BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Lê Hà Chi NGHIÊN CỨU, THỬ NGHIỆM CÁC PHƯƠNG PHÁP ĐẢM BẢO AN TOÀN AN NINH CHO WEB SERVICE LUẬN VĂN THẠC SĨ KHOA HỌC CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Nguyễn Linh Giang Hà Nội – Năm 2015 Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service LỜI CAM ĐOAN Tôi Lê Hà Chi cam kết luận văn thạc sĩ công trình nghiên cứu thân hướng dẫn PGS.TS Nguyễn Linh Giang Các kết nêu luận văn thạc sĩ trung thực, chép toàn văn công trình khác Hà Nội, ngày tháng năm Tác giả Lê Hà Chi Lê Hà Chi_13BCNTT.KH Trang Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service MỤC LỤC Danh mục chữ viết tắt Danh mục bảng Danh mục hình vẽ LỜI NÓI ĐẦU CHƯƠNG - TỔNG QUAN VỀ BẢO MẬT WEB SERVICE 1.1 WEB SERVICE .9 1.1.1 Khái niệm Web service .9 1.1.2 Đặc điểm Web service 10 1.1.3 Kiến trúc Web service 12 1.1.4 Các thành phần Web service 15 1.2 BẢO ĐẢM AN TOÀN CHO WEB SERVICE .18 1.2.1 Tổng quan bảo đảm an toàn cho Web service 18 1.2.2 Các kỹ thuật bảo mật Web service 18 1.3 THỰC TRẠNG BẢO MẬT 19 CHƯƠNG - CƠ CHẾ ĐĂNG NHẬP MỘT LẦN ( SINGLE SIGN ON) 21 2.1 TỔNG QUAN VỀ CƠ CHẾ ĐĂNG NHẬP MỘT LẦN (SINGLE SIGN ON) 21 2.1.1 Khái niệm chế đăng nhập lần 21 2.1.2 Ưu khuyết điểm chế đăng nhập lần 22 2.1.3 Danh sách giải pháp SSO 23 2.2 GIẢI PHÁP OPENID 31 2.2.1 Hoạt động OpenID 31 2.2.2 Ưu, nhược điểm OpenID 44 2.3 GIẢI PHÁP KEBEROS 45 2.3.1 Hoạt động Kerberos 45 2.3.2 Ứng dụng Kerberos 50 2.3.3 Mô tả giao thức .51 2.3.4 Ưu điểm nhược điểm Keberos .51 CHƯƠNG - GIẢI PHÁP SHIBBOLETH 53 3.1 HOẠT ĐỘNG CỦA SHIBBOLETH .53 Lê Hà Chi_13BCNTT.KH Trang Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service 3.1.1 Khái niệm Shibboleth 53 3.1.2 Hoạt động Shibboleth .54 3.2.SẢN PHẨM CỦA SHIBBOLETH 56 3.2.1 Centralized Discovery Service 56 3.2.2 Embedded Discovery Service 57 3.2.3 Identity Provider 57 3.2.4 Metadata Aggregator .58 3.2.5 Service Provider 59 CHƯƠNG - THỬ NGHIỆM VÀ ĐÁNH GIÁ SHIBBOLETH 61 4.1 ĐẶT VẤN ĐỀ CHO BÀI TOÁN 61 4.2 MÔ HÌNH BÀI TOÁN 62 4.3 CÀI ĐẶT HỆ THỐNG 63 KẾT LUẬN 81 TÀI LIỆU THAM KHẢO 82 Lê Hà Chi_13BCNTT.KH Trang Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service Danh mục chữ viết tắt SSO Đăng nhập lần B2B Doanh nghiệp tới doanh nghiệp B2C Doanh nghiệp tới người dùng W3C World Wide Web Consortium SOAP Simple Object Access protocol WSDL Web Service Description Language UDDI XACML Universal Description, Discovery, and Integration eXtensible Access Control Markup Language SAML Security Assertion Markup Language WS-Policy Web Services Policy Framework XrML eXentisble Rights Markup Language SSL Secure Socket Layer TCP/IP Bộ giao thức liên mạng HTTP Giao thức truyền tải siêu văn SMTP Giao thức truyền tải thư tín đơn giản API Application Programming Interface UDDI Universal Description Discovery and Intergration FTP Giao thức truyền tệp tin JSM Joint Statistical Meeting IdP Identity Provider SP Service Provider IS Identity Selector LDAP Lightweight Directory Acess Protocol IMAP Internet Message Access Protocol Lê Hà Chi_13BCNTT.KH Trang Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service XMPP RFC SASL Extensible Messaging and Presemce Prococol Đề nghị duyệt thảo bình luận Simple Authentication and Security Layer KDC Key Distribution Center AS Authentication Server TGS Ticket Granting Server SS Service Server SLO Single Log Out Danh mục bảng Bảng Danh sách ứng dụng SSO 31 Danh mục hình vẽ Hình SOAP Web service 10 Hình Chồng giao thức Web service 13 Hình Tầng giao thức tương tác dịch vụ 14 Hình Trước sau sử dụng Single Sign On 21 Hình Quy trình hệ thống quản lý định danh 36 Hình Cơ chế hoạt động OpenID 38 Hình Giải pháp Kerberos 45 Hình Hoạt động giao thức Kerberos 48 Hình Quy trình làm việc Shibboleth 55 Hình 10 Mô hình làm việc Shibboleth 62 Hình 11 Cài đặt OpenDS 64 Hình 12 Cài đặt OpenDS 65 Hình 13 Cài đặt OpenDS 66 Lê Hà Chi_13BCNTT.KH Trang Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service Hình 14 Cài đặt OpenDS 66 Hình 15 Cài đặt OpenDS 67 Hình 16 Cài đặt OpenDS 68 Hình 17 Kiểm tra cài đặt Tomcat 70 Hình 18 Deploy file idp.war 71 Hình 19 Khởi tạo certificate 71 Hình 20 Khởi tạo certificate 72 Hình 21 Khởi tạo certificate 72 Hình 22 Đăng nhập IdP 80 Lê Hà Chi_13BCNTT.KH Trang Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service LỜI NÓI ĐẦU Năm 2014 khép lại, từ mà giới công nghệ thông tin nghe nhiều năm qua “ hacker”, “ cắp liệu”, “ an ninh mạng” Có thể nói năm 2014 năm bùng nổ công vào hệ thống mạng máy tính Điểm nhấn năm 2014 vụ công đánh cắp phá hủy liệu xảy dồn dập Hầu hết vụ đình đám nhắc với dấu ấn “ lớn nhất” “ lần lịch sử” Ví dụ eBay, hãng thương mại điện tử hàng đầu giới bị đánh cắp 145 triệu thông tin tài khoản người sử dụng hồi tháng Hay vụ công tồi tệ lịch sử cấc ngân hàng khiến 80 triệu liệu tài khoản khách hàng JPMorgan bị lộ Rồi hãng bán lẻ Home Depot bị 53 triệu thông tin thẻ tín dụng khách hàng hay 70 triệu thông tin Target rơi vào tay kẻ xấu Chưa hết, vụ công lấy cắp liệu Sony vào cuối năm 2014 nói vụ công “ khủng khiếp” xảy doanh nghiệp Cuộc công khiến cổ phiếu Sony lao xuống thẳng đứng khiến cho phim Interview trở thành phim lần lịch sử bị hoãn chiếu với lý bị hack Tại Việt Nam, vụ công vào VC Corp nói vụ công nhằm vào liệu lớn từ trước đến gây ảnh hưởng tới hoạt động nhiều dịch vụ ước tính thiệt hại lên tới hàng chục tỷ đồng Những vụ công gióng lên hồi chuông cảnh báo cho người dùng công nghệ nói riêng toàn giới nói chung cần trọng vào công tác đảm bảo an toàn an ninh mạng Mục tiêu đồ án nghiên cứu, thử nghiệm số phương pháp đảm bảo an toàn an ninh cho dịch vụ web Tập trung vào chế xác thực đăng nhập lần (SSO) Nội dung đồ án chia làm bốn phần Lê Hà Chi_13BCNTT.KH Trang Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service CHƯƠNG TỔNG QUAN VỀ BẢO MẬT WEB SERVICE CHƯƠNG CƠ CHẾ ĐĂNG NHẬP MỘT LẦN ( SINGLE SIGN ON) CHƯƠNG GIẢI PHÁP SHIBBOLETH CHƯƠNG THỬ NGHIỆM VÀ ĐÁNH GIÁ SHIBBOLETH Tuy cố gắng kiến thức hạn chế đồ án tránh khỏi thiếu sót, mong nhận đóng góp ý kiến từ thầy cô giáo bạn Tôi xin bày tỏ biết ơn sâu sắc đến PGS.TS Nguyễn Linh Giang, Bộ môn Truyền thông mạng máy tính, viện Công nghệ thông tin truyền thông, Trường Đại học Bách Khoa Hà Nội, người nhiệt tình giúp đỡ, hướng dẫn hoàn thành đồ án tốt nghiệp Lê Hà Chi_13BCNTT.KH Trang Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service CHƯƠNG - TỔNG QUAN VỀ BẢO MẬT WEB SERVICE 1.1 WEB SERVICE 1.1.1 Khái niệm Web service Dịch vụ Web (Web Service) coi công nghệ mang đến cách mạng cách thức hoạt động dịch vụ B2B (Business to Business) B2C (Business to Customer) Giá trị dịch vụ Web dựa việc cung cấp phương thức theo chuẩn việc truy nhập hệ thống đóng gói hệ thống kế thừa Các phần mềm viết ngôn ngữ lập trình khác chạy tảng khác sử dụng dịch vụ Web để chuyển đổi liệu thông qua mạng Internet theo cách giao tiếp tương tự bên máy tính Tuy nhiên, công nghệ xây dựng dịch vụ Web không thiết phải công nghệ mới, kết hợp với công nghệ có XML, SOAP, WSDL, UDDI… Với phát triển lớn mạnh Internet, dịch vụ Web thật công nghệ đáng quan tâm để giảm chi phí độ phức tạp tích hợp phát triển hệ thống Theo định nghĩa W3C (World Wide Web Consortium), Web service hệ thống phần mềm thiết kế với khả hỗ trợ tương tác ứng dụng máy tính khác thôn qua mạng Internet Giao diện chung gắn kết mô tả XML Web service tài nguyên phần mềm xác định địa URL, thực chức đưa thông tin người dùng yêu cầu Một Web service tạo nên cách lấy chức đóng gói chúng cho ứng dụng khác dễ dàng nhìn thấy truy cập đến dịch vụ mà thực hiện, đồng thời yêu cầu thông tin từ Web service khác Nó bao gồm mô đun độc lập cho hoạt động khách hàng doanh nghiệp thân thực thi server Theo IBM , nói tới Web service việc trao đổi thông điệp SOAP hệ thống Các thông điệp cấu tạo từ XML( tiêu chuẩn mở dựa văn Lê Hà Chi_13BCNTT.KH Trang Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service Hình 16 Cài đặt OpenDS Bước Cài đặt cấu hình IDP  Tải cài shibboleth-identityprovider-2.3.0-bin.zip http://shibboleth.internet2.edu/downloads.html  Giải nén chạy file install.bat, tạo thư mục IDP với thư mục bin / - thư mục chứa công cụ khác hữu ích việc điều hành, kiểm tra, triển khai IdP conf / - thư mục chứa tất tập tin cấu hình cho IdP thông tin / - Đây nơi ký mã hóa chứng IdP, gọi idp.key idp.crt, lưu trữ lib / - thư mục chứa thư viện mã khác sử dụng công cụ bin / logs / - thư mục chứa tập tin log cho IdP Lê Hà Chi_13BCNTT.KH Trang 68 Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service metadata / - Đây thư mục IdP lưu trữ siêu liệu nó, tập tin gọi IDP-metadata.xml Chúng đề nghị bạn lưu trữ siêu liệu lấy khác tốt war/- Đây thư mục chứa kho lưu trữ ứng dụng web, nắm giữ tất tập tin cấu hình Lúc tạo path gọi IDP_HOME, trỏ đến trang chủ thư mục cài đặt làm cho thành phần môi trường Bước Cài đặt cấu hình Tomcat  Tải cài apache-tomcat-7.0.14-windows-x86.zip http://tomcat.apache.org/dowload-70.cgi  Giải nén apache-tomcat-7.0.14-windows-x86.zip  Sử dụng phần mềm Cygwin tạo chứng đăng nhập SSL sefl sử dụng câu lệnh Openssl genrsa –des3 –out tomcatkey.pem 2048 Opensslreq –new –x509 –key tomcatkey.pem –out tomcatcert.pem –day 1095  Gán certificate cho Tomcat  Bỏ ghi 8443 thêm Cetificate entires sau:  Đối với Tomcat cần set tài khoản quản trị chỉnh sửa file tomcat- user.xml  Kiểm tra trình cài đặt Tomcat thành công xem đường links https://localhost:8443 Hình 17 Kiểm tra cài đặt Tomcat  Chọn vào Manager App, nhập user password Chọn file idp.war deploy  Khởi động lại tomcat khởi động ứng dụng web IDP Lê Hà Chi_13BCNTT.KH Trang 70 Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service Hình 18 Deploy file idp.war Bước 4: Cài đặt/ Cấu hình Apache  Tải Aphache phiên 2.2.19 : htppd-2.2.19-win32-x86-openssl-0.9.8r.msi http://httpd.apache.org/download.cgi  Sử dụng Cygwin tạo chứng đăng nhập SSL slf openssl genrsa –des3 –out serverBV.key 1024 Hình 19 Khởi tạo certificate openssl req –new –key serverBV key –out server.csr Lê Hà Chi_13BCNTT.KH Trang 71 Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service Hình 20 Khởi tạo certificate cp serverBV.key serverBV.key.org openssl rsa –in serverBV.key.org –out serverBV.key openssl x509 –req –days 365 –in serverBV.csr –signkey serverBV.key –out serverBV.crt Hình 21 Khởi tạo certificate  Cài đặt Aphache, mở conf\httpd.conf  Sửa file httpd.conf để thêm máy chủ ảo cho cổng ssl (443) nơi IDP chạy Lê Hà Chi_13BCNTT.KH Trang 72 Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service ServerName ytetuxa.com.vn DocumentRoot C:/downloads/shibboleth/appche22/logs/error_ssl.log CustomLog C:/downloads/shibboleth/apache22/logs/access_ssl.log combined SSLEngine on SSLCertificateFile “C:/downloads/shibboleth/apache22/conf/server.crt” SSLCertificateKeyFile “C:/downloads/shibboleth/apache22/conf/serverBV.key”  Ngoài thêm máy chủ ảo cho cổng 553 nơi SP gọi sau : ServerName ytetuxa.com.vn Include C:\opt\shibboleth-sp\etc\shibboleth\apache22.config DocumentRoot C:/dowloads/shibboleth/apache22/htdocs ErrorLog C:/downloads/shibboleth/apache22/logs/error_ssl2.log CustomLog C:/downloads/shibboleth/apache22/log/access_ssl2.log SSLEngine on SSLCertificateFile “C:/downloads/shibboleth/apache22/conf/serverBV1.crt” SSLCertificateKeyFile “C:/downloads/shibboleth/apache22/conf/serverBV1.key”  Hai máy ảo sử dụng hai seft certificates khác cho 443 cho 553 Lê Hà Chi_13BCNTT.KH Trang 73 Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service  Các ghi chúng tách để xử lý cố sai sót xảy  Trên VirtualHost *:553, mục Inclue C:\ opt\shibboleth- sp\etc\shibboleth\apache22.config  phần thiết lập SP Để dòng dạng ghi SP thiết lập  Kích hoạt module apache file (httpd.conf)***LoadModule ssl_module modules/mod_ssl.so LoadModule proxy_module modules/mod_proxy_ajp.so LoadModule proxy_ajp_module modules/mod_proxy_ajp.so LoadModule proxy_balancer_module modules/mod_proxy_ajp.so LoadModule proxy_connect_module modules/mod_proxy_ajp.so LoadModule proxy_ftp_module modules/mod_proxy_ftp.so LoadModule proxy_http_module modules/mod_proxy_http.so LoadModule proxy_http_module modules/mod_proxy_http.so LoadModule proxy_scgi_module modules/mod_proxy_scgi.so  Thiết lập nghe port 443 553 cho apache thiết lập nghe Thêm vào file httpd.cofig Listen 443 Listen 553  Tạo thư mục htdocs có tên secure có trang web secure.html, địa truy cập https://localhost/secure/secure.html  Kiểm tra trình cài đặt cấu hình apache qua địa https://localhost/secure/secure.html https://localhost:553/secure/secure.html Lê Hà Chi_13BCNTT.KH Trang 74 Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service Bước Cài đặt/ Cấu hình Shibboleth SP  Tải SP 2.4.2: shibboleth-identityprovider-2.3.0-bin.zip http://shibboleth.internet2.edu/downloads.html  Không chọn install/Config IIS Cài đặt vào vị trí mặc định C:\opt\shibboleth-sp  Đi đến C:\opt\shibboleth-sp\etc\shibboleth  Sửa tập tin shibboleth2.xml: Do cài đặt apache web server, hủy bỏ dòng lệnh Cung cấp tên máy Cung cấp ứng dụng mặc định Cung cấp thuộc tính SSO SAML2 SAML1 Nhập nhà cung cấp MetaData *** Lê Hà Chi_13BCNTT.KH Trang 75 Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service Benhvien.id.shibboleth.xml tên siêu liệu IDP Truy cập vào https://ytetuxa.com.vn/idp/shibboleth, lưu benhvien.id.shibboleth.xml etc\shibboleth  Sửa tập tin appache22.config Thay AuthType shibboleth ShibRequestSetting requireSession require valid-user Trở thành AuthType shibboleth ShibRequestSession On require shibboleth ShibUseHeaders On Bằng cách kiểm tra nội dung tiêu đề  Sửa tập tin attribute-map.xml Thêm entry Lê Hà Chi_13BCNTT.KH Trang 76 thành file Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service Đây id sử dụng để xác minh id có sẵn từ OpenDS Idap -> AttributeRequester -> Attribute Resolver -> SP Separate call (back channel call) thực để cung cấp thuộc tính tới SP  Lúc SP config xong  Vào Windows services khởi động lại (Shibboleth Daemon (Default)) Bước Cấu hình Shibboleth IDP  Tới thư mục metadata IDP, sửa IDP-metadata.xml  Đảm bảo tất thuộc tính location trỏ tới ứng dụng IDP tomcat 8443 (ytetuxa.com.vn:8443/idp )  Sửa file attribute-resolver.xml Xác đinh Idap kết nối chuỗi  Sửa handler.xml Lê Hà Chi_13BCNTT.KH Trang 77 Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service Trên phần Login Handlers, loại bỏ tất mục trừ phần xác thưc “UsernamePassword” “PreviousSession”  Sửa logger.xml Thêm phần sau để xem báo debug  Sửa login.config Thêm ldap conf tương tự sau edu.vt.middleware.Idap.jaas.LdapLoginModule required host= “localhost” base= “ou=people,dc=example,dc=com” bindDN= “cn=Directory Manager” bindCredential= “test” port= “389” ssl= “false” tls= “false” userField= “uid”; Vì không sử dụng ssl để kết nối với LDAP ssl/tls flase , userFiled sử dụng uid OpenDs cho tài khoản Id Các sở sử dụng để xác thực “ou=people,dc=example,dc=com” Lê Hà Chi_13BCNTT.KH Trang 78 Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service  Sửa relying-party.xml Thêm cho SP MetaData proviser Từ trình duyệt https://ytetuxa.com.vn/Shibboleth.sso/Metadata Lưu nội dung xml vào C:/downloads/shibboleth/idp/metadata/ytetuxa.com.vn.xml Thiết lập IDP thực Bước Test IDP/SP  Chạy OpenDS máy chủ LDAP (control-panel.bat), chạy tomcat, chạy apache  Truy cập https:// ytetuxa.com.vn:553/secure/secure.html  Xuất trang đăng nhập IDP Lê Hà Chi_13BCNTT.KH Trang 79 Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service Hình 22 Đăng nhập IdP  Cung cấp user/password sau xác thực đưa bạn đến trang secure.html Lê Hà Chi_13BCNTT.KH Trang 80 Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service KẾT LUẬN Tri thức bảo đảm an toàn bảo mật thông tin vô rộng lớn, luôn cập nhật bổ sung thêm, hết sưc cố gắng đề tài “Nghiên cứu số phương pháp đảm bảo an toàn an ninh cho dịch vụ web” thể góc nhỏ tổng quan an ninh bảo mật dịch vụ web Luận văn trình bày tổng quan về: vấn đề bảo mật Web service, chế xác thực đăng nhập lần, giải pháp chế đăng nhập lần, thử nghiệp đánh giá giải pháp Shibboleth, trình bày phương pháp triển khai cài đặt Shibboleth cho hệ thống y tế từ xa Giải pháp Shibboleth hứu hẹn giải pháp xác thực an toàn phù hợp với nước ta việc xây dựng hệ thống web server cho giáo dục, y tế Lê Hà Chi_13BCNTT.KH Trang 81 Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service TÀI LIỆU THAM KHẢO [1] Bài giảng “An ninh an toàn thông tin” PGS.TS Nguyễn Linh Giang [2] Tạp chí Công nghệ thông tin & Truyền thông Bộ Thông tin Truyền Thông [3] http://www.w3schools.com/webservices/ [4] http://www.ibm.com/developerworks/webservices/tutorials [5] https://shibboleth.net/ [6] http://www.identity.ucsb.edu/technologists/shibboleth/ Lê Hà Chi_13BCNTT.KH Trang 82 ... báo cho người dùng công nghệ nói riêng toàn giới nói chung cần trọng vào công tác đảm bảo an toàn an ninh mạng Mục tiêu đồ án nghiên cứu, thử nghiệm số phương pháp đảm bảo an toàn an ninh cho. .. Chi_13BCNTT.KH Trang Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service CHƯƠNG - TỔNG QUAN VỀ BẢO MẬT WEB SERVICE 1.1 WEB SERVICE 1.1.1 Khái niệm Web service Dịch vụ Web (Web Service)... Trang 17 Nghiên cứu thử nghiêm phương pháp đảm bảo an toàn an ninh cho web service dụng SOAP HTTP sử dụng chấp nhận rộng rãi ngày làm việc tốt với sở hạ tầng Internet 1.2 BẢO ĐẢM AN TOÀN CHO WEB