web service securty
TRANSCRIPT
WEB SERVICE SERCURITY
GVHD: Nguyễn Văn HoàngSVTH: Trần Thị Ngọc
Nguyễn Minh Phương
Mục lục
A. Lời mở đầuB. Nội dungI. Web ServiceII. Vấn đề bảo mật trên thông tinIII. An toàn cho Web ServiceA. Kết luận
Lời mở đầu• Tư trước công nguyên con người đã phải quan tâm tới việc làm
thế nào để đảm bảo an toàn bí mật cho các tài liệu, văn bản quan trọng, đặc biệt là trong lĩnh vực quân sự, ngoại giao.
• Ngày nay với sự xuất hiện của máy tính, các tài liệu văn bản, giấy tờ và các thông tin quan trọng đều được số hóa và xử lý trên máy tính.
• Tư nhưng ngày đầu của Internet, người ta đã quan tâm đến tính an toàn trong trao đôi thông tin. M c dù, không có sự an toàn tuy t ă êđối, nhưng nhưng phát triển trong lĩnh vực này thi rất nhanh và mang lại nhiều thành quả vi đây là vấn đề cấp bách của nhiều doanh nghi p.ê
Có thể nói ngày nay ngoài việc nghiên cứu làm sao để tạo ra một web services tốt mang lại nhiều lợi ích thi việc nghiên cứu để làm sao mang lại sự an toàn cho web services cũng là m t trong nhưng vấn đề ôquan trọng nhất.
Nội dung
I. Web Service• Theo định nghĩa của W3C (World
Wide Web Consortium), Web service là một hệ thống phần mềm được thiết kế để hỗ trợ khả năng tương tác giưa các ứng dụng trên các máy tính khác nhau thông qua mạng Internet, giao diện chung và sự gắn kết của nó được mô tả bằng XML.
• Web service là một tập các phương thức được thực hiện thông qua một phương thức URL và được sử dụng để tạo các ứng dụng phân tán.
Định nghĩa Web service
Đặc điểm của web service
Đặc điểm
•Không phụ thuộc vào ngôn ngư lập trinh, truy cập bất kỳ ứng dụng nào
•Hỗ trợ thao tác giưa các thành phần không đồng nhất, chi phí phát triển thấp và dễ bảo tri
Ưu điểm
•Có khả năng ứng dụng rộng trên các nền tảng, giao thức và định dang dư liệu dựa trên vân bản nên dễ dàng hiểu, nâng cao khả năng tái sử dụng
•Tạo mới quan hệ tương tác giúp cho việc phát triển dễ dàng
•Thúc đẩy hệ thống tích hợp, giảm sự phức tạp của hệ thống, hạ giá thành hoạt động, phát triển hệ thống nhanh và tương tác hiệu quả với hệ thống của các doanh nghiệp khác,…
Nhược
điểm
•Nhưng thiệt hại lớn sẽ xảy ra vào khoảng thời gian chết của Web service, giao diện không thay đôi, có thể lỗi nếu một máy khách không được nâng cấp, thiếu các giao thức cho việc vận hành.
•Có quá nhiều chuẩn cho Web service khiến người dùng khó nắm bắt., cần đến vấn đề an toàn và bảo mật
Cấu trúc tổng quan của Web serviceSO
AP Simple Object Access
Protocol – Giao thức truy cập đối tượng đơn giản)Là giao thức thay đôi các thông điệp dựa trên XML qua mạng máy tính, thông thường sử dụng giao thức HTTP
WSD
L Web Service Description Language -Ngôn ngư mô tả các dịch vụ WebĐịnh nghĩa cách mô tả Web service theo cú pháp tông quát của XML.WSDL thường được sử dụng kết hợp với XML schema và SOAP để cung cấp Web service qua Internet
UD
DI Universal Description,
Discovery and Integration - Tích hợp, khám phá và mô tả đa năng.Định nghĩa một số thành phần cho biết các thông tin này, cho phép các client truy tìm và nhận nhưng thông tin được yêu cầu khi sử dụng Web service.
Cấu trúc tổng quan của Web service
• Web Services là một cách chuẩn để tích hợp các ứng dụng trên nền web (Web-based applications).
• Các ứng dụng có thể sử dụng các thành phần khác nhau để tạo thành một dịch vụ, Các thành phần này được gọi bởi phương thức SOAP (Khác phương thức POST, GET) nên không bị gặp phải firewall khi truy xuất các thành phần bên ngoài máy chủ.
Quy trình xây dựng Web service
• Để xây dựng một web service , chúng ta cần thực hiện các bước sau:
Bước 1 : Định nghĩa và xây dựng các chức năng , các dịch vụ mà servive sẽ cung cấp (sử dụng ngôn ngư Java chẳng hạn).
Bước 2 : Tạo WSDL cho serviceBước 3 : Xây dựng SOAP server cho serviceBước 4 : Đăng ký WSDL với UDDI registry để
cho phép các client có thể tìm thấy và truy xuất.
Bước 5 : Client nhận file WSDL và tư đó xây dựng SOAP client để có thể kết nối với SOAP server
Bước 6 : Xây dựng ứng dụng phía client (chẳng hạn sử dụng Java) và sau đó gọi thực hiện service thông qua việc kết nối tới SOAP server.
Mục đích của Web service• Ngày nay Web service đang rất
phát triển, nhưng lĩnh vực trong cuộc sống có thể áp dụng và tích hợp Web service là khá rộng lớn như dịch vụ chọn lọc và phân loại tin tức (hệ thống thư viện có kết nối đến web portal để tìm kiếm các thông tin cần thiết);
• ứng dụng cho các dịch vụ du lịch (cung cấp giá vé, thông tin về địa điểm…), các đại lý bán hàng qua mạng, thông tin thương mại như giá cả, tỷ giá hối đoái, đấu giá qua mạng…hay dịch vụ giao dịch trực tuyến (cho cả B2B và B2C) như đặt vé máy bay, thông tin thuê xe….
Vấn đề về mặt bảo mật trên thông tin
• Trải qua nhiều thế kỷ, hàng loạt các giao thức và cơ chế đã được tạo ra nhằm đáp ứng nhu cầu an toàn và bảo mật thông tin. An toàn thông tin đã thay đôi rất nhiều trong thời gian gần đây. Trước kia hầu như chỉ có nhu cầu bảo mật thông tin, nay đòi hỏi thêm nhiều yêu cầu mới như an ninh máy chủ và trên mạng.
• Đối với mỗi hệ thống thông tin mối đe dọa và hậu quả tiềm ẩn là rất lớn
Đối với mỗi hệ thống thông tin mối đe dọa và hậu quả tiềm ẩn là rất lớn, nó có thể xuất phát từ những nguyên nhân như sau:
• Tư phía người sử dụng: xâm nhập bất hợp pháp, ăn cắp tài sản có giá trị.• Trong kiến trúc hệ thống thông tin: tô chức hệ thống kỹ thuật không có cấu
trúc hoặc không đủ mạnh để bảo vệ thông tin.• Ngay trong chính sách bảo mật an toàn thông tin: không chấp hành các chuẩn
an toàn, không xác định rõ các quyền trong vận hành hệ thống.• Thông tin trong hệ thống máy tính cũng sẽ dễ bị xâm nhập nếu không có công
cụ quản lý, kiểm tra và điều khiển hệ thống.• Nguy cơ nằm ngay trong cấu trúc phần cứng của các thiết bị tin học và trong
phần mềm hệ thống và ứng dụng do hãng sản xuất cài sẵn các loại ‘rệp’ điện tử theo ý đồ định trước, gọi là ‘bom điện tử’.
• Nguy hiểm nhất đối với mạng máy tính mở là tin tặc, tư phía bọn tội phạm. Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực bảo vệ
thông tin mà còn nhiều phạm trù khác như kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật trên các hệ thống thanh toán điện tử và giao dịch trực tuyến….
An toàn cho Web service
1. An toàn cho Web service:• Tư nhưng ngày đầu của Internet, người ta đã quan tâm đến
tính an toàn trong trao đôi thông tin.M c dù, không có sự an ătoàn tuy t đối, nhưng nhưng phát triển trong lĩnh vực này thi rất ênhanh và mang lại nhiều thành quả vi đây là vấn đề cấp bách của nhiều doanh nghi p. Không có m t mức an toàn thích hợp, sự ê ôkhai thác thương mại của Internet thi không hoàn toàn an toàn.
• Gần đây, các dịch vụ web đã thu hút được ngày càng nhiều mối quan tâm chung tư phía cộng đồng. Dịch vụ Web liên kết và tương tác với các ứng dụng qua Internet, chính vi vậy bảo mật là một vấn đề được quan tâm khi các công ty tiến tới kết hợp ứng dụng với một dịch vụ Web.
Định nghĩa web service Security
• WS-Security là một chuẩn an toàn bao trùm cho SOAP và cả nhưng phần mở rộng của SOAP, nó được dùng khi muốn xây dựng nhưng web service toàn vẹn và tin cậy. Nó được thiết kế mang tính mở nhằm có thể hướng tới nhưng mô hinh an toàn khác bao gồm PKI, Kerberos, và SSL.
• WS security cung cấp nhiều hỗ trợ cho nhiều cơ chế an toàn khác nhau, nhiều khuôn dạng chư ký, và nhiều công ngh mã hóa . Nó đảm bảo cho tính an toàn, sự toàn vẹn êthông điệp, và tính tin cậy của thông điệp .
• ws security chỉ là một lớp trong nhiều lớp của một giải pháp an toàn web service .
Chứng thực trong một ứng dụng
•Cung cấp m t dấu ôhi u an toàn trong êtập tin mô tả •Chỉ rõ m t ôcallback handler trong tập tin mô tả
•Để cấu hinh server an toàn cần có m t dấu ôhi u an toàn hợp lê ê•Chỉ rõ m t callback ôhandler để đọc dấu hi u an toàn trong yêu êcầu và sau đó xác nhận nó.
Phía client Phía Server
Những bước cần thiết để tạo sự an toàn thông tin trong một ưng dụng
client và server phải có tính toàn vẹn thông tin
•Chỉ rõ nhưng thành phần của message mà phải có chư ký hay một dấu hiệu chứng thực nào đó•Chỉ rõ m t khóa trên h ô êthống t p tin mà sẽ ký lên âmessage•Chỉ rõ nhưng giải thu t sẽ âđược sử dụng bởi khóa để ký lên message•phải được cấu hinh để làm cho có hi u lực tính toàn êvẹn của message phản hồi.
•Chỉ rõ nhưng thành phần của message cần được ký•Chỉ rõ m t khóa để duyệt ôchư ký của message đến xem có hợp lệ hay không.•Chỉ rõ giải thu t mà khóa âsử dụng làm cho có hi u êlực tính toàn vẹn của message gửi đến.•cung cấp thông tin chư ký trong message phản hồi
Phía client Phía Server
Các hình thức đảm bảo an ninh dịch vụ web
Bảo đảm an ninh ở mức truyền tải• Là cơ chế an ninh điểm tới điểm
(Point to Point), dùng cho việc nhận dạng và xác thực các bên, bảo đảm tính tòan vẹn và bảo mật của thông điệp
• HTTP là giao thức không an tòan, dư liệu được truyền đi ở dạng Text nên dễ bị lộ.
• Kỹ thuật HTTPS cho phép xác thực máy chủ, máy chủ phải xuất trinh chứng thực cho trinh khách để trinh khách nhận dạng máy chủ
Thực tế người ta thường dùng xác thực cơ sở HTTP kết hợp với HTTPS.
Bảo đảm an ninh ở mức thông điệp
• Là cách tiếp cận là tất cả thông tin liên quan tới an ninh đều được gói kín trong SOAP
• Bảo đảm an ninh ở mức thông điệp đòi hỏi sự bảo vệ bằng thẻ bài tên người dùng, mật mã XML và chư ký số.
• Đặc tả bảo đảm an ninh dịch vụ Web (WS-Security) cung cấp an ninh ở mức thông điệp
Thường được kết hợp với bảo đảm an ninh ở mức truỳên tải.
Những thành phần mở rộng của web service security
• web service security chỉ là một lớp trong nhiều lớp của một giải pháp an toàn web service đầy đủ, nên cần m t mô hinh an toàn chung ôlớn hơn để có thể bao phủ tất cả các khía cạnh an toàn khác
• Trong mô hinh này các thành phần quan trọng bao gồm:
Những thành phần mở rộng của web service security
• WS-SecureConversation Describes: cho phép quản lý và xác nh n âmessage trao đôi giưa các phần, bao gồm sự trao đôi ngư cảnh an toàn , thiết l p , dân xuất ra nhưng session.â
• WS-Authentication Describes: cho phép quản lý nhưng dư li u cần êchứng thực và chính sách chứng thực.
• WS-Policy Describes: cho phép quản lý nhưng ràng bu c của nhưng chính ôsách an toàn ở các điểm trung gian và đầu cuối
• WS-Trust Describes: khung cho phép nhưng web service an toàn trao đôi , tương tác với nhau
M t chuẩn an toàn chung cho các hệ thống giao ôdịch trên mạng thường phải tập trung vào
• Identification: định danh được nhưng ai truy cập tài nguyên hệ thống.• Authentication: chứng thực tư cách truy cập tài nguyên của người muốn
sử dụng.• Authorization: cho phép giao dịch khi đã xác nhận định danh người truy
cập.• Integrity: toàn vẹn thông tin trên đường truyền.• Confidentiality: độ an toàn, không ai có thể đọc thông tin trên đư ờng đi.• Auditing: kiểm tra, tất cả các giao dịch đều được lưu lại để kiểm tra.• Non-repudiation: độ mềm dẻo, cho phép chứng thực hợp tính hợp pháp
hóa của thông tin đến tư một phía thứ ba ngoài 2 phía là người gửi và người nhận.
Nhưng yêu cầu trên giúp cho hệ thống an toàn hơn , tránh được phần nào nhưng truy cập không hợp lệ .
M t chuẩn an toàn chung cho các hệ thống giao ô
dịch trên mạng thường phải tập trung vào HTTP – HyperText Transfer Protocol là giao thức thường sử dụng nhất cho
việc trao đôi thông tin trên Internet ,tuy nhiên lại là m t giao thức không ôan toàn, bởi vi tất cả thông tin đ ược gửi dưới dạng văn bản trong mạng ngang hàng không an toàn.
M t phát triển của HTTP là HTTPS, nó là một chuẩn an toàn cho HTTP , ôHTTPS cho phép chứng thực client và server qua nhưng chứng thực giưa client và server.
HTTPS cung cấp sự an toàn tới toàn b gói dư li u HTTP.ô ê M c dù HTTPS không bao phủ tất cả các khía cạnh trong chuẩn an toàn ă
chung, nhưng nó cũng đã cung cấp m t mức bảo chứng đầy đủ với định ôdanh và chứng thực , sự toàn vẹn thông điệp, và độ tin cậy.
Tuy nhiên, authentication, auditing, and non-repudiation chưa được cung cấp. Bên cạnh đó , HTTPS là một giao thức nên khi thông điệp đi qua HTTP server thi lại không an toàn.
KẾT LUẬN• Ngày nay công nghệ web services đã và đang được triển khai và ứng dụng
trong rất nhiều lĩnh vực khác nhau bao gồm cả nhưng lĩnh vực nhạy cảm , đòi hỏi tính an toàn cao như tài chính , ngân hàng ,…do đó web service cần cung cấp m t mức an toàn đủ để hỗ trợ nhưng công việc như thế.ô
• sử sụng ws security và các thành phần của nó giúp cho thông tin trao đôi trên web services trở nên an toàn hơn , tuy nhiên việc chọn cơ chế an toàn cho web service phải đòi hỏi sao cho người dùng không cảm thấy qúa phức tạp tạo một sự gò bó
• Đó việc chọn cơ chế an toàn nào trong ws security thi phụ thuộc nhiều vào loại service và nhưng tính năng mà servive này cung cấp
• Bên cạnh đó còn một điểm cần quan tâm đó là sự an toàn không chỉ phụ thu c vào nhưng giải thu t, nhưng tiêu chuẩn, và nhưng cơ chế mà ws ô âsecurity mang lại , mà nó còn tùy vào thái độ của các công ty có hiểu rõ tầm quan trọng của an toàn thông tin khi triển khai các ứng dụng , giao dịch trên mạng hay không cũng rất cần thiết.
The end !!