Xây dựng mô hình nâng cao an toàn cho giao dịch trong TMĐT ứng dụng mã hoá, chữ ký số và chứng chỉ số
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.65 MB, 67 trang )
ĐỒ ÁN TỐT NGHIỆP
LỜI NÓI ĐẦU
---------------------------------------------------------------------------------------------------------------------
LỜI NÓI ĐẦU
Cùng với sự phát triển như vũ bão của mạng Internet và mạng Web toàn cầu,
thương mại điện tử (TMĐT) đã và đang trở thành một phương thức kinh doanh hiệu quả
của nhiều doanh nghiệp. Thương mại điện tử tạo ra một môi trường kinhh doanh rộng lớn,
giúp doanh nghiệp vượt qua các hạn chế về lãnh thổ, không gian và thời gian để quảng bá
các sản phẩm của mình. Trên thế giới đã tồn tại nhiều mô hình ứng dụng thương mại điện
tử rất thành công, như trang bán lẻ trực tuyến www.amazon.com, trang đấu giá trực tuyến
www.ebay.com và cổng thanh toán trực tuyến www.paypal.com.
Để thương mại điện tử thực sự phát triển và mang lại hiệu quả, đòi hỏi phải phát
triển đồng bộ cơ sở hạ tầng của thương mại điện tử như cơ sở phát lý, hạ tầng mạng và là
hệ thống thanh toán điện tử. Cùng với đòi hỏi về phát triển đồng bộ cơ sở hạ tầng, vấn đề
bảo mật các giao dịch điện tử cũng rất cấp thiết. Để có một giao dịch TMĐT an toàn cần
đảm bảo các thuộc tính sau: bí mật, toàn vẹn, xác thực, không chối bỏ. Mục đích của đồ
án là tìm hiểu, nghiên cứu về kỹ thuật mã hoá, chữ ký số và chứng chỉ số và trên cơ sở đó
xây dựng một mô hình nâng cao an toàn cho thanh toán trong thương mại điện tử. Mô
hình đảm bảo an toàn đề xuất trong đồ án dựa trên mã hoá, chữ ký số và chứng chỉ số
đảm bảo cả bốn thuộc tính an toàn giao dịch kể trên.
Nội dung của đồ án gồm bốn chương, với nội dung chính như sau:
Chương 1: Thương mại điện tử và vấn đề đảm bảo an toàn giao dịch
Trình bày về thương mại điện tử cùng với các đặc điểm, cơ sở hạ tầng của nó. Bên
cạnh đó trình bày các yêu cầu đối với một giao dịch thương mại điện tử, các loại
tấn công và các biện pháp để bảo đảm an toàn cho một giao dịch thương mại điện
tử.
Chương 2: Các phương pháp đảm bảo an toàn cho giao dịch trong TMĐT dựa trên mã
hoá
Chương này trình bày các kỹ thuật đảm bảo an toàn giao dịch TMĐT dựa trên mã
hoá, bao gồm: Mã hoá, chữ ký số, chứng chỉ số. Trong đó, mã hoá được chia làm
hai loại: Mã hoá đối xứng và bất đối xứng. Chữ ký số được tìm hiểu về chữ ký đơn
------------------------------------------------------BÙI THỊ OANH, D05CNPM
1 ------------------------------------------------------HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
LỜI NÓI ĐẦU
---------------------------------------------------------------------------------------------------------------------
và kép. Ngoài ra chương cũng trình bày hai giao thức bảo mật phổ biến dùng trong
TMĐT là SSL và SET.
Chương 3: Xây dựng mô hình nâng cao an toàn cho giao dịch trong TMĐT ứng dụng mã
hoá, chữ ký số và chứng chỉ số
Chương này sử dụng các kiến thức đã trình bày ở chương 2 để xây dựng một mô
hình đảm bảo an toàn giao dịch trong TMĐT. Thuật toán mã hoá công khai RSA
được sử dụng để trao đổi khoá phiên, thuật toán mã hoá khoá bí mật AES sử dụng
khoá phiên để mã hoá thông tin trao đổi, chữ ký số và chứng chỉ số để xác thực các
thực thể và đảm bảo tính toàn vẹn và không thể chối bỏ.
Chương 4: Kết luận
Phần này tóm tắt lại các vấn đề đã làm được và hướng phát triền tiếp theo cho đồ
án.
Nhìn chung, đồ án đã đưa ra kiến thức chung nhất về TMĐT và các phương pháp
đảm bảo an toàn cho giao dịch TMĐT. Từ đó giải quyết bài toàn an toàn cho giao dịch
TMĐT bằng cách đưa ra mô hình kết hợp nhiều kỹ thuật. Trong thời gian hạn chế và kiến
thức thực tế trong lĩnh vực TMĐT còn chưa đầy đủ, đồ án không tránh khỏi còn có thiếu
sót. Rất mong nhận được sự góp ý, giúp đỡ của thầy cô và các bạn để em hoàn thiện kiến
thức của mình.
------------------------------------------------------BÙI THỊ OANH, D05CNPM
2 ------------------------------------------------------HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
LỜI CẢM ƠN
---------------------------------------------------------------------------------------------------------------------
LỜI CẢM ƠN
Đồ án này là một sản phẩm tổng hợp phản ánh những nỗ lực học tập, nghiên cứu
và làm việc trong suốt bốn năm học của em tại Học viện. Xin gửi lời cảm ơn tới các Thầy
cô dạy dỗ, mỗi thầy cô là một dấu ấn không thể quên của cả cuộc đời em. Đặc biệt, em
xin gửi lời cảm ơn sâu sắc đến thầy giáo TS. Hoàng Xuân Dậu đã tận tình hướng dẫn, chỉ
bảo em trong quá trình học tập, nghiên cứu và làm đồ án.
Và cuối cùng là lời cảm ơn tới gia đình, nguồn động lực vô hạn suốt đời.
Hà Nội, tháng 12 năm 2009
Bùi Thị Oanh
------------------------------------------------------BÙI THỊ OANH, D05CNPM
3 ------------------------------------------------------HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
NHẬN XÉT, ĐÁNH GIÁ, CHO ĐIỂM
---------------------------------------------------------------------------------------------------------------------
NHẬN XÉT, ĐÁNH GIÁ, CHO ĐIỂM
(Của Người hướng dẫn)
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
…………………………………………………………………………………………..
Điểm: …………………….………(bằng chữ: …..…………… ….)
Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng chấm đồ án tốt nghiệp?.
…………, ngày
tháng
năm 20
CÁN BỘ- GIẢNG VIÊN HƯỚNG DẪN
------------------------------------------------------BÙI THỊ OANH, D05CNPM
4 ------------------------------------------------------HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
MỤC LỤC
---------------------------------------------------------------------------------------------------------------------
MỤC LỤC
Trang
LỜI NÓI ĐẦU.................................................................................................................................1
DANH MỤC HÌNH VẼ..................................................................................................................7
DANH MỤC BẢNG.....................................................................................................................10
CÁC THUẬT NGỮ VIẾT TẮT..................................................................................................13
CHƯƠNG 1: THƯƠNG MẠI ĐIỆN TỬ VÀ VẤN ĐỀ ĐẢM BẢO AN TOÀN GIAO DỊCH
........................................................................................................................................................14
1.1 Tổng quan về thương mại điện tử.............................................................................................................................14
1.1.1 Định nghĩa.......................................................................................................................................................14
1.1.2 Đặc điểm..........................................................................................................................................................15
1.1.2.1. Không tiếp xúc trực tiếp........................................................................................................................15
1.1.2.2 Thị trường không biên giới.....................................................................................................................15
1.1.2.3 Ba chủ thể với sự tham gia của người cung cấp dịch vụ mạng..............................................................15
1.1.2.4 Mạng lưới thông tin chính là thị trường................................................................................................16
1.1.4. Cơ sở hạ tầng TMĐT......................................................................................................................................18
1.1.4.1 Mô hình Client/Server:...........................................................................................................................18
1.1.4.2 Internet và world wide web:...................................................................................................................19
1.1.4.3. Giao thức điều khiển truyền tin.............................................................................................................21
1.2 Các yêu cầu an toàn thông tin giao dịch trong TMĐT...........................................................................................21
1.3. Các loại tội phạm và tấn công trên mạng................................................................................................................22
1.4.Các biện pháp đảm bảo an toàn.................................................................................................................................23
1.4.1 Tường lửa (Firewall).......................................................................................................................................23
1.4.2 Bảo vệ vật lý (Physical)...................................................................................................................................25
1.4.3. Cơ chế mã hoá................................................................................................................................................25
1.4.4 Chứng thực số hoá:..........................................................................................................................................27
1.4.5 Quyền truy cập (Access Rights)......................................................................................................................27
CHƯƠNG 2 : CÁC PHƯƠNG PHÁP ĐẢM BẢO AN TOÀN CHO GIAO DỊCH TRONG
TMĐT DỰA TRÊN MÃ HÓA....................................................................................................28
2.1 Mã hoá thông tin.........................................................................................................................................................28
2.1.1 Mã hoá khoá bí mật.........................................................................................................................................29
2.1.1.1 Phương pháp mã hoá DES......................................................................................................................31
2.1.1.2 Phương pháp mã hoá 3DES....................................................................................................................33
2.1.1.3 Phương pháp mã hoá AES......................................................................................................................34
2.1.2 Mã hoá khoá công khai...................................................................................................................................35
2.1.2.1 Thuật toán mã hoá RSA.........................................................................................................................37
2.1.2.2 Thuật toán trao đổi khóa Diffie-Hellman...............................................................................................41
------------------------------------------------------BÙI THỊ OANH, D05CNPM
5 ------------------------------------------------------HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
MỤC LỤC
--------------------------------------------------------------------------------------------------------------------2.1.3 So sánh mã hoá đối xứng và bất đối xứng.......................................................................................................43
2.2 Chữ ký số:......................................................................................................................................................................45
2.2.1 Chữ ký số:........................................................................................................................................................45
2.2.2 Dual Signature: Chữ ký kép............................................................................................................................48
2.3 Chứng chỉ số:................................................................................................................................................................50
2.4 Giới thiệu một số giao thức bảo mật thông tin........................................................................................................54
2.4.1 SSL..................................................................................................................................................................54
2.4.2 SET..................................................................................................................................................................56
CHƯƠNG 3: XÂY DỰNG MÔ HÌNH NÂNG CAO AN TOÀN CHO GIAO DỊCH TRONG
TMĐT ỨNG DỤNG MÃ HOÁ, CHỮ KÝ SỐ VÀ CHỨNG CHỈ SỐ.....................................58
3.1 Phát biểu bài toán:.......................................................................................................................................................58
3.2 Xây dựng mô hình đảm bảo an toàn dựa trên mã hoá, chữ ký số và chứng chỉ số...........................................58
3.3 Cài đặt mô hình............................................................................................................................................................63
3.4 Một số kết quả:.............................................................................................................................................................64
CHƯƠNG 4: KẾT LUẬN............................................................................................................71
4.1 Kết quả đạt được..........................................................................................................................................................71
4.2 Hướng phát triển..........................................................................................................................................................71
TÀI LIỆU THAM KHẢO............................................................................................................72
------------------------------------------------------BÙI THỊ OANH, D05CNPM
6 ------------------------------------------------------HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
DANH MỤC HÌNH VẼ
---------------------------------------------------------------------------------------------------------------------
DANH MỤC HÌNH VẼ
HÌNH 1.1 MÔ HÌNH THANH TOÁN TRONG TMĐT...........................................................15
BẢNG 1.1 CÁC LOẠI HÌNH TMĐT.........................................................................................16
HÌNH 1.2 CÁC LOẠI GIAO DỊCH B2B...................................................................................17
HÌNH 1.3 MÔ HÌNH CLIENT - SERVER................................................................................18
HÌNH 1.4 MÔ HÌNH CLIENT – SERVER QUA MẠNG........................................................19
HÌNH 1.5 KẾT NỐI TIN CẬY TRONG TCP...........................................................................21
HÌNH 1.6 CÁC MỨC NGĂN CHẶN ĐỘT NHẬP...................................................................23
HÌNH 1.7 MÃ HOÁ ĐỐI XỨNG................................................................................................26
HÌNH 2.1 SƠ ĐỒ MÃ HOÁ BÍ MẬT.........................................................................................29
BẢNG 2.1 CÁC GIẢI THUẬT MÃ HOÁ ĐỐI XỨNG HAY DÙNG (ĐỂ TÊN BẢNG Ở
TRÊN)............................................................................................................................................30
HÌNH 2.2 ĐỘ DÀI KHOÁ TƯƠNG ỨNG VỚI THỜI GIAN VÉT CẠN...............................32
HÌNH 2.3 CẤU TRÚC THUẬT TOÁN FEISTEL DÙNG TRONG DES...............................33
HÌNH 2.4 THUẬT TOÁN 3DES.................................................................................................34
HÌNH 2.5 THUẬT TOÁN AES (MÃ HOÁ VÀ GIẢI MÃ)......................................................34
HÌNH 2.6 HỆ THÔNG SỬ DỤNG MẬT MÃ BẤT ĐỐI XỨNG.............................................35
HÌNH 2.7 QUÁ TRÌNH TẠO KHOÁ TRONG THUẬT TOÁN RSA....................................38
HÌNH 2.8 QUÁ TRÌNH MÃ HOÁ VÀ GIẢI MÃ TRONG RSA.............................................38
BẢNG 2.2 SỐ THAO TÁC VÀ THỜI GIAN THỰC HIỆN PHÂN TÍCH SỐ N THÀNH SỐ
NGUYÊN TỐ THEO PHƯƠNG PHÁP GENERAL NUMBER FIELD SIEVE ..................40
HÌNH 2.9 QUÁ TRÌNH TẠO KHOÁ TRONG THỤÂT TOÁN DIFFIE-HELLMAN.........41
------------------------------------------------------- 7 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
DANH MỤC HÌNH VẼ
--------------------------------------------------------------------------------------------------------------------HÌNH 2.10 QUÁ TRÌNH TRAO ĐỔI KHOÁ TRONG DIFFIE-HELLMAN.......................43
BẢNG 2.3 SO SÁNH MÃ HOÁ CÔNG KHAI VÀ BÍ MẬT...................................................44
HÌNH 2.11 QUÁ TRÌNH TẠO CHỮ KÝ SỐ............................................................................46
HÌNH 2.12 QUÁ TRÌNH KÝ.......................................................................................................47
HÌNH 2.13 QUÁ TRÌNH KIỂM TRA CHỮ KÝ.......................................................................47
HÌNH 2.14 QUÁ TRÌNH TẠO CHỮ KÝ KÉP..........................................................................48
HÌNH 2.15 QUÁ TRÌNH TẠO CHỮ KÝ KÉP TRONG MỘT GIAO DỊCH THƯƠNG MẠI
ĐIỆN TỬ.......................................................................................................................................49
HÌNH 2.16 NỘI DUNG CHỨNG CHỈ SỐ.................................................................................50
HÌNH 2.17 QUÁ TRÌNH TẠO CHỨNG CHỈ SỐ.....................................................................51
HÌNH 2.18 QUÁ TRÌNH KIỂM TRA CHỨNG CHỈ SỐ.........................................................52
HÌNH 2.19 KHUÔN DẠNG CHỨNG CHỈ SỐ X509................................................................52
HÌNH 2.20 VAI TRÒ CỦA MỘT CA.........................................................................................54
HÌNH 2.21 KIẾN TRÚC TCP CHỨA SSL................................................................................55
HÌNH 2.22 QUÁ TRÌNH TRAO ĐỔI CỦA CLIENT VÀ SERVER TRONG SSL...............56
HÌNH 2.23 GIAO THỨC SET....................................................................................................57
HÌNH 3.1 MÔ HÌNH TRAO ĐỔI GIỮA CLIENT – SERVER ..............................................59
HÌNH 3.2 QUÁ TRÌNH TẠO CHỨNG CHỈ SỐ.......................................................................60
HÌNH 3.3 QUÁ TRÌNH TRAO ĐỔI CHỨNG CHỈ SỐ GIỮA CLIENT – SERVER ..........60
HÌNH 3.4 QUÁ TRÌNH TẠO VÀ TRAO ĐỔI KHOÁ PHIÊN...............................................61
HÌNH 3.5 QUÁ TRÌNH TRAO ĐỔI THÔNG TIN GIỮA CLIENT VÀ SERVER..............62
HÌNH 3.6 GIAO DIỆN CHƯƠNG TRÌNH................................................................................65
------------------------------------------------------- 8 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
DANH MỤC HÌNH VẼ
--------------------------------------------------------------------------------------------------------------------HÌNH 3.7 SERVER MỞ CỔNG LẮNG NGHE........................................................................65
HÌNH 3.8 GIAI ĐOẠN 1,2 – SERVER GỬI CERTIFICATE.................................................66
HÌNH 3.9 GIAI ĐOẠN 1,2 – CLIENT KIẾM TRA SERVER CERTIFICATE VÀ GỬI
CLIENT CERTIFICATE............................................................................................................66
HÌNH 3.10 CLIENT XÁC NHẬN LẠI SERVER – CERTIFICATE VÀ ĐỌC RA SERVER
– PUBLIC KEY............................................................................................................................67
HÌNH 3.11 SERVER NHẬN CERTIFICATE CỦA CLIENT.................................................67
HÌNH 3.12 CLIENT TẠO SESSION KEY VÀ GỬI SANG SERVER...................................68
HÌNH 3.13 CLIENT GỬI THÔNG TIN TỚI SERVER...........................................................69
HÌNH 3.14 SERVER ĐỌC RA CÁC THÔNG TIN TỪ CLIENT - TRƯỜNG HỢP THÀNH
CÔNG............................................................................................................................................70
------------------------------------------------------BÙI THỊ OANH, D05CNPM
9 ------------------------------------------------------HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
DANH MỤC BẢNG
---------------------------------------------------------------------------------------------------------------------
DANH MỤC BẢNG
HÌNH 1.1 MÔ HÌNH THANH TOÁN TRONG TMĐT...........................................................15
BẢNG 1.1 CÁC LOẠI HÌNH TMĐT.........................................................................................16
HÌNH 1.2 CÁC LOẠI GIAO DỊCH B2B...................................................................................17
HÌNH 1.3 MÔ HÌNH CLIENT - SERVER................................................................................18
HÌNH 1.4 MÔ HÌNH CLIENT – SERVER QUA MẠNG........................................................19
HÌNH 1.5 KẾT NỐI TIN CẬY TRONG TCP...........................................................................21
HÌNH 1.6 CÁC MỨC NGĂN CHẶN ĐỘT NHẬP...................................................................23
HÌNH 1.7 MÃ HOÁ ĐỐI XỨNG................................................................................................26
HÌNH 2.1 SƠ ĐỒ MÃ HOÁ BÍ MẬT.........................................................................................29
BẢNG 2.1 CÁC GIẢI THUẬT MÃ HOÁ ĐỐI XỨNG HAY DÙNG (ĐỂ TÊN BẢNG Ở
TRÊN)............................................................................................................................................30
HÌNH 2.2 ĐỘ DÀI KHOÁ TƯƠNG ỨNG VỚI THỜI GIAN VÉT CẠN...............................32
HÌNH 2.3 CẤU TRÚC THUẬT TOÁN FEISTEL DÙNG TRONG DES...............................33
HÌNH 2.4 THUẬT TOÁN 3DES.................................................................................................34
HÌNH 2.5 THUẬT TOÁN AES (MÃ HOÁ VÀ GIẢI MÃ)......................................................34
HÌNH 2.6 HỆ THÔNG SỬ DỤNG MẬT MÃ BẤT ĐỐI XỨNG.............................................35
HÌNH 2.7 QUÁ TRÌNH TẠO KHOÁ TRONG THUẬT TOÁN RSA....................................38
HÌNH 2.8 QUÁ TRÌNH MÃ HOÁ VÀ GIẢI MÃ TRONG RSA.............................................38
BẢNG 2.2 SỐ THAO TÁC VÀ THỜI GIAN THỰC HIỆN PHÂN TÍCH SỐ N THÀNH SỐ
NGUYÊN TỐ THEO PHƯƠNG PHÁP GENERAL NUMBER FIELD SIEVE ..................40
HÌNH 2.9 QUÁ TRÌNH TẠO KHOÁ TRONG THỤÂT TOÁN DIFFIE-HELLMAN.........41
------------------------------------------------------- 10 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
DANH MỤC BẢNG
--------------------------------------------------------------------------------------------------------------------HÌNH 2.10 QUÁ TRÌNH TRAO ĐỔI KHOÁ TRONG DIFFIE-HELLMAN.......................43
BẢNG 2.3 SO SÁNH MÃ HOÁ CÔNG KHAI VÀ BÍ MẬT...................................................44
HÌNH 2.11 QUÁ TRÌNH TẠO CHỮ KÝ SỐ............................................................................46
HÌNH 2.12 QUÁ TRÌNH KÝ.......................................................................................................47
HÌNH 2.13 QUÁ TRÌNH KIỂM TRA CHỮ KÝ.......................................................................47
HÌNH 2.14 QUÁ TRÌNH TẠO CHỮ KÝ KÉP..........................................................................48
HÌNH 2.15 QUÁ TRÌNH TẠO CHỮ KÝ KÉP TRONG MỘT GIAO DỊCH THƯƠNG MẠI
ĐIỆN TỬ.......................................................................................................................................49
HÌNH 2.16 NỘI DUNG CHỨNG CHỈ SỐ.................................................................................50
HÌNH 2.17 QUÁ TRÌNH TẠO CHỨNG CHỈ SỐ.....................................................................51
HÌNH 2.18 QUÁ TRÌNH KIỂM TRA CHỨNG CHỈ SỐ.........................................................52
HÌNH 2.19 KHUÔN DẠNG CHỨNG CHỈ SỐ X509................................................................52
HÌNH 2.20 VAI TRÒ CỦA MỘT CA.........................................................................................54
HÌNH 2.21 KIẾN TRÚC TCP CHỨA SSL................................................................................55
HÌNH 2.22 QUÁ TRÌNH TRAO ĐỔI CỦA CLIENT VÀ SERVER TRONG SSL...............56
HÌNH 2.23 GIAO THỨC SET....................................................................................................57
HÌNH 3.1 MÔ HÌNH TRAO ĐỔI GIỮA CLIENT – SERVER ..............................................59
HÌNH 3.2 QUÁ TRÌNH TẠO CHỨNG CHỈ SỐ.......................................................................60
HÌNH 3.3 QUÁ TRÌNH TRAO ĐỔI CHỨNG CHỈ SỐ GIỮA CLIENT – SERVER ..........60
HÌNH 3.4 QUÁ TRÌNH TẠO VÀ TRAO ĐỔI KHOÁ PHIÊN...............................................61
HÌNH 3.5 QUÁ TRÌNH TRAO ĐỔI THÔNG TIN GIỮA CLIENT VÀ SERVER..............62
HÌNH 3.6 GIAO DIỆN CHƯƠNG TRÌNH................................................................................65
------------------------------------------------------- 11 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
DANH MỤC BẢNG
--------------------------------------------------------------------------------------------------------------------HÌNH 3.7 SERVER MỞ CỔNG LẮNG NGHE........................................................................65
HÌNH 3.8 GIAI ĐOẠN 1,2 – SERVER GỬI CERTIFICATE.................................................66
HÌNH 3.9 GIAI ĐOẠN 1,2 – CLIENT KIẾM TRA SERVER CERTIFICATE VÀ GỬI
CLIENT CERTIFICATE............................................................................................................66
HÌNH 3.10 CLIENT XÁC NHẬN LẠI SERVER – CERTIFICATE VÀ ĐỌC RA SERVER
– PUBLIC KEY............................................................................................................................67
HÌNH 3.11 SERVER NHẬN CERTIFICATE CỦA CLIENT.................................................67
HÌNH 3.12 CLIENT TẠO SESSION KEY VÀ GỬI SANG SERVER...................................68
HÌNH 3.13 CLIENT GỬI THÔNG TIN TỚI SERVER...........................................................69
HÌNH 3.14 SERVER ĐỌC RA CÁC THÔNG TIN TỪ CLIENT - TRƯỜNG HỢP THÀNH
CÔNG............................................................................................................................................70
------------------------------------------------------- 12 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
CÁC THUẬT NGỮ VIẾT TẮT
---------------------------------------------------------------------------------------------------------------------
CÁC THUẬT NGỮ VIẾT TẮT
G2G
G2B
G2C
B2G
B2B
B2C
C2G
C2B
C2C
DB
WWW
URL
ADSL
GPRS
TCP
IP
OSI
SET
AES
3DES
DES
FIPS
RSA
GNFS
MD5
SHA
OI
PI
X.500 DN
SSL
CA
Government to Government
Government to Business
Government to consumer
Business to Government
Business to business
Business to consumer
Consumer to Government
Consumer-to-Business
consumer-to-consumer
Database
World Wide Web
Uniform Resource Locator
Asymmetric Digital Subscriber Line
General Packet Radio Service
Transmission Control Protocol
Internet Protocol
Open Systems Interconnection
Secure Electronic Transaction
Advaned Encryption Standard
Triple Data Encryption Standard
Data Encryption Standard
Federal Information Processing Standards
Rivest, Shamir and Adleman
General Number Field Sieve
Message Digest 5
Secure Hash Algorithm
Order Information
Payment Information
X.500 Distinguised Name
Secure Socket Layer
Certificate Authority
------------------------------------------------------- 13 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
CHƯƠNG 1: THƯƠNG MẠI ĐIỆN TỬ VÀ VẤN ĐỀ ĐẢM BẢO
AN TOÀN CHO GIAO DỊCH
---------------------------------------------------------------------------------------------------------------------
Chương 1: THƯƠNG MẠI ĐIỆN TỬ VÀ VẤN ĐỀ ĐẢM BẢO AN
TOÀN GIAO DỊCH
1.1 Tổng quan về thương mại điện tử
1.1.1 Định nghĩa
Thương mại điện tử là hình thức mua bán hàng hóa và dịch vụ thông qua mạng
máy tính toán cầu. Thương mại điện tử theo nghĩa rộng được định nghĩa trong Luật mẫu
về Thương mại điện tử của Ủy ban Liên Hợp quốc về Luật Thương mại Quốc tế
(UNCITRAL):
“Thuật ngữ Thương mại cần được diễn giải theo nghĩa rộng để bao quát các vấn đề phát
sinh từ mọi quan hệ mang tính chất thương mại dù có hay không có hợp đồng. Các quan
hệ mang tính thương mại bao gồm các giao dịch sau đây: bất cứ giao dịch nào về thương
mại nào về cung cấp hoặc trao đổi hàng hóa hoặc dịch vụ; thỏa thuận phân phối; đại diện
hoặc đại lý thương mại, ủy thác hoa hồng; cho thuê dài hạn; xây dựng các công trình; tư
vấn; kỹ thuật công trình; đầu tư; cấp vốn; ngân hàng; bảo hiểm; thỏa thuận khai thác hoặc
tô nhượng; liên doanh các hình thức khác về hợp tác công nghiệp hoặc kinh doanh;
chuyên chở hàng hóa hay hành khách bằng đường biển, đường không, đường sắt hoặc
đường bộ.”
Thương mại điện tử gồm các hoạt động mua bán hàng hóa và dịch vụ qua phương
tiện điện tử, giao nhận các nội dung kỹ thuật số trên mạng, chuyển tiền điện tử, mua bán
cổ phiếu điện tử, vận đơn điện tử, đấu giá thương mại, hợp tác thiết kế, tài nguyên mạng,
mua sắm công cộng, tiếp thị trực tuyến tới người tiêu dùng và các dịch vụ sau bán hàng.
Thương mại điện tử được thực hiện đối với cả thương mại hàng hóa (ví dụ như hàng tiêu
dùng, các thiết bị y tế chuyên dụng) và thương mại dịch vụ (ví dụ như dịch vụ cung cấp
thông tin, dịch vụ pháp lý, tài chính); các hoạt động truyền thống (như chăm sóc sức
khỏe, giáo dục ) và các hoạt động mới (ví dụ như siêu thị ảo). Thương mại điện tử đang
trở thành một cuộc cách mạng làm thay đổi cách thức mua sắm của con người.
Mô hình thanh toán sử dụng chủ yếu trong giao dịch được mô tả như sau:
------------------------------------------------------- 14 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
CHƯƠNG 1: THƯƠNG MẠI ĐIỆN TỬ VÀ VẤN ĐỀ ĐẢM BẢO
AN TOÀN CHO GIAO DỊCH
---------------------------------------------------------------------------------------------------------------------
Hình 1.1 Mô hình thanh toán trong TMĐT
1.1.2 Đặc điểm
So với các hoạt động Thương mại truyền thống, thương mại điện tử có một số
điểm khác biệt cơ bản sau:
1.1.2.1. Không tiếp xúc trực tiếp.
Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúc trực tiếp với
nhau và không đòi hỏi phải biết nhau từ trước.
1.1.2.2 Thị trường không biên giới
Các giao dịch thương mại truyền thống được thực hiện với sự tồn tại của khái niệm
biên giới quốc gia, còn thương mại điện tử được thực hiện trong một thị trường không có
biên giới (thị trường thống nhất toàn cầu). Thương mại điện tử trực tiếp tác động tới môi
trường cạnh tranh toàn cầu.
1.1.2.3 Ba chủ thể với sự tham gia của người cung cấp dịch vụ mạng
Trong Thương mại điện tử, ngoài các chủ thể tham gia quan hệ giao dịch giống
như giao dịch thương mại truyền thống đã xuất hiện một bên thứ ba đó là nhà cung cấp
dịch vụ mạng và các cơ quan chứng thực… Đó là những người tạo môi trường cho các
giao dịch thương mại điện tử. Nhà cung cấp dịch vụ mạng có nhiệm vụ chuyển đi, lưu giữ
các thông tin giữa các bên tham gia giao dịch thương mại điện tử. và Cơ quan chứng thực
có nhiệm vụ xác nhận độ tin cậy của các thông tin trong giao dịch thương mại điện tử.
------------------------------------------------------- 15 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
CHƯƠNG 1: THƯƠNG MẠI ĐIỆN TỬ VÀ VẤN ĐỀ ĐẢM BẢO
AN TOÀN CHO GIAO DỊCH
---------------------------------------------------------------------------------------------------------------------
1.1.2.4 Mạng lưới thông tin chính là thị trường
Đối với thương mại truyền thống thì mạng lưới thông tin chỉ là phương tiện để trao
đổi dữ liệu, còn đối với thương mại điện tử thì mạng lưới thông tin chính là thị trường.
1.1.3. Các loại hình TMĐT
Có thể chia các mô hình TMĐT thành các loại như trình bày trên bảng 1.1.
Chính phủ
Doanh nghiệp
Cá nhân
Chính phủ
G2G
G2B
G2C
Doanh nghiệp
G2B
B2B
B2C
Cá nhân
G2C
B2C
C2C
Bảng 1.1 Các loại hình TMĐT
Trong TMĐT có các chủ thể tham gia: Doanh nghiệp (B) giữ vai trò động lực phát
triển TMĐT, người tiêu dùng (C) giữ vai trò quyết định sự thành công của TMĐT và
chính phủ (G) giữ vai trò định hướng, điều tiết và quản lý. Từ các mối quan hệ giữa các
chủ thể trên ta có các loại giao dịch TMĐT: B2B, B2C, B2G, C2G, C2C ... trong đó B2B
và B2C là hai loại hình giao dịch TMĐT quan trọng nhất.
Business-to-business (B2B) : Mô hình TMĐT giữa các doanh nghiệp với doanh
nghiệpTMĐT B2B (Business-to-business) là việc thực hiện các giao dịch giữa các doanh
nghiệp với nhau trên mạng. Ta thường gọi là giao dịch B2B. Các bên tham gia giao dịch
B2B gồm: người trung gian trực tuyến (ảo hoặc click-and-mortar), người mua và người
bán. Các loại giao dịch B2B gồm: mua ngay theo yêu cầu khi giá cả thích hợp và mua
theo hợp đồng dài hạn, dựa trên đàm phán cá nhân giữa người mua và người bán.
Các loại giao dịch B2B cơ bản có thể tham chiếu hình 1.2 sau:
------------------------------------------------------- 16 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
CHƯƠNG 1: THƯƠNG MẠI ĐIỆN TỬ VÀ VẤN ĐỀ ĐẢM BẢO
AN TOÀN CHO GIAO DỊCH
---------------------------------------------------------------------------------------------------------------------
Hình 1.2 Các loại giao dịch B2B
Business-to-consumer (B2C): Mô hình TMĐT giữa doanh nghiệp và người tiêu
dùng. Đây là mô hình bán lẻ trực tiếp đến người tiêu dùng. Trong TMĐT, bán lẻ điện tử
có thể từ nhà sản xuất, hoặc từ một cửa hàng thông qua kênh phân phối. Hàng hoá bán lẻ
trên mạng thường là hàng hoá, máy tính, đồ điện tử, dụng cụ thể thao, đồ dùng văn phòng,
sách và âm nhạc, đồ chơi, sức khoẻ và mỹ phẩm, giải trí v.v. Mô hình kinh doanh bán lẻ
có thể phân loại theo quy mô các loại hàng hoá bán (Tổng hợp, chuyên ngành), theo phạm
vi địa lý (toàn cầu , khu vực ), theo kênh bán (bán trực tiếp, bán qua kênh phân bố).
Consumer to Consumer (C2C): Là thương mại điện tử giữa các cá nhân và người
tiêu dùng với nhau. Đây cũng được coi là mô hình kinh doanh có tốc độ tăng trưởng
nhanh chóng và ngày càng phổ biến. Hình thái dễ nhận ra nhất của mô hình này là các
Website bán đấu giá trực tuyến, rao vặt trên mạng. Một trong những thành công vang dội
của mô hình này là trang Web đấu giá eBay.
Business to Government (B2G ): Thương mại điện tử giữa doanh nghiệp và chính
phủ được hiểu chung là thương mại giữa các doanh nghiệp và khối hành chính công. Nó
bao hàm việc sử dụng Internet cho mua bán công, thủ tục cấp phép và các hoạt động có
liên quan tới chính phủ. Hình thái này của thương mại có hai đặc tính: Thứ nhất, khu vực
hành chính công có vai trò dẫn đầu trong việc thiết lập thương mại điện tử; Thứ hai,
người ta cho rằng khu vực này có nhu cầu lớn nhất trong việc biến các hệ thống mua bán
trở nên hiệu quả hơn. Các chính sách mua bán trên mạng giúp tăng cường tính minh bạch
của quá trình mua hàng. Tuy nhiên, hiện nay kích cỡ của thị trường thương mại điện tử
------------------------------------------------------- 17 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
CHƯƠNG 1: THƯƠNG MẠI ĐIỆN TỬ VÀ VẤN ĐỀ ĐẢM BẢO
AN TOÀN CHO GIAO DỊCH
---------------------------------------------------------------------------------------------------------------------
B2G như là một thành tố của tổng thương mại điện tử thì không đáng kể, khi mà hệ thống
mua bán của chính phủ còn chưa phát triển.
1.1.4. Cơ sở hạ tầng TMĐT
Các công nghệ nền tảng của thương mại điển tử bao gồm:
-
Công nghệ mạng Internet (Internet technology)
Các công nghệ truyền thông (Communication technology)
Các công nghệ bảo mật (Security technology)
Các công nghệ cơ sở dữ liệu (DB technology)
Các công nghệ phần mềm (Software technology).
Sau đây sẽ trình bày cụ thể về các công nghệ nền tảng này dựa trên những vấn đề chính:
Mô hình Client/Server, Internet và world wide web, Giao thức điều khiển truyền tin.
1.1.4.1 Mô hình Client/Server:
Mô hình Client – Server: Mô hình phổ biến và được chấp nhận rộng rãi trong hệ thống
phân tán là mô hình client – server. Trong đó:
• Máy trạm (Client): Không cung cấp tài nguyên mà chỉ sử dụng tài nguyên từ mạng.
• Máy chủ (Server): Cung cấp tài nguyên và các dịch vụ cho các máy trên mạng.
Hình 1.3 Mô hình client - server
Trong thương mại điện tử:
------------------------------------------------------- 18 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
CHƯƠNG 1: THƯƠNG MẠI ĐIỆN TỬ VÀ VẤN ĐỀ ĐẢM BẢO
AN TOÀN CHO GIAO DỊCH
---------------------------------------------------------------------------------------------------------------------
• Người bán: đưa dịch vụ (cửa hàng trực tuyến, thị trường chứng khoán,..) hoặc tài
nguyên (bản in, file…) lên server.
• Khách hàng sử dụng dịch vụ đó, ví dụ như mua hàng trực tuyến, tra cứư thông tin, tải
văn bản…
Hình 1.4 Mô hình client – server qua mạng
1.1.4.2 Internet và world wide web:
- Khái quát chung về internet và world wide web:
Internet là một hệ thống thông tin toàn cầu có thể được truy nhập công cộng gồm các
mạng máy tính được liên kết với nhau. Hệ thống này bao gồm hàng ngàn mạng máy
tính nhỏ hơn của các doanh nghiệp, của các viện nghiên cứu và các trường đại học, của
người dùng cá nhân, và các chính phủ trên toàn cầu. Chúng cung cấp một khối lượng
thông tin và dịch vụ khổng lồ trên Internet. Mạng Internet mang lại rất nhiều tiện ích
hữu dụng cho người sử dụng, một trong các tiện ích phổ thông của Internet là hệ thống
thư điện tử (email), trò chuyện trực tuyến (chat), máy truy tìm dữ liệu (search engine),
các dịch vụ thương mại và chuyển ngân, và các dịch vụ về y tế giáo dục như là chữa
bệnh từ xa hoặc tổ chức các lớp học ảo.
Nguồn thông tin khổng lồ kèm theo các dịch vụ tương ứng chính là hệ thống các trang
Web liên kết với nhau và các tài liệu khác trong WWW (World Wide Web). Trái với
một số cách sử dụng thường ngày, Internet và WWW không đồng nghĩa. Internet là một
tập hợp các mạng máy tính kết nối với nhau bằng dây đồng, cáp quang, v.v..; còn
WWW, hay Web, là một tập hợp các tài liệu liên kết với nhau bằng các siêu liên kết
(hyperlink) và các địa chỉ URL, và nó có thể được truy nhập bằng cách sử dụng Internet.
------------------------------------------------------- 19 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
CHƯƠNG 1: THƯƠNG MẠI ĐIỆN TỬ VÀ VẤN ĐỀ ĐẢM BẢO
AN TOÀN CHO GIAO DỊCH
---------------------------------------------------------------------------------------------------------------------
- Internet, world wide web và thương mại điện tử:
Có thể nói, Internet, world wide web chính là nền tảng cơ bản nhất, là môi trường cho
sự phát triển của thương mại điện tử. Thương mại điện tử hiện đã có những bước phát
triển vượt bậc trong thời gian vừa qua nhờ những điểm mạnh:
• Tốc độ giao dịch: Tốc độ mạng internet ngày càng được cải thiện, từ mạng
internet dial up dùng qua điện thoại hiện nay đã là ADSL,Wimax . Đối với mạng
điện thoại là công nghệ GMS (GPRS), CMMA và tương lai là 3G. Những giao
dịch qua mạng internet sẽ được tính bằng giây chứ không phải là giờ hoặc ngày
như thương mại truyền thống.
• Chi phí giao dịch : Với thương mại điện tử việc truy cập website là hoàn toàn
miễn phí, cùng một lúc có thể truy cập nhiều gian hàng, nhiều nhà cung cấp, nhiều
sản phẩm cùng loại để có thể so sánh, cân nhắc trước khi giao dịch.
• Tính linh hoạt của thanh toán: Có thể sử dụng thẻ tín dụng như Visa, Master
Card...là có thể sử dụng để giao dịch trên mạng internet. Ngoài việc sử dụng thẻ tín
dụng, có thể sử dụng các thẻ hoặc tài khoản trả sau đã đăng ký với các ngân hàng.
Bên cạnh đó có thể sử dụng tiền ảo ( tiền điện tử) để mua hàng hóa, dịch vụ.
• Chi phí thành lập và duy trì website thương mại điện tử tương đối thấp so với
việc mở showroom, cửa hàng thực tế. Một website thương mại điện tử có giá trị
khoảng vài trăm đô và chi phí duy trì tiêu tốn khoảng vài trăm đô / năm. Một
website không bao giờ có giới hạn về nội dung và số lượng sản phẩm đưa lên.
• Khách hàng đến từ mọi địa điểm: Tính "phẳng" trong mạng internet đã xóa tan
những khoảng cách không gian, thời gian thông thường của thương mại truyền
thống. Chỉ cần một máy tính nối mạng internet là khách hàng có thể đi từ đầu đến
cuối trái đất để tìm những hàng hóa, dịch vụ theo yêu cầu.
------------------------------------------------------- 20 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
CHƯƠNG 1: THƯƠNG MẠI ĐIỆN TỬ VÀ VẤN ĐỀ ĐẢM BẢO
AN TOÀN CHO GIAO DỊCH
---------------------------------------------------------------------------------------------------------------------
1.1.4.3. Giao thức điều khiển truyền tin
TCP: TCP là một giao thức "có liên kết" (connection - oriented), nghĩa là cần phải
thiết lập liên kết giữa hai thực thể TCP trước khi chúng trao đổi dữ liệu với nhau. Một tiến
trình ứng dụng trong một máy tính truy nhập vào các dịch vụ của giao thức TCP thông
qua một cổng (port) của TCP. Số hiệu cổng TCP được thể hiện bởi 2 bytes. TCP thực
hiện kết nối tin cậy bằng cách phân loại các gói tin IP và gửi lại các gói tin đã mất. Có
thể tham chiếu hình 1.5 sau:
Hình 1.5 Kết nối tin cậy trong TCP
Socket: Socket là một điểm cuối kết nối truyền thông mạng. Khi được tạo ra, một
socket không có những thông tin chỉ định cách thức hoạt động, bộ giao thức TCP/IP sẽ
định nghĩa một điểm kết nối trên socket, gồm có một địa chỉ IP và một số hiệu cổng dịch
vụ.
1.2 Các yêu cầu an toàn thông tin giao dịch trong TMĐT
Vấn đề bảo mật, an ninh trên mạng là một trong những vấn đề quan trọng trong
hoạt động thực tiễn của Thương mại điện tử
Từ góc độ người sử dụng: làm sao biết được Web server được sở hữu bởi một doanh
nghiệp hợp pháp? Làm sao biết được trang web này không chứa đựng những nội dung
hay mã chương trình nguy hiểm? Làm sao biết được Web server không lấy thông tin của
mình cung cấp cho bên thứ ba.
Từ góc độ doanh nghiệp: Làm sao biết được người sử dụng không có ý định phá hoại
------------------------------------------------------- 21 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
CHƯƠNG 1: THƯƠNG MẠI ĐIỆN TỬ VÀ VẤN ĐỀ ĐẢM BẢO
AN TOÀN CHO GIAO DỊCH
---------------------------------------------------------------------------------------------------------------------
hoặc làm thay đổi nội dung của trang web hoặc website? Làm sao biết được họ có làm
gián đoạn hoạt động của server.
Từ cả hai phía: Làm sao biết được không bị nghe trộm trên mạng? Làm sao biết được
thông tin từ máy chủ đến user không bị thay đổi?
Từ đó đưa ra một số yêu cầu về an toàn bảo mật thông tin giao dịch trong TMĐT (bám
sát vào 4 thuộc tính an toàn thông tin):
-
Xác thực(Authentication): Quá trình xác thực một thực thể xem họ khai báo với cơ
quan xác thực họ là ai.
Tính bí mật: Thông tin chỉ tiết lộ cho những ai được phép.
Tính toàn vẹn (Integrity): Khả năng bảo vệ dữ liệu không bị thay đổi.
Không thoái thác (Nonrepudiation): Khả năng không thể từ chối các giao dịch đã thực
hiện.
1.3. Các loại tội phạm và tấn công trên mạng
Trên mạng máy tính internet hiện nay hàng ngày có rất nhiều vấn đề tội phạm tin học
đã và đang xảy ra. Có một số loại tội phạm chính sau:
-
-
-
Gian lận trên mạng là hành vi gian lận, làm giả để thu nhập bất chính. Ví dụ sử dụng
số thẻ VISA giả để mua bán trên mạng.
Tấn công Cyber là một cuộc tấn công điện tử để xâm nhập trái phép trên internet vào
mạng mục tiêu để làm hỏng dữ liệu, chương trình, và phần cứng của các website hoặc
máy trạm.
Hackers (tin tặc): Hackers nguyên thuỷ là tiện ích trong hệ điều hành Unix giúp xây
dựng Usenet, và World Wide Web... Nhưng, dần dần thuật ngữ hacker để chỉ người
lập trình tìm cách xâm nhập trái phép vào các máy tính và mạng máy tính.
Crackers: Là người tìm cách bẻ khoá để xâm nhập trái phép vào máy tính hay các
chương trình.
Các loại tấn công và phần mềm độc hại trên mạng:
-
Tấn công kỹ thuật là tấn công bằng phần mềm do các chuyên gia có kiến thức hệ
------------------------------------------------------- 22 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
CHƯƠNG 1: THƯƠNG MẠI ĐIỆN TỬ VÀ VẤN ĐỀ ĐẢM BẢO
AN TOÀN CHO GIAO DỊCH
---------------------------------------------------------------------------------------------------------------------
-
-
thống giỏi thực hiện.
Tấn công không kỹ thuật là việc tìm cách lừa để lấy được thông tin nhạy cảm.
Tấn công làm từ chối phục vụ (Denial-of-service (DoS) attack) là sử dụng phần mềm
đặc biệt liên tục gửi đến máy tính mục tiêu làm nó bị quá tải, không thể phục vụ được.
Tấn công làm từ chối phục vụ phân tán (Distributed denial of service (DDoS) attack)
là sự tấn công làm từ chối phục vụ trong đó kẻ tấn công có quyền truy cập bất hợp
pháp vào nhiều máy trên mạng để gửi số liệu giả đến mục tiêu.
Virus là đoạn mã chương trình chèn vào máy chủ sau đó lây lan. Nó không chạy độc
lập.
Sâu Worm là một chương trình chạy độc lập. Sử dụng tài nguyên của máy chủ để làm
truyền thông tin đi các máy khác.
1.4.Các biện pháp đảm bảo an toàn
Có nhiều giải pháp đảm bảo an toàn bảo mật cho thông tin, hệ thống và mạng.
Hình 1.6 minh hoạ một mô hình đảm bảo an toàn gồm nhiều lớp phòng vệ.
Hình 1.6 Các mức ngăn chặn đột nhập
1.4.1 Tường lửa (Firewall)
Tường lửa là một phần của một máy tính đơn hoặc của một mạng máy tính, được
thiết kế để ngăn chặn những truy cập trái phép và cho phép các truy cập hợp pháp được
------------------------------------------------------- 23 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
CHƯƠNG 1: THƯƠNG MẠI ĐIỆN TỬ VÀ VẤN ĐỀ ĐẢM BẢO
AN TOÀN CHO GIAO DỊCH
---------------------------------------------------------------------------------------------------------------------
lưu thông dựa trên một tập luật và tiêu chuẩn khác. Ngoài ra tường lửa còn có thể mã hóa,
giải mã hay ủy quyền cho các giao dịch giữa các miền bảo mật khác nhau.
Tường lửa có thể được chia làm bốn loại: các tường lửa lọc gói, các cổng kênh, mức
ứng dụng và kiểm duyệt đa lớp tĩnh.
-
Các bức tường lửa lọc gói vận hành trên mạng theo mô hình OSI, hoặc ở lớp IP của
TCP/IP. Chúng là một phần của bức tường lửa định tuyến. Trong một bức tường lửa
lọc gói, mỗi gói sẽ được so sánh với một bộ tiêu chuẩn trước khi được chuyển tiếp.
Trên cơ sở gói và tiêu chuẩn, bức tường lửa có thể làm rớt gói, chuyển tiếp nó hoặc
gửi một thông báo đến người nhận. Các thủ tục có thể bao gồm các địa chỉ IP nguồn
và đích, số và giao thức cổng nguồn và đích được sử dụng. ưu điểm của các bức tường
lửa lọc gói này là chi phí thấp và ít ảnh hưởng đến hiệu năng của mạng. Phần lớn các
bộ lọc hỗ trợ lọc gói. Thậm chí nếu sử dụng các bức tường lửa khác, thì triển khai lọc
gói tại mức bộ định tuyến có thể đảm bảo được mức an ninh ban đầu tại lớp mạng
thấp. Tuy nhiên, bức tường lửa loại này chỉ có thể vận hành tại lớp mạng và không hỗ
trợ các mô hình dựa trên thủ tục phức tạp.
-
Loại tưởng lửa cổng kênh vận hành tại lớp phiên của mô hình OSI, hoặc lớp TCP của
TCP/IP. Bức tường lửa loại này có thể giám sát kết nối kiểu bắt tay TCP giữa các gói
để quyết định phiên yêu cầu nào là phù hợp. Thông tin được chuyển tới một máy tính
ở xa nhờ một cổng mức kênh. Điều này rất hữu ích để che dấu những thông tin về
mạng cá nhân mà họ cần bảo vệ, nhưng loại tường lửa này không lọc được các gói cá
nhân.
-
Các tường lửa cổng mức ứng dụng cũng được gọi là các proxy giống như các cổng
mức kênh nhưng không liên quan đến ứng dụng. Loại tường lửa này có thể lọc được
các gói ở lớp ứng dụng của mô hình OSI. Các gói vào và ra không thể truy nhập các
dịch vụ không có proxy. Bởi vì chúng có thể kiểm tra các gói tại lớp ứng dụng, các
cổng mức ứng dụng có thể lọc các lệnh ứng dụng như http:post và get… Hơn nữa, các
cổng mức ứng dụng có thể được sử dụng để ghi lại các hoạt động của người sử dụng
và đăng nhập.
------------------------------------------------------- 24 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
ĐỒ ÁN TỐT NGHIỆP
CHƯƠNG 1: THƯƠNG MẠI ĐIỆN TỬ VÀ VẤN ĐỀ ĐẢM BẢO
AN TOÀN CHO GIAO DỊCH
---------------------------------------------------------------------------------------------------------------------
-
Các bức tường lửa kiểm tra đa lớp tĩnh kết hợp các khía cạnh của cả ba loại bức tường
lửa kia. Loại tường lửa này có thể lọc các gói ở lớp mạng, quyết định các gói phiên
nào là phù hợp và đánh giá nội dung các gói tại lớp ứng dụng. Loại bức tường lửa này
cho phép kết nối trực tiếp giữa khách và chủ, hạn chế lỗi do sự thiếu sự trong suốt
trong các cổng ứng dụng. Bức tường lửa loại này phụ thuộc vào các thuật toán nhận
dạng và xử lý các dữ liệu lớp ứng dụng thay cho việc các proxy ứng dụng.
Các hạn chế của tường lửa:
-
Không chống được các tấn công từ bên trong mạng. Tường lửa luôn giả sử rằng kẻ
xấu chỉ ở bên ngoài mạng, còn mọi trạm bên trong mạng là đáng tin cậy.
Không chống được sự lây nhiễm, phá hoại của các chương trình virus và mã độc.
Không chống được các tấn công kiểu bỏ qua (passby). Tường lửa cho rằng mọi kết nối
giữa bên trong và ngoài mạng đều cần đi qua tường lửa, nhưng thực tế vẫn có một số
kết nối không qua tường lửa được tạo bởi bản thân các tổ chức .
1.4.2 Bảo vệ vật lý (Physical)
Lớp này nhằm ngăn cản truy cập vật lý bất hợp pháp vào hệ thống. Các biện pháp
truyền thống thường được dùng như: Cấm tuyệt đối người không phận sự vào phòng đặt
máy mạng, dùng khoá để khoá (khoá bằng cơ học hay bằng sinh học như khoá vân tay,
khoá bằng ánh mắt...) hoặc cài cơ cấu báo động khi có truy nhập bất hợp pháp vào hệ
thống, hoặc dùng các trạm máy không có ổ đĩa mềm...
1.4.3. Cơ chế mã hoá
Để đảm bảo an toàn bảo mật cho các giao dịch, người ta dùng hệ thống khoá mã và kỹ
thuật mã hoá cho các giao dịch TMĐT. Mã hoá là quá trình trộn văn bản với khoá mã tạo
thành văn bản không thể đọc được và sau đó truyền qua mạng. Khi nhận được bản mã,
phải dùng khoá mã để giải mã thành bản rõ. Mã hoá và giải mã gồm 4 thành phần cơ bản:
-
Văn bản rõ – plaintext
Văn bản đã mã – Ciphertext
Thuật toán mã hoá – Encryption algorithm
------------------------------------------------------- 25 ------------------------------------------------------BÙI THỊ OANH, D05CNPM
HVCNBCVT
