CHƯƠNG 4
AN NINH THƯƠNG MẠI VÀ CƠ SỞ
DỮ LIỆU THƯƠNG MẠI ĐIỆN TỬ
9 April 2016


Nội dung chi tiết







Vấn đề an ninh cho các hệ thống thương mại điện tử
Những nguy cơ đe doạ an ninh thương mại điện tử
Một số giải pháp công nghệ bảo đảm an ninh trong
thương mại điện tử
Cơ sở dữ liệu
Cơ sở dữ liệu khách hàng

2


Thương mại truyền thống


Rủi ro


Khi khách hàng mua hàng







Không nhận được hàng hóa mình đã mua và thanh toán
Bị kẻ xấu lấy cắp tiền trong lúc mua sắm
…

Người bán hàng





Không nhận được tiền thanh toán
Bị lấy trộm hàng hóa
Thanh toán bằng tiền giả
…

3


Thương mại điện tử


Thương mại điện tử cho phép
Thực hiện các giao dịch
 Thanh toán

 Marketing
 Gia tăng giá trị các sản phẩm hàng hóa
 Truyền cơ sở dữ liệu liên quan tới thẻ tín dụng, các
phương tiện thanh toán




Cần phải đảm bảo an ninh cho các thông tin trên

4


Thương mại điện tử


Người mua
Website có do một công ty hợp pháp quản lý và sở hữu?
 Website có chứa các đoạn mã nguy hiểm, nội dung không
lành mạnh?
 Website có cung cấp thông tin người sử dụng cho người
khác?




Công ty
Người sử dụng có xâm nhập vào trang web để thay đổi
các trang và nội dung bên trong?
 Người sử dụng có phá hoại website để những người khác

không thể sử dụng được?


5


Thương mại điện tử


Người sử dụng và công ty
Đường truyền có bị một bên thứ ba theo dõi hay không?
 Thông tin lưu chuyển giữa hai bên có bị thay đổi hay
không?


6


Vấn đề an ninh cho các hệ thống EC


Làm thế nào để tìm ra được một trạng thái cân bằng
hợp lý giữa
An ninh
 Tiện dụng






Hệ thống càng an toàn  xử lý, thực thi thao tác càng
phức tạp.
Ngược lại  có thể không đảm bảo an toàn

7


Vấn đề an ninh cho các hệ thống EC


Các yếu tố làm tăng số lượng tấn công trên mạng
Hệ thống an ninh luôn tồn tại các điểm yếu
 Vấn đề an ninh và việc dễ dàng sử dụng là hai mặt đối lập
nhau




VD: Mật khẩu

Vấn đề an ninh thường chỉ xuất hiện sau khi có sức ép từ
thị trường. Các nhà cung cấp phần mềm TMĐT thường ít
chú trọng tới vấn đề an ninh.
 Vấn đề an ninh của trang thương mại điện tử phụ thuộc
vào an ninh của internet, số lượng các trang web của các
trường, thư viện, cá nhân,…


8



Nội dung chi tiết






Vấn đề an ninh cho các hệ thống thương mại điện tử
Những nguy cơ đe doạ an ninh thương mại điện
tử
Một số giải pháp công nghệ bảo đảm an ninh trong
thương mại điện tử
Cơ sở dữ liệu
Cơ sở dữ liệu khách hàng

9


Nguy cơ đe doạ an ninh thương mại điện tử


Các đoạn mã nguy hiểm
Các loại virus
 worm




Tin tặc và các chương trình phá hoại



Tin tặc: thuật ngữ chỉ những người truy cập trái phép
vào website hay hệ thống máy tính

10


Nguy cơ đe doạ an ninh thương mại điện tử


Gian lận thẻ tín dụng
Mục tiêu của tin tặc khi tấn công các website
 Lấy cắp các tệp dữ liệu thẻ tín dụng của khách hàng.
 Lấy cắp các thông tin cá nhân của khách hàng: tên,
địa chỉ, điện thoại để mạo danh khách hàng
 Khách hàng lo ngại mất thông tin liên quan đến thẻ
hoặc thông tin về giao dịch sử dụng thẻ.
 Người bán lo ngại sự phủ định của các đơn hàng quốc
tế


11


Nguy cơ đe doạ an ninh thương mại điện tử


Sự lừa đảo
Sử dụng địa chỉ thư điện tử giả, mạo danh người khác.

 Thay đổi, làm chệch hướng các liên kết web tới một địa
chỉ khác với địa chỉ thực.




Sự khước từ dịch vụ




Quá tải về khả năng cung cấp dịch vụ của một website

Kẻ trộm trên mạng
Chương trình nghe trộm, giám sát sự di chuyển thông
tin trên mạng
 Xem lén thư điện tử: sử dụng đoạn mã ẩn bí mật


12


Nội dung chi tiết








Vấn đề an ninh cho các hệ thống thương mại điện tử
Những nguy cơ đe doạ an ninh thương mại điện tử
Một số giải pháp công nghệ bảo đảm an ninh
trong thương mại điện tử
Cơ sở dữ liệu
Cơ sở dữ liệu khách hàng

13


Một số giải pháp công nghệ bảo đảm an ninh
trong thương mại điện tử






Kỹ thuật mã hóa thông tin
Giao thức thỏa thuận mã khóa
Chữ ký điện tử
Chứng thực điện tử
An ninh mạng và bức tường lửa

14


Kỹ thuật mã hóa thông tin





Mã hóa thông tin là quá trình chuyển văn bản, tài liệu
gốc thành văn bản dưới dạng mật mã để ngoài người
gửi và người nhận, bất cứ ai đều không thể đọc được.
Mục đích mã hóa:




Đảm bảo an ninh thông tin khi truyền phát

Mã hóa có khả năng đảm bảo bốn trong sáu khía
cạnh của an ninh thương mại điện tử
Tính toàn vẹn của thông điệp
 Chống phủ định
 Đảm bảo tính xác thực
 Đảm bảo tính bí mật của thông tin


15


Kỹ thuật mã hóa thông tin



Mã hóa bí mật
Mã hóa công cộng


16


Mã hóa bí mật



Tên gọi khác: Mã hóa “khóa bí mật”, mã hóa đối xứng,
mã hóa khóa riêng
Là mã khóa chỉ sử dụng một khóa cho cả quá trình
mã hóa (được thực hiện bởi người gửi) và quá trình
giải mã (được thực hiện bởi người nhận).
Mật mã gửi

Thông
điệp
ban đầu

Thông
điệp đã
đổi mã

Mật mã nhận

Internet

Thông
điệp đã
đổi mã


Người gửi

Thông
điệp
ban đầu
Người nhận

17


Mã hóa bí mật







Mật mã gửi = mật mã nhận
Cần gửi mật mã từ người gửi đến người nhận  tính
toàn vẹn và bí mật của thông điệp có thể bị vi phạm
nếu mật mã bị lộ
Không thể xác định được bên nào đã tạo thông điệp.
Để mỗi thông điệp gửi cho một người nhận được an
toàn thì phải tạo ra các mật mã riêng cho từng người.
Thuật toán mã hóa bí mật được sử dụng phổ biến:
DES (Data Encryption Standard), 1950

18



Mã hóa công cộng


Sử dụng hai mã khóa trong quá trình mã hóa
Một mã dùng để mã hóa
 Một mã dùng để giải mã




Hai mã có quan hệ với nhau về mặt thuật toán đảm
bảo dữ liệu mã hóa bằng khóa này sẽ được giải mã
bằng khóa kia
Mật mã gửi

Thông
điệp
ban đầu

Thông
điệp đã
đổi mã

Mật mã nhận

Internet

Thông
điệp đã

đổi mã

Người gửi

Thông
điệp
ban đầu
Người nhận

Mật mã gửi  Mật mã nhận
19


Mã hóa công cộng




Thuật toán sử dụng phổ biến trong mã khóa công
cộng: RSA (chữ cái đầu tiên của ba nhà phát minh
Ron Rivest, Adi Shamir và Leonard Adleman), 1977
Hạn chế:


Không hiệu quả khi gửi số lượng lớn thông tin, dữ liệu

20


Giao thức thỏa thuận mã khóa






Là quá trình các bên tham gia giao dịch trao đổi mã
khóa.
Giao thức đặt ra quy tắc cho thông tin: loại thuật toán
nào sẽ được sử dụng trong liên lạc
Ví dụ: Phong bì số hóa
Thông điệp được mã hóa bằng mã khóa bí mật
 Mã khóa bí mật được mã hóa bằng mã khóa công cộng
 Gửi toàn bộ thông điệp và mã khóa bí mật đã được mã
hóa.


21


Chữ ký điện tử





Phương pháp mã khóa công cộng sử dụng phổ biến
trong TMĐT.
Chữ ký điện tử là bất cứ âm thanh điện tử, ký hiệu
hay quá trình điện tử gắn với hoặc liên quan một cách
logic với một văn bản điện tử khác theo một nguyên

tắc nhất định và được người ký (hay có ý định ký) văn
bản đó thực thi hoặc áp dụng.
Là bằng chứng hợp pháp về trách nhiệm của người
ký.

22


Chữ ký điện tử


Thông điệp điện tử được coi là đáp ứng yêu cầu
chữ ký điện tử nếu
Có sử dụng một phương pháp nào đó để xác minh
được người ấy và chứng tỏ được sự phê chuẩn của
người ấy đối với thông tin hàm chứa trong thông điệp
đó.
 Phương pháp ấy đủ tin cậy theo nghĩa là thích hợp cho
mục đích mà theo đó thông điệp dữ liệu ấy đã được tạo
ra và truyền đi, tính đến tất cả các tình huống, bao gồm
cả các thỏa thuận bất kỳ có liên quan.


23


Cách thức hoạt động của chữ ký điện tử


Người sử dụng kết hợp mã khóa bí mật của mình

với tài liệu và thực hiện tính toán ghép để tạo ra
một số duy nhất gọi là chữ ký điện tử.

24


Cách thức hoạt động của chữ ký điện tử


Ví dụ
Khi truyền một đơn hàng với mã số thẻ tín dụng, kết
quả là tạo ra một “vân tay” duy nhất cho văn bản đó.
 “Vân tay” được đính kèm thông điệp gốc và tiếp tục
được mã hóa bằng mã khóa bí mật của người gửi.
 Nếu người sử dụng giao dịch với ngân hàng thì sẽ gửi
kết quả cho ngân hàng, ngân hàng sẽ giải mã bằng mã
khóa công cộng và kiểm tra thông điệp gửi cùng có bị
người khác giả mạo, thay đổi không.
 Sử dụng thông điệp ban đầu, chữ ký điện tử và mã hóa
công cộng của người gửi để kiểm tra.


25