Đang tải... (xem toàn văn)
An toàn và bảo mật thông tin trong thương mại điện tử An toàn và bảo mật thông tin trong thương mại điện tử An toàn và bảo mật thông tin trong thương mại điện tử luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ĐẶNG VÂN ANH ĐẶNG VÂN ANH CÔNG NGHỆ THƠNG TIN AN TỒN VÀ BẢO MẬT THƠNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ LUẬN VĂN THẠC SĨ KỸ THUẬT NGÀNH CÔNG NGHỆ THÔNG TIN 2011-2013 Hà Nội - Năm 2013 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ĐẶNG VÂN ANH AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN LUẬN VĂN THẠC SĨ KỸ THUẬT CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS TS NGUYỄN LINH GIANG Hà Nội – Năm 2013 LỜI CẢM ƠN Trong thời gian thực luận văn này, tơi ln đƣợc quan tâm, góp ý kiến thầy giáo PGS.TS Nguyễn Linh Giang Nhân dịp xin bày tỏ lời cảm ơn chân thành tới thầy giáo PGS TS Nguyễn Linh Giang, ngƣời trực tiếp hƣớng dẫn dành nhiều thời gian để sửa chữa, bổ sung vào trang thảo luận văn Tôi xin chân thành cảm ơn thầy cô giáo viện Công nghệ Thông tin Trƣờng ĐH Bách khoa Hà Nội, giảng viên truyền đạt kiến thức, kỹ năng, kinh nghiệm nghề nghiệp Tôi xin chân thành cảm ơn Ban giám hiệu, tập thể giáo viên khoa Công nghệ Thông tin trƣờng Đại học Sƣ phạm Kỹ thuật Hƣng Yên, gia đình bạn lớp cao học Cơng nghệ Thơng tin khố 20112013 tạo điều kiện giúp đỡ, động viên, chia sẻ để tơi hồn thành luận văn Bản luận văn cịn nhiều thiếu sót, mong đƣợc thầy cô giáo hội đồng chấm luận văn xem xét, góp ý kiến để luận văn đƣợc hồn thiện Tôi xin chân thành cảm ơn! Hà Nội, tháng năm 2013 LỜI CAM ĐOAN Tôi xin cam đoan, tơi viết luận văn tìm hiểu nghiên cứu thân Mọi kết nghiên cứu nhƣ ý tƣởng tác giả khác có đƣợc trích dẫn nguồn gốc cụ thể Luận văn chƣa đƣợc bảo vệ hội đồng bảo vệ luận văn thạc sĩ toàn quốc nhƣ nƣớc ngồi chƣa đƣợc cơng bố phƣơng tiện thông tin Tơi xin hồn tồn chịu trách nhiệm mà cam đoan Hà Nội, ngày 02 tháng năm 2013 Tác giả Đặng Vân Anh MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT DANH MỤC CÁC BẢNG, SƠ ĐỒ MỞ ĐẦU NỘI DUNG 10 CHƢƠNG I CÁC GIAO DỊCH TRONG THƢƠNG MẠI ĐIỆN TỬ 10 1.1 Các hình thức hoạt động thƣơng mại điện tử 10 1.1.1 Thư tín điện tử: 10 1.1.2 Thanh toán điện tử 10 1.1.3 Trao đổi liệu điện tử 11 1.1.4 Giao gửi số hóa dung liệu 11 1.1.5 Bán lẻ hàng hóa hữu hình 12 1.2 Giao dịch thƣơng mại điện tử 13 1.3 Các bên tham gia thƣơng mại điện tử 13 CHƢƠNG II AN TOÀN BẢO MẬT TRONG THƢƠNG MẠI ĐIỆN TỬ 15 2.1 Các cách công thƣơng mại điện tử 15 2.1.1 Thăm dò 15 2.1.2 Truy cập 15 2.1.3 Kiểu công từ chối dịch vụ DoS 16 2.2 Các biện pháp bảo vệ hệ thống thƣơng mại điện tử 19 2.2.1 Cơ chế mã hóa 19 2.2.2 Chứng thực số hóa 20 2.2.3 Giao thức thỏa thuận mã khóa 22 2.2.4 Chữ ký điện tử 22 2.2.5 An ninh mạng tƣờng lửa 25 2.3 Một số giao thức bảo mật thông dụng ứng dụng Web 26 2.3.1 Cơ chế bảo mật SSL (Secure Socket Layer) 27 2.3.2 Cơ chế bảo mật SET 30 2.4 Một số kỹ thuật công bảo mật ứng dụng web 31 2.4.1 Kỹ thuật công SQL Injection cách phòng chống 31 2.4.2 Chèn mã lệnh thực thi trình duyệt nạn nhân 36 2.4.3 Thao tác tham số truyền URL 38 CHƢƠNG III MƠ HÌNH THANH TỐN TRONG THƢƠNG MẠI ĐIỆN TỬ 40 3.1 Thanh toán qua Planet Payment 40 3.2 Thanh tốn thẻ tín dụng 41 3.3 Thanh toán thông qua Ngân Lƣợng 42 3.3.1 Giới thiệu chung ví điện tử 42 3.3.2 Giới thiệu Ngân Lƣợng 42 3.3.3 Đặc trƣng hình thức tốn Ngân Lƣợng 44 3.4 Thanh toán qua Paypal 47 3.4.1 Giới thiệu Paypal 47 3.4.2 Tại lại lựa chọn Paypal? 47 3.4.3 Đặc điểm Paypal 47 3.4.3 Đăng ký tài khoản Paypal 50 3.4.4 Chi tiết bƣớc toán PayPal 50 CHƢƠNG IV THỰC NGHIỆM BẢO MẬT THANH TOÁN TRÊN WEBSITE 51 4.1 Tổng quan hệ thống website 51 4.1.1 Chức hệ thống 51 4.1.2 Ngƣời sử dụng 51 4.1.3 Yêu cầu chức 52 4.1.4 Yêu cầu phi chức 52 4.2 Các rủi ro thƣờng gặp giao dịch điện tử biện pháp bảo vệ website 54 4.2.1 Đăng nhập 56 4.2.2 Thông tin sản phẩm 57 4.2.3 Q trình đặt hàng tốn 58 4.3 Ƣu điểm, hạn chế giải pháp toán Ngân Lƣợng 61 4.3.1 Ƣu điểm 61 4.3.2 Khó khăn hạn chế 64 4.3.3 Một số giải pháp 65 KẾT LUẬN 67 TÀI LIỆU THAM KHẢO 69 PHỤ LỤC 70 DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Viết tắt Viết đầy đủ Ý nghĩa DOS Denail of Service Tấn công từ chối dịch vụ DDOS Distributed Denial of Service Tấn công từ chối dịch vụ phân phối TMĐT Thƣơng mại điện tử Thƣơng mại điện tử LAN Local Area Network Mạng cục TCP/IP Transmission Control Bộ giao thức truyền thông Protocol/ Internet Protocol SSL Secure Sockets Layer Giao thức bảo mật lớp vận chuyển TLS Transport Layer Sercurity Giao thức bảo mật lớp vận chuyển IANA Internet Assigned Authority SET Secure Electronic Transaction RSA RonRivest, AdiSHamir& Len Thuật toán mã hóa cơng khai ( viết Adleman tắt tên nhà sáng lập) SHA-1 SQL Sercure Hash Algorithm Structured Query Language API URL Application Interface Uniform Resource Locator Siêu liên kết NM Ngƣời mua Ngƣời mua NB Ngƣời bán Ngƣời bán NL Ngân lƣợng Ngân lƣợng SNAD INR Significautly Not Described Item Not Received TTTT Thanh toán trực tuyến Thanh toán trực tuyến EDI Electronic Data Interchange Trao đổi liệu điện tử CSS Cross- Site Scripting Kỹ thuật công thẻ HTML hoăc mã script Number Tổ chức cấp phát số liệu Internet Giao dịch điện tử an tồn Giải thuật băm an tồn Ngơn ngữ truy vấn mang tính cấu trúc Programming Giao diện lập trình ứng dụng As Hàng đến nhƣng khác so với mô tả Hàng không nhận đƣợc DANH MỤC CÁC BẢNG, SƠ ĐỒ TT Nội dung Tên Trang Hình 2.1 Sơ đồ mã hóa dùng khóa riêng 21 Hình 2.2 Ví dụ chứng thực số hóa 22 Hình 2.3 Các bƣớc mã hóa chữ ký số 24 Hình 2.4 Các bƣớc kiểm tra thơng điệp ký 24 Hình 2.5 Mơ hình hoạt động chữ ký điện tử 25 Hình 2.6 Hình 2.7 Bảng 2.1 Hình 3.1 10 Hình 3.2 11 Hình 3.3 Vị trí cảu phƣơng tiện bảo mật cấu trúc giao thức TCP/IP Kiến trúc SSL 27 28 Các số cổng đƣợc gán cho giao thức ứng dụng chạy TLS/SSL 29 Quy trình tốn thẻ tín dụng 41 Ví điện tử 42 Mơ hình cổng tốn trung gian, hỗ trợ ngƣời bán TMĐT vừa nhỏ 46 12 Hình 4.1 Sơ đồ trình mua hàng trực tuyến 55 13 Hình 4.2 Mơ hình hoạt động tốn trực tuyến NL 61 14 Hình 4.3 Sơ đồ bƣớc tốn qua NL 61 15 Hình 4.4 Sơ đồ tổng quan bƣớc xử lý khiếu nại 63 16 Bảng 4.1 Bảng phí giao dịch hành 64 MỞ ĐẦU Lý chọn đề tài Với phát triển mang tính tồn cầu mạng Internet TMĐT ngƣời mua bán hàng hóa dịch vụ thơng qua mạng máy tính cách dễ dàng lĩnh vực thƣơng mại rộng lớn Tuy nhiên giao dịch mang tính nhạy cảm cần phải có chế đảm bảo an toàn bảo mật Ngày thấy việc xây dựng website TMĐT khơng cịn mẻ với ngƣời sử dụng Internet, đặc biệt nhà kinh doanh khách hàng lĩnh vực TMĐT Trƣớc thói quen tâm lý mua hàng khách hàng Việt Nam thiếu niềm tin vào giao dịch mạng, lo lắng sợ mát thông tin tài khoản, thông tin cá nhân, toán trực tuyến Việc xây dựng website bán hàng phong phú chủng loại mặt hàng, đa dạng mẫu mã sản phẩm, an tồn, nhanh chóng q trình mua sắm tốn vấn đề cấp bách Đó yếu tố quan trọng để phát triển TMĐT Việt Nam Vấn đề an toàn bảo mật thông tin TMĐT phải đảm bảo bốn yêu cầu sau đây: - Đảm bảo tin cậy: Các nội dung thông tin không bị theo dõi chép thực thể không đƣợc ủy thác - Đảm bảo tồn vẹn: Các nội dung thơng tin không bị thay đổi thực thể không đƣợc ủy thác - Sự chứng minh xác thực: Không trá hình nhƣ bên hợp pháp q trình trao đổi thơng tin - Khơng thể thối thác trách nhiệm: Ngƣời gửi tin khơng thể thối thác nội dung thông tin thực tế gửi Xuất phát từ khả ứng dụng thực tế ứng dụng có từ kết nghiên cứu trƣớc lĩnh vực An toàn Bảo mật TMĐT Đề tài sâu nghiên cứu kỹ thuật lĩnh vực an tồn bảo mật thơng tin giao dịch thƣơng mại điện tử thơng qua mơ hình website bán hàng - Chƣa tìm hiểu kỹ giao thức bảo mật ứng dụng web cụ thể chƣa cài đặt số quy trình giao dịch sử dụng tới phƣơng pháp mã hóa thơng tin nhƣ chữ ký số - Chƣơng trình chƣa đƣợc áp dụng thực tế công ty điện thoại - Chƣa có so sánh, đánh giá với website bán hàng khác Trong thời gian tới, em tiếp tục phát triển đề tài với hƣớng cụ thể: Tìm hiểu kỹ thuật mã hóa chữ ký số để xác thực bên tham gia phiên giao dịch TMĐT Cải tiến nâng cao hiệu module cài đặt website nhƣ kỹ thuật cài đặt 68 TÀI LIỆU THAM KHẢO [1] Chaffey Dave (2002) E- Business & E- Commerce for Managers, Prentice Hall [2] Deitel & Steinbuliler (2001) E- Business & E- Commerce for Managers, Prentice Hall [3] E Turban, J.Lee, D.King, H.M.Chung (2002) Electronic Commerce A Managerial Perspective [4] G.P Schaeider, J.T Perry (2002) Electronic commerce (4th Ed), Course Technology [5] Khoa CNTT-ĐHSPKTHY (2011) Đề cương môn Thương mại điện tử [6] Nguyễn Duy Thăng, Nguyễn Minh Thu (2003) Luận văn tốt nghiệp Nghiên cứu số vấn đề bảo mật ứng dụng web Internet, ĐH KHTN Hồ Chí Minh [7] Matthew Reynolds (2000) Beginning E-commerce with VB, ASP, SQL Server 7.0 and MTS, Wrox [8] J.Franks, P Hallam – Baker, J.Hosteler, S Laurence, P leach, A Luotonen, L.Stewart (6/1999) RFC 2617 [9] https://www.nganluong.vn [10] http://www.thegioididong.com [11] http://www.egov.gov.vn [12] http://www.codeproject.com [13] http://www.sqlsercurity.com 69 PHỤ LỤC 1.1 Lập tài khoản nganluong.vn (tài khoản cá nhân) Bƣớc 1: Chọn loại tài khoản Trƣớc tiên, bạn vào trang chủ nganluong.vn địa https://www.nganluong.vn Click vào nút Đăng ký Ví miễn phí để bắt đầu trình đăng ký Để chọn loại tài khoản cá nhân, bạn click vào nút Tiếp tục hộp Ví điện tử dành cho cá nhân, phần khai báo thông tin đăng ký tài khoản Bƣớc 2: Điền đầy đủ thông tin để đăng ký Hãy điền đầy đủ thông tin vào ô theo yêu cầu click Đăng ký để sang bƣớc 70 Chú ý: - Địa Email: nganluong.vn sử dụng địa Email mà bạn đăng ký làm tên đăng nhập giao dịch bạn Do lựa chọn nhập xác địa Email mà bạn thƣờng sử dụng (không 255 ký tự) để đăng ký tài khoản Ngân Lƣợng - Mật đăng nhập: Có phân biệt chữ hoa chữ thƣờng, phải từ đến 20 ký tự không bao gồm khoảng trống Bạn không nên đặt mật đăng nhập giống với địa Email để đảm bảo độ an toàn cho tài khoản - OPT (mật lần) qua SMS hay Mật toán: nơi bạn lựa chọn hình thức xác minh giao dịch mặc định cho tài khoản o Nếu bạn chọn hình thức giao dịch mặc định OPT (mật lần) qua SMS, chuyển, rút tiền thay đổi thông tin tài khoản, nganluong.vn 71 gửi mã bí mật qua SMS đến số di động mà bạn đăng ký để xác minh giao dịch Bạn nên chọn hình thức để đảm bảo độ an toàn cao cho tài khoản bạn o Nếu bạn chọn hình thức xác minh giao dịch mặc định Mật toán, bạn phải khai báo sử dụng mật toán khác với mật đăng nhập để xác minh giao dịch Nên sử dụng hình thức bạn thường xuyên nước - Các trƣờng có đánh dấu hoa thị (*) trƣờng bắt buộc bạn phải điền đầy đủ thông tin - Luôn phải đánh dấu chọn vào phần cam kết tuân thủ điều lệ sử dụng nganluong.vn để hoàn tất q trình khai báo thơng tin đăng ký tài khoản bạn Bƣớc 3: Kích hoạt tài khoản Ngay sau yêu cầu đăng ký mở tài khoản nganluong.vn bạn đƣợc gửi thành công, Ngân lƣợng gửi tới bạn đƣờng link xác minh yêu cầu đăng ký mở tài khoản tới địa Email mà bạn khai báo bƣớc Bạn vui lòng click vào đƣờng link gửi Email tiếp tục xác minh thơng tin đăng ký để kích hoạt tài khoản cá nhân Sau tài khoản bạn đƣợc kích hoạt thành cơng, bạn đăng nhập vào nganluong.vn tài khoản cá nhân bạn vừa đăng ký 1.2 Lập tài khoản thegioididong.com Bƣớc 1: Đăng nhập vào trang http://www.thegioididong.com Bƣớc 2: Màn hình trang chủ thegioididong.com Click chuột vào nút Đăng ký góc phải phía trang web Bƣớc 3: Điền đầy đủ xác thơng tin mà trang web yêu cầu để đăng ký 72 Bƣớc 4: Sau hoàn tất việc đăng ký thegioididong.com, đường link gửi đến hòm thư bạn đăng ký Bạn cần vào hòm thư click vào link để hồn tất việc đăng ký 1.3 Chi tiết q trình đặt hàng, tốn qua Ngân Lƣợng Bƣớc 1: Sau truy cập vào website lựa chọn sản phẩm cần mua, bạn chọn mua hàng Bƣớc 2: Đăng nhập để đƣợc đặt hàng Trƣờng hợp chƣa có tài khoản chọn đăng ký 73 Bƣớc 3: Chọn đặt hàng, điền đầy đủ thông tin nhận hàng Chọn phƣơng thức tốn thơng qua Ngân Lƣợng Chọn tiếp tục 74 Bƣớc 4: Website hiển thị thông tin sản phẩm thông tin nhận hàng Chọn toán để đƣợc chuyển qua trang Ngân Lƣợng Bƣớc 5: Kiểm tra thông tin ngƣời bán, thông tin sản phẩm xem có trùng với bên website khơng Nếu đăng nhập để toán số dƣ tài khoản 75 Bƣớc 6: Sau đăng nhập thành cơng, chọn hình thức tốn tạm giữ ngày, nhập mã an toàn nhấn tiếp tục Bƣớc 7: Nhập mã OTP đƣợc gửi điện thoại di động bạn Hoặc từ hình thức xác minh khác Bạn nhập mã OPT, Ngân Lƣợng thông báo tốn thành cơng gửi hóa đơn vào địa email bạn Ngân Lƣợng xác nhận lại hóa đơn, có chữ ký mua hàng ngƣời mua vận chuyển tận nơi 76 1.4 Hƣớng dẫn đăng ký tài khoản Paypal Bƣớc 1: bạn vào website Paypal: https://www.paypal.com/vn đăng ký tài khoản, chọn Signup Tại trang đăng ký, bạn thấy PayPal cung cấp loại tài khoản Personal, Premium Business Tốt bạn nên chọn loại Premium, để nhận gửi tiền Sau bấm Get Started Bƣớc 2: Tại bƣớc thứ 2, bạn cần điền đầy đủ thơng tin cá nhân Lƣu ý cần điền xác từ địa chỉ, tuổi, tên số điện thoại để tiện giải rắc rối sau Riêng điền Postal Code bạn đặt 1000 Bƣớc này, bạn chƣa cần phải nhập thông tin thẻ Address Line Line bạn điền vào địa nhà bạn, ghi tiếng Việt không dấu, City điện vào quận, huyện, thị xã, State/Region bạn điền vào tỉnh, thành phố Sau điền xong bạn bấm Agree and Create Account 77 Bƣớc 3: Bƣớc bạn phải nhập 16 chữ số thẻ, ngày hết hạn chữ số CSC (Card Sercurity Code) thẻ để có thê sử dụng mua bán online Hiện có loại thẻ hay đƣợc sử dụng Visa Debit Card (ghi nợ, nạp dùng nhiêu) Visa Credit Card ( dùng trả nợ sau) 78 - Sau điền xong bạn bấm Continue để tiếp tục xác nhận thẻ - Bạn khơng thực bƣớc mà bấm Go To My Account để tới trang chủ quản lý tài khoản Sau xác nhận qua email bắt đầu gửi nhận tiền Bƣớc 4: Xác nhận thẻ Bạn không cần xác nhận sử dụng tính PayPal nhận chuyển tiền Tuy nhiên, bị hạn chế số tiền gửi nhận 1.5 Chi tiết bƣớc toán PayPal Bƣớc 1: Sau truy cập vào website lựa chọn sản phẩm cần mua hàng, bạn chọn mua hàng Bƣớc 2: Đặt hàng sản phẩm để toán Trƣớc đặt hàng ngƣời mua phải đăng nhập, trƣờng hợp chƣa có tài khoản ngƣời mua phải đăng ký tài khoản Bƣớc 3: Điền đầy đủ thông tin nhận hàng chọn phƣơng thức toán PayPal 79 Bƣớc 4: Thơng tin đơn đặt hàng Chọn tốn để chuyển đến website PayPal Bƣớc 5: Thông tin ngƣời bán sản phẩm chọn mua Sau đăng nhập tài khoản để bắt đầu toán 80 Bƣớc 6: Đồng ý với điều khoản PayPal, thông tin tài khoản đƣợc đƣa Bƣớc 7: Thơng báo tốn thành cơng Bƣớc 8: Lịch sử tốn đƣợc lƣu trữ lại tài khoản Bƣớc 9: Thông tin chi tiết toán sản phẩm 81 82 ... dịch thƣơng mại điện tử 13 1.3 Các bên tham gia thƣơng mại điện tử 13 CHƢƠNG II AN TOÀN BẢO MẬT TRONG THƢƠNG MẠI ĐIỆN TỬ 15 2.1 Các cách công thƣơng mại điện tử 15... thƣơng mại điện tử, giao dịch doanh nghiệp với chủ yếu dùng phƣơng thức trao đổi liệu điện tử, tức EDI 14 CHƢƠNG II AN TOÀN BẢO MẬT TRONG THƢƠNG MẠI ĐIỆN TỬ 2.1 Các cách công thƣơng mại điện tử Các... thƣơng mại điện tử - Chương 2: An toàn bảo mật thƣơng mại điện tử - Chương 3: Một số mơ hình toán thƣơng mại điện tử - Chương 4: Thực nghiệm bảo mật toán website NỘI DUNG CHƢƠNG I CÁC GIAO DỊCH TRONG