ĐẠI HỌC THÁI NGUYÊN KHOA CÔNG NGHỆ THÔNG TIN -  VŨ ANH TUẤN BẢO MẬT VÀ AN TỒN THƠNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ LUẬN VĂN THẠC SĨ KHOA HỌC CÔNG NGHỆ THÔNG TIN Chuyên ngành : Khoa học máy tính Mã số : 60 48 01 Người hướng dẫn khoa học: PGS.TS NGUYỄN GIA HIỂU THÁI NGUYÊN 2008 Mục lục Nội dung Trang Lời nói đầu I Nội dung nghiên cứu đề tài Mục tiêu nhiệm vụ nghiên cứu đề tài ý nghĩa khoa học đề tài 3 Phƣơng pháp nghiên cứu Phạm vi nghiên cứu Các kết nghiên cứu dự kiến cần đạt đƣợc II Bố cục luận văn Chƣơng I : CÁC KHÁI NIỆM VÒ TMĐT VÀ CÁC ĐẶC TRƢNG CỦA TMĐT Khái niệm TMĐT Lợi ích thƣơng mại điện tử Các đặc trƣng TMĐT Các loại thị trƣờng điện tử Các hệ thống toán TMĐT 10 Công nghệ toán điện tử 11 Quy trình tốn điện tử 12 Ch-ơng II : hệ mật mã, mã khoá đối xứng, mã khoá công khai, chữ ký số 14 I tỉng quan vỊ c¸c hƯ mËt m· 14 Mật mã học cổ điển 14 Mật mã học đại 15 Thuật ngữ 16 Tiêu chuẩn mật mã 17 ii ph-ơng pháp mã hoá 19 Mó hố đối xứng (mã hố khố bí mật) 19 Mã hóa khơng đối xứng (Mã hóa khóa cơng khai) 29 iii CHỮ KÝ Sè 36 Chữ kí số 36 Phân loại sơ đồ chữ kí số 37 Một số sơ đồ chữ ký 40 3.1 Sơ đồ chữ ký RSA 40 3.2 Sơ đồ chữ ký DSA (Digital Signature Standard) 42 Các sơ đồ chữ kí số khả thi 46 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Néi dung Trang Các cách cơng chữ kí điện tử 47 Ch-ơng III : bảo mật an toàn thông tin tmđt 49 i vấn đề an toàn thông tin 49 II chứng số chế mã hoá 51 Giới thiệu chứng số 51 Xác thực định danh 52 Chứng khóa cơng khai 54 Mơ hình CA 57 Một số giao thức bảo mật ứng dụng TMĐT 57 CHƢƠNG IV: cµi đặt bảo mật an toàn thông tin website mua bán linh kiện máy tính mạng internet 74 I Các chức hoạt động cđa hƯ thèng website 74 Tổ chức liệu 74 Quản trị thông tin 75 Mã hóa RSA áp dụng hệ thống 75 Thực mua hàng 75 5.Cách thức thực mã hóa giải mã 76 II cài đặt chức bảo mật an toàn thông tin web site mua bán linh kiƯn m¸y tÝnh 77 Thủ tục đăng kí thành viên 77 Khách hàng lựa chọn mua hàng website 79 kÕt luËn 82 Tài liệu tham khảo 83 Số hóa Trung tâm Học liệu – Đại hc Thỏi Nguyờn http://www.lrc-tnu.edu.vn lời nói đầu Vi s phát triển mang tính tồn cầu mạng Internet TMĐT, ngƣời mua bán hàng hố dịch vụ thơng qua mạng máy tính tồn cầu cách dễ dàng lĩnh vực thƣơng mại rộng lớn Tuy nhiên giao dịch mang tính nhạy cảm cần phải có chế đảm bảo bảo mật an tồn vấn đề bảo mật an tồn thơng tin thƣơng mại điện tử vấn đề quan trọng Đề tài đề cập đến kỹ thuật lĩnh vực Bảo mật an tồn thơng tin thƣơng mại điện tử Hiện vấn đề Bảo mật an tồn thơng tin TMĐT đƣợc áp dụng phổ biến rộng rãi Việt Nam phạm vi tồn cầu Vì vấn đề Bảo mật an toàn đƣợc nhiều ngƣời tập trung nghiên cứu tìm giải pháp để đảm bảo Bảo mật an toàn cho hệ thống thông tin mạng Tuy nhiên cần phải hiểu khơng có hệ thống thơng tin đƣợc bảo mật 100% hệ thống thơng tin có lỗ hổng bảo mật an toàn mà chƣa đƣợc phát Vấn đề bảo mật an tồn thơng tin TMĐT phải đảm bảo bốn yêu cầu sau đây: - Đảm bảo tin cậy : Các nội dung thông tin không bị theo dõi chép thực thể khơng đƣợc uỷ thác - Đảm bảo tồn vẹn : Các nội dung thông tin không bị thay đổi thực thể không đƣợc uỷ thác - Sự chứng minh xác thực : Khơng tự trá hình nhƣ bên hợp pháp trình trao đổi thơng tin - Khơng thể thối thác trách nhiệm : Ngƣời gửi tin khơng thể thối thác việc nội dung thông tin thực tế gửi Xuất phát từ khả ứng dụng thực tế ứng dụng có từ kết nghiên cứu trƣớc lĩnh vực Bảo mật an toàn TMĐT Đề tài sâu nghiên cứu kỹ thuật phƣơng pháp Bảo mật an toàn thơng tin thƣơng mại điện tử Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn I Nội dung nghiên cứu đề tài Mục tiêu nhiệm vụ nghiên cứu đề tài - Đề tài nghiên cứu kỹ thuật phƣơng pháp để thực nhiệm vụ Bảo mật an tồn thƣơng mại điện tử, q trình thực kiến thức khoa học thuật toán liên quan nhƣ: Xác thực, Bảo mật, Bảo toàn liệu, Mật mã, Chữ ký số - Áp dụng kết nghiên cứu để triển khai hệ thống Bảo mật an toàn TMĐT ý nghĩa khoa học đề tài  Áp dụng kết nghiên cứu để xây dựng kỹ thuật Bảo mật an toàn thƣơng mại điện tử với số tính nhƣ: Hệ thống chứng thực, Các chế phân bố khoá tự động, Mã hố thơng tin cần thiết, kỹ thuật ngăn ngừa rui ro TMĐT  Vấn đề Bảo mật an toàn mạng vấn đề nóng hổi hoạt động thực tiễn TMĐT, giải tốt vấn đề bảo mật an toàn TMĐT mang lại ý nghĩa to lớn nhƣ: Làm cho khách hàng tin tƣởng thực giao dịch mạng, nhà cung cấp dịch vụ giao dịch trực tuyến nhƣ ISP đảm bảo đƣợc thông tin khách hàng giao dịch mạng đƣợc an toàn Phương pháp nghiên cứu  Thu thập, phân tích tài liệu thông tin liên quan đến đề tài  Tìm hiểu giao dịch thƣơng mại điện tử số Website nƣớc, thu thập thông tin bảo mật giao dịch thƣơng mại điện tử có  Kết hợp nghiên cứu có trƣớc tác giả nƣớc với bảo, góp ý thầy hƣớng dẫn để hoàn thành nội dung nghiên cứu Phạm vi nghiên cứu  Các vấn đề bảo mật chứng thực thƣơng mại điện tử Hàm băm, thuật toán mã hoá đối xứng DES và bất đối xứng nhƣ mã khố cơng khai RSA, sử dụng chữ ký số DSA RSA, giao thức bảo mật mạng nhƣ: SSL, TLS, SET  Các kỹ thuật sử dụng phƣơng pháp kết hợp hệ mật mã bảo mật Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn  Do có hạn chế định sở vật chất điều kiện tiếp cận thực tế với lĩnh vực an toàn bảo mật thƣơng mại điện tử nên việc cài đặt ứng dụng chủ yếu mang tính thử nghiệm Các kết nghiên cứu dự kiến cần đạt  Các vấn đề bảo mật chứng thực thƣơng mại điện tử, sử dụng chữ ký số, Các kỹ thuật sử dụng phƣơng pháp kết hợp hệ mật mã bảo mật  Cài đặt thử nghiệm vấn đề bảo mật an toàn thƣơng mại điện tử nghiên cứu Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn II, Bố cục luận văn Chƣơng I : CÁC KHÁI NIỆM VÒ TMĐT VÀ CÁC ĐẶC TRƢNG CỦA TMĐT Khái niệm TMĐT Lợi ích thƣơng mại điện tử Các đặc trƣng TMĐT Các loại thị trƣờng điện tử Các hệ thống tốn TMĐT Cơng nghệ tốn điện tử Quy trình tốn điện tử Chƣơng II : HỆ MẬT MÃ, MÃ KHOÁ ĐỐI XỨNG, MÃ KHỐ CƠNG KHAI, CHỮ KÝ Sè I, Tổng quan hệ mật mã Mã hoá khố đối xứng: Thuật tốn q trình tạo khố Mã hố khố cơng khai: Hoạt động, tạo khố, mã hoá, giải mã, chuyển đổi văn rõ II, Chữ ký số Khái niệm chữ ký số Phân loại chữ ký số Một số sơ đồ chữ ký số Đánh giá tính an toàn sơ đồ chữ ký số Chƣơng III : BẢO MẬT VÀ AN TOÀN TRONG TMĐT An tồn thơng tin Cơ chế mã hố Chứng thực số hoá Một số giao thức bảo mật ứng dụng TMĐT - Các vấn đề bảo mật ứng dụng WEB - Cơ chế bảo mật SSL TSL Cơ chế bảo mật SET Chƣơng IV: CÀI ĐẶT VÀ PHÁT TRIỂN CÁC ỨNG DỤNG - Cài đặt ứng dụng bảo mật an tồn thơng tin, chøng thùc số hoá, chữ ký số trờn WEBSITE mua bán máy tính mạng INTERNET Kt lun S húa bi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn ch-ơng i : khái niệm TMĐT đặc tr-ng TMĐT Khỏi nim v TMT Thng mại điện tử hình thức mua bán hàng hố dịch vụ thơng qua mạng máy rính tồn cầu TMĐT theo nghĩa rộng đƣợc định nghĩa luật mẫu thƣơng mại điện tử Uỷ ban LHQ luật thƣơng mại quốc tế: “Thuật ngữ thương mại cần diễn giải theo nghĩa rộng để bao quát vấn đề phát sinh từ quan hệ mang tính chất thương mại dù có hay khơng có hợp đồng Các quan hệ mang tính chất thương mại bao gồm giao dịch sau đây: Bất giao dịch thương mại cung cấp trao đổi hàng hoá dịch vụ, thoả thuận phân phối, đại diện đại lý thương mại, uỷ thác hoa hồng, cho th dài hạn, xây dựng cơng trình, tư vấn, kỹ thuật cơng trình, đầu tư, cấp vốn, ngân hàng, bảo hiểm, thoả thuận khai thác tô nhượng, liên doanh hình thức khác hợp tác cơng nghiệp kinh doanh, chuyên chở hàng hoá hay hành khách đường biển, đường không, đường sắt đường bộ” Nhƣ vậy, thấy phạm vi Thƣơng mại điện tử rộng, bao quát hầu hết lĩnh vực hoạt động kinh tế, việc mua bán hàng hoá dịch vụ hàng ngàn lĩnh vực áp dụng Thƣơng mại điện tử Theo nghĩa hẹp TMĐT gồm hoạt động thƣơng mại đƣợc tiến hành mạng máy tính mở nhƣ Internet Trên thực tế hoạt động thƣơng mại thông qua mạng Internet làm phát sinh thuật ngữ Thƣơng mại điện tử Thƣơng mại điện tử gồm hoạt động mua bán hàng hoá dịch vụ qua phƣơng tiện điện tử, giao nhận nội dung kỹ thuật số mạng, chuyển tiền điện tử, mua bán cổ phiếu điện tử, vận đơn đơn điện tử, đấu giá thƣơng mại, hợp tác thiết kế, tài nguyên mạng, mua sắm công cộng, tiếp thị trực tuyến tới ngƣời tiêu dùng dịch vụ sau bán hàng Thƣơng mại điện tử đƣợc thực thƣơng mại hàng hố (ví dụ nhƣ hàng tiêu dùng, thiết bị y tế chuyên dụng) thƣơng mại dịch vụ (ví dụ nhƣ dịch vụ cung cấp thơng tin, dịch vụ pháp lý, tài chính) Các hoạt động truyền thống nhƣ chăm sóc sức khoẻ, giáo dục hoạt động (nhƣ siêu thị ảo) Thƣơng mại điện tử trở thành cách mạng làm thay đổi cách thức mua săm ngƣời Lợi ích TMĐT Xuất phát từ kinh nghiệm thực tế trình hoạt động thƣơng mại điện tử TMĐT mang lại cho ngƣời xã hội lợi ích sau: Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 2.1 Thu thập nhiều thông tin TMĐT giúp cho cá nhân tham gia thu đƣợc nhiều thông tin thị trƣờng, đối tác, giảm chi phí tiếp thị giao dịch, rút ngắn thời gian sản xuất, tạo dựng củng cố quan hệ bạn hàng Các doanh nghiệp nắm đƣợc thông tin phong phú kinh tế thị trƣờng, nhờ xây dựng đƣợc chiến lƣợc sản xuất kinh doanh thích hợp với xu phát triển thị trƣờng nƣớc, khu vực quốc tế Điều đặc biệt có ý nghĩa doanh nghiệp vừa nhỏ, đƣợc nhiều nƣớc quan tâm coi động lực phát triển kinh tế 2.2 Giảm chi phí sản xuất TMĐT giúp giảm chi phí sản xuất, trƣớc hết chi phí văn phòng Các văn phòng khơng giấy tờ chiếm diện tích nhỏ nhiều, chi phí tìm kiếm chuyển giao tài liệu giảm nhiều lần khâu in ấn gần nhƣ bỏ hẳn Theo số liệu hãng General Electricity Mỹ tiết kiệm lĩnh vực đạt tới 30 % Điều quan trọng hơn, với góc độ chiến lƣợc nhân viên có lực đƣợc giải phóng khỏi nhiều cơng đoạn vụ tập trung vào nghiên cứu phát triển, đƣa đến lợi ích to lớn lâu dài 2.3 Giảm chi phí bán hàng, tiếp thị giao dịch TMĐT giúp giảm thấp chi phí bán hàng chi phí tiếp thị Bằng phƣơng tiện Internet / Web nhân viên bán hàng giao dịch với nhiều khách hàng, catalogue điện tử web phong phú nhiều so với catalogue in ấn có khn khổ giới hạn ln ln lỗi thời, catalogue điện tử web đƣợc cập nhật thƣờng xuyên TMĐT qua Internet / Web giúp ngƣời tiêu thụ doanh nghiệp giảm đáng kể thời gian chi phí giao dịch Thời gian giao dịch qua Internet 7% thời gian giao dịch qua FAX, khoảng 0.5 phần nghìn thời gian giao dịch qua bƣu điện chuyển phát nhanh, chi phí tốn điện tử qua Internet 10% đến 20% chi phí tốn theo lối thông thƣờng 2.4 Xây dựng quan hệ đối tác Thƣơng mại điện tử tạo điều kiện cho việc thiết lập củng cố mối quan hệ thành viên tham gia q trình thƣơng mại thơng qua mạng Internet thành viên tham gia giao tiếp trực tiếp (liên lạc trực tuyến) liên tục với nhau, có cảm giác nhƣ khơng có khoảng cách địa lý thời gian nữa, nhờ hợp tác quản lý đƣợc tiến hành nhanh chóng cách liên tục, bạn hàng mới, hội kinh doanh đƣợc phát nhanh chóng phạm vi tồn giới có nhiều hội để lựa chọn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 2.5 Tạo điều kiện sớm tiếp cận kinh tế tri thức Trƣớc hết TMĐT kích thích phát triển nghành CNTT tạo sở cho phát triển kinh tế tri thức Lợi ích có ý nghĩa lớn nƣớc phát triển, không nhanh chóng tiếp cận kinh tế tri thức sau khoảng thập kỷ nƣớc phát triển bị bỏ rơi hồn tồn Khía cạnh lợi ích mang tính chiến lƣợc cơng nghệ tính sách phát triển cần cho nƣớc cơng nghiệp hố Các đặc trƣng TMĐT So với hoạt động thƣơng mại truyền thống, TMĐT có số đặc trƣng sau: 3.1 Các bên tiến hành giao dịch thương mại điện tử không tiếp xúc trực tiếp với khơng đòi hỏi phải biết từ trước Trong thƣơng mại truyền thống bên thƣờng gặp gỡ trực tiếp để tiến hành giao dịch Các giao dịch đƣợc thực chủ yếu theo nguyên tắc vật lý nhƣ chuyển tiền, séc, hoá đơn, vận đơn, gửi báo cáo Các phƣơng tiện viễn thông nhƣ: Fax, telex, đƣợc sử dụng để chao đổi số liệu kinh doanh Tuy nhiên việc sử dụng phƣơng tiện điện tử thƣơng mại truyền thống để chuyển tải thông tin cách trực tiếp đối tác giao dịch Thƣơng mại điện tử cho phép tất ngƣời tham gia từ vùng xa xôi hẻo lánh đến khu vực đô thị rộng lớn, tạo điều kiện cho tất ngƣời khắp nơi có hội ngang tham gia vào thị trƣờng giao dịch tồn cầu khơng đòi hỏi thiết phải có mối quen biết với 3.2 Các giao dịch thương mại truyền thống thực với tồn khái niệm biên giới quốc gia, thương mại điện tử thực thị trường khơng có biên giới (thị trường thống toàn cầu) Thương mại điện tử trực tiếp tác động tới mơi trường cạnh tranh tồn cầu Thƣơng mại điện tử phát triển máy tính cá nhân trở thành cửa sổ cho doanh nghiệp hƣớng thị trƣờng khắp giới Với TMĐT doanh nhân dù thành lập kinh doang Nhật Bản, Đức Chi lê , mà bƣớc khỏi nhà, công việc trƣớc phải nhiều năm 3.3 Trong hoạt động giao dịch TMĐT có tham gia ba chủ thể, có bên khơng thể thiếu người cung cấp dịch vụ mạng, quan chứng thực Trong TMĐT chủ thể tham gia quan hệ giao dịch giống nhƣ giao dịch thƣơng mại truyền thống xuất bên thứ nhà cung cấp dịch vụ mạng, quan chứng thực ngƣời tạo môi trƣờng cho giao Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 10 Sau nhận SERVERHELLO thông tin kèm, client xác nhận chứng nhận site server (nếu đƣợc cung cấp) hợp lệ kiểm tra nhằm bảo đảm thông số bảo mạt đƣợc cung cấp thông báo SERVERHELLO đƣợc chấp nhận Nếu server yêu cầu xác thực client, client gửi thông báo CERTIFICATE vốn chúa chứn nhận cá nhân cho khoá chung ngƣời dùng đến server bƣớc Tiếp theo, client gửi thơng báo CLIENTKEYEXCHANGE có dạng phụ thuộc vào thuật toán cho khoá chọn server Nếu RSA đƣợc sử dụng cho việc xác thực server trao đổi khố, client tạo khố mật tiềnchính 48 byte, mã hố mã chung đƣợc tìm thấy chứng nhận site khố RSA tạm thời từ thơng báo SERVERKEYEXCHSNGE gửi kết troqr thông báo CLIENTKEYEXCHANGE lần lƣợt server sử dụng khoá đơn để giả mã khố mật Nếu token FORTEZZA đƣợc sử dụng để trao đổi khoá, client dẫn xuất khoá mã hoá token (TEK) cách sử dụng KEA Cách tìm KEA client sử dụng khố chung từ chứng nhận server với số tham số riêng token client Client gửi tham số chung cần thiết cho server để tạo TEK, sử dụng tham số riêng Nó tạo khố mật chính, bao bọc cách sử dụng TEK gửi kết với số vector khởi tạo đến server nhƣ phần thông báo CLIENTKEYEXCHANGE Lần lƣợt server giải mã khố mật cách thích hợp Thuật tốn trao đổi khố không đƣợc sử dụng rộng rãi Nêu s xác thực client đƣợc yêu cầu, client gửi thông báo CERTIFICATEVERIFY đến server Thông báo đƣợc sử dụng đẻ cung cấp xác thực rõ ràng định danh cua ngƣời dựa vào chứng nhận nhân Nó đƣợc gửi theo sau chứng client vốn có khả tạo chữ kí (tất chứng nhận ngoại trừ chứng nhận chứa tham số Diffehallman cố định) Sau cùng, client hoàn tất bƣớc cách guỉ thông báo CHAGECIPHERSPEC thông báo FINIHED tƣơng ứng tới server Thông báo FINIHED đƣợc guỉƣ sau thông báo CHANGERCIPERSPEC để xác nhận tiến trình trao đổi khố xác thực thành công Thực tế thông báo FINISHED thong báo vốn đƣợc bảo vệ thuật toán đuợc thƣơng lƣợng khoá session Nó đƣợc tạo đƣợc xác nhận nhƣng khoá đƣợc cài đặt cách phù hợp hai phía Khơng đòi hỏi báo nhận thơng báo FINISHED; phía bắt đầu gửi liệu đƣợc mã hoá sau gởi thông báo FINISHED Việc thực thi SSL Handshake Protocol hàn tất việc yêu câỳu server gơI thông báo SERVERKEYEXCHANGE thông váo FINISHED tƣơng ứng đến client bƣớc Sau thiết lập SSL hoàn tất, nối kết an toàn đƣợc thiết lập client server nối kết đƣợc sử dụng để gởi liệu ứng dụng vốn đƣợc bao bọc SSL Record Protocol Chính xác hơn, liệu ứng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 70 dụng đƣợc phân đoạn, đƣợc nén, đợc mã hoá đƣợc xác thực theo SSL Record Protocol nhƣ thông tin trạng tháI session nối kết vốn đƣợc thiết lập (tuỳ thuộc việc thực thi SSL Handshake Protocolt) SSL Handshake Protocol đƣợc rút ngắn client server định tiếp tục lại session SSL đƣợc thiết lập trƣớc (và đƣợc lƣ trữv) lặp lại session SSL có Trong trƣờng hợp này, ba dòng thơng báo tơng cộng sáu thơng báo đƣợc u cầu, Các dòng thơng báo tƣơng ƣng tóm tắt nhƣ sau: 1: C -> S: CLIENTHELLO 2: S-> C: SERVERHELLO CHANECIPHERSPEC FINISHES 3: S-> CHANECIPHERSPEC INISHES bƣớc một, client gởi thông báo CLIENTHELLO đến server vốn có mặc định danh session cần đƣợc tiếp tục lại Lần lƣợt server kiểm tra cache session để tìm mục tƣơng hợp Nếu mục tƣơng hợp đƣợc tìm thấy, server muốn tiếp tục lại nối kết bên dƣới trạng tháI session xác định, trả thơng báo SERVERHELLO với định danh session bƣớc Vào thời điểm này, client lẫn server phảogởi thông báo CHANECIPHERSPEC FINISHES đến bƣớc Một việc tái thiết lập session hoàn tất, client server bắt đầu liệu ứng dụng 5.3 Bảo mật giao dịch điện tử ( Secure Electronic Transaction – SET) SET phƣơng pháp bảo mật đƣợc xây dựng nhằm bảo đảm an toàn giao dịch internet thể tín dụng Phiên tại, SET v1, đƣợc chọn làm tiêu chuân bảo mật cho thẻ tín dụng nhƣ Matercard Visa vào tháng năm 1996 Rất nhiều công ty tập chung phát triển xây dựng tong có IBM, Microsoft, Netscape, RSA, Tesia Versign Từ năm 1998 sản phẩm sử dụng SET đƣợc triển khai Bản thân SET hệ thống tốn, mà thực chất tập hợp giao thức bảo mật định dạng cho phép ngƣời dùng sử dụng thiết bị làm việc với thẻ tín dụng hệ thống mạng nhƣ internet theo nguyên tắc bảo mật Về bản, SET cung cấp ba dịch vụ:  Cung cấp kênh truyền thơng an tồn tuyệt tất thành viền trình giao dịch Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 71  Sử dụng tiêu chuẩn chứng thực số X.509v3 để đảm bảo an tồn  Giữ gìn riêng tƣ thơng tin cung cấp cho thành viên giao dịch diễn vào thời điểm hay địa điểm cần thiết 5.3.1.Tổng quan SET Các yêu cầu: Trƣớc tiên ta xem xét yêu cầu thƣơng mại mà SET cần có nhƣ thành phần khác tham gia giao dịch sử dụng SET, yêu cầu thƣơng mại đảm bảo an toàn cho chi trả với thẻ tín dụng Internet nhƣ mạng khác bao gồm:  Cung cấp tin cậy cho thơng tin chi trả tốn: Điều cần thiết để đảm bảo ngƣời dùng thể giữ gìn an tồn thơng tin nhƣ thông tin đến đƣợc với ngƣời nhận đƣợc mong đợi Sự tin cậy giảm bớt rủi ro đôI với gian lận giao dịch với đối tác nhƣ thành viên thứ ba khơng mong muốn SET sử dụng mã hố cung cấp tin cậy  Đảm bảo tính tốn tồn vẹn liệu đƣợc truyền đ: Nghĩa đảm bảo khơng có nội dung bị thay đổi suốt trình giao dịch sử dụng SET Chữ ký số đƣợc sử dụng để cung cấp toàn vẹn  Cung cấp chứng thực ngƣời sử dụng thẻ ngƣời sử dụng tài khoản thẻ tín dụng hợp pháp: Một chế liên kết ngƣời dùng thể tới số tài khoản xác định nhằm giảm thiểu gian lận trình mua bán chi trả Chữ ký số chế chứng nhận đƣợc sử dụng để xác nhận ngƣời dùng thẻ ngƣời sở hữu tài khoản hợp lệ  Cung cấp chứng thực cho phép nhà knh doanh chấp nhận giao dịch sử dụng thể tín dụng thơng qua mối quan hệ với tổ chức tài chính: Đây bổ sung cho yêu cầu có trƣớc Ngƣời sử dụng thể cần nhận biết đƣợc đâu nhà kinh doanh có đủ tƣ cách đảm bảo an toàn cho giao dịch Một lần nữa, chữ ký số chế chứng nhận đƣợc sử dụng  Đảm bảo việc sử dụng cách tốt kỹ thuật xây dựng hệ thống độ an toàn thực tế để bảo vệ tất thành viên hợp pháp tồn q trình giao dịch: SET kiểm nghiệm tốt dựa thuật toán giao thức mã hố an tồn cao  Xây dựng giao thức mà không phụ thuộc vào chế bảo mật giao dịch nhƣ chế ngăn chặn khác dùng: SET thực thi an tồn stack TCP /IP “thơ” Tuy nhiên, SET không gây trở ngại sử dụng chế bảo mật khác chẳng hạn nhƣ IPSec SSL /TLS Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 72  Tạo điều kiện khuyến khích khả phần mềm nhà cung cấp dịch vụ mạnh: Các giao thức định dạng SET độc lập với hạ tầng thiết bị phần cứng, hệ điều hành phần mềm Wed Các đặc trƣng SET: Sau để cập tới yêu cầu cần có ta thấy SET bao gồm đặc trƣng sau:  Thông tin cậy: Thông tin tài khoản thông tin cho việc chi trả đƣợc bảo vệ đƣợc truyền đI mạng Một điều thú vị quan trọng đặc trƣng SET ngăn khơng cho nhà kinh doanh bết đƣợc số thẻ tín dụng ngƣời sử dụng, mà điều đƣợc cung cấp cho ngân hàng phát hành Quy ƣớc mã hoá đƣợc DES dùng để cung cấp tin cậy  Tồn vẹn liệu: Thơng tin chi trả từ ngƣời sử dụng thể tới nhà kinh doanh bao gồm thơng tin tốn, liệu cá nhân liệu cho việc chi trả SET đảm bảo việc nội dung thông điệp không bị biến đổi gửi Chữ ký số RSA, sử dụng mã băm SHA -1, đảm bảo tính tồn vẹn thông điệp Các thông điệp đƣợc đảm bảo HMAC sử dụng SHA -1  Chứng thực nhà kinh doanh: SET cho phép ngƣời sử dụng thẻ xác nhận nhà kinh doanh có quan hệ với tơt choc tài có khả chấp nhận thẻ chi trả Trong trƣờng hợp SET có sử dụng chứng nhận số X.509v3 chữ ký số RAS Chú ý SET khơng giống nhƣ IPSec SSL /TLS, cung cấp chọn lựa ứng với thuật toán mã hố Đây khơn ngoan SET ứng dụng đơn độc lập với mộ tập hợp yêu cầu riêng, mà có IPSec SSL /TLS đóng vai trò hỗ trợ phạm vi ứng dụng 5.3.2.Các thành phần tham gia sử dụng SET Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 73  Ngƣời dùng thẻ (cardholder): môi trƣờng điện tử, khách hàng hay nhóm khách hàng có ảnh hƣởng tới nhà kinh doanh từ máy tính cá nhân thông qua internet Một ngƣời sử dụng thẻ ngƣời có quyền nắm giữ thẻ tốn đƣợc cung cấp nhà phát hành  Nhà kinh doanh(Merchant): Một nhà kinh doanh cá nhân hay tổ chức có dịch vụ bán hàng cho ngƣời dùng thẻ Các dịch vụ đƣợc tiến hành thông qua website thƣ điện tử Một nhà kinh doanh chấp nhận đƣợc thẻ toán buộc phải có quan hệ với nhà trung gian(Acquirer)  Nhà phát hành(issuer): Đây tổ chức tài chính, chẳng hạn nhƣ ngân hàng, cung cấp tài khoản ngƣời dùng với thẻ toán Các tài khoản đƣợc sử dụng thông qua imail cá nhân Về bản, nhà phát hành chịu trách nhiệm chi trả khoản tiền chƣa trả ngƣời dùng thẻ  Nhà trung gian – Ngân hàng doanh nghiệp (Acquirer): Đây tổ chức tài thực việc thiết lập tài khoản nhà kinh doanh chứng thực trình chi trả thẻ Các nhà kinh doanh thƣờng chấp nhận nhiều loại thẻ nhƣng lại không muốn quan tâm đến nhiều tổ chức nhƣ nhiều cá nhân cung cấp thẻ Trng nhà trung gian cung cấp việc chứng thực nhà kinh doanh cách đƣa cho họ thẻ tài khoản tiện lợi giới hạn quyền loại thẻ Nhà trung gian cung cấp luân chuyển điện tử cho việc chi trả tài khoản nhà kinh doanh Sau cùng, nhà kinh doanh đƣợc hoàn lại số tiền mà nhà phát hành có đƣợc từ quỹ luân chuyển điện tử mạng chi trả  Cổng chi trả (payment gateway): Đây chức thực Nhà trung gian đƣơc xây dựng thành viên thứ ba nhằm xử lí thơng tin chi trả nhà kinh doanh Nhà trung gian trao đổi thông điệp SET với cổng chi trả thơng qua internet, cổng chi trả hƣớng vào hay kết nối mạng tới hệ thống sử lí tài nhà trung gian  Quyền chứng nhận (Certification Authority- CA): Đây thực thể đƣợc tin cậy để cung cấp chức nhận khố cơng khai X.509V3 cho ngƣời sử dụng thẻ, nhà kinh doanh công chi trả Thành công SET phụ thuộc vào tồn hạ tầng CA có giá trị Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 74 Dƣới mô tả lƣợc đồ bao gồm cho kiện đƣơc diễn giao dịch thƣơng mại điện tử: Khách hàng mở tài khoản: khách hàng có đƣợc thẻ tín dụng nhƣ MasteerCard hay Visa với ngân hàng có khả hỗ trợ chi trả điện tử STE Khách hàng nhận chứng nhận: Sau nhận dạng hoàn tất, khách hàng nhận đƣợc chứng nhận số X.509V3, Đƣợc kí ngân hàng.chứng nhận xác minh công khai RSA khách hàng hạn sử dụng Nó thiết lập quan hệ, đƣợc bảo đảm ngân hang, cặp khoả khách hàng thẻ tín dụng Nhà kinh doanh có riêng chứng nhận họ: Một nhà kinh doanh muốn chấp nhận nhiều loại thẻ buộc phải sở hữu hai chứng nhận hai khố cơng khai riêng họ: Một cho kí nhận thơng điêp cho trao đổi khố Nhà kinh doanh cần có bả chứng nhận khố công khai cổng chi trả Khách hàng đặt tốn: Đây q trình bao gồm việc lựa chọn mặt hàng webside nhà kinh doanh xác định giá Khách hàng gửi tới nhà kinh doanh danh sách mặt hàng muốn mua, họ nhận đƣợc mẫu toán bao gồm danh sách mặt hàng, giá cả, tổng tiền số hoá đơn Nhà kinh doanh xác nhận: Thêm vào toán, nhà kinh doanh gửi chứng nhận nó, khách hàng tin tƣởng có quan hệ với nhà kinh doanh hợp pháp Việc toán chi trả gửi đi: Khách hàng gửi tới nhà kinh doanh thơng tin tốn chi trả với chứng nhận khách hàng: Thơng tin tốn bao gồm mặt hàng đặt mẫu hoá đơn; thông tin chi trả chứa nội dung chi tiết thẻ tín dụng Nó đƣợc mã hố nhà kinh doanh biết đƣợc; chứng nhận khách hàng cho phép nhà kinh doanh xác nhận khách hàng Nhà kinh doanh yêu cầu chứng thực chi trả: nhà kinh doanh chuyển thông tin tới cổng chi trả, yêu cầu xác thực thông tin thẻ tín dụng khách hàng có phù hợp với việc mua sản phẩm đặt hay không Nhà kinh doanh xác nhận toán: nhà kinh doanh gửi xác nhận toán tới khách hàng Nhà kinh doanh cung cấp mặt hàng dịch vụ: nhà kinh doanh chuyển hàng cung cấp dịch vụ tới khách hàng 10 Nhà kinh doanh yêu cầu chi trả: yêu cầu đƣợc gửi tới cổng chi trả (Quả lý tất q trình chi trả) Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 75 CHNG IV cài đặt bảo mật an toàn thông tin website mua bán linh kiện máy tính mạng internet I Các chức hoạt động hệ thống website Nh ó trỡnh by chƣơng 1, chƣơng chƣơng luận văn nghiên cứu hệ mật mã khoá đới xứng khố cơng khai nhƣ việc nghiên cứu giao thức chế bảo mật thƣơng mại điện tử sử dụng SSL/TLS, SET, tác giả định lựa chọn hệ mật mã DES giải thuật chữ ký số DSA cho phần cài đặt ứng dụng Trong luận văn này, em khơng sâu vào việc trình bày q trình phân tích hệ thống cho việc xây dựng website bán hàng trực tuyến mà trình bày ý nghĩa phần hệ thống đƣợc xây dựng bao gồm chức thông thƣờng nhƣ chức bảo mật đƣợc cài đặt Các mơ tả q trình chứng thực, bảo mật lớp sở liệu nhƣ trình tƣơng tác đối tƣợng trình chứng thực khách hàng đƣợc mô tả sơ đồ sau: Đặt hàng Chứng thực khách hàng Khách hàng Tổ chức liệu - Website bao gồm có trang: • Trang chủ • Trang thơng tin nhóm hàng: ví dụ Máy tính sách tay, thiết bị văn phòng…  Trang thơng tin chi tiết sản phẩm: hiển thị thông tin chi tiết sản phẩm, qua khách hàng thực thao tác khác nhƣ: chọn mua hàng  Trang thông tin đơn hàng: sau khách hàng lựa chọn nhiều sản phẩm cần mua, gồm thông tin nhƣ: mã sản phẩm, tên sản phẩm, số lƣợng cần mua… lập thành đơn hàng Trên trang đơn hàng này, khách hàng thực chức khác nhƣ : o Tiếp tục mua hàng: tiếp tục chọn thêm sản phẩm khác muốn mua Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 76 o Chấp nhận mua hàng: gửi thông tin đơn hàng lên hệ thống, xác nhận nhu cầu mua hàng o Hủy đơn hàng: xóa bỏ tất sản phẩm lựa chọn, từ chọn lại sản phẩm o Cập nhật đơn hàng: lựa chọn lại số lƣợng sản phẩm đơn hàng, từ hệ thống tính lại giá tiền cho tổng cộng sản phẩm chọn Quản trị thông tin - Ngƣời quản trị hệ thống cập nhật thơng tin sản phẩm lên website, từ khác hàng lựa chọn xem, mua - Mỗi sản phẩm gồm thông tin quan trọng là: Mã sản phẩm, giá bán Các thơng tin khác có ý nghĩa cung cấp hiểu biết cho khách hàng Mã hóa RSA áp dụng hệ thống Đăng ký thành viên  Mỗi ngƣời truy cập vào hệ thống, muốn thực việc mua hàng, đăng ký mua hàng phải đăng ký trở thành thành viên website Q trình việc cấp cho khách hàng “tên đăng nhập”, “mật đăng nhập” “cặp khóa cơng khai – khóa bí mật theo thuật tốn RSA” Với đầy đủ thơng tin này, khách hàng thực đƣợc giao dịch mua hàng website  Chi tiết bƣớc đăng ký thành viên gồm bƣớc nhƣ sau: o Đăng ký thành viên: cung cấp thông tin nhƣ: tên đăng nhập, địa hòm thƣ, mật khẩu… o Hệ thống kiểm tra tính Tên đăng nhập & địa thƣ Nếu đƣợc sử dụng hệ thống, khách hàng phải lựa chọn tên khác o Nếu q trình cung cấp thơng tin hồn tất khơng gặp lỗi nào, hệ thống thực “tạo” cặp khóa bí mật – cơng khai theo thuật tốn RSA, sau gửi khóa bí mật dƣới dạng file đính kèm địa thƣ mà khách hàng cung cấp Khóa cơng khai đƣợc lƣu trữ CSDL o Cặp khóa bí mật – cơng khai bảo đảm tính nhất, không trùng lặp tất thành viên hệ thống o Khách hàng sau kiểm tra địa thƣ, nhận đƣợc đầy đủ thông tin cần phải thực thao tác “xác nhận” trƣớc thực đƣợc giao dịch Thao tác cần thiết, để tránh trƣờng hợp mạo danh, sử dụng email ngƣời khác cách không hợp lệ o Sau thao tác hoàn thành, khách hàng đƣợc quyền thực giao dịch mình, theo chức mà hệ thống cung cấp Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 77 Thực mua hàng  Khách hàng thực việc mua hàng, hoàn toàn giống bƣớc chọn hàng siêu thị, nhƣng khác hệ thống điện tử, siêu thị trực tuyến Thao tác 1: Xem hàng chọn hàng Khách hàng lƣớt web, xem hệ thống cung cấp mặt hàng nào, chủng loại nào, tìm đƣợc hàng phù hợp thực thao tác chọn mua hàng Sau thao tác này, mặt hàng đƣợc chọn nằm “đơn hàng”, khách hàng thay đổi lại đơn hàng theo thao tác nhƣ: không chọn sản phẩm đó, thay đổi số lƣợng cần mua sản phẩm, hủy toàn đơn hàng Thao tác 2: Chấp nhận mua hàng Sau chọn xong sản phẩm, khách hàng thực thao tác “Chấp nhận mua hàng” Chức thực cập nhập liệu hàng hóa khách hàng vào hệ thống đơn hàng chờ đƣợc xử lý Nếu khách hàng chƣa thực đăng nhập, hệ thống không xác định đƣợc định danh ngƣời dùng truy cập ai, từ website chuyển hƣớng đến trang đăng nhập Trong trang này, khách hàng cần cung cấp thông tin gồm: Tên đăng nhập Mật khẩu, thông tin đăng nhập thành cơng trƣớc đó, hệ thống tự động chuyển đến trang xử lý đặt mua hàng thông báo cho khách hàng Sau thao tác này, khách hàng nhận đƣợc email thơng báo tình trạng đơn hàng, đƣờng dẫn để thực kích hoạt đơn hàng Thao tác 3: Kích hoạt đơn hàng Khi đơn hàng chƣa đƣợc kích hoạt, liệu sản phẩm, hàng hóa đặt mua đƣợc mã hóa theo thuật tốn RSA, sử dụng khóa chung để mã hóa thông tin đơn hàng, bảo đảm thông tin đƣợc bảo mật khơng bị tiết lộ khơng có khóa bí mật hợp lệ để giải mã Khách hàng thực kích hoạt theo đƣờng dẫn cung cấp email, tiếp hệ thống yêu cầu cung cấp khóa bí mật cách khách hàng browse để chọn file chứa khóa bí mật, file đƣợc hệ thống cung cấp thực đăng ký Hệ thống sử dụng khóa bí mật (chỉ lƣu nhớ RAM máy tính) để giải mã thơng tin mã hóa trên, để tìm số sản phẩm mua, số lƣợng tƣơng ứng với sản phẩm, để từ đó, tính giá trị đơn hàng chuyển liệu cho module xử lý khấu trừ tiền tài khoản Nếu ngƣời nhận đƣợc đƣờng dẫn thực kích hoạt đơn hàng, nhƣng khơng có khóa bí mật hợp lệ, thực đƣợc việc giải mã mua hàng 5, Các thức thực mã hóa giải mã 5.1 Mã hóa đơn hàng  Các sản phẩm đơn hàng đƣợc đặc trƣng bởi: Mã sản phẩm, số lƣợng cần mua Các thông tin khác nhƣ: giá bán, tên hàng… đƣợc lƣu trữ CSDL website, không cần thiết phải đƣa vào xâu ký tự cần mã hóa Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 78  Từ plain text cần mã hóa gồm: PT = {Mã-hàng-hóa}/{Số-lƣợng-cầnmua}[^] Từ đó, khách hàng chọn mua sản phẩm xâu ký tự cần thực mã hóa là: PT = sp01/3^sp12/9^sp32/1^sp45/8^sp983/2, diễn giải là: mua Sản phẩm có mã sp01 số lƣợng (cái), sản phẩm có mã sp12 số lƣợng 9, sản phẩm có mã sp32 số lƣợng 1, sản phẩm có mã sp45 số lƣợng 8, sản phẩm có mã 983 số lƣợng Hàm thực mã hóa mã hóa PT thành ET (encoded text), sử dụng khóa cơng khai ngƣời đặt mua hàng Xâu ET khơng thể có ý nghĩa khơng đƣợc giải mã, việc giải mã đòi hỏi phải có khóa riêng khách hàng 5.2 Giải mã đơn hàng  Xâu ký tự mã hóa ET đƣợc hàm giải mã thực decode (giải mã) sau khách hàng cung cấp khóa riêng hợp lệ Nếu trình giải mã thành cơng, hệ thống nhận đƣợc xâu PT nhƣ trƣớc thực mã hóa, từ chứng tỏ ngƣời kích hoạt đơn hàng hợp lệ, tiến hành toán, trừ tiền tài khoản bình thƣờng Ví dụ thực mã hóa/giải mã Khóa bí mật cơng khai Thành viên hệ thống anhtuan, sau đăng ký đƣợc hệ thống cung cấp khóa cơng khai, khóa bí mật nhƣ sau: PrivateKey: YTozOntpOjA7czozMjoiEwUyThq8gAfqCKXW2F/gjMYjOPo6J34rmP6b8 vY+TMoiO2k6MTtzOjMyOiIBv4wLNs8ExGUG+mvRNP2p+2cjRKAH0Dt mFTE0lebYQyI7aToyO3M6NzoicHJpdmF0ZSI7fQ== PublicKey: YTozOntpOjA7czozMjoiEwUyThq8gAfqCKXW2F/gjMYjOPo6J34rmP6b8 vY+TMoiO2k6MTtzOjM6IgEAASI7aToyO3M6NjoicHVibGljIjt9 Nhìn vào hai khóa này, chắn khơng biết ý nghĩa nó, nhƣng đƣợc sinh ta sử dụng mã hóa theo thuật toỏn RSA II cài đặt chức bảo mật an toàn thông tin web site mua bán linh kiƯn m¸y tÝnh Thủ tục đăng kí thành viên Thủ tục đƣợc xây dựng với chức đăng ký thành viên, sau khách hàng điều đầy đủ thông tin cá nhân cần thiết nhƣ email, mật khẩu, tên đầy đủ, địa chỉ…và form đƣợc đệ trình, Server tiến hành việc cập nhật thông tin vào sở liệu, trƣớc cập nhật, mật khách hàng đƣợc mã hoá phƣơng pháp mã hoá DES (hoặc Triple – Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 79 DES, AES hay hệ mật mã khoá đối xứng khác để đảm bảo mật khách hàng đƣợc giữ kín) Nếu khách hàng đăng kí thành cơng hệ thống website gửi cho khách hàng thông báo vào địa email mà khách hàng đăng kí kèm theo khố riêng private key dƣới dạng file văn tex khách hàng phải lƣu giữ khố riêng nhƣ chữ kí số riêng thơng báo nhƣ sau: Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 80 Khách hàng lựa chọn mua hàng website Sau đăng kí thành viên website khách hàng có quyền chọn hàng mua hàng trang giới thiệu mặt hàng website Khách hàng lƣớt web, xem hệ thống cung cấp mặt hàng nào, chủng loại nào, tìm đƣợc hàng phù hợp thực thao tác chọn mua hàng Sau thao tác này, mặt hàng đƣợc chọn nằm “đơn hàng”, khách hàng thay đổi lại đơn hàng theo thao tác nhƣ: không chọn sản phẩm đó, thay đổi số lƣợng cần mua sản phẩm, hủy tồn đơn hàng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 81 Sau chọn xong sản phẩm, khách hàng thực thao tác “Chấp nhận mua hàng” Chức thực cập nhập liệu hàng hóa khách hàng vào hệ thống đơn hàng chờ đƣợc xử lý Hệ thống website gửi cho khách hàng thơng báo hố đơn mặt hàng mà khách hàng vừa chọn kèm theo thông tin giá địa nhận hàng nhƣ sau: Khách hàng thực kích hoạt theo đƣờng dẫn cung cấp email, tiếp hệ thống u cầu cung cấp khóa bí mật cách khách hàng browse để chọn file chứa khóa bí mật, file private key đƣợc hệ thống cung cấp thực đăng ký Hệ thống website xác thực khách hàng khố private key Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 82 gửi lại cho khách hàng thơng báo có chứa đầy đủ hoá đơn mua hàng khách hàng tổng số tiền mà khách hàng phải trả từ tài khoản Kết thúc trình giao dịch mua bán máy tính thơng qua dịch vụ INTERNET tài khoản cá nhân ngân hàng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 83 kÕt luËn Với phát triển mang tính tồn cầu mạng Internet TMĐT, ngƣời giao tiếp dễ dàng cộng đồng rộng lớn Tuy nhiên giao dịch mang tính nhạy cảm, cần phải có chế đảm bảo an tồn phiên giao dịch Cần thiết bên cần xác định xác ngƣời giao tiếp có đối tác mong đợi hay không Trong luận văn này, em đề cập đến hai kỹ thuật an tồn thơng tin mã hố ký số với vấn đề liên quan đến bảo mật ứng dụng Web Hai kỹ thuật đƣợc áp dụng phần việc xác thực đối tác phiên giao dịch Về kỹ thuật mã hố, có hai phƣơng pháp: Mã hoá đối xứng mã hoá khoá khố cơng khai Mã hố đảm bảo an tồn thông tin giao tiếp nhƣng không đảm bảo liệu thông tin có bị giả mạo có bị mạo danh hay không Vấn đề chủ yếu nằm việc quản lý khoá mã hoá giải mã hai phƣơng pháp mã hoá Đối với phƣơng pháp ký số, dựa vào chữ ký cặp khố riêng cơng khai, xác định xác đối tác giao dịch Em tìm hiểu hai loại chữ ký: Chữ ký kèm thông điệp chữ ký sinh thông điệp hai sơ đồ ký đƣợc chấp nhận sử dụng rộng rãi: RSA, DSS Có vấn đề đặt chữ ký số, liệu có đảm bảo xác chữ ký khố khố cơng khai thuộc đối tác hay khơng Có nhiều cách cơng vào chữ ký số, phổ biến phƣơng pháp mạo danh chữ ký Giải pháp khắc phục đƣa sử dụng chứng số cho khố khố cơng khai nhằm đảm xác thực tính đắn đối tác giao dịch Tuy nhiên, điều kiện mặt thời gian hạn chế, em khơng thể nghiên cứu kỹ lƣỡng chứng số cho khố cơng khai mà tập trung vào việc tìm hiểu số giao thức bảo mật ứng dụng web, cụ thể cài đặt số quy trình giao dịch sử dụng tới phƣơng pháp mã hố thơng tin nhƣ ký số Em cố gắng để phát triển ứng dụng theo mơ hình thƣơng mại điện tử sử dụng SET, nhƣng thực tế Việt Nam không tồn cách đầy đủ thành phần tham gia SET, ứng dụng gặp khó khăn triển khai thực tiễn Trong thời gian tới, em tiếp tục phát triển đề tài với phƣơng hƣớng cụ thể nhƣ sau: Tiếp tục tìm hiểu thực nghiệm với số phƣơng pháp mã hoá khoá đối xứng nhƣ Triple – DES, RC4, IDEA; phƣơng pháp mã hố khố cơng khai nhƣ Elgamal, Rabin, Knapsack, Eliptic Curve Cải tiến nâng cao hiệu module cài đặt webssite nhƣ kỹ thuật cài đặt khác Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 84 ... đảm bảo bảo mật an tồn vấn đề bảo mật an tồn thơng tin thƣơng mại điện tử vấn đề quan trọng Đề tài đề cập đến kỹ thuật lĩnh vực Bảo mật an tồn thơng tin thƣơng mại điện tử Hiện vấn đề Bảo mật an. .. tin đƣợc bảo mật 100% hệ thống thông tin có lỗ hổng bảo mật an toàn mà chƣa đƣợc phát Vấn đề bảo mật an tồn thơng tin TMĐT phải đảm bảo bốn yêu cầu sau đây: - Đảm bảo tin cậy : Các nội dung thông. .. thuật phƣơng pháp để thực nhiệm vụ Bảo mật an toàn thƣơng mại điện tử, trình thực kiến thức khoa học thuật toán liên quan nhƣ: Xác thực, Bảo mật, Bảo toàn liệu, Mật mã, Chữ ký số - Áp dụng kết