Đại Học Quốc Gia Tp Hồ Chí Minh TRƯỜNG ĐẠI HỌC BÁCH KHOA BK NGUYỄN THÀNH SƠN Chuyên ngành : Kỹ thuật Vô tuyến Điện tử Mã ngành : 02.07.01 LUẬN VĂN THẠC SĨ TP.HỒ CHÍ MINH, tháng năm 2004 CƠNG TRÌNH HỒN TẤT TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH Cán hướng dẫn khoa học: Tiến sĩ Phạm Hồng Liên Cán chấm nhận xét 1: Tiến sĩ Dương Hoài Nghĩa Cán chấm nhận xét 2: Luận văn thạc sĩ bảo vệ HỘI ĐỒNG CHẤM LUẬN VĂN THẠC SĨ TRƯỜNG ĐẠI HỌC BÁCH KHOA, ngày 27 tháng 04 năm 2004 Đại Học Quốc Gia Tp.HCM Trường ĐẠI HỌC BÁCH KHOA CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc Lập-Tự Do-Hạnh Phúc NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: Nguyễn Thành Sơn Ngày tháng năm sinh: 19/05/1975 Chuyên ngành: Kỹ thuật Vô tuyến Điện tử Phái: Nam Nơi sinh: Tỉnh Bến Tre Mã số ngành: 02.07.01 I TÊN ĐỀ TÀI: An toàn bảo mật thông tin mạng Xây dựng ứng dụng Mail Client II NHIỆM VỤ VÀ NỘI DUNG Tìm hiểu, nghiên cứu đánh giá thuật toán mật mã hoá từ cổ điển đến đại Nghiên cứu việc ứng dụng lý thuyết thương mại điện tử, bảo vệ thơng tin mạng Tìm hiểu giao thức thư tín điện tử để xây dựng ứng dụng bảo mật III NGÀY GIAO NHIỆM VỤ: 25/10/2003 IV NGÀY HOÀN THÀNH NHIỆM VỤ: 15/03/2004 V HỌ VÀ TÊN CÁN BỘ HƯỚNG DẪN: Tiến sĩ Phạm Hồng Liên CÁN BỘ HƯỚNG DẪN Ts PHẠM HỒNG LIÊN CHỦ NHIỆM NGÀNH BỘ MƠN QUẢN LÝ NGÀNH Ts VŨ ĐÌNH THÀNH Nội dung đề cương luận văn thạc sĩ Hội Đồng Chun Ngành thơng qua Phịng đào tạo SĐH Ngày / /2004 KHOA QUẢN LÝ NGÀNH Ts Vũ Đình Thành LỜI CẢM TẠ Kính đến q Thầy Cơ trường Đại học Bách Khoa TpHCM lịng biết ơn sâu sắc, dìu dắt tơi từ bước đường Đại học đến Cao học Luận văn khơng hồn tất khơng có cơng lao to lớn Tiến sĩ Vũ Đình Thành Tiến sĩ Lê Tiến Thường (ĐH Bách Khoa TpHCM), nhận xét xác đáng Tiến sĩ Trần Đan Thư giúp đỡ Tiến sĩ Đồng Thị Bích Thuỷ (Khoa CNTT, ĐH KHTN TpHCM), Đặc biệt, Tiến sĩ Phạm Hồng Liên trực tiếp dẫn cách tận tình Thầy Cơ khơng cho tơi kiến thức khoa học mà cịn cho tri thức sống Tơi nguyện ghi lịng Xin cảm ơn Ba Mẹ, Bạn Bè giúp đỡ động viên tơi suốt q trình nghiên cứu Nguyễn Thành Sơn ii T ÓM TẮT ABSTRACT Từ xưa đến nay, người ln Human usually has some private có bí mật riêng tư cần giấu problems which are needed to be kept kín Hơn nữa, thời đại cơng secret from ancient time to the nghệ phát triển, liệu di present Furthermore, living in the chuyển mạng trình information trao đổi, việc bảo mật thông tin secret data is very important because vấn đề vơ quan trọng An tồn data are always traffic on the network bảo mật hệ thống thông tin không Therefore, safety and security in cần thiết lĩnh vực quân information system is not only needed mà hầu hết lĩnh vực in the field of military but also all of khác trị, kinh tế, thương fields such as politic, economy, mại electronic commerce etc period, The Thiết lập chế độ bảo mật protection security of measures mạng nhằm ngăn chặn thông tin bị implemented in networks are designed khách quan, chủ quan hay to prevent both accidental, intentional bị cơng có chủ ý cách bất loss hợp pháp Trong hệ thống thông tin, problems, especially in information vấn đề hoàn toàn bất lợi cho systems, are quite bad for user người sử dụng Bảo mật mạng diện Internet security has become a major rộng trở thành vấn đề cấp thiết liên concern to companies throughout the quan đến hầu hết công ty world The biggest disadvantage has khắp giới Thiệt hại lớn come in the form of breaching of lỗ hổng bảo mật, khe hở security để xuyên thủng hệ bảo mật mạng information and resources available riêng, tiếp cận vào nguồn tài that access it possible to penetrate the nguyên hệ thống security of a particular network and illegal that attacks means there These are When one connects of private Khi mạng riêng kết nối vào network to the Internet, the network mạng Internet, nghĩa kết iii nối vật lý đến hàng ngàn mạng khác is being connected physically to đến nhiều người Kết nối thousands of unknown networks and mở cửa cho phép người, với all of users While such connections kỹ thuật khác nhau, xâm nhập vào have opened the doors to some people mạng riêng người nào, lấy to develop techniques that would thơng tin mà họ cần, enable them to enter the network of họ không cấp other people and retrieve whatever quyền hạn information they require, even an unauthorized user Từ xuất thuật ngữ All this has given rise to a term “hacker-tội phạm máy tính” known in the IT world as hackers giới IT, người không đủ This term is now being used for quyền hạn lại cố gắng truy individuals who gain unauthorized xuất vào hệ thống máy tính nhằm access to computer systems for the mục đích đánh cấp phá hỏng purpose of stealing or corrupting data liệu Chúng ta làm để ngăn chặn I wonder me what we to công bất hợp pháp kẻ trộm prevent illegal attacks from these này? Xuất phát từ nhu cầu nghiên thieves? From the local needs of cứu phát triển hệ thống bảo studying and developing of security mật ứng dụng trao đổi thông tin systems to apply into exchanging- nói chung thương mại hay thư tín information generally and e-mail or e- điện tử nói riêng, luận văn nghiên commerce particularly, the thesis aims cứu phân tích đánh giá hầu hết to study, analyze and estimate all of thuật toán ngành khoa học mật important of canonical or modern mã từ cổ điển đến đại cách cryptography in detail such as two chi tiết, bao gồm hai mơ hình mật mã types hố (khố đối xứng bất đối xứng), (asymmetric and symmetric), entity mơ hình chứng thực, phương pháp authentication models, data integrity kiểm tra tính toàn vẹn liệu, checking methods, digital signature chữ ký số Thêm vào học viên models I have just made a new iv of encryption model cải tiến thành cơng mơ hình mật mã encryption algorithm Elgamal có tên Advanced Advanced Elgamal, improving from Elgamal với nhiều ưu điểm vượt trội Elgamal mơ hình model with many advantages asymmetric namely cryptography Cuối cùng, ứng dụng lý Finally, thuyết mật mã học giao thức thư cryptography tín điện tử trên, luận văn xây dựng understanding about email protocols chương trình ứng dụng gửi nhận thư above, I have just built a mail client điện tử với độ an toàn cao ngôn application ngữ Java Hi vọng luận án programming with high level security tài liệu tham khảo tốt giành cho I hope my thesis becomes a good người bắt đầu nghiên cứu lĩnh reference document for cryptographer vực mật mã học đầy khó khăn beginner, difficult and attractable không phần hấp dẫn field, while still leaving the book điều kiện thị trường sách nước market opening in Vietnam! khoa học bỏ ngỏ Nguyễn Thành Sơn v by theory on Java applying and language MỤC LỤC Trang Lời cảm tạ Tóm tắt – Abstract Mục lục Danh sách chữ viết tắt Danh mục hình MỞ ĐẦU I Đặt vấn đề II Giải pháp thực mục tiêu đạt III Tài liệu tham khảo Phần 1: LÝ THUYẾT CƠ SỞ Chương 1: Cơ sở toán học 12 I Một số định nghĩa toán liên quan đến mật mã học 13 II Một số định lý 13 III Một số thuật toán 13 Thuật toán Euclidean 13 Thuật toán Extended Euclidean (Euclidean mở rộng) 14 Thuật toán sinh số nguyên tố ngẫu nhiên 16 3.1 Thuật toán Fermat 17 3.2 Thuật toán Solovay-Strassen 17 3.3 Thuật toán Miller-Rabin 18 Chương 2: Mật mã học 19 I Tổng quan mật mã hoá 20 Giới thiệu 20 Phân loại thuật toán mã hoá 23 vi 2.1 Mật mã bí mật (Private Key Cryptography) 23 2.2 Mật mã hố cơng khai (Public Key Cryptography) 27 II Thuật toán khố bí mật 30 1.Các thuật toán cổ điển khoá đối xứng 32 2.Các thuật toán đại khoá đối xứng 32 2.1 Thuật toán DES 32 2.2 Thuật toán 3DES 48 2.3 Thuật toán RC5 51 2.4 Thuật toán RC6 59 2.5 Thuật toán cải tiến RC6-I,-NFR, -I-NSR 69 2.6 Thuật toán MARS 69 2.7 Thuật toán Rijndael 69 III Thuật toán mã hố cơng khai 82 Thuật toán LUC 82 Thuật toán Merkle-Hellman 82 Thuật toán McEliece 82 Thuật toán RSA 82 Thuật toán Elgamal 86 Thuật toán Advanced Elgamal (học viên xây dựng) 90 PHẦN 2: AN TOÀN VÀ BẢO MẬT THƠNG TIN TRÊN MẠNG Chương 1: An tồn bảo mật giao dịch điện tử 98 I Thương mại điện tử góc độ quản lý 100 Khái niệm thương mại điện tử 100 Lợi ích thương mại điện tử 102 vii II Các thuật toán băm 104 MD5 105 SHA 114 Tem thời gian (TimeStamping) 117 III Các thuật toán chữ ký số 118 Chữ ký số RSA 120 Chữ ký số Elgamal 121 Chữ ký số DSA 122 IV Xác nhận thông điệp bí mật thơng tin 124 V Mã xác nhận tính tồn vẹn liệu 126 Một số thuật toán MAC 127 Qui định NIST cho MAC chuẩn 127 VI Khố cơng khai với chứng thực 129 Mơ hình chứng thực Schnorr 130 Chứng thực Guillou-Quisquater 132 Kết luận 134 Chương 2: An toàn bảo mật thông tin thư điện tử 136 I Sơ lược an toàn bảo mật mạng 137 Các mối đe dọa bảo mật 137 1.1 Tổng quan an toàn bảo mật 137 1.2 Một số khái niệm mở đầu 137 Tấn công hệ bảo mật 140 II Cấu trúc hệ thống thư điện tử 143 Những giao thức mail 143 1.1 SMTP (Simple Mail Transfer Protocol) 144 1.2 Multipurpose Internet mail Extensions 153 1.3 Post Office Protocol 156 Hệ thống phân phối mail 160 2.1 Những thành phần hệ thống mail 160 viii An toàn bảo mật thông tin mạng-Xây dựng ứng dụng mail client Hãy gửi tin nhắn (instant message - IM) tới Cịn cần trợ giúp tìm kiếm mặt hàng? Hãy yêu cầu nhân viên bán hàng hướng dẫn bạn thông qua Website, ý tưởng xây dựng tảng công nghệ chat phổ biến mạng Theo khảo sát Jupiter Media Metrix, gần 54 triệu lượt người sử dụng chương trình IM tháng 9/2001, tăng 28% so với kỳ năm 2000 Dịch vụ khách hàng khơng tồn buổi đầu Internet, việc mua sắm trực tuyến hình ảnh thu nhỏ tinh thần tự thân vận động (do-it-yourself) điển hình cho Web Một số người thích thú với chuyện này, đặc biệt muốn tránh xa cửa hàng tấp nập người kẻ vào đội ngũ nhân viên bán hàng tinh vi mức EAssist phát triển công nghệ cho phép khách hàng tiếp cận với nhân viên tư vấn mạng Lấy thí dụ, người có nhu cầu tìm nhà Web bắt đầu trị chuyện trực tiếp cách gửi IM tới hãng Realtor; hay đại lý bán vé máy bay giúp khách hàng tìm biểu giá thấp mà khơng phải nói chuyện qua điện thoại EAssist phát triển nhiều phương thức khác nhằm cải tiến dịch vụ trả lời qua điện thoại, dẫn nhanh chóng hiển thị thông tin khách hàng gọi đến Nhưng công việc kinh doanh dựa quan hệ khách hàng chao đảo kinh tế gặp khó khăn Hơn nữa, khó thu hút cơng ty khác rót tiền đầu tư cho cơng nghệ Bản thân eAssist phải giảm biên chế hồi năm ngối để hạ thấp chi phí Một số hãng không tiếc tiền chi hàng triệu USD cho việc tích hợp yếu tố đời thực với giới mạng Amazone.com cho phép khách hàng xem lướt sách có danh mục, nhằm tạo cảm giác cửa hàng sách hữu hình, nơi người mua đọc qua tác phẩm trước định có mua hay khơng Ngồi ra, Amazon cịn giới thiệu ý kiến đánh giá Top 10 sách hay theo bình chọn độc giả CBHD: Ts Phạm Hồng Liên HVTH: Nguyễn Thành Sơn 242 An toàn bảo mật thông tin mạng-Xây dựng ứng dụng mail client Có thể coi hãng bán lẻ quần áo Lands End hãng đầu lĩnh vực dịch vụ khách hàng trực tuyến Ðội ngũ bán hàng LandsEnd tư sẵn sàng trực chiến để chat với khách hàng mạng qua điện thoại giúp khách hàng truy cập vào địa Website liên quan Và độc đáo khách hàng cịn xây dựng mẫu trang phục ảo dựa người cân nặng riêng Akonix, cơng ty San Diego phát triển phương thức giao tiếp khách hàng với nhau, bên cạnh việc trao đổi với nhân viên bán hàng Bạn thấy người truy cập vào địa site như người tìm kiếm sản phẩm định Và họ mua bán, trao đổi thông tin sản phẩm Mối tương tác người với người đồng thời làm gia tăng doanh số bán hãng kinh doanh, tạo cảm nhận tính cộng đồng bên Website Hiện nay, người ta không cảm thấy ràng buộc với mua hàng trực tuyến họ dễ dàng rời khỏi trang web thương mại Theo tổng kết Goldman Sachs, Harris Interactive Nielsen-NetRatings, hãng bán lẻ mạng đạt doanh thu tổng cộng khoảng 13,8 tỷ USD mùa hè năm 2003, tăng 15% so với năm trước Nhưng có 30% số họ trả lời tin nhắn e-mail dịch vụ khách hàng vòng sau hỏi Còn lại khoảng 33% trì hỗn q ngày hay chí khơng thèm trả lời Thanh toán qua mạng Cho dù cơng ty kinh doanh thứ gì, quy mô lớn hay nhỏ, bán hàng qua mạng phải cần có khả chấp nhận tốn từ khách hàng Có nhiều cách toán khác qua mạng, cách phổ biến chấp nhận thẻ tín dụng Để làm điều này, bạn thiết cần tài khoản thương mại CBHD: Ts Phạm Hồng Liên HVTH: Nguyễn Thành Sơn 243 An toàn bảo mật thông tin mạng-Xây dựng ứng dụng mail client Ở Việt Nam chưa có tổ chức cung cấp dịch vụ tài khoản thương mại riêng cho tốn trực tuyến chưa có có yếu tố sở hạ tầng kỹ thuật chế tài pháp lý (thường sử dụng thẻ tín dụng quốc tế) Tuy nhiên, định hướng bán hàng nước ngồi, việc tốn trực tuyến thẻ tín dụng hồn tồn site sử dụng dịch vụ tài khoản thương mại ngân hàng hay tổ chức tài quốc tế Khi luận án viết, ngân hàng ACB (Asia Commercial Bank) đưa thử nghiệm loại thẻ toán ACB, chấp nhận toán cho vài hãng taxi hệ thống siêu thị Coopmart Tài khoản thương mại (merchant account) tài khoản chấp nhận lưu giữ khoản tiền giao dịch thẻ tín dụng Những tài khoản mở thông qua nhà cung cấp dịch vụ thương mại (MSP) ngân hàng hay qua tổ chức dịch vụ độc lập (ISO) Các ngân hàng nhìn chung coi an tồn đáng tin cậy hơn, họ lựa chọn cẩn thận khách hàng mở tài khoản thương mại ISO linh hoạt hơn, rủi ro cao cho cơng ty lẫn thân họ Hơn nữa, tính rủi ro cao mà ISO phải gánh chịu nên mức phí dịch vụ họ cao ngân hàng Một tài khoản thương mại để kinh doanh mạng tương tự tài khoản để đặt hàng qua thư, nguy rủi ro chỗ bạn không cầm thẻ tín dụng thực khách hàng để xác minh kỹ lưỡng Trước đây, ngân hàng thường miễn cưỡng mở tài khoản thương mại cho khách hàng sau hai năm, với hàng loạt điều kiện khác Tuy nhiên nay, phần lớn ngân hàng chí cịn chấp nhận cho nhà kinh doanh mở tài khoản thương mại, họ biết rõ lai lịch khách hàng Một công ty không tham gia kinh doanh năm, liên hệ với ngân hàng nơi công ty có tài khoản tiết kiệm hay cầm cố, để hỏi xem liệu họ có cấp cho bạn tài khoản thương mại khơng Cịn bạn kinh doanh tốt năm qua, đến ngân hàng thương mại có uy tín để đăng ký tài khoản Khơng nên liên hệ với ISO ngân hàng chưa từ chối, mức phí cao an toàn tài khoản thấp CBHD: Ts Phạm Hồng Liên HVTH: Nguyễn Thành Sơn 244 An toàn bảo mật thông tin mạng-Xây dựng ứng dụng mail client Khi đăng ký tài khoản thương mại, nên ước tính cho ngân hàng biết quy mơ, số lượng giao dịch trung bình tháng qua tài khoản Con số ước tính nên mức vừa phải Có thể ngân hàng yêu cầu đặt trước khoản tiền (có thể tương đương với tổng số giao dịch dự tính tháng) để tránh gian lận Do ta phóng đại số giao dịch, phải đặt cược nhiều Nên dự tính số vừa phải 1, tháng đầu Nếu lượng giao dịch vượt mức tháng, ngân hàng phải thoả thuận lại với công ty để tăng phần đặt cọc Tuy nhiên, lúc ta có tài khoản cơng việc kinh doanh phát triển tốt Các chi tiết cần lưu ý Ngoài việc tìm kiếm tài khoản thương mại để chấp nhận tốn thẻ tín dụng, nhà bán lẻ mạng cần có mẫu đặt hàng site Mẫu dạng HTML, sử dụng tập lệnh CGI (được viết ngôn ngữ lập trình ASP, ColdFusion, PERL, server-side Java, ) Tốt mẫu đặt hàng mã hóa SSL (Secure Sockets Layer) ISP, công ty mà ta thuê máy chủ giúp việc mã hóa SLL với chi phí rẻ Đơi khhi ta cần đến chứng thực từ tổ chức, chẳng hạn Very Sign Chi phí cho việc vào khoảng 350 USD (ở Mỹ) Ngồi ra, ta cần có phần mềm xử lý q trình tốn để điều khiển giao dịch tan ngân hàng Phần mềm giống dịch vụ sản phẩm Chúng ta mua hẳn thuê phần mềm theo tháng với phí trung bình 20 - 30USD Hiện có nhiều cơng ty áp dụng theo cách này, tiêu biểu Authorize.net Cybercash Một mối quan hệ với nhà cung cấp tài khoản thương mại hay tổ chức tài xác lập, nhà cung cấp hàng ngày chuyển phần doanh số thu thẻ tín dụng vào tài khoản nhà kinh doanh, sau trừ khoản phí cố định Một vài cơng ty tài thực dịch vụ thương CBHD: Ts Phạm Hồng Liên HVTH: Nguyễn Thành Sơn 245 An toàn bảo mật thông tin mạng-Xây dựng ứng dụng mail client mại, tự làm liên kết với bên thứ ba Đó dịch vụ chăm sóc khách hàng, lập hóa đơn, cấp phép, dịch vụ báo cáo thơng tin tốn Các cơng ty thứ ba thường cung cấp loại dịch vụ thương mại gồm : First Data Corp., Global Payment Systems Nova Information Systems Các nhà bán lẻ mạng cần ước tính trước số lượng giao dịch có website để lựa chọn phương pháp thích hợp Có loại xử lý chấp thuận : xử lý theo khối (batching) xử lý tức thời (real-time) Batching thường thực offline, phương pháp cửa hàng nhỏ ưa chuộng Khi đơn đặt hàng gửi đến qua điện thoại, fax, hay qua mạng, chúng xử lý thủ công Kiểu xử lý thường thực vài biện pháp thông qua thiết bị cuối hay sử dụng phần mềm xử lý chấp thuận dựa máy tính Hiện nay, nạn gian lận tốn vấn đề nan giải thương mại điện tử, chuyên gia khuyên doanh nghiệp vừa nhỏ nên giám sát kỹ việc xử lý theo khối (batching) q trình tốn, bước chống lại nạn gian lận, trước phải cần đến phương pháp xử lý tức thời (real-time) Ngược lại với batching, việc xử lý real-time xác nhận giao dịch mua bán thẻ tín dụng chấp nhận hay từ chối tức thời Một vài công ty mạng sử dụng phương pháp để tiết kiệm thời gian chi phí thơng qua việc tự động hóa q trình xử lý Nhưng nhiều website, đặc biệt công ty nhỏ, không cần đến chấp thuận real-time khoản phí phải bỏ để sử dụng Nhìn chung, bạn nên đầu tư vào giải pháp mà công ty bạn có danh mục lớn hàng kho cung cấp sản phẩm điện tử (như download nội dung hay phần mềm) Giải pháp khơng phức tạp, địi hỏi giám sát liên tục, thời gian chết trình xử lý tốn lúc bạn khơng thể chấp nhận đơn hàng Thông thường, khách hàng khơng thể biết việc tốn họ có xử lý tức thời hay khơng Cho nên bạn báo cho khách hàng số đơn hàng trang CBHD: Ts Phạm Hồng Liên HVTH: Nguyễn Thành Sơn 246 An toàn bảo mật thông tin mạng-Xây dựng ứng duïng mail client web cám ơn, họ nghĩ đơn hàng họ xử lý Trong đó, bạn có đầy đủ quyền để "bắt đầu" việc kiểm tra giới hạn tin cậy/gian lận từ thời điểm Khách hàng có sản phẩm bạn q trình kiểm tra tốn xong Các chi phí cho tài khoản thương mại Các cơng ty bán lẻ mạng cần tính tốn xem mức phí nhà cung cấp phù hợp với họ Các nhà cung cấp tài khoản thường tính nhiều loại phí khác cho cơng ty mạng, mức độ khác đáng kể Các công ty nên tính tốn xem chi phí có ảnh hưởng đến lợi nhuận tiềm hay không Các loại phí phổ biến bao gồm: Tỷ lệ chiết khấu: phần trăm số doanh thu từ thẻ tín dụng mà cơng ty tài chính, ngân hàng trích lại nhà bn q trình xử lý giao dịch Tỷ lệ phụ thuộc vào quy mô đặt hàng bình quân mà bạn báo với ngân hàng Quy mơ đặt hàng lớn thường có tỷ lệ chiết khấu nhỏ Thường khoảng - 3% Phí trao đổi : Mức phí mà ngân hàng bên thu tiền trả cho ngân hàng bên trả tiền cho giao dịch thẻ tín dụng Phí giao dịch dao động từ 25 cent đến 70 cent cho lần tốn Tuy nhiên, loại phí gánh nặng cửa hàng bán đồ giảm giá, nơi giá sản phẩm mức thấp Thiết bị cài đặt: chi phí bao gồm phần cứng, phần mềm, cài đặt lập trình Nếu mua ln giải pháp thương mại điện tửtừ công ty cho thuê máy chủ, bạn bớt loại chi phí này, chúng tính chung phí thuê máy chủ Phí hàng tháng: bao gồm phí tối thiểu, phí cố định, phí lập bảng kê, phí sử dụng vượt mức Phí dự phịng rủi ro: số ngân hàng giữ lại vài phần trăm số giao dịch để đề phòng trường hợp xảy tranh chấp Trong trường hợp xảy tranh chấp liên quan đến gian lận thẻ tín dụng thơng thường án giải CBHD: Ts Phạm Hồng Liên HVTH: Nguyễn Thành Sơn 247 An toàn bảo mật thông tin mạng-Xây dựng ứng dụng mail client theo hướng bênh vực quyền lợi người giữ thẻ, đặc biệt vụ tranh chấp Mỹ Điều có nghĩa là, gặp phải gian lận, người bán phần doanh số (do sản phẩm chuyển đi), mà khoản phí dự phịng cho ngân hàng Nhìn chung, loại phí phụ thuộc vào nhà cung cấp bạn, chúng khơng có chuẩn chung cịn thương lượng Các công ty bán lẻ nên nghiên cứu, so sánh kỹ tỷ lệ phí dịch vụ, chọn khoản phí thật cần thiết, sau đưa định đắn Nhiều nhà cung cấp tài khoản thương mại có đưa rõ thơng tin chi phí website, trang lớn MerchantWorkz liệt kê nhà cung cấp, mức phí, dịch vụ để bạn so sánh Dù lựa chọn cách nữa, bạn phải cân nhắc để tạo dễ dàng, tiện lợi tối đa cho khách hàng toán thẻ tín dụng mà khơng làm ảnh hưởng đến hoạt động kinh doanh Ngăn cản gian lận bước đơn giản Những người sử dụng Internet không thẳng, mạo nhận khách mua hàng mạng với ý đồ lừa đảo gây công ty bán lẻ thiệt hại nặng nề Và bạn mở website bán hàng mạng, nạn lừa đảo thẻ tín dụng khiến bạn phải từ bỏ nghiệp thương mại điện tửcủa Sau vài biện pháp nhanh chóng đơn giản để nhận dạng ngăn chặn kẻ gian lận: - Để mắt giám sát tất đơn hàng Hãy để ý đến chi tiết bất thường, mâu thuẫn thông tin nơi chuyển hàng hoá đơn toán, đơn đặt hàng lớn bất thường yêu cầu chuyển hàng đến hộp thư bưu điện Có nhiều khách hàng sử dụng email miễn phí để mua sắm qua mạng, nhằm tránh lộn xộn hộp thư riêng, nhận đơn đặt hàng có nghi vấn xuất phát từ địa email miễn phí, tốt bạn nên điều tra kỹ trường hợp - Đăng ký dịch vụ xác minh địa Nhờ dịch vụ này, bạn giảm bớt rủi ro gian lận, lỗi gõ sai địa chỉ, sai số khiến CBHD: Ts Phạm Hồng Liên HVTH: Nguyễn Thành Sơn 248 An toàn bảo mật thông tin mạng-Xây dựng ứng dụng mail client hàng bị trả lại Khoản đầu tư này, tiết kiệm thời gian tiền bạc cho công ty việc xác minh nhanh chóng địa giao hàng, thúc đẩy q trình thực đơn hàng - Cũng nên tự xác minh nhiều tốt thông tin khách hàng trước thuê nhà cung cấp dịch vụ chứng thực chuyên nghiệp Những website Anywho.com đưa dịch vụ tra cứu số điện thoại địa email Ngồi ra, thơng tin đăng ký tên miền cung cấp nhiều trang web, chẳng hạn CheckDomain.com - Đưa lời cảnh báo vào nơi dễ thấy website, nhấn mạnh việc khởi tố người có hành vi lừa đảo Điều khơng hồn tồn ngăn kẻ định lừa đảo thẻ tín dụng, thể trang web bạn có nỗ lực để ngăn cản kẻ lừa đảo - Khi có tượng nghi vấn, gọi cho ngân hàng cơng ty phát hành thẻ tín dụng Các tổ chức tài có cơng cụ điều tra hiệu qủa doanh nghiệp họ xác định gian lận cách nhanh chóng Nếu chưa đủ điều kiện để xác thực, họ nghiên cứu, cân nhắc để định xem có chấp nhận hay không chấp nhận giao dịch Với tất thách thức mà doanh nghiệp thương mại điện tử vừa nhỏ phải đối mặt thời gian qua, điều quan trọng giới hạn hết mức rủi ro tiềm Vận dụng kinh nghiệm sáng suốt xử lý giao dịch thẻ tín dụng kéo dài thời gian hoạt động công ty ta 10 Công nghệ chủ yếu dự án thương mại điện tử Các công nghệ phục vụ doanh nghiệp phát triển nhanh chóng Tuy nhiên, người cần điểm xuất phát Dưới ta xem qua vấn đề công nghệ chủ yếu xây dựng chương trình thương mại điện tử tồn diện (Lưu ý: Giá cơng nghệ giá tham khảo Mỹ cho CBHD: Ts Phạm Hồng Liên HVTH: Nguyễn Thành Sơn 249 An toàn bảo mật thông tin mạng-Xây dựng ứng dụng mail client công ty muốn triển khai thương mại điện tửở mức độ lớn phạm vi toàn cầu) Các thiết bị dịch vụ mạng Các cổng truy nhập lớn cho phép liệu lưu chuyển trực tiếp công ty bạn mạng Internet công cộng Sau bùng nổ thị trường nǎm 2001, khách hàng lo lắng tìm kiếm an tồn nhà khai thác mạng viễn thông lớn việc mua đường kết nối bǎng thông Việc tắc nghẽn truy nhập Internet nguyên nhân hàng đầu gây nên ngừng trệ Chính khách hàng khơng tìm kiếm nhà khai thác mạng trục mà cịn cần nhà khai thác có liên kết tới mạng lớn khác để đảm bảo hiệu nǎng sử dụng có khối lượng lớn người dùng hệ thống không bị tắc nghẽn Điểm quan trọng doanh nghiệp: Những nhà khai thác mạng lớn địi chi phí cao, gấp đơi gấp nhà khai thác mạng cấp thấp bù lại cung cấp khả nǎng truy nhập thông suốt cho người dùng Giá: 13.000-23.000 USD/tháng Những hệ thống định tuyến: Là hoa tiêu Internet, chúng kiểm tra gói liệu truyền liên tục mạng gửi chúng để địa điểm cần đến Các doanh nghiệp cần định tuyến để liên kết phận doanh nghiệp tới mạng Internet Điểm quan trọng doanh nghiệp: Cisco hãng chiếm ưu thị trường này, giá có cao hãng khác có chế độ bảo hành hậu đáng tin cậy Giá: 10.000-55.000 USD Sản phẩm tiêu biểu: Cisco 6500, 7200, 7500 - Cisco, Contivity 100, 400 (Nortel) Các thiết bị cân tải: Các thiết bị cân tải (sử dụng qua phần mềm website qui mô nhỏ qua phần cứng website qui mô lớn) giúp máy chủ doanh nghiệp hoạt động nhóm thơng qua việc phân phối cân luồng truy nhập Điểm quan trọng doanh nghiệp : Cisco Nortel q bận rộn với vụ thơn tính thị trường CBHD: Ts Phạm Hồng Liên HVTH: Nguyễn Thành Sơn 250 An toàn bảo mật thông tin mạng-Xây dựng ứng duïng mail client này, hai hãng mua lại Arrowpoint Alteon, họ chưa có động thái phát triển sản phẩm Những nhà cung cấp nhỏ nh F5 Networks dẫn đầu thị trường với sản phẩm có đặc điểm Giá: 4.500- 30.000 USD Các sản phẩm tiêu biểu: CSS 11152, 11154 (Cisco), Big-IP 5000 (F5 Networks), Alteon Ace Switch, Ace Director (Nortel Networks) Các thiết bị chuyển mạch Những thiết bị liên tục chuyển tiếp liệu máy chủ Nếu định tuyến phối hợp dòng lưu lượng vào khu vực web doanh nghiệp, chuyển mạch phối hợp dòng lưu lượng bên Điểm quan trọng doanh nghiệp: Cisco hãng thống trị thị trường này, 60% công ty toàn cầu sử dụng sản phẩm định tuyến Cisco Nhưng thị trường ngày trở nên thương mại hoá, nhà cung cấp thiết bị chuyển mạch bán sản phẩm dựa quy mô dịch vụ hỗ trợ, phụ thuộc vào giá thành đặc điểm Giá:4.000-20.000 USD.Các sản phẩm chủ yếu Cisco Systems, Extreme Networks Nortel Networks Các ứng dụng Web Đây phần mềm quản lý mặt web doanh nghiệp Các ứng dụng web thể thông tin, thu gom tập hợp thông tin từ phần mềm doanh nghiệp, thông tin xác thực người dùng hoàn thiện giao dịch trực tuyến Phần mềm máy chủ Web: Những chương trình máy bán hamburger Internet : Chúng phân phát tất tập tin lập nên trang web Chọn phần mềm máy chủ web khơng cịn định mang tính chiến lược phần lớn cơng ty mà thường kèm theo miễn phí với phần mềm máy chủ ứng dụng Điều quan trọng doanh nghiệp : Đến nǎm 2003 2004, phần mềm máy chủ web coi đặc điểm hệ điều hành tính nǎng in ấn hay lưu trữ Giá: Miễn phí Sản phẩm tiêu biểu: 2.0 Server -Apache, Internet Information Server -Microsoft, iPlanet Web Server Sun Microsystems CBHD: Ts Phạm Hồng Liên HVTH: Nguyễn Thành Sơn 251 An toàn bảo mật thông tin mạng-Xây dựng ứng dụng mail client Phần mềm máy chủ ứng dụng: Nếu chương trình phần mềm máy chủ Web máy bán hamburger Internet phần mềm máy chủ ứng dụng "bánh điện tử" cho người sử dụng ứng dụng sở liệu lớn doanh nghiệp Phần mềm máy chủ ứng dụng công nghệ tảng hệ với "Dịch vụ Web" lên cuối yếu tố chủ đạo Công nghệ Net Microsoft phần mềm máy chủ ứng dụng cạnh tranh với phần mềm máy chủ khác dựa Java Sự hỗ trợ Net cho nhiều ngôn ngữ giúp giảm chi phí đầu vào thu hút công ty công nghệ Giá: 8.000-35.000 USD/CPU Các sản phẩm tiêu biểu : WebLogic 6.1BEA Systems, WebSphere- IBM Phần mềm cổng doanh nghiệp: Phần mềm cổng lúc thu thập thông tin từ đối tác từ chi nhánh doanh nghiệp để tạo nên hồ sơ thông kê số cho đối tác kinh doanh, khách hàng nhân viên Mức độ hợp đồng phần mềm cổng ngày tǎng ngành công nghệ thông tin tǎng trưởng chậm Giá có xu hướng tǎng từ mức 100 USD 200 USD/người dùng phần mềm cổng mức vừa lớn 50 USD hợp đồng dành cho 100.000 người dùng Các sản phẩm tiêu biểu: Foundation Server 4.0-Epicentric, Portal Server 1.2- IBM, Corporate PortalPlumtree, SAP Portals - SAP Phần mềm tích hợp: Là phần mềm ngơn ngữ điện tử thống chung, phân tích liệu máy tính tồn cơng việc kinh doanh Các phần mềm tích hợp liên doanh nghiệp (Inter-Enterprise Integration software -IEI) đóng vai trị cầu nối doanh nghiệp đối tác Tương tự vây, phần mềm tích hợp ứng dụng doanh nghiệp (Enterprise Application Integration -EAI) vận chuyển liệu hệ thống nội doanh nghiệp Điểm mấu chốt: Nếu ta cần IEI, bạn chắn phải cần EAI trước máy chủ bạn liên kết với bên ngồi chúng phải liên kết với Giá:300.000- 500.000 USD Các sản phẩm tiêu biểu: WebSphere Host Integration Solution (IBM), e-Xchange eBI Suite- SeeBeyond , CBHD: Ts Phạm Hồng Liên HVTH: Nguyễn Thành Sơn 252 An toàn bảo mật thông tin mạng-Xây dựng ứng dụng mail client ActiveEnterprise -Tibco Software, Businessware - Vitria, Integration Platform – WebMethods Phần mềm quản lý nội dung: Những đóng gói phần mềm quản lý nội dung cho phép công ty quản lý nội dung trực tuyến, từ danh mục sản phẩm tới đặc điểm chi tiết sản phẩm Vai trò phần mềm quản lý nội dung ngày thiết yếu phát triển nội dung trực tuyến khơng Web mà cịn máy tính xách tay, điện thoại di động truyền hình tương tác Điểm mấu chốt: Cần đảm bảo phần mềm quản lý nội dung phải làm việc tốt với phần mềm máy chủ ứng dụng công nghệ web khác Giá 250.000 USD Các sản phẩm chủ yếu: 4i WCM Edition- Documentum, Team Site 5.5 Interwoven, Content Management 5.0 - Stellent,Content Suite V6 – Vignette Các phần mềm bảo mật khôi phục sau tai nạn Là phần mềm có khả nǎng giữ cho cơng ty an tồn trước kẻ xấu mạng trước thảm họa không mong muốn Phần mềm xác thực: Phần mềm kiểm tra xác minh danh tính cá nhân trước cho phép truy nhập vào ứng dụng nguồn tài nguyên khác Nó có dạng chính: Xác thực mạng, thường điều khiển hệ điều hành mạng Microsoft Windows 2000 Phần mềm xác thực cá nhân cho ứng dụng dựa web Điểm quan trọng: Các ứng dụng bảo mật doanh nghiệp bắt đầu đưa vào sử dụng với hệ thống bảo mật ID người sử dụng dựa vào dấu hiệu chứng phần mềm SecureID RSA cấp thấp hệ thống dựa vào vân tay hệ thống sinh trắc học khác Giá 20 USD/người sử dụng Các sản phẩm chủ yếu: Steel-Belted Radius/Enterprise Edition - Funk Software, SiteMinder- Netegrity, ClearTrust – RSA Bức tường lửa: Chúng phục vụ người lính gác cho doanh nghiệp điện tử bạn, chúng kiểm tra luồng truy nhập từ bên ngǎn chặn truy nhập không mong muốn vào website công ty Các giải pháp bao gồm phần cứng phần mềm Điểm quan trọng: Check Point Cisco CBHD: Ts Phạm Hồng Liên HVTH: Nguyễn Thành Sơn 253 An toàn bảo mật thông tin mạng-Xây dựng ứng dụng mail client hãng dẫn đầu thị trường NetScreen đối thủ nặng ký đặc biệt khả nǎng xây dựng mạng riêng ảo VPN Giá: 11.000 USD - 18.000 USD Sản phẩm chủ yếu: FireWall-1 Check Point, PIX- Cisco Systems, NetScreen-1000 NetScreen Phần mềm mã hoá: Phần mềm "bǎm" liệu để có kẻ định trộm liệu, phần mềm không cho phép kẻ trộm đọc liệu Các sản phẩm mã hoá làm việc mức độ: - Mức độ thứ làm việc với máy tính để bàn máy xách tay; - Mức độ thứ máy chủ doanh nghiệp sở liệu Điểm mấu chốt: Bản thân mã hố cơng nghệ đơn giản Quan trọng xây dựng hệ thống kiểm sốt hàng ngàn khóa (mã điện tử) cần thiết để mở khoá liệu Khách hàng doanh nghiệp lớn đầu tư vào hệ thống hạ tầng mã khóa cơng khai PKI dễ dàng quản lý song lựa chọn hạn chế giá cao Giá: 20 USD/người dùng Các sản phẩm tiêu biểu: Secure Data - Protegrity, SafeGuard - Utimaco Safeware Các dịch vụ khôi phục sau thảm họa: Nếu vǎn phịng California cơng ty bạn ngày bị lún xuống đáy đại dương, liệu công ty bạn sao? Các doanh nghiệp buộc phải định mức độ phù hợp rủi ro chi phí Các dịch vụ khơi phục liệu sau thảm họa bắt đầu với việc lưu từ xa mở rộng tới tồn việc xây dựng hệ thống thơng tin vǎn phịng sau tai nạn Điểm mấu chốt: Nếu doanh nghiệp có khả nǎng lưu liệu chống đỡ thảm hoạ xảy vòng 72 sau đêm cần tới mức đầu tư lớn Giá 100.000 USD trở lên Các sản phẩm chủ yếu: Availability Solutions - Comdisco, Business Continuity and Recovery Services - IBM, SunGard Recovery Services - SunGard Hà Nội khai trương mạng thương mại điện tử Sàn giao dịch trực tuyến thủ đô vừa mắt địa chỉ: http://ecommerce.com.vn Bộ Thương mại hợp tác với số ngân hàng, siêu thị công ty nhằm xúc tiến hoạt động CBHD: Ts Phạm Hồng Liên HVTH: Nguyễn Thành Sơn 254 An toàn bảo mật thông tin mạng-Xây dựng ứng dụng mail client mua bán, quảng bá tìm kiếm hợp đồng xuất nhập địa bàn thành phố Đây nỗ lực nhằm phát triển thương mại điện tử Việt Nam Ban đầu, thị trường trực tuyến chủ yếu cung cấp dịch vụ từ doanh nghiệp đến khách hàng (B2C), tức mức mua hàng trực tuyến Địa cung cấp thông tin thị trường Việt Nam, hoạt động thương mại, sách luật Nhà nước Ngồi ra, website cịn giới thiệu sản phẩm 50 công ty mối quan hệ họ Tuy nhiên, dự án thí điểm với trang thiết bị cịn sơ sài, mặt nhỏ mượn tạm Sở Thương Mại Hà Nội Nó giúp chủ thể liên quan tiếp cận với hình thức kinh doanh cịn mẻ Việt Nam Thương mại điện tử chương trình có tính lâu dài Việt Nam chưa có quy định cụ thể để chấp nhận chứng thực chữ ký điện tử, chưa có khn khổ pháp lý cho giao dịch trực tuyến vấn đề quyền bảo mật thơng tin cá nhân cịn hạn chế Hiện nay, số 100.000 doanh nghiệp Việt Nam có 3.000 mở website riêng (tháng năm 2003) CBHD: Ts Phạm Hồng Liên HVTH: Nguyễn Thành Sơn 255 TĨM TẮT LÝ LỊCH TRÍCH NGANG Họ tên: Nguyễn Thành Sơn Ngày tháng năm sinh: 19/05/1975 Nơi sinh: Bến Tre Địa liên lạc: 7/86/5 đường Lê Văn Quới, Phường Bình Hưng Hồ, Quận Bình Tân, Tp HCM Điện thoại: 84-8-8856877 84-8-9080146 QUÁ TRÌNH ĐÀO TẠO: + Năm 1994-1999: học đại học trường Đại Học Bách Khoa TpHCM + Năm 2001-2004: học cao học trường Đại Học Bách Khoa TpHCM Q TRÌNH CƠNG TÁC: + Năm 2000-2001: làm việc Công ty Viễn thông Điện lực (VT3) + Năm 2001-2004: giảng dạy Đại Học Khoa Học Tự Nhiên Trung tâm Tin học trường ... ĐỀ TÀI: An toàn bảo mật thông tin mạng Xây dựng ứng dụng Mail Client II NHIỆM VỤ VÀ NỘI DUNG Tìm hiểu, nghiên cứu đánh giá thuật toán mật mã hoá từ cổ điển đến đại Nghiên cứu việc ứng dụng lý... khai 184 xvii An toàn bảo mật thông tin mạng- Xây dựng ứng dụng mail client MỞ ĐẦU Tóm tắt An tồn bảo mật hệ thống vấn đề... mật mã theo khố bất đối xứng có tên Advanced Elgamal với nhiều ưu điểm vượt trội so với mơ hình khác ứng dụng thực tế Phần 2: An toàn bảo mật thông tin mạng gồm chương Chương 1: An toàn bảo mật