1. Home
  2. Công nghệ thông tin
  3. Nghiên cứu về an ninh dịch vụ Web

Nghiên cứu về an ninh dịch vụ Web - pdf 25

Link tải luận văn miễn phí cho ae Kết nối
Luận văn ThS. Công nghệ phần mềm -- Trường Đại học Công nghệ. Đại học Quốc gia Hà Nội, 2009
Trình bày tính cấp thiết và đưa ra bài toán nghiệp vụ “Giải pháp kết nối ngân hàng với công ty chứng khoán” đòi hỏi sự đồng bộ về thông tin giữa ngân hàng và công ty chứng khoán, cho phép thực hiện các giao dịch đối với tài khoản của nhà đầu tư. Nghiên cứu kiến trúc hướng dịch vụ - SOA, làm rõ những ưu nhược và lợi ích khi sử dụng SOA. Giới thiệu đặc điểm, kiến trúc của công nghệ Web service, các thành phần được sử dụng trong dịch vụ Web. Nêu lên mối quan hệ tương hỗ của SOA và dịch vụ Web. Trình bày về các kỹ thuật đảm bảo an ninh dịch vụ Web như công nghệ bảo mật SSL và các thành phần của nó, chứng chỉ số, giao thức Kerberos, giao thức https,... và các tiêu chí đảm bảo an toàn cho Web services. Trình bày các tiêu chí và các chức năng cơ bản của giải pháp từ đó đưa ra giải pháp thực hiện. Phân tích và lựa chọn ngôn ngữ, triển khai chương trình theo chức năng chính của hệ thống và đánh giá kết quả đạt được
Chƣơng 1 MÔ TẢ BÀI TOÁN ................................................................................ 11
1.1. Tính cấp thiết ................................................................................................... 11
1.2. Bài toán nghiệp vụ ........................................................................................... 12
Chƣơng 2 SOA VÀ DỊCH VỤ WEB ....................................................................... 13
2.1. Dịch vụ ............................................................................................................ 13
2.2. Kiến trúc hƣớng dịch vụ - SOA........................................................................ 13
2.2.1. Mô hình SOA. ........................................................................................ 15
2.2.2. Ƣu, nhƣợc điểm của SOA....................................................................... 16
2.2.3. Lợi ích khi sử dụng SOA........................................................................ 17
2.3. Công nghệ Web service.................................................................................... 18
2.3.1. Định nghĩa.............................................................................................. 18
2.3.2. Đặc điểm................................................................................................ 18
2.3.3. Kiến trúc của dịch vụ Web ..................................................................... 19
2.3.4. Các thành phần đƣợc sử dụng trong dịch vụ Web................................... 21
2.3.4.1. XML – eXtensible Markup Language........................................... 21
2.3.4.2. SOAP - Simple Object Access Protocol........................................ 22
2.3.4.3. WSDL - Web Services Description Language .............................. 23
2.3.4.4. UDDI – Universal Description, Discovery and Integration ........... 25
2.3.5. Xây dựng một dịch vụ Web.................................................................... 26
2.3.6. Tích hợp dịch vụ Web theo chuẩn .......................................................... 27
2.4. SOA và dịch vụ Web ....................................................................................... 29
Chƣơng 3 CÁC KỸ THUẬT ĐẢM BẢO AN NINH DỊCH VỤ WEB .................... 30
3.1. SAML -Security Assertion Markup Language ................................................. 30
3.2. Giao thức Kerberos .......................................................................................... 30
3.3. Chứng chỉ số.................................................................................................... 31
3.3.1. Chứng chỉ số là gì?................................................................................. 31
3.3.2. Những lợi ích khi sử dụng chứng chỉ số ................................................. 32
3.3.3. Quá trình hoạt động của chứng chỉ số..................................................... 33
3.3.4. Chứng nhận X.509 ................................................................................. 34
3.4. Cấu trúc của giao thức bảo mật SSL................................................................. 35
3.4.1. SSL Record Protocol .............................................................................. 38
3.4.2. SSL Handshake Protocol........................................................................ 40
3.5. Giao thức HTTPS ............................................................................................ 45
3.5.1. HTTPS là gì?.......................................................................................... 45
3.5.2. Triển khai HTTPS cho Web server......................................................... 46
3.6. An ninh dịch vụ Web ....................................................................................... 53
3.6.1. Đặc điểm của An ninh dịch vụ Web ....................................................... 56
3.6.2. Web Services Enhancements - WSE....................................................... 57
Chƣơng 4 XÂY DỰNG HỆ THỐNG VÀ ĐÁNH GIÁ KẾT QUẢ .......................... 58
4.1. Mô tả hệ thống cần xây dựng ........................................................................... 58
4.1.1. Hoạt động đăng ký tài khoản .................................................................. 58
4.1.2. Hoạt động đăng nhập tài khoản .............................................................. 59
4.1.3. Hoạt động giao dịch ............................................................................... 59
4.2. Giải pháp thực hiện.......................................................................................... 59
4.2.1. Các tiêu chí cho giải pháp kết nối........................................................... 59
4.2.2. Giải pháp................................................................................................ 60
4.3. Triển khai hệ thống và đánh giá kết quả ........................................................... 61
4.3.1. Lựa chọn ngôn ngữ lập trình................................................................... 61
4.3.2. Triển khai hệ thống ................................................................................ 62
4.3.2.1. Kiến trúc tổng quát ....................................................................... 62
4.3.2.2. Mô hình triển khai ........................................................................ 62
4.3.3. Các chức năng chính của hệ thống.......................................................... 63
4.3.3.1. Đăng ký tài khoản ngân hàng mới................................................. 63
4.3.3.2. Hiển thị thông tin trang chủ .......................................................... 64
4.3.3.3. Đăng nhập hệ thống...................................................................... 65
4.3.3.4. Hiển thị thông tin tài khoản........................................................... 65
4.3.3.5. Đăng ký tài khoản mới.................................................................. 64
4.3.4. Đánh giá kết quả thử nghiệm chƣơng trình ............................................. 66
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN................................................................ 69
TÀI LIỆU THAM KHẢO........................................................................................ 71

Hiện nay, công nghệ web services đã và đang đƣợc triển khai, ứng dụng trong
rất nhiều lĩnh vực khác nhau bao gồm cả những lĩnh vực nhạy cảm , đòi hỏi tính an
toàn cao nhƣ tài chính , ngân hàng, quân sự,… và nó đã mang l ại nhiề u thành quả , lợi
ích to lớn cho các tổ chức , doanh nghiệ p, tập thể, các cá nhân,... Bên cạnh mặt đƣợc
của công nghệ web services thì việc đảm bảo sự an toàn, tin cậy, toàn vẹn,...của thông
tin trao đổi trên web services là một điều rất quan trọng. Bởi chúng ta không thể yên
tâm, tin tƣởng để sử dụng dịch vụ thƣơng mại nhƣ mua chứng khoán hay chuyển tiền
trực tuyến mà lại không có mô ̣ t sự an toà n cần thiết.
Kinh doanh chứng khoán là một hoạt động diễn ra rất phổ biến hiện nay, trong
một bộ phận xã hội không nhỏ, nhƣng công việc giao dịch hiện nay vẫn chủ yếu là
bằng tiền mặt, công việc này làm mất nhiều thời gian và công sức cũng nhƣ làm hạ
thấp tính chính xác và bảo mật về thông tin cá nhân của nhà đầu tƣ. Đồng thời, theo
Quy định của Bộ Tài chính ban hành ngày 24 tháng 4 năm 2007 thì “...Công ty chứng
khoán phải quản lý tiền gửi giao dịch chứng khoán của khách hàng tách biệt khỏi tiền
của chính công ty chứng khoán. Công ty chứng khoán không được trực tiếp nhận tiền
giao dịch chứng khoán của khách hàng...” [1]
Đề tài “Nghiên cứu về an ninh trong dịch vụ Web” nhằm mục đích nghiên cứu,
tìm hiểu công nghệ web services, các vấn đề bảo mật liên quan và sử dụng chúng để
giải quyết bài toán “Kết nối ngân hàng với công ty chứng khoán” một cách an toàn,
hiệu quả nhằm tạo điều kiện thuận lợi cho việc giao dịch chứng khoán và giúp cho các
thông tin đƣợc minh bạch.
Kết quả chính đạt đƣợc của luận văn:
- Nghiên cứu về các vấn đề: kiến trúc hƣớng dịch vụ, công nghệ Web
services và các kỹ thuật đảm bảo an ninh Web services, nội dung bài toán “Kết nối
ngân hàng với công ty chứng khoán” và hƣớng giải quyết bài toán.
- Phát triển chƣơng trình “Giao dịch chứng khoán thông qua tài khoản
ngân hàng” với các chức năng cơ bản: đăng ký tài khoản chứng khoán mới, đăng nhập
để mua/bán cổ phiếu và tích hợp các kỹ thuật đảm bảo an ninh cho hệ thống.
Nội dung chính của luận văn gồm 4 chƣơng:
Chƣơng 1 Mô tả bài toán
Bài toán “Giải pháp kết nối ngân hàng với công ty chứng khoán” đòi hỏi
sự đồng bộ về thông tin giữa ngân hàng và công ty chứng khoán, cho phép thực hiện
các giao dịch đối với tài khoản của nhà đầu tƣ. Chƣơng 2 SOA và dịch vụ Web
Giới thiệu về kiến trúc hƣớng dịch vụ, ƣu nhƣợc điểm cũng nhƣ đặc
điểm của SOA, tìm hiểu về dịch vụ Web, các thành phần cấu thành nên dịch vụ Web
và một vài đặc điểm cơ bản của nó.
Chƣơng 3 Các kỹ thuật đảm bảo an ninh dịch vụ Web.
Trình bày về các kỹ thuật đảm bảo an ninh dịch vụ Web nhƣ là công
nghệ bảo mật SSL và các thành phần của nó, chứng chỉ số, giao thức Kerberos, giao
thức https,... và các tiêu chí đảm bảo an toàn cho Web services.
Chƣơng 4 Xây dựng hệ thống và đánh giá kết quả.
Trình bày các tiêu chí và các chức năng cơ bản của giải pháp từ đó đƣa ra
giải pháp thực hiện. Phân tích và lựa trọn ngôn ngữ, triển khai chƣơng trình theo chức
năng chính của hệ thống và đánh giá kết kết quả.
Cuối cùng là kết luận và hƣớng phát triển tiếp theo của đề tài. Chƣơng 1
MÔ TẢ BÀI TOÁN
1.1. Tính cấp thiết
Công việc giao dịch mua/bán cổ phiếu hiện nay vẫn chủ yếu là trực tiếp và bằng
tiền mặt. Đặc biệt là đại đa số công ty chứng khoán vẫn giữ toàn bộ số tiền tham gia
chứng khoán của nhà đầu tƣ. Công việc này làm mất nhiều thời gian, công sức cũng
nhƣ hạ thấp tính chính xác và bảo mật về các thông tin của nhà đầu tƣ.
Nhằm bảo vệ nhà đầu tƣ, tạo sự công bằng cho các công ty chứng khoán, thống
nhất cơ chế quản lý vĩ mô và hƣớng tới một nền tài chính không tiền mặt tại Việt Nam.
Ngày 20/11/2007, Ủy ban Chứng khoán Nhà nƣớc ra thông báo về việc thực hiện quản
lý tiền gửi giao dịch chứng khoán của ngƣời đầu tƣ theo quy định của Quyết định
27/2007/QĐ-BTC. Trong Quyết định 27/2007/QĐ-BTC có nội dung:
“...Điều 32. Quản lý tiền và chứng khoán của khách hàng
1. Quản lý tiền của khách hàng:
a) Công ty chứng khoán phải quản lý tiền gửi giao dịch chứng khoán của khách
hàng tách biệt khỏi tiền của chính công ty chứng khoán. Công ty chứng khoán không
được trực tiếp nhận tiền giao dịch chứng khoán của khách hàng;
b) Khách hàng của công ty chứng khoán phải mở tài khoản tiền tại ngân hàng
thương mại do công ty chứng khoán lựa chọn...” [1]
Vậy là, các công ty chứng khoán không đƣợc trực tiếp nhận tiền mà phải ủy
quyền cho một ngân hàng thƣơng mại quản lý tiền của nhà đầu tƣ. Nhà đầu tƣ mở tài
khoản tại ngân hàng thƣơng mại do công ty chứng khoán lựa chọn.
Quy định trên đem lại sự an toàn về tiền gửi cho khách hàng khi công ty chứng
khoán gặp những khó khăn trong hoạt động kinh doanh, đồng thời đảm bảo lợi ích về
lãi suất, khả năng thanh toán,... cho nhà đầu tƣ. Điều này có nghĩa là nhà đầu tƣ nộp
tiền, rút tiền tại ngân hàng và thực hiện việc giao dịch chứng khoán tại các công ty
chứng khoán. Nhà đầu tƣ sẽ phải thay đổi thói quen hiện nay: mở tài khoản, nộp tiền
vào tài khoản tại sàn để có thể đặt lệnh mua cổ phiếu ngay lập tức và rút tiền bán
chứng khoán ngay tại sàn giao dịch do toàn bộ tiền của khách hàng đƣợc quản lý tại
công ty chứng khoán.
Tuy nhiên, khi chuyển qua hình thức quản lý mới, khó khăn lớn nhất nằm ở chỗ
hệ thống thông tin của nhiều công ty chứng khoán còn chƣa kết nối đƣợc với hệ thống
ngân hàng. Khi đó, khách hàng khi mang tiền đến gửi vào tài khoản của mình tại ngân
hàng sẽ gặp khó khăn trong việc sử dụng ngay những đồng vốn đó, dẫn đến bỏ lỡ cơ
hội giao dịch. Bên cạnh đó, các công ty chứng khoán cũng sẽ gặp phải khó khăn khi
kiểm tra tiền của khách hàng tại Ngân hàng có đủ hay không trƣớc khi thực hiện lệnh


9H2zt04NZIUYpfK
Yêu cầu Download

Tài liệu, ebook tham khảo khác

Học thêm

Music ♫

Copyright: Tài liệu đại học © DMCA.com Protection Status