i
S húa bi Trung tõm Hc liu
đại học thái nguyên
Tr-ờng đại học CÔNG NGHệ THÔNG TIN Và TRUYềN THÔNG
HONG VNH H
[
NGHIấN CU GII PHP XC THC WEB
NG DNG TRONG GIAO DCH IN T
LUN VN THC S KHOA HC MY TNH
Chuyờn ngnh: KHOA HC MY TNH
Mó s: 60.48.01
Ngi hng dn khoa hc: TS. H VN HNG
Thỏi Nguyờn, 2014
ii
Số hóa bởi Trung tâm Học liệu
LỜI CAM ĐOAN
Tôi xin cam đoan đây là công trình nghiên cứu của bản thân. Các số liệu kết
quả trình bày trong Luận văn này là trung thực. Những tƣ liệu đƣợc sử dụng trong
Luận văn có nguồn gốc rõ ràng, đầy đủ.
Thái nguyên, tháng 9 năm 2014
iii
Số hóa bởi Trung tâm Học liệu
LỜI CẢM ƠN
Văn Hƣơng, Ban Cơ yếu Chính phủ
L văn.
-TT Thái Nguyên.
, em trong Công ty EcoIT đã chỉ
gian tôi học tậ ế ông ty. ến Thắng,
Ban Cơ yếu Chính phủ hệ thống đăng nhập duy nhất
SSO, CAS, SSL, Chữ ký số ế.
–
.
!
Thái Nguyên, ngày 29 tháng 09 năm 2014
Học viên thực hiện
(ký và ghi họ tên)
Hoàng Vĩnh Hà
iv
Số hóa bởi Trung tâm Học liệu
MỤC LỤC
LỜI CAM ĐOAN i
LỜI CẢM ƠN iii
DANH MỤC CÁC CHỮ VIẾT TẮT vi
DANH MỤC CÁC HÌNH vii
LỜI MỞ ĐẦU 1
CHƢƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG
GIAO DỊCH ĐIỆN TỬ 3
1.1 Tổng quan về giao dịch điện tử 3
1.1.1 Giới thiệu về giao dịch điện tử 3
1.1.2 Những hạn chế trong giao dịch điện tử 4
1.2 An toàn thông tin trong giao dịch điện tử 5
1.3 Tổng quan về Web và ứng dụng WEB 8
1.3.1 Kiến trúc một ứng dụng WEB 10
1.3.2 Nguy cơ mất an toàn dịch vụ WEB 11
1.4 Một số kỹ thuật mật mã ứng dụng trong bảo mật và xác thực web 14
1.4.1 Mật mã khoá đối xứng 14
1.4.2 Mật mã khoá công khai 15
17
1.4.4 Chữ ký số 17
19
CHƢƠNG 2: MỘT SỐ GIẢI PHÁP XÁC THỰC WEB 21
2.1. Một số giải pháp xác thực ngƣời dùng của website 21
2.1.1. Các yếu tố xác thực 21
2.1.2 Một số phƣơng pháp xác thực 21
2.2 Hệ thống đăng nhập duy nhất [3] 24
24
24
25
v
Số hóa bởi Trung tâm Học liệu
2.2.4 Một số yếu tố quyết định đến hệ thống SSO 27
2.2.5 28
2.3 Giải pháp ký số, xác thực nội dung Web [4] 36
2.3.1 Một số giải pháp ký số đã triển khai trên nền tảng Web 36
2.3.2 Phƣơng pháp tiếp cận ký số trên nền tảng Web 37
2.4 Sử dụng giao thức SSL/TLS trong quá trình trao đổi giữa Web client và
WebServer 39
CHƢƠNG 3: XÂY DỰNG VÀ TÍCH HỢP GIẢI PHÁP XÁC THỰC WEB TRÊN
CỔNG THÔNG TIN NGUỒN MỞ LIFERAY 43
3.1 Xây dựng, tích hợp CAS với cổng thông tin nguồn mở Liferay 43
3.1.1 Mô hình xác thực ngƣời dùng 44
3.1.2 Mô tả quy trình xác thực 45
3.1.3 Thiết kế và xây dựng tiện ích quản lý định danh xác thực ngƣời dùng 45
3.1.4 Xây dựng dịch vụ đăng nhập cho ngƣời dùng 46
3.2 Xây dựng ứng dụng ký số, xác thực trên nền tảng Web 51
3.2.1 Mô hình tổng quan giải pháp ký số, xác thực trên nền tảng Web 51
3.2.2 Phân tích thiết kế quy trình ký số, xác thực 52
3.2.3 Thiết kế và xây dựng ứng dụng ký số, xác thực trên nền tảng Web 58
3.3 Cấu hình, tích hợp giao thức SSL/TLS trong quá trình trao đổi giữa Web
Client và Web Server 60
3.3.1 Mô tả giải pháp 60
3.3.2 Sử dụng giao thức SSL/TLS 2 chiều trong quá trình xác thực ngƣời dùng
của các website có sử dụng chứng thƣ số 61
KẾT LUẬN 66
DANH MỤC CÁC CÔNG TRÌNH LIÊN QUAN ĐẾN LUẬN VĂN 67
TÀI LIỆU THAM KHẢO 68
vi
Số hóa bởi Trung tâm Học liệu
DANH MỤC CÁC CHỮ VIẾT TẮT
TỪ VIẾT TẮT
TÊN ĐẦY ĐỦ
DỊCH RA TIẾNG VIỆT
ATTT
An Toàn Thông Tin
CNTT
Công Nghệ Thông Tin
CA
Certificate Authority
Thẩm quyền chứng thực
DES
Data Encrytion Standard
Chuẩn mã hóa dữ liệu
DNS
Domain Name System
Hệ thống tên miền
HTTP
Hypertext Transfer Protocol
Giao thức truyền tải siêu văn bản
HTTPS
Secure Hypertext Transfer
Protocol
Giao thức truyền tải siêu văn bản
an toàn
LDAP
Lightweight Directory Access
Protocol
Lightweight Directory Access
Protocol
PKCS
Public Key Cryptography
Standards
Chuẩn mật mã khóa công khai
PKI
Public Key Infrastructure
Cơ sở hạ tầng khóa công khai
RA
Registration Authority
Thẩm quyền đăng ký
RSA
Rivest Shamir Adleman
Thuật toán mã hóa RSA
SHA
Secure Hash Algorithm
Thuật toán băm
SPKC
Simple Public Key Certificate
Chứng thƣ khoá công khai đơn
giản
SSL
Secure Socket Layer
Giao thức bảo mật web
TLS
Transport Layer Security
Giao thức bảo mật tầng truyền
thông
vii
Số hóa bởi Trung tâm Học liệu
DANH MỤC CÁC HÌNH
Hình 1.1Thống kê bảo mật ứng dụng WEB 10
Hình 1.2 Kiến trúc một ứng dụng WEB. 10
Hình 1.3 Mã hóa khóa bí mật 14
Hình 1.4 Mã hóa khóa công khai 15
Hình 1.5 Xác thực thông tin 16
Hình 1.6 Ký và mã hoá với khóa công khai 17
18
19
20
Hình 1.10 Nhận và kiểm tra chữ ký 21
nh Single Domain SSO 26
27
31
32
35
Hình 2.6 Mô hình ký số dữ liệu trên Server 39
Hình 3.1 Kiến trúc Liferay portal 43
Hình 3.2 Mô hình xác thực ngƣời dùng 44
Hình 3.3 Mô hình tiện ích quản lý định danh chuẩn 46
Hình 3.4 Cài đặt tệp tin server.xml 46
Hình 3.5 Giao diện tích hợp CAS 47
Hình 3.6 Cài đặt giao diện tích hợp với CAS 47
Hình 3.7 Tạo khóa riêng bằng câu lệnh 48
Hình 3.8 Tạo chứng nhận từ khóa riêng 48
Hình 3.9 Đăng ký xác thực vào keystore của java 49
Hình 3.10 Cài đặt CAS trên Liferay Portal 49
Hình 3.11 Kiểm tra kết nối tới CAS và thành công 49
Hình 3.12 Hoàn thành tích hợp CAS 50
viii
Số hóa bởi Trung tâm Học liệu
Hình 3.13 Đăng nhập xác thực CAS 50
Hình 3.14 Thông báo thành công đăng nhập xác thực CAS 51
Hình 3.15 Trạng thái thoát khỏi xác thực CAS 51
Hình 3.16 Mô hình tổng quan 52
Hình 3.17 Các kiểu cơ bản của CMS 54
Hình 3.18 Lƣợc đồ ký số dữ liệu 56
Hình 3.19 Lƣợc đồ xác thực dữ liệu tổng quan 57
Hình 3.20 Giao diện chính 58
Hình 3.21 Giao diện chính – Mở rộng 59
Hình 3.22 Chọn đƣờng dẫn thƣ viện PKCS#11 60
Hình 3.23 Xây dựng giải pháp sử dụng giao thức SSL/TLS trong quá trình trao đổi
giữa Web Client và Web Server 61
Hình 3.24 Mô hình sử dụng giải pháp xác thực 2 chiều SSL/TLS 62
Hình 3.25 Lựa chọn chứng thƣ số xác thực vào website 64
Hình 3.26 Nhập mật khẩu thiết bị lƣu khóa 65
1
Số hóa bởi Trung tâm Học liệu
LỜI MỞ ĐẦU
Ngày nay, công nghệ thông tin phát triển rất nhanh và đƣợc ứng dụng vào
hầu hết những lĩnh vực trong cuộc sống. Vai trò của công nghệ thông tin ngày càng
đƣợc nâng cao, không chỉ dừng lại ở những ứng dụng văn phòng, công nghệ thông
tin còn đƣợc triển khai ở nhiều lĩnh vực khác trong đời sống, kinh tế xã hội và an
ninh quốc phòng. Bên cạnh những lợi thế trong việc áp dụng công nghệ thông tin,
việc sử dụng CNTT còn tiềm ẩn nhiều vấn đề còn tồn tại, trong đó có việc đảm bảo
an toàn thông tin ví dụ nhƣ bị đánh cắp dữ liệu, đƣợc phép đọc các tài liệu mà
không đủ thẩm quyền, dữ liệu bị phá hủy … Do đó, bên cạnh việc triển khai và sử
dụng CNTT, chúng ta cũng phải đảm bảo ATTT. Đảm bảo ATTT chính là đảm bảo
hệ thống có đƣợc ba yếu tố:
Tình toàn vẹn
Tính bí mật
Tính sẵn sàng
Trong lĩnh vực ATTT, sử dụng chứng thƣ số đã trở thành một trong các
phƣơng pháp giúp chúng ta có thể bảo mật thông tin. Với chứng thƣ số, ngƣời sử
dụng có thể mã hóa thông tin một cách hiệu quả, chống giả mạo thông tin, xác thực
ngƣời gửi. Ngoài ra, chứng thƣ số còn là bằng chứng giúp chống chối cãi nguồn
gốc, ngăn chặn ngƣời gửi chối cãi nguồn gốc tài liệu mình đã gửi.
Bố cục đề tài Luận văn gồm có 3 phần, với nội dung từng phần cụ thể nhƣ sau:
Chƣơng 1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ BẢO MẬT
THÔNG TIN TRONG GIAO DỊCH ĐIỆN TỬ
Chƣơng này chúng tôi sẽ tìm hiểu về giao dịch điện tử, phân loại giao dịch
điện tử, an toàn thông tin trong giao dịch điện tử, một số giải pháp bảo mật giao
dịch điện tử, tổng quan về web và ứng dụng web, an toàn dịch vụ web, mật mã khóa
đối xứng, mật mã khóa công khai, hàm băm, chữ ký số.
2
Số hóa bởi Trung tâm Học liệu
Chƣơng 2. MỘT SỐ GIẢI PHÁP XÁC THỰC WEB
Chƣơng này trình bày về một số giải pháp xác thực web bao gồm: Giải pháp
xác thực ngƣời dùng Web, hệ thống đăng nhập duy nhất, giải pháp ký số, xác thực
nội dung Web và giải pháp sử dụng giao thức SSL/TLS trong quá trình trao đổi giữa
Web client và WebServer để xây dựng ứng dụng cho chƣơng tiếp theo.
Chƣơng 3. XÂY DỰNG VÀ TÍCH HỢP GIẢI PHÁP XÁC THỰC WEB
TRÊN CỔNG THÔNG TIN NGUỒN MỞ LIFERAY
Chƣơng này xây dựng ứng dụng cụ thể: Xây dựng, tích hợp hệ thống đăng
nhập duy nhất CAS với cổng thông tin nguồn mở Liferay, xây dựng ứng dụng ký
số, xác thực trên nền tảng Web, cấu hình, tích hợp giao thức SSL/TLS cũng nhƣ
tích hợp với thiết bị Etoken.
Do thời gian hoàn thành đề tài có hạn cũng nhƣ khả năng nghiên cứu còn hạn
chế cho nên em không tránh khỏi những khiếm khuyết, em rất mong có đƣợc những
góp ý và giúp đỡ của các thầy cô giáo để em có thể tiếp tục đề tài này ở mức ứng
dụng cao hơn trong tƣơng lai.
Em xin chân thành cảm ơn.
Học viên
Hoàng Vĩnh Hà
3
Số hóa bởi Trung tâm Học liệu
Chƣơng 1 TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG
GIAO DỊCH ĐIỆN TỬ
1.1 Tổng quan về giao dịch điện tử
1.1.1 Giới thiệu về giao dịch điện tử
Càng ngày CNTT đã trở thành một trong những động lực quan trọng của sự
phát triển. Cùng với sự phát triển của máy tính điện tử, truyền thông phát triển kéo
theo sự ra đời và phát triển của mạng máy tính, từ các mạng cục bộ, mạng diện rộng
cho tới mạng toàn cầu Internet và xa lộ thông tin. Việc thông tin chuyển sang dạng
số và nối mạng đã làm thay đổi sự chuyển hóa của nền kinh tế, các dạng thể chế,
các mối quan hệ và bản chất của hoạt động kinh tế xã hội và có ảnh hƣởng sâu sắc
đển hầu hết các lĩnh vực hoạt động và đời sống con ngƣời, trong đó có hoạt động
giao dịch điện tử. Ngƣời ta đã có thể tiến hành các hoạt động giao dịch nhờ các
phƣơng tiện điện tử. Đó chính là giao dịch điện tử (GDĐT).
Giao dịch điện tử là các hoạt động mua bán sản phẩm hay dịch vụ trên các hệ
thống điện tử nhƣ Internet và các mạng máy tính. Giao dịch điện tử dựa trên một số
công nghệ nhƣ chuyển tiền, quản lý chuỗi dây chuyền cung cấp ứng dụng, tiếp thị
Internet, quá trình giao dịch trực tuyến, trao đổi dữ liệu điện tử, các hệ thống quản
lý hàng tồn kho và các hệ thống tự động thu thập dữ liệu. Giao dịch điện tử hiện đại
thƣờng sử dụng mạng World Wide Web là một điểm thiết yếu trong chu trình giao
dịch mặc dù nó có thể bao gồm một phạm vi lớn hơn về mặt công nghệ nhƣ email,
các thiết bị di động cũng nhƣ điện thoại. Ngƣời ta phân loại GDĐT là theo bản chất
của giao dịch điện tử hoặc mối quan hệ giữa các bên tham gia. Ngƣời ta phân loại
theo một số loại hình GDĐT chính nhƣ sau: GDĐT giữa các doanh nghiệp (B2B);
GDĐT giữa ngƣời tiêu dùng – doanh nghiệp (C2B: Consumer- To-Business).
GDĐT giữa ngƣời tiêu dùng – ngƣời tiêu dùng (C2C: Consumer-To-Consumer);
Chính phủ điện tử; G2G (Government-To-Government); (Government-To-
Business); G2C (Government-To-Custemer).
Các hình thức hoạt động của GDĐT chủ yếu là các Website và thƣ điện tử,
thanh toán điện tử (Trao đổi dữ liệu điện tử tài chính, tiền mặt Internet, tiền túi điện
4
Số hóa bởi Trung tâm Học liệu
tử, giao dịch ngân hàng số hóa…) trao đổi dữ liệu điện tử, truyền nội dung, bán lẻ
hàng hóa hữu hình…
1.1.2 Những hạn chế trong giao dịch điện tử
Theo nghiên cứu của EcommerceNet một tổ chức nghiên cứu tình hình phát
triển của GDĐT có uy tín tại Mỹ, thì mƣời rào cản lớn nhất đối với sự phát triển
GDĐT theo thứ tự là:
An toàn.
Sự tin tƣởng và rủi ro.
Thiếu nhân lực về GDĐT.
Văn hóa.
Thiếu hạ tầng về chữ ký số hóa (hoạt động của các tổ chức chứng thực còn
hạn chế).
Nhận thức của các tổ chức về GDĐT.
Gian lận trong GDĐT (thẻ tín dụng…).
Các sàn giao dịch B2B chƣa thực sự thân thiện với ngƣời dùng.
Các rào cản thƣơng mại quốc tế truyền thống.
Thiếu các tiêu chuẩn quốc tế về GDĐT.
Trong đó, hạn chế chia thành hai nhóm chính là nhóm hạn chế mang tính kỹ
thuật và nhóm hạn chế mang tính thƣơng mại. Trong đó, nhóm hạn chế mang tính
kỹ thuật đƣợc thể hiện nhƣ sau:
An toàn: Vấn đề an toàn trong giao dịch là vấn đề lớn đối với GDĐT. Nhiều
khách hàng ngần ngại không muốn cung cấp số thẻ tín dụng qua Internet vì đã có rất
nhiều trƣờng hợp bị đánh cắp thông tin và tài khoản thẻ tín dụng gây nhiều thiệt hại
cho ngƣời dùng.
Toàn vẹn dữ liệu: Bảo vệ dữ liệu và tính toàn vẹn của dữ liệu là một vấn đề
nghiêm trọng. Do sự xuất hiện của các virut máy tính dẫn đến đƣờng truyền dữ liệu
5
Số hóa bởi Trung tâm Học liệu
bị nghẽn, các tệp dữ liệu bị phá hủy, tin tặc truy cập trái phép hệ thống để lấy cắp
thông tin, hủy hoại dữ liệu khiến cho khách hàng lo lắng về hệ thống GDĐT.
Nỗi lo lắng về nâng cấp hệ thống: Sau một thời gian phát triển hệ thống
website GDĐT, số lƣợng khách hàng truy cập ngày một đông sẽ dấn đến tốc độ truy
cập chậm lại, nghẽn mạng. Kết quả là khách hàng rời bỏ website. Để tránh tình
trạng này các doanh nghiệp phải thƣờng xuyên nâng cấp hệ thống.
Trên thế giới vẫn chƣa có tiêu chuẩn quốc tế về chất lƣợng dịch vụ, độ an
toàn và độ tin cậy trong GDĐT, mỗi quốc gia lại có một chính sách khác nhau và
các chính sách về GDĐT vẫn chƣa chặt chẽ và còn nhiều lỗ hổng. Các công cụ xây
dựng phần mềm về GDĐT (Nhƣ các nền tảng phát triển website GDĐT, cách thức
thanh toán, xác thực…) vẫn chƣa đƣợc hoàn thiện và còn trong đang giai đoạn phát
triển. Khi kếp hợp các phần mềm GDĐT với các phần mềm ứng dụng và các cơ sở
dữ liệu truyền thống vẫn gặp nhiều khó khăn.
1.2 An toàn thông tin trong giao dịch điện tử
Thƣơng mại điện tử là sự mua bán sản phẩm hay dịch vụ trên các hệ thống
điện tử nhƣ Internet hoặc các mạng máy tính. Các giao dịch điện tử trong thƣơng
mại điện tử chủ yếu là: chuyển tiền, mua sắm điện tử, trao đổi thông tin điện tử…
Đây là các giao dịch hết sức quan trọng đòi hỏi phải có độ an toàn và bảo mật cao.
Ngoài các yếu tố an toàn và bảo mật nhƣ đối với hệ thống thông tin, giao
dịch điện tử cần phải chú trọng vào một số vấn đề sau:
Bảo mật thông tin khách hàng.
Xác thực chủ thể, chống chối bỏ.
Xác thực tính chính xác về thời gian giao dịch và kiểu giao dịch.
Khi nhu cầu giao dịch điện tử ngày càng gia tăng thì các nguy cơ mất an toàn
càng dễ xảy ra. Điều này đòi hỏi phải có những chính sách thích hợp giúp cho
ngƣời sử dụng yên tâm khi thực hiện các giao dịch điện tử. Các doanh nghiệp kinh
6
Số hóa bởi Trung tâm Học liệu
doanh điện tử thƣờng trú trọng đến các giải pháp để có thể xác thực ngƣời dùng: sử
dụng chữ ký số, xác thực sinh trắc, xác nhận qua điện thoại, email… Các giải pháp
này giúp hạn chế tối đa các trƣờng hợp mạo danh để thực hiện các giao dịch điện tử.
Lợi ích của giao dịch điện tử đối với nền kinh tế quốc dân cũng nhƣ sự phát
triển về mặt công nghệ và thị trƣờng toàn cầu là vô cùng to lớn. Tuy nhiên, song
hành cùng với những thuận lợi bao giờ cũng nảy sinh và tồn tại khó khăn. Vấn đề
đáng lo ngại nhất hiện nay mà tất cả các quốc gia đều phải đối mặt đó là sự tấn
công, phá hoại của một số phần tử xã hội, gây ảnh hƣởng không nhỏ đến nền kinh
tế. Các cuộc tấn công mạng trên toàn cầu gây thiệt hại hàng tỉ USD mỗi năm và con
số này đang không ngừng gia tăng. Theo thống kê của Ủy ban Thƣơng mại Liên
bang Hoa Kỳ, việc mất dữ liệu ở Mỹ trong 5 năm đã gây thiệt hại 60 tỉ USD. Còn
theo Computer Economics, chỉ riêng 4 loại sâu máy tính MyDoom, Bagel, Netsky
và Sasser đã gây tổng thiệt hại đến 11 tỉ USD… Thế giới trong năm qua bị rung
động bởi sự hoành hành của Flame và Duqu, những vi rút đánh cắp thông tin mật
của các hệ thống điện toán khu vực Trung Đông. Gần đây nhất, đầu năm 2014, tại
Mỹ hàng loạt các công ty công nghệ hàng đầu cũng đã bị hacker tấn công nhƣ
Apple, Facebook, Microsoft. Bên cạnh đó, nhiều tòa báo lớn của Mỹ cũng đã bị
hacker liên tiếp tấn công nhằm đánh cắp dữ liệu. Một vấn đề bức xúc đƣợc đặt ra là
các giải pháp an toàn thông tin cho giao dịch điện tử.
Ở Việt Nam, trong những năm gần đây liên tục diễn ra các sự kiện liên quan
đến vấn đề an toàn thông tin. Những báo cáo, tham luận tại các Hội thảo đều cho
thấy vấn đề an ninh các website, đặc biệt website của các công ty chứng khoán là
những mối quan ngại lớn. Với những diễn biến xảy ra, an ninh mạng Việt Nam thực
sự là bất ổn và đƣợc coi là “báo động đỏ”. Hàng nghìn virus mới xuất hiện, những
cuộc tấn công có chủ đích của giới hacker vào các website của các cơ quan, tổ chức
và doanh nghiệp đã gây ra những hậu quả nhất định cho các đơn vị này. Nhiều
hoạt động phạm pháp, lợi dụng Internet làm môi trƣờng hoạt động, tình trạng phát
tán thƣ rác, virus tăng theo cấp số nhân. Theo ƣớc tính, năm 2007 ở nƣớc ta thiệt
7
Số hóa bởi Trung tâm Học liệu
hại do virus gây ra có thể lên tới hơn 2 nghìn tỉ đồng. Đầu năm 2014, các số liệu
thống kê cho thấy, tình hình mất an toàn an ninh mạng vẫn không có dấu hiệu giảm.
Theo nhận định của các chuyên gia, năm 2014 vẫn tiếp tục xuất hiện nhiều biến thể
virus mới và tập trung tấn công vào từng nhóm đối tƣợng có chủ đích thay vì tấn
công chung chung trên diện rộng. Do đó, con số thiệt hại cũng sẽ tăng lên một cách
đáng báo động [7].
Theo thống kê của BKAV, trong năm 2014, tại Việt nam có tới 2.203
website của các cơ quan doanh nghiệp (DN) bị tấn công, các cuộc tấn công này chủ
yếu thông qua các lỗ hổng trên hệ thống mạng. So với năm 2013 (có 2.245 website
bị tấn công), con số này hầu nhƣ không giảm. Thực trạng này cho thấy, an ninh
mạng vẫn chƣa thực sự đƣợc quan tâm tại các cơ quan, DN. Theo nhận định của các
chuyên gia công ty BKAV, hầu hết cơ quan DN của Việt Nam chƣa bố trí đƣợc
nhân sự phụ trách an ninh mạng hoặc năng lực và nhận thức của đội ngũ này chƣa
tƣơng xứng với tình hình thực tế. Đó là những nguyên nhân chính. Trong năm 2013,
tấn công, phát tán phần mềm gián điệp (spyware) vào các cơ quan, DN là hình thái
mới của giới tội phạm mạng mang tính chất quốc gia. Trong năm, hệ thống giám sát
vi rút của Bkav đã phát hiện hàng loạt email đính kèm file văn bản chứa phần mềm
gián điệp đƣợc gửi tới các cơ quan, DN. Do từ trƣớc tới nay các file văn bản vẫn
đƣợc cho là an toàn, hầu hết ngƣời nhận đƣợc email đã mở file đính kèm và bị
nhiễm vi rút dạng spyware khai thác lỗ hổng của phần mềm Microsoft Office (bao
gồm cả Word, Excel và PowerPoint). Khi xâm nhập vào máy tính, virus này âm
thầm kiểm soát toàn bộ máy tính nạn nhân, mở cổng hậu (backdoor), cho phép
hacker điều khiển máy tính nạn nhân từ xa. Chúng cũng nhận lệnh hacker tải các
virus khác về máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu.
Các sự việc này đã rung lên hồi chuông báo động về thực trạng mất an toàn an ninh
mạng của các cơ quan, doanh nghiệp tại Việt nam.
Việc kết nối qua mạng Internet hiện nay chủ yếu sử dụng giao thức TCP/IP.
TCP/IP cho phép các thông tin đƣợc gửi từ một máy tính này tới một máy tính khác
8
Số hóa bởi Trung tâm Học liệu
thông qua một loạt các máy trung gian hoặc các mạng riêng biệt trƣớc khi nó có thể
đi tới đích. Tính linh hoạt này của giao thức TCP/IP đã tạo cơ hội cho “bên thứ ba”
có thể thực hiện các hành động bất hợp pháp, cụ thể là:
Nghe trộm: thông tin vẫn không bị thay đổi, nhƣng sự bí mật của nó thì
không còn.
Giả mạo: các thông tin trong khi truyền đi bị thay đổi hoặc thay thế trƣớc
khi đến ngƣời nhận.
Mạo danh: thông tin đƣợc gửi tới một cá nhân mạo nhận là ngƣời nhận
hợp pháp.
Sự phát triển của giao dịch điện tử phụ thuộc phần lớn vào mạng máy tính
(Internet) bởi con đƣờng thông thƣơng duy nhất trong thị trƣờng giao dịch điện tử
chính là các kết nối Internet. Do vậy, việc đảm bảo cho con đƣờng này đƣợc thông
suốt và an toàn là mục tiêu quan trọng cần hƣớng tới của mọi thị trƣờng giao dịch
điện tử từ quốc gia đến khu vực và thế giới.
1.3 Tổng quan về Web và ứng dụng WEB
Website là một “trang web” đƣợc lƣu trữ tại các máy chủ hay các hosting
hoạt động trên Internet. Đây là nơi giới thiệu những thông tin, hình ảnh về doanh
nghiệp, sản phần và dịch vụ của doanh nghiệp hay giới thiệu thông tin để khách
hàng có thể truy cập bất kì ở đâu, bất cứ lúc nào. Website là tập hợp của nhiều web
page. Để tạo nên một website cần có 3 yếu tố sau:
Tên miền (domain): Thực chất một website không cần đến tên miền nó vẫn
có thể hoạt động bình thƣờng vì nó còn có địa chỉ IP của trang web, chúng ta chỉ
cần gõ vào trình duyệt IP của trang web thì ngay lập tức trình duyệt sẽ load trang
web về trình duyệt của bạn. Sỡ dĩ chúng ta cần phải có tên miền thay cho IP là vì IP
là mỗi chuỗi số thập phân, có những địa chỉ IP thì rất là dễ nhớ nhƣng đa số địa chỉ
IP thì rất là khó nhớ. Với cái tên nó rất gần gũi với ngôn ngữ tự nhiên của con ngƣời
nên rất là dễ nhớ cũng chính vì vậy mà ngƣời ta đã thay tên miền cho IP và từ đó
công nghệ DNS ra đời. Nơi lƣu trữ website (hosting): Nơi lƣu trữ website thì bắt
9
Số hóa bởi Trung tâm Học liệu
buộc chúng ta phải có, nó có thể là một máy chủ để lƣu trữ hay một hosting chúng
ta thuê từ nhà cung cấp dịch vụ.
Nội dung các trang thông tin (web page): Nội dung trang thông tin này thì
phải có vì mục đích của chúng ta lập nên website nhằm đăng thông tin của chúng ta
lên website hay giới thiệu các thông tin của công ty. Nói đến một website ngƣời ta
thƣờng nói website đấy là web động hay tĩnh, đa số các website bây giờ đến là
website động.
Website tĩnh có thể hiểu nhƣ thế sau ngƣời dùng gửi yêu cầu một tài nguyên
nào đó và máy chủ sẽ trả về tài nguyên đó. Các trang Web không khác gì là một văn
bản đƣợc định dạng và phân tán. Lúc mới đầu phát triển website thì web tĩnh đƣợc
sử dụng rất nhiều vì lúc đấy nhu cầu của việc đăng tải trên website là chƣa cao nhƣ
đăng thông tin về các sự kiện, địa chỉ hay lịch làm việc qua Internet mà thôi, chƣa
có sự tƣơng tác qua lại giữa các trang Web.
Website động là thuật ngữ đƣợc dùng để chỉ những website đƣợc hỗ trợ bởi
một phần mềm cơ sở web, một cách đơn giản web động là web có cơ sở dữ liệu.
Ngày nay, đa số các trang web đều có cơ sở dữ liệu vì mục đích, nhu cầu của con
ngƣời càng ngày gia tăng. Thực chất, website động có nghĩa là một website tĩnh
đƣợc "ghép" với một phần mềm web (các modules ứng dụng cho Web). Với chƣơng
trình phần mềm này, ngƣời chủ website thực sự có quyền điều hành nó, chỉnh sửa
và cập nhật thông tin trên website của mình mà không cần phải nhờ đến những
ngƣời chuyên nghiệp.
Ứng dụng WEB là một ứng dụng máy chủ/máy khách sử dụng giao thức
HTTP để tƣơng tác với ngƣời dùng hay hệ thống khác. Trình duyệt WEB giành cho
ngƣời dùng nhƣ Internet Explore hoặc Firefox hay Chrome, Ngƣời dùng gửi và
nhận các thông tin từ máy chủ WEB thông qua việc tác động vào các trang WEB.
Các ứng dụng WEB có thể là trang trao đổi mua bán, các diễn đàn, gửi và nhận
email. Với công nghệ hiện nay, website không chỉ đơn giản là một trang tin cung
cấp các bài tin đơn giản. Những ứng dụng web viết trên nền web không chỉ đƣợc
10
Số hóa bởi Trung tâm Học liệu
gọi là một phần của website nữa, giờ đây chúng đƣợc gọi là phần mềm viết trên nền
web. Có rất nhiều phần mềm chạy trên nền web nhƣ Google Word (xử lý các file
văn bản), Google spreadsheets (xử lý tính bảng tính), Google Translate (từ điển,
dịch văn bản),
Hình 1.1Thống kê bảo mật ứng dụng WEB
1.3.1 Kiến trúc một ứng dụng WEB
Hình 1.2 Kiến trúc một ứng dụng WEB.
Một ứng dụng web có đầy đủ các thành phần nhƣ sau:
11
Số hóa bởi Trung tâm Học liệu
Máy khách
Tại máy khách muốn truy cập vào đƣợc các ứng dụng web thì phải có trình
duyệt web có thể dùng trình duyệt web mặc định của các hệ điều hành nhƣ window
là Internet Explore, Linux thƣờng là Firefox, còn không thì có thể cài thêm các
chƣơng trình duyệt web nhƣ Google Chrome, Opera,
Máy chủ web
Là nơi lƣu trữ nội dung trang web, tiếp nhận các yêu cầu kết nối từ máy
khách, máy chủ web sử dụng phần mềm để chạy dịch vụ web phục vụ cho các máy
khách nhƣ trên Windows có IIS, Linux thì có Apache, Tom cat,
Ứng dụng web
Ứng dụng web đƣợc viết bằng các ngôn ngữ khác nhau nhƣ java, php, hay
có thể là một đoạn flash đơn giản để nhúng các ứng dụng vào trang web. Ví dụ nhƣ
games online trên facebook hay zing.
Cơ sở dữ liệu
Là một máy chủ chịu đảm nhiệm việc lƣu trữ thông tin của các ứng dụng
web có thể là lƣu trữ ngay trên máy chủ web hoặc là một máy chủ khác nhƣng
thƣờng để bảo mật thì ngƣời ta lƣu trên một máy chủ khác và sử dụng hệ quản trị cơ
sở dữ liệu nhƣ SQL Server hay Oracle, Ví dụ: nhƣ chơi games online trên web
của facebook hay zing thì ngƣời chơi games xong thƣờng lƣu các giá trị của ngƣời
chơi vào một cơ sở dữ liệu nào đấy và khi nào ngƣời chơi muốn tiếp tục chơi thì
truy vấn lấy cơ sở dữ liệu đấy ra.
1.3.2 Nguy cơ mất an toàn dịch vụ WEB
Ngày nay với sự phát triển mạnh mẽ của công nghệ thông tin việc ứng dụng
công nghệ mạng máy tính trở lên vô cùng phổ cập và cần thiết. Sự xuất hiện mạng
internet cho phép mọi ngƣời có thể truy cập, chia sẻ và khai thác thông tin một cách dễ
dàng và hiệu quả. Sự phát triển mạnh mẽ của Internet xét về mặt bản chất chính là việc
12
Số hóa bởi Trung tâm Học liệu
đáp ứng lại sự gia tăng không ngừng của nhu cầu giao dịch trực tuyến trên hệ thống
mạng toàn cầu. Các giao dịch trực tuyến trên Internet phát triển từ những hình thức sơ
khai nhƣ trao đổi thông tin (email, message …), quảng bá (Web-publishing) đến những
giao dịch phức tạp thể hiện qua các hệ thống chính phủ điện tử, thƣơng mại điện tử
ngày càng phát triển mạnh mẽ trên khắp thế giới. Tuy nhiên lại nảy sinh các vấn đề an
toàn thông tin, Internet có những kỹ thuật cho phép mọi ngƣời truy nhập, khai thác,
chia sẻ thông tin. Nhƣng nó cũng là nguy cơ chính dẫn đến việc thông tin bị hƣ hỏng
hoặc phá hủy. Sở dĩ có lý do đó là việc truyền thông tin qua mạng Internet hiện nay chủ
yếu sử dụng giao thức TCP/IP, cho phép các thông tin đƣợc gửi từ một máy tính này
tới một máy tính khác đi qua một loạt các giao thức trung gian hoặc mạng riêng biệt
trƣớc khi có thể tới đích. Chính vì điểm này, đã tạo cơ hội cho “bên thứ ba” có thể thực
hiện các hành động gây mất mát thông tin trong giao dịch. Một số vấn đề an toàn đối
với nhiều mạng máy tính hiện nay.
Nghe trộm (Eavaesdropping): Thông tin không bị thay đổi, nhƣng sự bí mật của
nó thì không còn. Ví dụ: Ai đó có thể biết đƣợc số ID và Password của thẻ tín dụng…
Giả mạo (Tampering): Các thông tin trong khi truyền trên mạng bị thay đổi
trƣớc khi đến ngƣời nhận. Ví dụ: Một ai đó có thể sửa đổi đơn đặt hàng hoặc thay
đổi lý lịch cá nhân trƣớc khi các thông tin đó đi đến đích.
Mạo danh (Impersonation): Một cá nhân có thể dựa vào thông tin của ngƣời
khác để trao đổi với một đối tƣợng. Có hai hình thức mạo danh:
Mạo danh bắt chƣớc (Spoofing): Một cá nhân có thể dựa vào thông tin của
ngƣời khác. Ví dụ: Dùng địa chỉ mail của một ngƣời khác hoặc giả mạo một tên
miền của một trang Web.
Xuyên tạc (Mirepresentation): Một cá nhân hay một tổ chức có thể giả vờ
nhƣ một đối tƣợng, hay đƣa ra thông tin về kinh doanh máy tính mà có sử dụng thẻ
tín dụng. Nhƣng thực tế trang này chuyên đánh cắp thẻ tín dụng.
13
Số hóa bởi Trung tâm Học liệu
Chối cãi nguồn gốc (Non-repudiation): Một cá nhân có thể chối là đã không
gửi tài liệu khi xảy ra tranh chấp. Ví dụ: Khi gửi email thông thƣờng, ngƣời nhận sẽ
không thể khẳng định ngƣời gửi là chính xác.
Để đảm báo tính bảo mật của thông tin không làm giảm sự phát triển của
việc trao đổi thông tin quảng bá trên toàn cầu thì chúng ta cần có các giải pháp phù
hợp. Hiện tại có rất nhiều giải pháp cho vấn đề an toàn thông tin trên mạng nhƣ mã
hóa thông tin, chữ ký điện tử. Các bí mật đảm bảo an toàn cho giao dịch điện tử:
Thế nào là một hệ thống an toàn thông tin? An toàn thông tin trƣớc cho các
cuộc tấn công là một vấn đề mà các hệ thống giao dịch trực tuyến cần giải quyết.
Thông tin truyền trên mạng gặp rất nhiều rủi ro và nguy cơ mất thông tin là thƣờng
xuyên. Chẳng hạn việc thanh toán bằng thẻ tín dụng thông qua dịch vụ Web sẽ gặp
một số rủi ro sau:
Thông tin từ trình duyệt Web của khách hàng ở dạng thuần văn bản nên có
thể bị lọt vào tay kẻ tấn công. Trình duyệt Web của khách hàng không thể xác định
đƣợc máy chủ mà mình trao đổi tin có phải là thật hay một Web giả mạo. Không ai
có thể đảm bảo dữ liệu truyền đi có thể bị thay đổi hay không? Vì vậy các hệ thống
cần phải có một cơ chế đảm bảo an toàn trong quá trình giao dịch điện tử. Một hệ
thống thông tin trao đổi dữ liệu an toàn phải đáp ứng một số yêu cầu sau:
Hệ thống phải đảm bảo dữ liệu trong quá trình chuyển đi là không bị đánh
cắp. Hệ thống phải có khả năng xác thực, tránh trƣờng hợp giả danh, giả mạo. Do
vậy, cần tập trung vào việc bảo vệ các tài sản khi chúng đƣợc chuyển tiếp giữa
khách và máy chủ từ xa. Việc cung cấp kênh thƣơng mại an toàn đồng nghĩa với
việc đảm báo tính toàn vẹn của thông báo, tính sẵn sàng của kênh. Các kỹ thuật đảm
bảo cho an toàn giao dịch điện tử chính là sử dụng các hệ mật mã, chứng thƣ số và
chữ ký số trong quá trình thực hiện các giao dịch.
14
Số hóa bởi Trung tâm Học liệu
Mật mã đƣợc chia làm hai loại chính là mật mã khóa đối xứng (mật mã khóa
bí mật) và mật mã khóa công khai [1, 8, 9].
1.4 Một số kỹ thuật mật mã ứng dụng trong bảo mật và xác thực web
1.4.1 Mật mã khoá đối xứng
Mật mã khóa đối xứng còn đƣợc gọi là mật mã khóa bí mật. Đây là phƣơng
pháp mã hóa sử dụng cặp khóa đối xứng. Với phƣơng pháp này, ngƣời gửi và ngƣời
nhận sẽ dùng chung một khóa để mã hóa và giải mã thông điệp. Trƣớc khi mã hóa
thông điệp gửi đi, hai bên gửi và nhận phải có khóa chung và phải thống nhất thuật
toán để mã hóa và giải mã. Để đảm bảo tính bí mật trong truyền thông thì hai bên tham
gia truyền thông phải giữ kín và không để lộ thông tin về khóa mật cho ngƣời khác.
Độ an toàn của thuật toán này phụ thuộc vào khoá, nếu để lộ khoá này nghĩa là
bất kỳ ngƣời nào cũng có thể mã hoá và giải mã thông báo trong hệ thống mã hoá.
Hình 1.3 Mã hóa khóa bí mật
Ứng dụng: Sử dụng trong môi trƣờng mà khoá dễ dàng đƣợc chuyển đi, nhƣ là
trong cùng một văn phòng. Cùng dùng để mã hoá thông tin khi lƣu trữ trên đĩa nhớ.
15
Số hóa bởi Trung tâm Học liệu
1.4.2 Mật mã khoá công khai
Mật mã khóa công khai là một dạng mật mã cho phép ngƣời sử dụng trao đổi
các thông tin mật mã mà không cần phải trao đổi các khóa chung bí mật trƣớc đó.
Điều này đƣợc thực hiện bằng cách sử dụng một cặp khóa có quan hệ toán học với
nhau là khóa công khai (Public Key) và khóa cá nhân (Private Key).
Trong mật mã khóa công khai, khóa cá nhân phải đƣợc giữ bí mật trong khi
khóa công khai đƣợc phổ biến công khai. Trong hai khóa, một dùng để mã hóa và
khóa còn lại dùng để giải mã. Điều quan trọng đối với hệ thống là không thể tìm ra
khóa bí mật nếu chỉ biết khóa công khai.
Việc sử dụng mật mã khóa công khai cung cấp cho ta những ứng dụng quan
trọng trong bảo vệ thông tin:
1.4.2.1 Bảo vệ tính bí mật thông tin
Giả sử A muốn gửi cho B một thông điệp M, A sẽ phải:
Mã hóa thông điệp M bằng khóa công khai của B.
Gửi bản mã thông điệp cho B.
Khi B nhận đƣợc thông điệp M. Thông điệp M đã đƣợc mã hóa của A, B sẽ
sử dụng khóa riêng của mình để giải mã thông điệp đó.
Hình 1.4 Mã hóa khóa công khai
Phƣơng pháp này cung cấp tính bí mật vì chỉ có B mới có khóa bí mật để giải
mã thành công bản mã mà A đã gửi. Tuy nhiên, phƣơng pháp này lại không cung
16
Số hóa bởi Trung tâm Học liệu
cấp bất kỳ quá trình xác thực nào để khẳng định bản mã mà B nhận là do A gửi, vì
khóa công khai của B ai cũng biết.
1.4.2.2 Xác thực thông tin
A muốn mọi ngƣời biết đƣợc rằng tài liệu M là của chính A gửi, A có thể sử
dụng khóa riêng của mình để ký lên tài liệu M.
Khi ai đó nhận đƣợc tài liệu, ví dụ là B, B sẽ kiểm tra chữ ký có trong tài liệu
M bằng khóa công khai của A và có thể chắc chắn đƣợc rằng tài liệu này là do A ký
vì chỉ có A mới có khóa riêng dùng để ký lên tài liệu.
Hình 1.5 Xác thực thông tin
Phƣơng pháp này giúp ngƣời sử dụng có thể xác thực đƣợc nguồn gốc của tài
liệu, nhƣng lại không bảo vệ tính bí mật của tài liệu. Do đó, ngƣời không đƣợc
quyền xem tài liệu vẫn có thể xem đƣợc nó.
1.4.2.3 Bảo vệ bí mật và xác thực thông tin
Để đảm bảo thông tin vừa bí mật vừa xác thực, chúng ta phải thực hiện mã
hóa hai lần:
Đầu tiên, A phải ký thông điệp bằng khóa riêng của mình (thao tác này để
đảm bảo tính xác thực).
Sau đó, A sử dụng khóa công khai của B để mã hóa tiếp thông báo vừa đƣợc
mã hóa (thao tác này để đảm bảo tính bí mật) .
17
Số hóa bởi Trung tâm Học liệu
Sau đó, A gửi bản mã cuối cùng đến B, B nhận đƣợc, sẽ làm giải mã theo thứ
tự ngƣợc lại để lấy đƣợc bản rõ.
Hình 1.6 Ký và mã hoá với khóa công khai
1.4.3
. Một số :
SHA–0, SHA-1…
1.4.4 Chữ ký số
1.4.4.
.
–
.
:
: