AN TOÀN DỮ LIỆU TRONG THƯƠNG MẠI ĐIỆN TỬ
Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT1 Bài giảng môn: An toàn dữ liệu trong Thương mại điện tử 4/20/2008 Bộ môn CNTT - TMĐT 1 Bộ môn CNTT – TMĐT Khoa Thương mại điện tử Nội dung chương V AN TOÀN DỮ LiỆU TRONG TMĐT z 5.1. Chữ ký điện tử z 5.1.1. Khái niệm z 5.1.2. Cơ chế hoạt động z 5.1.3. Phân loại chữ ký điện tử z 5.1.4. Ưu nhược điểm của chữ ký điện tử z 5.1.5. Chứng thực điện tử 4/20/2008 Bộ môn CNTT - TMĐT 2 z 5.2. An toàn dữ liệu thanh toán điện tử z 5.2.1. Tổng quan về thanh toán điện tử z 5.2.2. Các giải pháp an toàn cho thanh toán điện tử z 5.3. Bảo mật Web z 5.3.1. Khái niệm về bảo mật Web z 5.3.2. Các nguy cơ bị tấn công đối với Web z 5.3.3. Phương pháp bảo mật Web z 5.4. Một số giải pháp khác đảm bảo an toàn cho TMĐT I. Chữ ký điện tử 1. Chữ ký điện tử là gì? z Chữ ký điện tử (hay chữ ký số - Digital Signature) được sử dụng để xác nhận tính hợp pháp của một văn bản hay hợp đồng trong các giao dịch điện tử. z Khái niệm này ra đời năm 1976 bởi hai nhà khoa học Diffie và Hellman. z Chữ ký điện tử là một chuỗi các bit nhị phân có thể được sao chép, hiểu bởi máy tính và có thể truyền đi trên mạng Internet. 4/20/2008 Bộ môn CNTT - TMĐT 3 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT2 Định nghĩa chữ ký điện tử z “Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác ấ ốnhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký” (Điều 21, Khoản 1, Luật giao dịch điện tử ). 4/20/2008 Bộ môn CNTT - TMĐT 4 Ví dụ về chữ ký điện tử 4/20/2008 Bộ môn CNTT - TMĐT 5 2. Tính chất của chữ ký điện tử z (1) Có khả năng kiểm tra được người ký và thời gian ký, z (2) Có khả năng xác thực các nội dung tại thời đi ểm ký,ý, z (3) Các thành viên thứ ba có thể kiểm tra chữ ký để giải quyết các tranh chấp (nếu có). 4/20/2008 Bộ môn CNTT - TMĐT 6 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT3 3. Yêu cầu đối với chữ ký điện tử z (1) Phải là một mẫu bit phụ thuộc chặt chẽ vào văn bản được ký, z (2) Việc tạo ra chữ ký phải đơn giản, thuận tiện, dễ dàng, z (3) Dễ dàng cho việc kiểm tra, z (4) Việc giả mạo chữ ký là rất khó xảy ra. z (5) Phải lưu giữ được một bản sao của chữ ký điện tử. 4/20/2008 Bộ môn CNTT - TMĐT 7 4. Cơ chế hoạt động của chữ ký điện tử z Hoạt động dựa trên hệ mã hóa công khai z Mỗi người tham gia truyền thông có 1 cặp khóa (1 khóa công khai và một khóa bí mật) z Khóa công khai được công bố rộng rãi z Khóa bí mật chỉ cá nhân người sở hữu biết z Thông tin được mã hóa bằng khóa công khai có thể dùng khóa bí mật để giải mã và ngược lại 4/20/2008 Bộ môn CNTT - TMĐT 8 Ví dụ về cơ chế hoạt động z (1) Trước hết, A chuyển thông điệp ban đầu thành các chuỗi băm bằng cách sử dụng một hàm băm nào đó. 4/20/2008 Bộ môn CNTT - TMĐT 9 Thông điệp cần trao đổi Hàm băm Chuỗi băm Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT4 Ví dụ về cơ chế hoạt động z (2) => A dùng khóa bí mật của mình mã hóa các chuỗi băm này => chữ ký điện tử của đoạn thông tin này => gửi sang cho B cùng với chuỗi thông tin ban đầu. 4/20/2008 Bộ môn CNTT - TMĐT 10 Chuỗi băm Mã hóa với khóa bí mật Chữ ký Thông điệp ban đầu Gửi cho B Ví dụ về cơ chế hoạt động z (3) => B nhận và tiến hành giải mã chữ ký của A bằng khóa công khai của A để thu về các chuỗi băm ban đầu => thành công=> đúng A gửi 4/20/2008 Bộ môn CNTT - TMĐT 11 Thông tin cần trao đổi Chữ ký Hàm băm Giải mã Chuỗi băm Chuỗi băm Mã hóa khóa công khai với chữ ký điện tử dùng hàm băm 4/20/2008 Bộ môn CNTT - TMĐT 12 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT5 5. Phân loại chữ ký điện tử z Chữ ký điện tử trực tiếp z Chữ ký điện tử của bên thứ ba - trọng tài viên z Quy trình tạochữ ký bên thứ 3 z Quy trình tạo chữ ký bên thứ 3 4/20/2008 Bộ môn CNTT - TMĐT 13 Những vấn đề nảy sinh z M có đủ độ tin cậy hay không ? z Đối tượng nghe trộm có thể vẫn đọc được thông điệp X gửi cho Y hay không? Móthể liê kết ớiXđể hốibỏ thô z M có thể liên kết với X để chối bỏ thông điệp đã được ký? z M liên kết với người nhận làm giả chữ ký của người gửi ? 4/20/2008 Bộ môn CNTT - TMĐT 14 Hướng giải quyết 4/20/2008 Bộ môn CNTT - TMĐT 15 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT6 6. Ưu điểmcủa chữ ký điện tử z (1) Chữ ký điện tử đảm bảo tính không thể chối cãi. z (2) Có thể sử dụng chữ ký điện tử để thiết lậpmột kênh truyền tin có xác nhậngiữalập một kênh truyền tin có xác nhận giữa bên gửi và bên nhận. 4/20/2008 Bộ môn CNTT - TMĐT 16 7. Nhược điểm của chữ ký điện tử z (1) Thuật toán sinh chữ ký điện tử tiêu tốn thời gian dẫn đến việc làm cho quá trình giao dịch bị chậm. z (2) Dung lượng củachữ ký điệntử hoàn toàn phụ z (2) Dung lượng của chữ ký điện tử hoàn toàn phụ thuộc vào dung lượng của thông điệp = > lượng thông tin thực truyền sẽ bị tăng lên gấp đôi so với lượng thông tin ban đầu. 4/20/2008 Bộ môn CNTT - TMĐT 17 II. CHỨNG THỰC ĐIỆN TỬ z 1. Khái niệm z Hoạt động chứng thực danh tính của những người tham gia vào việc gửi và nhận thông tin qua kênh truyền, qy, z Cung cấp cho họ các công cụ, các dịch vụ cần thiết để thực hiện việc bảo mật thông tin, chứng thực nguồn gốc và nội dung thông tin. z Chứng thực điện tử được cấp bởi một cơ quan chứng thực có uy tín trên thế giới. 4/20/2008 Bộ môn CNTT - TMĐT 18 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT7 Chứng thực số 4/20/2008 Bộ môn CNTT - TMĐT 19 2. Các thành phần của chứng thực điện tử z Một chứng thực điện tử bao gồm: z Khóa công khai của người sở hữu chứng thực điện tử này, z Các thông tin riêng của người sở hữu chứng thực, z Hạn sử dụng, z Tên cơ quan cấp chứng thực điện tử, z Số hiệu của chứng thực, z Chữ ký của nhà cung cấp. 4/20/2008 Bộ môn CNTT - TMĐT 20 3. Một số chứng thực điện tử đang sử dụng z (1) Chứng thực cho máy chủ Web (Server Certificate) z (2) Chứng thực cho các phần mềm (3) Chứ th áhâ z (3) Chứng thực cá nhân z (4) Chứng thực của các nhà cung cấp chứng thực điện tử. 4/20/2008 Bộ môn CNTT - TMĐT 21 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT8 4. Sơ đồ chứng thực điện tử sử dụng khóa công khai 4/20/2008 Bộ môn CNTT - TMĐT 22 5. Qui trình tạo một chứng thực điện tử z (1) Tạo ra một cặp khóa công khai và khóa bí mật của riêng mình, z (2) Gửi yêu cầu xin cấp chứng thực điện tử, z (3) CA nhậnvàkiểmtrasự chính xác của z (3) CA nhận và kiểm tra sự chính xác của thông tin nhận được, z (4) CA sẽ tạo ra một chứng thực điện tử, 4/20/2008 Bộ môn CNTT - TMĐT 23 5. Quy trình tạo chứng thực điện tử (T) z (5) CA chia thành các đoạn băm => tiến hành mã hóa bằng khóa bí mật của mình => gửi trở lại cho đơn vị đăng ký chứng thực điện tử, z (6) Chứng thực được sao một bản và chuyển tới thuê bao có thể thông báo lạitớiCAlàđãnhậnthuê bao, có thể thông báo lại tới CA là đã nhận được, z (7) CA có thể lưu giữ bản sao của chứng thực điện tử , z (8) CA ghi lại các chi tiết của quá trình tạo chứng chỉ vào nhật ký kiểm toán. 4/20/2008 Bộ môn CNTT - TMĐT 24 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT9 6. Thiết lập kênh truyền BÊN GỬI BÊN NHẬN 1. Yêu cầu bên nhận đưa ra chứng thực điện tử 2. Giải mã các đoạn 4/20/2008 Bộ môn CNTT - TMĐT 25 3. Chuyển các thông tin thành đoạn băm 4. So sánh các đoạn có hợp lệ, mã hóa Gửi bản mã cuối cùng cho bền nhận III. An toàn dữ liệu thanh toán điện tử z 1. Khái niệm z Hệ thống cho phép các bên tham gia mua và bán tiến hành thanh toán với nhau z Các khâu xử lý trong thanh toán điện tử được thực hiện hoàn toàn trên các máy tính. z Bản chất là mô phỏng lại những mô hình thanh toán trong mua bán truyền thống nhưng được thực hiện thông qua các máy tính nối mạng với các giao thức riêng, chuyên dụng. 4/20/2008 Bộ môn CNTT - TMĐT 26 Thanh toán điện tử 4/20/2008 Bộ môn CNTT - TMĐT 27 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT10 2. Hoạt động giao dịch điện tử 4/20/2008 Bộ môn CNTT - TMĐT 28 3. Mô hình z Một mô tả hoạt động của một hệ thống thương mại có nhiều bên tham gia. z Người mua (người trả tiền) và người bán (người được trả tiền). z Đại diện bởi các máy tính của mình và các máy tính này được nối với nhau thông qua mạng máy tính để thực hiện các giao thức thanh toán điện tử. z Có sự tham gia của các tổ chức tài chính như là các ngân hàng đại diện cho mỗi bên. 4/20/2008 Bộ môn CNTT - TMĐT 29 Một quy trình giao 4/20/2008 Bộ môn CNTT - TMĐT 30 giao dịch điện tử . z 5. 1. Chữ ký điện tử z 5. 1.1. Khái niệm z 5. 1.2. Cơ chế hoạt động z 5. 1.3. Phân loại chữ ký điện tử z 5. 1.4. Ưu nhược điểm của chữ ký điện tử z 5. 1 .5. . TMĐT 2 z 5. 2. An toàn dữ liệu thanh toán điện tử z 5. 2.1. Tổng quan về thanh toán điện tử z 5. 2.2. Các giải pháp an toàn cho thanh toán điện tử z 5. 3. Bảo