Luận văn thạc sĩ về nghiên cứu an ninh dịch vụ web tại VNU UET

Luận văn thạc sĩ VNU UET nghiên cứu an ninh dịch vụ web, phân tích các vấn đề và giải pháp bảo mật hiệu quả cho hệ thống trực tuyến.

Chuyên ngành

Công nghệ thông tin

Người đăng

Ẩn danh

Thể loại

Luận văn

2009

72
3
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CAM ĐOAN

LỜI CẢM ƠN

1. CHƯƠNG 1: MÔ TẢ BÀI TOÁN

1.1. Tính cấp thiết

1.2. Bài toán nghiệp vụ

2. CHƯƠNG 2: SOA VÀ DỊCH VỤ WEB

2.1. Kiến trúc hướng dịch vụ - SOA

2.2. Mô hình SOA

2.3. Ưu, nhược điểm của SOA

2.4. Lợi ích khi sử dụng SOA

2.5. Công nghệ Web service

2.6. Kiến trúc của dịch vụ Web

2.7. Các thành phần được sử dụng trong dịch vụ Web

2.7.1. XML – eXtensible Markup Language

2.7.2. SOAP - Simple Object Access Protocol

2.7.3. WSDL - Web Services Description Language

2.7.4. UDDI – Universal Description, Discovery and Integration

2.8. Xây dựng một dịch vụ Web

2.9. Tích hợp dịch vụ Web theo chuẩn

2.10. SOA và dịch vụ Web

3. CHƯƠNG 3: CÁC KỸ THUẬT ĐẢM BẢO AN NINH DỊCH VỤ WEB

3.1. SAML - Security Assertion Markup Language

3.2. Giao thức Kerberos

3.3. Chứng chỉ số

3.3.1. Chứng chỉ số là gì?

3.3.2. Những lợi ích khi sử dụng chứng chỉ số

3.4. Quá trình hoạt động của chứng chỉ số

3.5. Cấu trúc của giao thức bảo mật SSL

3.6. SSL Record Protocol

3.7. SSL Handshake Protocol

3.8. Giao thức HTTPS

3.9. Triển khai HTTPS cho Web server

3.10. An ninh dịch vụ Web

3.11. Đặc điểm của An ninh dịch vụ Web

3.12. Web Services Enhancements - WSE

4. CHƯƠNG 4: XÂY DỰNG HỆ THỐNG VÀ ĐÁNH GIÁ KẾT QUẢ

4.1. Mô tả hệ thống cần xây dựng

4.2. Hoạt động đăng ký tài khoản

4.3. Hoạt động đăng nhập tài khoản

4.4. Hoạt động giao dịch

4.5. Giải pháp thực hiện

4.6. Các tiêu chí cho giải pháp kết nối

4.7. Triển khai hệ thống và đánh giá kết quả

4.8. Lựa chọn ngôn ngữ lập trình

4.9. Triển khai hệ thống

4.10. Kiến trúc tổng quát

4.11. Mô hình triển khai

4.12. Các chức năng chính của hệ thống

4.12.1. Đăng ký tài khoản ngân hàng mới

4.12.2. Hiển thị thông tin trang chủ

4.12.3. Đăng nhập hệ thống

4.12.4. Hiển thị thông tin tài khoản

4.12.5. Đăng ký tài khoản mới

4.13. Đánh giá kết quả thử nghiệm chương trình

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Tổng quan về Nghiên cứu an ninh dịch vụ web tại VNU UET

Nghiên cứu an ninh dịch vụ web tại VNU UET là một chủ đề quan trọng trong bối cảnh công nghệ thông tin hiện đại. Với sự phát triển nhanh chóng của các dịch vụ trực tuyến, việc đảm bảo an ninh cho các dịch vụ này trở thành một yêu cầu cấp thiết. Nghiên cứu này không chỉ giúp nâng cao nhận thức về an ninh mạng mà còn cung cấp các giải pháp cụ thể để bảo vệ thông tin trong các giao dịch trực tuyến.

1.1. Tầm quan trọng của an ninh dịch vụ web

An ninh dịch vụ web đóng vai trò quan trọng trong việc bảo vệ thông tin cá nhân và tài chính của người dùng. Việc đảm bảo an toàn cho các giao dịch trực tuyến giúp tăng cường lòng tin của khách hàng vào các dịch vụ trực tuyến.

1.2. Mục tiêu nghiên cứu tại VNU UET

Mục tiêu của nghiên cứu này là tìm hiểu và phát triển các phương pháp bảo mật hiệu quả cho dịch vụ web, từ đó nâng cao chất lượng dịch vụ và bảo vệ thông tin người dùng.

II. Các thách thức trong an ninh dịch vụ web hiện nay

Trong bối cảnh công nghệ thông tin phát triển, các thách thức về bảo mật dịch vụ web ngày càng gia tăng. Các mối đe dọa từ hacker, virus và các hình thức tấn công khác đang đặt ra nhiều khó khăn cho các tổ chức. Việc nhận diện và ứng phó kịp thời với các mối đe dọa này là rất cần thiết.

2.1. Các loại tấn công phổ biến

Các loại tấn công như SQL Injection, Cross-Site Scripting (XSS) và Denial of Service (DoS) đang ngày càng trở nên phổ biến. Những tấn công này có thể gây ra thiệt hại lớn cho các tổ chức và người dùng.

2.2. Thiếu hụt kiến thức về an ninh

Nhiều tổ chức vẫn chưa có đủ kiến thức và nguồn lực để triển khai các biện pháp bảo mật hiệu quả. Điều này dẫn đến việc dễ dàng bị tấn công và mất mát thông tin.

III. Phương pháp bảo mật dịch vụ web hiệu quả

Để đảm bảo an ninh cho dịch vụ web, cần áp dụng các phương pháp bảo mật tiên tiến. Việc sử dụng các công nghệ như SSL, chứng chỉ số và các giao thức bảo mật là rất quan trọng trong việc bảo vệ thông tin.

3.1. Sử dụng SSL và HTTPS

SSL (Secure Sockets Layer) và HTTPS (HTTP Secure) là các giao thức bảo mật giúp mã hóa thông tin giữa máy chủ và người dùng, ngăn chặn các cuộc tấn công từ bên ngoài.

3.2. Chứng chỉ số và xác thực

Chứng chỉ số giúp xác thực danh tính của các bên tham gia trong giao dịch trực tuyến, từ đó tăng cường độ tin cậy và bảo mật cho dịch vụ web.

IV. Ứng dụng thực tiễn của nghiên cứu an ninh dịch vụ web

Nghiên cứu an ninh dịch vụ web tại VNU UET không chỉ dừng lại ở lý thuyết mà còn được áp dụng vào thực tiễn. Các giải pháp bảo mật được phát triển có thể được triển khai trong các tổ chức, doanh nghiệp để bảo vệ thông tin và tài sản của họ.

4.1. Triển khai giải pháp bảo mật tại doanh nghiệp

Các doanh nghiệp có thể áp dụng các giải pháp bảo mật đã được nghiên cứu để bảo vệ thông tin khách hàng và tài sản của mình, từ đó nâng cao uy tín và sự tin tưởng từ khách hàng.

4.2. Kết quả nghiên cứu và ứng dụng

Kết quả nghiên cứu cho thấy việc áp dụng các biện pháp bảo mật hiệu quả đã giúp giảm thiểu rủi ro và tăng cường an ninh cho các dịch vụ web.

V. Kết luận và hướng phát triển tương lai

Nghiên cứu an ninh dịch vụ web tại VNU UET đã chỉ ra rằng việc bảo vệ thông tin trong các giao dịch trực tuyến là rất quan trọng. Trong tương lai, cần tiếp tục nghiên cứu và phát triển các giải pháp bảo mật mới để đối phó với các mối đe dọa ngày càng tinh vi.

5.1. Tương lai của an ninh dịch vụ web

Với sự phát triển không ngừng của công nghệ, an ninh dịch vụ web sẽ tiếp tục là một lĩnh vực nghiên cứu quan trọng, đòi hỏi sự chú ý và đầu tư từ các tổ chức.

5.2. Khuyến nghị cho các tổ chức

Các tổ chức cần nâng cao nhận thức về an ninh mạng và đầu tư vào các giải pháp bảo mật để bảo vệ thông tin và tài sản của mình.

22/07/2025

Trích đoạn nội dung tài liệu

MỞ ĐẦU Hiện nay, công nghệ web services đã và đang đƣợc triển khai, ứng dụng trong rất nhiều lĩnh vực khác nhau bao gồm cả những lĩnh vực nhạy cảm , đòi hỏi tính an toàn cao nhƣ tài chính , ngân hàng, quân sự,… và nó đã mang l ại nhiều thành quả , lợi ích to lớn cho các tổ chức , doanh nghiệp, tập thể, các cá nhân,. Bên cạnh mặt đƣợc của công nghệ web services thì việc đảm bảo sự an toàn, tin cậy, toàn vẹn,.của thông tin trao đổi trên web services là một điều rất quan trọng. Bởi chúng ta không thể yên tâm, tin tƣởng để sử dụng dịch vụ thƣơng mại nhƣ mua chứng khoán hay chuyển tiền trực tuyến mà lại không có một sự an toàn cần thiết. Kinh doanh chứng khoán là một hoạt động diễn ra rất phổ biến hiện nay, trong một bộ phận xã hội không nhỏ, nhƣng công việc giao dịch hiện nay vẫn chủ yếu là bằng tiền mặt, công việc này làm mất nhiều thời gian và công sức cũng nhƣ làm hạ thấp tính chính xác và bảo mật về thông tin cá nhân của nhà đầu tƣ.

Đồng thời, theo Quy định của Bộ Tài chính ban hành ngày 24 tháng 4 năm 2007 thì “.Công ty chứng khoán phải quản lý tiền gửi giao dịch chứng khoán của khách hàng tách biệt khỏi tiền của chính công ty chứng khoán. Công ty chứng khoán không được trực tiếp nhận tiền giao dịch chứng khoán của khách hàng.” [1] Đề tài “Nghiên cứu về an ninh trong dịch vụ Web” nhằm mục đích nghiên cứu, tìm hiểu công nghệ web services, các vấn đề bảo mật liên quan và sử dụng chúng để giải quyết bài toán “Kết nối ngân hàng với công ty chứng khoán” một cách an toàn, hiệu quả nhằm tạo điều kiện thuận lợi cho việc giao dịch chứng khoán và giúp cho các thông tin đƣợc minh bạch. Kết quả chính đạt đƣợc của luận văn: - Nghiên cứu về các vấn đề: kiến trúc hƣớng dịch vụ, công nghệ Web services và các kỹ thuật đảm bảo an ninh Web services, nội dung bài toán “Kết nối ngân hàng với công ty chứng khoán” và hƣớng giải quyết bài toán. - Phát triển chƣơng trình “Giao dịch chứng khoán thông qua tài khoản ngân hàng” với các chức năng cơ bản: đăng ký tài khoản chứng khoán mới, đăng nhập để mua/bán cổ phiếu và tích hợp các kỹ thuật đảm bảo an ninh cho hệ thống.

Nội dung chính của luận văn gồm 4 chƣơng: Chƣơng 1 Mô tả bài toán Bài toán “Giải pháp kết nối ngân hàng với công ty chứng khoán” đòi hỏi sự đồng bộ về thông tin giữa ngân hàng và công ty chứng khoán, cho phép thực hiện các giao dịch đối với tài khoản của nhà đầu tƣ. LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 10 - Chƣơng 2 SOA và dịch vụ Web Giới thiệu về kiến trúc hƣớng dịch vụ, ƣu nhƣợc điểm cũng nhƣ đặc điểm của SOA, tìm hiểu về dịch vụ Web, các thành phần cấu thành nên dịch vụ Web và một vài đặc điểm cơ bản của nó. Chƣơng 3 Các kỹ thuật đảm bảo an ninh dịch vụ Web. Trình bày về các kỹ thuật đảm bảo an ninh dịch vụ Web nhƣ là công nghệ bảo mật SSL và các thành phần của nó, chứng chỉ số, giao thức Kerberos, giao thức https,.

và các tiêu chí đảm bảo an toàn cho Web services. Chƣơng 4 Xây dựng hệ thống và đánh giá kết quả. Trình bày các tiêu chí và các tính năng cơ bản của giải pháp từ đó đƣa ra giải pháp thực hiện. Phân tích và lựa trọn ngôn ngữ, triển khai chƣơng trình theo chức năng chính của hệ thống và đánh giá kết kết quả.

Cuối cùng là kết luận và hƣớng phát triển tiếp theo của đề tài. LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 11 - Chƣơng 1 MÔ TẢ BÀI TOÁN 1. Tính cấp thiết Công việc giao dịch mua/bán cổ phiếu hiện nay vẫn chủ yếu là trực tiếp và bằng tiền mặt. Đặc biệt là đại đa số công ty chứng khoán vẫn giữ toàn bộ số tiền tham gia chứng khoán của nhà đầu tƣ.

Công việc này làm mất nhiều thời gian, công sức cũng nhƣ hạ thấp tính chính xác và bảo mật về các thông tin của nhà đầu tƣ. Nhằm bảo vệ nhà đầu tƣ, tạo sự công bằng cho các công ty chứng khoán, thống nhất cơ chế quản lý vĩ mô và hƣớng tới một nền tài chính không tiền mặt tại Việt Nam. Ngày 20/11/2007, Ủy ban Chứng khoán Nhà nƣớc ra thông báo về việc thực hiện quản lý tiền gửi giao dịch chứng khoán của ngƣời đầu tƣ theo quy định của Quyết định 27/2007/QĐ-BTC. Trong Quyết định 27/2007/QĐ-BTC có nội dung: “.

Quản lý tiền và chứng khoán của khách hàng 1. Quản lý tiền của khách hàng: a) Công ty chứng khoán phải quản lý tiền gửi giao dịch chứng khoán của khách hàng tách biệt khỏi tiền của chính công ty chứng khoán. Công ty chứng khoán không được trực tiếp nhận tiền giao dịch chứng khoán của khách hàng; b) Khách hàng của công ty chứng khoán phải mở tài khoản tiền tại ngân hàng thương mại do công ty chứng khoán lựa chọn.” [1] Vậy là, các công ty chứng khoán không đƣợc trực tiếp nhận tiền mà phải ủy quyền cho một ngân hàng thƣơng mại quản lý tiền của nhà đầu tƣ. Nhà đầu tƣ mở tài khoản tại ngân hàng thƣơng mại do công ty chứng khoán lựa chọn.

Quy định trên đem lại sự an toàn về tiền gửi cho khách hàng khi công ty chứng khoán gặp những khó khăn trong hoạt động kinh doanh, đồng thời đảm bảo lợi ích về lãi suất, khả năng thanh toán,. cho nhà đầu tƣ. Điều này có nghĩa là nhà đầu tƣ nộp tiền, rút tiền tại ngân hàng và thực hiện việc giao dịch chứng khoán tại các công ty chứng khoán. Nhà đầu tƣ sẽ phải thay đổi thói quen hiện nay: mở tài khoản, nộp tiền vào tài khoản tại sàn để có thể đặt lệnh mua cổ phiếu ngay lập tức và rút tiền bán chứng khoán ngay tại sàn giao dịch do toàn bộ tiền của khách hàng đƣợc quản lý tại công ty chứng khoán.

Tuy nhiên, khi chuyển qua hình thức quản lý mới, khó khăn lớn nhất nằm ở chỗ hệ thống thông tin của nhiều công ty chứng khoán còn chƣa kết nối đƣợc với hệ thống ngân hàng. Khi đó, khách hàng khi mang tiền đến gửi vào tài khoản của mình tại ngân hàng sẽ gặp khó khăn trong việc sử dụng ngay những đồng vốn đó, dẫn đến bỏ lỡ cơ hội giao dịch. Bên cạnh đó, các công ty chứng khoán cũng sẽ gặp phải khó khăn khi kiểm tra tiền của khách hàng tại Ngân hàng có đủ hay không trƣớc khi thực hiện lệnh LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 12 - mua chứng khoán. Hơn nữa, một công ty chứng khoán còn phải bảo đảm kết nối đƣợc cùng lúc với nhiều ngân hàng lớn, vì đa số nhà đầu tƣ gửi tiền ở các ngân hàng lớn khác nhau, và ngƣợc lại, các ngân hàng cũng mong muốn có đƣợc kết nối với nhiều công ty chứng khoán để hình thành nên mạng lƣới thông suốt, tạo hiệu quả trong hoạt động.

Đây là một thách thức không nhỏ với các ngân hàng, đặc biệt là các công ty chứng khoán khi thực trạng về hạ tầng công nghệ thông tin giữa các bên còn quá khác biệt, với các mức độ sẵn sàng cũng khác nhau. Bài toán nghiệp vụ Các công ty chứng khoán cần ký kết với các ngân hàng đã lựa chọn để khi nhà đầu tƣ mở tài khoản có thể đƣợc cung cấp luôn tài khoản ngân hàng. Dịch vụ của công ty chứng khoán sẽ quản lý, cung cấp thông tin về cổ phiếu (tên cổ phiếu, mã cổ phiếu, đơn giá,.) và thông tin cá nhân của nhà đầu tƣ (tên nhà đầu tƣ, chứng minh thƣ nhân dân, địa chỉ,. Dịch vụ của ngân hàng thì cung cấp thông tin của chủ tài khoản (tên chủ tài khoản, địa chỉ,.,số dƣ tài khoản).

Sau khi đƣợc cấp tài khoản chứng khoán nhà đầu tƣ đƣợc đăng nhập vào tài khoản và có thể thực hiện hoạt động mua/bán cổ phiếu: - Mua: nhà đầu tƣ điền mã và số lƣợng cổ phiếu cần mua, mật khẩu tài khoản ngân hàng. Nếu tổng giá trị của số lƣợng cổ phiếu nhà đầu tƣ thực hiện mua vƣợt quá số dƣ hiện có của nhà đầu tƣ trong tài khoản ngân hàng thì giao dịch sẽ không đƣợc thực hiện. Ngƣợc lại sẽ tiến hành mua cổ phiếu, nếu cổ phiếu mà nhà đầu tƣ mua đã có trong tài khoản thì số lƣợng của cổ phiếu đó sẽ đƣợc cập nhật lại còn chƣa có thì cổ phiếu đó sẽ đƣợc thêm mới vào tài khoản chứng khoán của nhà đầu tƣ và số tiền dùng để mua cổ phiếu sẽ đƣợc trừ vào tài khoản tƣơng ứng trong ngân hàng của nhà đầu tƣ. - Bán: nhà đầu tƣ điền mã và số lƣợng cổ phiếu cần bán, mật khẩu tài khoản ngân hàng.

Nhà đầu tƣ chỉ có thể thực hiện lệnh bán đối với những cổ phiếu có trong tài khoản chứng khoán của họ và số lƣợng cổ phiếu bán ra không đƣợc vƣợt quá số lƣợng cổ phiếu hiện có trong tài khoản. Nếu thông tin hợp lệ sẽ tiến hành việc bán cổ phiếu. Số tiền có đƣợc khi bán cổ phiếu sẽ đƣợc đƣa vào tài khoản tƣơng ứng trong ngân hàng của nhà đầu tƣ. Nếu số cổ phiếu mà nhà đầu tƣ bán ít hơn số lƣợng hiện có thì thông tin số cổ phiếu sẽ đƣợc cập nhật lại còn nếu bán hết số cổ phiếu thì cổ phiếu đã bán đƣợc xoá khỏi tài khoản chứng khoán của nhà đầu tƣ.

Để đáp ứng đƣợc các yêu cầu của bài toán đặt ra, đặc biệt là toàn bộ các giao dịch đều đƣợc đảm bảo chính xác, an toàn cho các bên tham gia sẽ không thể không sử dụng tới các kiến thức trong lĩnh vực Công nghệ thông tin nhƣ: kiến trúc hƣớng dịch vụ, dịch vụ Web và các kỹ thuật đảm bảo an ninh trong dịch vụ Web. Các chƣơng sau sẽ lần lƣợt trình bày về các vấn đề đó. LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - 13 - Chƣơng 2 SOA VÀ DỊCH VỤ WEB Trong chƣơng này, chúng ta sẽ đề cập đến Kiến trúc hƣớng dịch vụ cũng nhƣ mô hình, các ƣu nhƣợc điểm của nó để từ đó tiếp tục tìm hiểu các vấn đề của công nghệ dịch vụ Web. Sau đó chúng ta sẽ quan tâm đến kiến trúc dịch vụ Web và các thành phần của nó nhƣ: XML, SOAP, WSDL đặc biệt là các bƣớc xây dựng dịch vụ Web và tích hợp chúng lại theo chuẩn.A service is a repeatable task within a business process.

Nhƣ vậy, chúng ta có thể tạm hiểu: một tiến trình bao gồm rất nhiều các dịch vụ khác nhau.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ