Your SlideShare is downloading. ×
Rbac On The Web By Smart Certificate
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Rbac On The Web By Smart Certificate

1,282
views

Published on

Using Smart Certificate for RBAC

Using Smart Certificate for RBAC

Published in: Education

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,282
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
49
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Transcript

    • 1. RBAC on the web by Smart Certificate Nguyễn Trường Giang Nguyễn Thành Trung
    • 2. Các phần
      • Giới thiệu
      • Các công nghệ liên quan
      • Tổng quan Smart certificate
      • Triển khai RBAC dùng Smart certificate
      • Các ứng dụng liên quan
      • Kết luận
    • 3. I. Giới thiệu
      • Nhu cầu bảo mật cho các hệt thống thương mại quy mô lớn
      • RBAC : Kết hợp permission – role, công nghệ hứa hẹn cho việc quản lý hệ thống an ninh quy mô
      • X.509 : đơn giản hóa việc gắn kết người dùng và khóa, trên cơ sở hạ tầng PK
      • ~ Diễn giải cách thực hiện RBAC với phân cấp quyền sử dụng smart certificate
    • 4. II. Các công nghệ liên quan
      • Role-based Access Control
      • Chứng nhận khóa công khai X.509
      • Secure Socket Layer
    • 5. Chứng nhận khóa công khai X.509
      • Public-key Certificate: được ký vào bởi một ủy quyền nhằm xác nhận thực thể, thông tin trong đó có thuộc về người nắm giữ khóa riêng tương ứng.
      • Công bố năm 1988, là định dạng dữ liệu đc sử dụng rộng rãi nhất cho chứng nhận khóa công khai, dựa trên việc sử dụng uỷ quyền chứng nhận
      • Dùng để gắn kết khóa công khai với một cá nhân hay thực thể cụ thể, được ký bởi người phát hành chứng nhận
    • 6. Các chứng nhận X.509
      • Được phát hành bởi chủ quyền chứng nhận (Certification Authority – CA) bao gồm:
        • Các phiên bản 1,2 hoặc 3
        • Số sổ (duy nhất với CA) xác định chứng nhận
        • Thuật toán xác định chữ ký
        • Xuất bản tên X.500 (CA)
        • Chu kỳ hiệu lực (từ-đến ngày)
        • Đối tượng của tên X.500 (tên của người sở hữu)
        • Thông tin khoá công khai của đối tuợng (thuật toán, các tham số,khoá)
        • Định danh duy nhất của nhà xuất bản (phiên bản 2+)
        • Định danh duy nhất của đối tượng (phiên bản 2+)
        • Các trường mở rộng (phiên bản 3)
        • Chữ ký (hoặc hash của các trường trong chứng nhận)
      • Ký hiệu CA<<A>> là chứng nhận cho A được ký bởi CA
    • 7. X.509 Certificates
    • 8. Secure Socket Layer
      • Là giao thức đa mục đích thiết kế để giao tiếp các chương trình ứng dụng cho trước trên một cổng định trước nhằm mã hóa toàn bộ thông tin đi, đến.
      • Gồm tổ hợp nhiều giải thuật mã hóa. Việc mã họa trong suốt, hỗ trợ nhiều giao thức khác chạy trên nền TCP
      • Ngày nay sử dụng phổ biến trong hoạt động thương mại điện tử
    • 9. Giao thức SSL
      • Là giao thức tầng:
        • Giao thức SSL handshake
        • Giao thức SSL change cipher spec
        • Giao thức SSL Alert
        • SSL Record Layer
      • SSL không làm gì hơn là “bắt tay” và thiết lập các “đường hầm mã hoá”
    • 10.  
    • 11. III. Tổng quan Smart certificate
      • Mở rộng chuẩn X.509 bằng cách thêm vào các tính năng
    • 12. Smart Certificate
      • Hỗ trợ chứng nhận ngắn hạn
      • Bao hàm các thuộc tính
      • Hỗ trợ các chứng nhận có khả năng làm mới và đặt trước thời gian hiệu lực
      • Mã hóa các thông tin nhạy cảm trong chứng nhận
    • 13.  
    • 14. IV. Triển khai RBAC dùng Smart certificate
      • Mô hình giản lược:
    • 15. RBAC trên Web Sử dụng Smart Certificate
    • 16. Obtaining and Presenting Assigned Roles
      • Alice muốn thực hiện giao dịch:
        • Kết nối tới role server
        • Role server tìm role chỉ định cho Alice trong csdl URA (User-role Assignment)
        • Tạo smart certificate gửi tới và lưu trữ trên máy Alice
      • Trong ví dụ này sử dụng trường OU trong X.509 để lưu thông tin đối tượng
      • Cả identity và role cùng kí bởi 1 CA
    • 17. Nhận và trình diễn vai trò được gán
      • Nếu smart certificate có nhiều thuộc tính khác (kí bởi nhiều CA) ~> sử dụng trường mở rộng thêm X.509
      • Người dùng (Alice) có thể có nhiều smart certificate
        • Khi yêu cầu truy nhập đến 1 webserver, trình duyệt và webserver sẽ xác nhận lẫn nhau.
        • Alice chọn một smart certificate phù hợp, gửi nó đến webserver
        • Nếu smart certificate có hiệu lực, webserver sẽ tin vào thông tin Vai trò trên chứng nhận và sử dụng nó cho RBAC với phân cấp quyền-vai trò trên webserver
    • 18. RBAC trên Web server
      • IIS phụ thuộc vào NTFS trong việc giữ an toàn cho các file, thư mục khỏi các truy cập trái phép
      • Quyền của NTFS quy định chính xác user có thể truy cập nội dung nào và quyền nào cho user nào trong khi quyền ở Web server áp dụng chung cho các user
      • ~> có thể điều khiển truy cập người dùng tới ndung thích hợp bằng cách cấu hình hệ thống file của Window NT và các tính năng an toàn của Web server
    • 19.
      • Với phân cấp vai trò bên dưới, ta config IIS 4.0 với 2 ý tưởng chính: role account và PAA (Permission-Account Assignment)
    • 20. Ánh xạ Role sang Role Account
      • Trên Web server dùng role ~> tài khoản truy cập không cần thiết ~> tạo tài khoản role (Director, Quality_Engineer…) trong Window NT, nơi cài đặt Webserver
      • Ánh xạ mỗi role ở hình trên sang tài khoản role tương ứng trên Window NT server
      • Sau khi Alice được xác nhận bởi Web server với vai trò “DIR” cô được ánh xạ sang tài khoản Director
      • Do đó, Alice ko có tài khoản trên server, cô vẫn có quyền của Director
    • 21.  
    • 22. Cung cấp phân cấp vai trò
      • Sử dụng cơ chế điều khiển truy cập có sẵn trên Window NT server
      • Tạo các tài khoản role: Director. Project_Lead1, …
      • Tạo các thư mục trên hệ thống file Window NT, mỗi thư mục có các file được truy cập bởi role cụ thể theo phân cấp role
      • Cấu hình hệ thống file Window NT, gán mỗi tài khoản role một quyền truy cập tới các thư mục dựa theo phân cấp role
    • 23.  
    • 24. V. Các công việc liên quan
      • Secure Cookies
        • Mở rộng cơ chế cookie giữa Web server và trình duyệt, sử dụng mật mã và thực thi RBAC với phân quyền role trên Web
        • Các Web server phát hành secure cookies bao gồm thông tin Vai trò của người dùng, được sử dụng lại bởi các Web server khác
      • getAccess
        • enCommerce tung ra để thực thi mô hình phân cấp vai trò cho các tổ chức trên mạng
    • 25. V. Các ứng dụng liên quan
      • TrustedWeb:
        • Phát hành bởi Siemen nixdorf, hỗ trợ điều khiển truy cập dựa trên vai trò cho Web và ứng dụng
        • Cung cấp một danh sách đơn các người dùng và khởi gán các Vai trò cho các người dùng
        • Hệ thống bao gồm cả SEASAME của Siemen và Kerberos
        • … cần phần mềm chuyên dụng
    • 26. VI. Tổng kết
      • Chúng ta đã mô tả thực thi RBAC với phân cấp Vai trò bằng cách sử dụng Smart certificate
        • CA phát hành một smart certificate bao gồm một identity và thông tin role. Web server sử dụng thông tin role cho RBAC với phân cấp role sau khi kiểm tra định danh và thuộc tính
        • Cơ chế điều khiển truy cập này đã giải quyết được mong muốn của các Web server hiện tại.
      • Việc thực thi hoàn toàn trong suốt với người dung
    • 27.
      • Cám ơn các bạn đã theo dõi!
    • 28. an example of a decoded X.509 certificate for www.freesoft.org
    • 29. CA certificate to validate
      • Đầu tiên xác nhận chứng nhận này có phải của CA bằng cách khảo sát giá trị của CA attribute trong X509x3 extension .
      • Sau đó dùng RSA public key trong CA certificate để giải mã chữ kí trên chứng nhận bên trên để nhận đc MD5 hash, cái này phải khớp với MD5 hash được tính toán dựa vào phần còn lại của chứng nhận
    • 30.
      • SSL hoạt động như thế nào >>

    ×