Luận văn Bảo mật và an toàn thông tin trong thương mại điện tử

ĐẠI HỌC THÁI NGUYÊN KHOA CÔNG NGHỆ THÔNG TIN ----------------------------------- VŨ ANH TUẤN BẢO MẬT VÀ AN TOÀN THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ LUẬN VĂN THẠC SĨ KHOA HỌC CÔNG NGHỆ THÔNG TIN Chuyên ngành : Khoa học máy tính Mã số : 60 . 48 . 01 Người hướng dẫn khoa học: PGS.TS NGUYỄN GIA HIỂU THÁI NGUYÊN – 2008 Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 2 Môc lôc Néi dung Trang Lêi nãi ®Çu................................................................................................ 2 I. Nội dung nghiên cứu của đề tài ......................................................... 3 1. Mục tiêu và nhiệm vụ nghiên cứu của đề tài..................................... 3 2. ý nghĩa khoa học của đề tài................................................................. 3 3. Phƣơng pháp nghiên cứu.................................................................... 3 4. Phạm vi nghiên cứu............................................................................. 3 5. Các kết quả nghiên cứu dự kiến cần đạt đƣợc.................................. 4 II. Bố cục của luận văn............................................................................ 5 Chƣơng I : CÁC KHÁI NIỆM VÒ TMĐT VÀ CÁC ĐẶC TRƢNG CỦA TMĐT 6 1. Khái niệm về TMĐT........................................................................... 6 2. Lợi ích của thƣơng mại điện tử........................................................... 6 3. Các đặc trƣng cơ bản của TMĐT....................................................... 8 4. Các loại thị trƣờng điện tử.................................................................. 9 5. Các hệ thống thanh toán trong TMĐT.............................................. 10 6. Công nghệ thanh toán điện tử............................................................ 11 7. Quy trình thanh toán điện tử............................................................. 12 Ch•¬ng II : hÖ mËt m·, m· kho¸ ®èi xøng, m· kho¸ c«ng khai, ch÷ ký sè 14 I. tæng quan vÒ c¸c hÖ mËt m·.................................................................. 14 1. Mật mã học cổ điển.............................................................................. 14 2. Mật mã học hiện đại............................................................................ 15 3. Thuật ngữ............................................................................................ 16 4. Tiêu chuẩn mật mã............................................................................. 17 ii. c¸c ph•¬ng ph¸p m· ho¸ 19 1. Mã hoá đối xứng (mã hoá khoá bí mật)............................................ 19 2. Mã hóa không đối xứng (Mã hóa khóa công khai)........................... 29 iii. CHỮ KÝ Sè 36 1. Chữ kí số.............................................................................................. 36 2. Phân loại các sơ đồ chữ kí số.............................................................. 37 3. Một số sơ đồ chữ ký cơ bản................................................................. 3.1. Sơ đồ chữ ký RSA............................................................................. 3.2. Sơ đồ chữ ký DSA (Digital Signature Standard)............................. 40 40 42 4. Các sơ đồ chữ kí số khả thi................................................................. 46 Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 3 Néi dung Trang 5. Các cách tấn công chữ kí điện tử........................................................ 47 Ch•¬ng III : b¶o mËt vµ an toµn th«ng tin trong tm®t 49 i. vÊn ®Ò an toµn th«ng tin.......................................................................... 49 II. chøng chØ sè vµ c¬ chÕ m· ho¸..................................................... 51 1. Giới thiệu về chứng chỉ số................................................................... 51 2. Xác thực định danh............................................................................. 52 3. Chứng chỉ khóa công khai................................................................... 54 4. Mô hình CA.......................................................................................... 57 5. Một số giao thức bảo mật ứng dụng trong TMĐT........................... 57 CHƢƠNG IV: cµi ®Æt b¶o mËt vµ an toµn th«ng tin trªn website mua b¸n c¸c linh kiÖn m¸y tÝnh trªn m¹ng internet 74 I. C¸c chøc n¨ng c¬ b¶n vµ ho¹t ®éng cña hÖ thèng website 74 1. Tổ chức dữ liệu.................................................................................... 74 2. Quản trị thông tin............................................................................... 75 3. Mã hóa RSA và áp dụng trong hệ thống........................................... 75 4. Thực hiện mua hàng........................................................................... 75 5.Cách thức thực hiện mã hóa và giải mã.............................................. 76 II. cµi ®Æt c¸c chøc n¨ng b¶o mËt vµ an toµn th«ng tin trªn web site mua b¸n linh kiÖn m¸y tÝnh 77 1. Thủ tục đăng kí thành viên ................................................................ 77 2. Khách hàng lựa chọn và mua hàng trên website............................. 79 kÕt luËn................................................................................................. 82 Tµi liÖu tham kh¶o............................................................................. 83 Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 4 lêi nãi ®Çu Với sự phát triển mang tính toàn cầu của mạng Internet và TMĐT, con ngƣời có thể mua bán hàng hoá và dịch vụ thông qua mạng máy tính toàn cầu một cách dễ dàng trong mọi lĩnh vực thƣơng mại rộng lớn . Tuy nhiên đối với các giao dịch mang tính nhạy cảm này cần phải có những cơ chế đảm bảo bảo mật và an toàn vì vậy vấn đề bảo mật và an toàn thông tin trong thƣơng mại điện tử là một vấn đề hết sức quan trọng. Đề tài sẽ đề cập đến các kỹ thuật chính của lĩnh vực Bảo mật và an toàn thông tin trong thƣơng mại điện tử. Hiện nay vấn đề Bảo mật và an toàn thông tin trong TMĐT đã và đang đƣợc áp dụng phổ biến và rộng rãi ở Việt Nam và trên phạm vi toàn cầu. Vì thế vấn đề Bảo mật và an toàn đang đƣợc nhiều ngƣời tập trung nghiên cứu và tìm mọi giải pháp để đảm bảo Bảo mật và an toàn cho các hệ thống thông tin trên mạng. Tuy nhiên cũng cần phải hiểu rằng không có một hệ thống thông tin nào đƣợc bảo mật 100% bất kỳ một hệ thống thông tin nào cũng có những lỗ hổng về bảo mật và an toàn mà chƣa đƣợc phát hiện ra Vấn đề bảo mật và an toàn thông tin trong TMĐT phải đảm bảo bốn yêu cầu sau đây: - Đảm bảo tin cậy : Các nội dung thông tin không bị theo dõi hoặc sao chép bởi những thực thể không đƣợc uỷ thác. - Đảm bảo toàn vẹn : Các nội dung thông tin không bị thay đổi bởi những thực thể không đƣợc uỷ thác - Sự chứng minh xác thực : Không ai có thể tự trá hình nhƣ là bên hợp pháp trong quá trình trao đổi thông tin - Không thể thoái thác trách nhiệm : Ngƣời gửi tin không thể thoái thác về những sự việc và những nội dung thông tin thực tế đã gửi đi Xuất phát từ những khả năng ứng dụng trong thực tế và những ứng dụng đã có từ các kết quả của nghiên cứu trƣớc đây về lĩnh vực Bảo mật và an toàn trong TMĐT. Đề tài sẽ đi sâu nghiên cứu các kỹ thuật và các phƣơng pháp Bảo mật và an toàn thông tin trong thƣơng mại điện tử Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 5 I. Nội dung nghiên cứu của đề tài 1. Mục tiêu và nhiệm vụ nghiên cứu của đề tài - Đề tài nghiên cứu các kỹ thuật và phƣơng pháp để thực hiện nhiệm vụ Bảo mật và an toàn trong thƣơng mại điện tử, quá trình thực hiện và các kiến thức khoa học và thuật toán liên quan nhƣ: Xác thực, Bảo mật, Bảo toàn dữ liệu, Mật mã, Chữ ký số... - Áp dụng các kết quả đã nghiên cứu để triển khai hệ thống Bảo mật và an toàn trong TMĐT 2. ý nghĩa khoa học của đề tài  Áp dụng các kết quả đã nghiên cứu để xây dựng các kỹ thuật Bảo mật và an toàn trong thƣơng mại điện tử với một số tính năng cơ bản nhƣ: Hệ thống chứng thực, Các cơ chế phân bố khoá tự động, Mã hoá các thông tin cần thiết, kỹ thuật ngăn ngừa các rui ro trong TMĐT.  Vấn đề Bảo mật và an toàn trên mạng là một trong những vấn đề nóng hổi trong hoạt động thực tiễn của TMĐT, giải quyết tốt vấn đề bảo mật và an toàn trong TMĐT sẽ mang lại ý nghĩa hết sức to lớn nhƣ: Làm cho khách hàng tin tƣởng khi thực hiện các giao dịch trên mạng, và các nhà cung cấp dịch vụ giao dịch trực tuyến cũng nhƣ các ISP đảm bảo đƣợc những thông tin của khách hàng giao dịch trên mạng đƣợc an toàn. 3. Phương pháp nghiên cứu  Thu thập, phân tích các tài liệu và những thông tin liên quan đến đề tài.  Tìm hiểu các giao dịch trong thƣơng mại điện tử của một số Website trong và ngoài nƣớc, thu thập các thông tin về bảo mật các giao dịch thƣơng mại điện tử đã có.  Kết hợp các nghiên cứu đã có trƣớc đây của các tác giả trong nƣớc cùng với sự chỉ bảo, góp ý của thầy hƣớng dẫn để hoàn thành nội dung nghiên cứu 4. Phạm vi nghiên cứu  Các vấn đề về bảo mật chứng thực trong thƣơng mại điện tử Hàm băm, các thuật toán mã hoá đối xứng DES và và bất đối xứng nhƣ mã khoá công khai RSA, sử dụng chữ ký số DSA và RSA, các giao thức bảo mật trên mạng nhƣ: SSL, TLS, SET...  Các kỹ thuật sử dụng và các phƣơng pháp kết hợp các hệ mật mã trong bảo mật. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 6  Do có những hạn chế nhất định về cơ sở vật chất và điều kiện tiếp cận thực tế với lĩnh vực an toàn và bảo mật trong thƣơng mại điện tử nên việc cài đặt các ứng dụng chủ yếu mang tính thử nghiệm. 5. Các kết quả nghiên cứu dự kiến cần đạt được  Các vấn đề về bảo mật chứng thực trong thƣơng mại điện tử, sử dụng chữ ký số, Các kỹ thuật sử dụng và các phƣơng pháp kết hợp các hệ mật mã trong bảo mật.  Cài đặt thử nghiệm vấn đề về bảo mật và an toàn trong thƣơng mại điện tử đã nghiên cứu. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 7 II, Bố cục của luận văn Chƣơng I : CÁC KHÁI NIỆM VÒ TMĐT VÀ CÁC ĐẶC TRƢNG CỦA TMĐT 1. Khái niệm về TMĐT 2. Lợi ích của thƣơng mại điện tử 3. Các đặc trƣng cơ bản của TMĐT 4. Các loại thị trƣờng điện tử. 5. Các hệ thống thanh toán trong TMĐT 6. Công nghệ thanh toán điện tử 7. Quy trình thanh toán điện tử Chƣơng II : HỆ MẬT MÃ, Mà KHOÁ ĐỐI XỨNG, Mà KHOÁ CÔNG KHAI, CHỮ KÝ Sè I, Tổng quan về các hệ mật mã 1. Mã hoá khoá đối xứng: Thuật toán và quá trình tạo khoá 2. Mã hoá khoá công khai: Hoạt động, tạo khoá, mã hoá, giải mã, chuyển đổi văn bản rõ II, Chữ ký số 1. Khái niệm chữ ký số 2. Phân loại chữ ký số 3. Một số sơ đồ chữ ký số cơ bản 4. Đánh giá tính an toàn của các sơ đồ chữ ký số Chƣơng III : BẢO MẬT VÀ AN TOÀN TRONG TMĐT 1. An toàn thông tin 2. Cơ chế mã hoá 3. Chứng thực số hoá 4. Một số giao thức bảo mật ứng dụng trong TMĐT - Các vấn đề bảo mật ứng dụng WEB - Cơ chế bảo mật SSL và TSL - Cơ chế bảo mật SET Chƣơng IV: CÀI ĐẶT VÀ PHÁT TRIỂN CÁC ỨNG DỤNG - Cài đặt ứng dụng bảo mật và an toàn thông tin, chøng thùc sè ho¸, ch÷ ký sè trên WEBSITE mua b¸n m¸y tÝnh trªn m¹ng INTERNET Kết luận Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 8 ch•¬ng i : c¸c kh¸i niÖm vÒ TM§T vµ c¸c ®Æc tr•ng cña TM§T 1. Khái niệm về TMĐT Thƣơng mại điện tử là hình thức mua bán hàng hoá và dịch vụ thông qua mạng máy rính toàn cầu. TMĐT theo nghĩa rộng đƣợc định nghĩa trong luật mẫu về thƣơng mại điện tử của Uỷ ban LHQ về luật thƣơng mại quốc tế: “Thuật ngữ thương mại cần được diễn giải theo nghĩa rộng để bao quát các vấn đề phát sinh từ mọi quan hệ mang tính chất thương mại dù có hay không có hợp đồng. Các quan hệ mang tính chất thương mại bao gồm các giao dịch sau đây: Bất cứ giao dịch nào về thương mại nào về cung cấp hoặc trao đổi hàng hoá hoặc dịch vụ, thoả thuận phân phối, đại diện hoặc đại lý thương mại, uỷ thác hoa hồng, cho thuê dài hạn, xây dựng các công trình, tư vấn, kỹ thuật công trình, đầu tư, cấp vốn, ngân hàng, bảo hiểm, thoả thuận khai thác hoặc tô nhượng, liên doanh các hình thức khác về hợp tác công nghiệp hoặc kinh doanh, chuyên chở hàng hoá hay hành khách bằng đường biển, đường không, đường sắt hoặc đường bộ” Nhƣ vậy, có thể thấy rằng phạm vi của Thƣơng mại điện tử rất rộng, bao quát hầu hết các lĩnh vực hoạt động kinh tế, việc mua bán hàng hoá và dịch vụ chỉ là một trong hàng ngàn lĩnh vực áp dụng của Thƣơng mại điện tử. Theo nghĩa hẹp TMĐT chỉ gồm các hoạt động thƣơng mại đƣợc tiến hành trên mạng máy tính mở nhƣ Internet. Trên thực tế chính các hoạt động thƣơng mại thông qua mạng Internet đã làm phát sinh thuật ngữ Thƣơng mại điện tử. Thƣơng mại điện tử gồm các hoạt động mua bán hàng hoá và dịch vụ qua phƣơng tiện điện tử, giao nhận các nội dung kỹ thuật số trên mạng, chuyển tiền điện tử, mua bán cổ phiếu điện tử, vận đơn đơn điện tử, đấu giá thƣơng mại, hợp tác thiết kế, tài nguyên mạng, mua sắm công cộng, tiếp thị trực tuyến tới ngƣời tiêu dùng và các dịch vụ sau bán hàng. Thƣơng mại điện tử đƣợc thực hiện đối với cả thƣơng mại hàng hoá (ví dụ nhƣ hàng tiêu dùng, các thiết bị y tế chuyên dụng) và thƣơng mại dịch vụ (ví dụ nhƣ dịch vụ cung cấp thông tin, dịch vụ pháp lý, tài chính). Các hoạt động truyền thống nhƣ chăm sóc sức khoẻ, giáo dục và các hoạt động mới (nhƣ siêu thị ảo). Thƣơng mại điện tử đang trở thành một cuộc cách mạng làm thay đổi cách thức mua săm của con ngƣời. 2. Lợi ích của TMĐT Xuất phát từ những kinh nghiệm thực tế trong quá trình hoạt động của thƣơng mại điện tử thì TMĐT đã mang lại cho con ngƣời và xã hội các lợi ích sau: Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 9 2.1. Thu thập được nhiều thông tin TMĐT giúp cho mỗi cá nhân khi tham gia thu đƣợc nhiều thông tin về thị trƣờng, đối tác, giảm chi phí tiếp thị và giao dịch, rút ngắn thời gian sản xuất, tạo dựng và củng cố quan hệ bạn hàng. Các doanh nghiệp nắm đƣợc các thông tin phong phú về kinh tế thị trƣờng, nhờ đó có thể xây dựng đƣợc chiến lƣợc sản xuất và kinh doanh thích hợp với xu thế phát triển của thị trƣờng trong nƣớc, trong khu vực và quốc tế. Điều này đặc biệt có ý nghĩa đối với các doanh nghiệp vừa và nhỏ, hiện nay đang đƣợc nhiều nƣớc quan tâm coi là một trong những động lực phát triển kinh tế. 2.2. Giảm chi phí sản xuất TMĐT giúp giảm chi phí sản xuất, trƣớc hết là chi phí văn phòng. Các văn phòng không giấy tờ chiếm diện tích nhỏ hơn rất nhiều, chi phí tìm kiếm chuyển giao tài liệu giảm nhiều lần trong đó khâu in ấn gần nhƣ bỏ hẳn. Theo số liệu của hãng General Electricity của Mỹ tiết kiệm trên lĩnh vực này đạt tới 30 %. Điều quan trọng hơn, với góc độ chiến lƣợc là các nhân viên có năng lực đƣợc giải phóng khỏi nhiều công đoạn sự vụ và có thể tập trung vào nghiên cứu phát triển, sẽ đƣa đến những lợi ích to lớn lâu dài. 2.3. Giảm chi phí bán hàng, tiếp thị và giao dịch TMĐT giúp giảm thấp chi phí bán hàng và chi phí tiếp thị. Bằng phƣơng tiện Internet / Web một nhân viên bán hàng có thể giao dịch với rất nhiều khách hàng, catalogue điện tử trên web phong phú hơn nhiều so với catalogue in ấn chỉ có khuôn khổ giới hạn và luôn luôn lỗi thời, trong khi đó catalogue điện tử trên web đƣợc cập nhật thƣờng xuyên. TMĐT qua Internet / Web giúp ngƣời tiêu thụ và các doanh nghiệp giảm đáng kể thời gian và chi phí giao dịch. Thời gian giao dịch qua Internet chỉ bằng 7% thời gian giao dịch qua FAX, và bằng khoảng 0.5 phần nghìn thời gian giao dịch qua bƣu điện chuyển phát nhanh, chi phí thanh toán điện tử qua Internet chỉ bằng 10% đến 20% chi phí thanh toán theo lối thông thƣờng. 2.4. Xây dựng quan hệ đối tác Thƣơng mại điện tử tạo điều kiện cho việc thiết lập và củng cố mối quan hệ giữa các thành viên tham gia quá trình thƣơng mại thông qua mạng Internet các thành viên tham gia có thể giao tiếp trực tiếp (liên lạc trực tuyến) và liên tục với nhau, có cảm giác nhƣ không có khoảng cách về địa lý và thời gian nữa, nhờ đó sự hợp tác và quản lý đều đƣợc tiến hành nhanh chóng một cách liên tục, các bạn hàng mới, các cơ hội kinh doanh mới đƣợc phát hiện nhanh chóng trên phạm vi toàn thế giới và có nhiều cơ hội để lựa chọn hơn. Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 10 2.5. Tạo điều kiện sớm tiếp cận kinh tế tri thức Trƣớc hết TMĐT sẽ kích thích sự phát triển của nghành CNTT tạo cơ sở cho phát triển kinh tế tri thức. Lợi ích này có một ý nghĩa lớn đối với các nƣớc đang phát triển, nếu không nhanh chóng tiếp cận nền kinh tế tri thức thì sau khoảng một thập kỷ nữa nƣớc đang phát triển có thể bị bỏ rơi hoàn toàn. Khía cạnh lợi ích này mang tính chiến lƣợc công nghệ và tính chính sách phát triển cần cho các nƣớc công nghiệp hoá. 3. Các đặc trƣng cơ bản của TMĐT So với các hoạt động thƣơng mại truyền thống, TMĐT có một số các đặc trƣng cơ bản sau: 3.1. Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúc trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước. Trong thƣơng mại truyền thống các bên thƣờng gặp gỡ nhau trực tiếp để tiến hành giao dịch. Các giao dịch đƣợc thực hiện chủ yếu theo nguyên tắc vật lý nhƣ chuyển tiền, séc, hoá đơn, vận đơn, gửi báo cáo. Các phƣơng tiện viễn thông nhƣ: Fax, telex,... chỉ đƣợc sử dụng để chao đổi số liệu kinh doanh. Tuy nhiên việc sử dụng các phƣơng tiện điện tử trong thƣơng mại truyền thống chỉ để chuyển tải thông tin một cách trực tiếp giữa 2 đối tác của cùng một giao dịch. Thƣơng mại điện tử cho phép tất cả mọi ngƣời cùng tham gia từ các vùng xa xôi hẻo lánh đến các khu vực đô thị rộng lớn, tạo điều kiện cho tất cả mọi ngƣời ở khắp mọi nơi đều có cơ hội ngang nhau tham gia vào thị trƣờng giao dịch toàn cầu và không đòi hỏi nhất thiết phải có mối quen biết với nhau. 3.2. Các giao dịch thương mại truyền thống được thực hiện với sự tồn tại của khái niệm biên giới quốc gia, còn thương mại điện tử được thực hiện trong một thị trường không có biên giới (thị trường thống nhất toàn cầu). Thương mại điện tử trực tiếp tác động tới môi trường cạnh tranh toàn cầu. Thƣơng mại điện tử càng phát triển thì máy tính cá nhân trở thành cửa sổ cho doanh nghiệp hƣớng ra thị trƣờng trên khắp thế giới. Với TMĐT một doanh nhân dù mới thành lập đã có thể kinh doang ở Nhật Bản, Đức và Chi lê..., mà không hề phải bƣớc ra khỏi nhà, một công việc trƣớc kia phải mất nhiều năm. 3.3. Trong hoạt động giao dịch TMĐT đều có sự tham gia của ít nhất ba chủ thể, trong đó có một bên không thể thiếu được là người cung cấp dịch vụ mạng, các cơ quan chứng thực. Trong TMĐT ngoài các chủ thể tham gia quan hệ giao dịch giống nhƣ giao dịch thƣơng mại truyền thống đã xuất hiện một bên thứ 3 đó là nhà cung cấp dịch vụ mạng, các cơ quan chứng thực... là những ngƣời tạo môi trƣờng cho các giao Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên 11 dịch thƣơng mại điện tử. Nhà cung cấp dịch vụ mạng và cơ quan chứng thực có nhiệm vụ chuyển đi, lƣu giữ các thông tin giữa các bên tham gia giao dịch TMĐT, đồng thời họ cũng xác nhận độ tin cậy của các thông tin trong giao dịch TMĐT. 3.4. Đối với thương mại truyền thống thì mạng lưới thông tin chỉ là phương tiện để trao đổi dữ liệu, còn đối với TMĐT thì mạng lưới thông tin chính là thị trường Thông qua TMĐT nhiều loại hình kinh doanh mới đƣợc hình thành. Ví dụ: Các dịch vụ gia tăng giá trị trên mạng máy tính hình thành nên các nhà trung gian ảo làm các dịch vụ môi giới cho giới kinh doanh và tiêu dùng, các siêu thị ảo đƣợc hình thành để cung cấp hàng hoá và dịch vụ trên mạng máy tính. Các chủ cửa hàng thông thƣờng ngày nay cũng đang đua nhau đƣa thông tin lên Web để tiến tới khai thác mảng thị trƣờng rộng lớn trên Web bằng cách mở cửa hàng ảo. 4. Các loại thị trƣờng điện tử Tuỳ thuộc vào đối tác kinh doanh mà ngƣời ta gọi đó là thị trƣờng B2B, B2C, C2B hay C2C. Thị