-3- LỜI CAM ĐOAN Tôi xin cam đoan kết đạt đƣợc luận văn nghiên cứu, sƣu tầm, tổng hợp xếp lại phù hợp với yêu cầu luận văn Toàn điều đƣợc trình bày luận văn cá nhân, đƣợc tham khảo tổng hợp từ nguồn tài liệu khác Tất tài liệu tham khảo, tổng hợp đƣợc trích dẫn với nguồn gốc rõ ràng Tồn chƣơng trình, mã nguồn thiết kế xây dựng, không chép chƣa đƣợc công bố phƣơng tiện Tơi xin chịu hồn tồn trách nhiệm lời cam đoan Nếu có điều sai trái, tơi xin chịu hình thức kỷ luật theo qui định Hải Phòng, tháng năm 2009 Học viên Lƣơng Thanh Nhạn -4- LỜI CẢM ƠN Trƣớc hết xin đƣợc bày tỏ trân trọng lòng biết ơn thầy giáo TS Trƣơng Ninh Thuận, giảng viên Bộ môn Công nghệ phần mềm, Khoa Công nghệ thông tin, Trƣờng Đại học Công nghệ, Đại học Quốc Gia Hà Nội Trong suốt thời gian học làm luận văn tốt nghiệp, Thầy dành nhiều thời gian q báu để tận tình bảo, hƣớng dẫn cho bƣớc nghiên cứu thực luận văn Tôi xin đƣợc gửi lời cảm ơn sâu sắc tới thầy cô giáo tận tình giảng dạy suốt trình học tập, đọc nhận xét luận văn giúp cho hiểu thấu đáo lĩnh vực nghiên cứu Tôi xin bày tỏ lòng cảm ơn chân thành tới bạn bè, đồng nghiệp trƣờng Cao đẳng công nghệ Viettronics toàn thể thành viên lớp K13T4 tạo điều kiện thuận lợi trình học tập Cuối cùng, tơi xin dành tình cảm biết ơn tới thành viên gia đình Những ngƣời bên cạnh tôi, giúp đỡ, động viên mặt suốt thời gian theo học cao học nhƣ trình thực luận văn Hải Phòng, tháng năm 2009 Học viên Lƣơng Thanh Nhạn -5- MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC BẢNG CÁC CHỮ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ/BẢNG MỞ ĐẦU Chƣơng MÔ TẢ BÀI TOÁN 11 1.1 Tính cấp thiết 11 1.2 Bài toán nghiệp vụ 12 Chƣơng SOA VÀ DỊCH VỤ WEB 13 2.1 Dịch vụ 13 2.2 Kiến trúc hƣớng dịch vụ - SOA 13 2.2.1 Mơ hình SOA 15 2.2.2 Ƣu, nhƣợc điểm SOA 16 2.2.3 Lợi ích sử dụng SOA 17 2.3 Công nghệ Web service 18 2.3.1 Định nghĩa 18 2.3.2 Đặc điểm 18 2.3.3 Kiến trúc dịch vụ Web 19 2.3.4 Các thành phần đƣợc sử dụng dịch vụ Web 21 2.3.4.1 XML – eXtensible Markup Language 21 2.3.4.2 SOAP - Simple Object Access Protocol 22 2.3.4.3 WSDL - Web Services Description Language 23 2.3.4.4 UDDI – Universal Description, Discovery and Integration 25 2.3.5 Xây dựng dịch vụ Web 26 2.3.6 Tích hợp dịch vụ Web theo chuẩn 27 2.4 SOA dịch vụ Web 29 Chƣơng CÁC KỸ THUẬT ĐẢM BẢO AN NINH DỊCH VỤ WEB 30 3.1 SAML -Security Assertion Markup Language 30 3.2 Giao thức Kerberos 30 3.3 Chứng số 31 3.3.1 Chứng số gì? 31 3.3.2 Những lợi ích sử dụng chứng số 32 -63.3.3 Quá trình hoạt động chứng số 33 3.3.4 Chứng nhận X.509 34 3.4 Cấu trúc giao thức bảo mật SSL 35 3.4.1 SSL Record Protocol 38 3.4.2 SSL Handshake Protocol 40 3.5 Giao thức HTTPS 45 3.5.1 HTTPS gì? 45 3.5.2 Triển khai HTTPS cho Web server 46 3.6 An ninh dịch vụ Web 53 3.6.1 Đặc điểm An ninh dịch vụ Web 56 3.6.2 Web Services Enhancements - WSE 57 Chƣơng XÂY DỰNG HỆ THỐNG VÀ ĐÁNH GIÁ KẾT QUẢ 58 4.1 Mô tả hệ thống cần xây dựng 58 4.1.1 Hoạt động đăng ký tài khoản 58 4.1.2 Hoạt động đăng nhập tài khoản 59 4.1.3 Hoạt động giao dịch 59 4.2 Giải pháp thực 59 4.2.1 Các tiêu chí cho giải pháp kết nối 59 4.2.2 Giải pháp 60 4.3 Triển khai hệ thống đánh giá kết 61 4.3.1 Lựa chọn ngơn ngữ lập trình 61 4.3.2 Triển khai hệ thống 62 4.3.2.1 Kiến trúc tổng quát 62 4.3.2.2 Mô hình triển khai 62 4.3.3 Các chức hệ thống 63 4.3.3.1 Đăng ký tài khoản ngân hàng 63 4.3.3.2 Hiển thị thông tin trang chủ 64 4.3.3.3 Đăng nhập hệ thống 65 4.3.3.4 Hiển thị thông tin tài khoản 65 4.3.3.5 Đăng ký tài khoản 64 4.3.4 Đánh giá kết thử nghiệm chƣơng trình 66 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 69 TÀI LIỆU THAM KHẢO 71 -7- BẢNG CÁC CHỮ VIẾT TẮT Viết tắt BLL CA FTP HMAC HTML HTTP HTTPS IANA IMAP IRC MAC NSIIOP Oasis OOP POP3 RPC SOA SAML SMTP SOAP SSL TCP/IP Telnet TLS UDDI Web APIs WS WSDL WSS XML Tên đầy đủ Business Logic Layer Certificate Authority File Transfer Protocol Hash Message Authentication Code HyperText Markup Language Hypertext Transfer Protocol HTTP over SSL or HTTP Secure Internet Asigned Numbers Authority Internet Message Access Protocol Internet Relay Chat Media Access Control Name Service Internet Inter-Orb Protocol) Organization for the Advancement of Structured Information Standards Object Oriented Model Post Office Protocol version Remote procedure call Service Oriented Architecture Security Assertion Markup Language Simple Mail Transfer Protocol Simple Object Access Protocol Secure Sockets Layer Transmission Control Protocol/Internet Protocol Telecommunication network Transport Layer Security Universal Description, Discovery, and Integration Web Advanced Papyrological Information System Web services Web Service Description Language Web Service Sercurity eXtensible Markup Language -8- DANH MỤC CÁC HÌNH VẼ/BẢNG Số Hình 2.1 Hình 2.2 Hình 2.3 Hình 2.4 Hình 2.5 Hình 3.1 Bảng Bảng Bảng Hình 4.1 Hình 4.2 Hình 4.3 Hình 4.4 Hình 4.5 Hình 4.6 Hình 4.7 Hình 4.8 Tên hình/bảng Chồng giao thức web service Kiến trúc sâu Web service Cấu trúc thông điệp SOAP Cấu trúc WSDL Mỗi liên hệ thành phần Web Service Cấu trúc giao thức SSL Các số cổng đƣợc gán cho giao thức ứng dụng chạy TLS/SSL Các thành phần thông tin trạng thái Session SSL Các thành phần thông tin trạng thái kết nối SSL Biểu đồ hoạt động Kiến trúc tổng qt Mơ hình triển khai Giao diện đăng ký tài khoản ngân hàng Giao diện hiển thị thông tin trang chủ Giao diện đăng ký tài khoản chứng khoán Giao diện đăng nhập Giao diện hiển thị tài khoản cá nhân Trang 20 21 23 24 27 35 37 37 38 58 62 62 65 64 64 65 66 -9- MỞ ĐẦU Hiện nay, công nghệ web services đƣợc triển khai, ứng dụng nhiều lĩnh vực khác bao gồm lĩnh vực nhạy cảm , đòi hỏi tính an tồn cao nhƣ tài , ngân hàng, quân sự,… và mang l ại nhiều thành quả , lợi ích to lớn cho tổ chức , doanh nghiệp, tập thể, cá nhân, Bên cạnh mặt đƣợc cơng nghệ web services việc đảm bảo an toàn, tin cậy, toàn vẹn, thông tin trao đổi web services điều quan trọng Bởi yên tâm, tin tƣởng để sử dụng dịch vụ thƣơng mại nhƣ mua chứng khoán hay chuyển tiền trực tuyến mà lại khơng có mợt an toàn cần thiết Kinh doanh chứng khoán hoạt động diễn phổ biến nay, phận xã hội không nhỏ, nhƣng công việc giao dịch chủ yếu tiền mặt, công việc làm nhiều thời gian công sức nhƣ làm hạ thấp tính xác bảo mật thơng tin cá nhân nhà đầu tƣ Đồng thời, theo Quy định Bộ Tài ban hành ngày 24 tháng năm 2007 “ Cơng ty chứng khốn phải quản lý tiền gửi giao dịch chứng khoán khách hàng tách biệt khỏi tiền cơng ty chứng khốn Cơng ty chứng khốn khơng trực tiếp nhận tiền giao dịch chứng khoán khách hàng ” [1] Đề tài “Nghiên cứu an ninh dịch vụ Web” nhằm mục đích nghiên cứu, tìm hiểu cơng nghệ web services, vấn đề bảo mật liên quan sử dụng chúng để giải toán “Kết nối ngân hàng với cơng ty chứng khốn” cách an toàn, hiệu nhằm tạo điều kiện thuận lợi cho việc giao dịch chứng khốn giúp cho thơng tin đƣợc minh bạch Kết đạt đƣợc luận văn: - Nghiên cứu vấn đề: kiến trúc hƣớng dịch vụ, công nghệ Web services kỹ thuật đảm bảo an ninh Web services, nội dung tốn “Kết nối ngân hàng với cơng ty chứng khoán” hƣớng giải toán - Phát triển chƣơng trình “Giao dịch chứng khốn thơng qua tài khoản ngân hàng” với chức bản: đăng ký tài khoản chứng khoán mới, đăng nhập để mua/bán cổ phiếu tích hợp kỹ thuật đảm bảo an ninh cho hệ thống Nội dung luận văn gồm chƣơng: Chƣơng Mơ tả tốn Bài tốn “Giải pháp kết nối ngân hàng với cơng ty chứng khốn” địi hỏi đồng thơng tin ngân hàng cơng ty chứng khốn, cho phép thực giao dịch tài khoản nhà đầu tƣ - 10 Chƣơng SOA dịch vụ Web Giới thiệu kiến trúc hƣớng dịch vụ, ƣu nhƣợc điểm nhƣ đặc điểm SOA, tìm hiểu dịch vụ Web, thành phần cấu thành nên dịch vụ Web vài đặc điểm Chƣơng Các kỹ thuật đảm bảo an ninh dịch vụ Web Trình bày kỹ thuật đảm bảo an ninh dịch vụ Web nhƣ công nghệ bảo mật SSL thành phần nó, chứng số, giao thức Kerberos, giao thức https, tiêu chí đảm bảo an tồn cho Web services Chƣơng Xây dựng hệ thống đánh giá kết Trình bày tiêu chí tính giải pháp từ đƣa giải pháp thực Phân tích lựa trọn ngơn ngữ, triển khai chƣơng trình theo chức hệ thống đánh giá kết kết Cuối kết luận hƣớng phát triển đề tài - 11 - Chƣơng MƠ TẢ BÀI TỐN 1.1 Tính cấp thiết Cơng việc giao dịch mua/bán cổ phiếu chủ yếu trực tiếp tiền mặt Đặc biệt đại đa số cơng ty chứng khốn giữ tồn số tiền tham gia chứng khoán nhà đầu tƣ Công việc làm nhiều thời gian, công sức nhƣ hạ thấp tính xác bảo mật thông tin nhà đầu tƣ Nhằm bảo vệ nhà đầu tƣ, tạo công cho cơng ty chứng khốn, thống chế quản lý vĩ mơ hƣớng tới tài không tiền mặt Việt Nam Ngày 20/11/2007, Ủy ban Chứng khốn Nhà nƣớc thơng báo việc thực quản lý tiền gửi giao dịch chứng khoán ngƣời đầu tƣ theo quy định Quyết định 27/2007/QĐ-BTC Trong Quyết định 27/2007/QĐ-BTC có nội dung: “ Điều 32 Quản lý tiền chứng khoán khách hàng Quản lý tiền khách hàng: a) Công ty chứng khoán phải quản lý tiền gửi giao dịch chứng khoán khách hàng tách biệt khỏi tiền cơng ty chứng khốn Cơng ty chứng khốn khơng trực tiếp nhận tiền giao dịch chứng khoán khách hàng; b) Khách hàng cơng ty chứng khốn phải mở tài khoản tiền tại ngân hàng thương mại công ty chứng khoán lựa chọn ” [1] Vậy là, cơng ty chứng khốn khơng đƣợc trực tiếp nhận tiền mà phải ủy quyền cho ngân hàng thƣơng mại quản lý tiền nhà đầu tƣ Nhà đầu tƣ mở tài khoản ngân hàng thƣơng mại công ty chứng khoán lựa chọn Quy định đem lại an toàn tiền gửi cho khách hàng cơng ty chứng khốn gặp khó khăn hoạt động kinh doanh, đồng thời đảm bảo lợi ích lãi suất, khả toán, cho nhà đầu tƣ Điều có nghĩa nhà đầu tƣ nộp tiền, rút tiền ngân hàng thực việc giao dịch chứng khốn cơng ty chứng khốn Nhà đầu tƣ phải thay đổi thói quen nay: mở tài khoản, nộp tiền vào tài khoản sàn để đặt lệnh mua cổ phiếu rút tiền bán chứng khoán sàn giao dịch toàn tiền khách hàng đƣợc quản lý cơng ty chứng khốn Tuy nhiên, chuyển qua hình thức quản lý mới, khó khăn lớn nằm chỗ hệ thống thông tin nhiều cơng ty chứng khốn cịn chƣa kết nối đƣợc với hệ thống ngân hàng Khi đó, khách hàng mang tiền đến gửi vào tài khoản ngân hàng gặp khó khăn việc sử dụng đồng vốn đó, dẫn đến bỏ lỡ hội giao dịch Bên cạnh đó, cơng ty chứng khốn gặp phải khó khăn kiểm tra tiền khách hàng Ngân hàng có đủ hay không trƣớc thực lệnh - 12 mua chứng khốn Hơn nữa, cơng ty chứng khốn cịn phải bảo đảm kết nối đƣợc lúc với nhiều ngân hàng lớn, đa số nhà đầu tƣ gửi tiền ngân hàng lớn khác nhau, ngƣợc lại, ngân hàng mong muốn có đƣợc kết nối với nhiều cơng ty chứng khốn để hình thành nên mạng lƣới thông suốt, tạo hiệu hoạt động Đây thách thức không nhỏ với ngân hàng, đặc biệt cơng ty chứng khốn thực trạng hạ tầng công nghệ thông tin bên khác biệt, với mức độ sẵn sàng khác 1.2 Bài toán nghiệp vụ Các cơng ty chứng khốn cần ký kết với ngân hàng lựa chọn để nhà đầu tƣ mở tài khoản đƣợc cung cấp ln tài khoản ngân hàng Dịch vụ cơng ty chứng khốn quản lý, cung cấp thông tin cổ phiếu (tên cổ phiếu, mã cổ phiếu, đơn giá, ) thông tin cá nhân nhà đầu tƣ (tên nhà đầu tƣ, chứng minh thƣ nhân dân, địa chỉ, ) Dịch vụ ngân hàng cung cấp thơng tin chủ tài khoản (tên chủ tài khoản, địa chỉ, ,số dƣ tài khoản) Sau đƣợc cấp tài khoản chứng khoán nhà đầu tƣ đƣợc đăng nhập vào tài khoản thực hoạt động mua/bán cổ phiếu: - Mua: nhà đầu tƣ điền mã số lƣợng cổ phiếu cần mua, mật tài khoản ngân hàng Nếu tổng giá trị số lƣợng cổ phiếu nhà đầu tƣ thực mua vƣợt số dƣ có nhà đầu tƣ tài khoản ngân hàng giao dịch khơng đƣợc thực Ngƣợc lại tiến hành mua cổ phiếu, cổ phiếu mà nhà đầu tƣ mua có tài khoản số lƣợng cổ phiếu đƣợc cập nhật lại cịn chƣa có cổ phiếu đƣợc thêm vào tài khoản chứng khoán nhà đầu tƣ số tiền dùng để mua cổ phiếu đƣợc trừ vào tài khoản tƣơng ứng ngân hàng nhà đầu tƣ - Bán: nhà đầu tƣ điền mã số lƣợng cổ phiếu cần bán, mật tài khoản ngân hàng Nhà đầu tƣ thực lệnh bán cổ phiếu có tài khoản chứng khốn họ số lƣợng cổ phiếu bán không đƣợc vƣợt số lƣợng cổ phiếu có tài khoản Nếu thơng tin hợp lệ tiến hành việc bán cổ phiếu Số tiền có đƣợc bán cổ phiếu đƣợc đƣa vào tài khoản tƣơng ứng ngân hàng nhà đầu tƣ Nếu số cổ phiếu mà nhà đầu tƣ bán số lƣợng có thơng tin số cổ phiếu đƣợc cập nhật lại bán hết số cổ phiếu cổ phiếu bán đƣợc xoá khỏi tài khoản chứng khoán nhà đầu tƣ Để đáp ứng đƣợc yêu cầu tốn đặt ra, đặc biệt tồn giao dịch đƣợc đảm bảo xác, an tồn cho bên tham gia không sử dụng tới kiến thức lĩnh vực Công nghệ thông tin nhƣ: kiến trúc hƣớng dịch vụ, dịch vụ Web kỹ thuật đảm bảo an ninh dịch vụ Web Các chƣơng sau lần lƣợt trình bày vấn đề ... phá dịch vụ: tập trung dịch vụ vào nơi đƣợc đăng ký, từ giúp dịch vụ Web dễ dàng khám phá dịch vụ có mạng, tốt việc tìm kiếm dịch vụ khác để tƣơng tác Một dịch vụ Web phải tiến hành đăng ký để dịch. .. Integration 25 2.3.5 Xây dựng dịch vụ Web 26 2.3.6 Tích hợp dịch vụ Web theo chuẩn 27 2.4 SOA dịch vụ Web 29 Chƣơng CÁC KỸ THUẬT ĐẢM BẢO AN NINH DỊCH VỤ WEB 30 3.1 SAML -Security... qua Web cách dùng URL - Dịch vụ Web liên lạc với giới bên dùng thông điệp XML gửi trực tiếp qua giao thức Web - Dịch vụ Web đƣợc đăng ký địa cố định đƣợc đặc tả tất dịch vụ cung cấp - Dịch vụ Web