Bài giảng Thương mại điện tử - Chương 5: Bảo mật trong thương mại điện tử

Bài giảng Thương mại điện tử - Chương 5: Bảo mật trong thương mại điện tử

Thương mại điện tử

Chương 5 Bảo mật trong thương mại điện tử

Mục tiêu

 Mô tả các khía cạnh bảo mật trong TMĐT

 Các công cụ bảo mật các kênh truyền thông

 Các công cụ bảo vệ mạng, máy chủ và máy khách

 Thảo luận về tầm quan trọng của cách chính sách, thủ tục và luật lệ để tăng tính an toàn

Nội dung

1 Môi trường bảo mật trong thương mại điện tử

2 Những mối đe dọa về bảo mật trong môi trường

thương mại điện tử

3 Những giải pháp kỹ thuật

4 Những chính sách, thủ tục và pháp luật

1 Môi trường bảo mật trong TMĐT

Figure 5.4, Page 253

Các vấn đề trong bảo mật

 Toàn vẹn thông tin (Integrity): khả năng đảm

bảo an toàn thông tin trong quá trình truyền-nhận

 Chống thoái thác (Nonrepudiation): khả năng

đảm bảo một thỏa thuận, một hành động trên Internet không bị các bên tham gia từ chối

 Xác thực người dùng (Authenticity): chứng

thực rằng một người hay một hành động là đáng tin cậy

Các vấn đề trong bảo mật(tt)

 Tính bí mật (Confidentiality): đảm bảo dữ liệu chỉ

hiển thị với người được phép xem

 Tính riêng tư (Privacy): khả năng kiểm soát

thông tin mà khách hàng đã cung cấp (vd: e-mail, address, credit card…)

 Tính sẵn sàng (Availability): đảm bảo khả năng

hoạt động của web site

Authentication vs Authorization

 Authentication: Who goes there?

 Something you know

 Something you have

 Something you are

 Authorization: Are you allowed to do that?

Ảnh hưởng của bảo mật

 Bảo mật vs Tính tiện dụng

 Bảo mật vs Tốc độ

 Bảo mật vs Mong muốn hành động nặc danh của khách hàng

Những mối đe dọa

 Đối tượng tấn công:

 Client

 Server

 Kênh truyền thông (vd: internet, mạng nội bộ…)

Những mối đe dọa

 Mã độc hại (malicious code)

 Lừa đảo (Phishing)

Vulnerable Points in an E-commerce Environment

Figure 5.4, Page 274

Copyright © 2011 Pearson Education,

SOURCE: Boncella, 2000

Mã độc hại (Malicious code)

 Viruses: chương trình máy tính có khả năng nhân bản và lây nhiễm sang các file khác trong cùng máy tính

 Worms: được thiết kế để lây nhiễm giữa các máy tính trong cùng một mạng

 Trojan horse: mã độc hại ngụy trang như một chương trình bình thường

 Bots: biến máy bị lây nhiễm thành một máy trạm, chịu sự điều khiển của bot-herder

Lừa đảo (Phishing)

 Những hành động mạo danh đánh lừa người dùng cung cấp thông tin cá nhân (số thẻ tín dụng, mật mã…)

 Hình thức phổ biến: e-mail scam letter

 Là một trong những hình thức lừa đảo phát triển nhanh nhất

Hacking và Cybervandalism

 Hacker: cá nhân tiến hành truy xuất trái phép vào

hệ thống máy tính

 Cracker: hacker có mục đích phi pháp

 Cybervandalism: hành động phá hoại, thay đổi giao diện một web site

 Phân loại hacker:

 White hats

 Black hats

 Grey hats

Gian lận thẻ tín dụng

 Nguy cơ mất thông tin về thẻ tín dụng ngăn cản

sự phát triển của thương mại trực tuyến

 Hacker lấy cắp thông tin về thẻ tín dụng và các thông tin khác của khách hàng để tiến hành giao dịch bất hợp pháp

 Giải pháp: xây dựng cơ chế xác thực mới

Spoofing (Pharming)

 Đánh lừa bằng cách sử dụng địa chỉ e-mail giả hay giả mạo là một người nào đó

 a l bert@gmail.com vs a I bert@gmail.com (font Calibri)

 a l bert@gmail.com vs a I bert@gmail.com (font Tahoma)

 Social engineering techniques

 Nguy cơ: mất thông tin cá nhân (username, password, credit card…)

Tấn công từ chối dịch vụ

 Tấn công từ chối dịch vụ (Denial of service attack): tấn công làm quá tải tài nguyên của hệ thống  hệ thống không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường

 Tấn công từ chối dịch vụ phân tán (Distributed denial of service (dDoS) attack): tấn công từ một

hệ thống các máy tính cực lớn trên Internet, và thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng botnet

Những mối đe dọa

 Sniffing: kiểu phần mềm nghe lén, thu thập thông tin lưu chuyển trong một mạng máy tính; cho

phép hacker lấy cắp thông tin ở bất cứ nơi nào trong mạng

 Insider jobs

 Phần mềm, chương trình được sử dụng ở client

và server: chứa những lỗi tiềm tàng có thể bị hacker khai thác (vd: IIS, IE…)

 Bảo vệ mạng nội bộ: firewall, proxy…

 Bảo vệ server & client: IDS, Anti-virues…

Các công cụ

Một số khái niệm trong Cryptography

 Plaintext (original data), ciphertext (encrypted data)

 Cryptosystems = encryption + decryption algorithms

 Encryption, decryption process needs keys

 Symmetric (shared-/secret-key) cryptosystem: the same key for (en/de)cryption algorithms

 Asymmetric (public-key) cryptosystem: public & private keys

 Cung cấp 4 trong 6 yếu tố bảo mật của TMĐT:

 Toàn vẹn (Message integrity)

 Chống thoái thác (Nonrepudiation)

 Xác thực (Authentication)

 Tính bí mật (Confidentiality)

Mã hóa khoá đối xứng

 Cả người gửi và người nhận dùng chung 1 khóa

để mã hóa và giải mã thông điệp

 Đòi hỏi phải có một bộ khóa riêng cho mỗi giao dịch Vd: nhóm 4 người cần 6 khóa

 Hạn chế: khóa phải được bảo mật trong khi phân phối và trong khi dùng

 Data Encryption Standard (DES): thuật toán mã hóa đối xứng được sử dụng phổ biến nhất hiện nay Sử dụng khóa có chiều dài 56 bits Các thuật toán khác (3-DES, AES…) sử dụng khóa dài 128 đến 2048 bits

Mã hóa khóa công khai

 Giải quyết được vấn đề phân phối khóa bí mật của mã hóa đối xứng

 Sử dụng 2 khóa có liên quan tới nhau:

 Khóa công khai (public key) : được phân phối rộng rãi

 Khóa riêng (private key): được giữ bí mật

 Một khóa có thể giải mã thông điệp được mã hóa bởi khóa kia

 Trong thực tế, thường dùng public key để mã hóa, private key để giải mã

Mã hóa khóa công khai

Mã hóa khóa công khai: Chữ ký số và Chuỗi băm (Hash digests)

 Áp dụng thuật toán băm trong mã hóa sẽ tạo thành chuỗi băm mà người nhận có thể dùng để kiểm tra tính toàn vẹn của dữ liệu

 Mã hóa lần hai với khóa riêng của người gửi tạo thành chữ ký bảo đảm tính xác thực và tính

chống thoái thác

Hàm băm (Hash function)

 Compression

 Efficiency

 One-way

 Weak collision resistance

 Strong collision resistance

Ví dụ: MD5, SHA-1 cho x=ecommerce

md5(x)->db96ff26706a1a3d595ecb67266c2d94

Sha1(x)-> 444c1efe975e9babde869520762c42efcacf1deb

Mã hóa khóa công khai: Chữ ký số và Chuỗi băm (Hash digests)

Phong bì số (Digital envelopes)

 Mã hóa đối xứng: xử lý nhanh

 Mã hóa khóa công khai: an toàn hơn nhưng khối lượng tính toán nhiều, mất nhiều thời gian xử lý

Phong bì số (Digital envelopes)

Chữ ký điện tử (electronic signature)

 “Electronic signature” means data in electronic form in, affixed to or logically associated with, a data message, which may be used to identify the signatory in relation to the data message and to indicate the sinatory‟s approval of the information contained in the data message;

(UNCITRAL Model Law on Electronic Signatures with Guide to Enactment 2001)

Chữ ký điện tử (tt)

The term „„electronic signature‟‟ means an electronic sound, symbol, or process, attached to or logically associated with a contract or other record and

executed or adopted by a person with the intent to sign the record

(Electronic Signatures in Global and National Commerce Act - 15 U.S.C 7001 )

Chữ ký số

 "Chữ ký số" là một dạng chữ ký điện tử được tạo

ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng theo đó người có được thông điệp dữ liệu ban đầu và khoá công khai của người ký có thể xác định

được chính xác:

a) Việc biến đổi nêu trên được tạo ra bằng đúng khoá bí mật tương ứng với khoá công khai trong

cùng một cặp khóa;

b) Sự toàn vẹn nội dung của thông điệp dữ liệu kể

từ khi thực hiện việc biến đổi nêu trên

(26/2007/NĐ-CP - Quy định chi tiết thi hành Luật Giao dịch điện tử

Chứng thư số (Digital Certificate)

 Chứng thư số là một tài liệu số (digital document) được cấp phát một cơ quan thứ ba tin cậy được biết đến như là CA (certification authority)

 Bao gồm:

 Có thể được sử dụng để kiểm tra một khóa công

khai nào đó thuộc về ai

Quản lí chứng thư số trên trình duyệt

Hạ tầng khóa công khai (PKI – Public Key Infrastructure)

 Tập hợp tất cả các tác nhân (phần cứng, phần mềm, con người, chính sách, thủ tục) cần thiết cho việc quản lý, lưu trữ, phân phối, thu hồi

Chứng thư số

Hạ tầng khóa công khai (tt)

 CA (Certification Authority): nhà cung cấp chứng thư

số chuyên cung cấp và xác minh Chứng thư số

 RA (Registration Authority): nhà quản lý đăng ký đóng vai trò như người thẩm tra cho CA trước khi một chứng thư số được cấp phát tới người yêu cầu

 CR (Certificate Repository): kho lưu trữ chứng thư số lưu trữ các chứng thư số phục vụ nhu cầu tra cứu, lấy khoá công khai của đối tác cần thực hiện giao dịch

 Con người: CAO (Certificate Authority Operator), RAO (Register Authority Operator), Manager, User

Sử dụng Chứng thư số

Giới hạn của mã hóa

 PKI được áp dụng chủ yếu cho việc bảo vệ dữ liệu trong trao đổi

 PKI không có tác dụng với thành viên nội bộ

 Việc bảo vệ khóa riêng tư (private key) đối với cá nhân có thể không an toàn

 Không đảm bảo máy tính của bên bán (merchant)

là an toàn

 Tổ chức tự chọn lựa CA cho riêng mình

Bảo vệ kênh truyền thông

 Secure Socket Layer (SSL): giao thức nhằm thiết lập các phiên làm việc an toàn cho việc trao đổi

dữ liệu trong mạng Internet

 S-HTTP: cung cấp giao thức truyền nhận an toàn cho các tài liệu trong mạng Internet (thiết kế dùng chung với HTTP)

 Mạng riêng ảo (Virtual Private Networks - VPNs): cho phép một máy tính trong Internet có thể truy cập vào mạng nội bộ một cách an toàn

S-HTTP

Bảo mật một phiên làm việc với SSL

Bảo vệ mạng nội bộ: Proxy và Firewall

 Tường lửa (Firewall):

Firewalls and Proxy Servers

 Figure 5.13, Page 301

Bảo vệ Clients và Servers

 Kiểm soát hoạt động của hệ thống: cơ chế xác thực và kiểm soát truy cập

 Phần mềm diệt virus: phương pháp đơn giản và tiết kiệm nhất để bảo vệ an toàn cho các máy tính trong mạng

Chiến lược bảo mật: Chính sách quản lý

 Các bước xây dựng một chiến lược bảo mật:

 Đánh giá rủi ro: đánh giá những rủi ro tiềm ẩn, những điểm yếu hại của hệ thống

 Xây dựng chính sách bảo mật: liệt kê các rủi ro thông tin, mức rủi ro chấp nhận được; xác định cách thức để đạt mục tiêu

 Xây dựng kế hoạch triển khai: xác định các bước cần thiết để đạt được mục tiêu bảo mật

 Triển khai kế hoạch: tập huấn người dùng, chính sách xác thực và kiểm soát truy cập…

 Kiểm tra: kiểm tra các thủ tục và các bước xây

Xây dựng chiến lược bảo mật

 Định nghĩa thế nào là hành vi trái pháp luật

 Đưa ra cơ sở pháp lý cho việc xác định, truy tìm

và xử lý đối tượng phạm tội