1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu giải pháp bảo mật và xác thực website

87 927 5

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 87
Dung lượng 1,72 MB

Nội dung

Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website Nghiên cứu giải pháp bảo mật và xác thực website

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI TRỊNH HỒNG LÂM TRỊNH HỒNG LÂM KHOA HỌC MÁY TÍNH NGHIÊN CỨU GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC WEBSITE LUẬN VĂN THẠC SĨ MÁY TÍNH K16 HÀ NỘI, 2014 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI TRỊNH HỒNG LÂM NGHIÊN CỨU GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC WEBSITE Chuyên ngành: Khoa học máy tính Mã số: 60 48 01 01 LUẬN VĂN THẠC SĨ MÁY TINH Người hướng dẫn khoa học: TS. Nguyễn Viết Thế HÀ NỘI, 2014 LỜI CẢM ƠN Lời đầu tiên, với tất lòng kính trọng biết ơn sâu sắc em xin gửi lời cảm ơn tới thầy giáo hướng dẫn Ts. Nguyễn Viết Thế, tạo điệu kiện, hướng dẫn, dẫn tận tình cho luận văn. Em xin chân thành cảm ơn tới thầy giáo Ts. Hồ Văn Hương giúp đỡ em nhiều trình học tập nghiên cứu. Xin cám ơn Khoa Công nghệ Thông tin, Phòng Sau đại học, Trường Đại học Sư phạm Hà Nội tận tâm giảng dạy, cung cấp cho kiến thức, phương pháp nghiên cứu khóa học trình thực luận văn. Em xin gửi lời cảm ơn tới gia đình, bạn bè đồng nghiệp cổ vũ động viên em trình học tập làm luận văn. Mặc dù cố gắng nghiên cứu, tìm hiểu đề tài tránh khỏi sai sót định, mong nhận đóng góp chia sẻ quý thầy cô bạn bè. Em xin chân thành cảm ơn! Hà Nội, tháng 12 năm 2014 TÁC GIẢ LUẬN VĂN Trịnh Hồng Lâm LỜI CAM ĐOAN Tôi xin cam đoan số liệu kết nghiên cứu luận văn trung thực không trùng lặp với đề tài khác. Tôi xin cam đoan giúp đỡ cho việc thực luận văn cảm ơn thông tin trích dẫn luận văn rõ nguồn gốc. TÁC GIẢ LUẬN VĂN Trịnh Hồng Lâm MỤC LỤC Trang bìa phụ………………………………………….………………………. Lời cảm ơn Lời cam đoan . Mục lục………………………………………………………………………… Danh mục ký hiệu chữ viết tắt . Danh mục hình vẽ . Danh mục bảng . MỞ ĐẦU . Chương 1. CƠ SỞ LÝ THUYẾT AN TOÀN THÔNG TIN 1.1. Tổng quan an toàn thông tin 1.2. Cơ sở khoa học an toàn thông tin . 1.2.1. Khái niệm mật mã …………………………………………… 1.2.2. Mã hóa giải mã liệu ……………………………………… .7 1.2.3. Hệ mật mã khoá đối xứng ……………………………………… 1.2.4. Hệ mật mã khóa công khai ……………………………………….9 1.2.5. Thuật toán mã hóa RSA ……………………………………… .10 1.2.6. Hàm băm ……………………………………………………… 14 1.2.7. Chữ ký số ……………………………………………………… 20 1.3. Các nguy rủi ro an toàn hệ thống thông tin 25 1.3.1. Nguy an toàn hệ thống thông tin ……………… .25 1.3.2. Đánh giá xử lý nguy an toàn thông tin …………….25 1.3.3. Rủi ro quản lý rủi ro an toàn thông tin …………………26 1.3.4. Quản trị bảo mật hệ thống thông tin ………………………….27 1.4. Giải pháp xây dựng hệ thống bảo mật thông tin 27 1.4.1. Mục tiêu hệ thống ……………………………………………….27 1.4.2. Xây dựng chế sách bảo mật ……………………… .28 1.4.3. Giải pháp xây dựng hệ thống ……………………………………29 Chương 2. GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC TRONG WEBSITE 31 2.1. Giới thiệu trình phát triển hoạt động website 31 2.2. Nguy an toàn website 32 2.3. Các loại hình công website . 35 2.3.1. Tấn công vào vùng ẩn ………………………………………… 35 2.3.2. Can thiệp vào tham số URL ……………………………… 35 2.3.3. Tấn công dùng cookie ………………………………………… 37 2.3.4. Tấn công từ chối dịch vụ DoS (Denial of Service) …………… 37 2.3.5. Các cách công chữ ký điện tử ……………………………….39 2.4. Giải pháp bảo mật website . 40 2.5. Giải pháp xác thực Website 41 2.5.1. Username Password ………………………………………….41 2.5.2. Giải pháp kiểm soát truy nhập hệ thống SSO ………………… 41 2.5.3. Xác thực máy chủ SSL ……………………………………48 2.5.4. Xác thực sử dụng token ………………………………………….50 2.5.5. Giải pháp ký số, xác thực tài liệu tảng Web ………… .50 2.5.6. Xây dựng giải pháp ký số tảng Web ………………… 54 Chương 3. ĐỀ XUẤT GIẢI PHÁP . 58 VÀ TRIỂN KHAI XÂY DỰNG HỆ THỐNG . 58 3.1. Phân tích yêu cầu thiết kế ứng dụng . 58 3.1.1. Yêu cầu toán ……………………………………………… .58 3.1.2. Sơ đồ ứng dụng …………………………………………………58 3.1.3. Môi trường hệ thống …………………………………………….61 3.1.4. Thiết kế sở liệu ………………………………………… .62 3.1.5. USB Token …………………………………………………… .62 3.2. Xây dựng ứng dụng 64 3.2.1. Server ……………………………………………………………64 3.2.2. Client ………………………………………………………… . 65 KẾT LUẬN . 71 TÀI LIỆU THAM KHẢO . 73 DANH MỤC CÁC KÝ HIỆU VÀ CÁC CHỮ VIẾT TẮT Stt Từ viết tắt Ý nghĩa từ viết tắt CA Certificate Authority CIA Confidentiality, Itegrity, Authentication CSS Cascading Style Sheets CAS Central Authenticate Service DoS Denial of Service DNA Deoxiribo Nucleic Acid DdoS Distributed Denial of Service HTML HyperText Markup Language HTTP Hypertext Transfer Protocol 10 JKS Java key Store 11 LDAP Lightweight Directory Access Protoco 12 NIST National Institute of Standards and Technology 10 OpenSSO Open Single Sign On 13 OTP One Time Password 14 PKI Public Key Infrastructure 15 SHA Secure Hash Algorithm 16 SSO Single Sign On 17 SSL Secure Socket Layer 18 ST Service Ticket 19 URL Uniform Resource Locator 20 CERT Computer Emegency Response Team 21 PKCS Public Key Cryptography Standards DANH MỤC CÁC HÌNH VẼ Ý NGHĨA STT TRANG Hình 1.1 Quá trình mã hoá giải mã liệu Hình 1.2 Mã hóa với khóa mã giải mã giống Hình 1.3 Mã hóa với khóa mã giải mã khác 10 Hình 1.4 Sơ đồ bước thực mã hóa theo thuật toán RSA 11 Hình 1.5 Sơ đồ ký tóm lược thông báo 16 Hình 1.6 Sử dụng chữ ký số để kiểm tra tính toàn vẹn liệu 18 Hình 1.7 Thông tin bị lấy trộm bị thay đổi đường truyền 18 Hình 1.8 Sơ đồ vòng lặp SHA 21 Hình 1.9 Mô hình C - I – A 28 Hình 2.1 Mô hình hoạt động Website 32 Hình 2.2 Mô tả công DoS 37 Hình 2.3 Biểu đồ trình tự modul mã hóa hoạc giải mã 40 Hình 2.4 Sơ đồ truyền tin có mã hoá giải mã website 41 Hình 2.5 Mô hình đăng nhập OpenSSO 44 Hình 2.6 Cơ chế hoạt động OpenSSO 45 Hình 2.7 Người dùng truy cập vào ứng dụng chứng 47 thực… Hình 2.8 Người dùng truy cập ứng dụng mà chưa chứng thực 48 với Hình 2.9 Mô hình ký số liệu Server 52 Hình 2.10 Mô hình tổng quan 54 Hình 2.11 Lược đồ ký số web 56 Hình 2.12 Lược đồ xác thực ký số 57 Hình 3.1 Sơ đồ đăng kí token đăng kí tài khoản 59 Hình 3.2 Sơ đồ đăng nhập 59 Hình 3.3 Trao đổi Client A Client B 60 Hình 3.4 Trao đổi Server – Client 61 Hình 3.5 Chức Server 61 Hình 3.6 Chức người dùng Client 62 Hình 3.7 Thiết kế sở liệu 62 Hình 3.8 USB Token Viettel 62 Hình 3.9 Màn hình Server 64 Hình 3.10 Màn hình quản lý tài khoản 65 Hình 3.11 Màn hình thêm tài khoản 65 Hình 3.12 Màn hình đăng nhập pin Usb token 66 Hình 3.13 Màn hình đăng nhập user 66 Hình 3.14 Màn hình Client 67 Hình 3.15 Màn hình chọn file 67 Hình 3.16 Màn hình lưu file 67 Hình 3.17 Màn hình cảnh báo không thấy token 68 Hình 3.18 So sánh file mã hóa gốc 68 Hình 3.19: Ký số liệu 69 Hình 3.20 Xác thực liệu 69 61 Xác thực thành công Hình 3.4: Trao đổi Server – Client 3.1.3. Môi trường hệ thống 3.1.3.1. Các thành phần hệ thống Quản trị Server: Là người quản lý server, khởi động, tắt Server. Quản lý thêm sửa xóa tài khoản người sử dụng. Có thể chat gửi file đồng thời tới Client online. Người dùng: Mỗi người dùng client, tham gia sử dụng phần mềm, họ phải đăng nhập token để sử dụng phần mềm. Có thể chat, gửi file tới Server Client khác online. 3.1.3.2. Các chức hệ thống Các chức cho Server Hình 3.5: Chức Server 62 Các chức cho người dùng Client Hình 3.6: Chức người dùng Client 3.1.4. Thiết kế sở liệu Với mục đích demo ứng dụng chính, sở liệu chương trình đơn giản, lưu trữ tài khoản, mật khẩu, tên nhân viên, khóa công khai nhân viên. Bảng sở liệu bảng Client. Server có nên đăng nhập quản lý sở liệu. Cơ sở liệu thiết kế SQL 2005. Hình 3.7: Thiết kế sở liệu 3.1.5. USB Token Hình 3.8: USB Token Viettel 63 eToken Pro USB sản phẩm thuộc dòng sản phẩm eTokenTM Aladdin Knowledge Systems Ltd., Israel. eToken Pro USB thiết bị bảo mật cao, giao tiếp với máy tính qua cổng USB, sử dụng tiện lợi, an toàn, dễ mở rộng. eToken Pro USB hỗ trợ tất hạ tầng khóa công khai eToken PKI xác thực người dùng, quản lý mật khẩu, bảo mật chữ ký số bảo mật liệu . Ngoài ra, eToken Pro USB hỗ trợ giao diện hệ thống bảo mật theo tiêu chuẩn công nghiệp, nên eToken Pro USB đảm bảo việc tích hợp dễ dàng với hạ tầng sách bảo mật. Bảng 3.1: Đặc tính kĩ thuật USB eToken Operating Systems Windows 2000/Xp/2003/VistaMac OS X; Linux API & standard Support PKCS#11 v2.01 Mcrosoft CAPI, PC/SC, X059 v3 Certificate storage, SSL v3, IPSec/IKE Models 32K Siemens CardOS / 32K Memory 64K Siemens CardOS / 64K Memory Java:java Virtual Machine / 72K Memory On board Security algo RSA 1024-bit / 2048-bit DES, 3DES, SHA1, SHA256 Security certifications FIPS 140-1L2&3; Commom criteria EAL4+/EAL5+(smart card chip and OS) Pending: FIPS 140-2 and CC EAL4+PP-SCCD (Certifications differ per model; please inquire) Dimensions 52x16x8 mm (2.05x0.63x0.31 inches) ISO Specification Support Support for IOS 7816-1 to Specifications Operating temperature 00C to 700C (32F to 158F) Storage temperature -400C to 800C (-40F to 185F) Humidity rating – 100% without condensation Water resistance cert IPX8 – IEC 529 Connector USB type A (Universal Serial Bus) Casing Hard molded plastic, tamper evident Memory data retention At least 10 yaers Memory cell rewrites At least 500,000 64 Dựa tiêu chí đánh giá, eToken có tính trội khả hỗ trợ hệ điều hành, hỗ trợ ứng dụng PKI, hỗ trợ chuẩn bảo mật khả tích hợp. 3.2. Xây dựng ứng dụng 3.2.1. Server Server hệ thống nơi khởi tạo kết nối thực chức sau: 1. Khởi tạo kết nối, làm điểm truy nhập Client. 2. Lưu giữ PublicKey Client kết nối. 3. Đăng kí mới, sửa, xóa eToken đăng kí tài khoản. 4. Chat với Client. 5. Gửi file cho Client. Để vào mục quản lý tài khoản, ta ấn nút Account Manager, để bắt đầu Server ta ấn nút Start. Các Client sau kết nối tới Server hiển thị ô bên trái màu vàng. Hình 3.9: Màn hình Server Dưới hình quản lý tài khoản, sở liệu hệ thống. Lưu trữ lại thông tin với khóa công khai. 65 Hình 3.10: Màn hình quản lý tài khoản Với mục tiêu quản lý người dùng. Những muốn sử dụng phần mềm phải có token phải mang token Server để đăng kí sử dụng. Hình 3.11: Màn hình thêm tài khoản Sau thêm tài khoản, người quản trị Server sửa đổi thông tin tài khoản đó, trừ tên đăng nhập. 3.2.2. Client Client hệ thống người sử dụng mạng. Họ bắt buộc phải có token, đóng vai trò chìa khóa để sử dụng phần mềm này. Nếu 66 trình sử dụng, rút token, Client kết thúc. Các chức Client: 1. Chat với Server, Client. 2. Gửi file tới Server, Client. 3. Hiển thị danh sách Client sử dụng phần mềm. Trước tiên, người dùng cần cắm token vào máy tính chạy Client, sau thực đăng nhập theo yêu cầu Hình 3.12: Màn hình đăng nhập pin Usb token Hình 3.13: Màn hình đăng nhập user Nếu đăng nhập thành công, ta vào giao diện Client. Đây hình xem danh sách Client online nơi giao tiếp trực tiếp với Server. 67 Hình 3.14: Màn hình Client Với giao diện ta chat gửi file tới Server Client khác. Do kết nối socket không ổn định mã hóa RSA làm giảm tốc độ nên không gửi file lớn. Hình 3.15: Màn hình chọn file Khi nhận file, có thông báo nhận file Hình 3.16. Màn hình lưu file 68 Tất Client phải cắm token sử dụng, trình sử dụng, lý không tìm thấy token, chương trình cảnh báo thoát khỏi chương trình lập tức. Hình 3.17: Màn hình cảnh báo không thấy token Ứng dụng hướng đến đối tượng sử dụng cần trao đổi thông tin nội bộ, bảo mật kiểm soát người dùng môi trường trao đổi thông tin Client – Server. USB eToken chìa khóa để sử dụng phần mềm này. Tin tặc bắt gói tin USB eToken, giải mã gói tin PrivateKey. Đây hình ảnh file mã hóa, file mà tin tặc bắt giải mã: Hình 3.18: So sánh file mã hóa gốc Khi thực ký số liệu, ta chọn file cần ký sau chọn chứng thư số từ USB token file có sẵn máy tính để lấy thông tin ký file. Giao diện ký số liệu thể qua (Hình 3.19). 69 Hình 3.19: Ký số liệu Khi tiến hành xác thực, ta chọn file file liệu cần xác thực thực xác thực liệu (Verify). Nếu liệu không bị thay đổi thông báo xác thực thành công, tài liệu bị thay đổi đưa thông báo liệu bị thay đổi. Điều đảm bảo tính toàn vẹn chống chối từ văn bản. Hình 3.20: Xác thực liệu 70 Phần mềm giải vấn đề: 1. Quản lý người dùng cách cấp phát token. 2. Quản lý tài khoản token để định có cho phép truy cập hay không, kể có token. 3. Người dùng chat trao đổi file. 4. Mã hóa giải mã gói tin trao đổi mạng nội bộ. 5. Ký số xác thực liệu Những điều phần mềm chưa giải được: 1. Chưa có chứng thực gói tin (kí kiểm tra chữ kí). 2. Do sử dụng thuật toán để mã hóa đường truyền socket không ổn định nên chưa thể gửi file có dung lượng lớn. - Giao diện có sơ sài, chưa bắt mắt. - Do tích hợp eToken nên việc nhập mã PIN sai lần khóa eToken lại, gây phiên phức cho người dùng mang tính bảo mật cao, yêu cầu phải thực đúng. 71 KẾT LUẬN Luận văn nghiên cứu số giải pháp như: ký số, xác thực, phân tích yêu cầu mô tả giải pháp tích hợp chữ ký số tảng Web để đáp ứng yêu cầu ứng dụng chữ ký số webform hệ thống thông tin. Từ mô hình giải pháp nghiên cứu để đưa vào ứng dụng xác thực giao dịch điện tử triển khai Việt Nam. Qua trình nghiên cứu thực hiện, luận văn đạt kết sau: 1. Trình bày tổng quan an toàn thông tin, sở khoa học an toàn thông tin như; mã hoá giải mã liệu, thuật toán mã hoá khoá đối xứng, thuật toán mã hoá khoá công khai, chữ ký số, hàm băm, nguy cơ, rủi ro an toàn hệ thống thông tin từ đưa giải pháp xây dựng hệ thống an toàn thông tin. 2. Trình bày thực trạng an ninh an toàn website, loại hình công website, kỹ thuật mật mã ứng dụng để bảo mật số giải pháp cho việc đảm bảo an ninh an toàn cho website như: Đăng nhập nhất, ký số, giao thức xác thực máy chủ SSL. 3. Đã nghiên cứu đề xuất giải pháp xây dựng ứng dụng môi trường Client – Server mặt thực nghiệm kết thu được: - Cài đặt thành công chương trình demo, tích hợp thiết bị eToken vào hệ thống, xác thực người dùng thông qua Usb token, mã hoá giải mã gói tin Client với Server ngược lại. - Đã tích hợp thuật toán mã hoá RSA vào hệ thống Do nhiều hạn chế kinh nghiệm, kiến thức, thời gian thực nên luận văn số hạn chế chưa ứng dụng web. Từ hạn chế gặp phải lúc thực đề tài góp ý thầy giáo hướng dẫn, Em xin đề xuất hướng phát triển tiếp theo: 72 1. Chuyển phần mềm thành ứng dụng webbase. Có thể sử dụng không cần cài đặt, sử dụng thiết bị di động. 2. Cải tiến khả truyền tải file người dùng với nhau. 3. Cải tiến giao diện, tích hợp vào cổng thông tin điện tử. 73 TÀI LIỆU THAM KHẢO Tiếng Việt [1]. Vân Anh, “701 cố an ninh mạng khắc phục quý III/2014”, Tạp chí An toàn thông tin, 2014. [2]. Phan Đình Diệu, Lý thuyết mật mã an toàn thông tin, Đại học Quốc Gia Hà Nội, 1999. [3]. Hồ Văn Hương, Đào Thị Ngọc Thuỳ, “Ứng dung hệ thống kiểm soát truy nhập lần”, Tạp chí An toàn thông tin, 2013. [4]. Hồ Văn Hương, Hoàng Chiến Thắng, “Ký số xác thực tảng web”, Tạp chí An toàn thông tin, 2013. [5].Phạm Huy Điển, Hà Huy Khoái, Mã hoá thông tin sở toán học ứng dụng, Nhà xuất Đại học Quốc gia Hà Nội, 2003. [6]. Nguyễn Hiếu Minh, Bài giảng lý thuyết mật mã, Học viện Kỹ thuật Quân sự, 2007. [7]. Nguyễn Thuý Vân, Lý thuyết mật mã, Nhà xuất khoa học kỹ thuật. 2008. Tiếng Anh [8].William Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, 2005. [9]. Michaelcross, Developers.Guide.to.Web.Application.Security [10]. Carlisle Adams vµ Steve Lloyd, Understanding PKI: Concepts, Standards and Deployment Considerations, Addison-Wesley, 2003 74 MỤC LỤC Trang bìa phụ………………………………………….………………………. Lời cảm ơn Lời cam đoan . Mục lục………………………………………………………………………… Danh mục ký hiệu chữ viết tắt . Danh mục hình vẽ . Danh mục bảng . MỞ ĐẦU . Chương 1. CƠ SỞ LÝ THUYẾT AN TOÀN THÔNG TIN 1.1. Tổng quan an toàn thông tin 1.2. Cơ sở khoa học an toàn thông tin . 1.2.1. Khái niệm mật mã …………………………………………… 1.2.2. Mã hóa giải mã liệu ……………………………………… .7 1.2.3. Hệ mật mã khoá đối xứng ……………………………………… 1.2.4. Hệ mật mã khóa công khai ……………………………………….9 1.2.5. Thuật toán mã hóa RSA ……………………………………… .10 1.2.6. Hàm băm ……………………………………………………… 14 1.2.7. Chữ ký số ……………………………………………………… 20 1.3. Các nguy rủi ro an toàn hệ thống thông tin 25 1.3.1. Nguy an toàn hệ thống thông tin ……………… .25 1.3.2. Đánh giá xử lý nguy an toàn thông tin …………….25 1.3.3. Rủi ro quản lý rủi ro an toàn thông tin …………………26 1.3.4. Quản trị bảo mật hệ thống thông tin ………………………….27 1.4. Giải pháp xây dựng hệ thống bảo mật thông tin 27 1.4.1. Mục tiêu hệ thống ……………………………………………….27 1.4.2. Xây dựng chế sách bảo mật ……………………… .28 75 1.4.3. Giải pháp xây dựng hệ thống ……………………………………29 Chương 2. GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC TRONG WEBSITE 31 2.1. Giới thiệu trình phát triển hoạt động website 31 2.2. Nguy an toàn website 32 2.3. Các loại hình công website . 35 2.3.1. Tấn công vào vùng ẩn ………………………………………… 35 2.3.2. Can thiệp vào tham số URL ……………………………… 35 2.3.3. Tấn công dùng cookie ………………………………………… 37 2.3.4. Tấn công từ chối dịch vụ DoS (Denial of Service) …………… 37 2.3.5. Các cách công chữ ký điện tử ……………………………….39 2.4. Giải pháp bảo mật website . 40 2.5. Giải pháp xác thực Website 41 2.5.1. Username Password ………………………………………….41 2.5.2. Giải pháp kiểm soát truy nhập hệ thống SSO ………………… 41 2.5.3. Xác thực máy chủ SSL ……………………………………48 2.5.4. Xác thực sử dụng token ………………………………………….50 2.5.5. Giải pháp ký số, xác thực tài liệu tảng Web ………… .50 2.5.6. Xây dựng giải pháp ký số tảng Web ………………… 54 Chương 3. ĐỀ XUẤT GIẢI PHÁP . 58 VÀ TRIỂN KHAI XÂY DỰNG HỆ THỐNG . 58 3.1. Phân tích yêu cầu thiết kế ứng dụng . 58 3.1.1. Yêu cầu toán ……………………………………………… .58 3.1.2. Sơ đồ ứng dụng …………………………………………………58 3.1.3. Môi trường hệ thống …………………………………………….61 3.1.4. Thiết kế sở liệu ………………………………………… .62 3.1.5. USB Token …………………………………………………… .62 3.2. Xây dựng ứng dụng 64 76 3.2.1. Server ……………………………………………………………64 3.2.2. Client ………………………………………………………… . 65 KẾT LUẬN . 71 TÀI LIỆU THAM KHẢO . 73 [...]... và thuật toán liên quan như: Xác thực, Bảo mật, Bảo toàn dữ liệu, Mật mã, Chữ ký số để thực hiện nhiệm vụ bảo mật, an toàn và xác thực trong Website 3 Nhiệm vụ nghiên cứu - Nghiên cứu các kỹ thuật và phương pháp an toàn bảo mật trong thiết kế Website - Áp dụng các kết quả đã nghiên cứu để triển khai hệ thống Bảo mật và an toàn trong Website 4 Đối tượng và phạm vi nghiên cứu - Đối tượng là các dữ liệu... cần phải có những cơ chế đảm bảo bảo mật và an toàn và vấn đề bảo mật, an toàn thông tin trong thương mại điện tử là một vấn đề hết sức quan trọng Hiện nay vấn đề Bảo mật và an toàn thông tin trong TMĐT đã và đang được áp dụng phổ biến và rộng rãi ở Việt Nam và trên phạm vi toàn cầu Vấn đề bảo mật và an toàn đang được tập trung nghiên cứu và tìm giải pháp để đảm bảo bảo mật và an toàn cho các hệ thống... loại xác thực: Xác thực thực thể (Entity Authentication) Xác thực thực thể là xác thực định danh của một đối tượng tham gia giao thức truyền tin Thực thể hay đối tượng có thể là người dùng, thiết bị đầu cuối Tức là một thực thể được xác thực bằng định danh của nó đối với thực thể thứ hai trong một giao thức, và bên thứ hai đã thực sự tham gia vào giao thức Xác thực dữ liệu (Data Authentication) Xác thực. .. ứng dụng web - Các vấn đề về bảo mật chứng thực trong website, hàm băm, các thuật toán mã hoá đối xứng và và bất đối xứng, chữ ký số, giao thức bảo mật trên mạng như SSL - Các kỹ thuật sử dụng thiết kế website và các phương pháp kết hợp hệ mật mã trong bảo mật 3 - Phạm vi nghiên cứu của luận văn là đảm bảo an toàn và bảo mật cho dòng thông tin từ Client tới máy chủ ứng dụng và ngược lại - Do có những... sự việc và những nội dung thông tin đã gửi đi, xuất phát từ những khả năng ứng dụng trong thực tế và những ứng dụng đã có từ các kết quả của nghiên cứu trước đây về lĩnh vực Bảo mật và an toàn trong TMĐT Đề tài sẽ đi sâu nghiên cứu các kỹ thuật và các phương pháp bảo mật và an toàn thông tin trong Website 2 Mục đích nghiên cứu (Các kết quả cần đạt được) Đề tài nghiên cứu các kiến thức khoa học và thuật... thông tin Bảo đảm tính xác thực Nhận thực một thực thể: Xác thực đúng thực thể cần kết nối, giao dịch…chẳng hạn một người, một máy tính cuối trong mạng, một thẻ tín dụng, Nhận thực một thông báo: Xác thực nguồn gốc thông tin, xác thực đúng thực thể có trách nhiệm về nội dung thông tin, xác nhận nguồn gốc của một thông báo được gửi đến Tính khả dụng: Thông tin luôn sẵn sang cho người dùng hợp pháp có... Vấn đề Bảo mật và an toàn trên mạng là một trong những vấn đề nóng hổi trong hoạt động thực tiễn của các website, giải quyết tốt vấn đề bảo mật và an toàn trong website sẽ mang lại ý nghĩa hết sức to lớn như: Làm cho khách hàng tin tưởng khi thực hiện các giao dịch trên mạng, ngăn ngừa được những rủi ro trong các giao dịch website 6 Phương pháp nghiên cứu - Thu thập, phân tích các tài liệu và những... rõ cùng với khoá mật mã thành bản mã mật và một thuật toán ngược lại biến bản mật cùng với khoá mật mã thành bản rõ Các thuật toán đó được gọi tương ứng là thuật toán lập mã và thuật toán giải mã Các thuật toán này thường không nhất thiết phải giữ bí mật, mà cái luôn cần được giữ bí mật là khoá mật mã Trong thực tiễn, có những hoạt động ngược lại với hoạt động bảo mật là khám phá bí mật từ các bản mã... chứng chỉ số đó, mã số thứ tự, và những thông tin khác 1.2.7.5 Xác thực Xác thực là một sự thiết lập hoặc chứng thực một thông tin nào đó (hoặc dữ liệu) đáng tin cậy, có nghĩa là, những thông tin (dữ liệu) đó đưa ra là sự thật Xác thực một đối tượng còn có nghĩa là công nhận nguồn gốc, tính toàn vẹn của đối tượng Việc xác thực thường phụ thuộc vào một hoặc nhiều nhân tố xác thực (authentication factors)... chất và điều kiện tiếp cận thực tế với lĩnh vực an toàn và bảo mật trong thương mại điện tử nên việc cài đặt các ứng dụng chủ yếu mang tính thử nghiệm 5 Giả thuyết khoa học - Áp dụng các kết quả đã nghiên cứu để xây dựng các kỹ thuật bảo mật và an toàn trong giao dich Website với một số tính năng cơ bản như: Hệ thống chứng thực, mã hoá các thông tin cần thiết, kỹ thuật ngăn ngừa các rủi ro trong website . như: Xác thực, Bảo mật, Bảo toàn dữ liệu, Mật mã, Chữ ký số để thực hiện nhiệm vụ bảo mật, an toàn và xác thực trong Website. 3. Nhiệm vụ nghiên cứu - Nghiên cứu các kỹ thuật và phương pháp. được áp dụng phổ biến và rộng rãi ở Việt Nam và trên phạm vi toàn cầu. Vấn đề bảo mật và an toàn đang được tập trung nghiên cứu và tìm giải pháp để đảm bảo bảo mật và an toàn cho các hệ thống. 1.4.2. Xây dựng cơ chế và chính sách bảo mật ……………………… 28 1.4.3. Giải pháp xây dựng hệ thống ……………………………………29 Chương 2. GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC TRONG WEBSITE 31 2.1. Giới thiệu

Ngày đăng: 10/09/2015, 16:36

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN