HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN - - HỌC PHẦN AN TOÀN INTERNET VÀ THƯƠNG MẠI ĐIỆN TỬ Tìm hiểu giao thức Thương mại điện tử Hà Nội, 2021 MỤC LỤC DANH MỤC BẢNG DANH MỤC HÌNH VẼ .5 LỜI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VÀ VẤN ĐỀ AN TOÀN TRONG THƯƠNG MẠI ĐIỆN TỬ 1.1 Khái niệm Thương mại điện tử 1.2 Lợi ích hạn chế Thương mại điện tử .7 1.2.1 Lợi ích 1.2.2 Hạn chế 1.3 Vấn đề an toàn cho Thương mại điện tử 10 1.4 Các khía cạnh an toàn thương mại điện tử .12 1.5 Các nguy an toàn Thương mại điện tử 13 1.5.1 Đánh giá rủi ro Internet 13 1.5.2 Các mối đe dọa điển hình 15 1.5.3 Các nguy công ứng dụng web 16 1.5.4 Các nguy an tồn hệ thống tốn điện tử 19 1.6 Các kỹ thuật đảm bảo an tồn thơng tin thương mại điện tử 19 1.6.1 Mã hóa liệu .19 1.6.2 Chứng thực điện tử 19 1.6.3 Bảo mật hệ thống toán .20 1.6.4 Sử dụng tường lửa 21 1.6.5 Sao lưu liệu .21 1.6.6 Các giao thức thương mại điện tử 21 CHƯƠNG 2: CÁC GIAO THỨC TRONG THƯƠNG MẠI ĐIỆN TỬ .22 2.1 3D-Secure: .22 2.1.1 Khái niệm .22 2.1.2 Cách thức hoạt động giao thức 22 2.1.3 Lợi ích 3D-Secure: 24 2.2 Giao thức SSL/TLS 25 2.2.1 Khái niệm .25 2.2.2 Đặc điểm 26 2.2.3 Cách thức hoạt động 27 2.3 Giao Thức SET 29 2.3.1 Khái niệm SET 29 2.3.2 Lịch sử phát triển 30 2.3.3 Vai trò đặc điểm giao thức SET .31 2.3.4 Các thực thể tham gia 32 2.3.5 Cách thức hoạt động 34 2.3.6 Các công nghệ bảo mật sử dụng SET 35 CHƯƠNG 3: CẤU HÌNH BẢO MẬT CHO DỊCH VỤ WEB 37 3.1 Chuẩn bị 37 3.2 Các bước thực 37 KẾT LUẬN 47 TÀI LIỆU THAM KHẢO 48 DANH MỤC BẢNG Bảng 1: Hạn chế thương mại điện tử .10 Bảng 2: Các khía cạnh an tồn TMĐT .13 Bảng 3: Các lỗ hổng ứng dụng web 19 DANH MỤC HÌNH VẼ Hình 1.1: Mơi trường an tồn TMĐT 11 Hình 1.2: Các khía cạnh an tồn TMĐT .14 Hình 1.3: Những điểm yếu môi trường TMĐT 16 Hình 2.1 Quá trình giao dịch có xác thực 3D-Secure .25 Hình 2.2 Lịch sử hình thành phát triển SSL/TLS 27 Hình 2.3 Cách thức hoạt động SSL 29 Hình 2.4 Mơ tả bên tham gia SET 33 Hình 2.5 Các bước trình giao dịch SET 36 Hình 2.6 Mơ tả q trình gắn hai thông điệp thành cho phép đối tác đọc phần 37 Hình 2.7 Minh họa trình tạo chữ ký kép .37 Hình 3.1 Trang chủ website Sharon Shop 38 Hình 3.2 Thiết lập trình đăng ký tài khoản nhấn Tiếp tục 39 Hình 3.3 Nhập thơng tin đăng ký tài khoản nhấn Đăng ký 39 Hình 3.4 Màn hình đăng nhập tài khoản 40 Hình 3.5 Màn hình Wireshark phân tích gói tin .41 Hình 3.6 Gói tin Client Hello 41 Hình 3.7 Chi tiết giao thức Handshake gói tin Client Hello 42 Hình 3.8 Gói tin Server Hello 43 Hình 3.9 Nội dung gói tin Server Hello 44 Hình 3.10 Thơng tin Certificate Server cấp .44 Hình 3.11 Thơng tin Certificate Status 45 Hình 3.12 Gói tin Client Key Exchange 45 Hình 3.13 Gói tin New Session Ticket 46 Hình 3.14 Gói tin Application Data .47 LỜI MỞ ĐẦU Với phát triển mang tính tồn cầu mạng Internet Thương mại điện tử, người mua bán hàng hóa dịch vụ thơng qua mạng máy tính tồn cầu cách dễ dàng lĩnh vực thương mại rộng lớn Tuy nhiên giao dịch mang tính nhạy cảm cần có chế đảm bảo bảo mật an tồn Vì vậy, vấn đề bảo mật an tồn thơng tin thương mại điện tử vấn đề quan trọng Trong báo cáo này, chúng em xin phép trình bày đề tài Các giao thức an toàn thương mại điện tử Bài báo cáo gồm có phần chính: Chương I: Tổng quan Thương mại điện tử vấn đề an toàn Thương mại điện tử: phần chúng em trình bày tổng quan khái niệm TMĐT, lợi ích hạn chế TMĐT, vấn đề an toàn, nguy kỹ thuật đảm bảo an toàn TMĐT Chương II: Các giao thức an toàn TMĐT: chương chúng em trình bày chi tiết cụ thể giao thức an toàn Chương III: Thực nghiệm số giao thức an toàn cụ thể Vì thời gian làm có hạn nên báo cáo chúng em không tránh khỏi sai sót Chúng em mong nhận góp ý từ cô bạn Chúng em xin cảm ơn cô! CHƯƠNG 1: TỔNG QUAN VÀ VẤN ĐỀ AN TOÀN TRONG THƯƠNG MẠI ĐIỆN TỬ 1.1 Khái niệm Thương mại điện tử Thương mại điện tử (Electronic commerce – EC hay E.Commerce) khái niệm dùng để mơ tả q trình mua bán trao đổi sản phẩm, dịch vụ thông tin thông qua mạng máy tính, kể Internet TMĐT thường hiểu theo nghĩa hẹp mua bán mạng hay mua bán thông qua phương tiện điện tử Tuy nhiên, giới có nhiều khái niệm TMĐT theo nghĩa rộng định nghĩa nhiều tổ chức UNCTAD, EU, OECD,…do tổ chức liên hiệp quốc (UN – United Nations) đưa định nghĩa đầy đủ để quốc gia tham khảo làm chuẩn tạo sở xây dựng chiến lược phát triển TMĐT phù hợp: Phản ánh bước TMĐT theo chiều ngang: “TMĐT việc thực toàn hoạt động kinh doanh bao gồm Marketing, bán hàng, phân phối toán (MSDP – Marketing Sales Distribution Payment) thơng qua phương tiện điện tử” Phản ánh góc độ quản lý nhà nước, theo chiều dọc TMĐT bao gồm:  Cơ sở hạ tầng cho phát triển TMĐT  Thông điệp liệu  Các quy tắc (luật điều chỉnh)  Các quy tắc riêng lĩnh vực  Các ứng dụng 1.2 Lợi ích hạn chế Thương mại điện tử 1.2.1 Lợi ích Lợi ích tổ chức  Mở rộng thị trường: với chi phí đầu tư nhỏ nhiều so với thương mại truyền thống, công ty mở rộng thị trường, tìm kiếm, tiếp cận người cung cấp, khách hàng đối tác khắp giới Việc mở rộng mạng lưới nhà cung cấp, khách hàng cho phép tổ chức mua với giá thành thấp bán nhiều sản phẩm  Giảm chi phí sản xuất, chi phí thơng tin liên lạc, chi phí mua sắm chi phí đăng ký kinh doanh  Cải thiện hệ thống phân phối: hệ thống cửa hàng giới thiệu sản phẩm thay hỗ trợ showroom mạng, giảm tải chi phí lưu kho độ trễ phân phối hàng  Vượt giới hạn thời gian: Việc tự động hóa giao dịch thông qua Web giúp hoạt động kinh doanh thực liên tục mà không thêm nhiều chi phí biến đổi  Sản xuất hàng theo yêu cầu, đáp ứng nhu cầu khách hàng, tăng tốc độ tiếp cận sản phẩm với thị trường, củng cố quan hệ với khách hàng  Mơ hình kinh doanh mới: mơ hình kinh doanh với lợi giá trị cho khách hàng Ví dụ mơ hình amazon.com, mua hàng theo nhóm hay đấu giá sản phẩm qua mạng đến sàn giao dịch B2B điển hình thành cơng  Các lợi ích khác: thơng tin cập nhật, kịp thời, nâng cao uy tín doanh nghiệp, cải thiện chất lượng dịch vụ khách hàng, đơn giản hóa chuẩn hóa quy trình giao dịch, tăng linh hoạt giao dịch hoạt động kinh doanh, Lợi ích người tiêu dùng  Thương mại điện tử cho phép khách hàng mua sắm nơi, lúc cửa hàng khắp giới, khách hàng lựa chọn nhiều sản phẩm dịch vụ tiếp cận với nhiều nhà cung cấp hơn, với giá thành thấp hơn, phù hợp hơn, nhu cầu khách hàng đáp ứng  Một số sản phẩm số hóa phim, nhạc, sách, phần mềm,…nên việc giao hàng thực dễ dàng thông qua Internet  Thông tin phong phú, thuận tiện chất lượng cao hơn, khách hàng dễ dàng tìm kiếm thơng tin cần thiết thơng qua cơng cụ tìm kiếm google, yahoo,…đồng thời việc quảng bá, giới thiệu sản phẩm rộng rãi, thuận tiện  Một lợi ích quan trọng nhiều quốc gia miễn thuế giao dịch mạng nhằm khuyến khích việc hoạt động thương mại điện tử Lợi ích xã hội  Hoạt động trực tuyến: thương mại điện tử tạo môi trường để làm việc, mua sắm, giao dịch,…từ xa nên giảm việc lại, ô nhiễm tai nạn  Nâng cao mức sống: có nhiều hàng hóa, nhiều nhà cung cấp tạo áp lực giảm giá, tăng khả mua sắm khách hàng, nâng cao mức sống  Các nước nghèo tiếp cận với sản phẩm, dịch vụ từ nước phát triển đồng thời học tập kinh nghiệm đào tạo thông qua Internet thương mại điện tử nhằm tiếp cận cơng nghệ cách nhanh chóng  Giảm bớt phức tạp cồng kềnh dịch vụ công cộng y tế, giáo dục, dịch vụ cơng phủ,… 1.2.2 Hạn chế HẠN CHẾ CỦA THƯƠNG MẠI ĐIỆN TỬ Hạn chế kỹ thuật Hạn chế thương mại Chưa có tiêu chuẩn quốc tế An ninh tính riêng tư hai cản trở chất lượng, an toàn độ tin cậy tâm lý người tham gia thương mại điện tử Tốc độ đường truyền Internet Thiếu lòng tin vào thương mại điện tử chưa đáp ứng yêu cầu người bán hàng thương mại điện người dùng, thương tử bên không gặp mặt trực mại điện tử tiếp Các công cụ xây dựng phần mềm Nhiều vấn đề luật, sách giai đoạn phát triển thuế chưa làm rõ Khó khăn kết hợp phần Một số sách chưa thực hỗ trợ mềm thương mại điện tử với tạo điều kiện để thương mại điện tử phát phần mềm ứng dụng sở triển liệu truyền thống Cần có máy chủ thương mại Các phương pháp đánh giá hiệu điện tử đặc biệt, chuyên dụng (công thương mại điện tử cịn chưa đầy đủ, suất, an tồn) địi hỏi thêm chi phí hồn thiện đầu tư Chi phí truy cập Internet cịn Cần có thời gian để làm quen với việc cao chuyển đổi thói quen tiêu dùng từ thực đến ảo Thực đơn đặt hàng Sự tin cậy mơ trường kinh thương mại điện tử B2C địi hỏi hệ doanh không giấy tờ, không tiếp xúc trực thống kho hàng tự động lớn tiếp, giao dịch điện tử Số lượng người tham gia chưa đủ lớn để đạt lợi quy mô Số lượng gian lận ngày gia tăng đặc thù thương mại điện tử 10 Thu hút vốn đầu tư mạo hiểm khó khăn sau sụp đổ hàng loại công ty dot.com Bảng 1: Hạn chế thương mại điện tử 1.3 Vấn đề an toàn cho Thương mại điện tử Trong thương mại truyền thống, mua hàng, người mua gặp rủi ro khơng nhận hàng hóa mà mua toán Nguy hiểm hơn, khách hàng bị kẻ xấu lấy cắp tiền lúc mua sắm Nếu người bán hàng, khơng nhận tiền tốn Thậm chí, kẻ xấu lấy trộm hàng hóa, có hành vi lừa đảo tốn thẻ tín dụng ăn cắp trả tiền giả,… 10 Hình 2.8 Các bước trình giao dịch SET 2.3.6 Các công nghệ bảo mật sử dụng SET - Đảo bảo tính bí mật thơng tin sử dụng thuật tốn:DES - Tính tồn vẹn liệu: Sử dụng chữ ký RSA với hàm băm SHA-1 - Xác thực ngƣời nắm giữ thẻ: sử dụng chứng điện tử X.509v3 với chữ ký RSA - Xác thực công ty thương mại: Sử dụng chứng điện tử với chữ ký RSA - Bảo mật: Tách riêng rẽ thông tin đặt hàng thơng tin tốn sử dụng hai chữ ký Như bên người thấy đề cập đến chữ kép giao thức SET Ở chữ ký kép cải tiến quan trọng giới thiệu SET Mục đích chữ ký kép liên kết hai thông điệp dành cho hai người nhận khác Trong trường hợp này, khách hàng muốn gửi thông tin đặt hàng (OI) cho người bán thơng tin tốn (PI) cho ngân hàng Người bán hàng khơng cần biết số thẻ tín dụng khách hàng, ngân hàng không cần biết chi tiết đơn đặt hàng khách hàng Khách 35 hàng bảo vệ thêm quyền riêng tư cách giữ riêng hai mục Tuy nhiên, hai mục phải liên kết theo cách sử dụng để giải tranh chấp cần thiết Liên kết cần thiết để khách hàng chứng minh khoản toán dành cho đơn đặt hàng khơng phải cho số hàng hóa dịch vụ khác Hình 2.9 Mơ tả q trình gắn hai thông điệp thành cho phép đối tác đọc phần Các bước thực tạo chữ ký kép:  Sử dụng hàm băm mật mã H (MD5, SHA ) để mã hóa thơng tin đơn hàng OI thơng tin tốn PI thành giá trị băm OIMD PIMD  Nối hai giá trị băm OIMD PIMD mã hóa chúng hàm băm H thành giá trị băm tin tổng hợp toán đơn hàng POMD  Mã hóa POMD thuật tốn mã hóa E (RSA, DSA) với khóa bí mật KRc của chủ thẻ Kết thu chữ ký kép DS Hình 2.10 Minh họa trình tạo chữ ký kép 36 CHƯƠNG 3: CẤU HÌNH BẢO MẬT CHO DỊCH VỤ WEB Trong phần này, nhóm chúng em tiến hành tạo đăng nhập tài khoản website thương mại điện tử mã hóa sử dụng giao thức SSL Với mục đích sử dụng phần mềm Wireshark để chặn bắt phân tích gói tin SSL nhằm thấy rõ thơng tin truyền ln mã hóa an tồn 3.1 Chuẩn bị  01 máy trạm có kết nối Internet  Phần mềm WireShark 3.2 Các bước thực Truy cập vào website https://demowebsite.cafe24shop.com/ đồng thời mở phần mềm Wireshark để theo dõi q trình truyền thơng tin mạng: Hình 3.11 Trang chủ website Sharon Shop Khi nhìn vào tìm kiếm, thấy có biểu tượng khóa màu xám URL hiển thị giao thức https, website bật mã hóa an tồn sử dụng giao thức SSL 37  Tiến hành tạo tài khoản người dùng: Hình 3.12 Thiết lập trình đăng ký tài khoản nhấn Tiếp tục Hình 3.13 Nhập thơng tin đăng ký tài khoản nhấn Đăng ký 38 - Tiến hành đăng nhập tài khoản người dùng tạo bước Bước 1: Mở phần mềm Wireshark -> tiến hành phân tích gói tin Bước 2: Truy cập vào website Sharon Shop đường link: https://demowebsite.cafe24shop.com/ đăng nhập thơng tin tài khoản vừa tạo bước Hình 3.14 Màn hình đăng nhập tài khoản Bước 3: Mở Wireshark tiến hành phân tích gói tin Tại chức filter đầu trang, gõ ssl để lọc gói tin SSL Địa IP nguồn 192.168.1.71, địa máy Windows 10 cục Địa IP đích 52.109.124.124, địa web server của: demowebsite.cafe24shop.com 39 Hình 3.15 Màn hình Wireshark phân tích gói tin Nhấn chuột phải vào gói tin Client Hello -> Follow TCP Stream Đầu tiên, máy trạm gửi gói tin Client Hello tới server Dưới đây, thấy nội dung mà máy cục trao đổi với máy chủ Hình 3.16 Gói tin Client Hello 40 Tại mục Transport Layer Security, gói tin Client Hello giao thức Handshake có version TLS 1.2, độ dài 202 bytes: Hình 3.17 Chi tiết giao thức Handshake gói tin Client Hello Tại mục Random, thấy bytes liệu sử dụng để tạo master key sau Tại mục Cipher Suites, thông số 19 suites cho thấy trình duyệt cục máy trạm chấp nhận 19 mật mã khác máy chủ sử dụng số chúng để giao tiếp với máy tính cục Mục cuối phần này: Extension: signature_algorithms, thuật toán mã hóa băm Client chấp nhận thuật tốn khác cho mục đích Server vào thuật tốn mã hóa để thống thuật tốn mã hóa băn phù hợp 41 Server trả lời lại Client gói tin Server Hello với Handshake Type Nó cung cấp bytes ngẫu nhiên sử dụng để tạo master key cho trình giao tiếp sau Hình 3.18 Gói tin Server Hello Server lấy số giá trị mật mã gửi Certificate cho Client với Handshake Type Certificate 11 Đồng thời đây, thấy server lựa chọn giao thức mã hóa TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA348 có mã 0x030 giao thức mà client gửi trước 42 Hình 3.19 Nội dung gói tin Server Hello Certificates bao gồm 4993 bytes, version kèm với số serialNumber, signature Algorithm ID number Hình 3.20 Thơng tin Certificate Server cấp Thông tin chứng cung cấp countryName, organizationName commonName Đồng thời xem thông tin ngày trước sau phát hành 43 Hình 3.21 Thơng tin Certificate Status Sau hai bước này, Client Server thương lượng xong thuật tốn mã hóa, nén liệu thuật tốn băm Hình 3.22 Gói tin Client Key Exchange Gói tin Client Key Exchange cung cấp thông tin giao thức Handshake có Handshake Type Client Key Exchange 16 với độ dài 98 bytes 44 Thông tin Public Key Public Length Key Client rõ phần Handshake Protocol: Server Hello Done cho biết server gửi hết tất thông tin mà có cho Client Sau gửi thơng điệp này, Server chờ đợi phản hồi từ phía Client Hình 3.23 Gói tin New Session Ticket Tại đây, thấy nội dung Session Ticket Change Cipher spec gói tin Handshake mã hóa 45 Hình 3.24 Gói tin Application Data Gói tin Application Data gói tin chứa liệu Username Password đăng nhập vào trang web Tất thơng tin mã hóa khơng người dùng ngồi hiểu nội dung mà bạn truyền 46 KẾT LUẬN Quá trình nghiên cứu thực đề tài “Tìm hiểu giao thức thương mại điện tử”, tập trung nghiên cứu giao thức phổ biến môi trường thương mại điện tử nay, từ thực phân tích triển khai thực nghiệm giao thức cụ thể nhằm đưa nhìn cụ thể cách thức hoạt động vai trò chúng vấn đề đảm bảo an toàn thương mại điện tử Về báo cáo hoàn thành mục tiêu sau: - Nghiên cứu tổng quan thương mại điện tử: Đặc điểm thương mại điện tử; lợi ích, hạn chế vấn đề an toàn thương mại điện tử - Nghiên cứu tổng quan giao thức thương mại điện tử - Nghiên cứu triển khai thực nghiệm giao thức cụ thể thương mại điện tử - Kết đạt từ thực nghiệm đáp ứng mục tiêu đề tài Hạn chế báo cáo: - Do thời gian tìm hiểu nghiên cứu có giới hạn, nguồn liệu tìm cịn hạn chế nên báo cáo chưa hoàn chỉnh khơng tránh khỏi sai sót Nhóm chúng em mong nhận góp ý từ bạn để báo cáo chúng em hoàn thiện 47 TÀI LIỆU THAM KHẢO Ebook: Protocols for secure electronic-commerce, Mostafa Hashem Sherif https://www.slideshare.net/reallleaf/bo-mt-v-an-ton-thng-tin-trong-thng-miin-t https://slidetodoc.com/internet-keyed-payment-protocol-pietro-montanaricosimobasile/? fbclid=IwAR0ysBnxm_8KTrHm2UbN1FVYzwY1CkNhgcNLFP2jfJxzaw B3P7pRz9vM6Hk 48 BẢNG PHÂN CÔNG CÔNG VIỆC Họ tên Nghiêm Thị Thủy Nhiệm vụ Làm Word, Powerpoint chương Nguyễn Thị Linh Demo máy tính cá nhân Làm Word, Powerpoint chương Trần Thúy Hường Demo máy tính cá nhân Làm Word, Powerpoint chương Vũ Thị Dịu Demo máy tính cá nhân Làm Word, Powerpoint chương Nguyễn Thị Lan Demo máy tính cá nhân Làm Word, Powerpoint chương Nguyễn Cảnh Toàn Demo máy tính cá nhân Làm Word, Powerpoint chương Demo máy tính cá nhân 49 ... vấn đề an toàn, nguy kỹ thuật đảm bảo an toàn TMĐT Chương II: Các giao thức an tồn TMĐT: chương chúng em trình bày chi tiết cụ thể giao thức an toàn Chương III: Thực nghiệm số giao thức an tồn... doanh nghiệp doanh nghiệp ko? hoạt động tốt khơng? Bảng 2: Các khía cạnh an toàn TMĐT 1.5 Các nguy an toàn Thương mại điện tử 1.5.1 Đánh giá rủi ro Internet Vấn đề an tồn Internet nói riêng an. .. Cách thức hoạt động Giao thức SSL dựa hai nhóm giao thức giao thức “bắt tay” (handshake protocol) giao thức “bản ghi” (record protocol) Giao thức bắt tay xác định tham số giao dịch hai đối tượng