựng dựa trên nền .NET hay ASP.NET, thay vào đó nó được xây dựng bằng cách sử dựng phần mở rộng của trình chủ ISAPI.

Tùy biến và mở rộng các Web site STS là rất khó vì có ít các công cụ hỗ trợ. Trong khi đó đối với WSS thì công việc này trở nên rất dễ dàng bởi vì WSS tương thích với các công cụ thiết kế Web. WSS là mô hình có thể mở rộng dễ dàng bởi vì ta có thể viết các ứng dụng tùy biến cũng như các Webpart cho các trang WSS sites và SPS portal sites với công cụ Visual Studio.NET sử dụng C# hoặc Visual Basic.NET.

STS và thế hệ thứ nhất của công nghệ SharePoint cũng gặp phải các vấn đề về mặt mở rộng hiệu năng bởi vì kiến trúc của STS phụ thuộc vào máy chủ Web (front-end Web servers), điều này làm cho việc mở rộng một máy chủ Web sang sử sụng một cụm máy chủ trở nên rất khó khăn. Trong khi đó kiến trúc của WSS không dựa trên trạng thái của các máy chủ Web, thay vào đó nó được xây dựng dựa trên một kỹ thuật lưu trữ tích hợp, nơi mà tất cả các dữ liệu dựa trên dạng bảng (list) và các tài liệu liên quan đến Web site được chứa trong cơ sở dữ liệu SQL Server. Kỹ thuật lưu trữ này cho phép triển khai WSS từ một máy chủ sang thành một cụm mát chủ một cách dễ dàng.

18

Hình 10:WSS cần một CSDL cấu hình và một hoặc nhiều CSDL nội dung

WSS làm việc thông qua 2 cơ sở dữ liệu SQL Server : CSDL cấu hình (configuration databases) và CSDL nội dung (content databases). CSDL cấu hình lưu trữ các thông tin cấu hình triển khai cho mỗi máy chủ Web, máy chủ ảo trong IIS và các WSS Web site còn CSDL nội dung lưu trữ dữ liệu liên quan đến các WSS Web sites.

WSS chỉ có một CSDL cấu hình trong mỗi hệ thống triển khai, đối với một hệ thống triển khai đơn giản ta chỉ cần một máy tính chạy cả máy chủ Web và máy chủ CSDL SQL với một CSDL cấu hình và một CSDL nội dung. Hệ thống triển khai phức tạp hơn là một cụm máy chủ với nhiều máy chủ Web và một hay nhiều máy chủ CSDL SQL Server. Tuy nhiên trong tất cả các trường hợp này, chỉ có một CSDL cấu hình duy nhất. CSDL cấu hình là nơi cung cấp các thông tin giúp liên kết tất cả các máy chủ Web và máy chủ CSDL.

Mỗi CSDL nội dung lưu trữ dữ liệu cho một hay nhiều WSS Web sites. Dữ liệu của WSS được lưu trữ trên các site cơ sở bao gồm các danh sách (list) và các tài liệu (documents) cũng như các thông tin gắn liền với tùy biến và cá nhân

19

hóa. Mọi thứ được lưu trữ trong CSDL làm cho việc sao lưu, phục hồi các Web sites trở nên rất dễ dàng đối với WSS.

Nếu nhìn từ mức cao, kiến trúc hệ thống của WSS sẽ như sau:

Hình 11: Khung nhìn mức cao về WSS

Có ba loại thành phần máy chủ:

 Một hay nhiều máy chủ Web (front-end Web servers)

 Một cơ sở dữ liệu cấu hình

 Một hay nhiều máy chủ cơ sở dữ liệu nội dung

Ta có thể cài đặt cả ba thành phần này trên một máy tính, hoặc trên nhiều máy trong một cụm máy chủ (server farm). Tất cả các thông tin trạng thái được lưu trữ trong CSDL cấu hình và CSDL nội dung trong Microsoft SQL Server.

Trong một cụm máy chủ chạy WSS, các máy chủ Web là các bản sao không trạng thái (stateless clone). Một yêu cầu có thể được gửi tới bất kỳ một máy chủ nào dứa trên hệ thống cân bằng tải (load balancing system), và bất kỳ site nào cũng có thể được phục vụ bởi bất kỳ máy chủ nào. Các máy chủ Web kết nối tới hệ thống máy chủ CSDL để lấy dữ liệu cho phép nó xây dựng và trả về các trang web tới máy khách. Khi một máy chủ web bị ngừng hoạt động, các yêu cầu lập tức được chuyển cho các máy chủ web khác, điều này giúp hệ thống vẫn hoạt động bình thường.

Máy chủ CSDL nội dung chứa nội dung các site, bao gồm tài liệu, tệp trong thư viện tài liệu, dữ liệu dạng bảng (List), các thuộc tính của Webpart, tên người

20

dùng, quyền. Không giống máy chủ Web, các máy chủ CSDL nội dung là không giống nhau, tất cả dữ liệu của một site nào đó nằm trên một CSDL nội dung trên chỉ một máy tính. SQL Server cung cấp khả năng phục hồi để giúp hệ thống không bị ngưng trệ nếu CSDL bị hỏng.

CSDL cấu hình lưu trữ tất cả các thông tin quản trị về mặt triển khai, chỉ dẫn các yêu cầu tới các CSDL nội dung phù hợp, và quản lý cân bằng tải cho các máy chủ CSDL. Khi một máy chủ web nhân một yêu cầu về một trang trên một site nào đó, nó sẽ kiểm tra CSDL cấu hình để xem xét xem CSDL nội dung nào chứa dữ liệu về site này.

2.1.3. Cấu hình WSS

WSS có thể được cấu hình theo hai hình thức: stand-alone và farm server

2.1.3.1. Stand-alone Server

Cấu hình theo kiểu một máy chủ có các đặc điểm sau:

 Có một máy chủ chạy WSS

 Các site và sub-site được nhóm lại trong tập hợp site (Site Collection) trong mỗi máy chủ ảo (Virtual Server) trong IIS. Một bộ lọc ISAPI (Internet Server Applications Program Interface) dựa vào các URL để chỉ ra site trên máy chủ ảo đó

 Mỗi máy chủ ảo đều có riêng một tập hợp các CSDL nội dung trong SQL Server còn CSDL cấu hình sẽ kết nối mỗi máy chủ ảo tới CSDL nội dung tương ứng với một Web site cho sẵn..

2.1.3.2. Server farm

Kiến trúc theo kiểu server farm có các đặc điểm sau:

 Có nhiều máy chủ chạy Windows SharePoint Services và SQL server

 Các site được nhóm vào trong các Site Collection trên mỗi máy chủ ảo trên IIS có Windows SharePoint Services. Bộ lọc ISAPI sử dụng các URL để định vị các site.

 Mỗi máy chủ ảo có riêng một CSDL nội dung trong SQL Server. CSDL cấu hình sẽ kết nối mỗi máy chủ tới CSDL nội dung tương ứng với các Web site

21

 Hiệu năng và khả năng sẽ được nâng cao bằng cách thêm các máy chủ

vào

 Tải cân bằng sẽ đạt được bằng cách sử dụng các phần cứng chuyển mạch và dẫn đường, hoặc dùng phần mềm Windows Network Load Balancing Service

Hình 12: Server Farm

2.1.4. Máy chủ ảo và Web IIS

Cấu hình các Website WSS bắt đầu ở mức độ các Website IIS. Một Website mặc định của IIS tên là "Default Web Site" được cấu hình chạy trên cổng 80. Ta có thể sử dụng IIS để tạo thêm các Website chạy trên các cổng khác. Hình sau là

22

ví dụ của máy chủ IIS chạy máy chủ ảo được cấu hình cho phép người dùng truy cập.

Hình 13: Mỗi Web site IIS có thể được cấu hình như là một máy chủ ảo chạy WSS

Trong thuật ngữ của SharePoint, một Website IIS được coi như là một máy chủ ảo (virtual server). Máy chủ ảo phải được triển khai với WSS để chạy các Website WSS. Khi cài đặt WSS, một cách mặc định nó sẽ tự động triển khai máy chủ ảo chạy trên cổng 80. Ta cũng có thể triển khai WSS trên một máy chủ ảo khác bằng cách sử dụng SharePoint Central Administration.

WSS không giống ASP.NET ở chỗ nó không cấu hình mỗi Website bằng cách dùng thư mục ảo của IIS. Thay vào đó, WSS theo dõi tất cả các thông tin cấu hình cho Website WSS bên trong cơ sở dữ liệu nội dung và cơ sở dữ liệu cấu hình. Điều này có nghĩa là một khi WSS triển khai trong máy chủ ảo và ta tạo ra các Website WSS thì toàn bộ chúng sẽ được tạo ra trong cơ sở dữ liệu cấu hình và cơ sở dữ liệu nội dung tương ứng. Trong thực tế, IIS không biết việc có hay không máy chủ ảo triển khai WSS chứa một Website WSS hay 10.000 Website WSS, bởi vì WSS không cần cấu hình thư mục ảo IIS cho mỗi Website WSS, điều này làm tăng khả năng mở rộng và bảo trì.

23

Khi WSS chạy trong một máy chủ ảo, nó cài đặt một bộ lọc ISAPI được gọi là bộ lọc WSS nhằm chặn các yêu cầu tới máy chủ ảo và kiểm tra xem yêu cầu này là gửi tới IIS hay WSS. Để có được sự kiểm tra này, bộ lọc WSS xem xét URL của yêu cầu gửi đến và “hỏi” cơ sở dữ liệu cấu hình xem thành phần nào sẽ xử lý nó.

Khi WSS triển khai lên một máy chủ ảo, nó tự động gắn file web.config vào thư mục gốc của máy chủ ảo chứa nó. File web.config cung cấp thiết lập cấu hình khởi tạo cho WSS và mã ASP.NET chạy bên trong máy chủ ảo này. Một cách mặc định, file cấu hình này chứa các thiết lập bảo mật cho Website.

2.1.5. Site và Site Collection

Trong máy chủ ảo, WSS sites được phân chia bằng cách sử dụng tập hợp site (Site Collection), là một tập hợp của một hay nhiều site tạo thành một đơn vị sở hữu. Một tập hợp site bao gồm một site mức trên cùng (top-level site) có cùng địa chỉ URL như tập hợp site. Tập hợp site có thể có nhiều các site con liên quan đến site mức trên cùng theo mối quan hệ cha – con. Mỗi site phải được tạo ra trong một tập hợp site nào đó và tất cả các site trong cùng một tập hợp site đều được chứa trong cùng một CSDL nội dung.

Hình 14: Site collections

Có thể hiểu một site WSS:

24

 Là một “thùng” chứa nội dung: nội dung site đơn thuần được chứa trong dạng danh sách (List), thư viện tài liệu (Document Library), và các site con.

 Là một thực thể bảo mật trong đó nội dung của nó có thể truy cập và được cấu hình bởi người dùng phù hợp. Một site có thể tự định nghĩa các người dùng của nó hoặc kế thừa người dùng từ site ở mức trên. Mỗi người dùng site là một tài khoản Windows được định nghĩa trong vùng (domain) Active Directory hoặc CSDL tài khoản bảo mật cục bộ của Windows. Một site cũng chứa tập hợp nhóm và quyền để định nghĩa mức độ truy cập mà người dùng có để thao tác trên danh sách hoặc thư viện tài liệu.

 Là một ứng dụng web với khả năng mở rộng và hỗ trợ rất sâu việc tùy biến giao diện người dùng. Người dùng sở hữu site hoặc người có quyền thiết kế web (Web designer) có thể tùy biến cách tổ chức và hiển thị của các trang trong site và chỉnh sửa cấu trúc truy cập đến site bằng cách sử dụng trình duyệt hoặc FrontPage.

 Là một cơ sở để sử dụng Webpart. Người sở hữu site hoặc người xây dựng web có thể tùy biến các trang Webpart bằng cách thêm và cấu hình các Webpart chia sẻ. một người dùng có thể cá nhân hóa một trang Webpart bằng cách chỉnh sửa, thêm, xóa Webpart. Tất cả dữ liệu liên quan đến tùy biến và cá nhân hóa Webpart trên các trang Webpart được tự động lưu vào CSDL nội dung

WSS hỗ trợ nhiều mẫu site khác nhau khi tạo ra các site ta gọi đó là các site template. Site template là một bản thiết kế định nghĩa tập hợp các bảng (list), thư viện tài liệu và Webparts tồn tại trong site mới. WSS có 8 loại mẫu: Team Site, Blank Site, Document Workspace, Basic Meeting Workspace, Blank Meeting Workspace, Decision Meeting Workspace, Social Meeting Workspace, và Multipage Meeting Workspace; ta cũng có thể tự mình thêm vào các mẫu site mới để thuận tiện cho việc sử dụng. Khi một trang được truy cập lần đầu sau khi khởi tạo, WSS nhắc người dùng chọn các mẫu site bằng cách sử dụng giao diện HTML.

25

2.2. Share point portal server (SPS)

2.2.1. Tổng quan về SPS

SPS là một sản phẩm dùng để xây dựng các portal quy mô xí nghiệp, được thiết kế để đáp ứng mục đích tích hợp (intergration), hợp tác (collaboration), tùy biến và cá nhân hóa (personalization & customization) trong các tổ chức doanh nghiệp có qui mô vừa và lớn. Nó cho phép tổ chức phát triển một cổng thông tin thông minh nhằm kết nối người dùng, nhóm, kiến thức… vì thế mọi người lấy được các thông tin liên quan về công việc để giúp họ làm việc và hợp tác một cách hiệu quả hơn.

SPS được xây dựng dựa trên nền Windows SharePoint Services (WSS), nó làm phong phú thêm WSS bằng cách đưa vào các đặc trưng thiết kế có khả năng điều khiển, nó cũng hỗ trợ thêm các chức năng để nâng cao các trang portal bằng cách sử dụng đánh chỉ mục, tìm kiếm, nhóm thảo luận và dịch vụ đăng nhập một lần… Có một sự khác biệt cơ bản về vai trò của WSS và SPS: WSS được xây dựng để phục vụ cho mục đích cộng tác do vậy nó được thiết kế để lưu trữ và chia sẻ các dữ liệu dựa trên danh sách (list-based data) và các tài liệu (documents); trong khi đó SPS lại được xây dựng để phục vụ cho việc tổng hợp nội dung từ nhiều nguồn khác nhau.

Thực chất WSS cung cấp cho ta một vị trí để đưa vào các nội dung còn SPS là phương tiện để định hướng và tìm kiếm các thông tin mà ta cần. Hai vai trò này bổ trợ cho nhau rất thuận lợi trong việc phát triển ứng dụng, chẳng hạn WSS cho phép một tổ chức quy mô xí nghiệp tạo ra và lưu trữ hàng ngàn trang Web site, trong khi đó một hoặc nhiều trang portal SPS cho phép người dùng tìm kiếm xuyên qua các nội dung đó và lọc ra những gì mà họ đang tìm kiếm. Cũng cần nói thêm rằng, SPS phụ thuộc vào WSS để có thể đưa ra các dịch vụ cần thiết, chẳng hạn: WSS cung cấp cho SPS khả năng theo dõi các thành viên cũng như các danh sách và tài liệu chia sẻ; hơn nữa, SPS không hỗ trợ việc sinh ra các đoạn mã chương trình để tạo giao diện cho một trang Portal, thay vào đó tác động đến WSS Smart Page và cơ sở hạ tầng Webpart bên dưới nhằm tạo ra giao diện người dùng.

26

SharePoint Portal Server có thể tích hợp thông tin từ nhiều hệ thống khác nhau với các công cụ quản lý và triển khai linh động. Tổ chức doanh nghiệp có thể bắt đầu triển khai với một qui mô nhỏ bằng một máy chủ, sau đó xây dựng công thông tin cho mình bằng các phương pháp division-driven, bottom-up. Khi nhu cầu tăng lên, họ có thể nâng cấp hệ thống một cách đơn giản bằng cách thêm các máy chủ. Một sự lựa chọn khác là triển khai một cấu trúc cổng thông tin theo kiểu top-down, với các dịch vụ đáp ứng mọi yêu cầu, mọi qui mô của tổ chức, lựa chọn này được hoàn thành bằng cách cài đặt SharePoint Portal Server trên một cụm máy chủ (server farm) sử dụng kiến trúc đa tầng.

Như đã nói ở trên, mục đích của SPS là : tích hợp, hợp tác, tùy biến và cá

nhân hóa. Sau đây ta sẽ giải thích các vấn đề này.

a. Khả năng tích hợp

SharePoint Portal Server cung cấp một điểm truy cập đơn nhất tới nhiều hệ thống, ví dụ như hệ thống Microsoft Office, hệ thống quản lý dự án, và các ứng dụng doanh nghiệp. Portal này được xây dựng trên một kiến trúc khả chuyển, phân tán cao, với các công cụ triển khai và quản lý linh động, cho phép nó phát triển cùng nhu cầu của doanh nghiệp. Các đặc điểm tích hợp cho phép người dùng khai thác thông tin trong công ty một cách hiệu quả, họ có thể trích lược và tái sử dụng các thông tin liên quan từ nhiều hệ thống. Với khả năng tìm kiếm toàn diện, portal cho phép người dùng tổ chức tài liệu và thông tin theo chủ đề, giúp cho họ sử dụng dữ liệu một cách nhanh chóng và hiệu quả.

b. Khả năng hợp tác

SharePoint Portal Server cung cấp một môi trường hợp tác mạnh mẽ giữa các cá nhân, các nhóm, và các chi nhánh. Nó cho phép các tổ chức tụ hợp, sắp xếp, tìm kiếm các trang SharePoint trong toàn bộ tập đoàn. Các trang SharePoint dành cho nhóm, tài liệu, hội nghị cũng có thể được chia sẻ với khách hàng, đối tác, làm tăng thêm sự hiệu quả của các phương cách hợp tác. SPS đưa ra các tài liệu và công cụ hợp tác nội dung làm thuận lợi cho các hợp tác dây chuyền (end to end).

c. Khả năng tùy biến và cá nhân hóa

27

SharePoint Portal Server cho phép người dùng thay đổi các trang portal theo cách riêng của mình. Các nội dung liên quan như các chương trình Microsoft Office, các dịch vụ Web, tin tức, dữ liệu công ty được đưa ra trong portal thông qua các Webpart. Người dùng trong tổ chức có thể sử dụng các thư viện Webpart để đăng tải các thông tin mà không cần nhiều kiến thức về Web. Họ cũng có thể cá nhân hóa các trang thuộc tổ chức hoặc chi nhánh trong các vùng bảo mật và portal sẽ nhớ các cách thể hiện đó và hiển thị chúng lên khi người dùng truy cập vào.

Portal cũng cho phép người dùng tìm các thông tin liên quan nhanh chóng thông qua khả năng tùy biến và cá nhân hóa nội dung và cách thể hiện của portal, hoặc thông qua một công cụ gọi là Audience Targeting. Công cụ này sẽ thông báo cho người dùng các cập nhật mới về thông tin dựa trên vai trò của người dùng trong tổ chức, sự quan tâm, hoặc mối quan hệ nhóm. Người dùng có thể tạo và quản lý các site cá nhân (My Site) và thay đổi chúng dựa vào các Webpart và các liên kết (links).

2.2.2. Kiến trúc của SPS

Một trang SharePoint Portal Server có cơ sở là một tập hợp các trang Microsoft Windows SharePoint Services (Portal site) có thêm các chức năng để đưa vào các trang chủ đề (Topic), vùng (Area), và các trang cá nhân (Personal).

Hình 15: Kiến trúc của một SPS

28

a. Portal site

Portal site là một điểm truy cập tập trung cho phép tìm và quản lý thông tin. Nó cung cấp một khả năng truy cập vào các thông tin chứa trong hay ngoài tổ chức, cho phép tìm thông tin người dùng, các trang, tài liệu và các nội dung khác mà không cần quan tâm đến vị trí hay định dạng của thông tin. Ta có thể chỉnh sửa trang chủ của Portal site để hiển thị các thông tin mới hoặc các thông tin quan trọng.

b. Topics và Areas

Topics và Areas dùng để tổng hợp nội dung từ các nguồn khác.Topics cho phép liên kết đến các nội dung không nằm trong Portal như là các thư mục chia sẻ, các thư mục công cộng của Microsoft Exchange Server, các site của Windows SharePoint Services, các Web site công cộng, và Lotus Notes. Areas dùng để chứa các Topics và các Area con.Topics có thể được chứa trong các Area con hoặc ta có thể coi chúng là các Area ở mức trên cùng.

Areas biến cấu trúc Microsoft Office SharePoint Portal Server thành một cây phân cấp đề có thể dễ dàng tổ chức và duyệt nội dung trong trang Portal. SharePoint Portal Server cung cấp một giao diện dựa trên HTML để làm việc với các Areas. Điều này cho phép người dùng dễ dàng sử dụng một trình duyệt để làm việc với cây phân cấp Areas. Người dùng với các quyền hợp pháp có thể xem tòan bộ cấu trúc của cây phân cấp này, họ cũng có thể thêm, chỉnh xửa, xóa, di chuyển các Areas để thay đổi cấu trúc của trang Portal.

c. Trang cá nhân (Personal)

Trang cá nhân là địa điểm mang tính chất cá nhân, nó cung cấp một vị trí để lưu trữ và chia sẻ công việc của mỗi người, một cách để tìm và kết nối với người khác trong tổ chức, và là một cách để cho phép người trong tổ chức quan sát công việc của bạn. Để vào trang cá nhân, click vào nút My Site trên thanh truy xuất của Portal.

29

2.3. Webpart

2.3.1. Tổng quan về Webpart

Webpart cung cấp cho các nhà phát triển một cách thức để tạo ra các giao diện người dùng với đặc điểm có thể tùy biến và cá nhân hóa. Người sở hữu site hoặc một thành viên của site với một quyền thích hợp có thể tùy biến các Webpart Page bằng cách sử dụng trình duyệt để đưa thêm vào hoặc cấu hình lại hay loại bỏ các Webpart.

Thuật ngữ “tùy biến” (customization) ở đây có nghĩa là đưa đến sự thay đổi mà có thể được nhìn thấy bởi tất cả các thành viên của site. Một người dùng có thể cá nhân hóa cao độ các trang Webpart Page bằng cách thêm vào, cấu hình lại hoặc loại bỏ các Webpart. Thuật ngữ “cá nhân hóa” (personalization) ở đây có nghĩa là những thay đổi này chỉ có thể nhìn thấy bởi chính người tạo ra nó. Phát triển các Webpart cung cấp một cách đơn giản nhưng đầy sức mạnh để mở rộng các trang WSS. Sau đây là một vài trường hợp mà ta có thể sử dụng các Webpart:

 Tạo ra một thuộc tính tùy biến để có thể hiển thị và chỉnh sửa giao diện

người dùng

 Một Webpart đã được biên dịch sẽ chạy nhanh hơn một đoạn mã Script,

mặt khác với Webpart ta có thể không cần công bố mã nguồn

 Bảo mật và điều khiển truy nhập đến nội dung bên trong Webpart

 Thực hiện các Webpart có khả năng kết nối với nhau

 Tương tác với các đối tượng được đưa ra bởi WSS (chẳng hạn ta có thể viết một Webpart để lưu trữ các tài liệu vào trong thư viện tài liệu của WSS)

 Điều khiển lưu trữ cho Webpart bằng cách sử dụng các công cụ dựa trên

lưu trữ (buit-in cache tools)

 Sử dụng các tiện ích với môi trường phát triển phong phú cũng như chế

độ gỡ lỗi trong Visual Studio .NET

 Tạo ra một lớp cơ sở cho các Webpart khác kế thừa

30

2.3.2. Kiến trúc

Webpart cung cấp các site dưới dạng giao diện người dùng dựa trên HTML, hay con được gọi là Webpart page. Người dùng có thể cá nhân hóa chúng bằng cách chỉnh sửa các Webpart đã có. Vậy sự khác nhau giữa Webpart page và các trang ASP.NET chuẩn là gì? Một trang ASP.NET được lưu trữ như là một tệp văn bản trên tệp hệ thống. Còn các phần tạo nên một trang Webpart được lưu trữ ở nhiều bảng trong CSDL nội dung của SharePoint. WSS xây dựng các đối tượng Webpart Page bằng cách lấy dữ liệu trong CSDL. Khía cạnh này trong kiến trúc Webpart đã làm cho các Webpart có thể được tùy biến và cá nhân hóa.

Để tùy biến một Webpart, ta phải bật lựa chọn "Design this Page". Ta cũng có thể thêm một Webpart mới vào bằng cách sử dụng menu Add Webpart. Nếu đang làm việc với Webpart trong khung nhìn chia sẻ, sự tùy biến áp dụng vào các Webparts sẽ được nhìn bởi mọi người dùng. Còn nếu trong khung nhìn cá nhân, sự tùy biến sẽ chỉ ảnh hưởng đến ta. WSS đủ thông minh để chứa các dữ liệu chia sẻ và dữ liệu cá nhân một cách độc lập với nhau trong CSDL.

Phải là người sở hữu trang hoặc là người có quyền thiết kế thì mới chỉnh sửa được Webpart Page trong khung nhìn chia sẻ. Khi một Webpart Page được tạo ra cho một người dùng không là sở hữu site đó hoặc là người thiết kế web, người dùng đó sẽ không được cho phép chuyển qua chế độ khung nhìn chia sẻ. Thay vào đó, trang này chỉ cung cấp một thực đơn "Modify My Page". Tuy nhiên, người dùng này vẫn có thể dùng lựa chọn "Design this Page" và chỉnh sửa Webparts. Bất kỳ các tùy biến nào sẽ được lưu trữ như là dữ liệu cá nhân trong CSDL

Một Webpart Page có các Webpart Zone. Ta thêm một Webpart vào Webpart Page bằng cách đặt nó vào một Webpart Zone. WSS cho phép người sở hữu trang tạo một Webpart Pages mới với một mẫu cho sẵn. Đối với trình duyệt, có thể chọn một trong các mẫu Webpart Page để tạo một Webpart Page với các vùng định sẵn. Nếu dùng Microsoft Office FrontPage để tạo và thiết kế Webpart Page thì ta còn linh động hơn bởi vì ta có thể thêm, xóa, chứa các vùng trên Webpart Page bằng cách sử dụng công cụ thiết kế trang của FrontPage.

WSS cung cấp một bộ máy hiển thị các Webpart Page bằng cách mở rộng ASP.NET. WSS định hướng các yêu cầu Webpart Page tới một đối tượng của

31

lớp SharePointHandler — một điều khiển ASP.NET. Điều khiển này định nghĩa trong không gian tên Microsoft.SharePoint.ApplicationRuntime. Với mỗi yêu cầu Webpart Page, đối tượng SharePointHandler có trách nhiệm lấy về tất cả dữ liệu cần thiết từ CSDL nội dung. Đối tượng SharePointHandler cũng phải lấy dữ liệu từ các bảng khác để xét xem các Webparts có được tùy biến và cá nhân hóa không.

Hình 16: Webpart Page

2.3.3. Tùy biến và cá nhân hóa Webpart

Một trong những khía cạnh mạnh mẽ của Webpart là khả năng sử dụng dữ liệu tùy biến và cá nhân hóa. Ta chỉ cần thêm các thuộc tính vào lớp Webpart và gắn các thuộc tính này với các thuộc tính đặc biệt được định nghĩa trong WSS. Kỹ thuật này là một ví dụ tiêu biểu cho sức mạnh lập trình mô tả của .NET Framework.

Webpart là rất mạnh mẽ bởi vì nó cung cấp các thuận lợi đặc biệt để sử dụng các dữ liệu tùy biến và cá nhân hóa. Web site của ta có thể dược tùy biến và cá nhân hóa bởi nhiều người dùng bằng nhiều cách khác nhau. Ta không phải viết code để quản lý mối quan hệ người dùng, hoặc để lưu trữ và sử dụng các dữ liệu cá nhân trong CSDL nội dung, do vậy sẽ có nhiều thời gian hơn tập trung vào công việc chính của mình.

2.4. Bảo mật trong Sharepoint

Sharepoint mang đến khả năng thu thập dữ liệu từ nhiều nguồn khác nhau và công bố các dữ liệu này trên một địa điểm tập trung để người dùng có thể truy

32

cập. Tuy nhiên các quản trị viên SharePoint cần phải xem xét để bảo đảm các thông tin quan trọng đó không bị tiết lộ rộng rãi đối với tất cả mọi người.

Khi mạng nội bộ phát triển, các nhà thiết kế và các nhà cung cấp nội dung phải học cách để sử dụng SharePoint cho việc cộng tác nhóm, việc quản lý tài liệu và các báo cáo động. Nội dung này cũng được hiện sẵn cho các nhân viên khác và đây là câu hỏi chính cho vấn đề này: Những thông tin gì họ được phép tìm kiếm và đọc? SharePoint đặt tất cả các thông tin và có một cấu trúc tập trung thực sự hỗ trợ tốt cho các nhân viên và các quá trình làm việc nhóm nhưng lại cũng có thể là một lỗ hổng bảo mật lớn nếu nó không được bảo vệ đúng cách.

Cơ sở hạ tầng SharePoint có một tính năng rất hữu hiệu: “Mọi người dùng không thể xem nội dung bị hạn chế”. Tuy nhiên cách dữ liệu được lấy hết ra khỏi SharePoint như thế nào và nó được sử dụng ở đâu? Rõ ràng một bản dự phòng(backup) của SharePoint chứa đựng rất nhiều thông tin, chính vì vậy giữ các thông tin này ở một địa điểm nào đó không cho phép người dùng truy cập bừa bãi. Tuy nhiên nếu người dùng có quyền truy cập và đọc nội dung thì họ hoàn toàn có thể thực hiện quyền của họ ở đây.

Hình dưới đây sẽ cho ta thấy những nơi cần bảo mật trong Sharepoint.

33

Hình 17: Những nơi cần bảo mật trong Sharepoint

Người dùng cuối: Con người luôn là yếu tố khó khăn nhất trong bảo mật. Khi người dùng được quyền truy cập vào các site trong sharepoint, và được sử dụng toàn bộ dữ liệu được chia sẻ trên site. Vì vậy đây là vị trí có lỗ hổng bảo mật lớn nhất trong Sharepoint.

Các trang web được tùy biến bởi người dùng: Sharepoint cho phép người dùng tùy biến các site và sub-site để phù hợp với nhu cầu và mang tính cá nhân. Nhưng đây cũng là vấn đề gây ra nguy cơ mất an toàn thông tin trong sharepoint. Người dùng có thể chỉnh sử, cài mã độc, các phần mềm gián điệp để xâm nhập vào hệ thống.

Dữ liệu trong Sharepoint được lưu trữ bởi các danh sách, các thư viện tài liệu: Dữ liệu được lưu trữ trong Sharepoint có thể được sử dụng bởi nhiều người dùng chung, vì vậy nếu không có cơ chế kiểm soát việc truy cập các dữ liệu này, khả năng mất an toàn bảo mật thông tin là rất cao.

34

Cách thức tìm kiếm: Sharepoint cung cấp cho người dùng một công cụ tìm kiếm rất mạnh mẽ, người dùng có thể tìm kiếm thông tin trong toàn bộ hệ thống. Vì vậy các trang không có cơ chế bảo mật tốt sẽ tiềm ẩn mối nguy hiểm rất lớn.

Truy cập vào dữ liệu BDC (Business Data Connectivity): ta có thể truy cập vào cơ sở dữ liệu của Sharepoint nếu không có cơ chế xác thực, thẩm định an toàn.

Các nguồn dữ liệu ngoài: Sharepoint có một tính năng cực kỳ mạnh mẽ, đó là khả năng tích hợp với các hệ thống khác bên ngoài. Chính bởi vậy có thể tương tác với các nguồn dữ liệu lớn, khi đó rủi ro là khó tránh khỏi.

Các tài khoản dịch vụ: Các tài khoản dịch vụ được truy cập vào hệ thống sẽ mang theo nhiều rủi ro, bởi các dịch vụ có thể được sử dụng ở nhiều nơi, nhiều hệ thống khác nhau, nếu không có cơ chế bảo mật phù hợp, dữ liệu rất dễ bị một bên thứ ba xâm phạm.

Các máy chủ WSS và máy chủ Cơ sở dữ liệu: Máy chủ là trái tim của hệ thống, đây là nơi có tầm quan trọng bậc nhât nhưng lại chịu rất nhiều tác động từ bên ngoài như virus, malware, các tác động vật lý…vv, nếu các máy chủ không được bảo vệ an toàn, rủi ro không chỉ về dữ liệu mà còn rủi ro cho cả hệ thống.

Kết chương: Chương I đã trình bày những vấn đề cơ bản trong An toàn bảo mật thông tin, các nguy cơ mất an toàn thông tin, hệ mã hóa, hàm băm, chữ ký số. Tiếp theo là luận văn trình bài về văn phòng điện tử và một số hệ thống văn phòng điện tử. Luận văn cũng đưa ra các vấn đề cần nghiên cứu trong công nghệ Sharepoint, các thành phần chính của Sharepoint, các lỗ hổng bảo mật của Sharepoint và cơ chế bảo mật hiện có. Chương tiếp theo sẽ trình bày về các phương pháp bảo mật được đề xuất cho Sharepoint và lựa chọn giải pháp bảo mật hiệu quả.

35

CHƯƠNG II: NGHIÊN CỨU GIẢI PHÁP TÍCH HỢP CHỮ KÝ SỐ CHO CÔNG NGHỆ SHAREPOINT

1. Các giải pháp bảo mật thông tin cho Sharepoint

1.1. Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS

1.1.1. Khái quát chung

Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS): Phát hiện tấn công, và có thể khởi tạo các hành động để ngăn chặn tấn công. IDS phát hiện tấn công bằng cách phân tích bản sao của lưu lượng mạng và cung cấp thông tin về chúng. Tuy nhiên IDS không tự động cấm hoặc ngăn chặn các cuộc tấn công.

Hệ thống ngăn chặn xâm nhập(Intrusion Prevent System-IPS): Chặn sự xâm nhập trước khi nó tấn công vào bên trong mạng, cung cấp khả năng bảo vệ mạng dựa vào định danh, phân loại và ngăn chặn mối đe dọa. IPS làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ các lưu lượng mạng bất hợp pháp.

Do Sharepoint có thể được phát trên hệ thống mạng Intranet, Extranet hoặc Internet nên có ba lý do để ta xem xét sử dụng công nghệ này làm giải pháp bảo mật cho Sharepoint:

 Cung cấp khả năng điều khiển truy cập mạng

 Tăng mức độ kiểm soát những gì đang chạy trên mạng

 Cảnh báo các nguy cơ về tấn công và ngăn chặn chúng

1.1.2. Hoạt động

Các hệ thống IDS/IPS được triển khai dưới dạng các gateway để phát triển và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, giảm thời gian chết và các yếu tố ảnh hưởng đến hoạt động của mạng. Chúng được triển khai ngoài vị trí kiểm soát của tường lửa, phân tích lưu lượng mạng để xác định xem đó có phải là một kết nối an toàn hay không, từ đó chúng sẽ đưa ra cảnh báo cho người quản trị để có những hành động kịp thời. Ngoài ra, những phân tích sẽ cho người quản trị biết những gì đang diễn ra trên mạng.

36

Có nhiều hệ thống phát hiện và ngăn chặn xâm nhập mạng có thể được cài đặt ở chế độ thụ động thu nhận và phân tích gói tin nhưng chúng cũng có thể chuyển sang chế độ chủ động nếu người quản trị xác định có nguy cơ bị tấn công.

IDS/IPS có thể hoạt động dưới hai dạng:

 Hoạt động theo dạng nhận dạng gói tin: nó sẽ so trùng gói tin với các mẫu tấn công mà nó có, nếu trùng thì sẽ xác định là tấn công và ngăn chặn. Kiểu này có thể xác định chính xác tấn công nhưng chỉ đối với những kiểu tấn công cũ mà không nhận biết được những loại tấn công mới.

 Hoạt động theo dạng khám phá(heuristic): IDS sẽ giám sát các thông tin truyền trên mạng và xác định xem phải tấn công không. Tuy nhiên dạng này có thể xác định nhận các cuộc tấn công.

Công nghệ này ba module chính:

Module phân tích gói: module này sẽ phân tích cấu trúc các gói tin, các gói tin đi qua chúng đều được sao chép lại và gửi đến tầng tiếp theo.

Module phát hiện tấn công: Module này sẽ giúp phát hiện ra các sự xâm nhập trái phép trên mạng.

Module phản ứng: Khi hệ thống bị xâm nhập trái phép, module phát hiện tấn công sẽ gửi thông báo đến module phản ứng. Module phản ứng sẽ kích hoạt tường lửa để ngăn chặn, đồng thời đưa ra cảnh báo với người quản trị.

1.1.3. Hạn chế

IDS/IPS có thể phát hiện và ngăn chặn tấn công tương đối tốt, tuy nhiên nó

vẫn có những hạn chế:

 Khó phát hiện các tấn công dạng mới

 Không thể nhận biết được trạng thái các tầng ứng dụng mà chỉ nhận biết được thông tin truyền trên mạng nên các tấng công vào tầng ứng dụng sẽ không bị phát hiện

37

1.2. Mạng riêng ảo (VPN)

1.2.1. Khái quát chung

VPN là một hệ thống mạng có khả năng tạo ra một mạng kết nối dựa trên một nhà cung cấp mạng nào đó. Mạng kết nối này được bảo vệ sự lưu thông trên mạng và cung cấp sự riêng tư, sự chứng thực và toàn vẹn thông tin qua các thuật toán mã hóa.

Các dạng kết nối trong VPN bao gồm:

 Site to site: loại này thường được áp dụng cho các tổ chức có nhiều chi

nhánh con và giữa các chi nhánh cần trao đỏi thông tin với nhau.

 Remote access: loại này áp dụng cho các tổ chức, cá nhân muốn truy cập

vào mạng riêng từ một địa điểm ở xa.

 Intranet/Internet VPN: loại này áp dụng cho một số tổ chức mà quá trình truyền dữ liệu giữa một số bộ phận cần đảm bảo tính riêng tư. Đây là dạng kết nối cần thiết để đảm bảo an toàn thông tin cho Sharepoint.

1.2.2. Các giao thức thường dùng trong VPN

Để bảo mật dữ liệu trong VPN, có một vài giao thức phổ biến sau:

1.2.2.1. IP security(IPSec)

Được dùng để bảo mật các giao tiếp trên internet, các gói tin được truyền trên mạng đi qua IPSec sẽ được dùng chủ yếu bởi các transport mode4 hoặc tunnel5 để mã hóa dữ liệu trong VPN.

1.2.2.2. Secure Sockets Layer (SSL) và Transport Layer Security (TLS)

Tương tự như IPSec nhưng SSL và TLS còn sử dụng thêm chế độ xác thực tài khoản giữa máy khách(client) và máy chủ(server). Một kết nối được coi là thành công thì quá trình xác thực của chế độ này sẽ dùng đến một chứng thư(certificate), là các khóa xác thực tài khoản được lưu trữ trên cả client và server

4 Là chế độ chỉ có nhiệm vụ mã hóa dữ liệu bên trong các gói tin

5 Là chế độ sẽ mã hóa toàn bộ gói tin khi được truyền trên mạng

38

1.2.3. Ưu nhược điểm của VPN

1.2.3.1. Ưu điểm

Để xây dựng một hệ thống mạng riêng, mạng cá nhân ảo thì dùng VPN là giải pháp tương đối ít tốn kém. Môi trường Internet là cầu nối, giao tiếp chính để truyền tải dữ liệu, nên xét về mặt chi phí thì nó hoàn toàn hợp lý so với việc trả tiền để thiết lập một đường kết nối riêng với giá thành cao. Bên cạnh đó, việc phải sử dụng hệ thống phần mềm và phần cứng nhằm hỗ trợ cho quá trình xác thực tài khoản cũng không phải là rẻ. Với tiện lợi mà VPN mang lại để thiết lập một hệ thống như ý muốn, rõ ràng VPN chiếm ưu thế hơn hẳn.

VPN có các cơ chế bảo mật dữ liệu khá tốt, chính bởi vậy khi phát triển Sharepoint trên hệ thống VPN sẽ đáp ứng được phần nào nhu cầu bảo mật dữ liệu cần chia sẻ.

1.2.3.2. Nhược điểm

Nhược điểm lớn nhất của VPN là nó không có khả năng quản lý chất lượng dịch vụ qua môi trường internet, chính bởi vậy các gói tin vẫn có thể bị thất lạc, điều này là một rủi ro tiềm ẩn cho Sharepoint, nếu như hệ thống bị tấn công.

1.3. Bảo mật thông tin bằng thuật toán

Như đã trình bày ở mục 1.1, bảo mật thông tin bằng thuật toán là một trong những phương pháp bảo mật thông tin có thể áp dụng cho Sharepoint, và nó rất an toàn. Thay vì việc ta tìm cách hạn chế việc xâm phạm trái phép các thông tin được lưu chuyển trên đường truyền mạng, ta sẽ sử dụng các thuật toán mật mã để mã hóa dữ liệu chuyển đi kết hợp với các giải pháp xác thực để nếu có bị đánh cắp, kẻ lấy được thông tin cũng không biết được nội dung là gì.

Trong luận văn, tác giả đề xuất sử dụng kết hợp hai thuật toán AES và RSA

đã được trình bày ở chương trước để tích hợp vào Sharepoint.

1.3.1. Ưu điểm

 Bảo đảm an toàn gần như tuyệt đối nếu kết hợp các thuật toán hợp lý

 Có thể tích hợp trực tiếp vào Sharepoint mà không cần dựa vào đường

truyền trên mạng

39

 Chi phí rẻ: So với việc can thiệp vào hệ thống mạng thì việc xây dựng một phần mềm thực thi các thuật toán để tích hợp vào Sharepoint sẽ rẻ hơn

 Giữ nguyên hiện trạng mạng, không làm ảnh hưởng đến các thành phần

khác trong mạng

 Có thể hoạt động độc lập mà không cần phụ thuộc vào bên thứ 3

 Người dùng có thể kiểm soát trực tiếp độ an toàn mà không cần sự trợ

giúp của người quản trị mạng

1.3.2. Nhược điểm

Nhược điểm của giải pháp này là phụ thuộc vào con người. Mỗi người sẽ giữ cho mình một khóa để xác thực thông tin, nếu khóa này bị lộ, thông tin sẽ không còn được an toàn nữa.

2. Lựa chọn giải pháp bảo mật cho ứng dụng văn phòng điện tử dựa trên công nghệ Sharepoint

Từ những phân tích về các giải pháp bảo mật cho Sharepoint ở trên, tác giả lựa chọn giải pháp “bảo vệ thông tin bằng thuật toán” để ứng dụng cho Sharepoint.

Dựa vào độ an toàn cũng như khả năng triển khai của các thuật toán, tác giả lựa chọn mã hóa dữ liệu bằng thuật toán AES, và sử dụng chữ ký số, từ đó xây dựng nên ứng dụng tích hợp vào Sharepoint.

2.1. Lý do lựa chọn

Như đã trình bày ở mục 1.5, chữ ký số sẽ đảm bảo tính xác thực, tính trách

nhiệm và tính bí mật của thông tin khi được chia sẻ trên Sharepoint.

Việc kết hợp mã hóa, ký số, xác thực, giải mã sẽ mang lại độ an toàn gần như

tuyệt đối cho dữ liệu

Giải pháp này sẽ mang lại sự thống nhất và an toàn cho hệ thống hiện tại vì chỉ phải can thiệp vào một ứng dụng Sharepoint và không làm thay đổi các thành phần khác đang hoạt động tốt.

40

2.2. Tính khả thi của giải pháp

Nhờ những ưu điểm đã được phân tích bên trên, tác giả đánh giá giải pháp này có tính khả thi cao.

 Người quản trị của Sharepoint không cần am hiểu về lập trình, vẫn có thể

tích hợp được ứng dụng chữ ký số vào hệ thống

 Chỉ phải bỏ ra chi phí một lần, có thể tái sử dụng ứng dụng nhiều lần.

 Hiện nay ở Việt Nam đã có đơn vị cung cấp dịch vụ chứng thực số, thủ tục nhanh gọn, giá thành rẻ. Điều này giúp cho việc các cơ quan, doanh nghiệp hoặc cá nhân có thể đăng ký sử dụng nhanh chóng, dễ dàng.

 Chữ ký số của mỗi người là duy nhất trong một khoảng thời gian, và được pháp luật bảo vệ, chính bởi vậy người sở hữu chữ ký không thế chối bỏ trách nhiệm của mình, đảm bảo tính an toàn thông tin rất cao.

 Cơ quan, doanh nghiệp chỉ cần tích hợp ứng dụng ký số vào Sharepoint, còn người sử dụng chỉ cần một thiết bị nhỏ gọn duy nhất là usb token, thuận tiện cho việc sử dụng

 Việc kết hợp chữ ký số và mã hóa thông tin, tạo nên 2 tầng bảo mật. Để vượt qua hai tầng bảo mật này là điều chưa thể xảy ra trong thời điểm hiện tại, chính bởi vậy có thể coi giải pháp này là an toàn tuyệt đối hiện nay.

Để tích hợp chữ ký số vào Sharepoint, cần một usb token lưu trữ chứng thư của người ký.

Kết chương: Trong chương này, tác giả đã đưa ra các giải pháp bảo mật cho Sharepoint, bao gồm: công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS, mạng riêng ảo VPN, bảo mật thông tin bằng thuật toán. IDS/IPS là công nghệ đã có từ lâu, tuy vẫn được áp dụng nhưng bộc lộ khá nhiều hạn chế; VPN là giải pháp bảo mật khá tốt, nhưng phụ thuộc rất nhiều vào an ninh mạng, các gói tin truyền đi có thể bị đánh cắp hoặc thay đổi; bảo mật thông tin bằng thuật toán là phương án có nhiều điểm tích cực, trong đó sử dụng chữ ký số để đảm bảo tính chính xác của thông tin là tối ưu, kết hợp với việc mã hóa thông tin bằng thuật toán sẽ mang lại hiệu quả lớn về mặt an toàn thông tin. Từ những

41

phân tích ưu nhược điểm của mỗi giải pháp, luận văn đưa ra lựa chọn giải pháp thích hợp nhất, là bảo mật thông tin bằng thuật toán, và cụ thể là tích hợp chữ ký số vào Sharepoint. Chương sau, tác giả sẽ đi sâu phân tích và xây dựng ứng dụng demo cho giải pháp được lựa chọn.

42

CHƯƠNG III: XÂY DỰNG ỨNG DỤNG TÍCH HỢP CHỮ KÝ SỐ CHO ỨNG DỤNG HỆ ĐIỀU HÀNH TÁC NGHIỆP VĂN

PHÒNG ĐIỂN TỬ DỰA TRÊN SHAREPOINT

1. Phân tích thiết kế

1.1. Xây dựng bài toán

Một hệ điều hành tác nghiệp văn phòng điện tử hướng đến việc giải quyết các công việc văn phòng, thủ tục hành chính của đơn vị như xử lý công văn đến, công văn đi và các giấy tờ văn bản khác. Hệ thống giúp việc chia sẻ thông tin trong nội bộ trở nên dễ dàng, thuận tiện hơn, nâng cao chất lượng cũng như năng suất làm việc, kiểm soát chặt chẽ quá trình giải quyết công việc. Nhưng vấn đề đặt ra là làm sao đảm bảo an toàn thông tin cho các văn bản được truyền đi trên mạng? Giải pháp đưa ra là trong quá trình chia sẻ tài liệu văn bản, văn bản đó phải được tích hợp việc mã hóa và ký số để đảm bảo các tiêu chí về an ninh an toàn thông tin.

1.2. Phân tích thiết kế

Hệ thống tượng trưng cho một đơn vị sự nghiệp gồm các phòng ban được phân cấp. Người dùng trong hệ thống được cấp quyền truy cập khác nhau, mỗi người dùng có username và password để đăng nhập vào hệ thống và được cấp một chữ ký số riêng biệt. Khi chia sẻ tài liệu lên hệ thống, luồng công việc sẽ được thực hiện như sau:

 User đăng nhập vào hệ thống bằng tài khoản được cấp

 Trước khi upload tài liệu lên, user cần mã hóa và ký số vào tài liệu dựa

vào ứng dụng trên hệ thống

 Để ký số lên tài liệu, người dùng cắm usb token vào để chọn chứng thư số

 Nhập mã pin của token, nếu đúng mã pin, chương trình sẽ thực hiện ký

vào văn bản.

 Hệ thống gửi thông báo ký số thành công

 Người quản trị duyệt tài liệu gửi lên, chỉ những người được cấp quyền

mới có thể nhìn thấy tài liệu trên hệ thống.

43

 Để có thể xem văn bản, người dùng được phân quyền truy cập văn bản sẽ

cần xác thực chữ ký của văn bản bằng cách chọn chứng thư từ token

 Sau đó giải mã văn bản để xem nội dung bản rõ

1.2.1. Quy trình xử lý văn bản đến

Khi người dùng hoặc phòng ban nhận được văn bản đến, bước đầu tiên là xác thực chữ ký của người, đơn vị gửi. Nếu xác thực đúng người gửi, trưởng phòng hay người có thẩm quyền sẽ xem xét và giao việc cho người giải quyết. Trong quá trình giải quyết công việc, người được giao việc sẽ cập nhật tiến độ vào báo cáo được chia sẻ trên Sharepoint.

1.2.2 Quy trình xử lý văn bản đi

Để gửi văn bản đi từ Sharepoint, người dùng cần sử dụng chức năng ký số đã được tích hợp để thực hiện việc ký lên văn bản. Sau khi ký, văn bản sẽ được tải lên Sharepoint, đồng thời phân quyền cho những người được phép xem trong hệ thống.

Quá trình chia sẻ và xử lý văn bản được mô tả như hình dưới đây.

Hình 18: Luồng công việc xử lý mã hóa, ký số và upload

44

Hình 19: Xác thực và giải mã

1.3. Xây dựng giải pháp

1.3.1. Môi trường cài đặt

Hệ thống được xây dựng dựa trên công nghệ Share Point của Microsoft, Windowserver 2012, Microsoft SQL 2012, Office 2013, hệ thống mã hóa RSA, usb token ký số. Các yêu cầu về hệ thống cụ thể như sau:

1. Windows Server 2012 R2

2. Microsoft Sharepoint Server 2013

3. Active Directory Domain Services

4. Microsoft SQL Server 2012

5. Microsoft .NET Framework version 4.5

6. Windows Management Framework 3.0

7. Application Server Role, Web Server (IIS) Role

8. Windows Identity Foundation (KB974405)

9. Microsoft Sync Framework Runtime v1.0 SP1 (x64)

10. Windows Identity Extensions

45

11. Microsoft Information Protection and Control Client

12. Microsoft WCF Data Services 5.0

13. Windows Server AppFabric

14. Cumulative Update Package 1 for Microsoft AppFabric 1.1 for Windows

Server (KB 2671763)

1.3.2 Thiết bị ký số

Thiết bị ký số là thiết bị phần cứng để tạo ra cặp khóa công khai và bí mật cũng như lưu giữ khóa bí mật của người ký, được gọi là usb token.

 Khóa công khai (Public Key): đây là các thông tin công cộng của người

ký.

 Khóa riêng (Private Key): đây là thông tin bí mật, được dùng để tạo ra chữ ký số. Bản chất của việc sử dụng thiết bị USB Token là để lưu trữ và bảo vệ an toàn khóa riêng này.

Dung lượng của USB token chỉ khoảng 1.06MB nhưng nó có khả năng lưu trữ lớn, tốc độ xử lý cao (32 bit) và lưu giữ khóa bí mật bằng một mã nhận dạng cá nhân gọi là mã pin. Mã pin này có thể gồm chữ và số, độ dài từ 8 đến 64 kí tự

Một USB token về mặt kỹ thuật có thể lưu trữ và bảo vệ nhiều Chứng thư số và các cặp khóa tương ứng, nhưng USB token chỉ có duy nhất một mật khẩu bảo vệ. Chứng thư số về mặt pháp lý được coi như là con dấu của một người. “Con dấu - chứng thư số” nên được sử dụng duy nhất cho người đó để tránh sai sót nhầm lẫn cho dữ liệu và USB token là thiết bị lưu trữ rất quan trọng trong việc sử dụng chữ ký số.

1.3.3. Quá trình ký số

Việc xây dựng modul chữ ký số sử dụng thuật toán RSA làm khóa bí mật tạo chữ ký số, khóa công khai nhằm xác thực thông tin, và sử dụng thuật toán hàm băm SHA-1 để băm dữ liệu ban đầu. Đồng thời sử dụng phân phối khóa công khai để phân phối khóa

Đầu tiên thông điệp được tính toán bởi một hàm băm, hàm này tính toán thông điệp và trả về một bản tóm tắt của thông điệp, hàm băm một chiều đảm

46

bảo rằng bản tóm tắt của thông điệp này là duy nhất và bất kỳ một sửa đổi nào dù là nhỏ nhất trên thông điệp cũng gây ra thay đổi cho bản tóm tắt này. Sau đó người gửi sẽ dùng khóa riêng của mình để mã hóa bản tóm tắt này. Nội dung sau khi mã hóa chính là chữ ký điện tử cửa thông điệp đó đƣợc ký bởi người gửi.

Sơ đồ ký số được sử dụng trong chương trình:

Các bước của quá trình ký số trong chương trình sẽ được thực hiện như sau:

Bước 1: Đọc nội dung văn bản từ tài liệu muốn chia sẻ trên Sharepoint

Bước 2: Mã hóa văn bản

Bước 3: Đưa văn bản đã mã hóa qua hàm băm, để thu được đại diện văn bản

Bước 4: Lựa chọn chứng thư số từ usb token

Bước 5: Nhập mã pin để truy xuất vào token, lấy ra khóa bí mật của người dùng

Bước 6: Mã hóa đại diện văn bản ở trên bằng khóa bí mật để thu được chữ ký

Bước 7: Gắn chữ ký vào văn bản đã mã hóa

Bước 8: Lưu lại văn bản đã ký và chia sẻ lên Sharpoint

47

1.3.4. Quá trình xác thực

Khi tài liệu được chia sẻ lên Sharepoint, người sử dụng muốn xem được nội dung văn bản, sẽ sử dụng ứng dụng ký số đã được tích hợp trong Sharepoint để xác thực chữ ký và giải mã văn bản.

Tài liệu đã ký đến tay người nhận, người nhận tính toán làm sao để tách văn bản và chữ ký thành hai phần độc lập. Để kiểm tra tính hợp lệ của chữ ký điện tử, người ta dùng khóa công khai của người gửi để giải mã chữ ký điện tử. Kết quả của quá trình giải mã chữ ký điện tử chính là bảng tóm tắt thông điệp đã gửi đi. Sau đó người nhận dùng hàm băm một chiều để tính toán ra bảng tóm tắt qua nội dung của thông điệp. Rồi lấy kết quả so sánh với bản tóm tắt vừa được giải mã ở trên, nếu kết quả giống nhau thì quá trình kiểm tra thành công. Ngược lại có thể kết luận đây là một thông điệp đã bị giả mạo hoặc thông tin bị thay đổi trong quá trình gửi đi.

Sơ đồ quá trình xác thực trong chương trình như sau:

Bước 1: Mở ứng dụng ký số trên Sharepoint

Bước 2: Đọc nội dung văn bản muốn xác thực

Bước 3: Chọn chứng thư số để xác thực văn bản

Bước 4: Nếu xác thực thành công, người dụng sẽ nhận được thống báo xác thực thành công

Bước 5: Mở màn hình giải mã, để giải mã và xem nội dung bản rõ.

48

2. Cài đặt thử nghiệm chương trình demo

2.1. Cấu hình Sharepoint Server 2013

Bước 1: Đăng nhập vào Window server 2012 với tài khoản Administrator và cài đặt Sharepoint server 2013

Bước 2:Sau khi cài đặt hoàn tất, ta sẽ cấu hình Sharepoint Product Configuration

Bước 3: Tạo mới một server farm

49

Bước 4: Nhập các thông tin:

 Databaseserver – Tên server SQL Server 2012 R2

 Database Name – Tên database của SQL Server

 Username – Tên đăng nhập vào Domain windowserver

 Password – Mật khẩu đăng nhập Domain windowserver

50

Bước 5: Nhập mật khẩu của database trên SQL Server

Bước 6: Cài đặt mật khẩu và bảo mật cho Sharepoint Site

51

Bước 7: Điền các thông tin về Sharepoint Central Admin site

Sau khi hoàn thành việc cấu hình, ta sẽ thấy trang quản trị của Sharepoint:

Tiếp theo, ta sẽ tạo một Sites Collection như sau:

52

2.2. Tích hợp ứng dụng vào Sharepoint

Bước 1: Đăng nhập vào Sharepoint với quyền được cung cấp

Lần đầu đăng nhập vào Sharepoint, hệ thống sẽ yêu cầu đăng nhập bằng tài

khoản người dùng

53

Hình 20: Trang chủ Sharepoint

Bước 2: Chọn chức năng ký số để thực hiện mã hóa và ký vào văn bản muốn tải lên Sharepoint

Click vào “Redirect” để mở màn hình bảo mật

Hình 21: Màn hình bảo mật

Bước 3: Click “Chọn tệp” để mở file dữ liệu muốn tải lên Sharepoint

54

Hình 22: Mở file muốn tải lên Sharepoint

Sau khi chọn file muốn tải lên, người dùng click vào nút “Đọc nội dung” để

mở nội dung văn bản.

Bước 4: Chọn menu “Mã hóa” để mở màn hình mã hóa thông tin

Hình 23: Chọn menu Mã hóa

Sau khi chọn menu Mã hóa, người dùng click nút “Mã hóa” để mã hóa nội

dung đã được đọc ra ở bước trước.

55

Hình 24: Kết quả mã hóa

Bước 5: Chọn menu “Ký số” dể thực hiện ký vào văn bản

Hình 25: Màn hình ký số

Bước 6: Chọn chứng thư số từ token

56

Hình 26: Chọn chứng thư số từ token

Bước 7: Nhập mã pin của token

Hình 27: Nhập mã PIN để ký số

Nếu nhập đúng mã pin, chương trình sẽ thông báo việc ký số thành công.

57

Hình 28: Ký số thành công

Sau khi ký số thành công, ta sẽ lưu lại văn bản được ký số, chọn menu “Quay

lại trang chủ” để tải tài liệu lên Sharepoint.

Hình 29: Tải tài liệu lên Sharepoint

58

Hình 30: Danh sách các tài liệu được chia sẻ

Người dùng trong hệ thống muốn xem tài liệu, sẽ click vào để tải về máy cá

nhân.

Để có thể xem được nội dung văn bản, người dùng sử dụng chức năng Xác

Thực và Giải Mã trên Sharepoint.

Hình 31: Chọn chứng thư số từ token để xác thực

59

Hình 32: Xác thực thành công

Nếu xác thực thành công, ta sẽ có thể giải mã để xem nội dung bản rõ.

Hình 33: Chức năng giải mã

60

Hình 34: Kết quả giải mã

Kết chương: Chương này tập trung phân tích thiết kế, xây dựng giải pháp và lập trình thành công một ứng dụng thực thi việc mã hóa, ký số, xác thực, giải mã để tích hợp vào Sharepoint. Mục 2.1 hướng dẫn chi tiết việc cấu hình cho Sharepoint, cũng như thống kê thông phần cứng cần có để có thể cài đặt. Mục 2.2 thể hiện luồng làm việc với chức năng mới được tích hợp. Người dùng trước khi tải tài liệu lên Sharepoint sẽ sử dụng chức năng đã được tích để thực hiện mã hóa và ký lên tài liệu. Người dùng khác khác tải tài liệu xuống, muốn đọc được thông tin phải xác thực chữ ký, nếu đúng chữ ký sẽ được phép giải mã để xem nội dung bản rõ.

61

KẾT LUẬN

Luận văn đã đạt được các kết quả như sau:

1. Trinh bày tổng quan về an toàn thông tin, hàm băm, chữ ký số

2. Trình bày chi tiết về công nghệ Sharepoint cùng với các ứng dụng của

Sharepoint trong việc xử lý văn bản và chia sẻ tài liệu.

3. Đưa ra các lỗ hổng bảo bật trong Sharepoint và các giải pháp khắc phục

cho từng lỗ hổng này

4. Đưa ra các giải pháp bảo mật, phân tích ưu nhược điểm của từng phương

pháp

5. Đề xuất giải pháp “tích hợp chữ ký số” để nâng cao tính bảo mật trong

Sharepoint.

6. Xây dựng thành công một ứng dụng chia sẻ và xử lý văn bản bằng

Sharepoint

7. Tích hợp được chức năng sử dụng chữ ký số vào Sharepoint

Các nội dụng được trình bày đã thể hiện được những mong muốn chính của tác giả trong luận văn, cùng với đó mở ra một hướng nghiên cứu bảo mật mới cho Sharepoint. Tuy nhiên, chương trình demo còn khá sơ sài, chưa áp dụng được việc mã hóa, giải mã cho nhiều định dạng văn bản. Trong tương lai, tác giả sẽ giải quyết vấn đề này và đưa ra một chương trình thân thiện với người sử dụng hơn nữa, để có thể áp dụng vào thực tế một các thành công.

62

TÀI LIỆU THAM KHẢO

Tiếng Việt

[1] Hồ Văn Hương, Đào Thị Ngọc Thùy, Cơ sở hạ tầng khóa công khai sinh trắc BioPKI, Tạp chí An toàn thông tin, 03/07/2009. [2] Hồ Văn Hương, Đào Thị Ngọc Thùy, Một số ứng dụng của Cơ sở hạ tầng khóa công khai sinh trắc, Tạp chí An toàn thông tin, 04/01/2010. [3] Hồ Văn Hương, Hoàng Chiến Thắng, Ký số và xác thực trên nền tảng web, Tạp chí An toàn thông tin, 04/10/2013. [4] Hồ Văn Hương, Nguyễn Quốc Uy, Giải pháp bảo mật cơ sở dữ liệu ứng dụng mã nguồn mở, Tạp chí An toàn thông tin, 20/02/2014. [5] Hồ Văn Hương, Hoàng Vĩnh Hà, Ngô Thị Linh, Trịnh Văn Anh, Hộ chiếu điện tử và ứng dụng chữ ký số cho hộ chiếu điện tử, Tạp chí An toàn thông tin, 25/04/2015. [6] Giáo trình An toàn và bảo mật thông tin, Đại học Bách Khoa Hà Nội

Tiếng Anh

[7]Carlisle Adams - Steve Lloyd, Understanding PKI, Concepts, Standards and Deployment Considerations, 2003.

[8]William Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, 2005.

[9]Wiley, Pki Implementation & Design: Practice and Experience, 2008.

[10]Microsoft, Deployment guide for Microsoft SharePoint 2013.

Internet

[11] https://voer.edu.vn

[12] https://www.microsoft.com

[13] http://www.eoffice.com.vn

[14] http://www.vanphongdientu.net

63