Chương 4
An ninh thương mại và cơ sở dữ liệu thương mại điện tử
Nội dung chi tiết
Vấn đề an ninh cho các hệ thống thương mại điện tử
Những nguy cơ đe doạ an ninh thương mại điện tử
Một số giải pháp công nghệ bảo đảm an ninh trong thương mại
điện tử
Cơ sở dữ liệu
Cơ sở dữ liệu khách hàng
2012
2
Thương mại truyền thống
Rủi ro
◦ Khi khách hàng mua hàng
Không nhận được hàng hóa mình đã mua và thanh toán
Bị kẻ xấu lấy cắp tiền trong lúc mua sắm
…
◦ Người bán hàng
Không nhận được tiền thanh toán
Bị lấy trộm hàng hóa
Thanh toán bằng tiền giả
…
2012
3
Thương mại điện tử
Thương mại điện tử cho phép
◦ Thực hiện các giao dịch
◦ Thanh toán
◦ Marketing
◦ Gia tăng giá trị các sản phẩm hàng hóa
◦ Truyền cơ sở dữ liệu liên quan tới thẻ tín dụng, các phương tiện thanh toán
Cần phải đảm bảo an ninh cho các thông tin trên
2012
4
Thương mại điện tử
Người mua
◦ Website có do một công ty hợp pháp quản lý và sở hữu?
◦ Website có chứa các đoạn mã nguy hiểm, nội dung không lành mạnh?
◦ Website có cung cấp thông tin người sử dụng cho người khác?
Công ty
◦ Người sử dụng có xâm nhập vào trang web để thay đổi các trang và nội
dung bên trong?
◦ Người sử dụng có phá hoại website để những người khác không thể sử
dụng được?
2012
5
Thương mại điện tử
Người sử dụng và công ty
◦ Đường truyền có bị một bên thứ ba theo dõi hay không?
◦ Thông tin lưu chuyển giữa hai bên có bị thay đổi hay không?
2012
6
Vấn đề an ninh cho các hệ thống EC
Làm thế nào để tìm ra được một trạng thái cân bằng hợp lý giữa
◦ An ninh
◦ Tiện dụng
Hệ thống càng an toàn → xử lý, thực thi thao tác càng phức tạp.
Ngược lại → có thể không đảm bảo an toàn
2012
7
Vấn đề an ninh cho các hệ thống EC
Các yếu tố làm tăng số lượng tấn công trên mạng
◦ Hệ thống an ninh luôn tồn tại các điểm yếu
◦ Vấn đề an ninh và việc dễ dàng sử dụng là hai mặt đối lập nhau
VD: Mật khẩu
◦ Vấn đề an ninh thường chỉ xuất hiện sau khi có sức ép từ thị trường. Các
nhà cung cấp phần mềm TMĐT thường ít chú trọng tới vấn đề an ninh.
◦ Vấn đề an ninh của trang thương mại điện tử phụ thuộc vào an ninh của
internet, số lượng các trang web của các trường, thư viện, cá nhân,…
2012
8
Nội dung chi tiết
Vấn đề an ninh cho các hệ thống thương mại điện tử
Những nguy cơ đe doạ an ninh thương mại điện tử
Một số giải pháp công nghệ bảo đảm an ninh trong thương mại
điện tử
Cơ sở dữ liệu
Cơ sở dữ liệu khách hàng
2012
9
Nguy cơ đe doạ an ninh thương mại điện tử
Các đoạn mã nguy hiểm
◦ Các loại virus
◦ worm
Tin tặc và các chương trình phá hoại
◦ Tin tặc: thuật ngữ chỉ những người truy cập trái phép vào website hay hệ thống máy
tính
2012
10
Nguy cơ đe doạ an ninh thương mại điện tử
Gian lận thẻ tín dụng
◦ Mục tiêu của tin tặc khi tấn công các website
Lấy cắp các tệp dữ liệu thẻ tín dụng của khách hàng.
Lấy cắp các thông tin cá nhân của khách hàng: tên, địa chỉ, điện thoại để mạo
danh khách hàng
→ Khách hàng lo ngại mất thông tin liên quan đến thẻ hoặc thông tin về giao dịch sử
dụng thẻ.
→ Người bán lo ngại sự phủ định của các đơn hàng quốc tế
2012
11
Nguy cơ đe doạ an ninh thương mại điện tử
Sự lừa đảo
◦ Sử dụng địa chỉ thư điện tử giả, mạo danh người khác.
◦ Thay đổi, làm chệch hướng các liên kết web tới một địa chỉ khác với địa chỉ thực.
Sự khước từ dịch vụ
◦ Quá tải về khả năng cung cấp dịch vụ của một website
Kẻ trộm trên mạng
◦ Chương trình nghe trộm, giám sát sự di chuyển thông tin trên mạng
◦ Xem lén thư điện tử: sử dụng đoạn mã ẩn bí mật
2012
12
Nội dung chi tiết
Vấn đề an ninh cho các hệ thống thương mại điện tử
Những nguy cơ đe doạ an ninh thương mại điện tử
Một số giải pháp công nghệ bảo đảm an ninh trong thương
mại điện tử
Cơ sở dữ liệu
Cơ sở dữ liệu khách hàng
2012
13
Một số giải pháp công nghệ bảo đảm an ninh trong thương mại điện
tử
Kỹ thuật mã hóa thông tin
Giao thức thỏa thuận mã khóa
Chữ ký điện tử
Chứng thực điện tử
An ninh mạng và bức tường lửa
2012
14
Kỹ thuật mã hóa thông tin
Mã hóa thông tin là quá trình chuyển văn bản, tài liệu gốc thành
văn bản dưới dạng mật mã để ngoài người gửi và người nhận, bất
cứ ai đều không thể đọc được.
Mục đích mã hóa:
◦ Đảm bảo an ninh thông tin khi truyền phát
Mã hóa có khả năng đảm bảo bốn trong sáu khía cạnh của an ninh
thương mại điện tử
◦ Tính toàn vẹn của thông điệp
◦ Chống phủ định
◦ Đảm bảo tính xác thực
◦ Đảm bảo tính bí mật của thông tin
2012
15
Kỹ thuật mã hóa thông tin
Mã hóa bí mật
Mã hóa công cộng
2012
16
Mã hóa bí mật
Tên gọi khác: Mã hóa “khóa bí mật”, mã hóa đối xứng, mã hóa
khóa riêng
Là mã khóa chỉ sử dụng một khóa cho cả quá trình mã hóa (được
thực hiện bởi người gửi) và quá trình giải mã (được thực hiện bởi
người nhận).
Mật
mã
gửi
Mật
Mật mã
mã gửi
gửi
Mật
mã
gửi
Mật
Mật mã
mã nhận
nhận
Thông điệp
Thông điệp
ban đầu
đã đổi mã
Internet
Thông điệp
Thông điệp
đã đổi mã
ban đầu
Người
Người gửi
gửi
Người
Người nhận
nhận
2012
17
Mã hóa bí mật
Mật mã gửi = mật mã nhận
Cần gửi mật mã từ người gửi đến người nhận → tính toàn vẹn và bí
mật của thông điệp có thể bị vi phạm nếu mật mã bị lộ
Không thể xác định được bên nào đã tạo thông điệp.
Để mỗi thông điệp gửi cho một người nhận được an toàn thì phải
tạo ra các mật mã riêng cho từng người.
Thuật toán mã hóa bí mật được sử dụng phổ biến: DES (Data
Encryption Standard), 1950
2012
18
Mã hóa công cộng
Sử dụng hai mã khóa trong quá trình mã hóa
◦ Một mã dùng để mã hóa
◦ Một mã dùng để giải mã
Hai mã có quan hệ với nhau về mặt thuật toán đảm bảo dữ liệu mã
hóa bằng khóa này sẽ được giải mã bằng khóa kia
Mật
Mật mã
mã gửi
gửi
Mật
Mật mã
mã nhận
nhận
Thông điệp
Thông điệp
ban đầu
đã đổi mã
Internet
Thông điệp
Thông điệp
đã đổi mã
ban đầu
Người
Người gửi
gửi
Người
Người nhận
nhận
Mật mã gửi ≠ Mật mã nhận
2012
19
Mã hóa công cộng
Thuật toán sử dụng phổ biến trong mã khóa công cộng: RSA (chữ
cái đầu tiên của ba nhà phát minh Ron Rivest, Adi Shamir và
Leonard Adleman), 1977
Hạn chế:
◦ Không hiệu quả khi gửi số lượng lớn thông tin, dữ liệu
2012
20
Giao thức thỏa thuận mã khóa
Là quá trình các bên tham gia giao dịch trao đổi mã khóa.
Giao thức đặt ra quy tắc cho thông tin: loại thuật toán nào sẽ được
sử dụng trong liên lạc
Ví dụ: Phong bì số hóa
◦ Thông điệp được mã hóa bằng mã khóa bí mật
◦ Mã khóa bí mật được mã hóa bằng mã khóa công cộng
◦ Gửi toàn bộ thông điệp và mã khóa bí mật đã được mã hóa.
2012
21
Chữ ký điện tử
Phương pháp mã khóa công cộng sử dụng phổ biến trong TMĐT.
Chữ ký điện tử là bất cứ âm thanh điện tử, ký hiệu hay quá trình
điện tử gắn với hoặc liên quan một cách logic với một văn bản điện
tử khác theo một nguyên tắc nhất định và được người ký (hay có ý
định ký) văn bản đó thực thi hoặc áp dụng.
Là bằng chứng hợp pháp về trách nhiệm của người ký.
2012
22
Chữ ký điện tử
Thông điệp điện tử được coi là đáp ứng yêu cầu chữ ký điện tử nếu
◦ Có sử dụng một phương pháp nào đó để xác minh được người ấy và chứng tỏ được sự
phê chuẩn của người ấy đối với thông tin hàm chứa trong thông điệp đó.
◦ Phương pháp ấy đủ tin cậy theo nghĩa là thích hợp cho mục đích mà theo đó thông
điệp dữ liệu ấy đã được tạo ra và truyền đi, tính đến tất cả các tình huống, bao gồm
cả các thỏa thuận bất kỳ có liên quan.
2012
23
Cách thức hoạt động của chữ ký điện tử
Người sử dụng kết hợp mã khóa bí mật của mình với tài liệu và thực hiện tính
toán ghép để tạo ra một số duy nhất gọi là chữ ký điện tử.
2012
24
Cách thức hoạt động của chữ ký điện tử
Ví dụ
◦ Khi truyền một đơn hàng với mã số thẻ tín dụng, kết quả là tạo ra một “vân tay” duy
nhất cho văn bản đó.
◦ “Vân tay” được đính kèm thông điệp gốc và tiếp tục được mã hóa bằng mã khóa bí
mật của người gửi.
◦ Nếu người sử dụng giao dịch với ngân hàng thì sẽ gửi kết quả cho ngân hàng, ngân
hàng sẽ giải mã bằng mã khóa công cộng và kiểm tra thông điệp gửi cùng có bị người
khác giả mạo, thay đổi không.
◦ Sử dụng thông điệp ban đầu, chữ ký điện tử và mã hóa công cộng của người gửi để
kiểm tra.
2012
25