BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM H
À NỘI 2
PHẠM THỊ KIM OANH
NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN NINH VÀ
AN TOÀN CHO D
ỊCH VỤ ĐIỆN TOÁN ĐÁM MÂY
LUẬN VĂN THẠC SĨ MÁY TÍNH
HÀ NỘI, 2014
PHẠM THỊ KIM OANH CHUYÊN NGÀNH KHOA HỌC MÁY TÍNH KHÓA
LỜI CẢM ƠN
Để hoàn thành luận văn này ngoài nỗ lực của bản thân trong quá trình học
tập nghiên cứu, em còn nhận được rất nhiều sự nhiệt tình giúp đỡ, hướng dẫn cũng
như động vi
ên trong suốt quá trình thực hiện luận văn.
Trước hết
em muốn gửi lời cảm ơn sâu sắc nhất tới TS. Hồ Văn Hương –
người đã nhiệt tình giúp đỡ, hướng dẫn và đưa ra những chỉ dẫn kịp thời để em có
thể bám sát đề tài hoàn thiện luận văn.
Em xin gửi lời cảm ơn đến các thầy cô trong trường Đại sư phạm Hà Nội 2,
những người đã dạy dỗ, giúp đỡ và chỉ bảo cho em trong suốt quá trình học tập.
Mặc dù đã có nhiều cố gắng trong việc hoàn thiện luận văn, tuy nhiên do hạn
chế về thời gian cũng như kiến thức bản thân, luận văn không tránh khỏi thiếu sót.
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM H
À NỘI 2
PHẠM THỊ KIM OANH
NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN NINH VÀ
AN TOÀN CHO D
ỊCH VỤ ĐIỆN TOÁN ĐÁM MÂY
Chuyên ngành: Khoa học máy tính

trung th
ực và không trùng lặp với các đề tài khác. Tôi xin cam đoan rằng mọi sự
giúp đỡ cho việc thực hiện luận văn này đ
ã được cảm ơn và các thông tin trích dẫn
trong luận văn đã được chỉ rõ nguồn gốc.
Việt Trì, ngày 14 tháng 12 năm 2014
Học viên
Ph
ạm Thị Kim Oanh
3
MỤC LỤC
Lời cảm ơn 1
L
ời cam đoan 2
M
ục lục 3
Danh m
ục hình 4
Danh m
ục các từ viết tắt và thuật ngữ 6
M
ở đầu 8
Chương I. Tổng quan về điện toán đám mây 12
1.1 Khái ni
ệm về điện toán đám mây 12
1.2 Các mô hình d
ịch vụ của điện toán đám mây 14
1.3 Các mô hình tri
ển khai điện toán đám mây 16
1.4 K

Hình 1.3 Mô hình đám mây nội bộ 17
Hình 1.4 Mô hình đám mây công đồng 17
Hình 1.5 Mô hình đám mây lai 18
Hình 2.1 Giải mã dùng khóa công khai 36
Hình 2.2 Quá trình mã hóa kết hợp giữa khóa công khai và
khóa đối xứng
37
Hình 2.3 Quá trình giải mã 37
Hình 3.1 Quy trình ký và kiểm tra chữ ký với Openstack
Object Storage
56
Hình 3.2 Quy trình mã hóa với Openstack Object Storage 56
Hình 3.3 Biểu đồ phân cấp chức năng 57
Hình 3.4 Biểu đồ Usecase tổng quát 57
Hình 3.5 Biểu đồ trình tự chức năng quản lý thư mục 66
Hình 3.6 Biểu đồ trình tự chức năng quản lý file 67
Hình 3.7 Biểu đồ trình tự chức năng truyền file 68
Hình 3.8 Biểu đồ trình chức năng tải file 69
Hình 3.9 Biểu đồ trình tự chức năng mã hóa/ký 70
Hình 3.10 Biểu đồ trình tự chức năng giải mã/kiểm tra chữ ký 70
Hình 3.11 Giao diện chính của chương trình 71
Hình 3.12 Giao diện quản lý file 71
Hình 3.13 Giao diện mã hóa/ký 72
Hình 3.14 Giao diện giải mã/kiểm tra chữ ký 72
Hình 3.15 Giao diện upload 73
Hình 3.16 Giao diện download file 73
5
Hình 3.17 Mô hình cài
đặt Openstack Object Storage 74
Hình 3.18 Quá trình hiển thị file và thư mục 75

Protocol)
18 MAC Địa chỉ vật lý của các thiết bị mạng (Media
Access Control)
19 DNS Hệ thống phân giải tên miền (Domain Name
7
System)
20 DHCP Giao thức cấu hình địa chỉ động (Dynamic Host
Configuration Protocol)
21 TCP Giao thức điều khiển truyền vận (Transmission
Control Protocol)
22 UDP Giao thức truyền dữ liệu phi kết nối (User
Datagram Protocol)
23 ICMP Giao thức kiểm soát thông điệp mạng (Internet
Control Message Protocol)
24 VM Máy ảo (Virtual Machine)
8
MỞ ĐẦU
1. Lý do chọn đề tài
Trong những năm gần đây, điện toán đám mây đã có những bước tiến vượt
b
ậc. Như chúng ta đã biết, điện toán đám mây không phải là một công nghệ gì mới,
mà là sự kết hợp nhiều công nghệ trước đây. Những công nghệ này đã hoàn thiện ở
các mức độ khác nhau trong những ngữ cảnh khác nhau, chúng không được thiết kế
như một thể thống nhất. Tuy nhiên chúng đ
ã tọa ra một hệ thống kỹ thuật cho điện
toán đám mây. Những tiến bộ mới trong bộ vi xử lý, công nghệ ảo hóa, đĩa lưu trữ,
kết nối Internet băng thông rộng, các máy chủ rẻ, mạnh và nhanh đã kết hợp với
nhau tạo ra điện toán đám mây.
Các lợi ích điện toán đám mây đem lại cho người dùng rất lớn, trên thực tế
điện toán đám mây đ

dụng vì một mục đích khác.
- Tính sẵn sàng: Các trung tâm điện toán đám mây hay hạ tầng mạng có thể gặp
sự cố, khiến cho dịch vụ đám mây bị “treo” bất ngờ, nên người dùng không thể truy
cập các dịch vụ và dữ liệu của mình trong những khoảng thời gian nào đó.
- Khả năng mất dữ liệu: Một vài dịch vụ lưu trữ dữ liệu trực tuyến trên đám mây
bất ngờ ngừng hoạt động hoặc không tiếp tục cung cấp dịch vụ, thậm chí một vài
trường hợp, vì một lý do nào đó, dữ liệu người dùng bị mất và không thể phục hồi
được.
- Khả năng bảo mật: Vấn đề tập trung dữ liệu trên các “đám mây” là cách thức
hiệu quả để tăngcường bảo mật, nhưng mặt khác cũng chính là mối lo của người sử
dụng dịch vụ điện toán đám mây, bởi lẽ một khi các đám mây bị tấn công hoặc đột
nhập, toàn bộ dữ liệu sẽ bị chiếm dụng.

Trong đó, vấn đề bảo mật dữ liệu của điện toán đám mây là điều mà nhiều
người quan tâm nhất. Dữ liệu của khách hàng được nhà cung cấp điện toán đám
mây b
ảo mật như thế nào? Người sử dụng tự bảo mật dữ liệu ra sao? Vì thế em
chọn đề tài “Nghiên cứu giải pháp đảm bảo an ninh và an toàn cho dịch vụ
điện toán đám mâ
y” để trình bày và giải quyết những vấn đề nêu trên.
2. Mục đích nghiên cứu
Giúp người sử dụng điện toán đám mây hiểu về cấu trúc hoạt động của điện
toán
đám mây, tìm hiểu và đề xuất các giải pháp an ninh bảo mật trong điện toán
đám mây, đồng thời xây dựn
g thử nghiệm giải pháp bảo mật xác thực người dùng,
b
ảo mật xác thực dữ liệu của người dùng trong môi trường điện toán đám mây.
3. Nhiệm vụ nghiên cứu
10

11
NỘI DUNG
Chương I. Tổng quan về điện toán đám mây
1.1 Khái niệm điện toán đám mây
1.2 Các mô hình hình vụ điện toán đám mây
1.3 Các mô hình triển khai điện toán đám mây
1.4 Kết luận
Chương II
. Các vấn đề an ninh trong điện toán đám mây
2.1 Định nghĩa về an ninh và đảm bảo an ninh
2.2 Các nguy cơ an ninh đối với điện toán đám mây và cách khắc phục
2.3 Mã hóa
2.4 Ch
ữ ký số
2.5 Kết luận
Chương
III. Phân tích vấn đề và xây dựng giải pháp đảm bảo an ninh cho điện toán
đám mây
3.1 Đề xuất giải pháp
3.2 Triển khai ứng dụng
3.3 Kết luận
12
CHƯƠNG I. TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY
1.1 Khái ni
ệm về điện toán đám mây
1.1.1 Định nghĩa
Điện toán đám mây là một thuật ngữ mới xuất hiện một vài năm trở lại đây,
nó gắn liền với một cuộc cách mạng mới trong cách sử dụng tài nguyên cũng như
cung cấp thông tin và dịch vụ của các tổ chức. Cùng với sự phát triển của điện toán
đám m

Internet là có thể truy cập tới các tài nguyên này mà không cần hiểu rõ chi tiết về
công nghệ, kĩ thuật và hạ tầng bên trong của các đám mây. [1], [2]
13
Hình 1.1 Mô hình điện toán đám mây
1.1.2 Các đặc trưng cơ bản của điện toán đám mây
- Khả năng co giãn: tài nguyên có thể được cung cấp một cách nhanh chóng và
m
ềm dẻo, có khả năng thay đổi tăng lên hay giảm đi tùy thuộc vào nhu cầu sử dụng
của khách hàng. Đối với khách hàng, tài nguyên trên “đám mây luôn sẵn sàng và có
th
ể coi là không có giới hạn trong việc sử dụng vào bất kỳ thời điểm cũng như
khối lượng tài nguyên yêu cầu
- Dịch vụ theo yêu cầu: khách hàng có thể được cung cấp tài nguyên như máy chủ,
dung lượng lưu trữ…một cách tự động theo y
êu cầu mà không cần phải có sự can
thiệp từ phía nhà cung cấp dịch vụ.
- Không phụ thuộc vào vị trí: khách hàng không biết và không điều khiển vị trí của
tài nguyên được cung cấp, tuy nhi
ên họ vẫn có thể làm điều này thông qua các dịch
vụ nâng cao của nhà cung cấp. Tài nguyên có thể bao gồm: lưu trữ, xử lý, bộ nhớ và
băng thông mạng.
- Truy cập dễ dàng: người dùng có thể truy cập tới tài nguyên trên đám mây chỉ với
yêu cầu là có một ứng dụng có thể kết nối tới Internet từ bất kỳ thiết bị nào như:
máy tính để b
àn, thiết bị di động, máy tính xách tay…
- Điều tiết dịch vụ: các hệ thống điện toán đám mây tự động điều khiển và tinh
ch
ỉnh tài nguyên sử dụng bằng cách áp dụng các biện pháp đo lường ở các cấp độ
14
khác nhau cho t

ột số hãng khác cung cấp dịch vụ máy chủ ảo như Rackspace, GoGrid cũng cung
cấp Iaas theo mô hình tương tự. Hầu hết các tập đoàn công nghệ lớn hiện nay như
Google, Mircosoft, Apple đề
u cung cấp dịch vụ lưu trữ trên nền điện toán đám mây,
15
các thi
ết bị của người dùng có thể đồng bộ dữ liệu cá nhân từ bất kỳ thiết bị nào và
s
ử dụng chúng.
1.2.2 Dịch vụ nền tảng (Platform as a Service)
Mô hình PaaS cung cấp cách thức cho phát triển ứng dụng trên một nền tảng
trừu tượng. Nó hỗ trợ việc triển khai ứng dụng mà không quan tâm đến chi phí hay
sự phức tạp của việc trang bị và quản lý các phần cứng và phần mềm bên dưới.
Cung cấp tất cả cac tính năng cần thiết để hỗ trợ việc xây dựng và cung cấp một ứng
dụng và dịch vụ Web sẵn sàng trên Internet mà không cần bất kỳ thao tác tải hay cài
đặt phần mềm ch những người phát triển ứng dụng có thể tạo ra các ứng dụng một
cách nhanh chóng, khi nhiều rắc rối trong việc thiết lập máy chủ, cơ sở dữ liệu đã
được nhà cung cấp PaaS giải quyết. [7], [8]
Những đặc trưng tiêu biểu
- Phục vụ cho môi trường phát triển, kiểm thử, triển khai và vận hành ứng dụng
- Các công cụ khởi tạo với giao diện trên nền Web
- Kiến trúc đồng nhất
- Tích hợp dịch vụ Web và cơ sở dữ liệu
- Hỗ trợ cộng tác nhóm phát triển
- Công cụ hỗ trợ tiện ích
Ví dụ: Google App Engine, Saleforce. Microsoft Azure
1.2.3 Dịch vụ phần mềm (Software as a Service)
Dịch vụ phần mềm SaaS là một mô hình triển khai phần mềm trên điện toán
đám mây mà ở đó người cung cấp cho phép người d
ùng sử dụng dịch vụ theo yêu

mục đích sử dụng công cộng. Người dùng sẽ đăng ký với nhà cung cấp đám mây
công cộng và trả phí sử dụng dựa theo chính sách giá của nhà cung cấp. Đám mây
công cộng là mô hình triển khai phổ biến nhất của điện toán đám mây. Khi người
dùng sử dụng dịch vụ Amazon Web Services, các ứng dụng trực tuyến của Google
hay các dịch vụ tương tự trên nền đám mây, họ đang sử dụng đám mây công cộng.
1.3.2 Đám mây nội bộ
Các đám mây nội bộ tồn tại phía bên trong tường lửa của các công ty hay tổ
chức. Các dịch vụ mà các công ty, tổ chức đó tạo ra và được kiểm soát bên trong
công ty, t
ổ chức đó.
Hình 1.3 Mô hình đám mây nội bộ
1.3.3 Đám mây cộng đồng
Một đám mây cộng đồng là đám mây được chia sẻ bởi một số tổ chức và hỗ
trợ một số cộng đồng cụ thể có mối quan tâm chung (chung sứ mệnh, yêu cầu an
ninh, chính sách). Nó có thể được quản lý bởi một số tổ chức có yêu cầu tương tự
và tìm cách chia sẻ cơ sở hạ tầng để thực hiện một số lợi ích của điện toán đám
mây.
18
Hình 1.4 Mô hình đám mây cộng đồng (nguồn Internet)
1.3.4 Đám mây lai
Một đám mây lai là đám mây kết hợp hai hoặc nhiều mô hình triển khai điện
toán đám mây ở tr
ên ví dụ là sự kết hợp giữa đám mây công cộng và đám mây nội
bộ. Điều này cho phép khai thác các điểm mạnh nhất của từng mô hình cũng như
đưa ra phương thức sử dụng tối ưu cho người sử dụng. Thay v
ì phải bó buộc bên
trong m
ột đám mây nội bộ thì người sử dụng có thể tận dụng được cả các tính năng
của các đám mây công cộng cho các mục đích sử dụng của mình.
Hình 1.5 Mô hình đám mây lai (nguồn Internet)

doanh nghiệp Việt Nam đang ứng dụng công nghệ ảo hóa, 64% đơn vị dự định sẽ
ảo hóa các ứng dụng cơ sở dữ liệu trong v
òng 12 tháng tới, 45% doanh nghiệp dự
định sẽ ảo hóa các ứng dụng web và 64% đơn vị sẽ dự định ảo hóa email v
à các ứng
dụng lịch biểu, 45% đơn vị dự định sẽ ảo hóa các ứng dụng ERP.
Ngày càng có nhiều công ty tham gia vào quá trình phát triển các ứng dụng
điện toán đám mây ti
êu biểu như Microsoft, Google, Intel, IBM… đã và đang tạo ra
một thị trường rộng lớn các ứng dụng điện toán đám mây, đem lại nhiều sự lựa chọn
hơn cho các cá nhân, tổ chức có mong muốn “mây hóa” các ứng dụng v
à dữ liệu
của mình. Theo đánh giá của các chuyên gia hàng đầu về điện toán đám mây, việc
phát triển điện toán đám mây trong tương lai sẽ tập trung vào 3 vấn đề chính bao
20
g
ồm: Khả năng liên kết (Federated), tự động hóa (Automated), và nhận biết thiết bị
đầu cuối (Client aware). Đây cũng l
à cách tiếp cận mới với vấn đề tự động hóa
CNTT cho phép đáp ứng những y
êu cầu của người dùng bằng cách mới, hiệu quả
hơn và tiết kiệm chi phí hơn. Các đám mây liên kết sẽ cho phép sắp xếp nhanh hơn
các tài nguyên, trong khi các
đám mây có khả năng nhận biết thiết bị đầu cuối sẽ tận
d
ụng những tính năng đặc thù của mỗi thiết bị theo cách tối ưu. Điện toán đám mây
s
ẽ là công nghệ được ứng dụng nhiều nhất trong tương lai.
21
CHƯƠNG II. CÁC VẤN ĐỀ AN NINH TRONG ĐIỆN TOÁN ĐÁM MÂY

dùng là không phủ nhận cũng như xu hướng phát triển hạ tầng, dịch vụ trên nền
điện toán đám mây là xu hướng mạnh hiện nay. Tuy nhi
ên cũng vì thế mà các vấn
22
đề về an ninh cho điện toán đám mây cũng trở nên nhiều hơn. Một trong những vấn
đề an ninh nổi trội đó l
à việc quản lý dữ liệu người dùng, việc đảm bảo sự riêng tư
cho dữ liệu người dùng.
2.2 Các nguy cơ an ninh đối với điện toán đám mây và cách khắc phục
2.2.1 An ninh mức vật lý
Một số nguy cơ về mặt vật lý đối với các hệ thống điện toán đám mây:
- Hệ thống bị sự cố về thảm họa tự nhiên: động đất, bão…
- H
ệ thống bị sự cố về điện: mất điện
- Hệ thống bị người khác xâm nhập trái phép, phá hoại về mặt vật lý
Các biện pháp khắc phục:
- Xây dựng hệ thống datacenter ở những vị trí địa lý khác nhau (mô hình multisites)
- Các thi
ết bị, máy chủ phải được đặt trong phòng cách ly riêng (tủ có khóa, niêm
phong các c
ổng usb, com…) và áp dụng các biện pháp kiểm soát như thẻ từ, sinh
trắc học…
- Áp dụng hệ thống cảnh báo nhiệt độ, cảnh báo điện, dự phòng điện (smart UPS,
máy nổ )
- Xây dựng các chính sách về quản lý truy cập đối với người ra vào khu vực trung
tâm dữ liệu
+ Quyền truy cập phải được thu hồi ngay lập tức khi công việc của nhân viên hết
nhu cầu truy cập vào trung tâm dữ liệu
+ Tất cả các truy cập về mặt vật lý và điện tử tới trung tâm dữ liệu của nhân viên
ph

Server nhận được sẽ cấp phát một vùng tài nguyên, gửi lại phản hồi và chờ việc
thiết lập kết nối. Kẻ tấn công tiếp tục gửi hàng loạt yêu cầu tới server bị hết tài
nguyên và không th
ể phục vụ kết nối tiếp theo. Khi này, một khách hàng thật sự kết
nối tới hệ thống thì hệ thống đang ở trong tình trạng quá tải và không thể phục vụ.
- IP Sumurfing: kẻ tấn công gửi broadcast một gói tin SYN cho 1 mạng đích với IP
nguồn là máy nạn nhân. Khi đó nạn nhân sẽ phải xử lý một khối lượng SYN/ACK
rất lớn từ tất cả các máy thuộc mạng đích. Nếu kẻ tấn công còn lặp lại việc này
nhi
ều lần thì máy nạn nhân sẽ hết vùng nhớ đệm và rơi vào tình trạng từ chối dịch
vụ.
- Land attack: kẻ tấn công gửi một gói tin với địa chỉ Ip nguồn và ip đích trùng nhau
và trùng với ip của hệ thống nạn nhân, số hiệu cổng TCP nguồn và đích trùng nhau.
Khi đó hệ thống nạn nhận sẽ trao đổi dữ liệu với chính nó và bị hao phí tài nguyên
cho ho
ạt động vô ích này.
b. Tấn công Man –in –the-middle (MITM attack)