58 Trang 8 5 DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮTViết tắtViết đầy đủÝ nghĩaDOS Denail of Service Tấn công từ chối dịch vụ DDOS Distributed Denial of Service Tấn công từ chối dịch vụ p
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ĐẶNG VÂN ANH ĐẶNG VÂN ANH CÔNG NGHỆ THƠNG TIN AN TỒN VÀ BẢO MẬT THƠNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ LUẬN VĂN THẠC SĨ KỸ THUẬT NGÀNH CÔNG NGHỆ THÔNG TIN 2011-2013 Hà Nội - Năm 2013 Tai ngay!!! Ban co the xoa dong chu nay!!! 17061131648201000000 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ĐẶNG VÂN ANH AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN LUẬN VĂN THẠC SĨ KỸ THUẬT CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS TS NGUYỄN LINH GIANG Hà Nội – Năm 2013 LỜI CẢM ƠN Trong thời gian thực luận văn này, tơi ln đƣợc quan tâm, góp ý kiến thầy giáo PGS.TS Nguyễn Linh Giang Nhân dịp xin bày tỏ lời cảm ơn chân thành tới thầy giáo PGS TS Nguyễn Linh Giang, ngƣời trực tiếp hƣớng dẫn dành nhiều thời gian để sửa chữa, bổ sung vào trang thảo luận văn Tôi xin chân thành cảm ơn thầy cô giáo viện Công nghệ Thông tin Trƣờng ĐH Bách khoa Hà Nội, giảng viên truyền đạt kiến thức, kỹ năng, kinh nghiệm nghề nghiệp Tôi xin chân thành cảm ơn Ban giám hiệu, tập thể giáo viên khoa Công nghệ Thông tin trƣờng Đại học Sƣ phạm Kỹ thuật Hƣng Yên, gia đình bạn lớp cao học Cơng nghệ Thơng tin khố 20112013 tạo điều kiện giúp đỡ, động viên, chia sẻ để tơi hồn thành luận văn Bản luận văn cịn nhiều thiếu sót, mong đƣợc thầy cô giáo hội đồng chấm luận văn xem xét, góp ý kiến để luận văn đƣợc hồn thiện Tôi xin chân thành cảm ơn! Hà Nội, tháng năm 2013 LỜI CAM ĐOAN Tôi xin cam đoan, tơi viết luận văn tìm hiểu nghiên cứu thân Mọi kết nghiên cứu nhƣ ý tƣởng tác giả khác có đƣợc trích dẫn nguồn gốc cụ thể Luận văn chƣa đƣợc bảo vệ hội đồng bảo vệ luận văn thạc sĩ toàn quốc nhƣ nƣớc ngồi chƣa đƣợc cơng bố phƣơng tiện thông tin Tơi xin hồn tồn chịu trách nhiệm mà cam đoan Hà Nội, ngày 02 tháng năm 2013 Tác giả Đặng Vân Anh MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT DANH MỤC CÁC BẢNG, SƠ ĐỒ MỞ ĐẦU NỘI DUNG 10 CHƢƠNG I CÁC GIAO DỊCH TRONG THƢƠNG MẠI ĐIỆN TỬ 10 1.1 Các hình thức hoạt động thƣơng mại điện tử 10 1.1.1 Thư tín điện tử: 10 1.1.2 Thanh toán điện tử 10 1.1.3 Trao đổi liệu điện tử 11 1.1.4 Giao gửi số hóa dung liệu 11 1.1.5 Bán lẻ hàng hóa hữu hình 12 1.2 Giao dịch thƣơng mại điện tử 13 1.3 Các bên tham gia thƣơng mại điện tử 13 CHƢƠNG II AN TOÀN BẢO MẬT TRONG THƢƠNG MẠI ĐIỆN TỬ 15 2.1 Các cách công thƣơng mại điện tử 15 2.1.1 Thăm dò 15 2.1.2 Truy cập 15 2.1.3 Kiểu công từ chối dịch vụ DoS 16 2.2 Các biện pháp bảo vệ hệ thống thƣơng mại điện tử 19 2.2.1 Cơ chế mã hóa 19 2.2.2 Chứng thực số hóa 20 2.2.3 Giao thức thỏa thuận mã khóa 22 2.2.4 Chữ ký điện tử 22 2.2.5 An ninh mạng tƣờng lửa 25 2.3 Một số giao thức bảo mật thông dụng ứng dụng Web 26 2.3.1 Cơ chế bảo mật SSL (Secure Socket Layer) 27 2.3.2 Cơ chế bảo mật SET 30 2.4 Một số kỹ thuật công bảo mật ứng dụng web 31 2.4.1 Kỹ thuật công SQL Injection cách phòng chống 31 2.4.2 Chèn mã lệnh thực thi trình duyệt nạn nhân 36 2.4.3 Thao tác tham số truyền URL 38 CHƢƠNG III MƠ HÌNH THANH TỐN TRONG THƢƠNG MẠI ĐIỆN TỬ 40 3.1 Thanh toán qua Planet Payment 40 3.2 Thanh tốn thẻ tín dụng 41 3.3 Thanh toán thông qua Ngân Lƣợng 42 3.3.1 Giới thiệu chung ví điện tử 42 3.3.2 Giới thiệu Ngân Lƣợng 42 3.3.3 Đặc trƣng hình thức tốn Ngân Lƣợng 44 3.4 Thanh toán qua Paypal 47 3.4.1 Giới thiệu Paypal 47 3.4.2 Tại lại lựa chọn Paypal? 47 3.4.3 Đặc điểm Paypal 47 3.4.3 Đăng ký tài khoản Paypal 50 3.4.4 Chi tiết bƣớc toán PayPal 50 CHƢƠNG IV THỰC NGHIỆM BẢO MẬT THANH TOÁN TRÊN WEBSITE 51 4.1 Tổng quan hệ thống website 51 4.1.1 Chức hệ thống 51 4.1.2 Ngƣời sử dụng 51 4.1.3 Yêu cầu chức 52 4.1.4 Yêu cầu phi chức 52 4.2 Các rủi ro thƣờng gặp giao dịch điện tử biện pháp bảo vệ website 54 4.2.1 Đăng nhập 56 4.2.2 Thông tin sản phẩm 57 4.2.3 Q trình đặt hàng tốn 58 4.3 Ƣu điểm, hạn chế giải pháp toán Ngân Lƣợng 61 4.3.1 Ƣu điểm 61 4.3.2 Khó khăn hạn chế 64 4.3.3 Một số giải pháp 65 KẾT LUẬN 67 TÀI LIỆU THAM KHẢO 69 PHỤ LỤC 70 DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Viết tắt Viết đầy đủ Ý nghĩa DOS Denail of Service Tấn công từ chối dịch vụ DDOS Distributed Denial of Service Tấn công từ chối dịch vụ phân phối TMĐT Thƣơng mại điện tử Thƣơng mại điện tử LAN Local Area Network Mạng cục TCP/IP Transmission Control Bộ giao thức truyền thông Protocol/ Internet Protocol SSL Secure Sockets Layer Giao thức bảo mật lớp vận chuyển TLS Transport Layer Sercurity Giao thức bảo mật lớp vận chuyển IANA Internet Assigned Authority SET Secure Electronic Transaction RSA RonRivest, AdiSHamir& Len Thuật toán mã hóa cơng khai ( viết Adleman tắt tên nhà sáng lập) SHA-1 SQL Sercure Hash Algorithm Structured Query Language API URL Application Interface Uniform Resource Locator Siêu liên kết NM Ngƣời mua Ngƣời mua NB Ngƣời bán Ngƣời bán NL Ngân lƣợng Ngân lƣợng SNAD Significautly Described INR TTTT Item Not Received Thanh toán trực tuyến Hàng khơng nhận đƣợc Thanh tốn trực tuyến EDI Electronic Data Interchange Trao đổi liệu điện tử CSS Cross- Site Scripting Kỹ thuật công thẻ HTML hoăc mã script Number Tổ chức cấp phát số liệu Internet Giao dịch điện tử an toàn Giải thuật băm an tồn Ngơn ngữ truy vấn mang tính cấu trúc Programming Giao diện lập trình ứng dụng Not As Hàng đến nhƣng khác so với mô tả DANH MỤC CÁC BẢNG, SƠ ĐỒ TT Tên Nội dung Trang Hình 2.1 Sơ đồ mã hóa dùng khóa riêng 21 Hình 2.2 Ví dụ chứng thực số hóa 22 Hình 2.3 Các bƣớc mã hóa chữ ký số 24 Hình 2.4 Các bƣớc kiểm tra thơng điệp ký 24 Hình 2.5 Mơ hình hoạt động chữ ký điện tử 25 Hình 2.6 Hình 2.7 Bảng 2.1 Hình 3.1 Quy trình tốn thẻ tín dụng 41 10 Hình 3.2 Ví điện tử 42 11 Hình 3.3 12 Hình 4.1 Sơ đồ trình mua hàng trực tuyến 55 13 Hình 4.2 Mơ hình hoạt động tốn trực tuyến NL 61 14 Hình 4.3 Sơ đồ bƣớc tốn qua NL 61 15 Hình 4.4 Sơ đồ tổng quan bƣớc xử lý khiếu nại 63 16 Bảng 4.1 Bảng phí giao dịch hành 64 Vị trí cảu phƣơng tiện bảo mật cấu trúc giao thức TCP/IP 27 28 Kiến trúc SSL Các số cổng đƣợc gán cho giao thức ứng dụng chạy TLS/SSL Mơ hình cổng tốn trung gian, hỗ trợ ngƣời bán TMĐT vừa nhỏ 29 46 MỞ ĐẦU Lý chọn đề tài Với phát triển mang tính tồn cầu mạng Internet TMĐT ngƣời mua bán hàng hóa dịch vụ thơng qua mạng máy tính cách dễ dàng lĩnh vực thƣơng mại rộng lớn Tuy nhiên giao dịch mang tính nhạy cảm cần phải có chế đảm bảo an toàn bảo mật Ngày thấy việc xây dựng website TMĐT khơng cịn mẻ với ngƣời sử dụng Internet, đặc biệt nhà kinh doanh khách hàng lĩnh vực TMĐT Trƣớc thói quen tâm lý mua hàng khách hàng Việt Nam thiếu niềm tin vào giao dịch mạng, lo lắng sợ mát thông tin tài khoản, thông tin cá nhân, toán trực tuyến Việc xây dựng website bán hàng phong phú chủng loại mặt hàng, đa dạng mẫu mã sản phẩm, an tồn, nhanh chóng q trình mua sắm tốn vấn đề cấp bách Đó yếu tố quan trọng để phát triển TMĐT Việt Nam Vấn đề an toàn bảo mật thông tin TMĐT phải đảm bảo bốn yêu cầu sau đây: - Đảm bảo tin cậy: Các nội dung thông tin không bị theo dõi chép thực thể không đƣợc ủy thác - Đảm bảo tồn vẹn: Các nội dung thơng tin không bị thay đổi thực thể không đƣợc ủy thác - Sự chứng minh xác thực: Không trá hình nhƣ bên hợp pháp q trình trao đổi thơng tin - Khơng thể thối thác trách nhiệm: Ngƣời gửi tin khơng thể thối thác nội dung thông tin thực tế gửi Xuất phát từ khả ứng dụng thực tế ứng dụng có từ kết nghiên cứu trƣớc lĩnh vực An toàn Bảo mật TMĐT Đề tài sâu nghiên cứu kỹ thuật lĩnh vực an tồn bảo mật thơng tin giao dịch thƣơng mại điện tử thơng qua mơ hình website bán hàng