Để xây dựng hệ thống một cách hoàn chỉnh thực hiện đầy đủ các chức năng yêu cầu trong thực tế đòi hỏi cần phải có một thời gian dài. Trong thời gian qua chúng tôi đã tìm hiểu bài toán, tiến hành xây dựng hệ thống và bƣớc đầu đã đạt đƣợc những kết quả tƣơng đối khả quan với việc xây dựng xong một số chức năng hệ thống đặt ra và chạy thử nghiệm trên máy tính cá nhân và xử lý các giao dịch liên quan đến tài khoản tiền mặt tại ngân hàng của nhà đầu tƣ một cách trực tuyến.
Qua thời gian chạy thử nghiệm cho thấy chƣơng trình thực hiện đƣợc các chức năng đăng ký, đăng nhập, mua/bán cổ phiếu đã đặt ra và đảm bảo đƣợc một số vấn đề an toàn cần thiết khi giao dịch. Cụ thể đƣợc mô tả qua các kịch bản sau:
- Kịch bản 1: tấn công bằng cách ăn cắp mật khẩu để đăng nhập hệ thống thành ngƣời dùng hợp pháp.
+ Khi đăng nhập, hệ thống yêu cầu ngƣời dùng phải xác thực bằng cách nhập tài khoản và mật khẩu, mật khẩu đƣợc lƣu trong biến session và đƣợc giải phóng sau khi ngƣời dùng đăng xuất.
+ Ngƣời dùng bình thƣờng khác sẽ không đăng nhập trái phép đƣợc vì không có tài khoản và mật khẩu.
+ Với ngƣời quản trị hệ thống (ngƣời nắm giữ cơ sở dữ liệu của ngƣời dùng) cũng không thể đăng nhập đƣợc vào hệ thống bởi kết quả lƣu trong cơ sở dữ liệu không phải là mật khẩu “thô” mà là kết quả băm. Hàm băm lại là hàm một chiều nên dù biết kết quả băm cũng “khó” có thể tìm ra đƣợc văn bản gốc (mật khẩu gốc) để đăng nhập.
- Kịch bản 2: tấn công vào dữ liệu trên đƣờng truyền từ nhà đầu tƣ (client) đến công ty chứng khoán (server).
+ Các phƣơng pháp mà attacker có thể sử dụng để tấn công dữ liệu trên đƣờng truyền là: Sniffing, Man In The Middle,.. để từ đó, Hacker thu thập thông tin trên đƣờng truyền, tập hợp lại để phân tích tìm thông tin cần thiết cho việc tấn công, hoặc ở mức độ cao hơn là sửa đổi thông tin của client gửi đến server hay mạo danh client gửi yêu cầu đến server.
. Sniffing là một chƣơng trình nghe trộm gói tin (còn gọi là chƣơng trình phân tích mạng, chƣơng trình phân tích giao thức hay chƣơng trình nghe trộm). Nó là một phần mềm máy tính có khả năng chặn và ghi lại giao thông dữ liệu qua một mạng viễn thông số hoặc một phần của một mạng. Khi các dòng dữ liệu di chuyển qua lại một mạng, chƣơng trình nghe trộm bắt lấy từng gói tin rồi giải mã và phân tích nội dung của nó. Tùy theo cấu trúc mạng (hub hay chuyển mạch), ngƣời ta có thể nghe trộm tất cả hoặc chỉ một phần của giao thông dữ liệu từ một máy trong mạng. [2]
. Giả danh địa chỉ MAC của card mạng máy tính bị tấn công, thay vì gói tin đƣợc truyền đến máy tính cần đến thì nó lại đƣợc chuyển đến máy tính có cài đặt ettercap trƣớc rồi sau đó mới truyền đến máy tính đích. Đây là một dạng tấn công rất nguy hiểm đƣợc gọi là Man In The Middle, trong trƣờng hợp này phiên làm việc giữa máy gửi và máy nhận vẫn diễn ra bình thƣờng nên ngƣời sử dụng không hề hay biết mình đang bị tấn công. [2]
+ Hệ thống đƣợc cài đặt SSL cho máy chủ Web nên đảm bảo: . Các bên giao tiếp xác thực nhau tránh bị giả mạo.
. Dữ liệu trên đƣờng truyền đƣợc mã hoá đảm bảo sự bí mật. . Kiểm tra tính toàn vẹn dữ liệu.
- Kịch bản 3: tấn công Web services bằng cách thực hiện các dịch vụ của nó khi không giao dịch hay không phải nhà đầu tƣ hợp pháp.
+ Các khả năng tấn công xảy ra
. Hacker sửa dữ liệu của ngƣời dùng hợp pháp nhƣ số tiền tăng/giảm của nhà đầu tƣ, làm sai lệch thông tin đến Web services.
. Hacker sẽ tìm cách để thực hiện các dịch vụ trái phép nhƣ tăng/giảm số lƣợng tiền trong ngân hàng mà không phải thông qua giao dịch mua bán cổ phiếu của công ty chứng khoán.
+ Web service sử dụng công cụ WSE3.0 và giao dịch đƣợc hệ thống xác nhận qua hai lần mật khẩu (mật khẩu tài khoản chứng khoán, mật khẩu tài khoản ngân hàng), xác thực ngƣời dung nên đảm bảo chỉ đúng nhà đầu tƣ mới thực hiện đƣợc giao dịch.
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 1. Kết luận
Dịch vụ Web đã và đang đƣợc triển khai và ứng dụng trong rất nhiều lĩnh vực khác nhau bao gồm cả những lĩnh vực nhạy cảm, đòi hỏi tính an toàn cao nhƣ tài chính, ngân hàng,… Do đó, dịch vụ Web cần đƣợc cung cấp một mức an toàn đủ để hỗ trợ những công việc nhƣ thế, và đó cũng là một điều rất quan trọng trong quá trình xây dựng dịch vụ Web. Bằng việc sử dụng các kỹ thuật đảm bảo an ninh dịch vụ Web sẽ giúp cho ngƣời sử dụng dịch vụ Web trở nên an tâm hơn.
Việc chọn cơ chế an toàn cho dịch vụ Web phải đòi hỏi sao cho ngƣời dùng không cảm thấy quá phức tạp hay gò bó mà phải tạo nên sự trong suốt với ngƣời dùng. Do đó, chọn cơ chế an toàn nào trong dịch vụ Web phụ thuộc nhiều vào loại dịch vụ và những tính năng mà dịch vụ này cung cấp. Bên cạnh đó còn một điểm cần quan tâm đó là sự an toàn không chỉ phụ thuộc vào những giải thuật, những tiêu chuẩn, và những cơ chế an ninh dịch vụ Web mang lại, mà nó còn tùy vào thái độ của các công ty có hiểu rõ tầm quan trọng của an toàn thông tin khi triển khai các ứng dụng, giao dịch trên mạng hay không cũng rất cần thiết.
Về mặt nội dung, đóng góp của luận văn bao gồm:
- Tổng hợp, nghiên cứu, phân tích SOA và công nghệ dịch vụ Web cũng nhƣ các thành phần của nó, cách tích hợp chúng theo chuẩn, đặc biệt là tìm hiểu các kỹ thuật, công nghệ đảm bảo an ninh dịch vụ Web nhƣ công nghệ bảo mật SSL, WSE3.0,..
- Viết chƣơng trình chạy thành công với hệ thống kết nối giữa ngân hàng và công ty chứng khoán, hệ thống này thực hiện các chức năng đăng ký, đăng nhập, xử lý trực tuyến các giao dịch liên quan đến tiền của nhà đầu tƣ là mua/bán cổ phiếu đảm bảo sự an toàn cần thiết bằng cách:
. Cấu hình chạy https (SSL) cho máy chủ Web bên công ty chứng khoán. Tầng bảo mật kết nối sử dụng giao thức SSL độ dài mã hóa 128 bit để bảo mật và mã hóa thông tin trao đổi trên đƣờng truyền dữ liệu để chỉ đúng đối tƣợng mới xem đƣợc nội dung thông tin trao đổi, chứng thực client và server mỗi khi cần thực hiện trao đổi tin.
. Sử dụng WSE để hỗ trợ các kỹ thuật bảo mật dịch vụ web nhƣ:quản lý quyền truy cập ngƣời dùng giúp cho việc chỉ ngƣời nào thực sự có quyền mới truy cập vào hệ thống và cơ chế xác thực của ngƣời dùng; đảm bảo tính toàn vẹn của dữ liệu trên đƣờng truyền.
. Ngoài ra, sử dụng hàm băm để bảo vệ mật khẩu đăng nhập tài khoản lƣu trong cơ sở dữ liệu trên hai server.
2. Hƣớng phát triển trong tƣơng lai
Với hƣớng nghiên cứu này, nếu có điều kiện, luận văn sẽ cố gắng phát triển thêm những nội dung sau:
- Hệ thống cho phép kết nối một ngân hàng với nhiều công ty chứng khoán và ngƣợc lại, giúp hỗ trợ nhà đầu tƣ linh hoạt trong việc sử dụng hệ thống tài khoản của mình đặt tại các công ty khác nhau.
- Triển khai hệ thống với nhiều chức năng cho cả 2 phía công ty chứng khoán và ngân hàng nhƣ phân tích thông tin đến từ các công ty chứng khoán khác nhau và đặc biệt cho phép tƣơng tác hai chiều giữa ngân hàng và công ty chứng khoán, các thông kê, báo cáo định kỳ về các giao dịch của nhà đầu tƣ.
- Lƣu lại lịch sử các giao dịch để đáp ứng việc đối soát thông tin giữa hai hệ thống lõi của ngân hàng và chứng khoán, cung cấp đầy đủ thông tin lƣu vết giúp cho việc kiểm soát kết nối thật dễ dàng và thuận tiện.
- Thiết kế theo kiến trúc hiện đại, đa lớp sẽ cho phép triển khai những thành phần của hệ thống trên những server khác nhau, làm giảm thiểu khả năng xảy ra lỗi, cũng nhƣ sử dụng hệ cơ sở dữ liệu Oracle, cho phép hệ thống luôn sẵn sàng hoạt động. - Thêm chức năng chạy offline (chạy chế độ không kết nối) đảm bảo giúp cho công ty chứng khoán không bị gián đoạn giao dịch quá lâu khi bị đứt đƣờng truyền đối với ngân hàng. Đồng bộ các giao dịch Offline khi có kết nối với ngân hàng.
- Xây dựng dịch vụ Web để có thể phát triển các ứng dụng client dùng trên các thiết bị di động cầm tay.
TÀI LIỆU THAM KHẢO
[1] Bộ tài chính (2007), Quyết định 27/2007/QĐ-BTC về việc ban hành Quy chế tổ
chức và hoạt động công ty chứng khoán.
[2] Vũ Đình Cƣờng (2008), Tìm Hiểu Các Kiểu Tấn Công Cơ Bản & Phương Pháp
Phòng Chống, Nhà xuất bản Lao động - Xã hội.
[3] Phạm Hữu Khang (2007), Tập 5: Lập Trình ASP.Net - Quyển 4: Đối Tượng ADO.Net 2.0 Và XML, Nhà xuất bản Lao động - Xã hội.
[4] Nguyễn Văn Lân (2008), Kỹ Thuật Xây Dựng Ứng Dụng ASP.NET - Tập 2,
Nhà xuất bản Lao động - Xã hội.
[5] Nguyễn Ngọc Bình Phƣơng, Thái Kim Phụng, Lê Ngọc Sơn, Nguyễn Hoàng Thanh Nhàn (2005), Các giải pháp lập trình ASP.NET, Nhà xuất bản Giao thông vận tải.
[6] Dƣơng Anh Đức, Trần Minh Tri (2005), Mã hoá và ứng dụng, Đại học Quốc gia thành phố Hồ Chí Minh.
[7] Trung tâm Tin học (2005), Lập trình ứng dụng Web với ASP.NET, Đại học
Khoa học Tự nhiên Tp.HCM .
[8] Hồng Phúc, KS.Nguyễn Ngọc Tuấn (2005), Công nghệ bảo mật, Nhà xuất bản Thống kê.
[9] VN-Guide (2004), Visual Basic.NET, Nhà xuất bản Thống kê.
[10] Thái Hồng Nhị, Phạm Minh Việt (2004), An toàn thông tin, Nhà xuất bản Khoa học và Kỹ thuật.
[11] D. Booth, H. Haas, F. McCabe, E. Newcomer, M. Champion, C. Ferris, D. Orchard (2004) Web Services Architecture.
[12] Ethan Cerami (2002), Web Services Essentials Distributed Applications with XML-RPC, SOAP, UDDI & WSDL, O'Reilly Hill.
[13] Rob High, Stephen Kinder, Steve Graham (2005), IBM's SOA Foundation - An
Architectural Introduction and Overview - Version 1.0.
[14] Microsoft (2008), Web Service Security Scenarios, Patterns, and Implementation Guidance for Web Services Enhancements (WSE) 3.0, Microsoft
Hill.
[15] Eric Rescola, Addison Wesley (2001), SSL and TLS Designing and Building Secure Systems.
[16] An introduction to Web Service Security using WSE,
http://www.codeproject.com/KB/webservices/WS-Security.aspx
[17] Building SOA Solutions and Managing the Service Lifecycle,
http://wiki.nectec.or.th/setec/Knowledge/BuildingSOASolutionsandManagingth eServiceLifecycle
[18] Các giao thức bảo mật SSL và TLS - Phần II: Cấu trúc của giao thức SSL,
http://vnexperts.net/content/view/555/1/
[19] Các giao thức bảo mật SSL và TLS - Phần III: SSL Record Protocol,
http://vnexperts.net/content/view/556/1/
[20] Các giao thức bảo mật SSL và TLS - Phần VI: SSL Handshake Protocol,
http://vnexperts.net/content/view/557/1/ [21] Dịch vụ web,
http://vi.wikipedia.org/wiki/D%E1%BB%8Bch_v%E1%BB%A5_web
[22] Implement Secure .NET Web Services with WS-Security,
http://www.devx.com/security/Article/15634
[23] Kerberos (protocol), http://en.wikipedia.org/wiki/Kerberos_(protocol)
[24] Security Assertion Markup Language,
http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language
[25] Using WSE 3.0 Today to Secure Web Services for Tomorrow,
http://www.devsource.com/c/a/Using-VS/Using-WSE-30-Today-to-Secure- Web-Services-for-Tomorrow/
[26] Ứng dụng và an toàn của công nghệ web services,
http://www.dostbinhdinh.org.vn/MagazineNewsPage.asp?TinTS_ID=719&TS_I D=64
[27] X.509, http://en.wikipedia.org/wiki/X.509
[28] Web Security, http://technet.microsoft.com/en-us/library/cc767139.aspx
[29] WS-Security, http://en.wikipedia.org/wiki/WS-Security
[30] Web Services Glossary, http://www.w3.org/TR/ws-gloss/
[31] What's New in Web Services Enhancements (WSE) 3.0,
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
LƯƠNG THANH NHẠN
NGHIÊN CỨU VỀ AN NINH DỊCH VỤ WEB
LUẬN VĂN THẠC SĨ
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
LƯƠNG THANH NHẠN
NGHIÊN CỨU VỀ AN NINH DỊCH VỤ WEB
Ngành : Công nghệ thông tin
Chuyên ngành : Công nghệ phần mềm
Mã số : 60.48.01
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. TRƯƠNG NINH THUẬN