lOMoARcPSD|9234052 TRƯỜNG ĐẠI HỌC ĐẠI NAM KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO BÀI TẬP LỚN AN TOÀN DỮ LIỆU ĐỀ TÀI Tìm Hiểu Hệ Thống An Tồn Dữ Liệu Trong Hệ Thống Máy Chủ Sàn Giao Dịch Thương Mại Điện Tử Giảng viên hướng dẫn: Thầy Mạc Văn Quang Nhóm sinh viên thực hiện: Nhóm - Bạch Đăng Bảo - MSV: 1351020008 - Nguyễn Viết Hiệp - MSV: 1351020044 - Nguyễn Tiến Dũng - MSV: 1351020012 - Nguyễn Hữu Tùng - MSV: 1351020126 Hà Nội, tháng 10 năm 2021 lOMoARcPSD|9234052 LỜI MỞ ĐẦU Thương mại điện tử hình thức mua bán hàng hóa dịch vụ thơng qua mạng máy tính tồn cầu Thương mại điện tử trở thành phương thức kinh doanh mang lại nhiều lợi ích cho nhân loại sở phát triển nhanh chóng ngành cơng nghệ, trước hết công nghệ thông tin Bên cạnh tiềm phát triển, tồn thách thức rủi ro kìm hãm bứt phá doanh nghiệp TMĐT như: vấn đề lòng tin người tiêu dùng, vấn đề bảo mật hệ thống công nghệ thông tin, khó khăn việc bảo vệ liệu khách hàng trước rủi ro bị tin tặc công đánh cắp Bảo mật liệu doanh nghiệp mối quan tâm nhiều mặt bao gồm bí mật kinh doanh nội độc quyền công ty liệu nhân viên khách hàng liên quan đến luật bảo mật Bảo mật doanh nghiệp ngày trọng công ty quốc tế lớn Facebook, Yahoo!, Target, Home Depot Equifax phải đối mặt với khoản tiền phạt lớn can thiệp phủ làm liệu khách hàng nhạy cảm vào tay tin tặc Nơi mà tập đoàn doanh nghiệp trước quan tâm đến việc bảo vệ mã độc quyền bí mật thương mại họ khỏi đối thủ cạnh tranh kẻ làm giả Giờ đây, họ phải đối mặt với luật bảo mật liệu Hoa Kỳ EU áp dụng hình phạt tài lớn tổ chức sử dụng sai làm liệu người tiêu dùng Sự chuyển đổi sang phụ thuộc vào sở hạ tầng đám mây để hỗ trợ quy trình kinh doanh đưa thách thức bảo mật doanh nghiệp CNTT Để tiếp cận góp phần đẩy mạnh phổ biến thương mại điện tử Việt Nam, nhóm em tìm hiểu “Hệ Thống An Toàn Dữ Liệu Trong Hệ Thống Máy Chủ Sàn Giao Dịch Thương Mại Điện Tử”, với bảo tận tình Thầy Mạc Văn Quang nhóm em hoàn thành báo cáo Bài báo cáo gồm phần phân chương sau: Chương I: Các Khái Niệm Về TMĐT Và Các Đặc Trưng Của TMĐT Chương II: An Toàn Dữ Liệu Trong Tmđt Của Doanh Nghiệp Chương III: Bảo Mật Và An Toàn Thông Tin Trong TMĐT lOMoARcPSD|9234052 LỜI CẢM ƠN Trong thời gian thực báo cáo với giúp đỡ tạo điều kiện trường Đại Học Đại Nam, góp ý bạn đặc biệt hướng dẫn trực tiếp, bảo tận tình giảng viên mơn Thầy Mạc Văn Quang nhóm em hoàn thành đề tài với báo cáo thời gian quy định Với khả thời gian có hạn nên khơng tránh khỏi thiếu sót, chúng em mong nhận quan tâm, giúp đỡ, tạo điều kiện thầy giáo để nhóm em hoàn thiện đề tài nghiên cứu thời gian tới Một lần chúng em xin chân thành cảm ơn tất thầy, cô giáo trường Đại Học Đại Nam dạy dỗ, bảo chúng em suốt thời gian học Đặc biệt chúng em xin gửi lời cảm ơn sâu sắc tới thầy giáo Thầy Mạc Văn Quang hướng dẫn nhóm em suốt q trình làm đồ án Chúng em xin chân thành cảm ơn! lOMoARcPSD|9234052 MỤC LỤC LỜI MỞ ĐẦU LỜI CẢM ƠN CHƯƠNG I CÁC KHÁI NIỆM VỀ TMĐT VÀ CÁC ĐẶC TRƯNG CỦA TMĐT 1, Khái niệm TMĐT Lợi ích TMĐT Các đặc trưng TMĐT .8 Các loại thị trường điện tử 10 Các hệ thống toán TMĐT 12 Cơng nghệ tốn điện tử 14 Quy trình tốn điện tử 15 CHƯƠNG II AN TOÀN DỮ LIỆU TRONG TMĐT CỦA DOANH NGHIỆP 17 I.An toàn liệu doanh nghiệp gì: 17 II.Nguy rị rỉ thơng tin doanh nghiệp .17 CHƯƠNG III BẢO MẬT VÀ AN TỒN THƠNG TIN TRONG TMÐT 26 I VẤN ĐỂ AN TỒN THƠNG TIN 26 II CHỨNG CHỈ SỐ VÀ CƠ CHẾ MÃ HOÁ 29 Giới thiệu chứng số 29 Xác thực định danh .30 Chứng mã hố cơng khai 33 Mô hinh CA .36 Một số giao thức bảo mật ứng dụng TMIDT 36 TÀI LIỆU THAM KHẢO 39 lOMoARcPSD|9234052 DANH MỤC HÌNH ẢNH, SƠ ĐỒ: Hình 1 Gian lận toán 18 Hình Spam 19 Hình Lừ đảo Phishing .20 Hình Tấn cơng tiêm SQL 22 Hình Tấn cơng chéo trang XSS .23 Hình Trojan Horse 24 Hình Sử dụng mật khâu xác thực máy khách ke nối tới máy dịch vụ 31 Hình Chứng số chứmg thực cho máy khách kết nối tới máy dịch vụ 32 Hình Chứng khóa cơng khai dựa CA 35 Hình 10 Vị tri phương tiện bảo mật câu trủc giao thức 37 KÍ HIỆU CÁC CỤM TỪ VIẾT TẮT TMĐT CNTT Thương mại điện tử Công nghệ thông tin CHƯƠNG I CÁC KHÁI NIỆM VỀ TMĐT VÀ CÁC ĐẶC TRƯNG CỦA TMĐT Khái niệm TMĐT lOMoARcPSD|9234052 Thương mại điện tử hình thức mua bán hàng hố dịch vụ thơng qua mạng máy rính tồn cầu TMĐT theo nghĩa rộng định nghĩa luật mẫu thương mại điện tử Uỷ ban LHQ luật thương mại quốc tế: “Thuật ngữ thương mại cần điền giải theo nghĩa rộng để bao quát vấn đề phát sinh từ quan hộ mang tính chất thương mại dù có hay khơng có hạp đồng Cúc quan hệ mang tính chất thương mại bao gồm cúc giao dịch sau đây: Bất giao dịch thương mại cung cấp trao đổi hàng hoá dịch vụ, thoả thuận phân phối đại điện đại lự thương mại, tỹ thác hoa hồng, cho thuê đài hạn, xây đựng cơng trình, r vẫn, kỹ thuật cơng trình, đầu tư, cấp vốn, ngân hàng, bảo hiểm, thoả thuận khai thác tơ nhượng, liên doanh hình thức khác vẻ hợp tác công nghiệp kinh doanh, chuyên chở hàng hố hay hành khách đường biển, đường khơng, đường sắt đường bộ” Như vậy, thấy phạm vi Thương mại điện tử rộng, bao quát hầu hết lĩnh vực hoạt động kính tế, việc mua bán hảng hoá vả dịch vụ hàng ngàn lĩnh vực áp dụng Thương mại điện tử Theo nghĩa hẹp TMĐT gồm hoạt động thương mại tiến hảnh mạng máy tính mở Internet Trên thực tế hoạt động thương mại thông qua mạng Internet làm phát sinh thuật ngữ Thương mại điện tử Thương mại điện tử gồm hoạt động mua bán hàng hoá phương tiện điện tử, giao nhận nội dung kỹ thuật số mạng, chuyển tiền tiêu dùng địch vụ sau hãng, Thương mại điện tử thực thương mại hàng hố (ví dụ hàng tiêu dùng, thiết bị y tế chuyên dụng) thương mại dịch vụ (ví dụ địch vụ cung cấp thông tin, địch vụ pháp lý, tải chính) Các hoạt động truyền thống chăm sóc sức khoẻ, giáo dục hoạt động (như siêu thị ảo) Thương mại điện tử trở thành cách mạng làm thay đổi cách thức mua săm người lOMoARcPSD|9234052 Lợi ích TMĐT Xuất phát từ kinh nghiệm thực tế trình hoạt động thương mại điện tử TMĐT mang lại cho người xã hội lợi ích sau: 2.1 Thu thập nhiều thơng tin TMĐT giúp cho cá nhân tham gia thu nhiều thông tỉn thị trường, đối tác, giảm phí tiếp thị giao dịch, rút ngắn thời gian sản xuất, tạo dựng củng cố quan hệ bạn hàng Các doanh nghiệp nắm thông tin phong phú kinh tế thị trường, nhờ có thẻ xây dựng chiến lược sản xuất kinh doanh thích hợp với xu phát triển thị trường nước khu vực quốc tế Điều đặc biệt có ý nghĩa doanh nghiệp vừa nhỏ, nhiều nước quan tâm coi động lực phát triển kinh tế 2.2 Giảm phí sản xuất TMĐT giúp gỉam chi phí sản xuất, trước hết chi phí văn phịng Các văn phịng khơng giấy tờ chiếm diện tích nhỏ nhiều, phí tìm kiểm chuyên giao tải liệu giảm nhiều lần khâu in ấn gần bỏ hẳn Theo số li hãng General Electricity Mỹ tiết kiệm lĩnh vực đạt tới 30 % Điều quan trọng hơn, so với góc độ chiến lược nhân viên có lực giải phóng khỏi nhiều cơng đoạn vụ tập chung vào nghiên cứu phát triển, đưa đến lợi ích to lớn lâu dài 2.3 Giảm phí bán hàng, tiếp thị giao dịch TMĐT giúp giảm thấp phí bán hàng phí tiếp thị Bằng phương, tiện Internet / Web nhân viên bán hàng giao dịch với nhiều khách hàng, catalogue điện tử web phong phú nhiều so với catalogue in ấn có khn khơ giới hạn ln ln lỗi thời, catalogue điện tử web cập nhật thường xuyên lOMoARcPSD|9234052 TMĐT qua Internet / Web giúp người tiêu thụ doanh nghiệp giảm đáng kể thời gian phí giao dịch Thời gian giao dịch qua Internet 7% thời gian giao địch qua FAX, khoảng 0.5 phần nghìn thời gian giao dịch qua bưu điện chuyển phát nhanh, phí toán điện tử qua Internet 10% đến 20% phí tốn theo lối thơng thường 2.4 Xây dựng quan hệ đối tác Thương mại điện tử tạo điều kiện cho việc thiết lập củng cố mối quan hệ thành viên tham gia trình thương mại thơng qua mạng Intemet thành viên tham gia giao tiếp trực tiếp (liên lạc trực tuyến) liên tục với nhau, có cảm giác khơng có khoảng cách địa lý thời gian nữa, nhờ hợp tác vả quản lý tiến hành nhanh chóng cách liên tục, bạn hàng mới, hội kinh doanh phát nhanh chóng phạm vi tồn giới có nhiều hội lựa chọn 2.5 Tạo điều kiện sớm tiếp cận kinh tế tri thức Trước hết TMĐT kích thích phát triển nghành CNTT tạo sở cho phát triển kinh tế trí thức Lợi ích có ý nghĩa lớn nước phát triển, không nhanh chóng tiếp cận kính tế trì thức thỉ sau khoảng thập kỷ nước phát triển bị bỏ rơi hồn tồn Khía canh lợi ích nảy mang tính chiến lược cơng nghệ tính sách phát triển cần cho nước cơng nghiệp hố Các đặc trưng TMĐT So với hoạt động thương mại truyền thống, TMĐT có số trưng sau: 3.1 Các bên tiến hành giao dịch thương mại điện tử không tiếp xúc trực tiếp với khơng địi hỏi phải biết từ trước lOMoARcPSD|9234052 Trong thương mại truyền thống bên thường gặp gỡ trực tiếp để tiến hành giao địch Các giao địch thực chủ yêu theo nguyên tắc vật lý chuyển tiền, séc, hoá đơn, vận đơn, gửi báo cáo Các phương tiện viễn thông như: Fax, telex, sử dụng đẻ chao đổi số liệu kinh doanh Tuy nhiên việc sử dụng phương tiện điện tử thương mại truyền thống để chuyển tải thông tin cách trực tiếp đối tác giao địch Thương mại điện tử cho phép tắt người tham gia từ vùng xa xôi hẻo lánh đến khu vực đô thị rộng lớn, tạo điều kiện cho tất người khắp nơi có hội ngang tham gia vào thị trường giao dịch tồn cầu khơng đồi hỏi thiết phải có mối quen biết với 3.2 Các giao dịch thương mại truyền thống thực với tồn khái niệm biên giới quốc gia, thương mại điện tử thực thị trường khơng có biên giới (thị trường thơng tồn cầu) Thương mại điện tử trực tiếp tác động tới mơi trường cạnh tranh tồn cầu Thương mại điện tử cảng phát triển thỉ máy tính cá nhân trở thành cửa số cho doanh nghiệp hướng thị trường khắp giới Với TMĐT doanh nhân dủ thành lập kinh doang Nhật Bản, Đức Chỉ lê mà bước khỏi nhà, công việc trước phải mắt nhiều năm 3.3 Trong hoạt động giao dịch TMĐT có tham gia ba chủ thể, có bên khơng thể thiểu người cung cấp dịch vụ mạng, quan chứng thực Trong TMĐT chủ thể tham gia quan hệ giao dịch giống giao dịch thương mại truyền thống xuất bên thứ nhà cung cắp dịch vụ mạng, quan chứng thực… người tao môi trường cho giao dịch thương mại điện tử Nhà cung cấp dịch vụ mạng quan chứng thực chuyển đi, lưu giữ thông tin lOMoARcPSD|9234052 bên tham gia giao địch TMĐT, đồng thời họ xác nhận độ tin cậy giao dịch TMĐT 3.4 Đối với thương mại truyền thống mạng lưới thơng tin phương tiện để trao đổi liệu, cịn TMĐT mạng lưới thơng tin thị trường Thơng qua TMĐT nhiều loại hình kinh doanh hình thành Ví dụ: Các địch vụ gia tăng giá trị mạng máy tính hình thành nên nhà trung gian ảo lâm địch vụ môi giới cho giới kinh doanh tiêu dùng, siêu thị ảo hình thành để cung cấp hàng hố dịch vụ mạng máy tính Các chủ cửa hàng thông thường ngày đua đưa thông tin lên Web, để tiến tới khai thác mảng thị trường rộng lớn Web cách mở cửa hàng ảo Các loại thị trường điện tử Tuỳ thuộc vào đối tác kinh doanh mà người ta gọi thị trường B2B, B2C, C2B hay C2C Thị trường mở thị trường mả tắt người đăng ký tham gia Tại thị trường đóng có số thành viên định mời hay cho phép tham gia Một thị trường ngang tập trung vào quy trình kinh doanh riêng lẻ định, ví dụ lĩnh vực cung cấp: nhiều doanh nghiệp từ nghành khác tham gia người mua liên hệ với nhóm nhà cung cấp Ngược lại thị trường đọc mơ nhiều quy trình kinh doanh khác nghành hay nhóm người dùng Sau sóng lạc quan TMĐT năm 1990 qua đi, thời gian mà xuất nhiều thị trường điện tử, người ta cho sau q trình tập trung có số thị trường lớn tiếp tục tổn Thể bên cạnh ngày cảng nhiều thị trường chuyên môn nhỏ “Ngày tỉnh hình khác hãn đi, cơng nghệ để thực thị trường điện tử rẻ nhiều Thêm vào xu hướng kết nối nhiều thơng tin chảo 10 lOMoARcPSD|9234052 Một virus trojan công máy tính, liệu nhạy cảm, mật khẩu, thông tin cá nhân chuyển trực tiếp tới tin tặc Thậm chí, thao tác bạn bàn phím bị Trojan ghi lại Nguy hiểm hơn, tin tặc điều khiển máy tính từ xa, tải tải lên tệp tin chứa virus máy tính nạn nhân Theo vấn đề xảy thương mại điện tử nói trên, cần phải có biện pháp/phương pháp để phịng chống nguy hiểm họa xây dựng trang web thương mại điện tử internet Vì khơng bảo mật thông tin cá nhân người dùng (cả người mua người bán) hay tổ chức thương mại lớn Tiki, Lazada, … người sử dụng thương mại điện tử để kinh doanh hay nhiều mục đích khác cần phải cẩn thận tham gia 27 lOMoARcPSD|9234052 CHƯƠNG III BẢO MẬT VÀ AN TOÀN THƠNG TIN TRONG TMÐT I VẤN ĐỂ AN TỒN THƠNG TIN Ngày nay, với phát triên mạnh mẽ công nghệ thông tin viộc ứng dụng công nghệ mng máy tính trở nên vo củng phố cập vá cần thiết Công nghệ mạng máy tinh mang lại lợi ich to lón Sự xuất mạng Internet cho phép người có thé truy cập, chia sé khai thác thơng tín cách dễ dàng hiệu Sự phát triến mạnh mề Internet xét mặt chất việc đáp ứng lại gia tăng hông ngimg nhu cầu giao dịch trực tuyển hệ thống mạng toàn cầu Các giao dịch trực tuyển Internet phát triến từ hình thức so khai trao đối thông tin ( email, message, V.V ), quáng bá (web-publishing) đến nhữmg giao dịch phúc tạp thể qua hệ thống phủ điện tử, thương mại diện tứ ngày căng phát triến mạnh mề khấp giới Tuy nhiên lại sinh vấn đề an tồn thơng tin, Internet có nhữmg kỹ thuật cho phép người truy nhập, khai thác, chia sẻ thơng tin Nhưng nguy dẫn dến việc thông tin bạn bị hư hỏng phá huỷ hồn tồn Sở dĩ có lý vi việc truyền thơng tin qua mạng Internet chủ yểu sử dụng giao thức TCP/IP TCP/IP cho phép thông tin gửi từ máy tinh tới máy tính khác mà qua loạt máy tính trung gian mạng riêng biệt trước di tới đích Chính vi điểm này, giao thức TCP /IP tạo hội cho "bên thú ba" thực hành động gây mát an tồn thơng tin giao dịch Theo sổ liệu CERT (Computer Emegency Response Team - "Đội cấpcứu máy tính"), số luợng vụ công internet dugc thông báo cho tổ chức nây 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 váo năm 1993, 2241 vào năm 1994 Những vụ tân công nhẫm vào tất máy tính có mặt Intermet, máy tính tất cịng ty lớn AT&T, IBM, trường đại học, quan nhà 28 lOMoARcPSD|9234052 nước, tổ chức quân nhà băng Một số vụ cơng có quy mơ khống lố (có tới 100.000 máy tính bị cơng) Hơn nữa, số chi phần tảng băng Một phần lớn vụ công không thơng báo, nhiều lý do, kế lo bị uy tin, đơn giản người quản trị hệ thống không hay biết công nhẫm vào hệ thống họ Không số lượng tân công tăng lên nhanh chóng, mà phuơng pháp tẩn cơng liên tục hồn thiện Điều phần nhân viên quản trị hệ thống kết nối với Internet ngày đề cao cảnh giác Cũng theo CERT, công thời kỷ 1988-1989 chủ yếu đoán tên người sử dụng - mật khấu (UserlDpassword) sử dụng số lỗi chương trinh hệ điều hành (security hole) làm vơ hiệu hóa hệ thống bảo vệ, nhiên tẩn công vào thởi gian gằn bao gồm thao tác giả mạo địa chi IP, theo dõi thông tin truyền qua mạng, chiếm phiên làm việc từ xa (telnet rlogin) Một số vấn để an toàn nhiều mạng nay: -Nghe trộm (Eavesdropping): Thông tin khơng bị thay đổi, bí mật khơng cịn Ví dụ, biết số thể tín dụng, hay thông tin cần bảo mật bạn -Giả mạo (Tampering): Các thông tin truyền mạng bị thay đổi hay bị thay đổi trưóc dến người nhận Vi dụ, dó sửa đơi nội dung đơn đặt hàng thay đối lý lịch cá nhân trước thông tin đến đích -Mạo danh (Impersonation): Một cá nhân dựa vào thơng tin nguời khác để trao đổi với đơi tượng Có hai hình thức mạo danh sau: -Bắt trước (Spoofing): Một cá nhân có thê giả vờ người khác Ví dụ, sử dụng địa chi mail nguời khác giả mạo tên miền trang Web -Xuyên tạc (Misrepresentation): Một cá nhân hay tổ chức vờ đối tượng, hay đa thông tin minh mà không Vi dụ, có trang 29 lOMoARcPSD|9234052 chuyên thiểt bị nội thất mả có sử dụng thẻ tín dụng, nhung thực tê trang chuyên đánh cẫp thẻ tín dụng -Chối cải nguổn gốc: Một cá nhân chối không gửi tài liệu xây tranh chấp Ví dụ: Khi gửi email thơng thường người nhận khơng thể khẳng định người gửi xác Để vừa đam bảo tính bào mật thơng tin lại không làm giàm phát triên việc trao đối thơng tin quảng bá tồn câu thi cân có giải pháp phù họp Hiện có nhiêu giải pháp cho vấn dè an tồn thơng tin mang mã hố thơng tin, chữ ký điện tử (chứng khố khố cơng khai) Sau tìm hiểu khái niệm mã hố thơng tin sâu vào việc sử dụng chữ ký số cho việc xác thực mạng Các bí mật đảm bảo an toàn cho giao dịch điện tử Thế hệ thống an tồn thơng tin? An tồn trước công đê mà hệ thông giao dịch trực tuyển cần giải Thông tin truyễn mạng thường nhiều rủi ro nguy bị thơng tín thường xun Chẳng hạn việc tốn thẻ tín dụng thơng qua dịch vụ web gặp số rủi ro sau: -Thông tin từ trinh duyệt wed khách hảng dạng văn nên lọt vào tay kẻ công Trinh duyệt web khách hàng xác định duợc máy chủ mà trao đổi thơng tin có phải web giả mạo -Khơng đân bào liệu truyền di có bị thay đổi hay khơng Vì hệ thơng cần phải có chế đảm bảo an tồn q trình giao dịch diện tử Một hệ thống thơng tin trao dõi liệu an toản phai đáp ứng số yêu cầu sau: -Hệ thống phải đảm bảo liệu trimh truyền không bị đánh cắp -Hệ thống phải có xác thực, tránh trường hợp giả danh, giả mạo 30 lOMoARcPSD|9234052 Do vậy, cần tập trung vào việc bảo vệ tài sản chúng dược chuyến tiếp máy khách máy chủ từ xa Việc cung cấp kênh thương mại an tồn đồng nghĩa với việc đảm bảo tính tồn vẹn thơng báo tính sẵn sàng kênh Các kỹ thuật dàm bào cho an toàn giao dịch điện tử sử dụng hệ mật mã, chứng số sử dụng chữ ký số trình thực giao dịch II CHỨNG CHỈ SỐ VÀ CƠ CHẾ MÃ HOÁ Giới thiệu chứng số Việc sử dụng mã hóa hay chữ kí số chi giải đuợc để bảo mật thơng điệp xác thực Tuy nhiên khơng đãm bào đối tác bị giả mạo, nhiều trường hợp cần thiết phải "chứng minh" phương tiện điện từ danh tính Chứng số tệp tin điện tứ sử dụng để nhận diện cá nhân, máy dịch vụ tổ chức, gẫn định danh đổi tượng với khóa cơng khai Giống nhu băng lái xe, hộ chiếu, chứng minh thư Có nơi có thề chứng nhận thơng tỉn bạn đúng, gọi quan xác thực chứng (Certificate Authority-CA),Đó lả đơn vị có thẩm quyền xác nhận định danh cấp chứng chi số.CA có thê đổi tác thứ ba đứng độc lập có cảc tơ chức tự vận hành hệ thông tự cấp chứng cho nội họ.Các phương pháp để xác định định danh phụ thuộc vào sách mà CA đặt Chính sách lập phải đảm bào việc cấp chứng số phải đắn, cấp mục đich dùng vào việc Thơng thường trước cập chứng chi số, CA công bố thủ tục cấn thiết phải thực cho loại chứmg số Trong chứng chi sổ chứa khỏa công khai gắn với tên đối tượng (như tên nhân viên máy dịch vụ).Các chứmg số giúp ngăn chặn việc sử dụng khóa cơng khai cho việc giả mạo Chỉ có khỏa cơng khai chứng thực chứng chi sổ lảm việc với khỏa bí mật tương úng, đuợc sở hữu đổi tượng có định danh nằm chứmg chi số Ngồi khóa cơng khai, chứng số cịn chứa thơng tin đối tượng tên mà nhận diện hạn dùng, tên CA cấp chứmg số, mã số 31 lOMoARcPSD|9234052 Điều quan trọng chúmg chi số phải có chữ ký sổ CA cấp chứng chi số Nó cho phép chúng chi số đóng dấu để nguời sử dụng kiểm tra Xác thực định danh Việc giao tiếp mạng điên hinh giữra máy khách (Client - trình duyệt máy cá nhân) máy dịch vụ (Server - máy chủ Website).Việc chứng thực thực cá hai phía.Máy dịch vụ tin tưởng vào máy khách ngược lại Việc xảc thực không chi cỏ ý nghĩa chiều người gửi, tức người gửi muốn người nhận tin tưởng vào Khi người gửi thơng điệp có kèm theo chữ ký số (cùng vối chứng chi số), khơng thể chối cãi: khơng phải thơng điệp Có hai hinh thức xác thực máy khách: • Xác thực dựa tên truy nhập mật khấu (Username Password) Tất máy địch vụ cho phép người dung nhập mật khẩu, để truy nhập vào hệ thống Máy dịch vụ quản lý danh sách Username Password Xác thực dựa chứng chi số Đó phần giao thức bảo mật SSL.Máy khách ký số vào liệu, sau gửi chữ ký số chứng số qua mang Máy dịch vụ dùng kỹ thuật mã hỏa khóa cơng khai để kiểm tra chữ ký xác định tính hợp lệ chứng chi số Xác thưc dựa mật Khi xác thực người dùng theo phuơng pháp này, nguời dùng định tin tưng vào máy dịch vụ (có thể khơng có bảo mật theo giao thứre SSLc) Máy dịch vụ phải xác thực người sử dụng trước cho phep họ truy nhập tài nguyên hệ thống 32 lOMoARcPSD|9234052 Hình Sử dụng mật khâu xác thực máy khách ke nối tới máy dịch vụ Các bước hình sau: Buớc 1: Đề đắp lại yèu câu xác thực từ mảy dịch vụ, máy khách hộp thoại yêu câu nhập mật khâu Người phài dùng nhập mật khâu cho mối máy dịch vụ khảc phiên làm việc Bước 2: Mảy khách gửi mật khâu qua mạng khơng cân hinh thức mã hóa Bước 3: Máy dịch vụ tỉm kiêm mật khấu tong co sở liệu Buớc 4: Máy dịch vụ xác định xem mật đỏ có quyên truy cập vào tài nguyên hệ thống Khi sử dụng loại xác thực này, người dùng phải nhập mật cho máy dịch vụ khác nhau, lưu lại dấu vet mật cho mối người dùng Xác thực dưa chứng số Chứng chi số thay buớc đầu chứng thực mật với chế cho phép người dung chi phải nhập mật khâu lân không phài truyên qua mạng, người quản trị có the điều khiên quyên truy nhập cách tập trung 33 lOMoARcPSD|9234052 Hình Chứng số chứmg thực cho máy khách kết nối tới máy dịch vụ Giao dịch hinh có dùng giao thức bảo mật SSL.Máy khách phải có chứng số máy dịch vụ nhận diện Sử dụng chứng chi sổ để chứng thực có lợi dùng mật khấu Bời vi dựa gi mà nguời sử dụng có: Khóa bí mật mật khấu để bào vệ khỏa bí mật Điều cần chủ ỷ chi có chủ máy khách phép truy nhập vào máy khách, phài nhập để vào sở dù liệu chương trinh có sử dụng khóa bí mật (mật khâu thể phải nhập lại kho ang thời gian định ki cho trước) Cả hai chế xác thực phải truy nhập mức vật lý tới máy cá nhân Mã hóa cơng khai kiểm tra việc sử dụng khóa bí mật tương ứng với khóa cơng khai chứng số Nó khơng dảm nhận trách nhiệm báo vệ vật lý mật khấu sử dụng khỏa bí mật Trách nhiệm thuộc nguời dùng Cảc bước hình sau: Buớc 1: Phản mềm máy khách (ví dụ Communicator) quản lý sở liệu cặp khóa bụ mật khóa cơng khai Máy khách u cầu nhập mật để truy cập vào sở liệu lần theo định kỳ 34 lOMoARcPSD|9234052 Khi máy khách truy nhập vào máy dịch vụ có sử dụng SSL, để xác thục máy khách dựa chứmg chi số, người dùng chi phài nhập mật khấu lần, họ không phài nhập lại cần truy cập lẫn thứ hai Buớc 2: Máy khách dùng khóa bí mật tuơng img với khóa cơng khai ghi chứng chỉ, ki lên liệu tạo ngẫu nhiên cho mục đích chứng thực từ phía máy khách máy dịch vụ Dữ liệu chữ ký số thiết lập mọt chứng xác định tính hợp lệ khóa bí mật Chữ kí số đựoc kiểm tra khóa cơng khai tuơng ứng với khóa bí mật dùng để kí, moi phiên làm viộc giao thức SSL Buớc 3: Máy khách gừi chứng chi chúng (một phần liệu duợc tạo Ngẫu nhiên kí) qua mạng Bc 4: Máy dịch vụ sử dụng chứng chi số bẳng chứmg đế xác thục nguời Buớc 5: Máy dich vụ cỏ thể thực tùy chọn nhiệm vụ xác thực khác, việc xem chứng chi máy khách co sở liệu để lưu trữ quán lý chứng chi sổ Máy dịch vụ tiếp tục xác định xem người sử dụng có quyên gi tầi nguyên hị thống Chứng mã hố cơng khai Giới thiệu chứng khố cơng khai Khi người muốn dùng kỉ thuật mi hóa khóa cóng khai để mã hóa mộ thơng điệp gửi cho nguời nhận, người gửi cần bàn khóa cơng khai người nhận.Khi thành viên bắt ký muốn kiểm tra chữ ký số, cần có so khóa cơng khai thành viên ký.Chúng ta gọi hai thành viên mã hóa thơng điệp thành viên kiểm tra chữ ki số người sử dụng khóa cơng khai Khi khóa cơng khai dượe gui đến cho sử dụng, thi không cần thiết phải giữ bi mật khoa công khai này,Tuy nhiên, người dùng khốa cong khai phải đảm bảo khóa cơng khai dùng, dúng la dành cho thành viên khác (có thể người nhận thơng điệp có chủ định sinh chữ ký số yêu cầu) Nếu kẻ phá hoại dùng khóa cơng khai khác thay thể khóa cơng khai hợp lệ nội dung thơng điệp mã hóa bị lộ 35 lOMoARcPSD|9234052 Như thành viên không chủ định khác biết thông điệp hay cho ký số có thễ bị làm giả Nói cách khác, cách bảo vệ (đuợc tạo từ kỹ thuật này) bị ảnh hưởng kẻ truy nhập thay khóa cơng khai khơng xác thục Đối với cảc nhóm thành viên nhỏ yêu cầu duợc thỏa mãn dễ dàng Ví dụ hai nguời quen biét nhau, người muốn truyền thơng an tồn với người kia, họ khốa công khai cách trao đổi đĩa nhớ có ghi khóa cơng khai nguời Như đảm bảo khóa cơng khai đuợc lưu giữ an toàn mối hệ thống cục nguời Đây hình thức phân phối khóa cơng khai thủ cơng Tuy nhiền hinh thức phân phối khốa công khai kiểu bị coi không thực tế không thỏa đáng phần lớn linh vực ứng dụng khóa cơng khai, đặc biệt số luợng sử dụng trở nên lớn phân tán Các chứng khóa cơng khai giúp cho việc phân phối khóa cơng khai tró nên có hệ thống Hệ thống cấp chứng khóa cơng khai làm viếc sau Một CA phát hanh chứng chi cho người năm giữ cặp khóa cơng khai khóa riêng Một chứng gồm khóa cơng khai thông tin để nhận dạng chủ thể ( subject ) chứng Chủ thể chứng người, thiết bị, thực khác có năm giữ khóa riêng tương ứng Khi chủ thể chứng chi người thực thể hợp pháp đó, chủ thể thường nhắc đển thực (Subscriber) CA Chứng CA kí khóa riêng họ 36 lOMoARcPSD|9234052 Hình Chứng khóa cơng khai dựa CA Một hệ thổng chứng chi thiết lập, công việc người dùng công khai đơn giản Người dùng cằn khóa cơng khai thuê bao CA, họ cần lấy chứng chi CA, lấy khóa cơng khai, kiểm tra chữ kỉ CA có chứng hay khơng Nguời dùng khóa cơng khai sử dụng chứng nhu coi thành viên tin cậy Kiêu hệ thông tương đối đơn giản kinh tế thiết lập diện rộng theo hinh thức tự động đặc tính quan trọng chứng chi là: "Cảc chimg phát hành mà khơng cần phải bảo vệ thông qua dịch vụ an tồn tryền thơng để đảm bảo tin cán xác thưc tồn vẹn" Chúng ta khơng cần giữ bí mật khóa cơng khai, chúng khơng phải bi mật Hơn nữa, khơng địi hỏi u cầu tính xác thực tồn vẹn chứng tự bảo vệ (chữ ki số CA có chứng cung cấp bảo vệ xác thực toàn vẹn ).Một kẻ truy nhập trải hép định làm giả chứng phát hành cho nguời sử dụng khóa công khai, ngườn dùng phát viêc làm giả chữ ki số CA đuợc kiểm tra xác Chính thể chứmg chi khóa cơng khai đươc phát hành 37 lOMoARcPSD|9234052 theo cách khơng an tồn, vi dụ như: thơng qua máy chủ, hệ thống thư mục, giao thức truyên thông không an toản Lợi ich hệ thống cấp chứmg chi là: người sử dụng khóa cơng khai có số lượng lớn khóa cơng khai thành viên khác cách tin cậy, nhờ khóa cơng khai CA Lưu ý chứmg số hữu ich người dùng khóa cơng khai tin cậy CA phát hành chứng hợp lệ Mô hinh CA Nếu việc thiết lập CA (có thể phát hành chứng chi khố cơng khai cho tất người nắm giữ cặp khóa cơng khai khóa riêng giới) khả thi tất người sử dụng khóa công khai tin cậy vào chứng CA phát hánh ta giải vấn để phân phối khóa cơng khai Rất tiếc điều khưng thê thực Đơn gian vi khơng thực tế CA Một CA khơng thể có đầy đủ thông tin mối quan hệ với thuê bao để phát hành chứng chi tất ca nhữmg nguời dùng khóa cơng khai chấp nhận Vì vậy, cần chấp nhận tốn nhiều CA thể giới Già thiết có nhiều CA, người dùng nắm giữ khố công khai CA xác định (CA phát hành chúng cho thành viên mà ngời sử dụng khóa cơng khai muốn truyền thơng an toan) cách bí mật khơng thực tế Tuy nhiên, để có khóa cơng khai CA nguời dùng tìm sử dung chứmg chi khác, chứa khóa cơng khai CA CA khác phát hành khóa cơng khai CA nguời sử dụng nám dừ an toàn Một số giao thức bảo mật ứng dụng TMIDT Các vấn đề bảo mật ứng dụng Web Word Wide Web có sở img dụng client'sever chạy Internet mạng Intranet với giao thức TCP/IP Những thách thức bảo mật Web trờ thành 38 lOMoARcPSD|9234052 cần thiết hết cách mạng bối cảnh mạng máy tinh dịch vụ sử dụng Web ngày cảng phát triển Internet dao hai lưỡi Không giống môi trường truyên thống hệ thống điện tín, đàm thoại, fax, Web sever ln có nguy phải hứng chịu cơng tồn mạng Intemet Có nhiều giải pháp cho vấn đề bảo mật ứng dụng Web củng Web sever liên quan dễ sử dụng, cấu hình quản lí Nội dung webside ngày phong phú, phán ánh tính đa dạng thơng tin, tất nhiên không loại trừ nhữmg wcbside không truớc chúng ẩn lớp vó che chắn cách khéo léo Lịch sử ngắn ngủi Web phản ánh hệ thống đưrợc nâng cấp phát triển mà có nguy bị tân công vào lô hổng bảo mât Cỏ nhiêu giải pháp cho vân đeẽ bảo mật dua ra, nhà nghiên cứu chủ yêu tập trung vào việc nghiên cứu xem xét nhãm cải tiên dịch vụ cung cấp kỉ thuật sử dụng, với cách tiếp cận giới hạn giao thức TCP/IP Chính việc cung cấp chế bảo mật cho IP Tiến IPSec thể chỗ tạo kênh thông suốt, kênh người sử dụng cuối với úng dụng giải pháp thống nhất.Hon nữa,IPSec chứa lọc đặc biệt để lựa chọn tuyến giao vận tránh tượng tràn nhớ trình xử lý IPSec 39 lOMoARcPSD|9234052 Hình 10 Vị tri phương tiện bảo mật cấu trúc giao thức Một giải pháp cải tiến co che bio mật tren giao thức TCP nhữmg ý tưởng dẫn dắt đến đời giao thức Secure Sockets layer (SSL) Transprot layer Security (TLS) Ở tầng này, có hai lựa chọn SSIL TLS, SSL đuợc cung cấp giao thức hỗ trợ nên có hồn tồn bảo mật giao thức ứng dụng nảo xếp lớp TCP cách suốt Ngồi ra, SSL cịn gắn vào ứng dụng gói đặc biệt, ví dụ trinh duyệt IE Netscape trang bị SSL, Web server bô sung giao thức Một đặc trưng khác củua dịch vụ bảo mật việc chúng gắn bên dịch vụ bảo mật, Sự thay đổi thể chỗ dịch vụ thích úng với thành phần cần thiết định úng dụng Trong bối canh chung vắn đề bào mật ứng dụng web, SET (Secure Electrolic Transaction) ví dụ tiều biểu cho cách tiêp cận 40 lOMoARcPSD|9234052 TÀI LIỆU THAM KHẢO - Tài liệu giảng mơn “An Tồn Dữ Liệu” Thầy Mạc Văn Quang - Website: https://thuongtruong.com.vn - Website: https://tapchitaichinh.vn 41 ... thụ doanh nghiệp giảm đáng kể thời gian phí giao dịch Thời gian giao dịch qua Internet 7% thời gian giao địch qua FAX, khoảng 0.5 phần nghìn thời gian giao dịch qua bưu điện chuyển phát nhanh,... CHƯƠNG II AN TOÀN DỮ LIỆU TRONG TMĐT CỦA DOANH NGHIỆP 17 I .An toàn liệu doanh nghiệp gì: 17 II.Nguy rị rỉ thơng tin doanh nghiệp .17 CHƯƠNG III BẢO MẬT VÀ AN TỒN THƠNG TIN TRONG TMÐT... Trưng Của TMĐT Chương II: An Toàn Dữ Liệu Trong Tmđt Của Doanh Nghiệp Chương III: Bảo Mật Và An Tồn Thơng Tin Trong TMĐT lOMoARcPSD|9234052 LỜI CẢM ƠN Trong thời gian thực báo cáo với giúp đỡ