Tải bản đầy đủ (.docx) (66 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

nghiên cứu giải pháp đảm bảo tính riêng tư của dữ liệu trong thương mại điện tử

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.71 MB, 66 trang )

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ

ĐỒ ÁN TỐT NGHIỆP

NGHIÊN CỨU GIẢI PHÁP
ĐẢM BẢO TÍNH RIÊNG TƯ CỦA DỮ LIỆU
TRONG THƯƠNG MẠI ĐIỆN TỬ

Ngành: An tồn thơng tin
Mã số: 7.48.02.02

Sinh viên thực hiện:
Hà Tùng Lâm
Người hướng dẫn:
ThS. Vũ Duy Hiến
Học viện Ngân Hàng

Hà Nội, 2020


BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ

ĐỒ ÁN TỐT NGHIỆP

NGHIÊN CỨU GIẢI PHÁP
ĐẢM BẢO TÍNH RIÊNG TƯ CỦA DỮ LIỆU
TRONG THƯƠNG MẠI ĐIỆN TỬ

Ngành: An tồn thơng tin


Mã số: 7.48.02.02

Sinh viên thực hiện:
Hà Tùng Lâm
Người hướng dẫn:
ThS. Vũ Duy Hiến
Học viện Ngân Hàng

Hà Nội, 2020


MỤC LỤC

3


DANH MỤC KÝ HIỆU VÀ VIẾT TẮT
ATTT
CRM
ERP
EU
FGAC
HTML
HTTP

An tồn thơng tin
Customer Relationship Management
Enterprise Resource Planning
European Union
Fine-grained Access Control

HyperText Markup Language
HyperText Transfer Protocol

HTTPS

HyperText Transfer Protocol Secure

LHQ
OECD

Liên Hợp Quốc
Organization for Economic Cooperation and

RLS
SCM
SSL
TCP/IP
TLS
TMĐT
VPD
WTO
WWW

Development
Row Level Security
Supply Chain Management
Secure Socket Layer
Tranmission Control Protocol/Internet Protocol
Transport Layer Security
Thương mại điện tử

Virtual Private Database
World Trade Organization
World Wide Web

4


DANH MỤC HÌNH ẢNH

LỜI CẢM ƠN
Trong thời gian làm đồ án tốt nghiệp, em đã nhận được nhiều sự giúp đỡ,
đóng góp ý kiến và chỉ bảo của thầy cơ, bạn bè.
Em xin gửi lời cảm ơn chân thành đến thầy giáo, ThS. Vũ Duy Hiến, giảng
viên Học viện Ngân hàng đã tận tình hướng dẫn, chỉ bảo trong suốt quá trình làm
Đồ án.
Em xin gửi lời cảm ơn đến các thầy cô trong Học viện Kỹ thuật Mật mã đã
giảng dạy, truyền đạt những kiến thức bổ ích trong quãng thời gian học tập tại Học
viện.
Em xin gửi lời cảm ơn tới Công ty Cổ phần Tư vấn Đầu tư DCV đã tạo điều
kiện thuận lợi về kiến thức và cơ sở vật chất trong quá trình thực tập và nghiên
cứu.
Em xin chân thành cảm ơn!
SINH VIÊN THỰC HIỆN ĐỒ ÁN
Hà Tùng Lâm

5


LỜI NĨI ĐẦU
Với sự phát triển mang tính tồn cầu của mạng Internet và TMĐT cho tới

ngày nay, con người có thể mua bán hàng hố và dịch vụ thơng qua mạng máy tính
tồn cầu một cách dễ dàng trong mọi lĩnh vực thương mại rộng lớn. Tuy nhiên đối
với các giao dịch mạng tính nhạy cảm này thì cần phải có các cơ chế đảm bảo an
tồn và bảo mật. Đặc biệt từ năm 2020 tới nay, cả thế giới phải đối mặt với đại dịch
Covid-19, nó càng làm cho các hệ thống bán hàng và các dịch vụ cung cấp trực
tuyến, giao dịch điện tử có lượng người dùng tăng trưởng đột biến.
Từ khi ra đời, vấn đề bảo mật và an tồn thơng tin trong TMĐT ln là đề
tài cấp thiết, những người có chun mơn ln phải tập trung nghiên cứu rất nhiều
để tìm ra thêm các giải pháp đảm bảo an toàn cho các hệ thống thơng tin trên
mạng. Tuy nhiên khơng có hệ thống thơng tin nào là đảm bảo 100% an tồn, chỉ có
lỗ hổng về bảo mật hay an tồn mà chưa được phát hiện ra.
Vì vậy, xuất phát từ khả năng ứng dụng trong thực tế và những ứng dụng đã
có từ các kết quả đã nghiên cứu trước đây về bảo mật và an toàn, đề tài “Nghiên
cứu giải pháp đảm bảo tính riêng tư của dữ liệu trong thương mại điện tử” sẽ đi
vào tìm hiểu các kỹ thuật và phương pháp bảo mật, an tồn thơng tin, đảm bảo tính
riêng tư cho dữ liệu.
Mục tiêu đặt ra khi thực hiện đồ án:
1. Tìm hiểu về thương mại điện tử, lợi ích, trở ngại nó mang lại cho xã
hội.
2. Dựa trên các kết quả trước đó cùng kiến thức bản thân để nêu lên các
nguy cơ cùng các giải pháp ngăn chặn nguy cơ đang xảy ra với tính
riêng tư của dữ liệu.
3. Áp dụng kiến thức đã tìm hiểu để triển khai thực nghiệm, đánh giá
tính hiệu quả của giải pháp đã triển khai.
Bố cục đề tài gồm 3 chương:
Chương 1: Thương mại điện tử và vấn đề an toàn riêng tư của dữ liệu.

6



Trong chương này điểm qua về khái niệm, quá trình hình thành phát triển,
tính chất, đặc trưng của thương mại điện tử, nêu lên các vấn đề đã và đang xảy ra
trong việc đảm bảo an toàn riêng tư dữ liệu.
Chương 2: Giải pháp đảm bảo tính riêng tư của dữ liệu.
Trong chương này đề cập về một số phương pháp đảm bảo an toàn dữ liệu
đã và đang được phát triển ứng dụng trong môi trường mạng hiện nay.
Chương 3: Triển khai giải pháp và đánh giá .
Trong chương này đề cập đến ứng dụng của Data Masking và VPD trong
việc đảm bảo dữ liệu được an toàn.
Trong thời gian thực hiện đồ án không thể tránh khỏi sai sót, hạn chế. Rất
mong được sự góp ý của các thầy cô, cũng như các bạn sinh viên để đồ án này
được hoàn thiện hơn.
SINH VIÊN THỰC HIỆN ĐỒ ÁN
Hà Tùng Lâm

7


CHƯƠNG 1. THƯƠNG MẠI ĐIỆN TỬ VÀ VẤN ĐỀ RIÊNG TƯ
CỦA DỮ LIỆU
1.1 Thương mại điện tử
1.1.1 Sự hình thành và phát triển của thương mại điện tử
Khi nói tới sự hình thành và phát triển của thương mại điện tử, người ta gắn
nó với sự ra đời và phát triển của Internet. Internet là mạng liên kết các mạng máy
tính với nhau, mặc dù mới thực sự phổ biến vào những năm 90 của thế kỷ XX
nhưng Internet đã có lịch sử hình thành từ khá lâu về trước.
Đến đầu thập niên 90 của thế kỷ XX, Internet chuyển sang một giai đoạn mà
mọi người đều có thể sử dụng, các doanh nghiệp đã bắt đầu sử dụng Internet vào
các mục đích thương mại. Chính vào khoảng thời điểm này, ngôn ngữ đánh dấu
siêu văn bản HTML (HyperText Markup Language) cùng với giao thức HTTP

(HyperText Transfer Protoco) ra đời. Internet đã thực sự trở thành công cụ đắc lực
với hàng loạt các dịch vụ mới. World Wide Web (WWW) ra đời, đem lại cho người
dùng khả năng tham chiếu từ một cơ sở dữ liệu này sang cơ sở dữ liệu khác với
hình thức hấp dẫn và nội dung phong phú. WWW chính là hệ thống các thơng điệp
dữ liệu được tạo ra, truyền tải, truy cập, chia sẻ,.. thông qua Internet. Internet và
Web là cặp công cụ quan trọng bậc nhất của thương mại điện tử, giúp cho thương
mại điện tử phát triển và hoạt động hiệu quả. Mạng Internet được sử dụng rộng rãi
từ những năm 1994 và những năm tiếp sau đó các cơng ty lớn trên thế giới đã đưa
ra những sản phẩm, mơ hình khai thác Internet. Đây chính là dấu mốc đánh dấu
cho sự ra đời của thương mại điện tử hiện đại.
Thương mại điện tử phát triển qua 3 giai đoạn chủ yếu, bao gồm:
* Giai đoạn 1: Thương mại thông tin (i-Commerce hay Information
Commerce)
Giai đoạn này đã có sự xuất hiện của website, thơng tin về hàng hóa và dịch
vụ của doanh nghiệp cũng như về bản thân doanh nghiệp đã được đưa lên website.
Tuy nhiên thơng tin chỉ mang tính giới thiệu và tham khảo. Việc trao đổi thông tin,
đàm phán về các điều khoản hợp đồng giữa doanh nghiệp với doanh nghiệp, giữa
doanh nghiệp với khách hàng hay giữa các cá nhân với nhau chủ yếu qua email,
qua các diễn đàn, chat room,… Thông tin trong giai đoạn nay phần lớn chỉ mang
8


tính một chiều, thơng tin hai chiều giữa người bán và người mua cịn hạn chế,
khơng đáp ứng được nhu cầu thực tế. Trong giai đoạn này người tiêu dùng có thể
tiến hành mua hàng trực tuyến, tuy nhiên thanh toán vẫn theo phương thức truyền
thống.
* Giai đoạn 2: Thương mại giao dịch (t-Commerce hay Transaction
Commerce)
Nhờ có sự ra đời của thanh toán điện tử mà thương mại điện tử thông tin đã
tiến thêm một giai đoạn nữa của quá trình phát triển thương mại điện tử đó là

thương mại điện tử giao dịch. Thanh toán điện tử ra đời đã hoàn thiện họat động
mua bán hàng trực tuyến. Trong giai đoạn này nhiều sản phẩm mới đã được ra đời
như sách điện tử và nhiều sản phẩm số hóa.
*Giai đoạn 3: Thương mại công tác (c-Business hay Collaboration
Business)
Đây là giai đoạn phát triển cao nhất của thương mại điện tử hiện nay. Giai
đoạn này địi hỏi tính cộng tác, phối hợp cao giữa nội bộ doanh nghiệp, doanh
nghiệp với nhà cung cấp, khách hàng, ngân hàng, cơ quan quản lý nhà nước. Giai
đoạn này đòi hỏi việc ứng dụng cơng nghệ thơng tin trong tồn bộ chu trình từ đầu
vào của quá trình sản xuất cho tới việc phân phối hàng hóa.

Hình 1. 1 Sơ đồ phát triển TMĐT

9


1.1.2. Khái niệm, đặc trưng cơ bản của thương mại điện tử
Từ khi các ứng dụng của Internet được khai thác nhằm phục vụ cho mục
đích thương mại, đã có rất nhiều thuật ngữ khác nhau dùng để chỉ các hoạt động
kinh doanh điện tử trên Internet nhưng thuật ngữ “thương mại điện tử” (ecommerce) vẫn là thuật ngữ được sử dụng phổ biến nhất trong các tài liệu của các
tổ chức trong và ngoài nước cũng như trong các tài liệu nghiên cứu khác.
Hiện nay, thương mại điện tử được hiểu theo nghĩa rộng và nghĩa hẹp. Nghĩa
rộng và hẹp ở đây phụ thuộc vào cách tiếp cận rộng và hẹp của hai thuật ngữ
"thương mại" và "điện tử".
* Khái niệm TMĐT theo nghĩa hẹp
Theo nghĩa hẹp, thương mại điện tử là việc mua bán hàng hóa và dịch vụ
thông qua các phương tiện điện tử và viễn thông, đặc biệt là máy tính và Internet.
Cách hiểu này cũng tương tự với một số các quan điểm như:
• TMĐT là các giao dịch thương mại về hàng hóa và dịch vụ được thực
hiện qua các phương tiện điện tử (Diễn đàn đối thoại xuyên Đại Tây

Dương, 1997).
• TMĐT là việc thực hiện các giao dịch kinh doanh có dẫn tới việc
chuyển giao giá trị thông qua các mạng viễn thơng (EITO, 1997).
• TMĐT là việc hồn thành bất kỹ một giao dịch nào thơng qua một
mạng máy tính làm trung gian mà bao gồm việc chyển giao quyền sở
hữu hay quyền sử dụng hành hóa và dịch vụ (Cục thống kê Hoa Kỳ,
2000).
Như vậy, theo nghĩa hẹp, thương mại điện tử bắt đầu bằng việc các doanh
nghiệp sử dụng các phương tiện điện tử và mạng Internet để mua bán hàng hóa và
dịch vụ, các giao dịch có thể giữa doanh nghiệp với doanh nghiệp (B2B), giữa
doanh nghiệp với khách hàng cá nhân (B2C) hoặc giữa các cá nhân kinh doanh với
nhau (C2C).

* Khái niệm TMĐT theo nghĩa rộng
Đã có khá nhiều tổ chức trên thế giới đưa ra các khái niệm theo nghĩa rộng
vể thương mại điện tử, điển hình có thể kể đến gồm có: Liên minh Châu Âu (EU),
10


Tổ chức Kinh tế Thế giới (WTO), Tổ chức Hợp tác và Phát triển kinh tế
(OECD),..v.v
Thương mại điện tử được hiểu là hoạt động kinh doanh điện tử, bao gồm:
mua bán hàng, dịch vụ, giao hàng trực tiếp trên không gian mạng với các nội dung
số hóa, chuyển tiền điện tử - EFT (electronic fund transfer), mua bán cổ phiếu điện
tử - EST (electrnic share trading), vận đơn điện tử - EB/L (electronic bill of
lading), đấu giá thương mại (commercial auction), hợp tác thiết kế và sản xuất, tìm
kiếm các nguồn lực trực tuyến, marketing trực tiếp, mua sắm trực tuyến - online
procurement, dịch vụ khách hàng trực tuyến,...
Có thể thấy rằng phạm vi của Thương mại điện tử rất rộng, bao quát hầu hết
các lĩnh vực hoạt động kinh tế, việc mua bán hàng hoá và dịch vụ chỉ là một trong

hàng ngàn lĩnh vực áp dụng của Thương mại điện tử. Trên thực tế chính các hoạt
động thương mại thông qua mạng Internet đã làm phát sinh thuật ngữ Thương mại
điện tử. Thương mại điện tử đang trở thành một cuộc cách mạng làm thay đổi cách
thức mua sắm của con người.
* Các đặc trưng cơ bản của thương mại điện tử
So với các hoạt động thương mại truyền thống, TMĐT có một số các đặc
trưng cơ bản sau:
• Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúc
trực tiếp với nhau và không địi hỏi phải biết nhau từ trước.
• Các giao dịch thương mại truyền thống được thực hiện với sự tồn tại
của khái niệm biên giới quốc gia, còn thương mại điện tử được thực
hiện trong một thị trường khơng có biên giới (thị trường thống nhất
tồn cầu).
• Trong hoạt động giao dịch TMĐT đều có sự tham gia của ít nhất ba
chủ thể, trong đó có một bên khơng thể thiếu được là người cung cấp
dịch vụ mạng, các cơ quan chứng thực.
• Đối với thương mại truyền thống thì mạng lưới thông tin chỉ là
phương tiện để trao đổi dữ liệu, cịn đối với TMĐT thì mạng lưới
thơng tin chính là thị trường.
1.1.3. Một số loại hình chủ yếu của thương mại điện tử
a) B2B (Business To Business)
11


Thương mại điện tử B2B được định nghĩa đơn giản là thương mại điện tử
giữa các công ty với nhau. Đây là loại hình thương mại điện tử gắn với mối quan
hệ giữa các công ty với nhau. Khoảng 80% thương mại điện tử theo loại hình này
và phần lớn các chuyên gia dự đoán rằng thương mại điện tử B2B sẽ tiếp tục phát
triển nhanh hơn B2C.
b) B2C (Business To Customer)

Thương mại điện tử B2C hay là thương mại điện tử giữa các công ty và
người tiêu dùng, liên quan đến việc khách hàng thu thập thông tin, mua các hàng
hóa thực (hữu hình như là sách vở hoặc sản phẩm tiêu dùng) hoặc sản phẩm thơng
tin (hàng hóa về nguyên liệu điện tử hoặc nội dung số hóa như phần mềm, sách
điện tử,…) và các hàng hóa thơng tin, nhận sản phẩm qua mạng.
Các trang web thành công với hình thức này trên thế giới có thể kể đến như:
amazon.com, beyond.com, drugstore.com,…
c) C2C (Customer To Customer)
Thương mại điện tử C2C đơn giản là thương mại giữa các cá nhân với nhau,
trong đó, người mua và người bán đều là các cá nhân sử dụng nhiều cách khác
nhau trên Internet chứ khơng phải là các doanh nghiệp.
Một số ví dụ điển hình về mơ hình C2C như đấu giá, giao dịch trao đổi, bán
tài sản ảo, …vv
d) B2G (Business To Goverment)
Thương mại điện tử giữa doanh nghiệp với chính phủ (B2G)
được định nghĩa chung là thương mại giữa công ty và khối hành
chính cơng, hình thức này đơi khi được gọi là Business To Administration
(B2A). Thông thường dưới dạng một hợp đồng kinh doanh với một tổ chức công
để thực hiện một dịch vụ được ủy quyền.
1.1.4. Lợi ích và trở ngại đối với thương mại điện tử
a.



Lợi ích đối với các tổ chức
Mở rộng thị trường
Giảm chi phí sản xuất, thơng tin liên lạc.
• Cải thiện hệ thống phân phối.
• Đáp ứng nhu cầu của khách hàng nhanh chóng.
• Xây dựng các mơ hình kinh doanh mới.

• Chun mơn hóa cho người bán hàng.
12


b.

c.

d.

• Tăng hiệu quả mua hàng.
• Cải thiện quan hệ khách hàng.
• Rút ngắn thời gian triển khai ý tưởng.
Lợi ích đối với người tiêu dùng
• Bỏ qua giới hạn về khơng gian và thời gian.
• Nhiều lựa chọn về sản phẩm và dịch vụ.
• Sản phẩm và dịch vụ giá rẻ hơn.
• Giao hàng nhanh hơn với các hàng hóa số hóa được.
• Thơng tin phong phú, thuận tiện và chất lượng cao hơn.
Lợi ích đối với xã hội
• Giảm tải việc đi lại, ô nhiễm môi trường, ách tắc giao thơng.
• Nâng cao chất lượng cuộc sống.
• Tiếp cận các dịch vụ công đơn giản hơn.
Các trở ngại cơng nghệ
• Thiếu các tiêu chuẩn chung về chất lượng, an ninh và độ tin
cậy.
• Băng thơng viễn thơng cịn hạn chế, đặc biệt đối với TMĐT di
động.
• Chi phí truy cập Internet ở một số quốc gia cịn cao.
• Thực hiện các đơn đặt hàng trong TMĐT B2C đòi hỏi hệ thống

kho hàng tự động lớn.

e.

Các trở ngại phi cơng nghệ
• An ninh, riêng tư là hai cản trở về tâm lý đối với ngưởi tham gia
TMĐT.
• Thiếu niềm tin về TMĐT và người bán hàng trong TMĐT.
• Cần thời gian để thay đổi thói quen tiêu dùng thực sang tiêu
dùng ảo.
• Cịn có những khách hàng vẫn giữ tâm lý muốn thấy, muốn
chạm trực tiếp sản phẩm để trải nghiệm cũng như đánh giá một
cách chân thực nhất.
• Sự tin cậy đối với môi trường kinh doanh không giấy tờ, không
tiếp xúc trực tiếp, giao dịch điện tử cần thời gian.
• Số lượng gian lận trên TMĐT ngày càng tăng cao.

1.2. An toàn TMĐT và vấn đề riêng tư của dữ liệu
1.2.1. Những vấn đề cơ bản trong an toàn thương mại điện tử
13


An toàn trong thương mại điện tử được hiểu là an tồn thơng tin trao đổi
giữa các chủ thể tham gia giao dịch, an toàn cho các hệ thống (hệ thống máy chủ
thương mại và các thiết bị đầu cuối, đường truyền…) khơng bị xâm hại từ bên
ngồi hoặc có khả năng chống lại những rủi ro, nguy cơ và sự tấn cơng từ bên
ngồi, đảm bảo thơng tin liên lạc thơng suốt.
Đối với an tồn thương mại điện tử, có bảy vấn đề cơ bản ta cần nắm bắt và
hiểu biết về chúng, bao gồm: sự xác thực, quyền cấp phép, kiểm tra (giám sát),
tính bí mật, tính tồn vẹn, tính sẵn sàng, tính chống chối bỏ.

* Sự xác thực (Authentication)
Sự xác thực liên quan đến khả năng nhận biết các đối tác tham gia giao dịch
trực tuyến trên Internet, như là làm thế nào để khách hàng chắc chắn rằng, các
doanh nghiệp bán hàng trực tuyến là những người có thể khiếu nại được; hay
những gì khách hàng nói là sự thật; khi người dùng nhìn một trang Web từ Website,
liệu người dùng có tin tưởng rằng Website đó là khơng lừa đảo hay khơng?
Q trình mà thơng qua đó một thực thể này kiểm tra rằng một thực thể khác
chính là đối tượng mà mình u cầu được gọi là sự xác thực. Xác thực yêu cầu
bằng chứng ở các dạng khác nhau, đó cỏ thể là mật khẩu, thẻ tín dụng hoặc chữ ký
điện tử…
* Quyền cấp phép (Authorization)
Một khi đã được xác thực, liệu một cá nhân hoặc một chương trình có quyền
truy cập tới một dữ liệu cụ thể, các chương trình hoặc các nguồn lực hệ thống nào
đó (files dữ liệu, các bản ghi, thư mục…) hay không? Quyền cấp phép đảm bảo
rằng một cá nhân hoặc một chương trình có quyền truy cập tới các nguồn lực, tài
nguyên nhất định. Quyền cấp phép thường được xác định bởi thông tin so sánh về
cá nhân hay chương trình với các thơng tin kiểm soát truy cập liên kết với các
nguồn lực được truy cập.
* Kiểm tra (giám sát) (Auditing)
Khi một người hoặc một chương trình truy cập vào một Website, sẽ có các
mảnh thông tin khác nhau được sẽ được ghi lại trên các file nhật ký. Khi một người
hoặc một chương trình yêu cầu cơ sở dữ liệu, hành động đó cũng được ghi lại trên
14


các file nhật ký. Q trình thu thập thơng tin về sự truy cập vào một nguồn lực cụ
thể, bằng cách sử dụng các quyền ưu tiên hoặc thực hiện các hoạt động an ninh
khác, được gọi là kiểm tra. Việc kiểm tra sẽ cung cấp bằng chứng, dữ liệu về hoạt
động đã xảy ra trên hệ thống, tạo ra sự thuận lợi sau này nếu có cơng việc cần tới
thơng tin về thiết bị hay người dùng.

* Tính bí mật (confidentiality)
Tính bí mật liên quan đến khả năng đảm bảo rằng đối với các thông riêng tư,
thông tin nhạy cảm, ngồi những người có quyền truy cập, khơng có ai, khơng có
các q trình, phần mềm máy tính nào có thể truy cập vào. Tính bí mật liên quan
chặt chẽ với tính riêng tư (bảo vệ bí mật riêng tư). Các thơng tin riêng tư thường là
các bí mật thương mại, các kế hoạch kinh doanh, các bản ghi về sức khỏe, số thẻ
tín dụng, và ngay cả việc một các nhân nào đó vừa truy cập vào Website. Tính
riêng tư liên quan đến khả năng kiểm sốt việc sử dụng các thông tin cá nhân mà
khách hàng cung cấp về chính bản thân họ.
Tính bí mật địi hỏi cá nhân hoặc doanh nghiệp phải biết các dữ liệu và ứng
dụng nào họ cần bảo vệ và ai được quyền truy cập tới đó. Tính bí mật thường được
đảm bảo bằng cơng nghệ mã hóa.
* Tính tồn vẹn (Integrity)
Tính toàn vẹn đề cập đến khả năng đảm bảo an tồn cho các thơng tin được
hiển thị trên một website hoặc chuyển hay nhận các thông tin trên Internet. Các
thông tin này không bị thay đổi nội dung hoặc bị phá hủy bằng bất cứ cách thức
không được phép nào. Ví dụ, nếu một kẻ cố tình xâm nhập trái phép, chặn và thay
đổi nội dung các thông tin truyền trên mạng, như thay đổi địa chỉ nhận đối với một
chuyển khoản điện tử của ngân hàng và do vậy chuyển khoản này được chuyển tới
một tài khoản khác. Trong những trường hợp như vậy, tính tồn vẹn của thơng điệp
đã bị xâm hại bởi việc truyền thông diễn ra khơng đúng với những gì người gửi
mong muốn.
Trong thương mại điện tử, để đảm bảo tính tồn vẹn thơng tin, trước tiên,
các quản trị viên hệ thống phải xác định chính xác danh sách những người được
phép thay đổi dữ liệu trên website của doanh nghiệp. Càng có nhiều người được
15


phép làm điều này cũng nghĩa là càng có nhiều mối đe dọa đối với tính tồn vẹn
thơng tin từ cả bên trong và bên ngồi doanh nghiệp.

Mã hóa là một trong cách thức quan trọng để đảm bảo tính ngun vẹn của
thơng tin.
* Tính sẵn sàng (Availability)
Một website trực tuyến được gọi là sẵn sàng khi một cá nhân hoặc một
chương trình có thể truy cập được vào các trang Web, các dữ liệu hoặc dịch vụ do
Website cung cấp khi cần thiết. Tính sẵn sàng liên quan đến khả năng đảm bảo các
chức năng của một website thương mại điện tử được thực hiện đúng như mong đợi.
Đây cũng là vấn đề mà các website hay gặp phải và là trở ngại không nhỏ đối với
việc thực hiện các giao dịch trực tuyến trên Internet.
Các công nghệ như phần cứng và phần mềm cân bằng tải được sử dụng để
phục vụ việc đảm bảo tính sẵn sàng của Website.
* Chống chối bỏ (Nonrepudation)
Chống chối bỏ liên quan đến khả năng đảm bảo rằng các bên tham gia
thương mại điện tử không thể phủ định các hành động trực tuyến mà họ đã thực
hiện. Ví dụ, một khách hàng với tên và địa chỉ thư điện tử có thể dễ dàng đặt hàng
trực tuyến và sau đó từ chối hành động mà mình đã thực hiện. Trong hầu hết các
trường hợp như vậy, thông thường người phát hành thẻ tín dụng sẽ đứng về phía
khách hàng vì người bán hàng khơng có trong tay bản sao chữ ký của khách hàng
cũng như khơng có bất cứ bằng chứng hợp pháp nào chứng tỏ khách hàng đã đặt
hàng mình. Và tất nhiên, rủi ro sẽ thuộc về người bán hàng. Một trong các công cụ
then chốt để chống phủ định là chữ ký điện tử.
Có thể nói, vấn đề an toàn trong thương mại điện tử được xây dựng trên cơ
sở bảo vệ bảy khía cạnh nói trên, khi nào một trong số các khía cạnh này chưa
được đảm bảo, sự an toàn trong thương mại điện tử vẫn chưa được thực hiện triệt
để.

16


1.2.2. Vấn đề riêng tư của dữ liệu

1.2.2.1 Các phương pháp tấn công trên đường truyền
Luồng thông tin dữ liệu được truyền từ nguồn (nơi bắt đầu gửi) đến đích
(nơi được nhận dữ liệu). Trên đường truyền công khai, dữ liệu bị tấn công bởi
những kẻ tấn công với mục đích xấu (hoặc những người mà khơng được uỷ quyền
nhận dữ liệu). Dữ liệu truyền trên mạng có thể bị tấn công theo các cách như sau:
a) Tấn công ngăn chặn thông tin
Tấn công ngăn chặn thông tin (interruption) là tấn công làm cho tài nguyên
thông tin bị phá huỷ, không sẵn sàng phục vụ hoặc không sử dụng được. Đây là
hình thức tấn cơng làm mất khả năng sẵn sàng phục vụ của thơng tin.
Ví dụ: phá huỷ đĩa cứng, cắt đứt đường truyền tin, vơ hiệu hố hệ thống
quản lý tệp…
b) Tấn công chặn bắt thông tin
Tấn công chặn bắt thông tin (interception) là tấn công mà kẻ tấn cơng có thể
truy cập tới tài ngun thơng tin. Đây là hình thức tấn cơng vào tính bí mật của
thơng tin. Trong một số tình huống kẻ tấn cơng được thay thế bởi một chương trình
hoặc một máy tính.
Ví dụ: Việc chặn bắt thơng tin có thể là nghe trộm để thu tin trên mạng (trộm
mật khẩu) và sao chép bất hợp pháp các tệp tin hoặc các chương trình, keylogger…
c) Tấn cơng sửa đổi thơng tin
Tấn cơng sửa đổi thông tin (modification) là tấn công mà kẻ tấn công truy
nhập, chỉnh sửa thông tin trên mạng. Đây là hình thức tấn cơng vào tính tồn vẹn
của thơng tin. Nó có thể thay đổi giá trị trong tệp dữ liệu, sửa đổi chương trình và
sửa đổi nội dung các thơng điệp truyền trên mạng.
Ví dụ: Kẻ tấn cơng sử dụng các đoạn mã nguy hiểm, virus, worm..
d) Chèn thông tin giả mạo
Kẻ tấn công chèn các thông tin và dữ liệu giả vào hệ thống. Đây là hình thức
tấn cơng vào tính xác thực của thơng tin. Nó có thể là việc chèn các thông báo giả
mạo vào mang hay thêm các bản ghi vào tệp khiến hệ thống hiểu nhầm và xảy ra
lỗi.


Ví dụ: Tấn cơng giả mạo địa chỉ IP, giả mạo ARP…

17


1.2.2.2 Rủi ro trong thương mại điện tử
Xét trên góc độ cơng nghệ, có ba bộ phận rất dễ bị tấn công và tổn thương
khi thực hiện các giao dịch thương mại điện tử, đó là hệ thống của khách hàng,
máy chủ của doanh nghiệp và đường dẫn thông tin (Hình 1.2)

Hình 1. 2 Những điểm yếu trong mơi trường thương mại điện tử



bảy dạng tấn cơng nguy hiểm nhất đối với an toàn của các website và các giao dịch
thương mại điện tử, bao gồm: các đoạn mã nguy hiểm, tin tặc và các chương trình
phá hoại, trộm cắp/ gian lận thẻ tín dụng, lừa đảo, khước từ phục vụ, nghe trộm và
sự tấn công từ bên trong doanh nghiệp.
* Các đoạn mã nguy hiểm (malicious code)
Các đoạn mã nguy hiểm bao gồm nhiều mối đe doạ khác nhau như các loại
Virus, Worm, Trojan, “bad applets”.
Một virus là một chương trình máy tính, nó có khả năng nhân bản hoặc tự
tạo các bản sao của chính mình và lây lan sang các chương trình, các tệp dữ liệu
khác trên máy tính. Bên cạnh khả năng nhân bản (tự tái tạo), hầu hết các virus máy
tính đều nhằm thực hiện một mục đích nào đó. Đây có thể là những mục đích tốt,
chẳng hạn như hiển thị một thơng điệp hay một hình ảnh, hoặc cũng có thể là
nhữngmục đích xấu có tác hại ghê gớm như phá huỷ các chương trình, các tệp dữ
liệu, xố sạch các thơng tin hoặc định dạng lại ổ đĩa cứng của máy tính, tác động
và làm lệch lạc khả năng thực hiện của các chương trình, các phần mềm hệ thống.


18


Trong thực tế, các loại virus như virus macro, virus tệp, virus script thường
kết nối với một worm . Thay vì chỉ lây nhiễm từ tệp tới tệp, worm là một loại virus
có khả năng lây nhiễm từ máy tính này sang máy tính khác. Một worm có khả
năng tự nhân bản mà không cần người sử dụng hay các chương trình phải kích hoạt
nó. Ví dụ, virus ILOVEYOU vừa là một virus script, vừa là một worm. Nó có khả
năng lây nhiễm rất nhanh qua con đường thư điện tử bằng cách tự gửi bản sao của
mình tới 50 địa chỉ thư điện tử đầu tiên trong sổ địa chỉ Microsoft Outlook của
người sử dụng.
Khác với các loại khác, Trojan ban đầu dường như vơ hại nhưng sau đó có
thể mang đến nhiều tai hoạ khơng ngờ. Bản thân nó khơng phải là một loại virus
bởi khơng có khả năng tự nhân bản, nhưng chính nó lại tạo cơ hội để các loại virus
nguy hiểm khác xâm nhập vào các hệ thống máy tính. Chính bởi vậy nó mới có tên
là Trojan. Những Trojan cũng có thể giả dạng các chương trình trị chơi, nhưng
thực chất giấu bên trong một đoạn chương trình có khả năng đánh cắp dữ liệu của
nạn nhân và gửi nó cho kẻ xấu.
Applet là một chương trình ứng dụng nhỏ được nhúng trong một phần mềm
thực hiện một nhiệm vụ cụ thể, thí dụ như Calculator có sẵn trong Microsoft
Windows hay các Java applet và các trình điều khiển ActiveX chạy trong các
chương trình duyệt Web làm tăng khả năng tương tác của các website. Các bad
applet có thể coi là những đoạn mã di động nguy hiểm (malicious mobile code),
bởi khi người sử dụng tìm kiếm thơng tin hoặc tải các chương trình từ một website
có chứa bad applet, nó sẽ lây sang hệ thống của người sử dụng và ảnh hưởng tới
các chương trình hoạt động trên hệ thống này.
Tóm lại, các loại mã nguy hiểm nêu trên là mối đe doạ không chỉ đối với hệ
thống của người sử dụng mà cả các hệ thống của tổ chức, cho dù các hệ thống này
luôn được bảo vệ kỹ lưỡng. Các loại mã nguy hiểm đang và sẽ còn gây ra những
tác hại nghiêm trọng, đe doạ tính tồn vẹn và khả năng hoạt động liên tục, thay đổi

các chức năng, thay đổi nội dung dữ liệu hoặc đôi khi làm ngưng trệ tồn bộ hoạt
động của nhiều hệ thống. Và, nó cũng chính là một trong những mối đe doạ lớn
nhất đối với an toàn của các giao dịch thương mại điện tử hiện nay.
19


* Tin tặc (hacker) và các chương trình phá hoại (cybervandalism)
Tin tặc (hay tội phạm máy tính) là thuật ngữ dùng để chỉ những người truy
nhập trái phép vào một website hay hệ thống máy tính. Họ đã lợi dụng những điểm
yếu trong hệ thống bảo vệ các website hoặc lợi dụng một trong những ưu điểm của
Internet - đó là một hệ thống mở, dễ sử dụng - tấn công nhằm phá hỏng những hệ
thống bảo vệ các website hay các hệ máy tính của các tổ chức, các chính phủ và
tìm mọi biện pháp để đột nhập vào những hệ thống đó. Luật pháp coi các hành vi
này là tội phạm. Mục tiêu của các tội phạm loại này rất đa dạng, đó có thể là hệ
thống dữ liệu của các website thương mại điện tử, hoặc với ý đồ nguy hiểm hơn,
chúng có thể sử dụng các chương trình phá hoại (cybervandalism) nhằm gây ra các
sự cố, làm mất uy tín hoặc phá huỷ các website trên phạm vi toàn cầu.
Tuy nhiên, bên cạnh những tên tội phạm máy tính nguy hiểm, cũng có nhiều
“hacker tốt bụng” hay còn gọi là hacker mũ trắng. Bằng việc xâm nhập qua hàng
rào an toàn của các hệ thống máy tính, những người này giúp phát hiện và sửa
chữa những điểm yếu, những kẽ hở trong một hệ thống an tồn. Tất nhiên, các tin
tặc loại này khơng bị truy tố vì những thiện chí của họ. Ngày nay, các công ty công
nghệ lớn cũng thường xuyên tổ chức các chương trình tìm kiếm lỗ hổng trên chính
sản phẩm của mình để hồn thiện phần an tồn và đảm bảo sản phẩm hoạt động ổn
định. Các hacker mũ trắng cũng nhận được phần thưởng xứng đáng với công sức
họ bỏ ra để nâng cao tính bảo mật và an tồn cho website, phần mềm.
* Gian lận thẻ tín dụng
Trong thương mại truyền thống, gian lận thẻ tín dụng có thể xảy ra trong
trường hợp thẻ tín dụng bị mất, bị đánh cắp; các thông tin về số thẻ, mã số định
danh cá nhân (PIN), các thông tin về khách hàng bị tiết lộ và sử dụng bất hợp pháp

Trong thương mại điện tử, các hành vi gian lận thẻ tín dụng xảy ra đa dạng
và phức tạp hơn nhiều so với trong thương mại truyền thống. Nếu như trong
thương mại truyền thống, việc mất thẻ hoặc thẻ bị đánh cắp là mối đe doạ lớn nhất
đối với khách hàng, thì trong thương mại điện tử mối đe doạ lớn nhất là bị “mất”
các thông tin liên quan đến thẻ hoặc các thông tin về giao dịch sử dụng thẻ trong
quá trình diễn ra giao dịch. Các tệp chứa dữ liệu thẻ tín dụng của khách hàng
20


thường là những mục tiêu hấp dẫn đối với tin tặc khi tấn công vào các website.
Hơn thế nữa, những tên tội phạm có thể đột nhập vào các website thương mại điện
tử, lấy cắp các thông tin cá nhân của khách hàng như tên, địa chỉ, điện thoại... Với
những thơng tin này, chúng có thể mạo danh khách hàng thiết lập các khoản tín
dụng mới nhằm phục vụ những mục đích đen tối. Và cuối cùng, đối với người bán
hàng, một trong những đe doạ lớn nhất có thể xảy ra đó là sự phủ định đối với các
đơn đặt hàng quốc tế. Trong trường hợp một khách hàng quốc tế đặt hàng và sau
đó từ chối hành động này, người bán hàng trực tuyến thường khơng có cách nào để
xác định rằng thực chất hàng hoá đã được giao tới tay khách hàng hay chưa và chủ
thẻ tín dụng có thực sự là người đã thực hiện đơn đặt hàng hay không.
* Từ chối phục vụ (DoS, DDoS)
Sự từ chối phục vụ của một website là hậu quả của việc tin tặc sử dụng
những request (yêu cầu) làm tràn ngập và dẫn tới tắc nghẽn mạng truyền thông,
hoặc sử dụng số lượng lớn máy tính tấn cơng vào một mạng (dưới dạng các yêu
cầu phân bố dịch vụ) từ nhiều điểm khác nhau gây nên sự quá tải về khả năng cung
cấp dịch vụ.
Những cuộc tấn công DoS, DDoS có thể là ngun nhân khiến cho mạng
máy tính ngừng hoạt động và trong thời gian đó, người sử dụng sẽ không thể truy
cập vào các website. Đối với những website thương mại điện tử sôi động như
Shopee hay Lazada, những tấn công này cũng đồng nghĩa với những khoản chi phí
vơ cùng lớn, vì trong thời gian website ngừng hoạt động, khách hàng không thể

thực hiện các giao dịch mua bán. Và sự gián đoạn hoạt động này sẽ ảnh hưởng tới
uy tín và tiếng tăm của doanh nghiệp, những điều khơng dễ dàng gì lấy lại được.
Mặc dù những cuộc tấn công này không phá huỷ thông tin hay truy cập vào những
vùng cấm của máy chủ nhưng tạo ra nhiều phiền toái, ngây trở ngại cho hoạt động
của nhiều doanh nghiệp.
* Kẻ trộm trên mạng (Sniffer)
Sniffer là một dạng của chương trình nghe trộm, giám sát sự di chuyển của
thông tin trên mạng. Khi sử dụng vào những mục đích hợp pháp, nó có thể giúp
phát hiện các yếu điểm của mạng, nhưng ngược lại, nếu sử dụng vào các mục đích
21


phạm tội, nó sẽ trở thành những mối hiểm hoạ lớn và rất khó có thể phát hiện. Kẻ
trộm cũng có thể là chính những tên tin tặc, chun ăn cắp các thơng tin có giá trị
như thơng điệp thư điện tử, dữ liệu kinh doanh của các doanh nghiệp, các báo cáo
mật... từ bất cứ nơi nào trên mạng.
Xem lén thư tín điện tử là một dạng mới của hành vi trộm cắp trên mạng. Kỹ
thuật xem lén thư điện tử sử dụng một đoạn mã ẩn bí mật gắn vào một thông điệp
thư điện tử, cho phép người nào đó có thể giám sát tồn bộ các thơng điệp chuyển
tiếp được gửi đi cùng với thông điệp ban đầu. Đối với thương mại điện tử, trộm
cắp trên mạng đang là một mối nguy hại lớn đe doạ tính bảo mật của các các dữ
liệu kinh doanh quan trọng. Nạn nhân của nó khơng chỉ là các doanh nghiệp mà cả
những cá nhân, những người có tham gia thương mại điện tử.
* Sự tấn công từ bên trong doanh nghiệp
Trong kinh doanh, chúng ta thường cho rằng những mối đe doạ tính an tồn
có nguồn gốc từ những yếu tố bên ngoài doanh nghiệp, nhưng thực chất những đe
doạ này khơng chỉ đến từ bên ngồi mà có thể bắt nguồn từ chính những thành
viên làm việc trong doanh nghiệp. Trong thương mại điện tử cũng vậy, có nhiều
website thương mại điện tử bị phá huỷ, nhiều doanh nghiệp thương mại điện tử
phải gánh chịu hậu quả do dịch vụ bị ngưng trệ, do bị lộ các thông tin cá nhân hay

các dữ liệu tín dụng của khách hàng mà thủ phạm chính là những nhân viên làm
việc trong doanh nghiệp, những người đã từng được tin tưởng và trọng dụng.
Những nhân viên làm việc trong doanh nghiệp có thể truy cập các thơng tin bí mật,
hoặc xâm nhập tới mọi nơi trong hệ thống thông tin của tổ chức nếu như những
biện pháp bảo mật thông tin của doanh nghiệp thiếu thận trọng. Chính vì vậy, trong
nhiều trường hợp, hậu quả của những đe doạ loại này còn nghiêm trọng hơn những
vụ tấn cơng từ bên ngồi doanh nghiệp.
1.3. Kết luận chương 1
Chương này đã trình bày được các kiến thức cơ bản về thương mại điện tử,
đặc trưng, lợi ích cũng như trở ngại mà TMĐT mang lại cho con người. Sự phát
triển TMĐT đã ảnh hưởng tới xã hội qua nhiều mặt, thay đổi thói quen giao dịch,
mua bán của con người. Mục 1.2 đã nêu lên các vấn đề an ninh của TMĐT, mô
22


hình giao dịch cơ bản trong TMĐT cùng các nguy cơ tại những nơi dễ xảy ra tấn
công hay rủi ro lớn. Các phương pháp tấn công thông tin, gây ảnh hưởng tới sự an
tồn và riêng tư của thơng tin được đề cập tới để có được cái nhìn cơ bản nhất về
chúng. Các giải pháp để ngăn ngừa cũng như giảm thiểu các nguy cơ tấn công gây
hại sẽ được trình bày tại chương 2.

CHƯƠNG 2. GIẢI PHÁP ĐẢM BẢO TÍNH RIÊNG TƯ CỦA DỮ
LIỆU
Tại chương một, mơ hình giao dịch cơ bản trong thương mại điện tử đã được
nhắc đến. Trên mơ hình cũng đã chỉ ra được một số các điểm yếu gây nguy hiểm
tới người dùng cũng như cả bên cung cấp dịch vụ. Chương hai sẽ cung cấp một số
giải pháp để đảm bảo an toàn cho TMĐT, giảm thiểu rủi ro xuống mức chấp nhận
được, tránh lộ các dữ liệu nhạy cảm của người dùng.
An toàn đang trở thành một trong những vấn đề được quan tâm nhất khi tiến
hành thương mại điện tử. Phần lớn các tổ chức đều sử dụng phối hợp nhiều cơng

nghệ để đảm bảo an tồn cho hoạt động hệ thống. Dưới đây là một số công nghệ
đảm bảo an toàn TMĐT mà hay được sử dụng nhất.
2.1. Mã hoá dữ liệu trên đường truyền - Giao thức SSL/TLS
a. Giao thức SSL
23


Trong thương mại điện tử, các giao dịch được thực hiện chủ yếu thông qua
mạng Internet, một mạng truyền thông mở, vì vậy, thơng tin thương mại giữa các
bên rất dễ bị kẻ xấu lấy trộm và sử dụng vào những mục đích bất chính. Giải pháp
cơ bản giải quyết vấn đề này là sử dụng giao thức SSL (Secure Socket Layer). Đây
là giao thức mã hóa web mục đích chung cho kênh giao tiếp hai chiều bảo mật trên
mạng Internet.
Cho đến nay đã có 3 phiên bản của SSL: SSL 1.0, SSL 2.0, SSL 3.0
Giao thức SSL cung cấp bảo mật sử dụng như sau:
• Tính riêng tư (privacy): toàn bộ dữ liệu truyền qua kết nối đều được
mã hố.
• Xác thực định danh (Identity Authentication): việc xác thực định danh
được thực hiện nhờ sử dụng chứng thư số.
• Tính tin tưởng (Reliability): duy trì tin cậy của kết nối bằng việc kiểm
tra tính tồn vẹn của thơng điệp.
Kết nối SSL thường được khởi tạo cùng với trình duyệt web sử dụng một
URL đặc biệt, ví dụ HTTPS được sử dụng để chỉ ra một kết nối HTTP mã hóa
SSL. HTTPS thường được sử dụng để bảo vệ các giao dịch trực tuyến có tính bảo
mật cao như giao dịch ngân hàng và đặt hàng mua sắm trực tuyến.
Chứng chỉ SSL của HTTPS cịn có những ích lợi lớn đối với website thương
mại điện tử:
− Hiện khóa xanh bảo mật, giúp tăng sự tin tưởng của người dùng.
− Có lợi cho SEO. Google thích những trang web an tồn và thân thiện với
người dùng.

− Khơng bị trình duyệt (Chrome, Firefox, Safari) chặn vì thiếu bảo mật.
− Thơng tin khách hàng, như số thẻ tín dụng, được mã hóa.
− Khách truy cập có thể xác minh bạn là một doanh nghiệp đã đăng ký và
bạn sở hữu tên miền.
Giao thức SSL bao gồm bốn tầng giao thức:
Record Layer: quy định định dạng của các thông điệp sử dụng bởi các giao
thức khác như: Alert, ChangeCipherSpec, và Handshake. Định dạng quy định
24


header cho mỗi thông điệp và giá trị băm được sinh bởi MAC. Header có độ dài 5
byte, bao gồm: Protocol Definition (1 byte), Protocol Version (2 byte) và Length (2
byte).
ChangeCipherSpec Protocol: được tạo ra bởi một tin nhắn thông báo rằng
bắt đầu truyền thơng an tồn giữa máy chủ và máy khách. Mặc dù
ChangeCipherSpec Protocol sử dụng định dạng quy đinh bởi Record Layer nhưng
thực tế, thông điệp chỉ có độ dài là 1 byte, tín hiệu thay đổi trong giao thức có giá
trị ‘1’.
Alert Protocol: giao thức thơng báo lỗi, vấn đề hoặc những cảnh báo về kết
nối giữa các thành viên. Tầng này có cấu trúc bao gồm hai trường: Severity Level
và Alert Description.
Severity Level: có vai trị gửi thơng điệp cùng với giá trị ‘1’ hoặc ‘2’,
phụ thuộc vào bản thân thơng điệp. Severity Level có giá trị ‘1’ tương ứng với
thơng điệp cảnh báo; có giá trị ‘2’ là khi là những cảnh báo quan trọng, yêu cầu các
bên tham gia chấm dứt phiên kết nối.
Alert Description: chỉ ra các lỗi cụ thể, trường này chỉ có độ dài 1
byte, có miền giá trị từ 1 đến 12 tương ứng với 12 lỗi nghiêm trọng.
Handshake Protocol : Mọi phiên làm việc của giao thức SSL đều bắt đầu
bằng thủ tục “Handshake”, thủ tục có vai trị trao đổi thơng điệp giữa các thành
viên tham gia sử dụng mã hố cơng khai với mục đích tạo ra một kênh giao tiếp an

tồn, q trình được mơ tả tại Hình 2.2.
Bước 1 (ClientHello): Máy khách gửi tới máy phục vụ một yêu cầu phiên
giao tiếp an toàn, trong thông điệp bao gồm: phiên bản SSL, cipher setting
(CipherSuite), dữ liệu phiên làm việc (session-specific data) và một số thông tin
khác mà server cần để giao tiếp với client sử dụng SSL.
Bước 2 (ServerHello): Máy phục vụ gửi tới máy khách phiên bản SSL,
cipher setting, dữ liệu phiên làm việc (session-specific data) và một số thông tin
khác mà máy khách cần để giao tiếp với máy phục vụ thông quan kênh giao tiếp
SSL. Trong bước này, máy phục vụ cũng gửi tới máy khách chứng thư số sở hữu
của mình (đây chính là SSL một chiều). Nếu máy khách yêu cầu sử dụng tài
nguyên trên máy phục vụ được cấu hình phải xác thực máy khách thì máy phục vụ
sẽ yêu cầu máy khách gửi chứng thư số sở hữu bởi máy khách (đây chính là SSL
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×