- Lê Hà Chi NGHIÊN CỨU, THỬ NGHIỆM CÁC PHƯƠNG PHÁP ĐẢM BẢO AN TOÀN AN NINH CHO WEB SERVICE LUẬN VĂN THẠC SĨ KHOA HỌC CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Nguyễn Linh Giang Hà Nội – Năm 2015 Nghiên cứu thử nghiêm các phương pháp đảm bảo an toàn an ninh cho web service Lê Hà Chi_13BCNTT.KH Trang 1 LỜI CAM ĐOAN Tôi Lê Hà Chi cam kết luận văn thạc sĩ là công trình nghiên cứu của bản thân tôi dưới sự hướng dẫn của PGS.TS Nguyễn Linh Giang. - Hà Nội, ngày tháng năm Tác giả Lê Hà Chi Nghiên cứu thử nghiêm các phương pháp đảm bảo an toàn an ninh cho web service Lê Hà Chi_13BCNTT.KH Trang 2 MỤC LỤC Danh mục chữ viết tắt. - 7 CHƯƠNG 1 - TỔNG QUAN VỀ BẢO MẬT WEB SERVICE. - WEB SERVICE . - Khái niệm Web service . - Đặc điểm của Web service . - Kiến trúc của Web service . - Các thành phần của Web service . - BẢO ĐẢM AN TOÀN CHO WEB SERVICE . - Tổng quan về bảo đảm an toàn cho Web service . - Các kỹ thuật bảo mật Web service . - Ứng dụng của Kerberos . - Mô tả giao thức . - HOẠT ĐỘNG CỦA SHIBBOLETH Nghiên cứu thử nghiêm các phương pháp đảm bảo an toàn an ninh cho web service Lê Hà Chi_13BCNTT.KH Trang 3 3.1.1. - 82 Nghiên cứu thử nghiêm các phương pháp đảm bảo an toàn an ninh cho web service Lê Hà Chi_13BCNTT.KH Trang 4 Danh mục chữ viết tắt SSO Đăng nhập một lần B2B Doanh nghiệp tới doanh nghiệp B2C Doanh nghiệp tới người dùng W3C World Wide Web Consortium SOAP Simple Object Access protocol WSDL Web Service Description Language UDDI Universal Description, Discovery, and Integration XACML eXtensible Access Control Markup Language SAML Security Assertion Markup Language WS-Policy Web Services Policy Framework XrML eXentisble Rights Markup Language SSL Secure Socket Layer TCP/IP Bộ giao thức liên mạng HTTP Giao thức truyền tải siêu văn bản SMTP Giao thức truyền tải thư tín đơn giản API Application Programming Interface UDDI Universal Description Discovery and Intergration FTP Giao thức truyền tệp tin JSM Joint Statistical Meeting IdP Identity Provider SP Service Provider IS Identity Selector LDAP Lightweight Directory Acess Protocol IMAP Internet Message Access Protocol Nghiên cứu thử nghiêm các phương pháp đảm bảo an toàn an ninh cho web service Lê Hà Chi_13BCNTT.KH Trang 5 XMPP Extensible Messaging and Presemce Prococol RFC Đề nghị duyệt thảo và bình luận SASL Simple Authentication and Security Layer KDC Key Distribution Center AS Authentication Server TGS Ticket Granting Server SS Service Server SLO Single Log Out Danh mục các bảng Bảng 1 Danh sách các ứng dụng của SSO. - 31 Danh mục hình vẽ Hình 1 SOAP cơ bản của Web service. - 10 Hình 2 Chồng giao thức Web service. - 13 Hình 3 Tầng giao thức tương tác dịch vụ. - 45 Hình 8 Hoạt động của giao thức Kerberos. - 66 Nghiên cứu thử nghiêm các phương pháp đảm bảo an toàn an ninh cho web service Lê Hà Chi_13BCNTT.KH Trang 6 Hình 14 Cài đặt OpenDS 4. - 80 Nghiên cứu thử nghiêm các phương pháp đảm bảo an toàn an ninh cho web service Lê Hà Chi_13BCNTT.KH Trang 7 LỜI NÓI ĐẦU Năm 2014 khép lại, những từ mà giới công nghệ thông tin nghe nhiều nhất năm qua chính là “ hacker. - an ninh mạng”. - Có thể nói rằng năm 2014 là năm bùng nổ của những cuộc tấn công vào hệ thống mạng máy tính. - Tại Việt Nam, vụ tấn công vào VC Corp cũng có thể nói là vụ tấn công nhằm vào dữ liệu lớn nhất từ trước đến nay gây ảnh hưởng tới hoạt động của nhiều dịch vụ và được ước tính thiệt hại lên tới hàng chục tỷ đồng. - Mục tiêu của đồ án là nghiên cứu, thử nghiệm một số phương pháp đảm bảo an toàn an ninh cho dịch vụ web. - Nội dung của đồ án được chia làm bốn phần Nghiên cứu thử nghiêm các phương pháp đảm bảo an toàn an ninh cho web service Lê Hà Chi_13BCNTT.KH Trang 8 CHƯƠNG 1 TỔNG QUAN VỀ BẢO MẬT WEB SERVICE CHƯƠNG 2 CƠ CHẾ ĐĂNG NHẬP MỘT LẦN ( SINGLE SIGN ON) CHƯƠNG 3 GIẢI PHÁP SHIBBOLETH CHƯƠNG 4 THỬ NGHIỆM VÀ ĐÁNH GIÁ SHIBBOLETH Tuy đã cố gắng nhưng do kiến thức còn hạn chế đồ án này không thể tránh khỏi được những thiếu sót, tôi rất mong nhận được sự đóng góp ý kiến từ các thầy cô giáo và các bạn Tôi xin được bày tỏ sự biết ơn sâu sắc đến PGS.TS Nguyễn Linh Giang, Bộ môn Truyền thông và mạng máy tính, viện Công nghệ thông tin và truyền thông, Trường Đại học Bách Khoa Hà Nội, người đã nhiệt tình giúp đỡ, hướng dẫn tôi hoàn thành đồ án tốt nghiệp này. - Nghiên cứu thử nghiêm các phương pháp đảm bảo an toàn an ninh cho web service Lê Hà Chi_13BCNTT.KH Trang 9 CHƯƠNG 1 - TỔNG QUAN VỀ BẢO MẬT WEB SERVICE 1.1. - WEB SERVICE 1.1.1. - Khái niệm Web service Dịch vụ Web (Web Service) được coi là một công nghệ mang đến cuộc cách mạng trong cách thức hoạt động của các dịch vụ B2B (Business to Business) và B2C (Business to Customer). - Giá trị cơ bản của dịch vụ Web dựa trên việc cung cấp các phương thức theo chuẩn trong việc truy nhập đối với hệ thống đóng gói và hệ thống kế thừa. - Các phần mềm được viết bởi những ngôn ngữ lập trình khác nhau và chạy trên những nền tảng khác nhau có thể sử dụng dịch vụ Web để chuyển đổi dữ liệu thông qua mạng Internet theo cách giao tiếp tương tự bên trong một máy tính. - Tuy nhiên, công nghệ xây dựng dịch vụ Web không nhất thiết phải là các công nghệ mới, nó có thể kết hợp với các công nghệ đã có như XML, SOAP, WSDL, UDDI… Với sự phát triển và lớn mạnh của Internet, dịch vụ Web thật sự là một công nghệ đáng được quan tâm để giảm chi phí và độ phức tạp trong tích hợp và phát triển hệ thống. - Theo định nghĩa của W3C (World Wide Web Consortium), Web service là một hệ thống phần mềm được thiết kế với khả năng hỗ trợ tương tác giữa các ứng dụng trên các máy tính khác nhau thôn qua mạng Internet. - Web service là tài nguyên phần mềm có thể xác định bằng địa chỉ URL, thực hiện các chức năng và đưa ra các thông tin người dùng yêu cầu. - Một Web service được tạo nên bằng cách lấy các chức năng và đóng gói chúng sao cho các ứng dụng khác dễ dàng nhìn thấy và có thể truy cập đến những dịch vụ mà nó thực hiện, đồng thời có thể yêu cầu thông tin từ Web service khác. - Theo IBM , nói tới Web service như việc trao đổi các thông điệp SOAP giữa các hệ thống. - Các thông điệp này được cấu tạo từ XML( là một tiêu chuẩn mở dựa trên văn Nghiên cứu thử nghiêm các phương pháp đảm bảo an toàn an ninh cho web service Lê Hà Chi_13BCNTT.KH Trang 10 bản) có thể truy cập bởi bất kỳ ai, từ bất kỳ ứng dụng nào (ứng dụng được thiết kế để chấp nhận nó). - Một SOAP cơ bản của Web service liên quan đến việc gửi một thông điệp XML như thể hiện trong hình Hình 1 SOAP cơ bản của Web service Các thông điệp này di chuyển từ một hệ thống, thường là thông qua HTTP. - Đặc điểm của Web service Web service cho phép client và server tương tác được với nhau ngay cả trong những môi trường khác nhau. - Phần lớn kĩ thuật của Web service được xây dựng dựa trên mã nguồn mở và được phát triển từ các chuẩn đã được công nhận, ví dụ như XML. - Một Web service bao gồm có nhiều mô đun và có thể công bố lên mạng Internet. - Nghiên cứu thử nghiêm các phương pháp đảm bảo an toàn an ninh cho web service Lê Hà Chi_13BCNTT.KH Trang 11 Là sự kết hợp của việc phát triển theo hướng từng thành phần với những lĩnh vực cụ thể và cơ sở hạ tầng Web, đưa ra những lợi ích cho cả doanh nghiệp, khách hàng, những nhà cung cấp khác và cả những cá nhân thông qua mạng Internet. - Nó có thể được triển khai bởi một phần mềm ứng dụng phía server ví dụ như PHP, Oracle Application server hay Microsoft.Net… Ngày nay Web service đang rất phát triển, những lĩnh vực trong cuộc sống có thể áp dụng và tích hợp Web service là khá rộng lớn như dịch vụ chọn lọc và phân loại tin tức (hệ thống thư viện có kết nối đến web portal để tìm kiếm các thông tin cần thiết). - ứng dụng cho các dịch vụ du lịch (cung cấp giá vé, thông tin về địa điểm. - các đại lý bán hàng qua mạng, thông tin thương mại như giá cả, tỷ giá hối đoái, đấu giá qua mạng…hay dịch vụ giao dịch trực tuyến (cho cả B2B và B2C) như đặt vé máy bay, thông tin thuê xe… Các ứng dụng có tích hợp Web service đã không còn là xa lạ, đặc biệt trong điều kiện thương mại điện tử đang bùng nổ và phát triển không ngừng cùng với sự lớn mạnh của Internet. - Do vậy, việc phát triển và tích hợp các ứng dụng với Web service đang được quan tâm phát triển là điều hoàn toàn dễ hiểu. - Web service cung cấp khả năng hoạt động rộng lớn với các ứng dụng phần mềm khác nhau chạy trên những nền tảng khác nhau. - Sử dụng các giao thức và chuẩn mở. - Giao thức và định dạng dữ liệu dựa trên văn bản, giúp các lập trình viên dễ dàng hiểu được. - Nghiên cứu thử nghiêm các phương pháp đảm bảo an toàn an ninh cho web service Lê Hà Chi_13BCNTT.KH Trang 12 Thúc đẩy đầu tư các hệ thống phần mềm đã tồn tại bằng cách cho phép các tiến trình/chức năng nghiệp vụ đóng gói trong giao diện Web service. - Có quá nhiều chuẩn cho Web service khiến người dùng khó nắm bắt. - Kiến trúc của Web service Web service gồm có 3 chuẩn chính: SOAP (Simple Object Access Protocol), WSDL (Web Service Description Language) và UDDI (Universal Description, Discovery, and Integration). - Hình 2 mô tả chồng giao thức của Web service, trong đó UDDI được sử dụng để đăng ký và khám phá Web service đã được miêu tả cụ thể trong WSDL. - Giao tác UDDI sử dụng SOAP để nói chuyện với UDDI server, sau đó các ứng dụng SOAP yêu cầu một Web service. - Nghiên cứu thử nghiêm các phương pháp đảm bảo an toàn an ninh cho web service Lê Hà Chi_13BCNTT.KH Trang 13 Hình 2 Chồng giao thức Web service Chồng giao thức Web service là tập hợp các giao thức mạng máy tính được sử dụng để định nghĩa, xác định vị trí, thi hành và tạo nên Web service tương tác với những ứng dụng hay dịch vụ khác. - Chồng giao thức này có 4 thành phần chính: Dịch vụ vận chuyển (Service Transport): có nhiệm vụ truyền thông điệp giữa các ứng dụng mạng, bao gồm những giao thức như HTTP, SMTP, FTP, JSM và gần đây nhất là giao thức thay đổi khổi mở rộng (Blocks Extensible Exchange Protocol- BEEP). - Thông điệp XML: có nhiệm vụ giải mã các thông điệp theo định dạng XML để có thể hiểu được ở mức ứng dụng tương tác với người dùng. - Nghiên cứu thử nghiêm các phương pháp đảm bảo an toàn an ninh cho web service Lê Hà Chi_13BCNTT.KH Trang 14 Mô tả dịch vụ: được sử dụng để miêu tả các giao diện chung cho một Web service cụ thể. - Web service sẽ sử dụng ngôn ngữ này để truyền tham số và các loại dữ liệu cho các thao tác và chức năng mà Web service cung cấp. - Khám phá dịch vụ: tập trung dịch vụ vào trong một nơi được đăng ký, từ đó giúp một Web service có thể dễ dàng khám phá ra những dịch vụ nào đã có trên mạng, tốt hơn trong việc tìm kiếm những dịch vụ khác để tương tác. - Một Web service cũng phải tiến hành đăng ký để các dịch vụ khác có thể truy cập và giao tiếp. - Hình 3 Tầng giao thức tương tác dịch vụ Trong đó, tầng giao thức tương tác dịch vụ (Service Communication Protocol) với công nghệ chuẩn là SOAP. - SOAP là giao thức nằm giữa tầng vận chuyển và tầng mô tả thông tin về dịch vụ, cho phép người dùng triệu gọi một dịch vụ từ xa thông qua một thông điệp XML. - Ngoài ra, để các dịch vụ có tính an toàn, toàn vẹn và bảo Nghiên cứu thử nghiêm các phương pháp đảm bảo an toàn an ninh cho web service Lê Hà Chi_13BCNTT.KH Trang 15 mật thông tin, trong kiến trúc Web service, chúng ta có thêm các tầng Policy, Security, Transaction, Management. - Các thành phần của Web service a) XML – eXtensible Markup Language Là một chuẩn mở do W3C đưa ra cho cách thức mô tả dữ liệu, nó được sử dụng để định nghĩa các thành phần dữ liệu trên trang web và cho những tài liệu B2B. - Do Web service là sự kết hợp của nhiều thành phần khác nhau nên nó sử dụng các tính năng và đặc trưng của các thành phần đó để giao tiếp. - b) WSDL – Web Service Description Language WSDL là một tiêu chuẩn W3C, nó là một ngôn ngữ dựa trên nền XML dùng để định vị và mô tả Web service, bao gồm các thông tin. - Tên service Giao thức và kiểu mã hóa sẽ được sử dụng khi gọi các hàm của Web service Loại thông tin: thao tác, tham số, những kiểu dữ liệu (có thể là giao diện của Web service cộng với tên cho giao diện này)
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt