Thông tin tài liệu
ĐẠI HỌC QUỐC GIA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN ² BÁO CÁO BÀI TẬP LỚN BÁO CÁO BÀI TẬP LỚN Môn: Kiến trúc hướng dịch vụ Môn: Kiến trúc hướng dịch vụ ĐỀ TÀI SOA Security SOA Security Giảng viên hướng dẫn TS. Võ Đình Hiếu Nhóm thực hiện: Nguyễn Hoàng Minh Hoàng Tr Nhân Đỗ Thị Thanh Thùy Nguyễn Thanh Hiếu Trần Ch Trung Hà Nội - 2011 MỤC LỤC 2 I. SECURITY OVERVIEW 1. Giới thiệu về Security Information (SI) ! "#$ %&'(')*+ , /0-%1 *23 ,! '423#2%))) 53%+6789)5#:3&;$< '6+!3 % 38=24>?=24++!=24@ )A83== @-$9"B#@>:3C)62/<' +D%3C)6B8:3C+D%3" B12 -9) 5 C+!3E*F5GE 3*F 5A>7B3H5IC+-J D7#%K>83:3#K>+9-L 7# !)M'DN+O7# @PQQQQQ =O%6# &L:3- 9"B:3R2S)))N+- >) T "#%613C9@ /-J>2@%1+71+2@ @;=+C 0 &)T/-J.U!058!0%1= V /;=+C )58=+8/8@W 5# 0S2@:3&@<X'-9)-<38% S2@7 =24>?'-9=='>6<X<)5= +9B<X-Y6<X7'(24@ ) A@:3Z11%782@ @SI$%:3&)5 6 [3\138U3UU3H) 2. Security Services 2.1. Authentication – Xác thực ][<ZC '4) ]=!8>'3#G]3^C55I) 2.2. Authorization-Trao quyền 5 :38+:31V4PV4=:383/P'4DD 8 <#G_ +`F +`a 3I 2.3. Integrity – tnh toàn vẹn SOZ!2"3+ 2b0'6+!3<#-J,) ``EZ3-J0'D9<c3/2S6<XC 2.4. Confidentiality-tnh b mật 5#<#24+>C9 <#-J,) ``EZ3-J0'D9=2;<= 2.5. Auditing-kiểm tra a6!8& :38V@ 2.6. Privacy-tnh riêng tư d38RV4 1< +Z ZB> #8 &-J38 <) 2.7. Non-repudiation – Chống sự chối bỏ A@2@ ;?-J3 -J0/2%@3%2C= 0/?)H>2;B<#C-J+-36Z3= -L+) 3 3. Security Mechanisms 3.1. Entity Authentication – Xác thực thực thể ]+>-LV%3[3>-L1B'D$ 'N'D-1'3!e237/'<3/Pe2 O<3 9 =%e2=) 5 :31V==+> 0'D R O=Rf->' !/# e2) 6# ='+3e ' 0'D)H><# -J0!Ce2=VZ3@BgNJ9 %33h !C1)Z3#+V-J7 :383/ <3 3C O#&%3[3) ]+>:31-J0'DZ<#-J,3 /#%=-J +Z O2/)53/,#24 Z='iZ>?'6+!3(3/24b) 3.2. Message Authentication – Xác thực thông tin ]#+>DVV 83<! !V j#!Y-V3^C?) ]#V4;?<#-J"k<.=2?[3 38 =V/ <$ #!-JV3^ '37 j#!Y-JV) ]#37'4D)H>+@2@ j#!+V 0?)A%3[3BB'D0@Z+/B>V #!-JB)TB-J%3[3>6<XCB /GBgI 0'D<lm 0 ?)] j?@2@ ;<#=@ ? O"> '3=)T?-J<C<0$Z=Y@V/6<C -9<+-3#!+)H><?-JV/ j1c+=-J B 0) 3.3. Enchiper/Dechiper nH=+:313# =&-JG&+ o@pI #q<=r&-J # G&+ o@ I)A=+> 6<s3/ 2@ /#) na@+:313# -J+k o@ o@ p) n53/ @+ D != @) nT== +>4+ 3/ ! % 2! 2@ p %)5# < +912@ )_4== < -J&+T#< ) nt!=+/3/ <=;73#Y-+ p=) 4 3.4. Access Control List – Danh sách điều khiển truy cập uEv^9>!Cw++>':38?9C-J <3)uEv:34D9K 'N:31!C-J7:383 /ZC-JY- -J>+%C-J=)HKD P uEv1:34D> > )M'DZ3Pw+=uEv=B GH<'+I83 ,H<=V=w+=) TP %3[3P %PC-J P#13'%uEv[3 %!83<%uEv'D ,V 'N%3[3 ==-J ,<#)H>78:3& #13'%uEv+ V4 'N:31-J3/ <3g0uEv)uEv-J 'D !R7!C) 3.5. Security Objects Users, Passwords, User Groups, Policies, Privileges, Encryption Keys, Audit Logs, Users. 3.6. Digital Signature 5# 3<b3/>S2@JJ^k/!8 >'3>+!3 @V/^X12;q<Xr 3C S2@+!3) o; = @!=+q6<Xr&G6<X2;qr>'73 !3%&I <q<=r@ G2?-9I-J) H& ,6<X%+!3# G%7?I'(24!12@ =R2!-J92@C) -q<Xr%+!3 +!338:3-Z < >'3+!3-J23'('-9'C Gg'NCQPI&+q+!3Cr) M!@ ,+C9q+!3Cr+ '('<#R2! -J2@C92@ )tL6>+!3C=24?'+?,+ = <#R2!-J2@C92@ ) M/>6<x- 6<X2;qr# $3Cq+!3Crx<#%y43 !C9 2>>'3+!3) qE6<Xr-Z 19!-J!C9 2>q+!3CrW E??6<x=@-Jq<Xr%k2+!3C) M/q<Xr%+!3C-J!-Z W 57!q<XCyr%q+!3Cr+q rq+!3Cr=) o@+qE6<XCyrqE6<X!0rGm+U3I) ]/r6<xr+<! %=<#) -/<0>+!3C=6<X%= @0@zw+>w++!3 >w+6<X).=9<-J=6<X=<X%+!3<l <#) II. SOA SECURITY INTRODUCTION 1. Tại sao lại cần SOA H#1<Z' !#<["-!$><' " + B'D OR7L$[B'D)HD5+KJ ' !9783 > B= >!3:3@)53 % >C J6O!C5!+S@ ' !!Z+-J<' 9) 6O<Z!+ EB'D-J>+/96B'D<g > B'D) 5 U<2!88@#6+/1 B+ B'D!C <= Z93) E#!2@ /!D3>:383 ' ! @ 'iZ!<=J6' !93) 57@6 @+ !"!C<=<S/ <#B<4Z+-J<' 9)U{u@:3Z78=+' U{u'%>C3%+XL2@3 EB'D@ ,0'D+)=@ ,<ZJ-J'4D B'D<3 '4D 7L OB'DBJ) U<38#!<#|+@$<@S-LJG 2+I @+>%3:3&) E3h$@-J7/ ,<@SJ6' !) E ,CJ!D#:383 37C<) E=83<:3@+X@2@ + ' 2O[337<#'i Z7< ) 2. SOA yêu cầu những phương pháp bảo mật mới E-L2@ /38Ck/0'D @6!C ' !S!3:3@2@ /)6OU{u|b6 @@ -J7)53%83'iZ837882@ /|b@1 -L2@ /9NJ9U{u) t:31\'-9R=+<Z2@ /B'D38C) 5 #1>B'D:3@+X2@ /'%><% 2@ !'6 +!3 "9B'D+)tO#1 t1P)H#12@ /B'D38C U@2Z#12@ /'N:3Z42@ /< $R3) U@/77@'6+!32 ^@'6+!3@+) oR.VV,>B'D+<ZJ'4Dk83B'D< Server Applicaon Client Applicaon Security module Funconal module Funconal module Kênh an toàn dùng SSL/TLS 6 t1z)H#183B'D U<2!#1z 9#1P m U{u '3+BS >B'D=<ZJ9 '3+ BS B'D< B'DBJ)G'D}'DPI }'DBJ<ZJ9'4D' !<G'B'DzI E'4D>' !=-J&ZG-+~&'4D z2I O2$B'D' !CG-'4Dz&'4Dz2I) Z3 3%+X#1PB'Dz<#|-J2@ /)m =#12@ /<#OB B'D6) H>78<+'6+!3%-[73)M'D>[#!0k+• +%+@g'4Dz2-J0'D)5 J><% 6+•'4Dz2+-1z=77@&B-J0+%k+•) -/-L2@ /38C<#|<@SB U{u @1-L2@ /63!3L)mc%27B>-L 2@ /9 Y@'%OU{uc+2@ /-i@@ 2@ '4D+q$r7='(0'D7=)T#= @8#! Y-@2@ <@S-LJ6!C)AVL83 3C+<Z 2@ /Y+-9'4DB+L$[2@ /=-J3/>+/ #!0'D3h$-J:3@+X#:3+>3hU{u) €%g8/Z1k3-J82@ /)ED<2@ / [V4=-J+= E<BS2@ /-LLZ2@ / E<BS2@ /@2@ / >CL) 5 [3\13D<2@ / !0 'D B'D38C U{u) 3. Các khía cạnh chức năng của bảo mật 3.1. Authentication (xác thực) }'D@V;g6 'NJ+!9-J0'D)E=2 q2;BrV 7 Loại bằng chứng Mô tả Ví dụ o2Z1 o37> O83# 2/B'D3C2Z •e 'S<X) ER3bV o=1 o@$631=B 'D 3C o@Bb2$63 >h3[BO2!- FUu <2;8C 4% <) o+ o372;B & m73R Mp? m-9R\VV,B'D38C0'DV)U3= \V 6<#NJ2@ /U{u) a. Chiến lược xác thực truyền thống o7<0'D+ 2;B 2+ %B'DY@=>2@ ,62;B= ) !DV 'Ni3>82@RB'D) b. Chiến lược xác thực trong SOA E-LV%<# @2@ U{u)m-9R+>C 13C Tình huống Chiến lược xác thực đề xuất m4D-J&Z2$ >B'D+3>N ' ! U0'D-D3 m4D-J&2$>'4 D < O B 'D B J N' ! Z3 &+>'4D<9N%3[3 V'4D-J&=-$<Z:3@V )-J+'4D-J&!V + 'N2;'N-D3) Z3 &+>B'DBJ'4D -J&=-$<Z:3@ OV+) m4D-J&2$>> B'DC m <Z:3@VC) 3.2. Authorization (phân quyền) ]V42+R:38V42-J+1) a. Chiến lược phân quyền truyền thống t[3ZB'D=>#183<3/%!:3Z47:38 3/3% >> =-JZ+/B B'D) t#183<3/"2Z7+FouEGF +o'uE +I uEvGuE +vI)5 FouE:38-J% +)5 uEv :3@4 ?>'+3/93%)H>+3/<2 ! ,<# , >>D%3%D) b. Chiến lược phân quyền trong SOA a@0=>B'DBJ983'4D)H>> B'D= 2 ^83> '4D[/B'D@<+3/ 83<3/7@'4D-9<!>)53%g= !83= J/+3/3/K'4D[‚9 8 B'DBJ)5Z83+<#1 B'D38C+3/3 /-JZ<Z<# 3C) 3.3. Data confidentiality (Bảo mật dữ liệu) m6+!3 ":3[-J2@ !7+'6+!3@2/R) a. Chiến lược bảo vệ dữ liệu truyền thống H=+<s3/3h2@ @ '6+!3 ":3)EB'D %3[32@ / Z+/<% "'6+!30'DUUvGU3U < vI`5vUG5 vU3I)UUv`5vU= 2>'6+!3 "%<%) b. Chiến lược bảo vệ dữ liệu trong SOA U{u ,' !'('J'4D&9Cb %3[3' !)53%+=%>78B#< +-J<b9$63' !c+>' !=2Z-J <' !CR+83<# 3C)A83+ Z +-J2@ !'6+!338C<#|630'D U{u) 3.4. Data integrity and nonrepudiation (Toàn vẹn dữ liệu và chống chối bỏ) T>B'D/>#!=[@2Z?#!/-J+ 0 3C<#24"2$ B2)c+B'D=! V j'6+!3/-J)tL6 0<# kC ;10)A83:3&9@ 0 /'6+!3) a. Chiến lược truyển thống để đảm bảo toàn vẹn dữ liệu và chống chối bỏ UUv`5vU-J0'D2$[3ZB'D??2@ /'6+!3 ":3^. !V j'6+!3/-JC C2b) b. Toàn vẹn dữ liệu và chống chối bỏ trong SOA -#@$[~)~ U{u<s3/UUv`5vU<#@2@ !2@ /'6+!3 ":3-/=Y<#@2@ j'6+!3CC2b) 3.5. Bảo vệ chống lại tấn công H&B'D83@-J2@ !-97#)E3>7#83; 2+ Z33 AZ3 3^B'DM'D+b+ƒ <4#/ 'N-9<= >R3+!Udv ,6<ƒ7# +kB'D6 UdvN!=R!C) AZ3 <sS:3@4M'DZ3:3@4!C<#"/<h3 'NO4<ƒh#=+J'D83 !CZ+J) AZ3 L$[5E_`_=783Z3)5% =5E_`_ !83 =6Z3C63=246<ƒ7#<) a. Chiến lược truyền thống chống lại sự tấn công E-L38CC+7#<' U0'D +0 S2% 9B'D2% 837= ) EB'D >q>rG=Z>2@ /IZ!<24 7#) T3^B'Dh/ U0'D!C=<@S!VR/:3@+X >B'D) b. Chiến lược chống tấn công trong SOA 5 U{u7833^-JL2>ZZ 2% B2L>7#!CS+%83+[)57q$r'4D+ = '(247#2$<37#kC'4DGm UI) 9 3.6. Bảo vệ sự riêng tư E# 24SO2$+3/ OJ^!Z+>#R < 2%B2)m =B'DY@-JZ<Z:3@+X |g#<) a. Chiến lược truyền thống để bảo vệ sự riêng tư U|g#%V@Z3' 3%R vK" +3/83<3/'D>B'D+<#% , < k :3@4-J76#% % <=&) M!=SO2;!VV,<<s@3C+K" 3/) AZ324<2$6<ƒ7#Z3=; B'D Ok :3@4<,)M'D+b+ƒ !<# 'N/ -9 <R3+!Udv<ƒ7#=/ +!37# @kL$'6+!3) M!=SO2;S<sS:3@4<2@ /0'D #D!VR/) b. Chiến lược bảo vệ sự riêng tư trong SOA M9U{u!2@ !%-=83BL)M1U{u ,'('& '4Dk832%L>#1ƒ#<\S+%) 5%R136<BS2@ /90'D 38C6-$Y-<#NJ6-L2@ /7 U{u) 4. Các khía cạnh phi chức năng của bảo mật 4.1. Tnh tương hợp H> 63%+XL2@U{u+@2@ -LJc+>'4D =-J0'D2$27B27<<2!88@#!)A=+>@ 2@ U{u)-/-L2@ /Y<#-J„:3?) a. Chiến lược truyền thống để đảm bảo sự tương hợp T-=U{u-LJ6B'D--J:3R%-LJ -L2@ /Y--J:3R83) b. Tính tương hợp trong bảo mật SOA M9U{u-LJ<#6+D%3:3&|+D%32?23> [@-J)A83 3C=+>'4D >%27<…8@ Y -J2@ !-<#@-$9<@S-LJ9'4DB'D<) 4.2. Khả năng quản lý T@S:3@+X8/Z'(' !:3@+X!C2@ /2 ^73 1'|<2@ 1) a. Chiến lược truyền thống để đảm bảo khả năng quản lý E!C38C-:3R83Z'(:3@+X!C2@ /g Z3'%< @ 'N^2>=/<h3) b. Yêu cầu về khả năng quản lý trong SOA 5 U{u-L6B'D+7837<=2Z+&2@ / B'D-+?'(3)=<!<Z>2@ /+ 7<=Z3<#":3@+X38C) 4.3. Dễ dàng phát triển a. Chiến lược truyền thống 10 [...]... giúp giảm gánh nặng cho các nhà phát triển b Yêu cầu trong SOA Trong SOA, các giải pháp bảo mật phức tạp hơn với hệ thống truyền thống Do đó, các giải pháp bảo mật trong SOA phải dễ dàng sử dụng và phát triển 5 Các xu hướng bảo mật mới cho SOA 5.1 Message-level security (Bảo mật mức thông điệp) Như đã thảo luận, SOA yêu cầu những thay đổi trong việc bảo mật và toàn vẹn... di chuyển người sử dụng đến trang web khác, sửa đổi nội dung trang web nhằm đánh lừa người dùng Ví dụ: %22%3e%3c%73%63%72%69%70%74%3e >%22%3e%3c %73%63%72%69%70%74%3e... hiểm nguy trong tương lai Ở phần này ta sẽ nghiên cứu đến một số dạng tiêu chuẩn bảo mật như là - Secure Socket Layer (SSL) và Transport Layer Security (TLS) - XML Data Security - Security Assertion Markup Language (SAML) - SOAP Message Security - XML Key Management Standard (XKMS) - Extensible rights Markup Language (XrML) - XML Key Management Standard (XKMS) và WS-Trust 1 Khung tiêu chuẩn... tấn công từ chối dịch vụ ) Là kiểu tấn công hacker sẽ chiếm dụng một lượng lớn tài nguyên trên server ( tài nguyên đó có thể là băng thông, bộ nhớ, cpu, đĩa cứng, ) làm cho server không thể nào đáp ứng các yêu cầu từ các máy của nguời khác ( máy của những người dùng bình thường ) và server có thể nhanh chóng bị ngừng hoạt động, crash hoặc reboot IV SOA SECURITY TECHNIQUES... được xây dựng trong bước 4c Thêm một SecurityTokenReference vào EncryptedKey đểtham khảo chứng nhận của người nhận được sử dụng trong bước 4b Sắp đặt các thể hiện EncryptedKey như XML và thêm nó vào Security header 2.2 Triển khai phía giải mã Bước Thao tác 1 Xác định Security header có thể giải mã Tìm thành phần EncryptedKey trong Security header được xác định trong bước... báo động Việc khai báo động chính sách bảo mật khá thuận tiện: Nó tách luồng bảo mật ra khỏi luồng nghiệp vụ, để luồng bảo mật cho các chuyên gia bảo mật Nó đảm bảo sự chắc chắn cho các yêu cầu bảo mật phải tuân thủ giữa các ứng dụng Quan trọng hơn, tính tương hợp được nâng lên thành chính sách giúp các bên so sánh để tìm ra phương án bảo mật khả thi III SOA SECURITY. .. có ví dụ sau : wsse:Kerberosv5TGT /wsse:SecurityToken> wsse:X509v3 Như ví dụ này ta thấy ta có thể chọn 1 trong 2 loại... toàn cần phải được duy trì trong suốt quá trình đăng ký cũng như hủy đăng ký 3 Use of standard Bơi vì SOA dựa vào các chuẩn, điều đó bắt buộc các chuẩn cần phải có bảo mật chắc chắn Các chuẩn được sử dụng trong SOA (hầu hết là chuẩn cho web service như là XML, SOAP, UDDI) không nhấn mạnh bảo mật Một vài giao thức cung cấp bảo mật bên trong các chuẩn như là SSL... SOAP 1 Triển khai phía người gửi Bước Thao tác 1 Xác định các thành phần cần ký nhận 2 Chắc chắn rằng các thành phần cần ký nhận cần có một thuộc tính ID để ta có thể tham chiếu đến chúng bằng cách sử dụng fragment URIs in SignedInfo References 3 Thêm một Security header nhắm vào các mục tiêu trừ khi nó đã hiện diện trong bao 4 Thêm một Signature element vào trước Security. .. dịch vụ kinh doanh SOA hỗ trợ các chuẩn như SAML (Security Assertion Markup Language) và WS-Trust để thực thi các dịch vụ bảo mật 5.3 Bảo mật theo chính sách Dù giải pháp có tốt thế nào đi nữa, nếu nó không dễ dàng sử dụng và quản lý, nó không thể áp dụng trong thực tế Phần trước ta đã thảo luận các yêu cầu phi chức năng của các giải pháp bảo mật SOA Bảo mật theo . THÔNG TIN ² BÁO CÁO BÀI TẬP LỚN BÁO CÁO BÀI TẬP LỚN Môn: Kiến trúc hướng dịch vụ Môn: Kiến trúc hướng dịch vụ ĐỀ TÀI SOA Security SOA Security Giảng viên hướng dẫn TS. Võ Đình Hiếu Nhóm. @0@zw+>w++!3 >w+6<X).=9<-J=6<X=<X%+!3<l <#) II. SOA SECURITY INTRODUCTION 1. Tại sao lại cần SOA H#1<Z' !#<["-!$><'. Nhân Đỗ Thị Thanh Thùy Nguyễn Thanh Hiếu Trần Ch Trung Hà Nội - 2011 MỤC LỤC 2 I. SECURITY OVERVIEW 1. Giới thiệu về Security Information (SI)
Ngày đăng: 10/04/2015, 09:35
Xem thêm: BÁO CÁO BÀI TẬP LỚN Môn Kiến trúc hướng dịch vụ ĐỀ TÀI SOA Security, BÁO CÁO BÀI TẬP LỚN Môn Kiến trúc hướng dịch vụ ĐỀ TÀI SOA Security
