Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 72 trang
THÔNG TIN TÀI LIỆU
Nội dung
-3- LỜI CAM ĐOAN Tôi xin cam đoan kết đạt đƣợc luận văn nghiên cứu, sƣu tầm, tổng hợp xếp lại phù hợp với yêu cầu luận văn Toàn điều đƣợc trình bày luận văn cá nhân, đƣợc tham khảo tổng hợp từ nguồn tài liệu khác Tất tài liệu tham khảo, tổng hợp đƣợc trích dẫn với nguồn gốc rõ ràng Tồn chƣơng trình, mã nguồn thiết kế xây dựng, không chép chƣa đƣợc công bố phƣơng tiện Tơi xin chịu hồn tồn trách nhiệm lời cam đoan Nếu có điều sai trái, tơi xin chịu hình thức kỷ luật theo qui định Hải Phòng, tháng năm 2009 Học viên Lƣơng Thanh Nhạn z -4- LỜI CẢM ƠN Trƣớc hết xin đƣợc bày tỏ trân trọng lòng biết ơn thầy giáo TS Trƣơng Ninh Thuận, giảng viên Bộ môn Công nghệ phần mềm, Khoa Công nghệ thông tin, Trƣờng Đại học Công nghệ, Đại học Quốc Gia Hà Nội Trong suốt thời gian học làm luận văn tốt nghiệp, Thầy dành nhiều thời gian quí báu để tận tình bảo, hƣớng dẫn cho tơi bƣớc nghiên cứu thực luận văn Tôi xin đƣợc gửi lời cảm ơn sâu sắc tới thầy cô giáo tận tình giảng dạy suốt trình học tập, đọc nhận xét luận văn giúp cho hiểu thấu đáo lĩnh vực nghiên cứu Tơi xin bày tỏ lịng cảm ơn chân thành tới bạn bè, đồng nghiệp trƣờng Cao đẳng công nghệ Viettronics toàn thể thành viên lớp K13T4 tạo điều kiện thuận lợi trình học tập Cuối cùng, tơi xin dành tình cảm biết ơn tới thành viên gia đình Những ngƣời bên cạnh tôi, giúp đỡ, động viên mặt suốt thời gian theo học cao học nhƣ trình thực luận văn Hải Phòng, tháng năm 2009 Học viên Lƣơng Thanh Nhạn z -5- MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC BẢNG CÁC CHỮ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ/BẢNG MỞ ĐẦU Chƣơng MƠ TẢ BÀI TỐN 11 1.1 Tính cấp thiết 11 1.2 Bài toán nghiệp vụ 12 Chƣơng SOA VÀ DỊCH VỤ WEB 13 2.1 Dịch vụ 13 2.2 Kiến trúc hƣớng dịch vụ - SOA 13 2.2.1 Mơ hình SOA 15 2.2.2 Ƣu, nhƣợc điểm SOA 16 2.2.3 Lợi ích sử dụng SOA 17 2.3 Công nghệ Web service 18 2.3.1 Định nghĩa 18 2.3.2 Đặc điểm 18 2.3.3 Kiến trúc dịch vụ Web 19 2.3.4 Các thành phần đƣợc sử dụng dịch vụ Web 21 2.3.4.1 XML – eXtensible Markup Language 21 2.3.4.2 SOAP - Simple Object Access Protocol 22 2.3.4.3 WSDL - Web Services Description Language 23 2.3.4.4 UDDI – Universal Description, Discovery and Integration 25 2.3.5 Xây dựng dịch vụ Web 26 2.3.6 Tích hợp dịch vụ Web theo chuẩn 27 2.4 SOA dịch vụ Web 29 Chƣơng CÁC KỸ THUẬT ĐẢM BẢO AN NINH DỊCH VỤ WEB 30 3.1 SAML -Security Assertion Markup Language 30 3.2 Giao thức Kerberos 30 3.3 Chứng số 31 3.3.1 Chứng số gì? 31 3.3.2 Những lợi ích sử dụng chứng số 32 z -63.3.3 Quá trình hoạt động chứng số 33 3.3.4 Chứng nhận X.509 34 3.4 Cấu trúc giao thức bảo mật SSL 35 3.4.1 SSL Record Protocol 38 3.4.2 SSL Handshake Protocol 40 3.5 Giao thức HTTPS 45 3.5.1 HTTPS gì? 45 3.5.2 Triển khai HTTPS cho Web server 46 3.6 An ninh dịch vụ Web 53 3.6.1 Đặc điểm An ninh dịch vụ Web 56 3.6.2 Web Services Enhancements - WSE 57 Chƣơng XÂY DỰNG HỆ THỐNG VÀ ĐÁNH GIÁ KẾT QUẢ 58 4.1 Mô tả hệ thống cần xây dựng 58 4.1.1 Hoạt động đăng ký tài khoản 58 4.1.2 Hoạt động đăng nhập tài khoản 59 4.1.3 Hoạt động giao dịch 59 4.2 Giải pháp thực 59 4.2.1 Các tiêu chí cho giải pháp kết nối 59 4.2.2 Giải pháp 60 4.3 Triển khai hệ thống đánh giá kết 61 4.3.1 Lựa chọn ngơn ngữ lập trình 61 4.3.2 Triển khai hệ thống 62 4.3.2.1 Kiến trúc tổng quát 62 4.3.2.2 Mơ hình triển khai 62 4.3.3 Các chức hệ thống 63 4.3.3.1 Đăng ký tài khoản ngân hàng 63 4.3.3.2 Hiển thị thông tin trang chủ 64 4.3.3.3 Đăng nhập hệ thống 65 4.3.3.4 Hiển thị thông tin tài khoản 65 4.3.3.5 Đăng ký tài khoản 64 4.3.4 Đánh giá kết thử nghiệm chƣơng trình 66 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 69 TÀI LIỆU THAM KHẢO 71 z -7- BẢNG CÁC CHỮ VIẾT TẮT Viết tắt BLL CA FTP HMAC HTML HTTP HTTPS IANA IMAP IRC MAC NSIIOP Oasis OOP POP3 RPC SOA SAML SMTP SOAP SSL TCP/IP Telnet TLS UDDI Web APIs WS WSDL WSS XML Tên đầy đủ Business Logic Layer Certificate Authority File Transfer Protocol Hash Message Authentication Code HyperText Markup Language Hypertext Transfer Protocol HTTP over SSL or HTTP Secure Internet Asigned Numbers Authority Internet Message Access Protocol Internet Relay Chat Media Access Control Name Service Internet Inter-Orb Protocol) Organization for the Advancement of Structured Information Standards Object Oriented Model Post Office Protocol version Remote procedure call Service Oriented Architecture Security Assertion Markup Language Simple Mail Transfer Protocol Simple Object Access Protocol Secure Sockets Layer Transmission Control Protocol/Internet Protocol Telecommunication network Transport Layer Security Universal Description, Discovery, and Integration Web Advanced Papyrological Information System Web services Web Service Description Language Web Service Sercurity eXtensible Markup Language z -8- DANH MỤC CÁC HÌNH VẼ/BẢNG Số Hình 2.1 Hình 2.2 Hình 2.3 Hình 2.4 Hình 2.5 Hình 3.1 Bảng Bảng Bảng Hình 4.1 Hình 4.2 Hình 4.3 Hình 4.4 Hình 4.5 Hình 4.6 Hình 4.7 Hình 4.8 Tên hình/bảng Chồng giao thức web service Kiến trúc sâu Web service Cấu trúc thông điệp SOAP Cấu trúc WSDL Mỗi liên hệ thành phần Web Service Cấu trúc giao thức SSL Các số cổng đƣợc gán cho giao thức ứng dụng chạy TLS/SSL Các thành phần thông tin trạng thái Session SSL Các thành phần thông tin trạng thái kết nối SSL Biểu đồ hoạt động Kiến trúc tổng qt Mơ hình triển khai Giao diện đăng ký tài khoản ngân hàng Giao diện hiển thị thông tin trang chủ Giao diện đăng ký tài khoản chứng khoán Giao diện đăng nhập Giao diện hiển thị tài khoản cá nhân z Trang 20 21 23 24 27 35 37 37 38 58 62 62 65 64 64 65 66 -9- MỞ ĐẦU Hiện nay, công nghệ web services đƣợc triển khai, ứng dụng nhiều lĩnh vực khác bao gồm lĩnh vực nhạy cảm , địi hỏi tính an tồn cao nhƣ tài , ngân hàng, qn sự,… và mang l ại nhiều thành quả , lợi ích to lớn cho tổ chức , doanh nghiệp, tập thể, cá nhân, Bên cạnh mặt đƣợc cơng nghệ web services việc đảm bảo an tồn, tin cậy, tồn vẹn, thơng tin trao đổi web services điều quan trọng Bởi yên tâm, tin tƣởng để sử dụng dịch vụ thƣơng mại nhƣ mua chứng khoán hay chuyển tiền trực tuyến mà lại khơng có mợt an toàn cần thiết Kinh doanh chứng khoán hoạt động diễn phổ biến nay, phận xã hội không nhỏ, nhƣng công việc giao dịch chủ yếu tiền mặt, công việc làm nhiều thời gian cơng sức nhƣ làm hạ thấp tính xác bảo mật thông tin cá nhân nhà đầu tƣ Đồng thời, theo Quy định Bộ Tài ban hành ngày 24 tháng năm 2007 “ Cơng ty chứng khốn phải quản lý tiền gửi giao dịch chứng khoán khách hàng tách biệt khỏi tiền cơng ty chứng khốn Cơng ty chứng khốn khơng trực tiếp nhận tiền giao dịch chứng khoán khách hàng ” [1] Đề tài “Nghiên cứu an ninh dịch vụ Web” nhằm mục đích nghiên cứu, tìm hiểu cơng nghệ web services, vấn đề bảo mật liên quan sử dụng chúng để giải tốn “Kết nối ngân hàng với cơng ty chứng khốn” cách an tồn, hiệu nhằm tạo điều kiện thuận lợi cho việc giao dịch chứng khốn giúp cho thơng tin đƣợc minh bạch Kết đạt đƣợc luận văn: - Nghiên cứu vấn đề: kiến trúc hƣớng dịch vụ, công nghệ Web services kỹ thuật đảm bảo an ninh Web services, nội dung toán “Kết nối ngân hàng với cơng ty chứng khốn” hƣớng giải tốn - Phát triển chƣơng trình “Giao dịch chứng khốn thơng qua tài khoản ngân hàng” với chức bản: đăng ký tài khoản chứng khoán mới, đăng nhập để mua/bán cổ phiếu tích hợp kỹ thuật đảm bảo an ninh cho hệ thống Nội dung luận văn gồm chƣơng: Chƣơng Mơ tả tốn Bài tốn “Giải pháp kết nối ngân hàng với cơng ty chứng khốn” địi hỏi đồng thông tin ngân hàng cơng ty chứng khốn, cho phép thực giao dịch tài khoản nhà đầu tƣ z - 10 Chƣơng SOA dịch vụ Web Giới thiệu kiến trúc hƣớng dịch vụ, ƣu nhƣợc điểm nhƣ đặc điểm SOA, tìm hiểu dịch vụ Web, thành phần cấu thành nên dịch vụ Web vài đặc điểm Chƣơng Các kỹ thuật đảm bảo an ninh dịch vụ Web Trình bày kỹ thuật đảm bảo an ninh dịch vụ Web nhƣ công nghệ bảo mật SSL thành phần nó, chứng số, giao thức Kerberos, giao thức https, tiêu chí đảm bảo an tồn cho Web services Chƣơng Xây dựng hệ thống đánh giá kết Trình bày tiêu chí tính giải pháp từ đƣa giải pháp thực Phân tích lựa trọn ngơn ngữ, triển khai chƣơng trình theo chức hệ thống đánh giá kết kết Cuối kết luận hƣớng phát triển đề tài z - 11 - Chƣơng MƠ TẢ BÀI TỐN 1.1 Tính cấp thiết Cơng việc giao dịch mua/bán cổ phiếu chủ yếu trực tiếp tiền mặt Đặc biệt đại đa số công ty chứng khốn giữ tồn số tiền tham gia chứng khốn nhà đầu tƣ Cơng việc làm nhiều thời gian, công sức nhƣ hạ thấp tính xác bảo mật thơng tin nhà đầu tƣ Nhằm bảo vệ nhà đầu tƣ, tạo công cho công ty chứng khốn, thống chế quản lý vĩ mơ hƣớng tới tài khơng tiền mặt Việt Nam Ngày 20/11/2007, Ủy ban Chứng khoán Nhà nƣớc thông báo việc thực quản lý tiền gửi giao dịch chứng khoán ngƣời đầu tƣ theo quy định Quyết định 27/2007/QĐ-BTC Trong Quyết định 27/2007/QĐ-BTC có nội dung: “ Điều 32 Quản lý tiền chứng khoán khách hàng Quản lý tiền khách hàng: a) Cơng ty chứng khốn phải quản lý tiền gửi giao dịch chứng khoán khách hàng tách biệt khỏi tiền cơng ty chứng khốn Cơng ty chứng khốn khơng trực tiếp nhận tiền giao dịch chứng khoán khách hàng; b) Khách hàng cơng ty chứng khốn phải mở tài khoản tiền tại ngân hàng thương mại cơng ty chứng khốn lựa chọn ” [1] Vậy là, cơng ty chứng khốn không đƣợc trực tiếp nhận tiền mà phải ủy quyền cho ngân hàng thƣơng mại quản lý tiền nhà đầu tƣ Nhà đầu tƣ mở tài khoản ngân hàng thƣơng mại cơng ty chứng khốn lựa chọn Quy định đem lại an toàn tiền gửi cho khách hàng cơng ty chứng khốn gặp khó khăn hoạt động kinh doanh, đồng thời đảm bảo lợi ích lãi suất, khả tốn, cho nhà đầu tƣ Điều có nghĩa nhà đầu tƣ nộp tiền, rút tiền ngân hàng thực việc giao dịch chứng khoán cơng ty chứng khốn Nhà đầu tƣ phải thay đổi thói quen nay: mở tài khoản, nộp tiền vào tài khoản sàn để đặt lệnh mua cổ phiếu rút tiền bán chứng khoán sàn giao dịch toàn tiền khách hàng đƣợc quản lý cơng ty chứng khốn Tuy nhiên, chuyển qua hình thức quản lý mới, khó khăn lớn nằm chỗ hệ thống thông tin nhiều công ty chứng khốn cịn chƣa kết nối đƣợc với hệ thống ngân hàng Khi đó, khách hàng mang tiền đến gửi vào tài khoản ngân hàng gặp khó khăn việc sử dụng đồng vốn đó, dẫn đến bỏ lỡ hội giao dịch Bên cạnh đó, cơng ty chứng khốn gặp phải khó khăn kiểm tra tiền khách hàng Ngân hàng có đủ hay khơng trƣớc thực lệnh z - 12 mua chứng khoán Hơn nữa, cơng ty chứng khốn cịn phải bảo đảm kết nối đƣợc lúc với nhiều ngân hàng lớn, đa số nhà đầu tƣ gửi tiền ngân hàng lớn khác nhau, ngƣợc lại, ngân hàng mong muốn có đƣợc kết nối với nhiều cơng ty chứng khốn để hình thành nên mạng lƣới thơng suốt, tạo hiệu hoạt động Đây thách thức không nhỏ với ngân hàng, đặc biệt cơng ty chứng khốn thực trạng hạ tầng cơng nghệ thơng tin bên cịn khác biệt, với mức độ sẵn sàng khác 1.2 Bài tốn nghiệp vụ Các cơng ty chứng khoán cần ký kết với ngân hàng lựa chọn để nhà đầu tƣ mở tài khoản đƣợc cung cấp ln tài khoản ngân hàng Dịch vụ cơng ty chứng khốn quản lý, cung cấp thông tin cổ phiếu (tên cổ phiếu, mã cổ phiếu, đơn giá, ) thông tin cá nhân nhà đầu tƣ (tên nhà đầu tƣ, chứng minh thƣ nhân dân, địa chỉ, ) Dịch vụ ngân hàng cung cấp thơng tin chủ tài khoản (tên chủ tài khoản, địa chỉ, ,số dƣ tài khoản) Sau đƣợc cấp tài khoản chứng khoán nhà đầu tƣ đƣợc đăng nhập vào tài khoản thực hoạt động mua/bán cổ phiếu: - Mua: nhà đầu tƣ điền mã số lƣợng cổ phiếu cần mua, mật tài khoản ngân hàng Nếu tổng giá trị số lƣợng cổ phiếu nhà đầu tƣ thực mua vƣợt số dƣ có nhà đầu tƣ tài khoản ngân hàng giao dịch không đƣợc thực Ngƣợc lại tiến hành mua cổ phiếu, cổ phiếu mà nhà đầu tƣ mua có tài khoản số lƣợng cổ phiếu đƣợc cập nhật lại cịn chƣa có cổ phiếu đƣợc thêm vào tài khoản chứng khoán nhà đầu tƣ số tiền dùng để mua cổ phiếu đƣợc trừ vào tài khoản tƣơng ứng ngân hàng nhà đầu tƣ - Bán: nhà đầu tƣ điền mã số lƣợng cổ phiếu cần bán, mật tài khoản ngân hàng Nhà đầu tƣ thực lệnh bán cổ phiếu có tài khoản chứng khoán họ số lƣợng cổ phiếu bán không đƣợc vƣợt số lƣợng cổ phiếu có tài khoản Nếu thơng tin hợp lệ tiến hành việc bán cổ phiếu Số tiền có đƣợc bán cổ phiếu đƣợc đƣa vào tài khoản tƣơng ứng ngân hàng nhà đầu tƣ Nếu số cổ phiếu mà nhà đầu tƣ bán số lƣợng có thơng tin số cổ phiếu đƣợc cập nhật lại bán hết số cổ phiếu cổ phiếu bán đƣợc xố khỏi tài khoản chứng khoán nhà đầu tƣ Để đáp ứng đƣợc yêu cầu toán đặt ra, đặc biệt toàn giao dịch đƣợc đảm bảo xác, an tồn cho bên tham gia không sử dụng tới kiến thức lĩnh vực Công nghệ thông tin nhƣ: kiến trúc hƣớng dịch vụ, dịch vụ Web kỹ thuật đảm bảo an ninh dịch vụ Web Các chƣơng sau lần lƣợt trình bày vấn đề z - 60 Switching giải pháp cung cấp phải cho phép thực kết nối với giao diện Cuối cùng, giải pháp phải cung cấp sẵn hình để thực giao dịch từ giải pháp Thứ hai, để giúp nhà đầu tƣ tùy ý sử dụng tài khoản tốn tiền ngân hàng khác nhau, giải pháp phải giúp cho công ty chứng khốn kết nối đƣợc với nhiều ngân hàng khác đặt lệnh tự động xác định tài khoản nhà đầu tƣ ngân hàng để tạo gửi thông tin giao dịch đến ngân hàng Ngƣợc lại, giải pháp sử dụng cho ngân hàng, phải giúp cho ngân hàng phân tích thơng tin đến từ cơng ty chứng khoán khác đặc biệt cho phép tƣơng tác hai chiều ngân hàng công ty chứng khốn Điều có nghĩa cần thiết, thơng tin từ phía ngân hàng gửi qua phía cơng ty chứng khốn cách chủ động Thứ ba, rõ ràng giải pháp phải đáp ứng đƣợc đầy đủ yêu cầu giao dịch tiền cơng ty chứng khốn Bất kỳ quy trình giao dịch nhƣ mua, bán, toán, phải đƣợc thực trực tuyến suốt với ngƣời sử dụng, khơng cho ngƣời sử dụng thấy có cảm giác khác biệt thực hệ thống Thứ tƣ, để đảm bảo tính an tồn cho giao dịch trực tuyến, vấn đề bảo mật phải đƣợc giải pháp đặc biệt quan tâm xử lý triệt để Dữ liệu truyền phải đƣợc đảm bảo tiêu chuẩn bảo mật tiên tiến giới Thứ năm, tính sẵn sàng hệ thống cố đặc biệt cố đƣờng truyền đƣợc xét đến giải pháp cần có Khơng sẵn sàng mặt ứng dụng, quy trình rõ ràng cho việc xử lý xảy vấn đề nhằm giúp cho việc đối chiếu hai hệ thống ngân hàng chứng khoán đƣợc dễ dàng Thứ sáu, giải pháp cần đáp ứng việc đối sốt thơng tin hai hệ thống lõi ngân hàng chứng khoán, cung cấp kết nối thật dễ dàng thuận tiện 4.2.2 Giải pháp Do khác biệt hệ thống lõi ngân hàng hệ thống lõi cơng ty chứng khốn nên khn khổ luận văn giả sử hệ thống ngân hàng cơng ty chứng khốn cung cấp thơng tin đơn giản nhƣ thông tin cổ phiếu, thông tin tài khoản nhà đầu tƣ, số dƣ tài khoản ngân hàng,… Để đáp ứng đƣợc tiêu chí đề giải pháp: xây dựng hai hệ thống con: hệ thống lõi ngân hàng, hai hệ thống lõi cơng ty chứng khốn Web service để giao tiếp hai hệ thống lõi - Hệ thống ngân hàng: sử dụng mơ hình client-server để xử lý u cầu từ phía ngƣời dùng (ngƣời có tài khoản ngân hàng) ngân hàng, server đƣợc đặt ngân hàng ngƣời dùng client với chức đăng ký tài khoản - Hệ thống cơng ty chứng khốn z - 61 Sử dụng mơ hình client – server để xử lý u cầu từ phía cơng ty chứng khốn nhà đầu tƣ, server đƣợc đặt cơng ty chứng khốn đầu tƣ đóng vai trị client Áp dụng chế bảo mật truyền tin SSL để bảo mật thông tin giao tiếp client server Triển khai SSL cho Web server hệ thống bên cơng ty chứng khốn Khi thơng tin ứng dụng nhƣ đăng ký, đăng nhập, giao dịch đƣợc bảo mật theo chế SSL đồng thời mật tài khoản chứng khoán nhà đầu tƣ đƣợc băm (mã hoá) theo thuật toán MD5 [6,10] Sử dụng công nghệ Web service để thiết lập kênh kết nối hệ thống lõi cơng tƣ chứng khốn hệ thống lõi ngân hàng để xử lý khác biệt hệ thống sở liệu Do vậy, bên phía ngân hàng cơng ty chứng khốn cần cung cấp thơng tin cần thiết để tạo lên sở liệu dùng chung cho dịch vụ mà giải pháp cung cấp Do Web Service đƣợc đặt Web Server đƣợc truy cập thơng qua Internet nên cần phải có chế kiểm soát quyền truy cập thực Cài đặt công cụ WSE 3.0 thêm vào mã lệnh Web service để thực kiểm tra tính hợp lệ ngƣời dùng trƣớc thực thi Web service để đảm bảo an toàn cho Web service 4.3 Triển khai hệ thống đánh giá kết 4.3.1 Lựa chọn ngơn ngữ lập trình ASP.NET cơng nghệ có tính cách mạng dùng để phát triển ứng dụng mạng nhƣ tƣơng lai đặc điểm bật: - Hỗ trợ nhiều ngôn ngữ lập trình; - Có điều khiển (controls) lập trình đƣợc Hỗ trợ lập trình điều khiển kiện (event-driven programming); - Những thành phần (components) dựa vào XML; - Xác thực ngƣời dùng qua tài khoản (account) vai trò (role); - Khả mở rộng cao hơn; - Mã thực thi hiệu hơn; - Dễ cài đặt cấu hình; ASP.NET ngôn ngữ hƣớng thành phần (component) mạnh đƣợc hỗ trợ SQL Server Microsoft Visual Studio.NET môi trƣờng lập trình cung cấp nhiều cơng cụ cần thiết cho việc xây dựng dự án lớn nhỏ (thậm chí xây dựng dự án từ việc kết hợp module ngôn ngữ khác nhau) [3, 4] Từ lý mà ngôn ngữ đƣợc lựa chọn để xây dựng hệ thống dịch vụ Web tạo kết nối ngân hàng với cơng ty chứng khốn Trong ứng dụng sử z - 62 dụng hệ sở liệu sở liệu SQL Server, ngôn ngữ ASP.NET VisualStudio.NET 4.3.2 Triển khai hệ thống 4.3.2.1 Kiến trúc tổng quát - Client: Sử dụng ASP.NET tạo giao diện cho phía ngƣời dùng - Tầng Server: chứa hàm xử lý yêu cầu từ phía client đƣa lên - Tầng liệu: quản trị sở liệu Client BroWeb serviceer /App web Form ASP.NET Server Tầng Server Tầng liệu SQL DB Server Hình 4.2: Kiến trúc tổng qt 4.3.2.2 Mơ hình triển khai XML Application Server XML Server Web service Server Application Server Database Database Client Client Users Users Hình 4.3: Mơ hình triển khai z - 63 Client: với vai trị nhà đầu tƣ, khách hàng Server: với vai trò hệ thống lõi ngân hàng, cơng ty chứng khốn Các thơng điệp u cầu Client gửi tới Server thông điệp phản hồi Server trả lại cho Client đƣợc gói đoạn mã XML Dịch vụ Web có vai trị lắng nghe yêu cầu dƣới dạng mã XML từ công ty chứng khoán gửi đến chuyển chúng cho Server xử lý, sau nhận thơng tin xử lý từ Server chuyển chúng thành mã XML trả lại cho cơng ty chứng khốn 4.3.3 Các chức hệ thống 4.3.3.1 Đăng ký tài khoản ngân hàng Trƣớc tham gia tài khoản chứng khoán, nhà đầu tƣ cần có tài khoản ngân hàng Nếu chƣa có cung cấp thơng tin trực tiếp để cơng ty chứng khốn liên hệ với ngân hàng đƣợc cấp tài khoản ngân hàng Tài khoản ngân hàng lƣu trữ số tiền mặt có khách hàng ngân hàng quản lý Một tài khoản ngân hàng gồm thông tin quan trọng là: mã tài khoản, mật truy cập, số dƣ tài khoản thông tin cá nhân khác Mật đƣợc yêu cầu nhà đầu tƣ thực mua bán cổ phiếu Hình 4.4: Giao diện đăng ký tài khoản ngân hàng z - 64 4.3.3.2 Hiển thị thơng tin trang chủ Hình 4.5: Giao diện hiển thị thông tin trang chủ Trang chủ hiển thị thơng tin cổ phiếu chứng khốn, cho phép client xem thơng tin chứng khốn chuyển sang giao diện đăng nhập, đăng ký 4.3.3.3 Đăng ký tài khoản Hình 4.6: Giao diện đăng ký tài khoản chứng khốn z - 65 Để thực giao dịch, trƣớc tiên nhà đầu tƣ cần phải có tài khoản chứng khốn tài khoản ngân hàng, nhà đầu tƣ cung cấp thông tin cá nhân cần thiết cho cơng ty chứng khốn để tạo tài khoản Nếu thơng tin đầy đủ xác hệ thống thơng báo đăng ký tài khoản thành công, ngƣợc lại báo lỗi tƣơng ứng Tài khoản chứng khốn lƣu trữ thơng tin chứng khốn nhà đầu tƣ nhƣ: thơng tin cá nhân, thơng tin cổ phiếu có 4.3.3.4 Đăng nhập hệ thống Nếu nhà đầu tƣ có tài khoản chứng khốn, nhà đầu tƣ đăng nhập vào hệ thống để thực giao dịch Hình 4.7: Giao diện đăng nhập Giao diện đăng nhập cho phép ngƣời dùng điền Username Password để đăng nhập vào hệ thống Thông tin Username Password đƣợc chuyển lên Server để kiểm tra sở liệu công ty chứng khốn Nếu Username Password đăng nhập thành công, ngƣợc lại báo lỗi 4.3.3.5 Hiển thị thông tin tài khoản Sau đăng nhập thành công, trang giao dịch xuất với thông tin tài khoản nhà đầu tƣ bao gồm: thông tin cổ phiếu nhà đầu tƣ có nhƣ mã, tên, giá, số lƣợng giá cổ phiếu, tổng giá trị cổ phiếu có tài khoản, số dƣ tài khoản ngân hàng z - 66 Chỉ cho phép nhà đầu tƣ giao dịch: bán mã cổ phiếu, số lƣợng cổ phiếu có tài khoản, mua giới hạn số dƣ tài khoản ngân hàng Ngoài giao diện cung cấp đƣờng dẫn chuyển trang chủ, đăng xuất khỏi giao dịch Hình 4.8: Giao diện hiển thị tài khoản cá nhân 4.3.4 Đánh giá kết thử nghiệm chƣơng trình Để xây dựng hệ thống cách hoàn chỉnh thực đầy đủ chức yêu cầu thực tế đòi hỏi cần phải có thời gian dài Trong thời gian qua chúng tơi tìm hiểu tốn, tiến hành xây dựng hệ thống bƣớc đầu đạt đƣợc kết tƣơng đối khả quan với việc xây dựng xong số chức hệ thống đặt chạy thử nghiệm máy tính cá nhân xử lý giao dịch liên quan đến tài khoản tiền mặt ngân hàng nhà đầu tƣ cách trực tuyến Qua thời gian chạy thử nghiệm cho thấy chƣơng trình thực đƣợc chức đăng ký, đăng nhập, mua/bán cổ phiếu đặt đảm bảo đƣợc số vấn đề an toàn cần thiết giao dịch Cụ thể đƣợc mô tả qua kịch sau: - Kịch 1: công cách ăn cắp mật để đăng nhập hệ thống thành ngƣời dùng hợp pháp + Khi đăng nhập, hệ thống yêu cầu ngƣời dùng phải xác thực cách nhập tài khoản mật khẩu, mật đƣợc lƣu biến session đƣợc giải phóng sau ngƣời dùng đăng xuất z - 67 + Ngƣời dùng bình thƣờng khác khơng đăng nhập trái phép đƣợc khơng có tài khoản mật + Với ngƣời quản trị hệ thống (ngƣời nắm giữ sở liệu ngƣời dùng) đăng nhập đƣợc vào hệ thống kết lƣu sở liệu mật “thô” mà kết băm Hàm băm lại hàm chiều nên dù biết kết băm “khó” tìm đƣợc văn gốc (mật gốc) để đăng nhập - Kịch 2: công vào liệu đƣờng truyền từ nhà đầu tƣ (client) đến công ty chứng khoán (server) + Các phƣơng pháp mà attacker sử dụng để cơng liệu đƣờng truyền là: Sniffing, Man In The Middle, để từ đó, Hacker thu thập thơng tin đƣờng truyền, tập hợp lại để phân tích tìm thơng tin cần thiết cho việc công, mức độ cao sửa đổi thông tin client gửi đến server hay mạo danh client gửi yêu cầu đến server Sniffing chƣơng trình nghe trộm gói tin (cịn gọi chƣơng trình phân tích mạng, chƣơng trình phân tích giao thức hay chƣơng trình nghe trộm) Nó phần mềm máy tính có khả chặn ghi lại giao thông liệu qua mạng viễn thông số phần mạng Khi dòng liệu di chuyển qua lại mạng, chƣơng trình nghe trộm bắt lấy gói tin giải mã phân tích nội dung Tùy theo cấu trúc mạng (hub hay chuyển mạch), ngƣời ta nghe trộm tất phần giao thông liệu từ máy mạng [2] Giả danh địa MAC card mạng máy tính bị cơng, thay gói tin đƣợc truyền đến máy tính cần đến lại đƣợc chuyển đến máy tính có cài đặt ettercap trƣớc sau truyền đến máy tính đích Đây dạng công nguy hiểm đƣợc gọi Man In The Middle, trƣờng hợp phiên làm việc máy gửi máy nhận diễn bình thƣờng nên ngƣời sử dụng khơng hay biết bị công [2] + Hệ thống đƣợc cài đặt SSL cho máy chủ Web nên đảm bảo: Các bên giao tiếp xác thực tránh bị giả mạo Dữ liệu đƣờng truyền đƣợc mã hoá đảm bảo bí mật Kiểm tra tính tồn vẹn liệu - Kịch 3: công Web services cách thực dịch vụ không giao dịch hay nhà đầu tƣ hợp pháp + Các khả công xảy Hacker sửa liệu ngƣời dùng hợp pháp nhƣ số tiền tăng/giảm nhà đầu tƣ, làm sai lệch thông tin đến Web services z - 68 Hacker tìm cách để thực dịch vụ trái phép nhƣ tăng/giảm số lƣợng tiền ngân hàng mà thông qua giao dịch mua bán cổ phiếu cơng ty chứng khốn + Web service sử dụng công cụ WSE3.0 giao dịch đƣợc hệ thống xác nhận qua hai lần mật (mật tài khoản chứng khoán, mật tài khoản ngân hàng), xác thực ngƣời dung nên đảm bảo nhà đầu tƣ thực đƣợc giao dịch z - 69 - KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Kết luận Dịch vụ Web đƣợc triển khai ứng dụng nhiều lĩnh vực khác bao gồm lĩnh vực nhạy cảm, địi hỏi tính an tồn cao nhƣ tài chính, ngân hàng,… Do đó, dịch vụ Web cần đƣợc cung cấp mức an tồn đủ để hỗ trợ cơng việc nhƣ thế, điều quan trọng trình xây dựng dịch vụ Web Bằng việc sử dụng kỹ thuật đảm bảo an ninh dịch vụ Web giúp cho ngƣời sử dụng dịch vụ Web trở nên an tâm Việc chọn chế an tồn cho dịch vụ Web phải địi hỏi cho ngƣời dùng khơng cảm thấy q phức tạp hay gị bó mà phải tạo nên suốt với ngƣời dùng Do đó, chọn chế an tồn dịch vụ Web phụ thuộc nhiều vào loại dịch vụ tính mà dịch vụ cung cấp Bên cạnh cịn điểm cần quan tâm an tồn khơng phụ thuộc vào giải thuật, tiêu chuẩn, chế an ninh dịch vụ Web mang lại, mà cịn tùy vào thái độ cơng ty có hiểu rõ tầm quan trọng an tồn thơng tin triển khai ứng dụng, giao dịch mạng hay không cần thiết Về mặt nội dung, đóng góp luận văn bao gồm: - Tổng hợp, nghiên cứu, phân tích SOA cơng nghệ dịch vụ Web nhƣ thành phần nó, cách tích hợp chúng theo chuẩn, đặc biệt tìm hiểu kỹ thuật, công nghệ đảm bảo an ninh dịch vụ Web nhƣ cơng nghệ bảo mật SSL, WSE3.0, - Viết chƣơng trình chạy thành công với hệ thống kết nối ngân hàng cơng ty chứng khốn, hệ thống thực chức đăng ký, đăng nhập, xử lý trực tuyến giao dịch liên quan đến tiền nhà đầu tƣ mua/bán cổ phiếu đảm bảo an tồn cần thiết cách: Cấu hình chạy https (SSL) cho máy chủ Web bên công ty chứng khoán Tầng bảo mật kết nối sử dụng giao thức SSL độ dài mã hóa 128 bit để bảo mật mã hóa thơng tin trao đổi đƣờng truyền liệu để đối tƣợng xem đƣợc nội dung thông tin trao đổi, chứng thực client server cần thực trao đổi tin Sử dụng WSE để hỗ trợ kỹ thuật bảo mật dịch vụ web nhƣ:quản lý quyền truy cập ngƣời dùng giúp cho việc ngƣời thực có quyền truy cập vào hệ thống chế xác thực ngƣời dùng; đảm bảo tính tồn vẹn liệu đƣờng truyền z - 70 Ngoài ra, sử dụng hàm băm để bảo vệ mật đăng nhập tài khoản lƣu sở liệu hai server Hƣớng phát triển tƣơng lai Với hƣớng nghiên cứu này, có điều kiện, luận văn cố gắng phát triển thêm nội dung sau: - Hệ thống cho phép kết nối ngân hàng với nhiều cơng ty chứng khốn ngƣợc lại, giúp hỗ trợ nhà đầu tƣ linh hoạt việc sử dụng hệ thống tài khoản đặt công ty khác - Triển khai hệ thống với nhiều chức cho phía cơng ty chứng khốn ngân hàng nhƣ phân tích thơng tin đến từ cơng ty chứng khốn khác đặc biệt cho phép tƣơng tác hai chiều ngân hàng cơng ty chứng khốn, thơng kê, báo cáo định kỳ giao dịch nhà đầu tƣ - Lƣu lại lịch sử giao dịch để đáp ứng việc đối sốt thơng tin hai hệ thống lõi ngân hàng chứng khoán, cung cấp đầy đủ thông tin lƣu vết giúp cho việc kiểm soát kết nối thật dễ dàng thuận tiện - Thiết kế theo kiến trúc đại, đa lớp cho phép triển khai thành phần hệ thống server khác nhau, làm giảm thiểu khả xảy lỗi, nhƣ sử dụng hệ sở liệu Oracle, cho phép hệ thống sẵn sàng hoạt động - Thêm chức chạy offline (chạy chế độ không kết nối) đảm bảo giúp cho công ty chứng khốn khơng bị gián đoạn giao dịch q lâu bị đứt đƣờng truyền ngân hàng Đồng giao dịch Offline có kết nối với ngân hàng - Xây dựng dịch vụ Web để phát triển ứng dụng client dùng thiết bị di động cầm tay z - 71 - TÀI LIỆU THAM KHẢO [1] Bộ tài (2007), Quyết định 27/2007/QĐ-BTC việc ban hành Quy chế tổ chức hoạt động cơng ty chứng khốn [2] Vũ Đình Cƣờng (2008), Tìm Hiểu Các Kiểu Tấn Cơng Cơ Bản & Phương Pháp Phòng Chống, Nhà xuất Lao động - Xã hội [3] Phạm Hữu Khang (2007), Tập 5: Lập Trình ASP.Net - Quyển 4: Đối Tượng ADO.Net 2.0 Và XML, Nhà xuất Lao động - Xã hội [4] Nguyễn Văn Lân (2008), Kỹ Thuật Xây Dựng Ứng Dụng ASP.NET - Tập 2, Nhà xuất Lao động - Xã hội [5] Nguyễn Ngọc Bình Phƣơng, Thái Kim Phụng, Lê Ngọc Sơn, Nguyễn Hoàng Thanh Nhàn (2005), Các giải pháp lập trình ASP.NET, Nhà xuất Giao thông vận tải [6] Dƣơng Anh Đức, Trần Minh Tri (2005), Mã hoá ứng dụng, Đại học Quốc gia thành phố Hồ Chí Minh [7] Trung tâm Tin học (2005), Lập trình ứng dụng Web với ASP.NET, Đại học Khoa học Tự nhiên Tp.HCM [8] Hồng Phúc, KS.Nguyễn Ngọc Tuấn (2005), Công nghệ bảo mật, Nhà xuất Thống kê [9] VN-Guide (2004), Visual Basic.NET, Nhà xuất Thống kê [10] Thái Hồng Nhị, Phạm Minh Việt (2004), An tồn thơng tin, Nhà xuất Khoa học Kỹ thuật [11] D Booth, H Haas, F McCabe, E Newcomer, M Champion, C Ferris, D Orchard (2004) Web Services Architecture [12] Ethan Cerami (2002), Web Services Essentials Distributed Applications with XML-RPC, SOAP, UDDI & WSDL, O'Reilly Hill [13] Rob High, Stephen Kinder, Steve Graham (2005), IBM's SOA Foundation - An Architectural Introduction and Overview - Version 1.0 [14] Microsoft (2008), Web Service Security Scenarios, Patterns, and Implementation Guidance for Web Services Enhancements (WSE) 3.0, Microsoft Hill [15] Eric Rescola, Addison Wesley (2001), SSL and TLS Designing and Building Secure Systems z - 72 [16] An introduction to Web Service Security using http://www.codeproject.com/KB/webservices/WS-Security.aspx WSE, [17] Building SOA Solutions and Managing the Service Lifecycle, http://wiki.nectec.or.th/setec/Knowledge/BuildingSOASolutionsandManagingth eServiceLifecycle [18] Các giao thức bảo mật SSL TLS - Phần II: Cấu trúc giao thức SSL, http://vnexperts.net/content/view/555/1/ [19] Các giao thức bảo mật SSL TLS - Phần III: SSL Record Protocol, http://vnexperts.net/content/view/556/1/ [20] Các giao thức bảo mật SSL TLS - Phần VI: SSL Handshake Protocol, http://vnexperts.net/content/view/557/1/ [21] Dịch vụ web, http://vi.wikipedia.org/wiki/D%E1%BB%8Bch_v%E1%BB%A5_web [22] Implement Secure NET Web Services http://www.devx.com/security/Article/15634 with WS-Security, [23] Kerberos (protocol), http://en.wikipedia.org/wiki/Kerberos_(protocol) [24] Security Assertion Markup Language, http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language [25] Using WSE 3.0 Today to Secure Web Services for Tomorrow, http://www.devsource.com/c/a/Using-VS/Using-WSE-30-Today-to-SecureWeb-Services-for-Tomorrow/ [26] Ứng dụng an tồn cơng nghệ web services, http://www.dostbinhdinh.org.vn/MagazineNewsPage.asp?TinTS_ID=719&TS_I D=64 [27] X.509, http://en.wikipedia.org/wiki/X.509 [28] Web Security, http://technet.microsoft.com/en-us/library/cc767139.aspx [29] WS-Security, http://en.wikipedia.org/wiki/WS-Security [30] Web Services Glossary, http://www.w3.org/TR/ws-gloss/ [31] What's New in Web Services Enhancements http://msdn.microsoft.com/en-us/library/ms977317.aspx z (WSE) 3.0, -1- ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ LƯƠNG THANH NHẠN NGHIÊN CỨU VỀ AN NINH DỊCH VỤ WEB LUẬN VĂN THẠC SĨ HÀ NỘI - 2009 z -2- ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ LƯƠNG THANH NHẠN NGHIÊN CỨU VỀ AN NINH DỊCH VỤ WEB Ngành : Công nghệ thông tin Chuyên ngành : Công nghệ phần mềm Mã số : 60.48.01 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: TS TRƯƠNG NINH THUẬN HÀ NỘI - 2009 z ... phá dịch vụ: tập trung dịch vụ vào nơi đƣợc đăng ký, từ giúp dịch vụ Web dễ dàng khám phá dịch vụ có mạng, tốt việc tìm kiếm dịch vụ khác để tƣơng tác Một dịch vụ Web phải tiến hành đăng ký để dịch. .. SOA giúp dịch vụ web thành cơng Và đặc biêt q trình internet hóa dịch vụ hiên nay, triển khai dịch vụ dịch vụ Web điều “tất nhiên” z - 30 - Chƣơng CÁC KỸ THUẬT ĐẢM BẢO AN NINH DỊCH VỤ WEB Trong... Integration 25 2.3.5 Xây dựng dịch vụ Web 26 2.3.6 Tích hợp dịch vụ Web theo chuẩn 27 2.4 SOA dịch vụ Web 29 Chƣơng CÁC KỸ THUẬT ĐẢM BẢO AN NINH DỊCH VỤ WEB 30 3.1 SAML -Security