ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

HOÀNG PHƢƠNG BẮC

MỘT SỐ CÔNG CỤ CÔNG NGHỆ THÔNG TIN
DÙNG TRONG THANH TOÁN ĐIỆN TỬ

Ngành: Công nghệ Thông tin
Chuyên ngành: Hệ thống Thông tin
Mã số : 60.48.05

LUẬN VĂN THẠC SĨ

NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS Trịnh Nhật Tiến

Hà Nội - 2009


MỤC LỤC
LỜI CAM ĐOAN .......................................................... Error! Bookmark not defined.
LỜI CẢM ƠN ................................................................ Error! Bookmark not defined.
MỤC LỤC .......................................................................................................................2
BẢNG CHỮ VIẾT TẮT .................................................................................................7
DANH MỤC HÌNH VẼ ..................................................................................................8
MỞ ĐẦU .......................................................................................................................10
CHƢƠNG 1 MỘT SỐ KHÁI NIỆM CƠ BẢN .......................................................12
1.1. CÁC KHÁI NIỆM TRONG TOÁN HỌC ................................................................. 12

1.1.1. Số nguyên tố và nguyên tố cùng nhau .........................................................12
1.1.2. Đồng dư thức ...............................................................................................13

1.1.3. Không gian Zn và Zn* ...................................................................................13
1.1.4. Khái niệm phần tử nghịch đảo trong Zn ......................................................14
1.1.5. Khái niệm nhóm, nhóm con, nhóm Cyclic ..................................................14
1.1.6. Bộ phần tử sinh ............................................................................................15
1.1.7 Bài toán đại diện ...........................................................................................15
1.1.8. Hàm một phía và hàm một phía có cửa sập.................................................16
1.1.9. Độ phức tạp tính toán ..................................................................................17
1.2. TỔNG QUAN VỀ AN TOÀN THÔNG TIN ............................................................. 18

1.2.1. Tại sao phải đảm bảo an toàn thông tin .......................................................18
1.2.2. Một số vấn đề rủi ro mất an toàn thông tin. ................................................19
1.2.2.1. Xâm phạm tính bí mật. .........................................................................19
1.2.2.2. Xâm phạm tính toàn vẹn.......................................................................20
1.2.2.3. Xâm phạm tính sẵn sàng.......................................................................20
1.2.2.4. Giả mạo nguồn gốc giao dịch ...............................................................21
1.2.2.5. Chối bỏ giao dịch..................................................................................21
1.2.2.6. Các hiểm họa đối với hệ thống giao dịch .............................................21
1.2.3. Chiến lược đảm bảo an toàn thông tin .........................................................24
1.3. TỔNG QUAN VỀ THANH TOÁN ĐIỆN TỬ .......................................................... 26

1.3.1. Khái niệm Thương mại điện tử ...................................................................26


1.3.2. Vấn đề thanh toán điện tử ............................................................................26
1.4. CÔNG CỤ CNTT DÙNG TRONG THANH TOÁN ĐIỆN TỬ .............................. 28

1.4.1 Hạ tầng cơ sở bảo đảm an toàn thông tin .....................................................28
1.4.1.1. Tường lửa .............................................................................................28
1.4.1.2. Mạng riêng ảo ......................................................................................28
1.4.1.3 Hạ tầng mật mã hóa công khai ..............................................................29

1.4.2. Một số tiện ích dùng trong thanh toán điện tử.............................................30
1.4.2.1. Thanh toán bằng các loại thẻ ................................................................30
1.4.2.2. Thanh toán bằng séc điện tử .................................................................31
1.4.2.3. Thanh toán bằng tiền điện tử ................ Error! Bookmark not defined.
CHƢƠNG 2 HẠ TẦNG CƠ SỞ BẢO ĐẢM AN TOÀN THÔNG TIN ...... Error!
Bookmark not defined.
2.1. HẠ TẦNG MẠNG MÁY TÍNH ..................................... Error! Bookmark not defined.

2.1.1. Mạng Lan, Wan, Intranet, Extranet và Internet ........ Error! Bookmark not
defined.
2.1.1.1. Mạng cục bộ ( LAN) ............................ Error! Bookmark not defined.
2.1.1.2. Mạng diện rộng- WAN ......................... Error! Bookmark not defined.
2.1.1.3. Mạng Intranet, Extranet ........................ Error! Bookmark not defined.
2.1.1.4. Mạng Internet ....................................... Error! Bookmark not defined.
2.1.2. Một số dịch vụ internet (internet services) .. Error! Bookmark not defined.
2.1.2.1. World Wide Web – WWW .................. Error! Bookmark not defined.
2.1.2.2. Thư điện tử – Email .............................. Error! Bookmark not defined.
2.1.2.3. Truyền, tải tập tin – FTP....................... Error! Bookmark not defined.
2.1.2.4. Tán gẫu – Chat...................................... Error! Bookmark not defined.
2.1.2.5. Làm việc từ xa – Telnet ........................ Error! Bookmark not defined.
2.1.2.6. Nhóm tin tức – Usenet, newsgroup ..... Error! Bookmark not defined.
2.1.2.7. Dịch vụ danh mục (Directory Services)Error! Bookmark not defined.
2.1.3 Các nhà cung cấp dịch vụ trên Internet ........ Error! Bookmark not defined.
2.1.3.1. Nhà cung cấp dich vụ ISP (Internet Service Provider)Error! Bookmark
not defined.


2.1.3.2. Nhà cung cấp dịch vụ IAP (Internet Access Provider)Error! Bookmark
not defined.
2.1.3.3. Nhà cung cấp dịch vụ ICP (Internet Content Provider)Error! Bookmark

not defined.
2.1.3.4. Cấp phát tên miền (Internet Domain Name Provider)Error! Bookmark
not defined.
2.1.3.5. Cho thuê máy chủ web - hosting (Server Space Provider)........... Error!
Bookmark not defined.

2.2. HẠ TẦNG ĐẢM BẢO AN TOÀN THÔNG TIN ......... Error! Bookmark not defined.

2.2.1 Tường lửa ..................................................... Error! Bookmark not defined.
2.2.2 Mạng riêng ảo ............................................... Error! Bookmark not defined.
2.2.2.1. VPN truy nhập từ xa ............................. Error! Bookmark not defined.
2.2.2.2. VPN điểm tới điểm ............................... Error! Bookmark not defined.
2.2.3 Các giao thức đảm bảo an toàn truyền tin ... Error! Bookmark not defined.
2.2.3.1. Giao thức SSL ...................................... Error! Bookmark not defined.
2.2.3.2. Giao thức SHTTP ................................. Error! Bookmark not defined.
2.2.3.3. Giao thức IPSec .................................... Error! Bookmark not defined.
2.2.3.4. Giao thức TCP/IP ................................. Error! Bookmark not defined.
2.2.3.5. Giao thức bảo mật SET ........................ Error! Bookmark not defined.
2.2.4. Công nghệ xây dựng PKI ............................ Error! Bookmark not defined.
2.2.4.1. Công nghệ OpenCA ............................. Error! Bookmark not defined.
2.2.4.2. Công nghệ SSL ..................................... Error! Bookmark not defined.
2.2.4.3. Giao thức truyền tin an toàn tầng liên kết dữ liệu (Data Link). ... Error!
Bookmark not defined.
2.2.4.4. Giao thức truyền tin an toàn tầng ứng dụng(Application). .......... Error!
Bookmark not defined.
2.2.4.5. Một số công nghệ bảo đảm an toàn thông tin trên thế giới .......... Error!
Bookmark not defined.
2.3. HẠ TẦNG MẬT MÃ KHÓA CÔNG KHAI (PKI) ...... Error! Bookmark not defined.

2.3.1. Khái niệm về PKI ........................................ Error! Bookmark not defined.

2.3.2. Hiện trạng sử dụng chứng chỉ số trên thế giới và ở Việt Nam ............ Error!
Bookmark not defined.
2.3.3. Các thành phần kỹ thuật cơ bản của PKI .... Error! Bookmark not defined.


2.3.3.1. Mã hóa .................................................. Error! Bookmark not defined.
2.3.3.2. Chữ ký số .............................................. Error! Bookmark not defined.
2.3.3.3. Chứng chỉ khóa công khai ( Chứng chỉ số) ........ Error! Bookmark not
defined.
2.3.4. Các đối tượng cơ bản của hệ thống PKI ...... Error! Bookmark not defined.
2.3.4.1. Chủ thể và các đối tượng sử dụng ........ Error! Bookmark not defined.
2.3.4.2. Đối tượng quản lý chứng chỉ số ........... Error! Bookmark not defined.
2.3.4.3. Đối tượng quản lý đăng ký chứng chỉ sốError! Bookmark not defined.
2.3.5. Các hoạt động cơ bản trong hệ thống PKI .. Error! Bookmark not defined.
2.3.5.1. Mô hình tổng quát của hệ thống PKI ... Error! Bookmark not defined.
2.3.5.2. Thiết lập các chứng chỉ số .................... Error! Bookmark not defined.
2.3.5.3. Khởi tạo các EE (End Entity) ............... Error! Bookmark not defined.
2.3.5.4. Các hoạt động liên quan đến chứng chỉ sốError! Bookmark not defined.
2.3.6 Những vấn đề cơ bản trong xây dựng hệ thống CA ... Error! Bookmark not
defined.
2.3.6.1. Các mô hình triển khai hệ thống CA .... Error! Bookmark not defined.
2.3.6.2. Những chức năng bắt buộc trong quản lý PKI ... Error! Bookmark not
defined.

CHƢƠNG 3 MỘT SỐ TIỆN ÍCH DÙNG TRONG THANH TOÁN ĐIỆN TỬError!
Bookmark not defined.
3.1. THẺ THANH TOÁN....................................................... Error! Bookmark not defined.

3.1.1. Giới thiệu về thẻ thông minh ....................... Error! Bookmark not defined.
3.1.1.1. Khái niệm thẻ thông minh .................... Error! Bookmark not defined.

3.1.1.2. Phân loại thẻ thông minh ...................... Error! Bookmark not defined.
3.1.1.3. Các chuẩn trong thẻ thông minh ........... Error! Bookmark not defined.
3.1.1.4. Phần cứng của thẻ thông minh ............. Error! Bookmark not defined.
3.1.1.5. Hệ điều hành của thẻ thông minh ......... Error! Bookmark not defined.
3.1.2. Các giao thức với thẻ thông minh ............... Error! Bookmark not defined.
3.1.2.1. Giao thức truyền thông với thẻ thông minh ....... Error! Bookmark not
defined.
3.1.2.2 Giao thức xác thực với thẻ thông minh . Error! Bookmark not defined.
3.1.3. Thẻ thanh toán ............................................. Error! Bookmark not defined.
3.1.3.1. Luồng giao dịch trên ATM ................... Error! Bookmark not defined.


3.1.3.2. Chu trình giao dịch trên POS................ Error! Bookmark not defined.
3.1.3.3. Quy trình thực hiện các giao dịch thẻ tín dụng: . Error! Bookmark not
defined.
3.2.TIỀN ĐIỆN TỬ................................................................. Error! Bookmark not defined.

3.2.1. Giới thiệu về tiền điện tử ............................. Error! Bookmark not defined.
3.2.1.1. Khái niệm tiền điện tử .......................... Error! Bookmark not defined.
3.2.1.2. Cấu trúc tiền điện tử ............................. Error! Bookmark not defined.
3.2.1.3. Phân loại tiền điện tử ............................ Error! Bookmark not defined.
3.2.1.4. Tính chất của tiền điện tử ..................... Error! Bookmark not defined.
3.2.1.5. Các giao thức với tiền điện tử.............. Error! Bookmark not defined.
3.2.2. Một số vấn đề đối với tiền điện tử ............... Error! Bookmark not defined.
3.2.2.1. Vấn đề ẩn danh người dùng .................. Error! Bookmark not defined.
3.2.2.2. Vấn đề giả mạo và tiêu một đồng tiền nhiều lần Error! Bookmark not
defined.
3.2.3. Lược đồ CHAUM-FIAT-NAOR ................ Error! Bookmark not defined.
3.2.3.1 Giao thức rút tiền ................................... Error! Bookmark not defined.
3.2.3.2 Giao thức thanh toán ............................. Error! Bookmark not defined.

3.2.3.3 Giao thức gửi ......................................... Error! Bookmark not defined.
3.2.3.4. Đánh giá ................................................ Error! Bookmark not defined.
3.2.3.5. Chi phí .................................................. Error! Bookmark not defined.
3.2.3.6. Tấn công ............................................... Error! Bookmark not defined.
3.2.4. Lược đồ BRAND ......................................... Error! Bookmark not defined.
3.2.4.1. Khởi tạo tài khoản ................................ Error! Bookmark not defined.
3.2.4.2. Giao thức rút tiền .................................. Error! Bookmark not defined.
3.2.4.3. Giao thức thanh toán............................. Error! Bookmark not defined.
3.2.4.4. Giao thức gửi ........................................ Error! Bookmark not defined.
3.2.4.5. Đánh giá ................................................ Error! Bookmark not defined.
3.2.5. Một số hệ thống tiền điện tử ........................ Error! Bookmark not defined.
3.2.5.1. Hệ thống FIRST VIRTUAL ................. Error! Bookmark not defined.
3.2.5.2. Hệ thống tiền điện tử DIGICASH ........ Error! Bookmark not defined.


3.5.2.3. Hệ thống MILLICENT ......................... Error! Bookmark not defined.
3.5.2.4. Hệ thống MONDEX ............................. Error! Bookmark not defined.
3.5.2.5. Hệ thống PAYWORD .......................... Error! Bookmark not defined.
KẾT LUẬN ................................................................... Error! Bookmark not defined.
TÀI LIỆU THAM KHẢO .............................................................................................31


BẢNG CHỮ VIẾT TẮT
ARLs

Authority Revocation Lists

ATTT

An toàn thông tin


BIN

Bank Identification Number

CA

Certificate Authority

CRLs

Certificate Revocation Lists

DES

Data Encryption Standard

DNS

Domain Name System

DSS

Digital Signature Standard

EE

End Entity

HTTPS


Secure Hypertext Transaction Standard

IIN

Issuer Identification Number

ISPs

Internet Service Providers

NSPs

Network Service Providers

POS

Point of Sale

PIN

Personal Identification Number

PKC

Public Key Certificate

PKI

Public Key Infrastructure


SET

Secure Electronic Transaction

RA

Registration Authorities

SSL

Secure Socket Layer

TLS

Transport Layer Security

TMĐT

Thương mại điện tử

TTĐT

Thanh toán điện tử


DANH MỤC HÌNH VẼ
Hình 1.1: Các lớp bảo vệ thông tin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
Hình 1.2 : Một hệ thống mạng riêng ảo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2929
Hình 2.1 : Mạng cục bộ LAN . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 2.2 : Các topology mạng cục bộ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 2.3: Mạng diện rộng (WAN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 2.4 : Kiến trúc mạng Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Error! Bookmark not defined.
Hình 2.5: Bức tƣờng lửa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 2.6 : Máy phục vụ uỷ quyền (Proxy server). . . . . . . . . . . . . . . . . . . . . . .
. Error! Bookmark not defined.
Hình 2.7 : Mô hình VPN truy nhập từ xa . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Error! Bookmark not defined.
Hình 2.8 : Mô hình VPN cục bộ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 2.9: Mô hình VPN mở rộng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 2.10: Vị trí SSL trong mô hình OSI . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Error! Bookmark not defined.
Hình 2.11: Hệ mã hóa khóa đối xứng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 2.12: Hệ mã hóa khóa công khai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 2.13: Chữ ký số . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 2.14: Mô hình quá trình ký có sử dụng hàm băm . . . . . . . . . . . . . . . . . .
. Error! Bookmark not defined.
Hình 2.15: Quá trình kiểm thử . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Error! Bookmark not defined.


Hình 2.16: Mô hình ký của loại chữ ký khôi phục thông điệp . . . . . . . . . . . .
. .Error! Bookmark not defined.
Hình 2.17: Sơ đồ chữ ký một lần của Schnorr . . . . . . . . . . . . . . . . . . . . . . . . .
. Error! Bookmark not defined.
H ình 2.18: Sơ đồ chữ ký mù . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.Error! Bookmark not defined.
Hình 2.19: Sơ đồ chữ ký mù dựa trên chữ ký RSA . . . . . . . . . . . . . . . . . . . . .
. Error! Bookmark not defined.
Hình 2.20: Các đối tƣợng và hoạt động cơ bản trong hệ thống PKI . . . . . . .
. . Error! Bookmark not defined.
Hình 2.21: Kiến trúc CA phân cấp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.Error! Bookmark not defined.
Hình 2.22: Kiến trúc CA mạng lƣới . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.Error! Bookmark not defined.
Hình 2.23: Kiến trúc CA danh sách tin cậy . . . . . . . . . . . . . . . . . . . . . . . . . . .
.Error! Bookmark not defined.
Hình 3.1: Các điểm tiếp xúc theo chuẩn ISO 7816-2 . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 3.2: Cấu trúc file trong thẻ thông minh . . . . . . . . . . . . . . . . . . . . . . . . .
..Error! Bookmark not defined.
Hình 3.3: Cấu trúc file EF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.Error! Bookmark not defined.
Hình 3.4: Cấu trúc của APDU phản hồi . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 3.5: Mã trả về của SW1, SW2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 3.6: Mã hoá bit trực tiếp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

.Error! Bookmark not defined.
Hình 3.7: Đảo bit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.Error! Bookmark not defined.
Hình 3.8: Lệnh ghi dữ liệu vào thẻ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 3.9: Lệnh đọc dữ liệu từ thẻ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 3.10: Cấu trúc của một khối truyền . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 3.11: Thẻ thông minh xác thực thực thể ngoài . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 3.12: Thực thể ngoài xác thực thẻ thông minh . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.


Hình 3.13: Luồng giao dịch trên ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 3.14: Quy trình cấp phép . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 3.15: Quy trình giao dịch thẻ tín dụng . . . . . . . . . . . . . . . . . . . . . . . . . .
Error! Bookmark not defined.
Hình 3.16: Mô hình giao dịch của hệ thống tiền điện tử cùng ngân hàng . . .
Error! Bookmark not defined.
Hình 3.17: Mô hình giao dịch của hệ thống tiền điện tử liên ngân hàng . . .
Error! Bookmark not defined.

MỞ ĐẦU
Trong những thập kỷ gần đây, sự phát triển mạnh mẽ của Internet đã và đang làm
thay đổi một cách căn bản cách thức hoạt động của nhiều lĩnh vực kinh tế - xã hội, trong
đó có hoạt động thương mại. Khâu quan trọng nhất trong hoạt động TMĐT là “thanh

toán”, bởi vì mục tiêu cuối cùng của cuộc trao đổi thương mại là người mua nhận được
những cái gì cần mua và người bán nhận được số tiền thanh toán.
Vấn đề an toàn thông tin (ATTT) trong các giao dịch luôn là một yêu cầu cần phải
có đối với mọi hoạt động thương mại, đặc biệt là hoạt động thương mại điện tử vì các quy
trình giao dịch được thực hiện qua Internet - một môi trường truyền thông công cộng.
Các thành tựu của ngành mật mã, đặc biệt là lý thuyết mật mã khoá công khai đã cung
cấp các giải pháp ATTT cho các hoạt động thương mại, tạo cơ sở cho việc xây dựng các
hệ thống thanh toán điện tử.


Cơ sở hạ tầng mã khoá công khai (PKI - Public Key Infrastructure) cùng các tiêu
chuẩn và công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc
lập để giải quyết vấn đề ATTT. PKI bản chất là một hệ thống công nghệ vừa mang tính
tiêu chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các
chứng chỉ khóa công khai (Public Key Certificate) cũng như các khoá công khai và
khóa bí mật (khóa riêng).
Hiện nay ở Việt Nam, việc nghiên cứu, ứng dụng và triển khai PKI nói chung và
dịch vụ cung cấp chứng chỉ số nói riêng là vấn đề còn mang tính thời sự. Bằng việc sử
dụng chứng chỉ và chữ ký số, những ứng dụng cho phép PKI đưa ra nhiều đặc tính đảm
bảo an toàn thông tin cho người sử dụng đặc biệt là trong các giao dịch điện tử.
Mỗi mô hình thanh toán điện tử đại diện cho một phương thức thanh toán điện tử
khác nhau như thanh toán bằng tiền mặt, bằng séc, bằng các loại thẻ…Mỗi phương thức
thanh toán điện tử có các giao thức được xây dựng dựa trên nền tảng lý thuyết mật mã,
đảm bảo cho các giao dịch thanh toán thực hiện an toàn và theo đúng quy trình. Vì vậy,
mỗi phương thức thanh toán đều phải có các giao thức rõ ràng, đảm bảo an toàn cho việc
giao dịch thông tin giữa các bên tham gia.
Luận văn thực hiện với mục đích nghiên cứu về hạ tầng cơ sở đảm bảo an toàn
thông tin, hạ tầng mật mã khóa công khai PKI (Các thành phần kỹ thuật của PKI, các đối
tượng và các hoạt động trong hệ thống PKI. . .), và một số công cụ dùng trong thanh toán
điện tử (thẻ thanh toán, giải pháp và công nghệ sử dụng tiền điện tử).

Nội dung chính của Luận văn gồm có:
Chương 1: Các khái niệm cơ bản
Trong chương này sẽ trình bày một số khái niệm toán học, tổng quan về an toàn
thông tin, một số vấn đề rủi ro mất an toàn thông tin, các chiến lược đảm bảo an toàn
thông tin và tổng quan về thanh toán điện tử trong thương mại điện tử.
Chương 2: Hạ tầng cơ sở đảm bảo an toàn thông tin
Trong chương này trình bày tổng quan về hạ tầng mạng, hạ tầng đảm bảo an toàn
thông tin, các giao thức đảm bảo an toàn truyền tin và hạ tầng mã hoá khóa công khai
(PKI) (các thành phần kỹ thuật, các đối tượng, các hoạt động cơ bản, công nghệ và giao
thức của PKI)


Chương 3: Một số tiện ích dùng trong thanh toán điện tử
Trong chương này giới thiệu một số tiện ích dùng trong thanh toán điện tử: Thẻ
thanh toán (thẻ thông minh, thẻ tín dụng. . .), và một số hệ thống thanh toán bằng tiền
điện tử.

CHƯƠNG 1

MỘT SỐ KHÁI NIỆM CƠ BẢN

1.1. CÁC KHÁI NIỆM TRONG TOÁN HỌC
1.1.1. Số nguyên tố và nguyên tố cùng nhau
Số nguyên tố là số nguyên dương chỉ chia hết cho 1 và chính nó.
Ví dụ: 2, 3, 5,…
Các hệ mật mã thường dùng các số nguyên tố cỡ 512 bit hoặc lớn hơn.
Hai số nguyên dương m và n được gọi là nguyên tố cùng nhau, nếu ước số chung
lớn nhất của chúng bằng 1, ký hiệu gcd(m, n) = 1.
Ví dụ: 8 và 17 là hai số nguyên tố cùng nhau.



1.1.2. Đồng dƣ thức
1) Định nghĩa
Cho a và b là các số nguyên, khi đó a được gọi là đồng dư với b theo modulo n, ký
hiệu là a  b mod n nếu a, b chia cho n có cùng số dư. Số nguyên n được gọi là modulo
của đồng dư.
Ví dụ: 5  7 mod 2 vì: 5 mod 2 = 1 và 7 mod 2 = 1
2) Tính chất
Cho a, a1, b, b1, c  Z. Ta có các tính chất sau:
+ a  b mod n nếu và chỉ nếu a và b có cùng số dư khi chia cho n
+ Tính phản xạ: a  a mod n
+ Tính đối xứng: Nếu a  b mod n thì b  a mod n
+ Tính giao hoán: Nếu a  b mod n và b  c mod n thì a  c mod n
+ Nếu a  a1 mod n, b  b1 mod n thì a+b  a1+b1 mod n và ab  a1b1 mod n
3) Lớp tương đương
Lớp tương đương của một số nguyên a là tập hợp các số nguyên đồng dư với a theo
modulo n.
Cho n cố định đồng dư với n trong không gian Z vào các lớp tương đương. Nếu
a=qn +r, trong đó 0  r  n thì a  r mod n. Vì vậy mỗi số nguyên a là đồng dư theo
modulo n với duy nhất một số nguyên trong khoảng từ 0 đến n-1 và được gọi là thặng dư
nhỏ nhất của a theo modulo n. Cũng vì vậy, a và r cùng thuộc một lớp tương đương. Do
đó r có thể đơn giản được sử dụng để thể hiện lớp tương đương. [1]

1.1.3. Không gian Zn và Zn*
Không gian các số nguyên theo modulo n: Zn là tập hợp các số nguyên không âm
nhỏ hơn n. Tức là: Zn = {0, 1, 2,… n-1}. Tất cả các phép toán trong Zn đều được thực hiện
theo modulo n.
Ví dụ: Z25 ={0,1, 2,..., 24}. Trong Z25 : 12 + 20 = 7(mod 25)
Không gian Zn* là tập hợp các số nguyên p thuộc Zn sao cho ước chung lớn nhất của
p và n là 1. Tức là, Zn* = {p thuộc Zn | gcd(n, p) = 1}

Ví dụ: Z2 = { 0,1 }; Z*2 = {1} vì gcd(1, 2)=1


1.1.4. Khái niệm phần tử nghịch đảo trong Zn
1) Định nghĩa
Cho aZn. Nghịch đảo nhân của a theo modulo n là một số nguyên xZn sao cho
a*x1 (mod n). Nếu tồn tại thì đó là giá trị duy nhất và a gọi là khả đảo, nghịch đảo của a
ký hiệu là a-1.
2) Tính chất
+ Cho a,bZn . Phép chia của a cho b theo modulo n là tích của a và b-1 theo
modulo n, và chỉ được xác định khi b có nghịch đảo theo modulo n.
+ Giả sử d=gcd(a, n). Phương trình đồng dư ax  b (mod n) có nghiệm x nếu và chỉ
nếu d chia hết cho b, trong trường hợp các nghiệm d nằm trong khoảng 0 đến n-1 thì các
nghiệm đồng dư theo modulo n/d. [1]
Ví dụ: 4-1 = 7(mod 9) vì 4*7  1(mod 9).

1.1.5. Khái niệm nhóm, nhóm con, nhóm Cyclic
1) Nhóm
Nhóm là bộ các phần tử (G, *) thỏa mãn các tính chất sau:
+ Tính chất kết hợp: ( x * y ) * z = x * ( y * z )
+ Tính chất tồn tại phần tử trung gian e  G: e * x= x * e = x , x  G
+ Tính chất tồn tại phần tử nghịch đảo x’  G: x’ * x = x * x’ = e
2) Nhóm con


Nhóm con là bộ các phần tử ( S, * ) là nhóm thỏa mãn các tính chất sau:
1/ S  G, phần tử trung gian e  S
2/ x, y  S => x * y  S

3) Nhóm cylic

Nhóm Cyclic là nhóm mà mọi phần tử x của nó được sinh ra từ một phần tử đặc biệt
g  G. Phần tử này được gọi là phần tử nguyên thủy, tức là:
Với  x  G:  n  N mà gn = x.
Ví dụ: (Z+, *) là một nhóm cyclic có phần tử sinh là 1

1.1.6. Bộ phần tử sinh
{g1, …, gk} được gọi là bộ phần tử sinh nếu mỗi gi là một phần tử sinh và những
phần tử này khác nhau (gi  gj nếu i  j).
Ví dụ: {3, 5} là bộ phần tử sinh của Z7*, bởi vì:
1 = 36 mod 7 = 56 mod 7

2 = 32 mod 7 = 54 mod 7

3 = 31 mod 7 = 55 mod 7

4 = 34 mod 7 = 52 mod 7

5 = 35 mod 7 = 51 mod 7

6 = 33 mod 7 = 53 mod 7

2 không phải là phần tử sinh của Z7*, bởi vì:
{2, 22, 23, 24, 25, 26} = {1, 4, 1, 2, 4, 1}  {1, 2, 4}
Tuy nhiên {1, 2, 4} là tập con của {1, 2, 3, 4, 5, 6} = Z7*, dó đó số 2 được gọi là
“phần tử sinh của nhóm G(3)”, G(3) là nhóm có 3 thành phần {1, 2, 4}.

1.1.7 Bài toán đại diện
Gọi g là phần tử sinh của nhóm con G(q) thuộc Zn*. Bài toán logarit rời rạc liên
quan đến việc tìm số mũ a, sao cho:
a = loggh mod n (với h  G (q)).

Cho k  2, 1  ai  q, i = 1… k.
Bài toán đại diện là: cho h thuộc G(q), tìm {a1, …, ak}, của bộ phần tử sinh
{g1, …, gk}, sao cho:


h = g1a1 * g2a2 *… * gkak mod n.
{a1, …, ak} được gọi là đại diện (presentation).
Ví dụ: Cho tập Z23*, thì ta có thể tìm được:
Nhóm con G (11) = {1, 2, 3, 4, 6, 8, 9, 12, 13, 16, 18} với những phần tử sinh g i là:
2, 3, 4, 6, 8, 9, 12, 13, 16, 18.
{2, 3} là 2 phần tử sinh của nhóm con G (11) trong Z23*.
Bài toán đại diện là với h = 13  G (11), tìm {a1, a2} sao cho:
13 = 2a1 * 3a2 mod 23
Logarit hai vế, có a1*log(2) + a2*log(3) = log(13) mod 23.
Kết quả là: a1 = 2 và a2 =2, vì 22 * 32 = 4*9 = 36 = 13 mod 23.
Hay a1 = 7 và a2 = 11, vì 27 * 311 = 128*177147 = 13 mod 23.

1.1.8. Hàm một phía và hàm một phía có cửa sập
1) Hàm một phía
Một hàm một phía là hàm mà dễ dàng tính toán ra quan hệ một chiều, nhưng rất khó
để tính ngược lại. Ví như biết x thì có thể dễ dàng tính ra f(x), nhưng nếu biết f(x) thì rất
khó tính ra được x. Trong trường hợp này “khó” có nghĩa là để tính ra được kết quả thì
phải mất rất nhiều thời gian để tính toán.
Ví dụ:
Tính y = f(x) = αx mod p là dễ nhưng tính ngược lại x = logα y là bài toán “khó” (bài
toán logarit rời rạc)

2) Hàm một phía có cửa sập
F(x) được gọi là hàm một phía có cửa sập nếu tính xuôi y = f(x) thì dễ, nhưng tính
ngược x = f-1(y) thì khó, tuy nhiên nếu có “cửa sập” thì vấn đề tính ngược trở nên dễ

dàng. Cửa sập ở đây là một điều kiện nào đó giúp chúng ta dễ dàng tính ngược. [1]
Ví dụ:


y = f(x) =xb mod n tính xuôi thì dễ nhưng tính ngược x= ya mod n thì khó, vì phải
biết a với a * b  1 (mod(  (n)) trong đó  (n) = (p-1)(q-1)). Nhưng nếu biết cửa sập p,
q thì ta tính  (n) sau đó tính a trở nên dễ dàng.

1.1.9. Độ phức tạp tính toán
Độ phức tạp tính toán (về không gian hay thời gian) của một tiến trình tính toán là
số ô nhớ được dùng hay số các phép toán sơ cấp được thực hiện trong tiến trình tính toán
đó. Dữ liệu đầu vào đối với một thuật toán thường được biểu diễn qua các từ trong một
bảng ký tự nào đó. Độ dài của một từ là số ký tự trong từ đó.
Cho thuật toán A trên bảng ký tự Z ( tức là có các đầu vào là các từ trong Z). Độ
phức tạp tính toán của thuật toán A được hiểu như một hàm số fa(n) sao cho với mỗi số n
thì fa(n) là số ô nhớ, hay số phép toán sơ cấp tối đa mà A cần để thực hiện tiến trình tính
toán của mình trên các dữ liệu vào có độ dài nhỏ hơn hoặc bằng n. Ta nói: thuật toán A có
độ phức tạp thời gian đa thức, nếu có một đa thức p(n) sao cho với mọi n đủ lớn ta có:
fa(n)  p(n), trong đó fa(n) là độ phức tạp tính toán theo thời gian của A.
Bài toán P được gọi là “giải được” nếu tồn tại thuật toán để giải nó, tức là thuật toán
làm việc có kết thúc trên mọi dữ liệu đầu vào của bài toán. Bài toán P được gọi là “giải
được trong thời gian đa thức” nếu có thuật toán giải nó với độ phức tạp thời gian đa thức.
[1]


1.2. TỔNG QUAN VỀ AN TOÀN THÔNG TIN
1.2.1. Tại sao phải đảm bảo an toàn thông tin
Ngày nay, với sự phát triển mạnh mẽ của công nghệ thông tin thì việc ứng dụng các
công nghệ mạng máy tính trở nên vô cùng phổ cập và cần thiết.
Công nghệ mạng máy tính đã mang lại những lợi ích to lớn. Sự xuất hiện mạng

Internet cho phép mọi người có thể truy cập, chia sẻ và khai thác thông tin một cách dễ
dàng và hiệu quả. Việc ứng dụng các mạng cục bộ trong các tổ chức, công ty hay trong
quốc gia là rất phong phú. Các hệ thống chuyển tiền của các ngân hàng hàng ngày có thể
chuyển hàng tỷ đôla qua hệ thống của mình. Các thông tin về kinh tế, chính trị, khoa học
xã hội được trao đổi rộng rãi. Nhất là trong quân sự và kinh tế, bí mật là yếu tố vô cùng
quan trọng, do vậy các thông tin về quân sự và kinh tế được xem như là các thông tin
tuyệt mật và cần được bảo vệ cẩn thận. Đó cũng là một quá trình tiến triển hợp logic, một
yêu cầu thực tế tất yếu đặt ra cần phải được giải quyết. Những thông tin này khi bị lộ có
thể làm thay đổi cục diện của một cuộc chiến tranh hay làm phá sản nhiều công ty và làm
xáo động thị trường.
Internet không chỉ cho phép truy cập vào nhiều nơi trên thế giới mà còn cho phép
nhiều người không mời mà tự ghé thăm máy tính của chúng ta. Internet có những kỹ
thuật tuyệt vời cho phép mọi người truy nhập, khai thác, chia sẻ thông tin. Nhưng nó
cũng là nguy cơ chính dẫn đến thông tin bị hư hỏng hoặc bị phá hủy hoàn toàn, là đối
tượng cho nhiều người tấn công với các mục đích khác nhau. Đôi khi cũng chỉ đơn giản
là thử tài hay đùa bỡn với người khác. Nguy hiểm hơn là các thông tin quan trọng có liên
quan đến an ninh của một quốc gia, bí mật kinh doanh của một tổ chức kinh tế hay các
thông tin về tài chính, lại thường là mục tiêu nhằm vào của các tổ chức tình báo nước
ngoài hoặc của kẻ cắp nói chung. Thử tưởng tượng nếu có kẻ xâm nhập được vào hệ
thống chuyển tiền của các ngân hàng, thì ngân hàng đó sẽ chịu những thiệt hại to lớn như
mất tiền và có thể dẫn tới phá sản. Đó là chưa tính đến mức độ nguy hại, một hậu quả
không thể lường trước được khi hệ thống an ninh quốc gia bị đe dọa.
Để hình dung được mức độ nguy hại mà kẻ tấn công gây ra như thế nào, chúng ta
thử tìm hiểu những con số mà đội cấp cứu máy tính CERT (Computer Emegency
Response Team) đã cung cấp cho chúng ta như sau: số lượng các vụ tấn công trên


Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào
năm 1991, 1400 vào năm 1993, và 2241 vào năm 1994. [1]
Các vụ tấn công này có quy mô khổng lồ, có tới 100.000 máy tính có mặt trên

Internet, của các công ty lớn như AT&T, IBM; của các trường đại học, các cơ quan nhà
nước, các tổ chức quân sự, nhà băng,… bị tấn công. Không chỉ số lượng các cuộc tấn
công tăng lên nhanh chóng, mà các phương pháp tấn công cũng liên tục được hoàn thiện.
Như vậy, khi phải đối mặt với những khó khăn đó chúng ta phải giải quyết ra làm sao?
Chính vì vậy vấn đề an toàn thông tin trở thành yêu cầu chung của mọi hoạt động
kinh tế xã hội và giao tiếp của con người, và là vấn đề cấp bách cần được cọi trọng và
quan tâm đặc biệt.

1.2.2. Một số vấn đề rủi ro mất an toàn thông tin.
1.2.2.1. Xâm phạm tính bí mật.
Các hệ thống TMĐT lưu giữ dữ liệu của người dùng và lấy lại các thông tin về sản
phẩm từ các CSDL kết nối với máy chủ Web. Ngoài các thông tin về sản phẩm, các
CSDL có thể chứa các thông tin có giá trị và mang tính riêng tư.
Khi giao dịch qua internet, thông tin giao dịch được truyền đi trên mạng, những
thông tin này rất có thể bị nghe nén, hay bị dò rỉ, bị đánh cắp trên đường truyền làm lộ
tính bí mật của cuộc giao dịch. Trong một cuộc giao dịch điện tử nói việc đảm bảo tính bí
mật luôn phải đặt lên hàng đầu.Bằng không, doanh nghiệp có thể gặp những nguy cơ như
nghe trộm, giả mạo, mạo danh hay chối cãi nguồn gốc ...
Khi những thông tin nhạy cảm như thông tin cá nhân, thông tin thẻ tín dụng, thông
tin giao dịch… bị lấy cắp trên đường truyền gây ra những thiệt hại không nhỏ với cả hai
bên giao dịch. Một phần mềm đặc biệt, được gọi là trình đánh hơi (sniffer) đưa ra cách
móc nối vào Internet và ghi lại thông tin qua các máy tính đặc biệt (thiết bị định tuyến router) trên đường đi từ nguồn tới đích. Chương trình sniffer gần giống với việc móc nối
vào đường dây điện thoại để nghe thông tin cuộc đàm thoại. Chương trình sniffer có thể
đọc thông báo thư tín điện tử cũng như các thông tin TMĐT.
Tình trạng lấy cắp số thẻ tín dụng là một vấn đề quá rõ ràng, nhưng các thông tin
thỏa thuận hợp đồng, hoặc các trang dữ liệu được phát hành gửi đi cho các chi nhánh của


hãng có thể bị chặn xem một cách dễ dàng. Thông thường các thông tin bí mật của hãng,
các thông tin trong cuộc giao kết hợp đồng còn có giá trị hơn nhiều so với một số thẻ tín

dụng, các thông tin bị lấy cắp của hãng có thể trị giá đến hàng triệu đô la.

1.2.2.2. Xâm phạm tính toàn vẹn
Mối hiểm họa đối với tính toàn vẹn tồn tại khi một thành viên trái phép có thể sửa
đổi các thông tin trong một thông báo. Các giao dịch ngân hàng không được bảo vệ, ví dụ
tổng số tiền gửi được chuyển đi trên internet, là chủ thể của xâm phạm tính toàn vẹn. Tất
nhiên, tính xâm phạm toàn vẹn bao hàm cả xâm phạm tính bí mật. Bởi vì một đối tượng
xâm phạm (sửa đổi thông tin trái phép) có thể đọc và làm sáng tỏ thông tin. Không giống
hiểm họa với tính bí mật. Các hiểm họa tới tính toàn vẹn gây ra sự thay đổi trong các hoạt
động của một cá nhân hoặc một công ty, do nội dung cuộc truyền thông bị thay đổi
Phá hoại điều khiển (Cyber vandalism) là một ví dụ về xâm phạm tính toàn vẹn.
Cyber vandalism phá (xóa bỏ để không đọc được) một trang web đang tồn tại.
Cyber
Vandalism xảy ra bất cứ khi nào, khi các cá nhân thay đổi định kỳ nội dung trang web
của họ.
Tấn công toàn vẹn chính và việc sửa đổi một yêu cầu và gửi nó tới máy chủ của một
công ty thực. Máy chủ thương mại không biết được tấn công này, nó chỉ kiểm tra số thẻ
tin dụng của khách hàng và tiếp tục thực hiện yêu cầu.

1.2.2.3. Xâm phạm tính sẵn sàng
Mục đích của xâm phạm tính sẵn sàng là phá vỡ quá trình xử lý thông thường của
máy tính hoặc chối bỏ toàn bộ quá trình xử lý.
Xâm phạm tính sẵn sàng là tấn công từ chối giao dịch. Khi khách hàng, đối tác thấy
các sản phẩm hàng hóa của doanh nghiệp, nhà cung cấp…thỏa mãn các yêu cầu về sản
phẩm của họ, họ muốn thỏa thuận giao kết hợp đồng với nhà cung cấp. Một kết nối giao
dịch đến nhà cung cấp được thiết lập. Tấn công từ chối giao dịch sẽ ngăn cản làm chậm
thậm chí từ chối sự kết nối giao dịch này. Điều này ảnh hưởng rất lớn đến hoạt động
thương mại của doanh nghiệp, gây tổn thất doanh thu, thậm chí gây mất lòng tin của
khách hàng- yếu tố được chú trọng hàng đầu của doanh nghiệp.



1.2.2.4. Giả mạo nguồn gốc giao dịch
Giao dịch trên mạng là loại hình giao dịch không biên giới, có tính chất toàn cầu.
Các bên giao dịch không gặp nhau, thậm chí không hề quen biết nhau, và đây cũng chính
là cơ hội để cho kẻ xấu lợi dụng để thực hiện mục đích của mình. Vì vậy, việc kiểm tra
tính đúng đắn của thông tin trong giao dịch cần phải được thực hiện thường xuyên để
phòng tránh những rủi ro như thông tin gây nhiễu, giả mạo hay lừa đảo.
Mặc dù đã dùng những biện pháp kỹ thuật để bảo mật thông tin trong giao dịch,
song khi nhận được các thông tin người dùng vẫn phải kiểm tra tính đúng đắn, xác thực
của thông tin.

1.2.2.5. Chối bỏ giao dịch
Chối bỏ giao dịch được được định nghĩa là sự không thừa nhận của một trong các
thực thể tham gia truyền thông, anh ta không tham gia tất cả hoặc một phần cuộc truyền
thông … Khác với giao dịch thông thường khi đối tác hai bên biết mặt nhau, thì trong
giao dịch điện tử được thực hiện trong môi trường Internet … Các bên tham gia giao dịch
điện tử ở cách xa nhau về địa lý, thậm chí họ có thể không biết mặt nhau thì vấn đề chối
bỏ giao dịch có thể xảy ra rất cao và luật pháp cho chúng chưa nhiều, gây ra những thiệt
hại to lớn cho bên tham giao dịch.

1.2.2.6. Các hiểm họa đối với hệ thống giao dịch
1) Hiểm họa với máy chủ
Máy chủ là liên kết thứ 3 trong bộ ba máy khách - Internet - máy chủ (Client Internet-Server), bao gồm đường dẫn TMĐT giữa một người dùng và một máy chủ
thương mại. Máy chủ có những điểm yếu dễ bị tấn công và một đối tượng nào đó có thể
lợi dụng những điểm yếu này để phá huỷ, hoặc thu được các thông tin một cách trái phép.
Hiểm hoạ đối với máy chủ bao gồm máy chủ Web, máy chủ CSDL và các phần mềm của
chúng, các chương trình phụ trợ bất kỳ có chứa dữ liệu, các chương trình tiện ích được
cài đặt trong máy chủ.
Hiểm họa với máy chủ CSDL:



Các hệ thống TMĐT lưu giữ dữ liệu của người dùng và lấy lại các thông tin về sản
phẩm từ các CSDL kết nối với máy chủ Web. Ngoài các thông tin về sản phẩm, các
CSDL có thể chứa các thông tin có giá trị và mang tính riêng tư. Tính bí mật luôn sẵn
sàng trong các CSDL, thông qua các đặc quyền được thiết lập trong CSDL.
Tuy nhiên, một số CSDL lưu giữ mật khẩu/tên người dùng một cách không an toàn,
hoặc dựa vào máy chủ Web để có an toàn. Khi an toàn bị vi phạm, CSDL bị dùng bất hợp
pháp, làm lộ hoặc tải về các thông tin mang tính cá nhân và quý giá. Các chương trình
con ngựa thành Tơroa nằm ẩn trong hệ thống CSDL cũng có thể làm lộ các thông tin
bằng việc giáng cấp các thông tin này (có nghĩa là chuyển các thông tin nhạy cảm sang
một vùng ít được bảo vệ của CSDL, do đó bất cứ ai cũng có thể xem xét các thông tin
này). Khi các thông tin bị giáng cấp, tất cả những người dùng, không ngoại trừ những đối
tượng xâm nhập trái phép cũng có thể truy nhập.
Hiểm họa với máy chủ web:
Các máy chủ Web được thiết lập chạy ở các mức đặc quyền khác nhau. Mức thẩm
quyền cao nhất có độ mềm dẻo cao nhất, cho phép các chương trình thực hiện tất cả các
chỉ lệnh của máy và không giới hạn truy nhập vào tất cả các phần của hệ thống, không
ngoại trừ các vùng nhạy cảm và phải có thẩm quyền. Việc thiết lập một máy chủ Web
chạy ở mức thẩm quyền cao có thể gây hiểm hoạ về an toàn đối với máy chủ Web. Trong
hầu hết thời gian, máy chủ Web cung cấp các dịch vụ thông thường và thực hiện các
nhiệm vụ với một mức thẩm quyền rất thấp. Nếu một máy chủ Web chạy ở mức thẩm
quyền cao, một đối tượng xấu có thể lợi dụng một máy chủ Web để thực hiện các lệnh
trong chế độ thẩm quyền.
Một trong các file nhạy cảm nhất trên máy chủ Web chứa mật khẩu và tên người
dùng của máy chủ Web. Nếu file này bị tổn thương, bất kỳ ai cũng có thể thâm nhập vào
các vùng thẩm quyền, bằng cách giả mạo một người nào đó. Do đó, có thể giả danh để
lấy được các mật khẩu và tên người dùng nên các thông tin liên quan đến người dùng
không còn bí mật nữa.

2) Hiểm họa với máy khách

Cho đến khi được biểu diễn trên web, các trang web chủ yếu được biểu diễn dưới
trạng thái tĩnh. Thông qua ngôn ngữ biểu diễn siêu văn bản HTML, các trang tĩnh cũng ở
dạng động một phần chứ không đơn thuần chỉ hiển thị nội dung và cung cấp liên kết các
trang web với thông tin bổ sung. Việc dùng những nội dung động (active content) mang


lại sự sống động cho web tĩnh nhưng đã gây ra một số rủi ro cho trong TMĐT. Gây ra
những hiểm họa với máy khách. Active content được dùng trong TMĐT để đặt các khoản
mục mà chúng ta muốn mua trong giỏ mua hàng và tính toán tổng số hóa đơn, bao gồm
thuế bán hàng, các chi phí vận chuyển và chi phí xử lý.

Các nhà phát triển nắm lấy active content vì nó tận dụng tối đa chức năng của
HTML và bổ sung thêm sự sống cho các trang web, làm cho trang web có tương tác với
người dùng cao hơn. Nó cũng giảm bớt gánh nặng cho các máy chủ khi phải xử lý nhiều
dữ liệu. Gánh nặng này được chuyển bớt sang cho máy khách nhàn dỗi của người dùng.
Active content cho các trang Web khả năng thực hiện các hoạt động trong suốt hoàn
toàn đối với bất kỳ người nào xem duyệt trang Web chứa chúng. Bất kỳ ai cố tình gây hại
cho một máy khách đều có thể nhúng một active content gây hại vào các trang Web. Kỹ
thuật lan truyền này được gọi là con ngựa thành Tơroa.
Các cookie được dùng để nhớ các thông tin yêu cầu của khách hàng, hoặc tên người
dùng và mật khẩu. Nhiều active content gây hại có thể lan truyền thông qua các cookie,
chúng có thể phát hiện được nội dung của các file phía máy khách, hoặc thậm chí có thể
huỷ bỏ các file được lưu giữ trong các máy khách. Trên máy tính cá nhân có lưu một số
lượng lớn các cookie giống như trên Internet và một số các cookie có thể chứa các thông
tin nhạy cảm và mang tính chất cá nhân.
Như vậy, các hiểm hoạ đối với máy khách khi khai thác thông tin qua Internet là lớn
và rất khó nhận diện.

3) Các hiểm họa đối với kênh truyền thông
Internet đóng vai trò kết nối một khách hàng với một tài nguyên TMĐT (máy tính

dịch vụ thương mại). Chúng ta đã xem xét các hiểm hoạ đối với các máy khách, máy chủ,
các tài nguyên tiếp theo chính là kênh truyền thông, các kênh này được dùng để kết nối
các máy khách và máy chủ.
Các thông báo trên Internet được gửi đi theo một đường dẫn ngẫu nhiên, từ nút
nguồn tới nút đích. Các thông báo đi qua một số máy tính trung gian trên mạng trước khi
tới đích cuối cùng và mỗi lần đi chúng có thể đi theo những tuyến đường khác nhau.
Không có gì đảm bảo rằng tất cả các máy tính mà thông báo đi qua trên Internet đều an


toàn. Những đối tượng trung gian có thể đọc các thông báo, sửa đổi, hoặc thậm chí có thể
loại bỏ hoàn toàn các thông báo của chúng ta ra khỏi Internet. Do vậy, các thông báo
được gửi đi trên mạng là đối tượng có khả năng bị xâm phạm đến tính bí mật, tính toàn
vẹn và tính sẵn sàng. [3]

1.2.3. Chiến lƣợc đảm bảo an toàn thông tin
Giới hạn quyền: Đây là nguyên tắc cơ bản trong an toàn nói chung. Đối với mỗi
người dùng hệ thống chỉ được truy nhập vào một số tài nguyên hệ thống nhất định, đủ để
dùng cho công việc của mình. Phòng thủ theo chiều sâu: phân ra thành nhiểu lớp bảo vệ.
Dưới đây là hình vẽ tượng trưng cho lớp bảo vệ đó.
Thông tin

Mã hóa
dữ liệu

Password
đăng
nhập

Quyền
truy nhập


Bảo vệ bằng
phương pháp
vật lí

Hình 1.1: Các lớp bảo vệ thông tin
Thông tin nằm ở tầng trong cùng, trên nó là sự giới hạn quyền truy nhập, tiếp theo
là giới hạn đăng nhập và mật khẩu, tiếp theo là mã hóa thông tin, tiếp theo là bảo vệ vât
lý (khóa cửa phòng máy tính, khóa bàn phím, ổ ghi…), ngoài cùng là tường lửa.
Các phƣơng pháp bảo đảm an toàn thông tin:
1) Kiểm soát truy nhập thông tin. Bao gồm:
+ Kiểm soát, ngăn chặn các thông tin vào ra hệ thống máy tính
+ Kiểm soát, cấp quyền sử dụng các thông tin trong hệ thống máy tính
+ Kiểm soát, tìm diệt Vius vào ra hệ thống máy tính
Công cụ, kỹ thuật sử dụng để kiểm soát truy nhập là: Mật khẩu, tường lửa, mạng riêng
ảo, nhận dạng, xác thực thực thể, cấp quyền hạn.
2) Bảo mật thông tin.
Nhằm đảm bảo thông tin không bị lộ đối với người không được phép.
Công cụ, kỹ thuật sử dụng để bảo mật thông tin là: Mã hóa ( Thay đổi hình dạng dữ liệu
gốc, người khác khó nhận ra), giấu tin (cất giấu dữ liệu này trong môi trường dữ liệu
khác).