i ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG NGUYỄN THỊ KIM HUỆ CHỮ KÝ SỐ TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Nguyên - 2015 Số hoá Trung tâm Học liệu – ĐHTN n ii MỤC LỤC MỤC LỤC i LỜI CAM KẾT .v LỜI CẢM ƠN vi DANH MỤC CÁC TỪ VIẾT TẮT vii DANH MỤC HÌNH VẼ VÀ BẢNG BIỂU viii MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ 1.1 Khái niệm thương mại điện tử 1.1.1 Thương mại truyền thống 1.1.2 Thương mại điện tử 1.1.3 Nhu cầu công nghệ thông tin thương mại điện tử 1.2 Các đặc trưng thương mại điện tử 10 1.3 Lợi ích thương mại điện tử 11 1.3.1.Thu thập nhiều thông tn 11 1.3.2 Giảm chi phí sản xuất 12 1.3.3 Giảm chi phí bán hàng tiếp thị giao dịch 12 1.3.4 Xây dựng quan hệ đối tác 12 1.3.5 Tạo điều kiện sớm tiếp cận kinh tế tri thức 13 1.4 Giao dịch thương mại điện tử nguy an toàn thông tin 14 1.5 Kết luận 15 CHƯƠNG 2: AN TỒN THƠNG TIN VÀ CHỮ KÝ SỐ TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ 17 Số hoá Trung tâm Học liệu – ĐHTN n iii 2.1 Tổng quan an toàn bảo mật thông tin 17 2.1.1 An tồn bảo mật thơng tn 17 2.1.2 Mục tiêu an tồn bảo mật thơng tn 19 2.1.3 An tồn thơng tin mật mã 19 2.1.4 Nhu cầu an tồn bảo mật thơng tin thương mại điện tử 26 2.2 Chữ ký số 28 2.2.1 Chữ ký số chữ ký viết tay 28 2.2.2 Khái niệm chữ ký số 30 2.2.3 Đặc điểm chữ ký số 31 2.2.4 Vai trò chữ ký số 32 2.2.5 Lược đồ chữ ký số 33 2.2.6 Phân loại chữ ký số 35 2.3 Một số sơ đồ chữ ký số 36 2.3.1 Sơ đồ chữ ký số RSA 36 2.3.2 Sơ đồ chữ ký Elgama 40 2.3.3 Sơ đồ chữ ký DSA 45 2.4 Hàm băm 49 2.4.1 Sơ lược hàm băm 49 2.4.2 Lý sử dụng hàm băm chữ ký số 50 2.4.3 Hàm băm SHA-1 51 2.5 Hạ tầng khóa cơng khai PKI 53 2.5.1 Khái niệm 53 2.5.2 Cấu trúc vai trò PKI chương trình 54 2.5.3 Chứng số 55 2.6 Kết luận 58 CHƯƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM CHỮ KÝ SỐ TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ .59 Số hoá Trung tâm Học liệu – ĐHTN n iv 3.1 Đặt vân đê 59 3.2 Ứng dụng chữ ký số nhằm đảm bảo thơng tn q trình giao dịch bên 59 3.2.1 Những khía cạnh cần thiết an tồn thơng tin 59 3.2.2 Mô tả giao dịch thử nghiệm 60 3.3 Cài đặt thử nghiệm 61 3.3.1 Yêu cầu phần cứng phần mềm 61 3.3.2 Mô tả mơ đun giao diện chương trình Demo 61 3.4 Kết luận 65 KẾT LUẬN 66 Kết luận văn 66 Hướng nghiên cứu 66 TÀI LIỆU THAM KHẢO 67 Số hoá Trung tâm Học liệu – ĐHTN n v LỜI CAM KẾT Tài liệu sử dụng luận văn thu thập từ nguồn kiến thức hợp pháp, có trích dẫn nguồn tài liệu tham khảo Chương trinh s dụng mã nguồn mở, có xuất xứ Dưới giúp đỡ nhiệt tình bảo chi tết giáo viên hướng dẫn, tơi hồn thành luận văn Tôi xin cam kết luận văn thân làm nghiên cứu, không trùng hay chép Số hoá Trung tâm Học liệu – ĐHTN n vi LỜI CẢM ƠN Để hồn thành chương trình cao học viết luận văn này, em nhận giúp đỡ đóng góp nhiệt tnh thầy trường Đại học Công nghệ thông tin Truyền thông, Đại học Thái Nguyên Trước hết, em xin chân thành cảm ơn thầy cô khoa Đào tạo sau đại học, tận tình giảng dạy, trang bị cho em kiến thức quý báu suốt năm học qua Đặc biệt em xin gửi lời cảm ơn sâu sắc đến PGS.TS Đỗ Trung Tuấn - người dành nhiều thời gian, cơng sức tận tình hướng dẫn cho em suốt trình làm luận văn Xin chân thành cảm ơn gia đình, bạn bè nhiệt tnh ủng hộ, giúp đỡ, động viên vật chất lẫn tinh thần thời gian học tập nghiên cứu Trong trình thực luận văn, cố gắng không tránh khỏi thiếu sót Kính mong nhận cảm thơng tận tình bảo thầy bạn Số hoá Trung tâm Học liệu – ĐHTN n vii DANH MỤC CÁC TỪ VIẾT TẮT ANSI American Natonal Standards Institute B2B Business to business B2C Business to customers Client Khách, Máy khách Client/ server Khách / chủ CNTT Công nghệ Thông tn CSDL Cơ sở liệu DB Database DC Data Communication IDE Integrated Development Environment ISO Internatonal Organization for Standardization LHQ Liên hiệp quốc Server Máy chủ, phía máy chủ SQL Structured Query Language TMĐT Thương mại điện tử XML eXtensible Markup Language DSS Digital Signature Standard CA Xác thực, certficate authoring RSA Tên thuât toan khóa cơng khai , theo tên ba người sáng lập Ron Rivest, Adi Shamir Leonard Adleman Public Key Infrastructure PKI Digital Signature Scheme Lược đồ ký số DSA Digital Signature Algorithm SHA Security Hash Algorithm, thuât toán băm an tồn SHA Số hố Trung tâm Học liệu – ĐHTN n viii DANH MỤC HÌNH VẼ VÀ BẢNG BIỂU Bảng 1.1: So sánh bước chu trình mua bán TM truyền thống TMĐT Hình 1.1 Mơ hình giao dịch B2B Hình 1.2 Mơ hình giao dịch B2C Hình 2.1 Sơ đồ mã hóa giải mã 22 Hình 2.2 Sơ đồ hoạt động mã hóa đối xứng 23 Hình 2.3 Sơ đồ hoạt động mã hóa bất đối xứng 25 Bảng 2.1 So sánh chữ ký viết tay chữ ký số 30 Hình 2.4 Quy trình tạo chữ ký số 34 Hình 2.5 Quy trình xác thực chữ ký số 35 Hình 2.6 Quá trình sinh chữ ký số 38 Hình 2.7 Quá trình xác nhận chữ ký số 39 Hình 2.8 Sơ đồ ElGalma 41 Hình 2.9 Sơ đồ chữ ký DSA 46 Hình 2.10 Thí dụ hàm băm 49 Hình 2.11 Chức thành phần hệ thống PKI 54 Hình 3.1 Vai trò xác thực người dùng 60 Hình 3.2 Mơ đun tạo cặp khóa RSA cho người dùng 62 Hình 3.3 Mơ đun tạo chữ ký số 63 Hình 3.4 Mơ đun kiểm tra chữ ký số 64 Số hoá Trung tâm Học liệu – ĐHTN n MỞ ĐẦU Với phát triển nhanh chóng Internet, với phát triển kinh tế theo hướng đại việc trao đổi thơng tin, giao dịch hay mua bán hàng hóa…theo phương thức trực tếp ngày giảm mà thay vào dịch vụ qua Internet Dịch vụ thương mại điện tử (TMĐT) (Electronic-Commerce) bước phát triển nhảy vọt việc ứng dụng Internet vào sống kinh doanh Thông qua TMĐT, nhiều loại hình kinh doanh hình thành, có việc mua bán hàng hóa dịch vụ mạng Với hình thức tết kiệm thời gian cho người têu dùng việc tiếp cận, lựa chọn hàng hóa theo nhu cầu, sở thích việc tốn Đồng thời tăng tính cạnh tranh, mở rộng thị trường, giảm chi phí bán hàng tiếp thị cho doanh nghiệp kinh doanh Thương mại điện tử [14], hay gọi e-commerce, e-comm hay EC, mua bán sản phẩm hay dịch vụ hệ thống điện tử Internet mạng máy tính Thương mại điện tử dựa số công nghệ chuyển tền điện tử, quản lý chuỗi dây chuyền cung ứng, tếp thị Internet, trình giao dịch trực tuyến, trao đổi liệu điện tử (EDI), hệ thống quản lý hàng tồn kho, hệ thống tự động thu thập liệu Thương mại điện tử đại thường thực công nghệ World Wide Web, kèm theo thiết bị công nghệ như: Email, điện thoại di động… Thương mại điện tử phần thiếu môi trường kinh doanh điện tử (e-business), đảm bảo cho vấn đề trao đổi liệu, toán dịch vụ mạng Internet E-commerce phân chia thành [14]: E-tailing (bán lẻ trực tuyến) "cửa hàng ảo" trang web với danh mục trực tuyến, gom thành "trung tâm mua sắm ảo" Trao đổi liệu điện tử (EDI), trao đổi liệu Doanh nghiệp với Doanh nghiệp Số hoá Trung tâm Học liệu – ĐHTN n Email fax, cách sử dụng chúng phương tiện cho việc tiếp cận thiếp lập mối quan hệ với khách hàng (ví dụ tn - newsletters) Việc mua bán Doanh nghiệp với Doanh nghiệp Bảo mật giao dịch kinh doanh Tóm lại, thương mại điện tử xảy môi trường kinh doanh mạng Internet phương tiện điện tử nhóm (cá nhân) với thơng qua cơng cụ, kỹ thuật công nghệ điện tử Nhưng đồng nghĩa với việc bên mua bên bán không gặp trực tếp mà trao đổi thông tn, giao dịch qua Internet phương tiện điện tử nên dễ xảy tnh trạng lừa đảo, giả mạo thông tin, gây mát thông tin tài sản Vì vậy, điều quan trọng thương mại điện tử tnh ràng buộc pháp lý nhằm bảo đảm thông tn bên hoạt động kinh doanh, mua bán hàng hóa, dịch vụ Chữ ký số thành tố quan trọng TMĐT, nhằm đảm bảo độ an tồn thơng tin, tính tồn vẹn liệu chống chối bỏ trách nhiệm nội dung ký đối tác thực hoạt động kinh doanh, nghiệp vụ, dịch vụ,… với ràng buộc pháp lý Thấy lợi ích sử dụng chữ ký số tài liệu giao dịch đối tác thương mại điện tử đồng ý giáo viên hướng dẫn, chọn đề tài “Chữ ký số giao dịch thương mại điện tử” làm nội dung nghiên cứu cho luận văn Luận văn gồm chương: Chương 1: Tổng quan thương mại điện tử Chương 2: An toàn thông tin chữ ký số giao dịch thương mại điện tử Chương 3: Cài đặt thử nghiệm chữ ký số giao dịch TMĐT Cuối luận văn phần kết luận danh sách tài liệu tham khảo Số hoá Trung tâm Học liệu – ĐHTN n  Đáp ứng đăng ký thẻ người sử dụng  Xác thực người sử dụng phân phối thẻ chứng thực đến họ  Thu hồi thẻ chứng thực hết hạn  Tạo private key public key cho PKI client [19] 2.5.2 Cấu trúc vai trò PKI chương trình Hệ thống PKI bao gồm thành phần sau [19]:  PKI Client  Certficaton Authority (CA) – Cơ quan ban hành chứng thực  Registraton Authority (RA) – Nhà quản lý đăng ký Hình 2.11 Chức thành phần hệ thống PKI 2.5.2.1 Cơ quan ban hành chứng thực CA Cơ quan chứng thực CA: quan tn cậy để xác thực nhận dạng thực thể liên quan giao dịch điện tử Nhiệm vụ CA tiếp nhận yêu cầu người dùng từ RA, tạo lưu trữ cặp khóa bí mật/cơng khai, tạo chứng số cấp cho người dùng [9] 2.5.2.2 Nhà quản lý đăng ký RA Là quan trung gian người đăng ký CA, làm nhiệm vụ tiếp nhận xác minh thủ tục đăng ký chứng số người sử dụng Ngồi RA hỗ trợ CA q trình quản lý chứng số người dùng 2.5.2.3 PKI client PKI client thực thể yêu cầu cấp chứng số gửi tới cho RA Các thực thể người dùng cá nhân cần sử dụng chứng số cho giao dịch điện tử như: giao dịch thương mại điện tử, chuyển khoản,…hoặc cá nhân, tổ chức, doanh nghiệp cần sử dụng chứng số cho hoạt động tổ chức: kê khai thuế qua mạng… 2.5.2.4 Các thành phần khác Ngồi ba thành phần trên, để hệ thống PKI hoạt động hiệu có nhiều thành phần hỗ trợ khác như: văn quy định hướng dẫn đăng ký chứng số CA công bố, văn chi tiết quyền lợi người dùng sử dụng chứng số cấp CA, hệ thống hỗ trợ người dùng sử dụng kiểm tra trạng thái chứng số CA ban hành Một khó khăn hệ thống khóa bất đối xứng đảm bảo khóa cơng khai mà người nhận dùng để chứng thực xác khóa cơng khai nhận từ đối tác Đó lý đời PKI, PKI đóng vai trò bên trung gian để kiểm tra cung cấp thông tin người sở hữu khóa cho người cần chứng thực cần thiết Trong luận văn tác giả xây dựng tìm hiểu PKI mức sơ khai với chức bản: tạo khóa, cấp phát, chứng thực, kiểm tra người dùng client 2.5.3 Chứng số 2.5.3.1 Giới thiệu chứng số Chứng số tệp tn điện tử dùng để xác minh danh tnh cá nhân, máy chủ, cơng ty,… Internet Nó giống lái xe, hộ chiếu, chứng minh thư hay giấy tờ xác minh cá nhân Để có chứng minh thư, bạn phải quan Công An sở cấp Chứng số vậy, phải tổ chức đứng chứng nhận thông tn đăng ký xác, gọi Nhà cung cấp chứng thực số (CA - Certficate Authority) CA phải đảm bảo độ tn cậy, chịu trách nhiệm độ xác chứng số mà cấp Trong chứng số có ba thành phần chính:  Dữ liệu cá nhân người cấp;  Khóa cơng khai người cấp;  Chữ ký số CA cấp chứng [11] Trong đó: Dữ liệu cá nhân: bao gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức, v.v Các thông tin giống thơng tin chứng minh thư người Khố công khai: giá trị nhà cung cấp chứng thực đưa khóa mã hố, kết hợp với khoá cá nhân tạo từ khố cơng khai để tạo thành cặp mã khoá bất đối xứng Chữ ký số CA cấp chứng chỉ: gọi chứng gốc Đây xác nhận CA, bảo đảm tính xác hợp lệ chứng Muốn kiểm tra chứng số, trước tiên phải kiểm tra chữ ký số CA có hợp lệ hay khơng Trên chứng minh thư, dấu xác nhận Công An Tỉnh Thành phố mà bạn trực thuộc Về nguyên tắc, kiểm tra chứng minh thư, đầu tên phải xem dấu này, để biết chứng minh thư có bị làm giả hay khơng [11] 2.5.3.2 Lợi ích chứng số Một số lợi ích chứng số đáp ứng khả an toàn cho người dùng tham gia giao dịch điện tử [11]:  Tính bảo mật: người gửi mã hố thơng tin khố cơng khai người nhận, chắn có người nhận có khóa bí mật giải mã thơng tin để đọc Trong q trình truyền qua Internet, dù có đọc gói tin mã hố này, kẻ xấu khơng thể biết gói tin có thơng tin Đây tính quan trọng, giúp người sử dụng hoàn toàn tn cậy khả bảo mật thơng tin  Tính tồn vẹn: người gửi gửi thơng tn, liệu email, có sử dụng chứng số, người nhận kiểm tra thông tin người gửi có bị thay đổi hay khơng Bất kỳ sửa đổi hay thay nội dung thông điệp gốc bị phát  Tính xác thực: người gửi gửi thơng tin kèm chứng số, người nhận xác định rõ danh tính người gửi Xác thực tnh quan trọng việc thực giao dịch điện tử qua mạng, thủ tục hành với quan pháp quyền Các hoạt động cần phải xác minh rõ người gửi thông tin để sử dụng tư cách pháp nhân Đây tảng Chính phủ điện tử, mơi trường cho phép cơng dân giao tếp, thực cơng việc hành với quan nhà nước hồn tồn qua mạng Có thể nói, chứng số phần thiếu, phần cốt lõi Chính phủ điện tử  Tính chống chối cãi nguồn gốc: sử dụng chứng số, bạn phải chịu trách nhiệm hồn tồn thơng tn mà chứng số kèm Trong trường hợp người gửi chối cãi, phủ nhận thơng tin khơng phải gửi (chẳng hạn đơn đặt hàng qua mạng) Trong trường hợp đó, CA cung cấp chứng số cho hai bên chịu trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông tn gửi 2.6 Kết luận Chương trình bày khái niệm sư dung h ệ thống dùng chữ ký số nói chung, áp dụng cho trình mua bán thương mại điện tử Các hệ thống chữ ký công khai RSA, ElGalma… bao gồm sơ đồ chữ ký số, thuật tốn hạ tầng khóa cơng khai trình bày sở hệ thống chữ kí số Chương sau ứng dụng nh ững kiến thức lí thuyết an tồn liệu nói chung, mật mã nói riêng, hệ thống mua bán điện tử CHƯƠNG CÀI ĐẶT VÀ THỬ NGHIỆM CHỮ KÝ SỐ TRONG GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ 3.1 Đặt vân đê Quá trình giao dịch thương mại điện tử phức tạp, diễn bên tham gia Thương mại điện tử dựa số công nghệ chuyển tiền điện tử, quản lý chuỗi dây chuyền cung ứng, tếp thị Internet, trình giao dịch trực tuyến, trao đổi liệu điện tử (EDI), hệ thống quản lý hàng tồn kho, hệ thống tự động thu thập liệu Thương mại điện tử đại thường sử dụng mạng World Wide Web điểm phải có chu trình giao dịch, bao gồm phạm vi lớn mặt công nghệ email, thiết bị di động điện thoại Luận văn giới hạn tìm hiểu thử nghiệm xác thực chữ ký số, mối liên hệ bên mua bán hàng, trang web trực tuyến thương mại điện tử… 3.2 Ứng dụng chữ ký số nhằm đảm bảo thơng tin q trình giao dịch bên 3.2.1 Những khía cạnh cần thiết an tồn thơng tin Các u cầu giao dịch thương mại điện tử gồm:  Đảm bảo tnh bí mật: tính bí mật nội dung thơng điệp truyền thực mã hóa trước gửi  Đảm bảo tính tồn vẹn nguồn gốc người gửi thông điệp: thực nhờ chữ ký số dựa mã hóa khóa cơng khai Hình 3.1 Vai trò xác thực người dùng 3.2.2 Mơ tả giao dịch thử nghiệm Trong trình giao dịch thương mại điện tử, việc truyền thông điệp đảm bảo an tồn qua việc mơ tả q trình ký kiểm tra chữ ký sau: Bước 1: Tạo cặp khóa cơng khai khóa bí mật Để cho phép mã hóa tệp tin người gửi người nhận, hai bên phải tạo cặp khóa cơng khai khóa bí mật cho riêng Để đảm bảo tnh xác thực khóa cơng khai bên, chứng số khóa cơng khai sử dụng Bước 2: Trao đổi kiểm tra khóa cơng khai với nhau, đồng thời tiến hành xác minh xem khóa chung có phải người gửi hay khơng Bước 3: Ký vào thông điệp gửi Người gửi sử dụng khóa bí mật để mã hóa (ký) vào thơng điệp (file liệu), sau lưu File gửi cho người nhận Bước 4: Giải mã kiểm tra chữ ký Khi nhận thông điệp, người nhận sử dụng khóa cơng khai người gửi để giải mã hàm băm kiểm tra chữ ký 3.3 Cài đặt thử nghiệm 3.3.1 Yêu cầu phần cứng phần mềm Chương trình thử nghiệm ứng dụng viết java Các yêu cầu phần cứng phần mềm sau: Yêu cầu phần cứng Máy tính xách tay máy tnh để bàn, tốc độ từ 1.5GHz, nhớ RAM 1GB Yêu cầu phần mềm  Hệ điều hành Windows XP, Windows Windows  Bộ công cụ lập trình NetBeans IDE 8.0.2  Bộ cơng cụ phát triển Java JDK từ 7.0 3.3.2 Mô tả mô đun giao diện chương trình Demo Chương trình thử nghiệm sử dụng thuật tốn mã hóa khóa cơng khai RSA Chương trình thiết kế thành mơ đun: mơ đun tạo khóa, mơ đun tạo chữ ký mô đun kiểm tra chữ ký Các thao tác số nguyên lớn sử dụng tạo khóa, mã hóa giải mã thơng điệp thực dựa lớp BigInteger thư viện java 3.3.2.1 Mơ đun tạo khóa Mơ đun có chức sinh cặp khóa RSA cho bên tham gia giao dịch Mơ đun sinh cặp khóa theo thuật tốn RSA sau:  Sinh ngẫu nhiên hai số nguyên tố lớn p q  Tính n = p.q  Tính (n) = (p-1).(q-1)  Chọn e, với 1< e