bài giảng thương mại điện tử - chương 5 an ninh trong thương mại điện tử

1.1 Các vấn đề về an toàn trong thương mại điện tửMột số khái niệm về an toàn bảo mật - Quyền được phép Authorization: Quá trình đảm bảo cho người có quyền này được truy cập vào một số

Trang 1

AN NINH TRONG THƯƠNG MẠI ĐIỆN TỬ Chương 5

Trang 3

1.1 Các vấn đề về an toàn trong thương mại điện tử

Một số khái niệm về an toàn bảo mật

- Quyền được phép (Authorization): Quá trình

đảm bảo cho người có quyền này được truy cập vào một số tài nguyên của mạng.

Trang 4

- Thu thập thông tin (Auditing): Quá trình thu thập thông

tin về các ý đồ muốn truy cập vào tài nguyên nào đó trong mạng bằng cách sử dụng quyền ưu tiên và các hành động khác

- Sự riêng tư (Confidentiality/Privacy): là bảo vệ thông

tin mua bán của người tiêu dùng

- Tính toàn vẹn (Integrity): Khả năng bảo vệ dữ liệu

không bị thay đổi

- Không thoái thác (Nonrepudiation): Khả năng không

thể từ chối các giao dịch đã thực hiện

10/03/24

www.viethanit.edu.vn 4

Trang 5

Các vấn đề an toàn bảo mật cơ bản đặt ra trong TMĐT

Trang 6

Từ góc độ doanh nghiệp:

-Làm sao biết được người dùng không có ý định phá hoại hoặc làm thay đổi nội dung của trang Web hoặc website? -Làm sao biết được họ có làm gián đoạn hoạt động của server hay không?

10/03/24

Trang 7

Trang 8

1.2 Các khía cạnh của an ninh thương mại điện tử

Tính toàn vẹn

-Đề cập đến khả năng đảm bảo cho an ninh thông tin được hiển thị trên một website hoặc chuyển nhận thông tin từ internet

-Các thông tin này không bị thay đổi nội dung bằng bất

cứ cách nào bởi người ko được phép

10/03/24

Trang 9

Chống phủ định

-Liên quan đến khả năng đam bảo các bên tham gia trong thương mại điện tử không phủ định các hành động trực tuyến mà họ đã thực hiện

10/03/24

Trang 10

10/03/24

Trang 11

Tính tin cậy

-Liên quan đến khả năng đảm bảo ngoài những người có quyền, không ai có thể xem các thông điệp và truy cập những dữ liệu có giá trị

10/03/24

Trang 12

Tính riêng tư

-Liên quan đến việc kiểm soát các thông tin cá nhân mà khách hàng cung cấp về chính bản thân họ Chú ý 2 vấn đề:

+ cần thiết lập chính sách nội bộ để quản lý việc sử dụng các thông tin về khách hàng

+ Cần bảo vệ thông tin, tránh sử dụng vào những việc không chính đáng

10/03/24

Trang 13

Trang 14

2.1 số loại tội phạm trên mạng internet

Trang 15

- Gian lận trên mạng: là hành vi gian lận, làm giả

để thu nhập bất chính

- Tấn công Cyber: là một cuộc tấn công điện tử để

xâm nhập trái phép trên Internet vào mạng mục tiêu để làm hỏng dữ liệu, chương trình và phần cứng của các website hoặc máy trạm.

15

10/03/24

www.viethanit.edu.vn

Trang 16

- Hackers (tin tặc): là thuật ngữ để chỉ người lập

trình tìm cách xâm nhập trái phép vào các máy tính và mạng máy tính

- Crackers: là người tìm cách bẻ khoá để xâm

nhập trái phép vào máy tính hay các chương trình

16

10/03/24

Trang 17

Các đoạn mã nguy hiểm Tin tặc và các chương trình phá hoại Gian lận thẻ tín dụng

Sự lừa đảo

Sự khước từ phục vụ

Kẻ trộm trên mạng

Sự tấn công từ bên trong doanh nghiệp

2.2 Những nguy cơ đe dọa an ninh TMĐT

17

10/03/24

Trang 18

Các đoạn mã nguy hiểm

Các đoạn mã nguy hiểm bao gồm nhiều mối

đe dọa khác nhau

Trang 19

Virus: là một chương trình máy tính, nó có khả năng nhân bản hoặc tự tạo các bản sao của chính mình và lây lan sang các chương trình, các tệp dữ liệu khác trên máy tính nhằm thực hiện một “mưu đồ” nào đó

10/03/24

Trang 20

Macro virus: chiếm 75% đến 80% các loại virus được

phát hiện Nó chỉ nhiễm vào các tệp ứng dụng được soạn thảo như: MS Word, MS Excel, MS PowerPoint

Virus tệp: là những virus lây nhiễm vào các tệp tin có

thể thực thi như: *.exe, *.com, *.dll Nó hoạt động khi chúng ta thực thi các tệp tin bị lây nhiễm bằng cách tự tạo các bản sao của chình mình ở trong các tệp tin khác đang được thực thi tại thời điểm đó trên hệ thống

10/03/24

Trang 21

Virus script: là một tập các chỉ lệnh trong

các ngôn ngữ lập trình như VBScript hay JavaScript Nó sẽ hoạt động khi ta chạy những tệp chương trình dạng *.vbs hay *.js Ví dụ: virus I LOVE YOU

Trên thực tế, các loại virus này thường kết nối với các worm

21

10/03/24

Trang 22

Worm: là một loại virus chuyên tìm kiếm mọi

dữ liệu trong bộ nhớ hoặc trong đĩa làm thay đổi nội dung bất kỳ dữ liệu nào mà nó gặp

Ví dụ: chuyển ký tự → số hoặc tráo đổi các byte được lưu trữ trong bộ nhớ.

10/03/24

Trang 23

Con ngựa thành tơ roa: bản thân nó không có

khả năng nhân bản, nhưng nó tạo cơ hội cho các virus khác xâm nhập vào máy tính.

10/03/24

Trang 24

Bad Applet là một chương trình ứng dụng nhỏ được

nhúng trong một phần mềm thực hiện một nhiệm vụ cụ thể làm tăng khả năng tương tác của website

Các bad applet là đoạn mã di động nguy hiểm Người

sử dụng tìm kiếm thông tin hoặc tải các chương trình từ website có chứa bad applet sẽ lây lan sang hệ thống của người sử dụng

10/03/24

Trang 25

Tin tặc và chuơng trình phá hoại

Tin tặc (Hacker): là người có thể viết hay chỉnh sửa

phần mềm, phần cứng máy tính bao gồm lập trình,

quản trị và bảo mật Những người này hiểu rõ hoạt động của hệ thống máy tính, mạng máy tính và dùng kiến thức bản thân để làm thay đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau

10/03/24

Trang 26

Tin tặc và chuơng trình phá hoại

Chương trình phá hoại:

1/4/2001 tin tặc sử dụng chương trình phá hoại nhằm phá hoại tấn công vào các máy chủ có sử dụng phần mềm Internet Information Server nhằm giảm uy tín của phần mềm như hãng hoạt hình walt disney, nhật báo phố wall…

4/2001 vụ tấn công của tin tặc Hàn Quốc vào website của bộ giáo dục Nhật Bản

10/03/24

Trang 27

Gian lận thẻ tín dụng

Gian lận thẻ tín dụng xảy ra trong trường hợp thẻ tín dụng bị mất, bị đánh cắp, các thông tin về số thẻ, mã số định danh cá nhân (mã PIN), các thông tin về khách hàng

Trang 28

Gian lận thẻ tín dụng

Mối đe dọa lớn nhất trong TMĐT là việc bị mất các thông tin liên quan đến thẻ hoặc các thông tin về sử dụng thẻ trong quá trình diễn ra giao dịch

10/03/24

Trang 29

Sự lừa đảo

Là việc các tin tặc sử dụng các địa chỉ email hoặc mạo danh 1 người nào đó nhằm thực hiện những hành động phi pháp

Sự lừa đảo còn liên quan đến việc thay đổi hoặc làm chệch hướng đến website khác

10/03/24

Trang 30

Sự khước từ dịch vụ

Sự khước từ dịch vụ của 1 website là hậu quả của việc các hacker sử dụng những giao thông vô ích làm tràn ngập hoặc tắt nghẽn mạng truyền thông hoặc sử dụng 1 số lượng lớn máy tính tấn công vào 1 mạng (dưới dạng các yêu cầu phân bố dịch vụ)

10/03/24

Trang 31

Kẻ trộm trên mạng

Là 1 dạng của chương trình nghe trộm, giám sát sự

di chuyển thông tin từ trên mạng

Xem lén thư điện tử: Sử dụng các đoạn mã ẩn bí mật gắn vào thông điệp thư điện tử, cho phép người xem lén

có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi cùng với thông điệp ban đầu

10/03/24

Trang 32

Sự tấn công từ bên trong doanh nghiệp

Là nguy cơ mất an toàn thông tin từ chính bên trong nội bộ doanh nghiệp hay tổ chức

10/03/24

Trang 33

3 Một số giải pháp an toàn trên mạng

3.1

3.2

Giải pháp về công nghệ Giải pháp về chính sách bảo mật

Trang 34

Trang 35

3.1.1 Kỹ thuật mã hóa thông tin

Khái niệm: là quá trình chuyển văn bản hay các tài liệu gốc thành các

văn bản dưới dạng mật mã để bất cứ ai ngoài người gửi và người nhận, đều không thể đọc được

Mục đích của kỹ thuật mã hóa là đảm bảo an ninh thông tin khi truyền phát

Là kỹ thuật khá phổ biến, có khả năng đảm bảo 4 trong 6 khía cạnh an ninh của thương mại điện tử: đảm bảo tính toàn vẹn của thông điệp, chống phủ định, đảm bảo tính xác thực, đảm bảo tính bí mật của thông tin

10/03/24

Trang 36

Kỹ thuật mã hóa được sử dụng từ thời Ai cập cổ đại Theo kỹ thuật cổ truyền, thông điệp được mã hóa bằng tay, sử dụng phương pháp dựa trên các chữ cái của thông điệp Gồm 2 phương pháp

-Kỹ thuật thay thế

-Kỹ thuật hoán vị

10/03/24

Trang 37

 Mã hóa

Giai đoạn chuyển thông tin nguyên gốc ban đầu thành các dạng thông tin được mã hóa (gọi là bản mã).

Thực hiện biến đổi bản mã để thu lại thông tin nguyên gốc như trước khi mã hóa.

10/03/24

Trang 38

 Để mã hóa và giải mã cần một giá trị đặc biệt gọi là khóa (key)

 Giải mã văn bản khi không biết khóa gọi là phá mã

 Các thuật toán mã hóa phải đảm bảo việc phá mã là không thể hoặc cực kỳ khó khăn

38

10/03/24

Trang 39

Độ an toàn của giải thuật mã hóa

 An toàn vô điều kiện: bản mã không chứa đủ thông tin để xác

định duy nhất nguyên bản tương ứng Tức là không thể giải

mã được cho dù có máy tính có tốc độ nhanh thế nào đi chăng nữa (Chỉ duy nhất thuật toán mã hóa độn một lần thỏa mãn an toàn vô điều kiện)

 An toàn tính toán: thỏa mãn một trong hai điều kiện

 Chi phí phá mã vượt quá giá trị thông tin

 Thời gian phá mã vượt quá tuổi thọ thông tin

39

10/03/24

Trang 40

Lợi ích của Mã hóa thông tin

 Mã hoá có lợi cho việc bảo vệ và xác nhận

 Mã hoá cung cấp các công cụ để nhận dạng người gửi, xác nhận nội dung thư tín, ngăn chặn tình trạng phủ nhận quyền sở hữu thư tín và bảo đảm bí mật

40 www.viethanit.edu.vn 40

10/03/24

Trang 41

Hiện nay có hai phương pháp mã hóa

Trang 42

Mã hóa khóa đối xứng:

 Mã hóa đối xứng hay còn gọi là mã hóa khóa bí mật

là phương pháp mã hóa chỉ sử dụng 1 khóa cho cả quá trình mã hóa và quá trình giải mã

Người gửi mã khóa 1 thông điệp sau đó gửi thông điệp đã mã hóa và khóa bí mật đối xứng cho người nhận

Là phương pháp mã hóa duy nhất trước những năm 70

42

10/03/24

Trang 43

 Quá trình truyền tin sử dụng mã khóa đối xứng

Thông điệp đã đổi mã

(Mật mã nhận)

10/03/24

Trang 44

 Một số phương pháp mã hóa khóa đối xứng

Trang 45

 Nhược điểm của mã hóa đối xứng:

- Trao đổi khóa rất khó khăn

- Không kiểm tra được gian lận ở một trong hai bên

- Chỉ phù hợp với việc trao đổi thông tin diễn ra ở 2 người, không phù hợp với hệ thống lớn

- Tính toàn vẹn và bí mật của thông điệp có thể bị vi phạm nếu

mậ mã bị lộ trong quá trình chuyển giữa người gửi và người nhận

- Số lượng khóa lớn do phải tạo ra các mật mã riêng cho từng người nhận

10/03/24

Trang 46

 Công thức tính mã hóa khóa bí mật:

Trang 47

 Mã hóa khóa công khai:

Là phương pháp sử dụng 2 mã khóa trong quá trình mã hóa 1 khóa dùng để mã hóa và 1 khóa dùng để giải mã

2 khóa này có quan hệ về mặt thuật toán sao cho dữ liệu được mã hóa bằng khóa này sẽ được giải mã bằng khóa kia

10/03/24

Trang 48

Quá trình truyền tin sử dụng mã khóa công khai

Thông điệp đã đổi mã

(Mật mã nhận)

Mật mã gửi ( # Mật mã nhận)

10/03/24

Trang 49

 Mã hóa khóa công khai

 Mỗi người sử dụng có một cặp gồm 2 khóa, một khóa công khai và một khóa bí mật

Khóa công khai

 Được thông báo rộng rãi cho những người sử dụng khác trong hệ thống

 Dùng để mã hóa thông điệp hoặc kiểm tra chữ ký

Khóa bí mật

•Chỉ nơi giữ được biết

•Để giải mã thông điệp hoặc tạo chữ ký

10/03/24

Trang 50

Mã hóa sử dụng khóa công khai

Các khóa công khai

Nguyên

bản

đầu vào

Nguyên bản đầu ra

Bản mã truyền đi

Giải thuật

mã hóa

Giải thuật giải mã

Khóa công khai của Alice

Khóa riêng của Alice

Ted

Alice Mike

Joy

10/03/24

Trang 51

Các khóa công khai

Nguyên

bản

đầu vào

Nguyên bản đầu ra Bản mã

truyền đi

Giải thuật

mã hóa

Giải thuật giải mã

Khóa riêng của Bob

Khóa công khai của Bob

Ted

Bob Mike

Joy

Xác thực bằng khóa công khai 10/03/24

Trang 52

Ứng dụng của mã hóa khóa công khai

Mã hóa/giải mã

• Đảm bảo sự bí mật của thông tin

Chữ ký số

• Hỗ trợ xác thực văn bản

Trao đổi khóa

• Cho phép chia sẻ khóa phiên trong mã hóa đối xứng

10/03/24

Trang 53

Ưu điểm của mã hóa khóa công khai

 Khóa để mã hóa và giải mã riêng biệt nên khó bị lộ

(Chỉ 1 người biết khóa bí mật)

 Không cần phải trao đổi khóa

10/03/24

Trang 54

Nhược điểm của mã hóa khóa công khai

Trang 55

Hệ mã hóa RSA

 Đề xuất bởi Ron Rivest, Adi Shamir và Len Adleman (MIT) vào năm 1977

 Hệ mã hóa công khai phổ dụng nhất

 Là hệ mã hóa khối với mỗi khối là một số nguyên < n (Thường kích cỡ n là 1024 bit)

55

10/03/24

Trang 56

Mã hóa Ưu điểm Nhược điểm

Khóa đối xứng - Nhanh

- Dễ bổ sung vào phần cứng

Hai khóa giống nhau

- Khó phân phát khóa

- Không hỗ trợ sử dụng chữ ký số Khóa công khai - Dùng hai khóa khác nhau

- Tương đối dễ phân phát khóa

Trang 57

 Lựa chọn Mã hóa:

Xác định rõ mức độ cần thiết của dữ liệu và sự cần thiết đó kéo dài trong bao lâu

• Xác định rõ mức độ cần thiết của dữ liệu;

• Xác định rõ thời gian mà trong đó dữ liệu cần được bảo vệ an

toàn, hay nói cách khác là sự cần thiết của dữ liệu đó cần trong bao lâu (sau đó có thể hết giá trị)

10/03/24

Trang 58

 Giao thức thỏa thuận mã hóa

- Giao thức thỏa thuận mã hóa là quá trình các bên tham gia giao dịch trao đổi mã khóa, giao thức đặt ra qui tắc thông tin: loại thuật toán nào được sử dụng trong liên lạc

- Phong bì số hóa (digital envelope): là phương pháp mà thông

điệp được mã hóa bằng mã khóa bí mật sau đó mã khóa bí mật được mã hóa bằng mã khóa công cộng Sau đó sẽ được gửi toàn

bộ cho người nhận

10/03/24

Trang 59

Chữ ký điện tử là bất cứ âm thanh điện tử, ký hiệu hay quá

trình điện tử gắn với hoặc liên quan 1 cách logic với 1 văn bản điện tử khác theo 1 nguyên tắc nhất định và được người ký (hoặc có ý định ký) văn bản đó thực thi hoặc áp dụng

Chữ ký điện tử là 1 phương pháp mã khóa công cộng được

sử dụng phổ biến trong thương mại điện tử

10/03/24

3.1.2 Chữ ký điện tử

Tiêu đề	An ninh trong thương mại điện tử
Trường học	Việt Hạn IT University
Chuyên ngành	Thương mại điện tử
Thể loại	Chương
Năm xuất bản	2024

Định dạng
Số trang	72
Dung lượng	1,47 MB