Tải bản đầy đủ (.pdf) (114 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

ĐẢM BẢO AN TOÀN CHO CÁC HỆ THỐNG THANH TOÁN ĐIỆN TỬ TRỰC TUYẾN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.23 MB, 114 trang )

Nguyụn SINH THàNH

bộ giáo dục và đào tạo
trờng đại học bách khoa hà nội
---------------------------------------

Luận văn thạc sĩ khoa học
NGàNH : CÔNG NGHệ THÔNG TIN

ngành công nghệ thông tin

ĐảM BảO AN TOàN CHO CáC Hệ ThốNG
THANH TOáN ĐIệN Tử TrựC TUYếN

NGUYễN SINH THàNH

khoá 2006-2008

Hà NộI 2008


LUẬN VĂN TỐT NGHIỆP

LỜI CẢM ƠN

Đầu tiên tôi xin gửi lời cảm ơn chân thành nhất tới TS. Vũ Tuyết Trinh,
người đã giúp đỡ và hướng dẫn tôi rất tận tình trong suốt thời gian thực hiện luận
văn.
Tôi cũng xin trân trọng cảm ơn các thầy, cô trong khoa Công nghệ Thông tin
cũng như trong trường Đại học Bách Khoa Hà Nội đã truyền thụ cho tôi những kiến
thức mà tôi đã được học trong suốt 2 năm qua.


Tôi xin chân thành cảm ơn đến những người bạn cùng học lớp Cao học
CNTT khóa 2006 – 2008, Viện Đào tạo Sau đại học, Trường Đại học Bách Khoa
Hà Nội, những người đã cùng tôi nghiên cứu, học tập, và trao đổi giúp cho tôi có
nhiều ý tưởng để nghiên cứu hoàn thiện luận văn này.
Cuối cùng tôi xin gửi lời cảm ơn chân thành đến cộng đồng jpos.org, những
người đã cùng tôi thảo luận về các giải pháp kỹ thuật và công nghệ, chia sẻ những
kinh nghiệm để tôi hoàn thành luận văn này.
Trong phạm vi của Luận văn tốt nghiệp cao học khó có thể diễn đạt hết ý về
mặt lý thuyết cũng như kĩ thuật, bên cạnh đó là trình độ bản thân còn hạn chế nên
không thể tránh khỏi thiếu xót. Tôi rất mong nhận được nhiều ý kiến đóng góp để
tiếp tục hoàn thiện kiến thức cũng như giải pháp của mình.
Hà Nội, ngày 20/11/2008

Nguyễn Sinh Thành

Nguyễn Sinh Thành 

Trang 1 


LUẬN VĂN TỐT NGHIỆP

LUẬN VĂN ĐƯỢC THỰC HIỆN TẠI
BỘ MÔN CÁC HỆ THỐNG THÔNG TIN
KHOA CÔNG NGHỆ THÔNG TIN - ĐẠI HỌC BÁCH KHOA HÀ NỘI


PHÒNG GIẢI PHÁP PHẦN MỀM SỐ 1
CÔNG TY ĐIỆN TOÁN VÀ TRUYỀN SỐ LIỆU (VDC)


Nguyễn Sinh Thành 

Trang 2 


LUẬN VĂN TỐT NGHIỆP

Mục lục
LỜI CẢM ƠN ..................................................................................................................1
Mục lục.............................................................................................................................3
Danh mục các từ viết tắt...................................................................................................6
Danh mục hình vẽ ............................................................................................................7
Mở đầu .............................................................................................................................9
Chương 1. Đặt vấn đề ....................................................................................................10
1.1. Thương mại điện tử ..........................................................................................10
1.1.1.

Cơ sở hạ tầng cho TMĐT.......................................................................12

1.1.2.

TMĐT tại Việt Nam ...............................................................................13

1.1.3.

Khuôn khổ pháp lý cho TMĐT ở Việt Nam ..........................................14

1.1.4.

Yêu cầu của TMĐT đối với hệ thống thanh toán...................................15


1.2. Mô hình chung về ứng dụng TMĐT ................................................................16
1.3. Mục đích và phương pháp nghiên cứu .............................................................17
1.3.1.

Mục đích.................................................................................................17

1.3.2.

Phương pháp nghiên cứu........................................................................17

1.4. Bố cục của luận văn..........................................................................................19
Chương 2. Phân tích các hiểm họa đối với an toàn hệ thống.........................................21
2.1. Mục đích và phân loại đảm bảo an toàn hệ thống ............................................21
2.1.1.

Mục đích.................................................................................................21

2.1.2.

Tổng quan về các phương pháp đảm bảo an toàn, an ninh ....................27

2.2. Các hiểm họa đối với an toàn hệ thống ............................................................28
2.2.1.

Các hiểm họa đối với máy khách ...........................................................29

2.2.2.

Các mối hiểm họa đối với kênh truyền thông ........................................31


2.2.3.

Các hiểm họa đối với máy chủ ...............................................................33

Chương 3. Các giải pháp đảm bảo an toàn hệ thống .....................................................38
3.1. Các nguyên tắc đảm bảo an toàn, an ninh ........................................................40
3.1.1.

Chính sách đảm bảo an toàn, an ninh.....................................................40

3.1.2.

Đảm bảo tính bí mật và riêng tư giao dịch.............................................41

3.1.3.

Đảm bảo tính toàn vẹn giao dịch............................................................43

Nguyễn Sinh Thành 

Trang 3 


LUẬN VĂN TỐT NGHIỆP

3.1.4.

Đảm bảo tính sẵn sàng của hệ thống ......................................................46


3.2. Các kỹ thuật đảm bảo an toàn, an ninh.............................................................48
3.2.1.

Mã hóa đối xứng.....................................................................................50

3.2.2.

Mã hóa khóa công khai ..........................................................................52

3.2.3.

Xác thực thông điệp và các hàm băm.....................................................56

3.2.4.

Chữ ký số................................................................................................61

3.2.5.

Chứng chỉ số...........................................................................................63

3.3. Đảm bảo an toàn hệ thống ................................................................................66
3.3.1.

Bảo vệ các tài sản TMĐT.......................................................................66

3.3.2.

Bảo vệ các máy khách (Client)...............................................................67


3.3.3.

Bảo vệ các kênh truyền thông ................................................................71

3.3.4.

Bảo vệ máy chủ thương mại...................................................................75

3.4. Đánh giá và so sánh các giải pháp....................................................................80
3.4.1.

Các điều kiện để đánh giá một hệ mật mã..............................................80

3.4.2.

Độ an toàn của thuật toán .......................................................................82

3.4.3.

Đánh giá các hệ mã sử dụng...................................................................83

Chương 4. eBill - Hệ thống thanh toán trực tuyến.........................................................86
4.1. Mô hình hệ thống..............................................................................................86
4.2. Giới thiệu về chuẩn ISO-8583..........................................................................88
4.3. Mô tả hệ thống eBill .........................................................................................91
4.4. Phân tích hệ thống ............................................................................................95
4.5. Thiết kế hệ thống ..............................................................................................95
4.5.1.

Thiết kế kiến trúc hệ thống.....................................................................95


4.5.2.

Thiết kế đảm bảo an toàn, an ninh cho hệ thống..................................101

Chương 5. Đánh giá .....................................................................................................109
5.1. Đánh giá hệ thống...........................................................................................109
5.1.1.

Ưu điểm ................................................................................................109

5.1.2.

Nhược điểm ..........................................................................................109

5.2. Đánh giá thuật toán SecurePayment...............................................................109
Chương 6. Kết luận, kiến nghị, hướng phát triển.........................................................111
6.1. Kết luận...........................................................................................................111
Nguyễn Sinh Thành 

Trang 4 


LUẬN VĂN TỐT NGHIỆP

6.2. Kiến nghị ........................................................................................................111
6.3. Hướng phát triển.............................................................................................111
Tài liệu tham khảo........................................................................................................112

Nguyễn Sinh Thành 


Trang 5 


LUẬN VĂN TỐT NGHIỆP

Danh mục các từ viết tắt
ACL

Access Control List – Danh sách kiểm soát truy nhập

CA

Certificate Authority – Cơ quan chứng thực

CGI

Common Gateway Interface – Giao diện cửa chung

CSDL

Cơ sở dữ liệu

DES

Data Encryption Standard – Chuẩn mã hóa dữ liệu

DSS

Digital Signature Standard – Chuẩn chữ ký số


DSA

Domain Name Server – Máy chủ tên miền

EDI

Electronic Data Interchange – Trao đổi dữ liệu điện tử

FTP

File Transfer Protocol – Giao thức truyền tệp

HTML

Hypertext Markup Language – Ngôn ngữ đánh dấu siêu văn bản

HTTP

Hypertext Transfer Protocol – Giao thức truyền siêu văn bản

ISO

International Organization for Standardization – Tổ chức chuẩn
hóa quốc tế

OECD

Organization for Economic Co-operation and Development – Tổ
chức hợp tác và phát triển kinh tế


PKI

Public Key Infrastructure – Cơ sở hạ tầng khóa công khai

SET

Secure Electronic Transaction – Giao dịch điện tử an toàn

S-HTTP

Secure Hypertext Transfer Protocol – Giao thức truyền siêu văn
bản an toàn

SSI

Server Side Include

SSL

Secure Socket Layer – Tầng socket an toàn

TMĐT

Thương mại điện tử

UNCITRAL

United Nations Commission on International Trade Law


URL

Uniform Resource Locator – Bộ định vị tài nguyên

WTO

World Trade Organization – Tổ chức thương mại thế giới

Nguyễn Sinh Thành 

Trang 6 


LUẬN VĂN TỐT NGHIỆP

Danh mục hình vẽ
Hình 1.1. Hệ thống TMĐT.............................................................................................10
Hình 1.2. Hạ tầng cho TMĐT ........................................................................................12
Hình 1.3. Mô hình chung về ứng dụng TMĐT..............................................................16
Hình 2.1. Các đối tượng truyền thông trên kênh truyền ................................................21
Hình 2.2. Xâm phạm tính bí mật của thông tin..............................................................23
Hình 2.3. Xâm phạm tính toàn vẹn của thông tin ..........................................................24
Hình 2.4. Tấn công làm mất tính sẵn sàng của hệ thống ...............................................26
Hình 2.5. Mô hình kết nối máy khách – kênh kết nối – máy chủ ..................................28
Hình 2.6. Tấn công phía máy khách ..............................................................................29
Hình 2.7. Nội dung động thu thập thông tin từ máy người dùng...................................30
Hình 2.8. Tấn công kênh truyền thông...........................................................................32
Hình 2.9. Tấn công phía máy chủ ..................................................................................33
Hình 2.10. Hiểm họa đối với tính bí mật của máy chủ Web .........................................35
Hình 3.1. Mô hình quản lý rủi ro ...................................................................................39

Hình 3.2. Lược đồ mã hóa..............................................................................................42
Hình 3.3. Đảm bảo tính bí mật.......................................................................................43
Hình 3.4. Quá trình gửi và nhận một thông điệp ...........................................................44
Hình 3.5. Đảm bảo tính toàn vẹn ...................................................................................46
Hình 3.6. Đảm bảo tính sẵn sàng của dữ liệu và hệ thống.............................................47
Hình 3.7. Các kỹ thuật đảm bảo an toàn, an ninh ..........................................................49
Hình 3.8. Mô hình mã hóa đối xứng ..............................................................................51
Hình 3.9. Mô hình mã hóa khóa công khai....................................................................53
Hình 3.10. Mã hóa khóa công khai cho xác thực...........................................................55
Hình 3.11. Các dạng sử dụng mã hóa thông điệp ..........................................................58
Hình 3.12. Các thuộc tính của chữ ký số .......................................................................62
Hình 3.13. Chứng chỉ khóa công khai đơn giản ............................................................65
Hình 3.14. Bảo vệ máy khách ........................................................................................69
Hình 3.15. Cấu trúc một chứng chỉ của VeriSign..........................................................70
Hình 3.16. Bảo vệ kênh truyền thông ............................................................................71
Nguyễn Sinh Thành 

Trang 7 


LUẬN VĂN TỐT NGHIỆP

Hình 3.17. Thiết lập một phiên SSL ..............................................................................73
Hình 3.18. Bảo vệ máy chủ............................................................................................76
Hình 3.19. Giải pháp của Check Point bảo vệ hệ thống ................................................79
Hình 4.1. Mô hình tổng quát hệ thống ...........................................................................87
Hình 4.2. Định dạng trường dữ liệu trong ISO8583 ......................................................89
Hình 4.3. Thay đổi gói tin ISO- 8583 ............................................................................90
Hình 4.4. Mô hình chức năng tổng thể ..........................................................................91
Hình 4.5. Giải pháp kết nối hệ thống .............................................................................96

Hình 4.6. Kiến trúc hệ thống..........................................................................................99
Hình 4.7. Lưu đồ thực hiện thuật toán HandShaking_SessionKey .............................106
Hình 4.8. Lưu đồ thực hiện thuật toán InterchangeApplicationMessage ....................107

Nguyễn Sinh Thành 

Trang 8 


LUẬN VĂN TỐT NGHIỆP

Mở đầu
Cùng với sự phát triển của công nghệ thông tin và truyền thông và xu hướng
hội nhập kinh tế toàn cầu, thương mại điện tử, mà hạt nhân là các hệ thống thanh
toán điện tử trực tuyến đã và đang phát triển mạnh mẽ trên thế giới. Rất nhiều nước
có chủ trương vừa phát triển các hoạt động cung ứng dịch vụ điện tử, vừa xây dựng
hệ thống pháp luật đầy đủ, minh bạch để đảm bảo giá trị pháp lý của các thông điệp
điện tử và giao dịch điện tử.
Ở Việt Nam, Luật Giao dịch điện tử đã được Quốc hội thông qua và có hiệu
lực từ 01/03/200, đã tạo cơ sở pháp lý để triển khai các ứng dụng giao dịch điện tử.
Tiếp theo đó, ngày 15/02/2007, Chính phủ đã ban hành Nghị định số 26/2007/NĐCP quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng
thực chữ ký số. Việc ban hành các văn bản pháp lý này đã thể hiện rõ sự quyết tâm
của Nhà nước trong việc thúc đẩy nhanh, mạnh các giao dịch điện tử, tạo động lực
cho sự phát triển của nền kinh tế.
Trong các hoạt động của thương mại điện tử thì việc đảm bảo an toàn, an
ninh cho người dùng cũng như các hệ thống thanh toán điện tử trực tuyến là rất cần
thiết và là ưu tiên hàng đầu. Các phương pháp mã hóa, chữ ký số, chứng chỉ số, cơ
sở hạ tầng khóa công khai và các ứng dụng của chữ ký số, chứng chỉ số trong các
giao dịch điện tử có liên quan đến những vấn đề kỹ thuật phức tạp và hiện còn
tương đối mới mẻ với nhiều tổ chức, doanh nghiệp và người dùng ở Việt Nam. Từ

thực tế này, chúng tôi chọn đề tài: “Đảm bảo an toàn cho các hệ thống thanh toán
điện tử trực tuyến”. Đây sẽ là đề tài có ý nghĩa thực tế rất lớn bởi vì sau khi hành
lang pháp lý cho thương mại điện tử được xây dựng, thì mục tiêu tiếp theo sẽ là xây
dựng các hệ thống thanh toán điện tử. Trong hoàn cảnh Việt Nam hiện nay, việc
phát triển thương mại điện tử chậm trễ một phần là do các hệ thống thanh toán điện
tử chưa phát triển bởi vì lý do mất an toàn đối với các hệ thống thanh toán điện tử.
Luận văn sẽ tập trung phân tích các hiểm họa gặp phải trong các hoạt động thương
mại điện tử nói chung và các hệ thống thanh toán điện tử nói riêng, xây dựng các
chính sách và nguyên tắc đảm bảo an toàn, áp dụng các giải pháp kỹ thuật như mã
hóa, chữ ký số, chứng chỉ số, đề xuất các giải pháp đảm bảo an toàn cho hệ thống.
Tiếp theo, luận văn đề xuất mô hình hệ thống thanh toán điện tử và đặc tả chi tiết
một hệ thống thanh toán cụ thể - eBill.

Nguyễn Sinh Thành 

Trang 9 


LUẬN VĂN TỐT NGHIỆP

Chương 1. Đặt vấn đề
1.1. Thương mại điện tử
Trong thời đại kỹ thuật số, với sự phát triển nhảy vọt của các ngành khoa học
công nghệ trong đó có công nghệ thông tin và truyền thông, việc áp dụng kỹ thuật
số được coi là cuộc cách mạng vĩ đại trong lịch sử nhân loại, cuộc “cách mạng số
hóa” thúc đẩy sự ra đời của “nền kinh tế số hóa” và “xã hội thông tin” mà thương
mại điện tử (TMĐT) là một bộ phận hợp thành. Quá trình tin học hóa xã hội bùng
nổ rồi nhanh chóng lan rộng ra toàn cầu sau khi Internet ra đời. Trong bối cảnh ấy,
hoạt động kinh tế nói chung và thương mại nói riêng cũng chuyển sang “số hóa”.
Khái niệm TMĐT dần hình thành và được ứng dụng ngày càng phổ biến, nhất là

những năm gần đây.
Năm 1996, thuật ngữ TMĐT chính thức được Hội đồng Liên hợp quốc sử dụng
trong "Luật mẫu về TMĐT"[15] do Ủy ban Liên hợp quốc về Luật Thương mại quốc
tế soạn thảo (UNCITRAL).
Hình 1.1 sau đây minh họa hệ thống TMĐT gồm có các thành phần như máy
khách, máy chủ, đường truyền thông và cách thức chúng tương tác với nhau:

Hình 1.1. Hệ thống TMĐT

Có nhiều cách định nghĩa khác nhau về TMĐT trên thế giới. Các định nghĩa
này được trình bày một cách ngắn gọn như sau:
Theo nghĩa hẹp, TMĐT là những giao dịch thương mại được thực hiện thông
qua các phương tiện điện tử, nhất là Internet và các mạng viễn thông khác.
Tổ chức Hợp tác và Phát triển kinh tế (OECD) cũng đưa ra định nghĩa: “TMĐT
được định nghĩa sơ bộ là toàn bộ các giao dịch thương mại dựa trên truyền dữ liệu
qua các mạng truyền thông như Internet”[16].
Theo nghĩa hẹp này của khái niệm TMĐT, người ta cho rằng TMĐT là
những hoạt động thương mại gắn với mạng Internet, phi giấy tờ và gắn bó chặt chẽ
Nguyễn Sinh Thành 

Trang 10 


LUẬN VĂN TỐT NGHIỆP

với mạng máy tính. Ngày nay, vì Internet được sử dụng phổ biến trong TMĐT, nên
nói đến TMĐT là nói đến hoạt động thương mại qua mạng Internet. Và cũng phải
thừa nhận rằng, chỉ khi mạng Internet đã đi vào hoạt động và được áp dụng một
cách phổ biến, rộng rãi trong dân sự cũng như trong thương mại thì người ta mới
nhận thấy vai trò to lớn và những lợi ích mà các phương tiện điện tử có thể mang lại

cho cuộc sống của con người cũng như cho hoạt động thương mại của doanh
nghiệp. Cách hiểu TMĐT theo nghĩa hẹp là bắt nguồn từ thực tế ứng dụng Internet
vào hoạt động thương mại của doanh nghiệp.
Theo nghĩa rộng, TMĐT là việc sử dụng các phương pháp điện tử để làm
thương mại. Nói cách khác, TMĐT là thực hiện các quy trình của các giao dịch
thương mại bằng các phương tiện điện tử, cụ thể là trên mạng máy tính và viễn
thông một cách rộng rãi, ở mức độ cao nhất có thể.
Theo tổ chức thương mại thế giới (WTO), “TMĐT được hiểu là việc sản
xuất, phân phối, tiếp thị, bán hoặc chuyển giao hàng hóa, dịch vụ bằng phương tiện
điện tử”[8]. Phương tiện điện tử được quy định là các phương tiện truyền tin như
Internet, điện thoại, fax, telex, điện tín, truyền hình, thư điện tử và các phương tiện
điển tử khác.
Với cách tiếp cận TMĐT theo nghĩa rộng nói trên, TMĐT đã tồn tại và được
ứng dụng từ rất lâu thông qua các phương tiện điện tử như Internet, điện thoại,
truyền hình, fax, telex… Mặc dù thuật ngữ TMĐT đối với nhiều người còn mới lạ
nhưng trên thực tế có rất nhiều ứng dụng của TMĐT đã và đang được áp dụng rộng
rãi trong cuộc sống của người dân cũng như của doanh nghiệp, từ việc rút tiền qua
máy rút tiền tự động, đặt mua hoa qua dịch vụ điện hoa hay việc giao dịch với các
đối tác qua điện tín, fax, thư điện tử (email)…
Nhà nước, khu vực tư nhân, cộng đồng những nhà chuyên môn, những người
tiêu dùng - tất cả đều cho rằng TMĐT là phương thức cách mạng trong việc thực
hiện giao dịch thương mại ngày nay. TMĐT là một quá trình đang phát triển và tiến
hoá liên tục.

Nguyễn Sinh Thành 

Trang 11 


LUẬN VĂN TỐT NGHIỆP


1.1.1. Cơ sở hạ tầng cho TMĐT
Hạ tầng cho TMĐT là tập hợp của nhiều thành phần liên quan được mô tả
trong hình 1.2 sau:
THƯƠNG MẠI ĐIỆN TỬ

MUA
BÁN

ĐẤU
THẦU

SÀN
GIAO
DỊCH

THANH
TOÁN

CÔNG NGHỆ

LUẬT GIAO DỊCH ĐIỆN TỬ

CON NGƯỜI

Hình 1.2. Hạ tầng cho TMĐT

Từ hình 1.2 nhận thấy: yếu tố quan trọng hàng đầu của TMĐT đó là con
người vì con người là chủ thể của các hành động TMĐT. Yếu tố thứ hai đó là Luật
giao dịch điện tử, đây là nền tảng pháp lý cho việc triển khai giao dịch điện tử.

Hành lang pháp lý của luật giao dịch điện tử đảm bảo cho TMĐT phát triển lành
mạnh, bền vững, bảo vệ các tác nhân tham gia vào TMĐT, là cơ sở để xây dựng cơ
sở hạ tầng kỹ thuật phát triển TMĐT. Tiếp theo là yếu tố Công nghệ. Yếu tố Công
nghệ quyết định trình độ phát triển của TMĐT. Công nghệ bao gồm toàn bộ các yếu
tố khoa học, kỹ thuật, công nghệ đáp ứng như cầu của TMĐT như cơ sở hạ tầng
mạng viễn thông và Internet, các dịch vụ trên đó, các biện pháp kỹ thuật bảo vệ
người tiêu dùng… Các thể hiện của TMĐT có thể bao gồm các hoạt động mua bán
hàng hóa, đấu thầu, hoặc các sàn giao dịch điện tử cũng như các hệ thống thanh
toán.

Nguyễn Sinh Thành 

Trang 12 


LUẬN VĂN TỐT NGHIỆP

1.1.2. TMĐT tại Việt Nam
TMĐT tại Việt Nam đang phát triển rất nhanh trong mấy năm gần đây. Theo
báo cáo TMĐT Việt Nam 2005 nhận định “cho tới hết năm 2005 TMĐT ở nước ta
đã kết thúc giai đoạn đầu tiên là giai đoạn hình thành và được pháp luật thừa nhận
chính thức. Với sự chuẩn bị đã chín muồi và nỗ lực to lớn của cả doanh nghiệp và
các cơ quan nhà nước, có thể dự đoán từ năm 2006, TMĐT ở Việt Nam sẽ bước
sang giai đoạn hai là giai đoạn phát triển mạnh mẽ.”[3].
TMĐT tại Việt Nam cho đến cuối năm 2007 đã có sự phát triển rất đáng ghi
nhận ở các điểm sau:
• Hệ thống pháp luật cho TMĐT cơ bản đã được xác lập
• Hiệu quả ứng dụng TMĐT tại các doanh nghiệp đã rõ ràng và có xu hướng
ngày càng tăng
• Thanh toán điện tử bắt đầu có sự phát triển nhanh chóng

Nhưng mặt khác, ngoài sự phát triển rất đáng ghi nhận thì TMĐT ở Việt
Nam vẫn phải đặt ra các vấn đề cần sớm được giải quyết để nhanh chóng phát triển
nhanh và bền vững:
• Thiếu lòng tin
o Khả năng gian lận, lừa đảo do đặc thù của môi trường mạng
o Mới ban hành văn bản pháp lý điều chỉnh
• Hệ thống thanh toán trực tuyến: chưa có cơ sở hạ tầng vững chắc cho TMĐT
• Bảo vệ người tiêu dùng trong TMĐT
• Vấn đề an toàn, an ninh:
o Chống ăn cắp số thẻ tín dụng
o Chống lừa đảo, gian lận thương mại
o Bí mật thông tin cá nhân, chống virus, DoS, DDoS
• Sự cạnh tranh quyết liệt của các doanh nghiệp TMĐT nước ngoài như eBay,
PayPal, Google, Yahoo…
• Thay đổi tập quán, thói quen mua bán: tỷ lệ chuyển từ người xem sang người
mua
• Chưa tạo được lợi thế thực sự giữa hình thức mua bán hàng trên mạng và
truyền thống
• Phát sinh các khái niệm mới:
Nguyễn Sinh Thành 

Trang 13 


LUẬN VĂN TỐT NGHIỆP

o Tài sản ảo
o Quảng cáo trực tuyến
o Đánh thuế trong TMĐT
Như vậy, TMĐT ở Việt Nam đến cuối năm 2007 hiện gặp phải vấn đề khó

khăn cần phải giải quyết đó là vấn đề an toàn, an ninh. Vấn đề mất an toàn, an ninh
làm cho các hệ thống thanh toán điện tử, là hạt nhân của hệ thống TMĐT, chưa phát
triển.
1.1.3. Khuôn khổ pháp lý cho TMĐT ở Việt Nam
Khuôn khổ pháp lý cho TMĐT ở Việt Nam được quy định trong các văn bản
luật mà đặc biệt là sự ra đời của “Luật giao dịch điện tử” đã tạo ra hành lang pháp
lý cần thiết cho sự phát triển của TMĐT. “Luật giao dịch điện tử” được Quốc hội
khoá XI, kỳ họp thứ 8 thông qua ngày 29/11/2005 và có hiệu lực từ ngày
01/03/2006. Luật gồm 8 chương, 54 điều quy định về thông điệp dữ liệu, chữ ký
điện tử và chứng thực chữ ký điện tử, giao kết và thực hiện hợp đồng điện tử, giao
dịch điện tử của cơ quan nhà nước, an ninh, an toàn, bảo vệ, bảo mật trong giao
dịch điện tử, giải quyết tranh chấp và xử lý vi phạm trong giao dịch điện tử. Phạm
vi điều chỉnh chủ yếu của Luật là giao dịch điện tử trong hoạt động của các cơ quan
nhà nước, trong lĩnh vực dân sự, kinh doanh, thương mại.
“Luật giao dịch điện tử” nhấn mạnh nguyên tắc tiến hành giao dịch điện tử là
tự nguyện, được tự thoả thuận về việc lựa chọn công nghệ để thực hiện giao dịch,
trung lập về công nghệ, bảo đảm sự bình đẳng và an toàn. Chữ ký điện tử là một nội
dung được đề cập đến trong “Luật giao dịch điện tử”. Luật công nhận giá trị pháp lý
của chữ ký điện tử, nêu lên nghĩa vụ của bên ký, bên chấp nhận chữ ký và tổ chức
cung cấp dịch vụ chứng thực chữ ký điện tử.
Ngoài “Luật giao dịch điện tử”, các văn bản pháp luật khác liên quan đến
TMĐT cũng bước đầu được hình thành và dần hoàn thiện như “Luật công nghệ
thông tin”, “Luật thương mại”, “Bộ luật dân sự”, “Luật hải quan”, “Luật sở hữu trí
tuệ” và các nghị định hướng dẫn “Luật giao dịch điện tử” đã được ban hành, tạo
nên khung pháp lý cho việc triển khai ứng dụng giao dịch điện tử trong những lĩnh
vực lớn của đời sống xã hội.
Như vậy, cho đến cuối năm 2007, hành lang pháp luật cho TMĐT ở Việt
Nam đã được hình thành và dần hoàn thiện, pháp luật đã công nhận tính pháp lý của
các hình thức thông tin điện tử, tính pháp lý của chữ ký điện tử, vấn đề bản gốc, giá
trị chứng cứ của văn bản điện tử. Vì hoạt động TMĐT được thực hiện thông qua

Nguyễn Sinh Thành 

Trang 14 


LUẬN VĂN TỐT NGHIỆP

các giao dịch, do đó điều đầu tiên là phải ghi nhận về mặt pháp lý đối với các giá trị
của văn bản giao dịch. Đặc điểm của các giao dịch TMĐT là rất nhanh và chính xác
nhưng cũng rất dễ bị trục trặc do các giao dịch không thực sự diễn ra trực tiếp và
không phải là thông qua văn bản giấy tờ. Do đó, việc công nhận tính pháp lý của
chữ ký điện tử nhằm đảm bảo tính hợp pháp của các giao dịch điện tử, tránh xảy ra
các vi phạm hoặc các lỗi chủ quan trong việc giao dịch và ký kết hợp đồng TMĐT,
từ đó gây khó khăn và ảnh hưởng đến công việc kinh doanh của các doanh nghiệp
khi sử dụng phương thức giao dịch này. Thông tin được gửi đi từ nguồn hợp pháp
được gọi là bản gốc. Bản gốc thể hiện tính toàn vẹn của thông tin chứa đựng trong
văn bản. Trong giao dịch qua mạng, vấn đề bản gốc đặt ra gắn liền với việc sử dụng
chữ ký điện tử. Chữ ký điện tử không những chỉ xác định người ký mà còn nhằm
xác minh cho tính toàn vẹn của nội dung thông tin chứa trong văn bản. Sử dụng chữ
ký điện tử đồng nghĩa với mã hoá tài liệu được ký kết. Việc giải quyết trọn vẹn về
mặt pháp lý ba vấn đề liên hệ mật thiết với nhau: văn bản, chữ ký, bản gốc trong
thương mại điện tử đem lại cho văn bản điện tử giá trị pháp lý ngang với văn bản
truyền thống. Trong các hoạt động TMĐT, sự tranh chấp khó tránh khỏi. Do vậy,
giá trị chứng cứ của văn bản điện tử cũng cần được quy định để giải quyết tranh
chấp.
Sự hình thành và dần hoàn chỉnh hành lang pháp lý dự báo sẽ thúc đẩy sự
phát triển của TMĐT trong thời gian tới, và đặc biệt là yêu cầu về các hệ thống
thanh toán điện tử.
1.1.4. Yêu cầu của TMĐT đối với hệ thống thanh toán
Theo Báo cáo TMĐT Việt Nam năm 2005 và 2006: “Hệ thống thanh toán

điện tử yếu kém luôn được doanh nghiệp đánh giá là trở ngại lớn thứ hai đối với
phát triển TMĐT ở Việt Nam. Các doanh nghiệp tỏ ra khá lúng túng khi muốn triển
khai một quy trình ứng dụng TMĐT trọn vẹn trong bối cảnh hệ thống thanh toán
điện tử còn yếu. Đồng thời, người tiêu dùng cũng chưa có nhận thức đúng đắn và
đầy đủ về các dịch vụ thanh toán điện tử. Điều này ảnh hưởng không nhỏ tới sự
phát triển của TMĐT Việt Nam trong thời gian qua.”[4]
Thực tiễn cho thấy thanh toán điện tử là một điều kiện cần của TMĐT.
TMĐT khó có thể phát huy được hết ưu điểm của mình khi chưa có hệ thống thanh
toán điện tử với năng lực đủ mạnh. Tốc độ phát triển của TMĐT Việt Nam trong
những năm qua đang đặt ra nhu cầu về một hệ thống thanh toán điện tử hiện đại để
hỗ trợ doanh nghiệp và người tiêu dùng tận dụng tối đa lợi ích của phương thức
Nguyễn Sinh Thành 

Trang 15 


LUẬN VĂN TỐT NGHIỆP

kinh doanh mới này. Hơn thế nữa, thanh toán điện tử không chỉ là nhân tố thúc đẩy
TMĐT mà còn đóng một vai trò quan trọng trong công tác hiện đại hoá hệ thống
thanh toán, từ đó nâng cao năng lực cạnh tranh của các dịch vụ trong ngành ngân
hàng, tài chính tại Việt Nam.
Tóm lại, việc thanh toán trong TMĐT là vấn đề hết sức quan trọng vì đây là
giai đoạn cuối của quá trình hoạt động TMĐT. Bản chất của thanh toán trong
TMĐT là các phương tiện điện tử tự động chuyển tiền từ tài khoản này sang tài
khoản khác. TMĐT phát triển đặt ra cho hệ thống thanh toán cần phải đảm bảo an
toàn cho các giao dịch tài chính. Các phương pháp kỹ thuật được sử dụng để đảm
bảo an toàn cho hệ thống bao gồm việc sử dụng các phương pháp mã hóa, chữ ký
số, chứng chỉ số sẽ được trình bày chi tiết trong chương 3.


1.2. Mô hình chung về ứng dụng TMĐT
Hình 1.3 sau đây minh họa mô hình chung về ứng dụng TMĐT:

Hình 1.3. Mô hình chung về ứng dụng TMĐT

Như trên hình 1.3, các thành phần trong ứng dụng TMĐT gồm có: máy
khách, máy chủ, đường truyền thông, hệ thống thanh toán điện tử và các Ngân hàng
hoặc các tổ chức chuyển mạch tài chính. Hoạt động của hệ thống như sau:
(1) Khách hàng đặt mua sản phẩm, dịch vụ trên Website TMĐT của nhà cung

cấp sản phẩm, dịch vụ và thực hiện thanh toán cho các sản phẩm dịch vụ đó.
Giao dịch này được thực hiện trên môi trường mạng Internet.

Nguyễn Sinh Thành 

Trang 16 


LUẬN VĂN TỐT NGHIỆP

(2) Nếu Website TMĐT có chức năng thanh toán trực tuyến thì nó sẽ chuyển

lệnh thanh toán đó tới trung tâm xử lý giao dịch thanh toán (hệ thống thanh
toán điện tử). Ngược lại, nhà cung cấp dịch vụ sau đó sẽ gửi lệnh thanh toán
tới Ngân hàng hoặc tổ chức chuyển mạch tài chính thực hiện giao dịch thanh
toán. Giao dịch này được thực hiện trên môi trường mạng Internet hoặc
mạng riêng.
(3) Hệ thống thanh toán điện tử gửi các lệnh thanh toán đến cho Ngân hàng hoặc

tổ chức chuyển mạch tài chính thực hiện giao dịch thanh toán. Giao dịch này

được thực hiện trên môi trường mạng Internet hoặc mạng riêng.
(4) Ngân hàng hoặc tổ chức chuyển mạch tài chính sẽ tiến hành thanh toán với

ngân hàng mà khách hàng có tài khoản. Giao dịch này được thực hiện trên
mạng riêng của các Ngân hàng hoặc các tổ chức chuyển mạch tài chính.

1.3. Mục đích và phương pháp nghiên cứu
1.3.1. Mục đích
Đề tài của luận văn là: “Đảm bảo an toàn cho các hệ thống thanh toán điện
tử trực tuyến”. Như vậy, mục đích của luận văn tập trung xây dựng các giải pháp
kỹ thuật để đảm bảo an toàn cho các hệ thống thanh toán điện tử trực tuyến, bao
gồm:
• Đảm bảo an toàn cho các máy khách.
• Đảm bảo an toàn cho kênh truyền thông.
• Đảm bảo an toàn cho các máy chủ.
• Xây dựng mô hình hệ thống và đặc tả chi tiết một hệ thống cụ thể (eBill).
• Xây dựng thuật toán đảm bảo an toàn cho các giao dịch trong hệ thống thanh
toán điện tử trực tuyến.
1.3.2. Phương pháp nghiên cứu
Để đạt được mục đích nghiên cứu, luận văn sử dụng phương pháp nghiên
cứu như sau:
1.3.2.1.Giả thiết nghiên cứu
Các giả thiết nghiên cứu của đề tài bao gồm các vấn đề được đặt ra như sau:
• Các yếu tố nào ảnh hưởng đến phát triển TMĐT (TMĐT) ở Việt Nam?
Nguyễn Sinh Thành 

Trang 17 


LUẬN VĂN TỐT NGHIỆP

• Tại sao thanh toán điện tử chưa phát triển ở Việt Nam, trong khi đó trên thế
giới đã sử dụng công cụ này từ khá lâu.
• Các nguy cơ và hiểm họa làm mất an toàn, an ninh trong các hệ thống thanh
toán điện tử, các giải pháp khắc phục.
1.3.2.2.Khách thể và đối tượng nghiên cứu
Đối tượng nghiên cứu trong luận văn gồm có:
• Các nguy cơ và hiểm họa gặp phải trong các hệ thống thanh toán điện tử trực
tuyến.
• Các giải pháp đảm bảo an toàn cho các hệ thống thanh toán điện tử trực
tuyến nhằm ngăn chặn các nguy cơ và hiểm họa đó.
• Một hệ thống thanh toán điện tử trực tuyến cụ thể.
Khách thể nghiên cứu bao gồm:
• Thanh toán điện tử tại Việt Nam.
• Cơ sở hạ tầng cho thanh toán điện tử tại Việt Nam.
• Cơ sở khoa học của các giải pháp kỹ thuật mã hóa, chữ ký số, chứng chỉ số.
1.3.2.3.Phương pháp tiếp cận nghiên cứu
Để thực hiện luận văn này, chúng tôi sử dụng các phương pháp tiếp cận
nghiên cứu sau:
• Tiếp cận phân tích và tổng hợp:
o Nghiên cứu luật giao dịch điện tử và các văn bản liên quan áp dụng
cho các giao dịch thanh toán điện tử.
o Nghiên cứu lý thuyết thanh toán điện tử, các giải pháp đảm bảo an
toàn, an ninh trong các giao dịch thanh toán điện tử.
• Tiếp cận định tính và định lượng:
o Nghiên cứu chuẩn ISO-8583 về các khuôn dạng thông điệp được sử
dụng trong quá trình giao dịch thanh toán điện tử.
o Nghiên cứu cơ sở khoa học của mã hóa, chữ ký số, chứng chỉ số.
o Đề xuất giải pháp đảm bảo an toàn, an ninh cho các hệ thống thanh
toán điện tử.
• Tiếp cận hệ thống và cấu trúc:

o Đề xuất giải pháp xây dựng hệ thống thanh toán điện tử.
Nguyễn Sinh Thành 

Trang 18 


LUẬN VĂN TỐT NGHIỆP

o Xây dựng hệ thống mô phỏng thanh toán điện tử trực tuyến eBill.
1.3.2.4.Phương pháp thực hiện
Để đạt được các mục đích đã nêu ở mục 1.3.1, nhiệm vụ nghiên cứu bao
gồm:
• Phân tích các nguy cơ, hiểm họa gặp phải trong các hoạt động TMĐT, đặc
biệt là trong các hệ thống thanh toán điện tử trực tuyến.
• Phân tích chính sách, các nguyên tắc đảm bảo an toàn cho hệ thống thanh
toán điện tử trực tuyến.
• Áp dụng các kỹ thuật về mã hóa, chữ ký số, chứng chỉ số, từ đó đưa ra các
giải pháp nhằm đảm bảo an toàn cho hệ thống tránh các nguy cơ, hiểm họa
đã nêu.
• Đề xuất mô hình cho hệ thống thanh toán điện tử trực tuyến eBill.
• Xây dựng thuật toán đảm bảo an toàn cho các giao dịch trong hệ thống eBill.

1.4. Bố cục của luận văn
Bố cục trình bày của luận văn được chia làm 06 chương:
Chương 1. Đặt vấn đề
Trình bày tổng quan về thương mại điện tử, khuôn khổ pháp lý cho thương
mại điện tử ở Việt Nam, vai trò của hệ thống thanh toán điện tử đối với thương mại
điện tử, mục đích, phương pháp nghiên cứu và bố cục của luận văn.
Chương 2. Phân tích các hiểm họa đối với an toàn hệ thống
Chương 2 trình bày về mục đích và phân loại đảm bảo an toàn hệ thống và

tiến hành phân tích các nguy cơ, hiểm họa xảy ra đối với hệ thống thanh toán điện
tử trực tuyến.
Chương 3. Các giải pháp đảm bảo an toàn hệ thống
Chương 3 trình bày về các nguyên tắc đảm bảo an toàn, an ninh như đảm bảo
tính bí mật, tính toàn vẹn và tính sẵn sàng của hệ thống. Sử dụng các kỹ thuật đảm
bảo an toàn, an ninh như mã hóa, chữ ký số, chứng chỉ số để từ đó xây dựng các
giải pháp đảm bảo an toàn, an ninh cho hệ thống. Cuối cùng là đánh giá giải pháp
thực hiện.
Chương 4. eBill - Hệ thống thanh toán trực tuyến

Nguyễn Sinh Thành 

Trang 19 


LUẬN VĂN TỐT NGHIỆP

Chương 4 đề xuất ra mô hình của một hệ thống thanh toán điện tử trực tuyến
và phân tích, thiết kế một hệ thống cụ thể. Xây dựng giải thuật SecurePayment đảm
bảo an toàn cho các giao dịch trực tuyến.
Chương 5. Đánh giá
Chương 5 đánh giá về hệ thống đề xuất và thuật toán SecurePayment xây
dựng.
Chương 6. Kết luận, kiến nghị, hướng phát triển
Chương 6 tóm tắt lại các kết quả đạt được của luận văn, đưa ra các khuyến
nghị và hướng phát triển tiếp theo của đề tài.

Nguyễn Sinh Thành 

Trang 20 



LUẬN VĂN TỐT NGHIỆP

Chương 2. Phân tích các hiểm họa đối với an toàn hệ
thống
2.1. Mục đích và phân loại đảm bảo an toàn hệ thống
2.1.1. Mục đích
Cùng với sự phát triển của các hệ thống thanh toán điện tử trực tuyến thì vấn
đề an toàn cần phải được quan tâm và tăng cường một cách tương xứng. Ví dụ, khi
An tiến hành các giao dịch thanh toán tiền cho các sản phẩm, dịch vụ của mình, An
gửi các lệnh thanh toán qua mạng Internet, tới hệ thống thanh toán. Trong khi đó,
Bình, là một kẻ nghe lén trên đường truyền, có thể chặn các lệnh thanh toán của An
để đọc, xem, sửa đổi, giả mạo các lệnh thanh toán đó. Do đó, thông tin trong các
giao dịch TMĐT, đặc biệt là trong các giao dịch tài chính của hệ thống thanh toán
trực tuyến, giữa các đối tác kinh doanh, rất nhạy cảm và cần thiết phải được bảo vệ.
Vì vậy, các hệ thống thanh toán trực tuyến phải có chức năng chống lại các cuộc tấn
công với mục đích khám phá, sửa đổi, giả mạo thông tin. Có rất nhiều dạng tấn
công: có thể tấn công trên đường truyền thông, ngăn chặn các thông điệp giữa máy
chủ và máy khách, nhằm nắm bắt nội dung thông tin. Hình 2.1 là một ví dụ mô tả
các đối tượng tham gia truyền thông trên đường truyền:

Hình 2.1. Các đối tượng truyền thông trên kênh truyền

Nguyễn Sinh Thành 

Trang 21 


LUẬN VĂN TỐT NGHIỆP


Như trên hình 2.1, ngoài các đối tượng truyền thông với nhau, bao gồm: máy
khách (An), kênh truyền thông và máy chủ còn có các tin tặc (hacker). Các tin tặc
có thể nhòm ngó vào máy khách hoặc chính máy chủ, là các điểm nguồn và đích
của thông điệp, hoặc nghe lén đường truyền để đọc được nội dung các thông điệp.
Dù ở dạng nào, hệ thống cũng cần có các chính sách thích hợp để phản ứng và ngăn
chặn các cuộc tấn công trên.
Một hệ thống thanh toán trực tuyến cần phải đảm bảo (i) tính bí mật, (ii) tính
toàn vẹn dữ liệu và thông tin, (iii) tính sẵn sàng:
2.1.1.1.Tính bí mật (confidentiality)
Tính bí mật liên quan đến sự bí mật của thông tin, có nghĩa là chỉ những
người có quyền mới được phép xem và sửa đổi nội dung thông tin. Trên thực tế,
nhiều thông tin nhạy cảm có thể bị xâm phạm bất hợp pháp và điều này có thể gây
ra những hậu quả rất lớn nếu không được ngăn chặn.
Đe dọa tính bí mật là một trong những mối hiểm họa hàng đầu và rất phổ
biến. Kế tiếp theo tính bí mật là tính riêng tư. Tính bí mật và tính riêng tư là hai vấn
đề khác nhau. Đảm bảo tính bí mật là ngăn chặn khám phá trái phép thông tin. Đảm
bảo tính riêng tư là bảo vệ các quyền cá nhân trong việc chống khám phá. Đảm bảo
tính bí mật là vấn đề mang tính kỹ thuật, đòi hỏi sự kết hợp của các cơ chế vật lý và
logic, trong khi đó luật pháp sẵn sàng bảo vệ tính riêng tư. Một ví dụ điển hình về
sự khác nhau giữa tính bí mật và tính riêng tư là thư điện tử. Các thư điện tử của
một tổ chức có thể được bảo vệ chống lại các xâm phạm tính bí mật bằng cách sử
dụng kỹ thuật mã hóa. Thư ban đầu được mã hóa và chỉ có người nhận hợp lệ mới
có thể giải mã trở về dạng thư ban đầu. Các vấn đề riêng tư trong thư điện tử thường
xoay quanh việc có nên cho những người quản lý của tổ chức đọc thư của người
khác một cách tùy tiện hay không. Trọng tâm của mục này là tính bí mật, ngăn chặn
không cho các đối tượng xấu đọc thông tin trái phép.
Để tránh không bị xâm phạm tính bí mật là việc rất khó. Hình 2.2 sau đây
mô tả việc xâm phạm tính bí mật của thông tin:


Nguyễn Sinh Thành 

Trang 22 


LUẬN VĂN TỐT NGHIỆP

Hình 2.2. Xâm phạm tính bí mật của thông tin

Trên hình 2.2 ta thấy, khi An gửi cho hệ thống thanh toán trực tuyến lệnh
thanh toán giá tiền Internet ADSL tháng 09/2008, lệnh thanh toán bao gồm các
thông tin như: số thẻ tín dụng của An tại Ngân hàng Ngoại thương Việt Nam, mã số
khách hàng dịch vụ Internet ADSL của An, số tiền cần phải thanh toán. Đảm bảo
tính bí mật là chỉ có hệ thống thanh toán trực tuyến mới được xem các thông tin
này, nhưng Bình là một kẻ nghe trộm trên đường truyền, Bình đã bắt được gói tin
chứa lệnh thanh toán trên và biết được các thông tin thanh toán của An. Như vậy,
Bình đã vi phạm tính bí mật.
Vì vậy, nguy cơ xâm phạm tính bí mật được thực hiện bởi một đối tượng xấu
lấy cắp các thông tin nhạy cảm và mang tính cá nhân như số tài khoản ngân hàng,
số tiền, số thẻ tín dụng, tên, địa chỉ và các sở thích cá nhân. Điều này có thể xảy ra
bất cứ lúc nào, khi có người nào đưa các thông tin đó lên Internet, đối tượng xấu có
thể ghi lại các gói thông tin (xâm phạm tính bí mật) không mấy khó khăn. Tình
trạng lấy cắp số thẻ tín dụng, tài khoản ngân hàng, số tiền là một vấn đề đã quá rõ
ràng, ngoài ra các thông tin sản phẩm độc quyền của công ty, tổ chức, hoặc dữ liệu
được gửi đi cho các chi nhánh của công ty, tổ chức cũng bị chặn xem một cách dễ
dàng. Thông thường các thông tin bí mật của công ty, tổ chức còn có giá trị hơn
nhiều so với số thẻ tín dụng, số tài khoản Ngân hàng bởi vì thẻ tín dụng thường có
giới hạn về số lượng tiền, trong khi đó các thông tin bị lấy cắp của công ty, tổ chức
có thể thiệt hại lên đến hàng tỷ đồng.
Nguyễn Sinh Thành 


Trang 23 


LUẬN VĂN TỐT NGHIỆP

2.1.1.2.Tính toàn vẹn dữ liệu, thông tin (integrity)
Tính toàn vẹn liên quan tới sự chính xác và hoàn tất của thông tin, hay thông
tin đi từ nguồn tới đích, đảm bảo không bị sửa đổi. Tính toàn vẹn xác định bên nhận
đã nhận được đúng thông tin mà bên gửi đã gửi hay không, hay thông tin đã bị thay
đổi trong khi truyền hoặc lưu giữ. Bên nhận một thông tin điện tử cần phải tin chắc
về tính toàn vẹn của dữ liệu trước khi trả lời hoặc thực hiện theo thông tin đó. Trên
thực tế, nhiều thông tin nhạy cảm bị kẻ xấu chặn lại trên đường đi, tìm cách sửa đổi
nội dung rồi tiếp tục gửi đến địa chỉ đích mà người nhận hoàn toàn không biết về
việc sửa đổi này. Do vậy, hệ thống thanh toán trực tuyến cần có những giải pháp
kiểm soát thông tin, nhằm phát hiện ra sự mạo danh cũng như sự không toàn vẹn
của thông tin.
Mối hiểm họa đối với tính toàn vẹn tồn tại khi một đối tượng trái phép có thể
sửa đổi các thông tin trong một thông điệp. Xâm phạm tính toàn vẹn bao hàm cả
xâm phạm tính bí mật bởi vì một đối tượng xâm phạm (sửa đổi thông tin) có thể đọc
và làm sáng tỏ các thông tin. Không giống hiểm họa đối với tính bí mật (người xem
đơn giản chỉ muốn xem thông tin), các hiểm họa đối với tính toàn vẹn là gây ra sự
thay đổi trong các hoạt động của cá nhân hoặc công ty, tổ chức do nội dung truyền
thông đã bị sửa đổi. Hình 2.3 sau đây mô tả về việc xâm phạm tính toàn vẹn của
thông tin, dữ liệu:

Hình 2.3. Xâm phạm tính toàn vẹn của thông tin

Trên hình 2.3 ta thấy, cũng lệnh thanh toán giá tiền Internet ADSL như trên
của An, ngoài việc chặn được gói tin, biết được các thông tin thanh toán của An,

Nguyễn Sinh Thành 

Trang 24 


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×