Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử MỤC LỤC MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC CÁC HÌNH PHẦN I: MỞ ĐẦU Lý chọn đề tài Mục tiêu nhiệm vụ nghiên cứu đề tài .5 Phạm vi nghiên cứu Nội dung nghiên cứu 5 Ý nghĩa thực tiễn lý luận đề tài: .6 PHẦN II: NỘI DUNG Chương I: Tổng quan thương mại điện tử .7 1.1 Khái niệm thương mại điện tử 1.2 Các đặc trưng thương mại điện tử .8 1.3 Các loại thị trường thương mại điện tử: 1.4 Hệ thống toán thương mại điện tử: .10 1.5 Các sở để phát triển thương mại điện tử 11 1.6 Các hình thức hoạt động chủ yếu thương mại điện tử .12 1.7 Lợi ích thương mại điện tử 15 CHƯƠNG II: HỆ MẬT MÃ, MÃ KHÓA ĐỐI XỨNG, MÃ KHĨA CƠNG KHAI, CHỮ KÝ SỐ 20 2.1 Tổng quan hệ mật mã 20 2.1.1 Mật mã học cổ điển .20 2.1.2 Mật mã học đại 21 2.1.3 Thuật ngữ 21 2.1.4 Tiêu chuẩn mật mã 21 2.2 Các phương pháp mã hóa 22 2.2.1 Mã hóa đối xứng 22 2.2.2 Mã hóa DES 22 2.2.3 Hệ mã hóa AES .24 2.2.4 Mã hóa khơng đối xứng 26 Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử 2.2.5 Mã hóa RSA 27 CHƯƠNG III: BẢO MẬT THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ 29 Vấn đề an tồn thơng tin 29 3.2 Chứng số chế mã hóa 30 3.2.1 Giới thiệu chứng số: 30 3.2.2 Xác thực định danh: .31 3.2.3 Chứng khóa cơng khai: 31 3.2.4 Một số ứng dụng bảo mật thương mại điện tử 32 3.2.4.1 Cơ chế bảo mật SSL(Secure Socket Layer): .32 3.2.4.2 Cơ chế bảo mật SET (Secure Electronic Transaction): .36 PHẦN III: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 42 Kết luận: 42 Hướng phát triển: 42 PHẦN IV: TÀI LIỆU THAM KHẢO .43 Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử DANH MỤC CÁC TỪ VIẾT TẮT STT Từ viết tắt Ý nghĩa TMĐT Thương mại điện tử CNTT Công nghệ thông tin DES Data Encryption Standards AES Advanced Encryption Standard RSA Rivest – Shamir - Adleman SSL Secure Socket Layer SET Secure Electronic Transaction Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử DANH MỤC CÁC HÌNH Hình 2.1: Sơ đồ chi tiết DES Hình 2.2 Mã hóa với khóa mã giải mã khác Hình 2.3: Sơ đồ bước thực mã hóa theo thuật tốn RSA Hình 3.1: Các bước SSL Record protocol Hình 3.2: Các thành phần tham gia sử dụng SET Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử PHẦN I: MỞ ĐẦU Lý chọn đề tài Ngày nay, lĩnh vực bảo mật an toàn thông tin nghiên cứu, phát triển ứng dụng rộng rãi nhiều hệ thống thông tin nhằm đảm bảo hệ thống có tính bảo mật, tin cậy sẵn sàng Đặc biệt hệ thống sở liệu lưu trữ lớn trung tâm tích hợp liệu cần phải có giải pháp đảm bảo an tồn bí mật lĩnh vực ngân hàng, tài chính, bảo hiểm Người ta xây dựng triển khai, tích hợp liệu việc nghiên cứu giải pháp đảm bảo an toàn bảo mật chưa quan tâm nhiều Trên giới lĩnh vực nghiên cứu nhiều quốc gia đầu tư nghiên cứu Mỹ, Anh, Nhật, Đức, Hàn Quốc, Úc, nghiên cứu nhiều gần có hướng nghiên cứu điện toán đám mây, ứng dụng vấn đề lưu trữ Nhưng vấn đề Việt Nam vấn đề cần quan tâm đầu tư nghiên cứu, việc nghiên cứu giải pháp đảm bảo an toàn bảo mật thương mại điện tử tích hợp liệu cần thiết Vì vậy, em định chọn đề tài ”Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử ” nhằm tìm hiểu rõ cách bảo mật, vấn đề an ninh thương mại điện tử - Mục tiêu nhiệm vụ nghiên cứu đề tài Đề tài nghiên cứu kỹ thuật phương pháp để thực nhiệm vụ Bảo mật an toàn thương mại điện tử, trình thực kiến thức khoa học thuật toán liên quan như: Xác thực, bảo mật, bảo toàn liệu, mật mã, chữ ký số… - Áp dụng kết nghiên cứu để triển khai hệ thống bảo mật an toàn thương mại điện tử Phạm vi nghiên cứu - Các vấn đề bảo mật chứng thực thương mại điện tử hàm băm, DES, RSA, sử dụng chữ ký số DSA RSA, giao thức bảo mật mạng như: SSL SET… - Các kỹ thuật sử dụng phương pháp kết hợp, hệ mật mã bảo mật Nội dung nghiên cứu Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử - Tổng quan thương mại điện tử - Hệ mật mã, mã khóa đối xứng, mã khóa cơng khai, chữ ký số - Bảo mật thông tin thương mại điện tử Ý nghĩa thực tiễn lý luận đề tài: Đề tài sau thực đem lại ý nghĩa sau: - Rèn luyện kỹ phân tích tìm hiểu vấn đề thương mại điện tử - Rèn luyện kỹ làm việc nhóm - Rèn luyện khả tự đọc tài liệu - Tìm hiểu vấn đề bảo mật anh ninh thương mại điện tử Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử PHẦN II: NỘI DUNG Chương I: Tổng quan thương mại điện tử 1.1 Khái niệm thương mại điện tử Thương mại điện tử hình thức mua bán hàng hóa dịch vụ thơng qua mạng máy tính tồn cầu Thương mại điện tử theo nghĩa rộng định nghĩa Luật mẫu Thương mại điện tử Ủy ban Liên Hợp quốc Luật Thương mại Quốc tế (UNCITRAL) “Thuật ngữ Thương mại cần diễn giải theo nghĩa rộng để bao quát vấn đề phát sinh từ quan hệ mang tính chất thương mại dù có hay khơng có hợp đồng Các quan hệ mang tính thương mại bao gồm giao dịch sau đây: giao dịch thương mại cung cấp trao đổi hàng hóa dịch vụ; thỏa thuận phân phối; đại diện đại lý thương mại, ủy thác hoa hồng; cho thuê dài hạn; xây dựng cơng trình; tư vấn; kỹ thuật cơng trình; đầu tư; cấp vốn; ngân hàng; bảo hiểm; thỏa thuận khai thác tơ nhượng; liên doanh hình thức khác hợp tác công nghiệp kinh doanh; chuyên chở hàng hóa hay hành khách đường biển, đường khơng, đường sắt đường bộ.” Như vậy, thấy phạm vi Thương mại điện tử rộng, bao quát hầu hết lĩnh vực hoạt động kinh tế, việc mua bán hàng hóa dịch vụ hàng ngàn lĩnh vực áp dụng Thương mại điện tử Theo nghĩa hẹp thương mại điện tử gồm hoạt động thương mại tiến hành mạng máy tính mở Internet Trên thực tế, hoạt động thương mại thơng qua mạng Internet làm phát sinh thuật ngữ thương mại điện tử Thương mại điện tử gồm hoạt động mua bán hàng hóa dịch vụ qua phương tiện điện tử, giao nhận nội dung kỹ thuật số mạng, chuyển tiền điện tử, mua bán cổ phiếu điện tử, vận đơn điện tử, đấu giá thương mại, hợp tác thiết kế, tài nguyên mạng, mua sắm công cộng, tiếp thị trực tuyến tới người tiêu dùng dịch vụ sau bán hàng Thương mại điện tử thực thương mại hàng hóa (ví dụ hàng tiêu dùng, thiết bị y tế chuyên dụng) thương mại dịch vụ (ví dụ dịch vụ cung cấp thông tin, dịch vụ pháp lý, tài chính); hoạt động truyền thống (như chăm sóc sức khỏe, giáo dục ) hoạt động (ví dụ siêu thị ảo) Thương mại điện tử trở thành cách mạng làm thay đổi cách thức mua sắm người Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử 1.2 Các đặc trưng thương mại điện tử So với hoạt động Thương mại truyền thống, thương mại điện tử có số điểm khác biệt sau: Các bên tiến hành giao dịch thương mại điện tử khơng tiếp xúc trực tiếp với khơng địi hỏi phải biết từ trước Trong Thương mại truyền thống, bên thường gặp trực tiếp để tiến hành giao dịch Các giao dịch thực chủ yếu theo nguyên tắc vât lý chuyển tiền, séc hóa đơn, vận đơn, gửi báo cáo Các phương tiện viễn thông như: fax, telex, sử dụng để trao đổi số liệu kinh doanh Tuy nhiên, việc sử dụng phương tiện điện tử thương mại truyền thống để chuyển tải thông tin cách trực tiếp hai đối tác giao dịch Thương mại điện tử cho phép người tham gia từ vùng xa xôi hẻo lánh đến khu vực đô thị lớn, tạo điều kiện cho tất người khắp nơi có hội ngang tham gia vào thị trường giao dịch toàn cầu khơng địi hỏi thiết phải có mối quen biết với Các giao dịch thương mại truyền thống thực với tồn khái niệm biên giới quốc gia, thương mại điện tử thực thị trường khơng có biên giới (thị trường thống toàn cầu) Thương mại điện tử trực tiếp tác động tới môi trường cạnh tranh tồn cầu Thương mại điện tử phát triển, máy tính cá nhân trở thành cửa sổ cho doanh nghiệp hướng thị trường khắp giới Với thương mại điện tử, doanh nhân dù thành lập kinh doanh Nhật Bản, Đức Chile…, mà bước khỏi nhà, công việc trước phải nhiều năm Trong hoạt động giao dịch thương mại điện tử có tham gia ba chủ thể, có bên khơng thể thiếu người cung cấp dịch vụ mạng, quan chứng thực Trong Thương mại điện tử, chủ thể tham gia quan hệ giao dịch giống giao dịch thương mại truyền thống xuất bên thứ ba nhà cung cấp dịch vụ mạng, quan chứng thực… người tạo môi trường cho giao dịch thương Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử mại điện tử Nhà cung cấp dịch vụ mạng quan chứng thực có nhiệm vụ chuyển đi, lưu giữ thông tin bên tham gia giao dịch thương mại điện tử, đồng thời họ xác nhận độ tin cậy thông tin giao dịch thương mại điện tử Đối với thương mại truyền thống mạng lưới thơng tin phương tiện để trao đổi liệu, thương mại điện tử mạng lưới thơng tin thị trường Thông qua Thương mại điện tử, nhiều loại hình kinh doanh hình thành Ví dụ: dịch vụ gia tăng giá trị mạng máy tính hình thành nên nhà trung gian ảo dịch vụ môi giới cho giới kinh doanh tiêu dùng; siêu thị ảo hình thành để cung cấp hàng hóa dịch vụ mạng máy tính Các trang Web tiếng Yahoo! America Online hay Google đóng vai trị quan trọng cung cấp thông tin mạng Các trang Web trở thành “khu chợ” khổng lồ Internet Với lần nhấn chuột, khách hàng có khả truy cập vào hàng ngàn cửa hàng ảo khác tỷ lệ khách hàng vào hàng ngàn cửa hàng ảo khác tỷ lệ khách hàng vào thăm mua hàng cao Người tiêu dùng bắt đầu mua mạng số loại hàng trước coi khó bán mạng Nhiều người sẵn sàng trả thêm chút tiền phải tới tận cửa hàng Một số công ty mời khách may đo quần áo mạng, tức khách hàng chọn kiểu, gửi số đo theo hướng dẫn tới cửa hàng (qua Internet) sau thời gian định nhận quần áo theo yêu cầu Điều tưởng khơng thể thực có nhiều người hưởng ứng Các chủ cửa hàng thông thường ngày đua đưa thông tin lên Web để tiến tới khai thác mảng thị trường rộng lớn Web cách mở cửa hàng ảo 1.3 Các loại thị trường thương mại điện tử: Trong thương mại điện tử phân loại theo tư cách người tham gia giao dịch sau:  Người tiêu dùng: C2B(Consummer - To - Business): Người tiêu dùng với doanh nghiệp C2C(Consummer - To - Consummer): Người tiêu dùng với Người tiêu dùng C2G(Consummer - To - Government): Người tiêu dùng với phủ  Doanh nghiệp: Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử B2B(Business - To - Business): Doanh nghiệp với doanh nghiệp B2C(Business - To - Consummer): Doanh nghiệp với người tiêu dùng B2G(Business - To - Government): Doanh Nghiệp với phủ  Chính phủ: G2C(Governmen - To - Consummer): Chính phủ với người tiêu dùng G2B(Governmen - To - Business): Chính phủ với doanh nghiệp G2G(Governmen - To - Governmen): Chính phủ với phủ Tùy thuộc vào đối tác kinh doanh mà người ta gọi thị trường Thị trường mở thị trường mà tất người tham gia đăng ký Tại thị trường đóng có số thành viên mời phép tham gia Một thị trường ngang tập trung vào quy trình kinh doanh riêng lẻ định 1.4 Hệ thống toán thương mại điện tử: Thanh toán điện tử khâu quan trọng thương mại điện tử, q trình tốn tiền người mua người bán sử dụng ứng dụng cơng nghệ tốn như: mã hóa thẻ tín dụng, séc điện tử, tiền điện tử Thanh toán điện tử việc trả tiền thông qua thông điệp điện tử hay trao tay trực tiếp Hình thức tốn điện tử có số hệ thống toán sau:  Thanh toán thẻ tín dụng  Thanh tốn ví điện tử  Chi phiếu điện tử Một quy trình tốn điện tử bao gồm giai đoạn bản: - Khách hàng từ máy tính nơi đó, điền thơng tin tốn địa liên hệ vào đơn đặt hàng Website bán hàng Doanh nghiệp nhận yêu cầu mua từ hàng hóa hay dịch vụ vủa khách hàng phản hồi xác nhận tóm tắt lại thông tin cần thiết mặt hàng chọn, địa giao nhận,… - Khách hàng kiểm tra lại thông tin click vào đặt hàng , để gửi thông tin trả cho doanh nghiệp Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử CHƯƠNG III: BẢO MẬT THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ Vấn đề an tồn thơng tin Sự xuất mạng Internet cho phép người truy cập, chia sẻ khai thác thông tin cách dễ dàng hiệu Sự phát triển mạnh mẽ Internet xét chất việc đáp ứng lại gia tăng không ngừng nhu cầu giao dịch trực tuyến hệ thống mạng toàn cầu Các giao dịch trực tuyến Internet phát triển từ hình thức sơ khai trao đổi thơng tin (email, message, v.v…), quảng bá ( web-publishing) đến giao dịch phức tạp thể qua hệ thống phủ điện tử, thương mại điện tử ngày phát triển mạnh mẽ khắp giới Tuy nhiên lại nảy sinh vấn đề an tồn thơng tin, Internet có kỹ thuật cho phép người truy nhập, khai thác, chia sẻ thơng tin Nhưng nguy dẫn đến việc thơng tin bạn bị hư hỏng phá huỷ hoàn toàn Sở dĩ có lý việc truyền thơng tin qua mạng Internet chủ yếu sử dụng giao thức TCP /IP TCP/IP cho phép thông tin gửi từ máy tính tới máy tính khác mà qua loạt máy tính trung gian mạng riêng biệt trước tới đích Chính điểm này, giao thức TCP /IP tạo hội cho "bên thứ ba" thực hành động gây mát an tồn thơng tin giao dịch Một số vấn đề an toàn hệ thống mạng nay: - Nghe trộm (Eavesdropping): Thông tin không bị thay đổi, bí mật khơng cịn Ví dụ, biết số thẻ tín dụng, hay thơng tin cần bảo mật bạn - Giả mạo (Tampering): Các thông tin truyền mạng bị thay đổi hay bị thay đổi trước đến người nhận Ví dụ, sửa đổi nội dung đơn đặt hàng thay đổi lý lịch cá nhân trước thơng tin đến đích - Mạo danh (Impersonation): Một cá nhân dựa vào thông tin người khác để trao đổi với đối tượng Có hai hình thức mạo danh sau: Bắt trước (Spoofing) Xuyên tạc (Misrepresentation) Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử - Chối cãi nguồn gốc: Một cá nhân chối khơng gửi tài liệu xảy tranh chấp Ví dụ, gửi email thông thường, người nhận khẳng định người gửi xác Các bí mật đảm bảo giao dịch điện tử: Các hệ thống cần phải có chế đảm bảo an tồn trình giao dịch điện tử Một hệ thống thơng tin trao đổi liệu an tồn phải đáp ứng số yêu cầu sau:  Hệ thống phải đảm bảo liệu trìmh truyền khơng bị đánh cắp  Hệ thống phải có khả xác thực, tránh trường hợp giả danh, giả mạo Do vậy, cần tập trung vào việc bảo vệ tài sản chúng đƣợc chuyển tiếp máy khách máy chủ từ xa Việc cung cấp kênh thương mại an tồn đồng nghĩa với việc đảm bảo tính tồn vẹn thơng báo tính sẵn sàng kênh Thêm vào đó, kế hoạch an tồn đầy đủ cịn bao gồm tính xác thực Các kỹ thuật đảm bảo cho an toàn giao dịch điện tử sử dụng hệ mật mã, chứng số sử dụng chữ ký số trình thực giao dịch 3.2 Chứng số chế mã hóa 3.2.1 Giới thiệu chứng số: Chứng số tệp tin điện tử sử dụng để nhận diện cá nhân, máy dịch vụ, tổ chức,…nó gắn định danh đối tượng với khóa cơng khai, giống lái xe, hộ chiếu, chứng minh thư Có nơi chứng nhận thơng tin bạn đúng, gọi quan xác thực chứng (Certificate Authority-CA).Đó đơn vị có thẩm quyền xác nhận định danh cấp chứng số CA đối tác thứ ba đứng độc lập có tổ chức tự vận hành hệ thống tự cấp chứng cho nội họ Các phương pháp để xác định định danh phụ thuộc vào sách mà CA đặt ra.Chính sách lập phải đảm bảo việc cấp chứng số phải đắn, cấp mục đích dùng vào việc Thơng thường, trƣớc cấp chứng số, CA công bố thủ tục cần thiết phải thực cho loại chứng số.Trong chứng số chứa khóa cơng khai gắn Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử với tên đối tượng (như tên nhân viên máy dịch vụ).Các chứng số giúp ngăn chặn việc sử dụng khóa cơng khai cho việc giả mạo 3.2.2 Xác thực định danh: Việc giao tiếp mạng điển hình máy khách (Client – trình duyệt máy cá nhân) máy dịch vụ (Server – máy chủ Website).Việc chứng thực thực hai phía Máy dịch vụ tin tưởng vào máy khách ngược lại Có hai hình thức xác thực máy khách: - Xác thực dựa tên truy nhập mật (Username Password) Tất máy dịch vụ cho phép ngƣời dùng nhập mật khẩu, để truy nhập vào hệ thống.Máy dịch vụ quản lý danh sách Username Password - Xác thực dựa chứng số Đó phần giao thức bảo mật SSL Máy khách ký số vào liệu, sau gửi chữ ký số chứng số qua mạng Máy dịch vụ dùng kỹ thuật mã hóa khóa cơng khai để kiểm tra chữ ký xác định tính hợp lệ chứng số Xác thực dựa mật 3.2.3 Chứng khóa cơng khai: Khi người muốn dùng kĩ thuật mã hóa khóa cơng khai để mã hóa thơng điệp gửi cho người nhận, người gửi cần khóa cơng khai người nhận Khi thành viên muốn kiểm tra chữ ký số, cần có khóa cơng khai thành viên ký Chúng ta gọi hai thành viên mã hóa thơng điệp thành viên kiểm tra chữ kí số người sử dụng khóa cơng khai Khi khóa cơng khai gửi đến cho ngươì sử dụng, khơng cần thiết phải giữ bí mật khóa cơng khai này.Tuy nhiên, người dùng khóa cơng khai phải đảm bảo khóa cơng khai dùng, dành cho thành viên khác (có thể người nhận thơng điệp có chủ định sinh chữ ký số u cầu) Nếu kẻ phá hoại dùng khóa cơng khai khác thay khóa cơng khai hợp lệ, nội dung thơng điệp mã hóa bị lộ Như thành viên không chủ định khác biết thông điệp hay chữ ký số bị làm giả Nói cách khác, cách bảo vệ (được tạo từ kĩ thuật này) bị ảnh hưởng kẻ truy nhập thay khóa cơng khai khơng xác thực Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử Hệ thống cấp chứng khóa cơng khai làm việc sau: Một CA phát hành chứng cho người nắm giữ cặp khóa cơng khai khóa riêng Một chứng gồm khóa cơng khai thơng tin để nhận dạng chủ thể (Subject) chứng chỉ.Chủ thể chứng người, thiết bị, thực thể khác có nắm giữ khóa riêng tương ứng.Khi chủ thể chứng người thực thể hợp pháp đó, chủ thể thường nhắc đến thực thể (Subscriber) CA Chứng CA kí khóa riêng họ 3.2.4 Một số ứng dụng bảo mật thương mại điện tử 3.2.4.1 Cơ chế bảo mật SSL(Secure Socket Layer): Giao thức SSL cung cấp bảo mật truyền thơng vốn có đặc tính bản: - Các bên giao tiếp (nghĩa Client server) xác thực cách sử dụng mật mã khóa chung - Sự bí mật lưu lượng liệu bảo vệ nối kết mã hóa suốt sau thiết lập quan hệ ban đầu thương lượng khóa session xảy - Tính xác thực tính tồn vẹn lưu lượng dự liệu bảo vệ thơng báo xác thực kiểm tra tính tốn tồn vẹn cách suốt cách sử dụng MAC Tuy nhiên điều quan trọng cần lưu ý SSL khơng ngăn cơng phân tích lưu lượng, ví dụ: cách xem xét địa IP nguồn đích khơng mã hố số cổng TCP, xem xét lượng liệu truyền, người phân tích lưu lượng xác định bên dang tương tác, loại dịch vụ sử dụng, dành thông tin mối quan hệ doanh nghiệp cá nhân Hơn SSL khơng ngăn cơng có định hướng dựa vào phần thực thi TCP chẳng hạn công làm tràn ngập TCP SYN hoạc cưỡng đoạt sesion Để sử dụng bảo vệ SSL client lẫn server phải biết phía bên sử dụng SSL Nói chung có ba khả giải vấn đề : Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử  Sử dụng sổ cổng chuyên dụng dành riêng internet asigned numbers Authority (IANA) Trong trường hợp số cổng riêng biệt phải gán cho giao thức ứng dụng vốn sử dụng SSL  Sử dụng số cổng chuẩn cho giao thức ứng dụng để thương lượng tuỳ chọn bảo mật phần giao thức ứng dụng  Sử dụng tuỳ chọn TCP để thương lượng việc sử dụng giao thức bảo mật, chẳng hạn SSL suốt giai đoạn thiết lập nối kểt TCP thông thường Sự thương lượng dành riêng cho ứng dụng tùy chọn bảo mật (nghĩa khả thứ hai) có khuyết điểm đòi hỏi giao thức ứng dụng chỉnh sửa để hiểu tiến trình thương lượng Ngồi ra, việc xác định tuỳ chọn TCP (nghĩa khả thứ 3) giải pháp tốt, không Network Access thảo luận nghiêm túc Thực tế, số cổng riêng biệt dành riêng gán IANA cho giao thức ứng dụng vốn chạy SSL TLS (nghĩa khả thứ nhất) Tuy nhiên, ý việc sử dụng số cổng riêng biệt có khuyết điểm địi hỏi hai nối kết TCP client khơng biết mà server hỗ trợ Trước tiên, client phải nối kết với cổng an tồn sau với cổng khơng an tồn ngược lại Rất giao thức sau huỷ bỏ phương pháp tìm khả thứ hai Ví dụ, SALS (Simple Authentication Security Layer) xác định phù hợp để thêm hỗ trợ xác thực vào giao thức ứng dụng dựa vào kết nối Theo thông số kỹ thuật SALS, việc sử dụng chế xác thực thương lượng client server giao thức ứng dụng cho SSL Record protocol : Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử Hình 3.1: Các bước SSL Record protocol SSL Record Protocol nhận dử liệu từ giao thức SSL lớp cao sử lý việc phân đoạn, nén, xác thực mã hoá liệu Chính xác, giao thức lấy khối liệu có kích cỡ tuỳ ý làm liệu nhập toạ loạt đoạn liệu nhập tao loạt đoạn liệu SSL làm liệu xuất (hoặc gọi ghi) nhỏ 16,83 byte Các bước khác SSL Record Protocol vốn từ đoạn liệu thô đến ghi SSL Plaintext (bước phân đoạn), SSL Compressed (bước nén) SSL ciphertext (bước mã hoá) Sau cùng, SSL chứa thông tin sau đây: - Loại nội dung: xác định giao thức lớp cao vốn phải sử dụng để sau xử lý độ lớn liệu ghi SSL (sau giải nén giải mã hoá thích hợp) - Số phiên giao thức: xác định phiên SSL sử dụng (thường version 3.0) - Độ dài - Độ lớn liệu (được nến mã hoá tuỳ ý): độ lớn liệu ghi SSL nén mã hoá theo phương thức nén hành thông số mật mã xác định cho session SSL Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử - MAC Lúc đầu session SSL, phương pháp nén thông số mật mã thường xác định rỗng Cả hai xác lập xuốt trình thực thi ban đầu SSL Handshake Protocol.Sau MAC thêm vào ghi SSL Nó cung cấp dich vụ xác thực nguồn gốc tính tồn vẹn liệu Tương tự thuật toán mã hoá, thuật toán vốn sử dụng để tính xác nhận MAC xác định thông số mật mã trạng thái session hành Theo mặc định,SSL Record Protocol sử dụng cấu trúc MAC vốn tương tự khác với cấu trúc HMAC Có ba điểm khác biệt cấu trúc SSL MAC cấu trúc HMAC: Cấu trúc SSL MAC có số chuỗi thơng báo trước hash để ngăn hình thức cơng xem lại riêng biệt Cấu trúc SSL MAC có chiều dài ghi Cấu trúc SSL MAC sử dụng toán tử ghép, cấu trúc MAC sử dụng module Tất điểm khác biệt hữu chủ yếu cấu trúc SSL MAC đựơc sử dụng trước cấu trúc HMAC sử dụng cho thông số ki thuật giao thức bảo mật Internet Cấu trúc HMAC sử dụng cho thông số kĩ thuật giao thức TSL gần hơn.Một số giao thức SSL xếp lớp SSL Record Protocol Mỗi giao thức tham chiếu thông báo đến loại thông báo cụ thể vốn gửi cách sử dụng SSL Record Protocol Thông số kĩ thuật SSL 3.0 xác định ba giao thức SSL sau đây: - Alert Protocol - Handshake Protocol - Change Cipherpec Protocol Tóm lại, SSL Alert Protocol sử dụng để chuyển cảnh báo thông qua SSL Record Protocol Mỗi cảnh báo gồm phần, ảnh báo mô tả cảnh báo.SSL Handshake Protocol giao thức SSl sử dụng để hỗ trợ xác thực client server để trao đổi khố session Do SSL Handshake Protocol trình bày tổng quan thảo luận phần tiếp theo.Sau cùng, SSL ChangeCipherpec rotocol Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử sử dụng để thay đổi thông số mật mã thông số mật mã khác Mặc dù thông số mật mã thường thay đổi cuối thiết lập quan hệ SSL, thay đổi vào thời điểm sau Ngồi giao thức SSL này, SSL Application Data Protocol sử dụng đê chuyển trực tiếp lệu ứng dụng đến SSL Record Protocol SSL Handshake Protocol: SSL Handshake Protocol giao thức SSL xếp lớp SSL Record Protocol Kết quả, thông báo thiết lập quan hệ SSL cung cấp cho lớp ghi SSL nơi chúng bao bọc nhiều ghi SSL vốn xử lý chuyển xác định phương pháp nén thông số mật mã session SSL hành khoá mật mã nối kết SSL tương ứng Mục đích SSL Handshake Protocol yêu cầu slient server thiết lập trì thơng tin trạng thái vốn sử dụng để bảo vệ liên lạc Cụ thể hơn, giao thức phải yêu cầu slient server chấp thuận phiên giao thức SSL chung, chọn phương thức nén thông phức nén thông số mật mã, tuỳ ý xác thực tạo khố mật mà từ khoá session khác dành cho viêc xác thực mã hố thơng báo dẫn xuất từ 3.2.4.2 Cơ chế bảo mật SET (Secure Electronic Transaction): SET phương pháp bảo mật xây dựng nhằm bảo đảm an toàn giao dịch internet thể tín dụng Phiên tại, SET v1, chọn làm tiêu chuân bảo mật cho thẻ tín dụng nhờ Matercard Visa vào tháng năm 1996 Rất nhiều công ty tập chung phát triển xây dựng có IBM, Microsoft, Netscape, RSA, Tesia Versign Từ năm 1998 sản phẩm sử dụng SET triển khai Bản thân SET khơng phải hệ thống tốn, mà thực chất tập hợp giao thức bảo mật định dạng cho phép người dùng sử dụng thiết bị làm việc với thẻ tín dụng hệ thống mạng internet theo nguyên tắc bảo mật Về bản, SET cung cấp ba dịch vụ: - Cung cấp kênh truyền thơng an tồn tuyệt tất thành viên trình giao dịch - Sử dụng tiêu chuẩn chứng thực số X.509v3 để đảm bảo an toàn Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử - Giữ gìn riêng tư thông tin cung cấp cho thành viên giao dịch diễn vào thời điểm hay địa điểm cần thiết Các yêu cầu thương mại đảm bảo an tồn cho chi trả với thẻ tín dụng Internet nhờ mạng khác bao gồm: - Cung cấp tin cậy cho thông tin chi trả toán: Điều cần thiết để đảm bảo người dùng thể giữ gìn an tồn thơng tin thơng tin đến với người nhận mong đợi Sự tin cậy giảm bớt rủi ro gian lận giao dịch với đối tác thành viên thứ ba không mong muốn SET sử dụng mã hoá cung cấp tin cậy - Đảm bảo tính tốn tồn vẹn liệu truyền đi: Nghĩa đảm bảo nội dung bị thay đổi suốt trình giao dịch sử dụng SET Chữ ký số sử dụng để cung cấp toàn vẹn - Cung cấp chứng thực người sử dụng thẻ người sử dụng tài khoản thẻ tín dụng hợp pháp: Một chế liên kết người dùng thể tới số tài khoản xác định nhằm giảm thiểu gian lận trình mua bán chi trả Chữ ký số chế chứng nhận sử dụng để xác nhận người dùng thẻ người sở hữu tài khoản hợp lệ - Cung cấp chứng thực cho phép nhà kinh doanh chấp nhận giao dịch sử dụng thể tín dụng thơng qua mối quan hệ với tổ chức tài chính: Đây bổ sung cho yêu cầu có trước Người sử dụng thể cần nhận biết đâu nhà kinh doanh có đủ cách đảm bảo an toàn cho giao dịch Một lần nữa, chữ ký số chế chứng nhận sử dụng - Đảm bảo việc sử dụng cách tốt kỹ thuật xây dựng hệ thống độ an toàn thực tế để bảo vệ tất thành viên hợp pháp tồn q trình giao dịch: SET kiểm nghiệm tốt dựa thuật toán giao thức mã hoá an tồn cao - Xây dựng giao thức mà khơng phụ thuộc vào chế bảo mật giao dịch chế ngăn chặn khác dùng: SET thực thi an tồn stack TCP /IP “thô” Tuy nhiên, SET không gây trở ngại sử dụng chế bảo mật khác chẳng hạn IPSec SSL /TLS Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử - Tạo điều kiện khuyến khích khả phần mềm nhà cung cấp dịch vụ mạnh: Các giao thức định dạng SET độc lập với hạ tầng thiết bị phần cứng, hệ điều hành phần mềm Wed Các đặc trưng SET: Sau để cập tới yêu cầu cần có ta thấy SET bao gồm đặc trưng sau: - Thông tin cậy: Thông tin tài khoản thông tin cho việc chi trả bảo vệ truyền mạng Một điều thú vị quan trọng đặc trưng SET ngăn khơng cho nhà kinh doanh biết số thẻ tín dụng người sử dụng, mà điều cung cấp cho ngân hàng phát hành Quy ước mã hoá DES dùng để cung cấp tin cậy - Tồn vẹn liệu: Thơng tin chi trả từ người sử dụng thể tới nhà kinh doanh bao gồm thơng tin tốn, liệu cá nhân liệu cho việc chi trả SET đảm bảo việc nội dung thông điệp không bị biến đổi gửi Chữ ký số RSA, sử dụng mã băm SHA-1, đảm bảo tính tồn vẹn thơng điệp Các thơng điệp đảm bảo HMAC sử dụng SHA -1 - Chứng thực nhà kinh doanh: SET cho phép người sử dụng thẻ xác nhận nhà kinh doanh có quan hệ với nhà tài có khả chấp nhận thẻ chi trả Trong trường hợp SET có sử dụng chứng nhận số X.509v3 chữ ký số RAS Chú ý SET không giống IPSec SSL /TLS, cung cấp chọn lựa ứng với thuật toán mã hoá Đây khôn ngoan SET ứng dụng đơn độc lập với tập hợp yêu cầu riêng, mà có IPSec SSL /TLS đóng vai trị hỗ trợ phạm vi ứng dụng Các thành phần tham gia sử dụng SET: Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử - Hình 3.2: Các thành phần tham gia sử dụng SET Người dùng thẻ (cardholder): môi trường điện tử, khách hàng hay nhóm khách hàng có ảnh hưởng tới nhà kinh doanh từ máy tính cá nhân thơng qua internet Một người sử dụng thẻ người có quyền nắm giữ thẻ toán cung cấp nhà phát hành - Nhà kinh doanh(Merchant): Một nhà kinh doanh cá nhân hay tổ chức có dịch vụ bán hàng cho ngƣời dùng thẻ Các dịch vụ tiến hành thông qua website thư điện tử Một nhà kinh doanh chấp nhận thẻ tốn buộc phải có quan hệ với nhà trung gian(Acquirer) - Nhà phát hành(issuer): Đây tổ chức tài chính, chẳng hạn ngân hàng, cung cấp tài khoản người dùng với thẻ tốn Các tài khoản sử dụng thơng qua email cá nhân Về bản, nhà phát hành chịu trách nhiệm chi trả khoản tiền chưa trả người dùng thẻ - Nhà trung gian – Ngân hàng doanh nghiệp (Acquirer): Đây tổ chức tài thực việc thiết lập tài khoản nhà kinh doanh chứng thực trình chi trả thẻ Các nhà kinh doanh thường chấp nhận nhiều loại thẻ lại không muốn quan tâm đến nhiều tổ chức nhiều cá nhân cung cấp thẻ Trng nhà trung gian cung cấp việc chứng thực nhà kinh doanh cách đưa cho họ thẻ tài khoản tiện lợi giới hạn quyền đối Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử với loại thẻ Nhà trung gian cung cấp luân chuyển điện tử cho việc chi trả tài khoản nhà kinh doanh Sau cùng, nhà kinh doanh hoàn lại số tiền mà nhà phát hành có từ quỹ luân chuyển điện tử mạng chi trả - Cổng chi trả (payment gateway): Đây chức thực Nhà trung gian đươc xây dựng thành viên thứ ba nhằm xử lí thơng tin chi trả nhà kinh doanh Nhà trung gian trao đổi thông điệp SET với cổng chi trả thông qua internet, cổng chi trả hướng vào hay kết nối mạng tới hệ thống sử lí tài nhà trung gian - Quyền chứng nhận (Certification Authority- CA): Đây thực thể tin cậy để cung cấp chức nhận khố cơng khai X.509V3 cho người sử dụng thẻ, nhà kinh doanh công chi trả Thành công SET phụ thuộc vào tồn hạ tầng CA có giá trị Dưới mô tả lược đồ bao gồm cho kiện diễn giao dịch thuơng mại điện tử: - Khách hàng mở tài khoản: khách hàng có thẻ tín dụng MasteerCard hay Visa với ngân hàng có khả hỗ trợ chi trả điện tử STE - Khách hàng nhận chứng nhận: Sau nhận dạng hoàn tất, khách hàng nhận chứng nhận số X.509V3 Được kí ngân hàng.chứng nhận xác minh cơng khai RSA khách hàng hạn sử dụng Nó thiết lập quan hệ, bảo đảm ngân hàng, cặp khóa khách hàng thẻ tín dụng - Nhà kinh doanh có riêng chứng nhận họ: Một nhà kinh doanh muốn chấp nhận nhiều loại thẻ buộc phải sở hữu hai chứng nhận hai khố cơng khai riêng họ: Một cho kí nhận thơng điêp cho trao đổi khoá Nhà kinh doanh cần có chứng nhận khố cơng khai cổng chi trả - Khách hàng đặt tốn: Đây q trình bao gồm việc lựa chọn mặt hàng website nhà kinh doanh xác định giá Khách hàng gửi tới nhà kinh doanh danh sách mặt hàng muốn mua, họ nhận mẫu toán bao gồm danh sách mặt hàng, giá cả, tổng tiền số hoá đơn Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử - Nhà kinh doanh xác nhận: Thêm vào toán, nhà kinh doanh gửi chứng nhận nó, khách hàng tin tưởng có quan hệ với nhà kinh doanh hợp pháp - Việc toán chi trả gửi đi: Khách hàng gửi tới nhà kinh doanh thơng tin tốn chi trả với chứng nhận khách hàng: Thơng tin tốn bao gồm mặt hàng đặt mẫu hố đơn; thơng tin chi trả chứa nội dung chi tiết thẻ tín dụng Nó mã hố nhà kinh doanh biết được; chứng nhận khách hàng cho phép nhà kinh doanh xác nhận khách hàng - Nhà kinh doanh yêu cầu chứng thực chi trả: nhà kinh doanh chuyển thông tin tới cổng chi trả, u cầu xác thực thơng tin thẻ tín dụng khách hàng có phù hợp với việc mua sản phẩm đặt hay không - Nhà kinh doanh xác nhận toán: nhà kinh doanh gửi xác nhận toán tới khách hàng - Nhà kinh doanh cung cấp mặt hàng dịch vụ: nhà kinh doanh chuyển hàng cung cấp dịch vụ tới khách hàng - Nhà kinh doanh yêu cầu chi trả: yêu cầu gửi tới cổng chi trả Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử PHẦN III: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI Kết luận: - Hiểu rõ vấn đề thương mại điện tử - Tìm hiểu hệ mật mã, mã hóa - Tìm hiểu cách thức bảo mật an ninh thương mại điện tử Hướng phát triển: - Tìm hiểu sâu hệ mã hóa - Tìm hiểu triển khai cách thức bảo mật wesite thương mại điện tử Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử PHẦN IV: TÀI LIỆU THAM KHẢO Đề cương môn Thương Mại Điện Tử - Đại Học Sư Phạm Kỹ Thuật Hưng Yên Báo cáo Thương Mại Điện Tử năm 2012 TÀI LIỆU THAM KHẢO Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... tài ? ?Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử ” nhằm tìm hiểu rõ cách bảo mật, vấn đề an ninh thương mại điện tử - Mục tiêu nhiệm vụ nghiên cứu đề tài Đề tài nghiên cứu kỹ thuật. .. dịch thương Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử mại điện tử Nhà cung cấp dịch vụ mạng. .. Thanh Hải – Thanh Hằng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu kỹ thuật bảo mật an ninh mạng thương mại điện tử CHƯƠNG III: BẢO MẬT THÔNG TIN TRONG THƯƠNG MẠI