TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM KHOA CÔNG NGHỆ THÔNG TIN Đề tài: Nhóm thực hiện: Trần Hoàng Nhật Nguyễn Đăng Khoa Huỳnh Nhật Trường Nguyễn Hoài Minh Vương CHƯƠNG 1: TỞNG QUAN VỀ OPENID Tổng quan • OpenID là dịch vụ định danh (Identify) chia sẻ, là hệ thống đăng nhập lần khơng có tính tập trung, cho phép người sử dụng đăng nhập nhiều website khác định danh số, tránh việc sử dụng tài khoản và mật khác cho website OpenID là định chuẩn mở, miễn phí và phân quyền cho phép người dùng điều khiển thơng tin cá nhân cơng khai Internet • Một OpenID là dạng liên kết URL, URL này là tên miền website URL nhà cung cấp định danh OpenID Khi đăng nhập với tài khoản OpenID, bạn phải đăng nhập vào Nhà cung cấp dịch vụ định danh để kiểm tra tính hợp lệ tài khoản OpenID là phương thức giúp bạn xác thực tài khoản đăng ký provider mà bạn tin tưởng và cho phép người dùng thực việc đăng nhập vào lần sau Các thành phần hệ thống OpenID Relying Party Identity Provider Identity Selector (Browser) Các thành phần hệ thống OpenID • Relying Party: là dịch vụ sử dụng chế định danh để chứng thực Ví dụ, số trang web sử dụng chế đăng nhập người dùng để định danh trang zing, trang eplay Hiện có nhiều thành phần Relying Party mạng Phần lớn số hỗ trợ định danh hệ thống khác tài khoản email Yahoo hay Gmail Các thành phần hệ thống OpenID • Identity Provider: là thành phần có nhiệm vụ quản lý thuộc tính định danh người dùng hệ thống IdP có chức truyền thơng tin cần thiết để thực chứng thực đến Relying Party sau xác định là người dùng sử dụng dịch vụ Hiện có nhiều hệ thống tiếng xây dựng thành phần Identity Provider cho riêng dựa chế hệ thống OpenID Google, Yahoo… • Identity Selector (Browser): là thành phần trung gian hệ thống, là cầu nối người dùng, Relying Party, Identity Provider Mọi hoạt động thành phần này điều khiển trực tiếp người dùng Quy trình hoạt động hệ thống quản lý định danh CHƯƠNG 2: PHƯƠNG THỨC HOẠT ĐỘNG CỦA OPENID Giao tiếp giữa thành phần hệ thống OpenID URI là địa chỉ Identity Provider Giao tiếp giữa thành phần hệ thống OpenID với URI là địa chỉ Identity Provider Quy trình sử dụng NukeViet OpenID • Bước 5: Xác nhận tài khoản đăng nhập hệ thống website Quy trình sử dụng NukeViet OpenID • Bước 6: Q trình đăng nhập thành cơng Kết đạt được • Dùng Wireshake bắt và lọc gói tin TLSv1 để phân tích Client Hello • Client là webserver đối tượng trung gian liên kết với server nhà cung cấp dịch vụ OpenID • Client gửi thông điệp yêu cầu đến server để yêu cầu bên thứ xác nhận và chứng thực tài khoản người dùng • Thực quy trình bắt tay Handshake Protocol giao thức bảo mật SSL dùng cho nhà cung cấp dịch vụ Yahoo • Địa IP nguồn là: 192.168.1.3 • Địa IP đích là: 124.108.121.156 • Handshake Protocol là giao thức bắt tay có tên gọi là Client Hello • Cipher Suites: danh sách phương thức áp dụng mã hóa dùng cho việc xác thực và chứng thực tài khoản người dùng • Danh sách có 21 kiểu mã hóa khác kết hợp với nhiều thuật giải bảo mật: DHE, RSA, SHA, DES, 3DES, MD5… và yếu tố số lượng byte kết hợp quy đổi thành dạng hệ số hexadecimal (hệ 16) • Nhà cung cấp dịch vụ OpenID chọn 21 danh sách kiểu mã hóa để áp dụng Server Hello, Certificate, Server Hello Done Certificate ID Yahoo • • • • • • • • • • • • • Server là nhà cung cấp dịch vụ OpenID Server trả lời thông điệp phản hồi cho client qua giao thức TSLv1 quy trình bắt tay Session ID: phiên làm việc thiết lập gồm chuỗi ký tự mã hóa với chiều dài 32 bytes Địa IP nguồn là: 124.108.121.156 Địa IP đích là: 192.168.1.3 Server chọn phương thức mã hóa theo kiểu TLS_RSA_WITH_AES_256_CBC_SHA dùng cho việc xác thực và chứng thực tài khoản người dùng Server gửi tiếp cho client thông điệp chứng thực certificate với tổng chiều dài là 760 bytes bao gồm phần đóng gói liệu và phần chứng thực certificate 756 bytes Chứng xác thực là nhà cung cấp dịch vụ me.yahoo.com SerialNumber: số hiệu phần chứng thực chữ ký điện tử, là chuỗi ký tự mã hóa với mục đích kiểm tra tính đắn liệu Signature mã hóa an toàn tḥt tốn SHA kết hợp chế mã hóa cơng khai RSA và chế này áp dụng cho thuật giải định danh Chuỗi mã hóa là “1a55a2c07afa58f4df…” Quy trình xác thực chứng cấp nhà cung cấp dịch vụ OpenId là me.yahoo.com Sử dụng thuật toán mã hóa cơng khai RSA với khóa cơng khai tạo là “30818902818100f3…” kết hợp giải thuật hàm băm SHA Client Key Exchange • Quy trình trao đổi key client và server thủ tục handshake • Địa IP nguồn là: 192.168.1.3 • Địa IP đích là: 124.108.121.156 • Quy trình thay đổi thơng số tḥt tốn mã hóa • Gửi thơng điệp mã hóa thủ tục bắt tay Change Cipher Spec • Quy trình trao đổi key server client thủ tục bắt tay • Địa IP nguồn là: 124.108.121.156 • Địa IP đích là: 192.168.1.3 • Server chấp nhận thông điệp yêu cầu từ client Application Data RP – OP • • • • • • • Quy trình truyền nhận liệu client và server Địa IP nguồn là: 192.168.1.3 Địa IP đích là: 124.108.121.156 Giao thức hoạt động truyền liệu là http Giao thức sử dụng server là https Chiều dài gói liệu là 96 bytes Chuỗi mã hóa liệu là “d70a6e38b69059fadd…” Application Data OP – RP • • • • Quy trình truyền nhận liệu server và client Địa IP nguồn là: 124.108.121.156 Địa IP đích là: 192.168.1.3 Nội dung là truyền tải ứng dụng data, chiều dài liệu là 32 bytes và 464 bytes • Chuỗi mã hóa liệu là “d70a6e38b69059fadd…” và “462f8c68a8b63f1d8a34…” Encrypted Alert • Thơng điệp kết thúc quy trình bắt tay client và server • Địa IP nguồn là: 124.108.121.156 • Địa IP đích là: 192.168.1.3 • Loại nội dung cảnh báo có chiều dài là 32 bytes Biểu đồ Flow tổng hợp bước giao tiếp giữa client và server ... Provider Giao tiếp giữa thành phần hệ thống OpenID với URI là địa chỉ Identity Provider Cơ chế hoạt động OpenID • OpenID có hai chế hoạt động chính: Smart mode Dumb mode • Hai chế này... đổi thông điệp bắt tay thỏa thuận đồng ý bên thuật toán, trao đổi ngẫu nhiên giá trị, và kiểm tra phiên giao dịch  Trao đổi thông số mật mã cần thiết phép người dùng cuối và máy chủ đồng... số, tránh việc sử dụng tài khoản và mật khác cho website OpenID là định chuẩn mở, miễn phí và phân quyền cho phép người dùng điều khiển thơng tin cá nhân cơng khai Internet • Một OpenID