ปก - msit.mut.ac.th การพัฒนาระบบการ... · ii project title a...
TRANSCRIPT
การพัฒนาระบบการพิสูจนตัวจริงดวยรหัสผานสําหรับการเขาถึงเว็บไซต A Password-based Authentication System For Website Access
กันตกมล ไหวคิด Kankamon Waikid
สารนิพนธฉบับนี้เปนสวนหนึ่งของการศึกษา ตามหลักสตูรวิทยาศาสตรมหาบัณฑิต
สาขาวิชาวิศวกรรมเครือขาย บัณฑิตวิทยาลัย มหาวิทยาลัยเทคโนโลยีมหานคร
ปการศึกษา 2553
I
หัวขอโครงงาน การพฒันาระบบการพิสจูนตัวจริงดวยรหสัผานสําหรับการเขาถึงเว็บไซด นักศึกษา นางสาวกันตกมล ไหวคิด รหัสนักศึกษา 5217660055 ปรญิญา วิทยาศาสตรมหาบัณฑิต สาขา วิศวกรรมเครอืขาย พ.ศ. 2553 อาจารยควบคุมสารนพินธ ผศ.ดร.ศุภกร กังพิศดาร
บทคัดยอ
สารนิพนธฉบับนี้นําเสนออีกรูปแบบหน่ึงของการพัฒนาการพิสูจนตัวจริงดวยรหัสผานสําหรับการเขาถึงเว็บไซต โดยการเขียนโปรแกรมบนเว็บเซิรฟเวอร ติดตอกับฐานขอมูลเพื่อตรวจสอบผูเขาใชงานระบบวามีสิทธิเขาใชระบบงานหรือไม โดยจุดมุงหมายของการพัฒนา คือ เพิ่มความสะดวกในการเขาใชงานเว็บไซตตางๆ ขององคกร โดยการลอกอินเขาใชงานระบบเพียงครั้งเดียว แตสามารถเขาใชเว็บไซตตางๆ ขององคกรได โดยระบบจะทําการล็อกอินใหอัตโนมัติ
การศึกษาโครงงานนี้ใชโปรแกรมเว็บเซิรฟเวอร โปรแกรมเอเอสพี และโปรแกรมวิชวลฟอกสโปร เพื่อพัฒนาระบบการพิสูจนตัวจริงดวยรหัสผานสําหรับการเขาถึงเว็บไซดขึ้นมา
II
Project Title A Password-based Authentication System for Website Access Student Kankamon Waikid Student ID 5217660055 Degree Master of Science Program Network Engineering Year 2010 Project Advisor Asst.Prof.Dr.Supakorn Kungpisdan
ABSTRACT
The purpose of this study is to present A Password Authentication System for Website Access using web programming and database to authenticate and authorize users before performing the operation. The aim of this study is to increase convenience, allowing users to access multiple web servers within the organization without requiring re-authentication.
This project uses web programming, ASP, Visual Foxpro, and database to develop present A Password Authentication System for Website Access.
III
สารบัญ หนา
บทคัดยอภาษาไทย I บทคัดยอภาษาอังกฤษ II สารบัญ III สารบัญตาราง V
สารบัญรูป VI บทที ่1 บทนาํ 1
1.1 กลาวนํา 1 1.2 ปญหาและแรงจูงใจ 1 1.3 จุดประสงค 1 1.4 ขอบเขตการดําเนินงาน 1 1.5 ประโยชนท่ีไดรับ 2 1.6 โครงสรางของโครงงาน 2 1.7 ขั้นตอนการดําเนินงาน 3
บทที ่2 ทฤษฎีท่ีเก่ียวของ 4 2.1 ระบบเครอืขายอินทราเน็ต 4 2.2 เซสชั่นและคุกกี ้ 4
2.2.1 เซสชั่น 4 2.2.2 คุกกี้ 4
2.3 ไคลเอนต-เซิรฟเวอร 5 2.3.1 ไคลเอนต 5 2.3.2 เซิรฟเวอร 5 2.3.3 ปจจัยทีมี่ผลตอการทาํงานของเซิรฟเวอร 5
2.4 TCP/IP Reference Model 6 2.4.1 Application Layer 6 2.4.2 Transport Layer 6 2.4.3 Internet Layer 6 2.4.4 Network Access Layer 7
2.5 โปรโตคอลที่ใชในการสือ่สาร 7 2.5.1 Hypertext Transfer Protocol 7
2.6 การพิสจูนตัวจริง 8
IV
สารบัญ (ตอ) หนา
2.7 ระบบจัดการผานเว็บ 13 2.8 ปญหาจากการพิสจูนตวัจริงผานเวบ็ 18
บทที ่3 ขั้นตอนและวธิีการพฒันาระบบ 19 3.1 กลาวนํา 19 3.2 ขั้นตอนการเตรียมการ 20
3.2.1 ติดต้ังระบบปฏบิตัิการ Windows Server 2003 20 3.2.2 แนวคิดในการพฒันาระบบ 20 3.2.3 ออกแบบฐานขอมูลทีใ่ชในระบบ 27 3.2.4 ออกแบบหนาเวบ็ไซต 28
บทที ่4 การพฒันาระบบ A Password-based Authentication System for Website Access 32 4.1 ขั้นตอนทดสอบใชงานระบบ 32 4.2 สรุปผลการทดลอง 48
บทที ่5 สรุปผลโครงงาน 49 5.1 ขั้นตอนพฒันาระบบ 49 5.2 สวนประกอบของระบบงาน 49 5.3 ขอเสนอแนะ 49
เอกสารอางองิ 50
V
สารบัญตาราง ตารางท่ี หนา 1.1 แสดงระยะเวลาดําเนินกิจกรรม 3 3.1 ตาราง Userlog 27 3.2 ตาราง SysConn 27 3.3 ตาราง WebConn 27
VI
สารบัญรูป รูปที ่ หนา 2.1 การเชือ่มโยงแบบจุดตอจุด (Point-to-Point) 4 2.2 TCP/IP Reference Model 6 2.3 เปรียบเทยีบ TCP/IP Reference Model กับ OSI Reference Model 7 2.4 รูปแบบการทํางานของ Hypertext Transfer Protocol (HTTP) 8 2.5 รูปแบบเฟรมของ Hypertext Transfer Protocol (HTTP) 8 2.6 ระบบของการเขารหัสแบบใชคูรหัสกญุแจ 11 2.7 การสงขอมูลเขาไปใน Hash function 12 2.8 การเขารหัสแมสเสจไดเจสตดวยกุญแจสวนตวัเพือ่เปนการลงลายเซ็น 12 2.9 ขั้นตอนการเปรียบเทียบความถูกตอง 12 3.1 โครงสรางการทํางานของระบบที่นําเสนอ 19 3.2 ขั้นตอนการทํางานของโปรแกรม 21 3.3 ขั้นตอนการลงทะเบียนผูใชงาน 22 3.4 ขั้นตอนการเปลี่ยนรหัสผานใหม 23 3.5 ขั้นตอนการแกไขขอมูลสวนตวั 24 3.6 ขั้นตอนการลงทะเบียน Website 25 3.7 ขั้นตอนการแกไขขอมูลทะเบียน Website 26 3.8 รูปแบบการเขาใชงานระบบ 28 3.9 รูปแบบการลงทะเบียน 29 3.10 รูปแบบการเขาใชงาน Website 29 3.11 รูปแบบการเปลี่ยนรหสัผานใหม 30 3.12 รูปแบบการแกไขขอมูล 30 3.13 รูปแบบการลงทะเบียนเขาใชงาน Website 31 3.14 รูปแบบแสดงขอมูลทะเบียน Website 31 4.1 แสดงหนา Login เขาใชงานระบบ 32 4.2 แสดงหนาลงทะเบียนผูใชงาน (Regis.asp) 33 4.3 กรอกขอมูลทะเบยีนผูใชงาน (Regis.asp) 34 4.4 สวนประกอบของไฟล Regis.asp 35 4.5 แสดงหนา Login (Login.asp) 35 4.6 กรอกขอมูล Login (Login.asp) 36 4.7 สวนประกอบของไฟล Login.asp 36
VII
สารบัญรูป (ตอ) รูปที ่ หนา 4.8 แสดงหนา Home Page (Home.asp) 37 4.9 แสดงหนาเปลี่ยนรหัสผานใหม (Chnpwd.asp) 37 4.10 กรอกขอมูลรหัสผานใหมและยืนยนัรหัสผาน (Chnpwd.asp) 38 4.11 สวนประกอบของไฟล Chnpwd.asp 38 4.12 แสดงหนาแกไขขอมูลสวนตัว (Edit.asp) 39 4.13 กรอกขอมูลสวนตวัทีต่องการแกไข (Edit.asp) 40 4.14 สวนประกอบของไฟล Edit.asp 40 4.15 แสดงหนาลงทะเบียน Website (RegisWeb.asp) 41 4.16 กรอกขอมูลทะเบียน Website (RegisWeb.asp) 42 4.17 สวนประกอบของไฟล RegisWeb.asp 42 4.18 แสดงหนาขอมูลทะเบียน Website (DataRegisWeb.asp) 43 4.19 สวนประกอบของไฟล DataRegisWeb.asp 43 4.20 แสดงหนาแกไขขอมูลทะเบียน Website (EditWeb.asp) 44 4.21 กรอกขอมูลรหัสผานและยืนยันรหสัผานของ Website ที่ตองการแกไข (EditWeb.asp) 45 4.22 สวนประกอบของไฟล EditWeb.asp 45 4.23 แสดงหนาลบขอมูลทะเบียน Website 46 4.24 สวนประกอบของไฟล DelDataWeb.asp 46 4.25 แสดงหนาเขาใช Website 47 4.26 กรอกขอมูล Website ที่ตองการเขาใช 47 4.27 สวนประกอบของไฟล Home.asp 47
1
บทที่ 1 บทนํา
1.1 กลาวนาํ (INTRODUCTION) อินเตอรเน็ต เปนเคร่ืองมือท่ีใชในการติดตอสื่อสารที่หลายๆ คนรูจักกันท่ัวโลก ซึ่งสามารถตอบโจทย
และสนองความตองการในเรื่องของความสะดวกและรวดเร็วในการติดตอสื่อสาร หลายๆ องคกรเริ่มนําเทคโนโลยีของระบบอินเตอรเน็ตมาประยุกตใชกับองคกร เพื่อตอบสนอง
ระบบงานภายในองคกร รูปแบบของระบบงานที่ไดรับความนิยมในการพัฒนาก็คือระบบแอพพลิเคชั่นบนเว็บเซิรฟเวอร เนื่องจากงายในการเขาใชงานของผูใช โดยเขาใชงานไดผานโปรแกรมบราวเซอรที่มีอยูใน เครื่องคอมพิวเตอรไดทันที แตการรักษาความปลอดภัยของระบบและขอมูลภายในองคกรก็มีความสําคัญ เนื่องจากผูไมหวังดีสามารถลักลอบนําขอมูลขององคกรไปใชเพื่อประโยชนสวนตัว ทําใหองคกรเกิดความเสียหายได ดังนั้นการพัฒนาระบบแอพพลิเคชั่นบนเว็บเซิรฟเวอรขององคกรสวนใหญ จึงใชการพิสูจนตัวจริงกอนเขาใชระบบเพื่อรักษาความปลอดภัยของระบบและขอมูลภายในองคกร
1.2 ปญหาและแรงจงูใจ (Problems/Motivations) ปจจุบันในการเขาใชงานเว็บไซตตางๆ เว็บเซอรฟเวอรสวนใหญจะสรางคุกกี้ขึ้นเพื่อเก็บขอมูล
หลังจากที่เขาไปเว็บไซตเหลานั้น เชน เวลาเขาไปล็อกอินเขาสูเว็บไซตขอมูลชื่อผูใชงานและรหัสผานจะถูกเก็บอยูในคุกกี้บนของเครื่องคอมพิวเตอรท่ีใชงาน ซึ่งผูท่ีไมหวังดีหรือ Hacker สามารถลักลอบเขาไปใชงาน เพื่อปลอมแปลงหรือแกไขขอมูล ทําใหสรางความเสียหายได
โดยทั่วไปการเขาใชงานเว็บไซตตางๆ ท่ีตองมีการพิสูจนตัวจริง โดยกรอกขอมูลชื่อผูใชงานและรหัสผานทุกคร้ังที่มีการเขาใชงานเปนประจํา ซึ่งไมสะดวกในการเขาใชงานของผูใช จึงมีแนวคิดพัฒนาระบบ A Password-based Authentication System for Website Access ซ่ึงเปนกลไกที่ใชตรวจสอบตัวตนของผูใชงานเพียงคร้ังเดียว แตสามารถใชงานไดกับทุกเว็บไซตขององคกรที่เคยเขาใชงานแลวอัตโนมัติ โดยไมตองกรอกขอมูลเพื่อเขาใชงานหลายรอบ ทําใหผูใชงานมีความสะดวกและลดความยุงยากในการใชงานเพิ่มมากขึ้น
1.3 จุดประสงค (Objectives) 1.3.1 เพื่อเพิ่มความปลอดภัยในการเขาใชงานเว็บไซดตางๆ ขององคกร ท่ีตองมีการกรอกขอมูลชื่อ
ผูใชงานและรหัสผาน
2
1.3.2 เพื่อใหผูใชงานมีความสะดวกและลดความยุงยากในการเขาใชงานเว็บไซต โดยการลอกอินเขาระบบเพียงคร้ังเดียว แตสามารถเขาใชงานเว็บไซดตางๆ ไดอัตโนมัติ
1.4 ขอบเขตการดําเนนิงาน (Scope of Service) พฒันาระบบ ในสวนตางๆ ดังตอไปนี ้1.) ระบบแอพพลเิคชั่น
• พฒันาโปรแกรมที่ใชสือ่สารระหวางไคลเอนตกบัเซิรฟเวอร • พฒันาโปรแกรมเพือ่ตรวจสอบและกําหนดคาตางๆ ระหวางเวบ็เซิรฟเวอรกับฐานขอมูล
2.) ฐานขอมูลของระบบ (Database) • เก็บขอมูลผูใชงาน เพื่อใชในการพิสจูนตวัตนและสบืคนขอมูลตอไป
1.5 ประโยชนท่ีไดรับ (Contributions) 1.) เพื่อเพิ่มประสิทธิภาพความปลอดภัยในการใชงานเว็บไซตตางๆ ขององคกร ที่มีการเขาใชงาน
เปนประจํา 2.) เพื่อลดความยุงยากในการเขาใชเว็บไซตตางๆ ที่ตองมีการกรอกขอมูลชื่อผูใชงานและรหัสผาน
ทุกครั้งกอนการเขาใชงาน เนื่องจากลอกอินเขาระบบเพียงครั้งเดียว ระบบจะทําการล็อกอินใหอัตโนมัติ
1.6 โครงสรางของโครงงาน (Project Organization) ขั้นตอนการพฒันาระบบ A Password-based Authentication System for Website Access โดยใน
แตละบทมีรายละเอียดดังตอไปนี ้บทที ่1: ภาพรวมการพฒันาระบบ บทที ่2: ทฤษฏีท่ีเกี่ยวของในการศึกษา และพัฒนาระบบ บทที ่3: ขั้นตอน และวิธีการพฒันาระบบ บทที ่4: ดําเนินการพฒันาระบบ บทที ่5: สรุปผล
3
1.7 ข้ันตอนการดาํเนนิงาน (Schedule) ตารางที ่1.1 แสดงระยะเวลาดําเนินกิจกรรม
กิจกรรม ระยะเวลา
เม.ย. พ.ค. มิ.ย. ก.ค. ส.ค. ก.ย. ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. มี.ค. ศึกษา/คนควาขอมูลและทฤษฎีที่เกี่ยวของ
ออกแบบรูปแบบการสือ่สารขอมูล และการทํางานของโปรแกรม
ออกแบบฐานขอมูลที่ใชในระบบ ทดสอบและเลือกเครื่องมือชวยในการพฒันา
ติดตั้งระบบปฏิบัติการ ออกแบบและพัฒนาระบบ
ทดสอบ และปรับปรุงแกไข
4
บทที่ 2 ทฤษฎีที่เกีย่วของ
2.1 ระบบเครือขายอินทราเนต็ อินทราเน็ต (Intranet) เปนระบบเครือขายภายในองคกรที่นําเทคโนโลยีของระบบอินเทอรเน็ตมาประยุกตใชงาน โดยการเชื่อมโยงคอมพิวเตอรหรือเครือขายยอยตางๆ เขาดวยกัน และนํามาใชเพื่อตอบสนองระบบงานภายในองคกรและใหทุกคนในองคกรใชรวมกัน
รูปที่ 2.1 ระบบเครอืขายอินทราเน็ต (Intranet)
2.2 เซสชันและคุกก้ี 2.2.1 เซสชัน (Session) คือขอมูลท่ีถูกสรางขึ้นเม่ือใชบราวเซอรติดตอเขาเว็บเซิรฟเวอร และถูก
ทําลายเมื่อบราวเซอรถูกปดลง ขอมูลน้ีถูกจัดเก็บในเว็บเซิรฟเวอร 2.2.2 คุกกี้ (Cookie) คือขอมูลขนาดเล็กที่เปน HTTP Header แบบหน่ึง ถูกสงจากเว็บเซิรฟเวอร ไป
เก็บไวในเคร่ืองของผูใชตามที่บราวเซอรกําหนด เพื่อบันทึกขอมูลการเขาเยี่ยมชม เม่ือผูใชเขาไปเยี่ยมชมเว็บไซตอีกคร้ัง เว็บเซิรฟเวอรจะใชขอมูลคุกกี้ท่ีมีอยูในเคร่ืองของผูใชไดทันที โดยสามารถกําหนดวันหมดอายุได การทํางานของคุกกี้
1.) Cookie ที่สงจาก Server ไปยัง Client จะทํางานโดย มีการสงขอมูลเพิ่มเขาไปใน HTTP header ตัวอยางเชน
Content-type: text/html Set-Cookie:test=pass; path=/; expires Mon, 09-Mar-2008 15:00:11 GMT
5
จากตัวอยางขางตนสามารถอธิบายไดดังน้ี - Cookie ชื่อวา test และคาของ test จะมีคาเทากับ pass นอกจากนี้ - path ของ Cookie ก็คือ / หมายความวา Cookie นี้จะมีผลกับทุกๆ path ภายใต
domain น้ีทั้งหมด - วันหมดอายุของ Cookie เปนวันและเวลาที่ Mon, 09-Mar-2008 15:00:11 GMT
2.) Cookie ที่สงจาก Client ไปยัง Server สวน HTTP header ก็จะเปลี่ยนไปเปน Content-type: text/html Cookie: test=pass
2.3 ไคลเอนต-เซิรฟเวอร โปรแกรมตางๆที่ทํางานบนอินเทอรเน็ตโดยสวนใหญจะมีรูปแบบการทํางานแบบไคลเอนต-
เซิรฟเวอร หรือการที่คอมพิวเตอรเครื่องหนึ่งจะเรียกใชบริการจากอีกเครื่องหนึ่ง 2.2.1 ไคลเอนต (client) เปนโปรแกรมที่ถูกรันอยูท่ีเครื่องของผูใช เพื่อเรียกใชบริการจากเซิรฟเวอร
ไคลเอนตจะเปดชองทางสื่อสารกับเซิรฟเวอรโดยใชไอพีแอดเดส และหมายเลขพอรตของเซิรฟเวอร ซึ่งจะเรียกวิธีแบบน้ีวา active open เม่ือชองทางการสื่อสารไดถูกเปดออกแลว ไคลเอนตสามารถสงคํารองขอและขอรับบริการการเซิรฟเวอรได
2.2.2 เซิรฟเวอร (server) เปนโปรแกรมที่ถูกรันอยูในเครื่องที่จะคอยใหบริการกับเครื่องอื่นๆ เม่ือมีการรันโปรแกรม จะมีการเปดชองทางการสื่อสารเอาไวเพื่อใหไคลเอนตสามารถติดตอเขามาได แตจะยังไมใหบริการใดๆ จนกระทั่งมีคํารองขอมาจากไคลเอนต เรียกวิธีแบบนี้วา passive open
2.2.3 ปจจัยที่มีผลตอการทํางานของเซิรฟเวอร เซิรฟเวอรสามารถใชโพรโทคอลไดทั้ง UDP และ TCP การทํางานของเซิรฟเวอรจะขึ้นอยูกบั
ปจจัย 2 ประการคือ 1.) Connectionless Interactive Server ปกติแลวเซิรฟเวอรท่ีใชโพรโทคอล UDP จะมีการ
ทํางานแบบ interactive หมายความวา ณ เวลาใดๆ เซริฟเวอรจะสามารถประมวลผลคํารองขอจากไคลเอนตไดเพียงอันเดยีว เซิรฟเวอรจะใชพอรตเดียวเทานั้นในการติดตอกับไคลเอนต ถามีแพ็กเกต็จากไคลเอนตสงเขามาเยอะ แพ็กเก็ตเหลานัน้จะตองเขาควิรอกอน
2.) Connection-Oriented Concurrent Server ปกติแลวเซิรฟเวอรท่ีใชโพรโทคอล TCP จะมีการทํางานแบบ Concurrent หมายความวา เซิรฟเวอรจะสามารถใหบริการกับไคลเอนตไดพรอมๆ กันหลายตวัการสื่อสารแบบ Connection-Oriented หมายถึงท้ังไคลเอนตและเซิรฟเวอรจะตองมีการสรางการติดตอกันกอน จากนั้นจึงสงขอมูลกันเปนสตรีมโดยจะสงเปนเซ็กเมนตที่เรียงลําดับกันไป
6
2.4 TCP/IP Reference Model TCP/IP Reference Model เกิดขึ้นมากอน OSI Reference Model (ซึ่งใชเปนมาตรฐานในปจจุบัน)
แตก็ยังนิยมใชกันอยูภาพรวมของ TCP/IP Reference Model คลายคลึงกับ OSI Reference Model ท่ียุบรวม Layer 7, Layer 6 และ Layer 5 ของ OSI Reference Model ใหเปนเลเยอรเดียวกันแลวเรียกวา Application Layer และยุบรวม Layer 2 และ Layer 1 ของ OSI Reference Model ใหเปนเลเยอรเดียวกันเรียกวา Network Access Layer
รูปที ่2.2 TCP/IP Reference Model
TCP/IP Reference Model แบงเปน 4 ชั้น ไดแก 2.4.1 Application Layer
การรวมการสื่อสารในระดับโพรโทคอลประยุกต เชน TELNET, FTP, SMTP, HTTP และ DNS เปนตน และควบคุมเกี่ยวกับรูปแบบของขอมูลท่ีจะถูกนําเสนอและการทํางานระดับเซสชั่นไวดวยกัน การทํางานจะเหมือนกับ OSI Reference Model ใน Layer 5,6,7
2.4.2 Transport Layer ทําหนาที่จัดเตรียมการสงขอมูลระหวางตนทางและปลายทาง เชน การสถาปนาการเชื่อมตอ
การรักษาการเชื่อมตอ และการยกเลิกการเชื่อมตอ นอกจากนี้อาจมีหนาที่เพิ่มเติมคือ การรักษาความถูกตองของขอมูลดวยเชน โพรโทคอล TCP ดังน้ัน Transport Layer นี้เปรียบเทียบไดกับ Layer 4 ของ OSI Reference Model
2.4.3 Internet Layer มีหนาที่เลือกเสนทางที่ดีที่สุด เพื่อใชนําสงกอนขอมูลท่ีเรียกวา แพ็กเก็ต เปรียบเทียบไดกับ
Layer 3 ของ OSI Reference Model
7
2.4.4 Network Access Layer การทํางานในระดับ Network Interface Card และซอฟตแวรดีไวชไดรเวอร มีหนาที่ดูแลการ
นําสงขอมูลระดับเฟรม (Frame) และมีหนาที่ดูแลการนําสงขอมูลระดับบิต (bit) การทํางานจะเหมือนกับ OSI Reference Model ใน Layer 1,2
รูปที ่2.3 เปรียบเทียบ TCP/IP Reference Model กับ OSI Reference Model
2.5 โพรโทคอลที่ใชในการสื่อสาร 2.5.1 Hypertext Transfer Protocol
โพรโทคอลที่เอาไวใหบราวเซอร (Bowser) คุยกับเว็บเซิรฟเวอร (Web server) เพื่อใชในการขอและรับ (รวมทั้งควบคุมการถายโอน) หนาเว็บเพจตางๆ มาแสดง โพรโทคอล HTTP จะวิ่งอยูขางบน TCP อีกทีหนึ่งเพื่อที่จะไดขอมูลมาครบถวน โดยปรกติแลว HTTP จะใชพอรตหมายเลข 80 2.5.1.1 การทํางานของ HTTP
โพรโทคอล HTTP เปนโพรโทคอลที่อยูในชั้นแอพพลิเคชั่นของชุดโพรโทคอล TCP/IP ซึ่งจะเปนตัวกําหนดรูปแบบการรองขอไฟลของไคลเอนตจากเว็บเซิรฟเวอร และรูปแบบการถายโอนไฟลจากเว็บเซิรฟเวอรไปยังไคลเอนต โดยผูใชคลิกที่ลิงคในเว็บเพจ หรือพิมพ URL (Uniform Resource Location) ในชองที่อยู (Address) ของเว็บบราวเซอร หลังจากนั้นเว็บบราวเซอรจะทําการสงการรองขอ (HTTP Request) ผานเครือขายไปยังเว็บเซิรฟเวอร เม่ือเว็บเซิรฟเวอรไดรับการรองขอก็จะทําการคนหาไฟลที่กําหนดใน URL ซึ่งถาพบก็จะตอบกลับ (HTTP Response) พรอมกับไฟล กลับไปยังฝงไคลเอนต เว็บบราวเซอรเม่ือไดรับการตอบก็จะแสดงไฟลนั้นใหผูใชดู โพรโทคอล HTTP น้ันไมไดกําหนดรูปแบบการ
8
แสดงผลใหผูใชดู ซึ่งหนาที่น้ีเปนของเว็บบราวเซอร ดังนั้นเว็บบราวเซอรท่ีตางกันอาจแสดงเว็บเพจไมเหมือนกันก็ได รูปแบบการสื่อสารของ HTTP เปนรูปแบบที่งายมาก เคร่ืองลูกขายจะสถาปนาการเชื่อมตอกับเครื่องใหบริการ (remote server) จากนั้นก็สงคํารองขอ (Requests) ไปใหเครื่องใหบริการ เคร่ืองใหบริการเม่ือไดรับการรองขอก็จะประมวลผลและสงการตอบกลับ (Response) กลับไปใหเครื่องลูกขาย แลวปดการเชื่อมตอ
รูปที่ 2.4 รูปแบบการทํางานของ Hypertext Transfer Protocol (HTTP)
2.5.1.2 รูปแบบเฟรมของ HTTP เนื่องจาก HTTP เปนโพรโทคอลที่ทํางานบน TCP ดังนั้น รูปแบบเฟรมของ HTTP
จึงถูกจัดเปนสวนของขอมูลของเฟรม TCP ดังรูป เฮดเดอรของ HTTP จะอยูในรูปของขอความ (text) ขอมูลของ HTTP โดยปกติจะเปนขอความ (text) ดวยเชนกัน แตก็เปนรหัสฐานสอง (binary) ได เชนกรณีท่ีเปนรูปภาพ
รูปที่ 2.5 รูปแบบเฟรมของ Hypertext Transfer Protocol (HTTP)
2.6 การพิสูจนตวัจริง [9] สวนประกอบพื้นฐานของการพิสูจนตัวจริงแบงไดเปน 3 สวน คือ
• การพิสูจนตัวจริง (Authentication) เปนกระบวนการยืนยันตัวตน วาเปนบุคคลที่กลาวอางหรือไม โดยกอนท่ีจะมีการเขาไปในระบบไดตองมีการยืนยันตัวเองกอน
• การกําหนดสิทธิ์ (Authorization) คือขอจํากัดของบุคคลที่เขามาในระบบ วาบุคคลคนนั้นสามารถทําอะไรกับระบบไดบาง
9
• การบันทึกการใชงาน (Accountability) คือการบันทึกรายละเอียดของการใชระบบ เพื่อผูตรวจสอบจะไดตรวจสอบไดวา ผูใชบริการไดเปลี่ยนแปลงหรือแกไขขอมูลในสวนใดบาง
2.6.1 กลไกที่ใชในการพิสูจนตัวจริง สามารถแบงออกไดดังนี้ 1) Something you know คือ สิ่งที่จําได สิ่งท่ีรู เชน ช่ือผูใช รหัสผาน 2) Something you have คือ สิ่งที่มีอยูกับตัวเชน สมารทการด 3) Something you are คือ สิ่งท่ีเปน เชน ลายนิ้วมือ เสียง มานตา สีของตา
2.6.2 ประเภทของการพิสูจนตัวจริง 2.6.2.1 ไมมีการพิสูจนตัวจริง (No Authentication)
ตามหลักแลวการพิสูจนตัวจริงไมมีความจําเปน ถาเงื่อนไขตอไปนี้เปนจริง • ขอมูลเหลานั้นเปนขอมูลสาธารณะ ที่อนุญาตใหทุกคนเขาใชบริการและ
เปลี่ยนแปลงได • ขอมูลขาวสารหรือแหลงของขอมูลนั้นๆ สามารถเขาถึงไดเฉพาะบุคคลที่
ไดรับอนุญาตเทาน้ัน 2.6.2.2 การพิสูจนตัวจริงโดยใชรหัสผาน (Authentication by Passwords)
รหัสผานจะจํากัดใหเฉพาะผูใชที่มีสิทธิเทาน้ันที่ทราบ แตปจจุบันเทคโนโยลีมีความกาวหนาไปมาก หากมีการตั้งรหัสผานที่งายเกินไปก็สามารถถูกปลอมแปลงขอมูลจากผูที่ไมหวังดีได ทําใหการใชแครหัสผานไมมีประสิทธิภาพมากพอที่จะรักษาความม่ันคงปลอดภัยในการเขาใชงานระบบ
2.6.2.3 การพิสูจนตัวจริงโดยใช PIN (Authentication by PIN) PIN (Personal Identification Number) เปนรหัสลับสวนบุคคลที่ใชเปนรหัสผานเพื่อ
เขาสูระบบ ซ่ึง PIN ใชอยางแพรหลายโดยเฉพาะการทําธุรกรรมทางดานธนาคาร เชนบัตร ATM และเครดิตการดตางๆ การใช PIN ทําใหมีความปลอดภัยในการสื่อสารขามระบบเครือขายสาธารณะมากขึ้น เนื่องจาก PIN จะถูกเขารหัสเอาไวและจําเปนตองมีเครื่องมือท่ีสามารถถอดรหัสนี้ออกมาได เชนฮารดแวรที่ออกแบบมาโดยเฉพาะ และถูกติดตั้งไวในเครื่องของผูรับและผูสงเทานั้น
2.6.2.3 การพิสูจนตัวจริงโดยใช Password Authenticators หรือ Tokens (Authentication by Password Authenticators or Tokens)
Authenticator หรือ Token เปนฮารดแวรพิเศษท่ีใชสราง "รหัสผานซึ่งเปลี่ยนแปลงได (dynamic password)" ในขณะที่กําลังเขาสูระบบเครือขาย มี 2 วิธี คือ ซิงโครนัส (Synchronous) และอะซิงโครนัส (Asynchronous)
10
การพิสูจนตัวจริงแบบซิงโครนัสทั้งไคลเอนตและเซิรฟเวอรจะมีรหัสผานเก็บเอาไว แตแบบอะซิงโครนัส ไคลเอนตจะตองติดตอเซิรฟเวอรกอน กอนจะไดรับรหัสผานจริง ทําใหการพิสูจนตัวตนแบบอะซิงโครนัสมีขั้นตอนที่ซับซอนกวาแบบซิงโครนัส
2.6.2.5 การพิสูจนตัวจริงโดยใชลักษณะเฉพาะทางชีวภาพของแตละบุคคล (Authentication by Biometric traits)
ลักษณะทางชีวภาพของแตละบุคคลเปนลักษณะเฉพาะและลอกเลียนแบบกันไมได การนํามาใชในการพิสูจนตัวจริงจะเพิ่มความนาเชื่อถือไดมากขึ้นเชนการใชลายนิ้วมือ เสียง มานตา เปนตน จึงมีการนําเทคโนโลยีนี้มาชวยในการพิสูจนตัวจริง เพื่อเพิ่มความปลอดภัยกอนเขาสูระบบ เชนการใชควบคูกับการใชรหัสผาน
2.6.2.6 การพิสูจนตัวจริงโดยใชรหัสผานที่ใชเพียงครั้งเดียว (One-Time Password: OTP) One-Time Password ถูกพัฒนาขึ้นเพื่อหลีกเลี่ยงปญหาที่เกิดจากการใชรหัสผาน
เพียงตัวเดียวซ้ําๆ กัน OTP จะทําใหระบบมีความปลอดภัยมากขึ้น เพราะรหัสผานจะถูกเปลี่ยนทุกครั้งกอนที่ผูใชจะเขาสูระบบ
การทํางานของ OTP คือเม่ือผูใชตองการจะเขาใชระบบ ผูใชจะทําการรองขอไปยังเซิรฟเวอร จากนั้นเซิรฟเวอรจะสง challenge string กลับมาใหผูใช จากน้ันผูใชจะนํา challenge string และรหัสลับท่ีมีอยูกับตัวของผูใชนําไปเขาแฮชฟงกชันแลวออกมาเปนคาตัวหนึ่ง ผูใชก็จะสงคานั้นกลับไปยังเซิรฟเวอร เซิรฟเวอรจะทําการตรวจสอบคาที่ผูใชสงมาเปรียบเทียบกับคาที่เซิรฟเวอรคํานวณได โดยเซิรฟเวอรก็ใชวิธีการคํานวณเดียวกันกับผูใช เม่ือไดคาที่ตรงกันเซิรฟเวอรก็จะยอมรับใหผูใชเขาสูระบบ
2.6.2.7 การพิสูจนตัวตนโดยการเขารหัสโดยใชกุญแจสาธารณะ (Public-key cryptography) เปนการรักษาความปลอดภัยของขอมูลระหวางการสงขามเครือขายวิธีหน่ึงท่ีนิยมใช
กันอยูในปจจุบัน การเขารหัสแบบคูรหัสกุญแจนี้จะมีความปลอดภัยมากกวาการเขารหัสขอมูลแบบธรรมดา แตก็ไมไดหมายความวาการเขารหัสแบบคูรหัสกุญแจนี้จะเปนวิธีท่ีเหมาะสมที่สุดของวิธีการเขารหัส ทั้งนี้ขึ้นอยูกับประเภทงานของแตละองคกรหรือบุคคล
การเขารหัสโดยใชกุญแจสาธารณะ ประกอบไปดวยกุญแจ 2 ชนิด ท่ีตองใชคูกันเสมอในการเขารหัสและถอดรหัสคือ
• กุญแจสาธารณะ (public key) เปนกุญแจที่ผูสรางจะสงออกไปใหผูใชอื่นๆ ทราบหรือเปดเผยได
• กุญแจสวนตัว (private key) เปนกุญแจท่ีผูสรางจะเก็บไว โดยไมเปดเผยใหคนอื่นรู
กระบวนการของการเขารหัสแบบคูรหัสกุญแจ มีดังนี้
11
1.) ผูใชแตละคนจะสรางคูรหัสกุญแจของตัวเองขึ้นมา เพื่อใชสําหรับการเขารหัสและการถอดรหัส
2.) กุญแจสาธารณะจะถูกสงออกไปยังผูใชคนอื่นๆ แตกุญแจสวนตัวจะถูกเก็บที่ตนเอง
3.) เม่ือจะสงขอมูลออกไปหาผูใชคนใด ขอมูลท่ีสงจะถูกเขารหัสดวยกุญแจสาธารณะ กอนถูกสงออกไป
4.) เม่ือผูรับไดรับขอความแลวจะใชกุญแจสวนตัวซึ่งเปนคูรหัสกันถอดรหัสออกมา การประยุกตใชในการเขารหัสขอมูล (Encryption) เปนการนําขอมูลท่ีจะสงไปยังผู
รับมาเขารหัสดวยกุญแจสาธารณะของผูรบั และเม่ือผูรบัไดรับขอความนั้นแลวจะถอดรหัสออกมาดวยกุญแจสวนตวั ซึ่งจะมีเพียงผูรับเทานั้นที่จะสามารถถอดรหัสออกมาได
รูปที่ 2.6 ระบบของการเขารหัสแบบใชคูรหัสกุญแจ
การประยุกตใชในการพิสูจนตัวตน (Authentication) เปนการนําขอมูลที่ผูสงตองการสงมาเขารหัสดวยกุญแจสวนตัว แลวนําขอมูลนั้นสงไปยังผูรับ ซ่ึงผูรับจะใชกุญแจสาธารณะที่เปนคูรหัสกันถอดรหัสออกมา ผูรับก็สามารถรูไดวาขอความนั้นถูกสงมาจากผูสงคนนั้นจริง ถาสามารถถอดรหัสขอมูลไดอยางถูกตอง
2.6.2.8 การพิสูจนตัวจริงโดยการใชลายเซ็นดิจิทัล (Digital Signature) เปนการนําหลักการของการทํางานของระบบการเขารหัสแบบใชคูรหัสกุญแจ เพื่อ
การพิสูจนตัวจริงมาประยุกตใช ลายเซ็นดิจิทัลนิยมนําไปใชในระบบรักษาความปลอดภัยในการชําระเงินผานระบบอินเทอรเน็ต ซึ่งในปจจุบันนี้การทําธุรกรรมการเงินอิเลกทรอนิกสไดรับความนิยมเปนอยางมาก
ระบบของลายเซ็นดิจิทัลสามารถแบงเปนขั้นตอนไดดังน้ี
12
1.) เม่ือผูใชตองการจะสงขอมูลไปยังผูรับ ขอมูลนั้นจะถูกนําไปเขาฟงกชั่น ท่ีเรียกวา "แฮชฟงกชัน" ไดแมสเสจไดเจสต (Message Digest) ออกมา
รูปที่ 2.7 การสงขอมูลเขาไปใน Hash function
2.) ใชกุญแจสวนตัวเขารหัสขอมูล หมายถึงผูสงไดลงลายเซ็นดิจิทัล ยินยอมท่ีจะใหผูรับ สามารถทําการตรวจสอบดวยกุญแจสาธารณะของผูสงเพื่อพิสูจนตัวจริงของผูสงได
รูปที่ 2.8 การเขารหัสแมสเสจไดเจสตดวยกุญแจสวนตวัเพื่อเปนการลงลายเซ็น
3.) การนําแมสเสจไดเจสตมาเปรียบเทียบกัน ถาเหมือนกันก็แสดงวาขอความนั้น ยืนยันไดวาถูกสงมาจากผูสงคนนั้นจริง
รูปที่ 2.9 ขั้นตอนการเปรียบเทียบความถูกตอง
2.6.2.9 การพสิูจนตัวจริงโดยใชการถาม - ตอบ (zero-knowledge proofs) ในปจจุบันน้ีไมมีความมั่นคงปลอดภัยเพียงพอตอการเขาใชระบบ เน่ืองจาก
เทคโนโลยีมีความเจริญกาวหนาไปมาก ทําใหชื่อผูใชและรหัสผาน อาจจะถูกลักลอบดักขอมูลระหวางการสื่อสารกันได
13
การที่จะทําใหระบบมั่นใจไดวา ผูที่เขาไปในระบบผูนั้นเปนผูที่ไดรับอนุญาตจริงก็คือ ระบบจะใชการถาม - ตอบ ซึ่งคําถามและคําตอบเหลาน้ี ผูใชจะเปนคนสรางคําถามและคําตอบขึ้นมาเอง จากน้ันจะสงใหกับเซิรฟเวอร ซึ่งคําถาม - คําตอบที่ผูใชสรางขึ้นมา ผูใชเทานั้นจะเปนคนที่ทราบคําตอบของแตละคําถามที่ถูกสราง เม่ือผูใชเขาใชงานระบบ ระบบจะสุมคําถามเหลาน้ันขึ้นมา ดังน้ันผูใชจะไดรับการยินยอมใหเขาใชระบบก็ตอเม่ือคําตอบที่ผูใชตอบน้ันสัมพันธกับคําตอบที่มีอยูในเซิรฟเวอร วิธีการพิสูจนตัวจริงวิธีน้ี เปนวิธีการที่ตองใชความรูขั้นสูงในการนํามาใช เนื่องจากระบบจะใชการเรียนรูจากขอมูลท่ีไดรับ อาจจะเรียกระบบนี้ไดวาเปนการนําความรูดาน AI (Artificial Intelligence) มาใชนั่นเอง
2.7 ระบบจัดการผานเวบ็ ระบบจัดการผานเว็บชวยใหการเฝาดูการทํางานของบริการตางๆ รวมถึงการแสดงผลลัพธรวมอยูที่
เดียวกันและอยูในรูปแบบ GUI (Graphic User Interface) ซึ่งใชงานไดงายแตตองอาศัยการทํางานรวมกันท้ัง HTML, ASP, Visual Foxpro และโพรโทคอลที่ใชในการจัดการอยาง HTTP ทําการเชื่อมตอกันระหวางไคลเอนตและโฮสตเครื่องอื่น
HTML (HyperText Markup Language) เปนภาษาที่ใชสรางหนาเว็บบนเว็บเซิรฟเวอร มีความสามารถในการเชื่อมโยงขอมูลระหวางเครื่องคอมพิวเตอรในเครือขาย และระหวางเครือขายใน Internet โดยอางอิงจาก URL (Uniform Resource Locators) ดวยโพรโทคอล HTTP (HyperText Transfer Protocol)
ตัวอยางการเขียนภาษา HTML <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html>
<head> <title> . . . </title>
</head> <body>
. . . </body>
</html>
<html> . . . </html> บอกจุดเร่ิมตนและจุดสิ้นสุดของโปรแกรม <head> . . . </head> เปนสวนหัวของหนาเว็บ สําหรับเขียน function, stylesheet ตางๆ
14
<body> . . . </body> เปนสวนของเนื้อความ
การสรางตาราง <table>
<caption> ตวัอยางการสรางตาราง </caption> <tr>
<th> หัวเรือ่งคอลัมน1 </th> <th> หัวเรือ่งคอลัมน2 </th>
</tr> <tr>
<td> ขอมูลคอลัมน1 </td> <td> ขอมูลคอลัมน2 </td>
</tr> </table>
<table> . . . </table> เปนสรางตาราง <caption> . . . </caption> กําหนดขอความอธิบายตาราง <tr> . . . </tr> กําหนดแถวของตาราง <th> . . . </th> กําหนดหัวเรือ่งของคอลัมน <td> . . . </td> กําหนดขอมูลในคอลัมน
ASP (Active Server Page) เปนภาษาที่ทํางานทางฝงเซิรฟเวอร และสามารถใชรวมกับฐานขอมูลตางๆได การทํางานของ ASP จะประมวลผลบนเซิรฟเวอรแลวจึงสงผลลัพธไปใหไคลเอนต โดยไคลเอนตจะไดรับเพียงผลลัพธแตไมเห็นโคดที่ใชประมวลผล
ตัวอยางการเขียนภาษา ASP <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html>
<head> <title>Example</title>
</head>
15
<body> WelCome <%=date%>
</body> </html>
การใชงาน Cookie, Session [10] ทั้ง cookie และ session ใชเก็บขอมูลเพื่อนําไปใชในเว็บหนาอื่นๆไดไมถูกจํากัดอยูเพียง
หนาเดียว แตมีขอแตกตางกัน คือ cookie จะเปนตัวแปรที่เซิรฟเวอรสงไปเก็บอยูทางฝงไคลเอนต สวน session ถูกเก็บอยูทางฝงเซิรฟเวอร
Cookie เปนตัวแปรที่ถูกเก็บอยูทางฝงไคลเอนต ทําใหเม่ือเรียกใชตองมีการสงขอมูลจากไคลเอนตไปยังเซิรฟเวอร และสามารถเขาไปดูไดจากไคลเอนต แตสามารถกําหนดอายุได โดยแมจะปดเว็บบราวเซอรแลวเปดใหม ถายังไมหมดอายุ cookie จะยังอยูเหมือนเดิม
การสรางตัวแปร Cookies <% Response.Cookies("CkName") = “Test Cookie” Response.Cookies("CkName").Expires = Now + 7 ‘exprie in 7 day’ %>
การอานตวัแปร Cookies <%
Request.Cookies("CkName") %>
การลบตวัแปร Cookies <%
Response.Cookies("CkName ").Expires = Now %>
16
Session เปนตัวแปรที่ถูกเก็บอยูทางฝงเซิรฟเวอร จึงมีขอดีกวา cookie ในเรื่องความปลอดภัย ผูที่
เขาใชงานเว็บจะไดรับ session id ซึ่งไมซ้ํากัน เม่ือมีการประกาศตัวแปร session แลว จะสามารถเรียกใชงานไดในทุกสวนของโปรแกรม และตัวแปร session จะหายไปเมื่อมีการปดเว็บบราวเซอร, ปดเคร่ือง Client หรือหมดอายุ
การสรางตัวแปร Session <% Session(“Ssname”) = “Test Session” %>
การอานตัวแปร Session <% Response.Write “Session Name” = & Session(“SsName”) %>
การลบตวัแปร Session <%
Session.Timeout = 10 %>
การรับสงคาแบบ Get [10] เปนการสงขอมูลจากฟอรมผานทาง URL ของเว็บไซตทีต่ามดวยเครื่องหมาย เชน
?parameter = value วธิีนีไ้มปลอดภัย เพราะจะสามารถมองเห็นขอมูลที่สงไปใหสคริปต บน URL ซ่ึงจะมองเห็นไดในชอง Address Bar ของบราวเซอร ซึ่งเหมะสําหรับขอมูลท่ีปริมาณนอยและไมเปนความลบั
การสงคาแบบ GET สามารถสรางได 2 รูปแบบคอื - การสรางดวย <form>...</form>
<form action="testget.asp" method="get" name="form1"> Name:
17
<input name="txtName" type="text"> <input name="Submit" type="submit" value="Submit">
</form> - การสรางจาก Link URL
<a href="testget.asp?txtName=Kankamon">Go TestGet</a>
การรับคาแบบ GET <%
ctxtusr = Request.QueryString("txtName ") %>
การรับสงคาแบบ Post [10] เปนการสงขอมูลจากฟอรมไปยังสคริปตโดยตรง โดยไมผาน URL ทําใหไมสามารถมองเห็นขอมูลดังกลาวไดดวยวิธีปกติ จึงมีความปลอดภัยในการสงขอมูลมากกวาการสงแบบ Get ซึ่งเหมาะสําหรับขอมูลขนาดใหญ หรือขอมูลท่ีเปนความลับ เชน รหัสผาน เปนตน
การสงคาแบบ Post <form action="testpost.asp" method="post" name="form1">
Name: <input name="txtName" type="text"> <input name="Submit" type="submit" value="Submit">
</form>
การรับคาแบบ Post <%
ctxtusr = Request.Form("txtName ") %>
18
ในสวนของขอมูลที่ดาตาเบสเซิรฟเวอรไดมีการนําแฮชฟงกชั่นมาใชเพื่อรักษาลบัของขอมูล (Confidentiality)
ตัวอยางการใชฟงกชั่น Hash SET LIBRARY TO \\WEBSERVER\Webapp\BINS\vfpencryption71.fll cMd5 = STRCONV(hash(“password”, 5), 15) SET LIBRARY TO
ผลลพัธของตวัแปร cMD5
5F4DCC3B5AA765D61D8327DEB882CF99
2.8 ปญหาจากการพิสูจนตัวจริงผานเวบ็ ปจจุบันการใชงานเว็บไซตตางๆ จําเปนตองมีระบบการพิสูจนตัวจริง เพื่อรักษาความปลอดภัยในการเขาใชงานของผูใชงาน โดยผูใชจะตองมีการกรอกขอมูลชื่อผูใชงานและรหัสผานทุกครั้งกอนที่จะมีการเขาใชงานเว็บไซดน้ันๆ ทําใหเกิดความยุงยากในการเขาใชงานเว็บไซด ดังนั้นจึงพัฒนาระบบ A Password-based Authentication System for Website Access เพื่อลดความยุงยากในการเขาใชงานเว็บไซตตางๆ ที่มีการเปดใชงานเปนประจํา และตองกรอกขอมูลชื่อผูใชงานและรหัสผานทุกครั้งท่ีมีการเขาใช
19
บทที่ 3 ข้ันตอน และวิธกีารพัฒนาระบบ
3.1 กลาวนาํ ในบทที ่3 จะกลาวถึงขั้นตอนการออกแบบ ตลอดจนขั้นตอนการพฒันาระบบงาน เพือ่ใหสามารถ
บรรลุผลตามวัตถุประสงคของโครงงานที่ตั้งไว จําเปนตองจําลองระบบเครือขายขึ้นมาเพือ่ใชในการทดสอบ โดยหัวขอหลกั ๆ ที่จํา เปนตองดําเนินการประกอบดวย
1. ศึกษา/คนควาขอมูลและทฤษฎีท่ีเกี่ยวของกับการออกแบบและพัฒนาระบบงาน เชน ความรูพื้นฐานเกี่ยวกับระบบเครอืขาย, ASP, Visual Foxpro เปนตน
2. ติดตั้งระบบปฏิบัติการ Windows Server 2003 สําหรับเปน Web Server 3. ออกแบบขั้นตอนการทํางานของระบบ 4. ออกแบบฐานขอมูลท่ีใชในระบบ 5. ออกแบบหนาเว็บไซต
โครงสรางการทํางานของระบบทีน่าํเสนอ
Database
Web ServerSwitch
ClientRequest
Response
Client
รูปที่ 3.1 โครงสรางการทํางานของระบบที่นําเสนอ
20
ระบบถูกพัฒนาขึ้นเพื่อลดความยุงยากในการเขาใชงานเว็บไซดตางๆ ทีต่องมีกรอกขอมูลเพือ่เขาใชงาน โดยจะมีการล็อกอินเขาใชเวบ็ไซดตางๆ เพียงครัง้เดียว ระบบจะจัดเก็บขอมูลการใชงานของเวบ็ไซดนั้นๆ ลงฐานขอมูล เม่ือมีการเขาใชงานเว็บไซดนั้นอีก ระบบจะทําการล็อกอินใหอตัโนมัติ
ขั้นตอนการทาํงานของระบบ สามารถอธบิายไดดังนี้ 1. ผูใชงานทําการล็อกอินเพือ่เขาใชงานระบบ เพื่อตรวจสอบวาผูใชงานมีสิทธิ์เขาใชงานระบบ
หรือไม หากผูใชงานไมมีสิทธิ์เขาใชงาน จะตองลงทะเบยีนกอนเขาใชงานระบบ 2. ผูใชงานจะตองลงทะเบยีนเขาใชงานเว็บไซดท่ีตองการกับระบบ เพือ่เก็บขอมูลช่ือผูใชงานแล
รหัสผานของเว็บไซดนั้นลงฐานขอมูล เม่ือผูใชงานกรอกที่อยูเว็บไซดท่ีตองการเขาใชงาน หากเปนเว็บไซดท่ีผูใชงานลงทะเบียนเขาใชงานเว็บไซดกบัระบบแลว ระบบจะทําการล็อกอินใหอัตโนมัติ แตหากเว็บไซดน้ันยงัไมมีขอมูลในฐานขอมูล ผูใชงานจะตองลอ็กอินเขาใชงานเว็บไซดนัน้เอง
3. เม่ือผูใชงานออกจากระบบ ระบบจะลบขอมูล Cookies ในเครื่อง เพือ่ลดความเสี่ยงจากผูไมหวังดีเขามาใชงานระบบ
3.2 ข้ันตอนการเตรียมการ 3.2.1 ติดตั้งระบบปฏิบัติการ Windows Server 2003
คุณสมบัติของเครื่องคอมพวิเตอรอยางนอยดังนี ้- หนวยประมวลผล (CPU) Pentium 4 ความเร็ว 2.8 GHz ขึ้นไป - หนวยความจาํหลัก (RAM) ไมนอยกวา 512 MB - ฮารดดิสก ไมนอยกวา 10 GB - LAN Card 10/100 Mbps
3.2.2 แนวคดิในการพัฒนาระบบ 3.2.2.1 ข้ันตอนการเริม่ใชงานระบบ
เม่ือเปดใชงานระบบ จะแสดงหนาเว็บสําหรับล็อกอิน ซึ่งผูใชงานจะตองกรอกชือ่ผูใชงาน และรหัสผาน เพือ่ตรวจสอบสทิธิ์การเขาใชงานระบบ หากผูใชงานไมมีสิทธิ์เขาใชงานระบบจะแสดงขอความ “Access Denied”
21
Call Web
Show Login Page
Receive Username, Password
Username and Password match?
Show Page Login Success
SysConn
UserLogNO
YES
WebConn
Show Message“Access Denied”
รูปที่ 3.2 ขั้นตอนการทํางานของโปรแกรม
22
3.2.2.2 ขั้นตอนการลงทะเบียนผูใชงาน ในการใชงานระบบครั้งแรกผูใชจะตองมีการลงทะเบียนผูใชงาน โดยจะตองกรอก
ขอมูลชื่อ, นามสกุล, อีเมล, ชือ่เขาใชระบบ, รหัสผาน เพือ่เพิ่มขอมูลผูใชงานเขาระบบ หากกรอกขอมูลไมครบจะแสดงขอความ “กรุณากรอกขอมูลใหครบ”
Call Web
Show Register Page
Receive Data
Blank Data?
Show Login PageUserLog
NO
YES
Show Message Box“กรุณากรอกขอมลูใหครบ”
รูปที่ 3.3 ขั้นตอนการลงทะเบียนผูใชงาน
23
3.2.2.3 ขั้นตอนการเปลี่ยนรหัสผานใหม การเปลี่ยนรหัสผานใหม จะตองกรอกรหสัผานใหม และยืนยันรหัสผาน เพือ่ปรับปรุง
ขอมูลรหัสผานของผูใชในระบบ หากกรอกขอมูลไมครบจะแสดงขอความ “กรุณากรอกขอมูลใหครบ”
Call Web
Show Change Password Page
Receive Data
Blank Data?
Show Login PageUserLog
NO
YES
Show Message Box“กรุณากรอกขอมลูใหครบ”
รูปที่ 3.4 ขั้นตอนการเปลี่ยนรหัสผานใหม
24
3.2.2.4 ขั้นตอนการแกไขขอมูลสวนตัว การแกไขขอมูลสวนตัว กรอกขอมูลชือ่/นามสกุล/อีเมลที่ตองการแกไข เพื่อปรบัปรุง
ขอมูลผูใชในระบบ เม่ือกรอกขอมูลท่ีตองการแกไขเรียบรอยแลวจะแสดงขอความ “ปรับปรุงขอมูลเรียบรอยแลว”
Call Web
Show Edit Page
Receive Data
Show Message Box“ปรบัปรงุขอมลูเรยีบรอยแลว”UserLog
รูปที่ 3.5 ขั้นตอนการแกไขขอมูลสวนตวั
25
3.2.2.5 ขั้นตอนการลงทะเบียน Website การใชงานระบบผูใชจะตองมีการลงทะเบียน Website โดยจะตองกรอก Url, ชือ่
ผูใชงาน, รหัสผาน เพือ่เก็บขอมูล Website ที่ผูใชงานตองการใหระบบเขาใหอตัโนมัติ หากกรอกขอมูลไมครบจะแสดงขอความ “กรุณากรอกขอมูลใหครบ”
Call Web
Show Register Web Page
Receive Data
Blank Data?
Webconn
NO
YES
Show Message Box“กรุณากรอกขอมูลใหครบ”
Show Data Register Web Page
รูปที่ 3.6 ขั้นตอนการลงทะเบียน Website
26
3.2.2.6 ขั้นตอนการแกไขขอมูลทะเบียน Website การแกไขขอมูลทะเบียน Website กรอกขอมูลรหัสผานที่ตองการแกไข และยืนยัน
รหัสผานเพือ่ปรับปรุงขอมูลผูใชในระบบ เม่ือกรอกขอมูลที่ตองการแกไขเรียบรอยแลวจะแสดงขอความ “ปรับปรุงขอมูลเรียบรอยแลว”
Call Web
Show Edit Data Register Web Page
Receive Data
Show Message Box“ปรับปรุงขอมูลเรียบรอยแลว”Webconn
รูปที่ 3.7 ขั้นตอนการแกไขขอมูลทะเบยีน Website
27
3.2.3 ออกแบบฐานขอมูลที่ใชในระบบ ในระบบงานมีการเรียกใชฐานขอมูลชื่อ Userlog, SysConn และWebConn สามารถอธิบาย
ไดดังนี้ 1) ตาราง Userlog เก็บขอมูลผูใชระบบไดแก รหัส, ชื่อ, นามสกุล, อีเมลล, ชื่อเขาใชระบบ
และรหัสผาน ท่ีใชในการเขาใชระบบงาน ตารางที ่3.1 ตาราง Userlog
Field Type Attribute Key ID Autonumber รหัส Foreign F_NAME Character(32) ชื่อ L_AME Character(32) นามสกุล Email Character(32) อีเมล Username Character(10) ชื่อเขาใชระบบ Primary Password Character(32) รหัสผาน
2) ตาราง SysConn เก็บขอมูลการเขาใชงานระบบ ไดแก ชื่อเขาใชระบบ, เวลาเขาใชระบบ,
เวลาออกจากระบบ ของผูใชท่ีทําการลงทะเบียนเขาใชระบบงานโดยใสชือ่เขาใชระบบและรหสัผาน ตารางที ่3.2 ตาราง SysConn
Field Type Attribute Key Username Character(10) ชื่อเขาใชระบบ Primary Logindt Datetime เวลาเขาใชระบบ Logoutdt Datetime เวลาออกจากระบบ
3) ตาราง WebConn เก็บขอมูลการเขา Website ตางๆ ไดแก ชือ่เขาใชระบบ, ทีอ่ยูเว็บ, ชือ่
ผูใช, รหัสผาน ตารางที ่3.3 ตาราง WebConn
Field Type Attribute Key Username Character(10) ชื่อเขาใชระบบ Primary Url Character(32) ที่อยูเว็บ Login_Name Character(32) ชื่อผูใช Password Character(32) รหัสผาน
28
3.2.4 ออกแบบหนาเว็บไซต แสดงดังรูปตอไปนี้
รูปที่ 3.8 รูปแบบการเขาใชงาน A Password-based Authentication System for Website Access
29
รูปที่ 3.9 รูปแบบการลงทะเบียน
รูปที่ 3.10 รูปแบบการเขาใชงาน Website
30
รูปที่ 3.11 รูปแบบการเปลีย่นรหัสผานใหม
รูปที่ 3.12 รูปแบบการแกไขขอมูล
31
รูปที่ 3.13 รูปแบบการลงทะเบียนเขาใชงาน Website
รูปที่ 3.14 รูปแบบแสดงขอมูลทะเบียน Website
32
บทที่ 4 การพัฒนาระบบ A Password-based Authentication System for Website Access
4.1 ข้ันตอนทดสอบใชงานระบบ 1. ไคลเอนตเรียก Webserver (http://192.168.94.128)
รูปที่ 4.1 แสดงหนา Login เขาใชงานระบบ
33
2. หากไคลเอนตไมมีสิทธิ์เขาใชงานระบบหรือเขาใชงานระบบครั้งแรก ไคลเอนตจะตองการลงทะเบียนกอน Webserver จะสงหนา Regis.asp ใหแลวรอรับชือ่, นามสกุล, อีเมล, ชือ่ผูใชเขาใชระบบ, รหัสผานและยืนยันรหัสผาน
รูปที่ 4.2 แสดงหนาลงทะเบยีนผูใชงาน (Regis.asp)
34
3. เม่ือ Webserver ไดรับชื่อ, นามสกุล, อีเมล, ชือ่ผูใชเขาใชระบบ, รหสัผานและยืนยันรหัสผานแลว จะสงไปยัง webapp.dll เพื่อสงชื่อ, นามสกุล, อเีมล, ชือ่ผูใชเขาใชระบบ และรหัสผานไปบันทึกลงฐานขอมูล userlog.dbf
รูปที่ 4.3 กรอกขอมูลทะเบยีนผูใชงาน (Regis.asp)
35
รูปที ่4.4 สวนประกอบของไฟล Regis.asp
4. Webserver จะสงหนา Login.asp ใหแลวรอรับชือ่ผูใชงานและรหัสผาน
รูปที่ 4.5 แสดงหนา Login (Login.asp)
36
5. เม่ือ Webserver ไดรับชื่อผูใชงานและรหัสผานแลว จะสงไปยัง webapp.dll เพือ่สงชื่อผูใชงานและรหัสผานไปตรวจสอบทีฐ่านขอมูล userlog.dbf และบันทึกการเขาใชงานลงฐานขอมูล sysconn.dbf
รูปที่ 4.6 กรอกขอมูล Login (Login.asp)
รูปที ่4.7 สวนประกอบของไฟล Login.asp
37
6. เม่ือลอ็กอินสําเร็จ Webserver จะสงหนา Home.asp ไปใหไคลเอนต
รูปที่ 4.8 แสดงหนา Home Page (Home.asp)
7. เม่ือไคลเอนตตองการเปลี่ยนรหัสผาน Webserver จะสงหนา Chnpwd.asp ใหแลวรอรับรหัสผานใหมและยืนยันรหสัผานใหม
รูปที่ 4.9 แสดงหนาเปลี่ยนรหัสผานใหม (Chnpwd.asp)
38
8. เม่ือ Webserver ไดรับรหัสผานใหมและการยืนยันรหัสผานใหมแลว จะสงไปยัง webapp.dll เพือ่สงรหัสผานใหมไปแกไขทีฐ่านขอมูล userlog.dbf
รูปที่ 4.10 กรอกขอมูลรหัสผานใหมและยืนยันรหัสผาน (Chnpwd.asp)
รูปที ่4.11 สวนประกอบของไฟล Chnpwd.asp
39
9. เม่ือไคลเอนตตองการแกไขขอมูลสวนตัว Webserver จะสงหนา Edit.asp ใหแลวรอรับชือ่,
นามสกุล หรอือีเมลที่ตองการแกไข
รูปที่ 4.12 แสดงหนาแกไขขอมูลสวนตัว (Edit.asp)
40
10. เม่ือ Webserver ไดรับชื่อ, นามสกุล หรืออเีมลท่ีตองการแกไขแลว จะสงไปยัง webapp.dll เพือ่สงชื่อ, นามสกุล หรอือเีมลใหมไปแกไขที่ฐานขอมูล userlog.dbf
รูปที่ 4.13 กรอกขอมูลสวนตัวที่ตองการแกไข (Edit.asp)
รูปที ่4.14 สวนประกอบของไฟล Edit.asp
41
11. เม่ือไคลเอนตตองการลงทะเบียน Website ที่ตองการใหระบบเขาใชอัตโนมัต ิWebserver จะสงหนา RegisWeb.asp ใหแลวรอรับ Url, ชือ่ผูใชงาน, รหัสผาน และยืนยันรหัสผานของ Website นั้น
รูปที่ 4.15 แสดงหนาลงทะเบียน Website (RegisWeb.asp)
42
12. เม่ือ Webserver ไดรับ Url, ชื่อผูใชงาน, รหัสผาน และยืนยันรหัสผานของ Website นั้นแลว จะสงไปยัง webapp.dll เพือ่สง Url, ช่ือผูใชงาน และรหัสผานของ Website นั้นไปบนัทึกลงฐานขอมูล webconn.dbf
รูปที่ 4.16 กรอกขอมูลทะเบียน Website (RegisWeb.asp)
รูปที่ 4.17 สวนประกอบของไฟล RegisWeb.asp
43
13. เม่ือไคลเอนตตองดูขอมูลทะเบียน Website ท่ีเคยลงทะเบียนไวกับระบบ Webserver จะสงหนา
DataRegisWeb.asp
รูปที่ 4.18 แสดงหนาขอมูลทะเบียน Website (DataRegisWeb.asp)
รูปที ่4.19 สวนประกอบของไฟล DataRegisWeb.asp
44
14. เม่ือไคลเอนตตองการแกไขขอมูลทะเบียน Website ท่ีเลยลงทะเบยีนไวกับระบบ Webserver จะสงหนา EditWeb.asp ใหแลวรอรับรหัสผานใหมและยืนยันรหัสผานใหมที่ตองการแกไข
รูปที่ 4.20 แสดงหนาแกไขขอมูลทะเบียน Website (EditWeb.asp)
15. เม่ือ Webserver ไดรับรหัสผานใหมและการยืนยันรหัสผานใหมของ Website นั้นแลว จะสงไปยัง webapp.dll เพือ่สงรหัสผานของ Website น้ันไปแกไขที่ฐานขอมูล webconn.dbf
45
รูปที่ 4.21 กรอกขอมูลรหัสผานและยืนยนัรหัสผานของ Website ทีต่องการแกไข (EditWeb.asp)
รูปที ่4.22 สวนประกอบของไฟล EditWeb.asp
46
16. เม่ือไคลเอนตตองการลบขอมูลทะเบียน Website ท่ีเลยลงทะเบียนไวกับระบบ Webserver จะสงหนา DelDataWeb.asp
รูปที่ 4.23 แสดงหนาลบขอมูลทะเบียน Website
17. เม่ือ Webserver ไดรับ Url และชื่อผูใชงานของ Website นั้นแลว จะสงไปยัง webapp.dll เพือ่สงUrl และชื่อผูใชงานของ Website นั้นไปลบทีฐ่านขอมูล webconn.dbf
รูปที ่4.24 สวนประกอบของไฟล DelDataWeb.asp
47
18. เม่ือไคลเอนตตองการเขาใช Website ท่ีเลยลงทะเบยีนไวกับระบบ Webserver จะสงหนา Home.asp ใหแลวรอรับ Url ของ Website ท่ีตองการเขาใชงาน
รูปที่ 4.25 แสดงหนาเขาใช Website
19. เม่ือ Webserver ไดรับ Url ของ Website ที่ไคลเอนตตองการเขาใชงานแลว จะสงไปยัง webapp.dll เพือ่สงหนา Website ที่ระบบลอ็กอินใหอตัโนมัติใหแลว
รูปที่ 4.26 กรอกขอมูล Website ที่ตองการเขาใช
รูปที ่4.27 สวนประกอบของไฟล Home.asp
48
4.2 สรุปผลการทดลอง 1. ผูใชงานสามารถเขาใชเวบ็ไซตตางๆ ขององคกรได โดยการลอกอินเขาใชงานดวยช่ือผูใชงาน
(Username) และรหัสผาน (Password) ที่มีอยูในฐานขอมูลเพียงคร้ังเดียว แลวสามารถเขาใชเว็บไซตอื่นๆ ที่มีอยูในองคกรไดโดยไมตองทําการลอกอนิใหม
2. สามารถเปลี่ยนรหัสผานใหมตามความตองการของผูใชงาน 3. สามารถแกไขขอมูลสวนตัว 4. สามารถลงทะเบียนเว็บไซตตางๆ ขององคกร ท่ีตองการใหระบบลอกอินเขาใชงานอัตโนมัต ิ5. แสดงขอมูลการลงทะเบียนเว็บไซตตางๆ ที่ลงทะเบียนไว 6. สามารถแกไขขอมูลการลงทะเบียนเวบ็ไซตตางๆ ท่ีลงทะเบียนไว 7. สามารถลบขอมูลทะเบียนเว็บไซตตางๆ ท่ีลงทะเบียนไว 8. สามารถบันทกึเวลาการเขาใช และเวลาออกจากระบบของผูใชงาน
49
บทที่ 5 สรุปผลโครงงาน
ในระบบ A Password-based Authentication System for Website Access ที่ไดทําการพฒันาจะประกอบดวยเว็บไซตตางๆ ท่ีอยูในระบบเว็บเซิรฟเวอร ซึ่งวิธีการทํางานของระบบ คือ ผูใชงานสามารถเขาใชเว็บไซตตางๆ โดยการลอกอินเขาใชงานดวยชื่อผูใชงาน (Username) และรหัสผาน (Password) ที่มีอยูในฐานขอมูลเพยีงครั้งเดียว แลวสามารถเขาใชเวบ็ไซตอืน่ๆ ไดโดยระบบจะทําการล็อกอินใหอัตโนมัติ 5.1 ข้ันตอนพฒันาระบบ
ระบบ A Password-based Authentication System for Website Access ไดทําการพฒันาขึ้นตามลําดับขั้นตอนดังตอไปนี้
1) ศึกษา/คนควาขอมูลและทฤษฎีที่เกี่ยวของ เพือ่ทําความเขาใจโครงสรางทางทฤษฎีและนํามาประยุกตใชในการพฒันาระบบ ซึ่งขอมูลท่ีไดทําการศกึษา ไดแก ความรูพื้นฐานเกี่ยวกับเครือขายไคลเอนต-เซิรฟเวอร โปรโตคอลทีใ่ชในการสื่อสาร รวมถึงการพสิูจนตัวจริง
2) ออกแบบรปูแบบการสือ่สารขอมูลระหวางไคลเอนต-เว็บเซิรฟเวอร และการทํางานของโปรแกรม 3) ออกแบบฐานขอมูลที่ใชในระบบ เพือ่ใชตรวจสอบสทิธิการใชงานของผูใชงาน จึงไดมีการออกแบบ
รูปแบบการเกบ็ขอมูลตางๆลงในฐานขอมูลเพื่อใหสอดคลองกบัการใชงาน และใชเปนฐานขอมูลอางอิงและสืบคนการใชงานของผูใชงานตอไป
4) ทดสอบและเลอืกเคร่ืองมือชวยในการพฒันา เน่ืองจากเครื่องมือชวยพัฒนาระบบงานมีหลากหลายในเลอืกใชงาน จึงไดมีการทดสอบและเลือกใชเครือ่งมือชวยพฒันาระบบงาน ไดแก ASP และVisual Foxpro
5) ติดตั้งระบบปฏิบติัการ เลือกใชระบบปฏิบัติการ Windows server 2003 สําหรับติดต้ังเว็บเซิรฟเวอร รวมถึงโปรแกรมที่ใชพฒันาระบบงาน
6) ออกแบบและพัฒนาระบบ A Password-based Authentication System for Website Access 7) ทดสอบ และปรับปรุงแกไขโปรแกรมระบบงาน
5.2 สวนประกอบของระบบงาน ประกอบดวย 1) ระบบแอพพลเิคชั่น
• พฒันาโปรแกรมที่ใชสือ่สารระหวางไคลเอนตกบัเซิรฟเวอร • พฒันาโปรแกรมเพือ่ตรวจสอบและกําหนดคาตางๆ ระหวางเวบ็เซิรฟเวอรกับฐานขอมูล
2) ฐานขอมูลของระบบ (Database) • เก็บขอมูลผูใชงาน เพื่อใชในการพิสูจนตวัตนและสบืคนขอมูลตอไป
5.3 ขอเสนอแนะ ควรพฒันาระบบใหสามารถใชงานกับเวบ็ไซดตางๆ นอกเหนือจากเว็บไซดขององคกรได
50
เอกสารอางอิง [1] B.A. Forouzan, Data Communications and Networking Third Edition, The McGraw-Hill Companies, Inc. All rights Reserved, 2003 [2] HTTP Protocol, [Online]. Available: http://www.msit.mut.ac.th/newweb/phpfile/show.php?Qid=2913 [3] J.C. Klein Kaeane, Web Hacking Lesson 1 [4] [Online]. Available: http://www.breezetree.com/article-excel-flowchart-shapes.htm [5] D.E. Comer,Internetwork with TCP/IP principle, Protocol and Architecture. 4th ed. Newyork : Mc Gall,2000. [6] B.A. Forouzan. Datacommunication Networking . 4th ed. Singapore : Mc Graw- Hill, 2007. [7] R.W. Stevens. TCP/IP Illustrated Volume1, The Protocol. 1st ed. Massachusetts : Addision-Weskey Public Company, 1994. [8] Full Web Building Tutorials, [Online]. Available: http://www.w3schools.com/ [9] Authentication [Online]. Available: http://www.expert2you.com/view_article.php?cat_sel=50401&art_id=1577&page_no=1 [10] ASP, [Online]. Available: http://www.thaicreate.com/asp.html