Nghiên cứu mạng riêng ảo và ứng dụng trong thương mại điện tử

Với mục đích nghiên cứu về công nghệ mạng riêng ảo, đề từ đó ứng dụng vào thương mại điện tử, tạo hành lang an toàn cho các giao dịch thương mại điện tử luận văn sẽ gồm 3 chương cụ thể n

ĐẠI HỌC THÁI NGUYÊN

TRƯỜNG ĐẠI HỌC CNTT&TT -

PHẠM VĂN ĐOAN

NGHIÊN CỨU MẠNG RIÊNG ẢO VÀ

ỨNG DỤNG TRONG THƯƠNG MẠI ĐIỆN TỬ

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

THÁI NGUYÊN, NĂM 2012

ĐẠI HỌC THÁI NGUYÊN

TRƯỜNG ĐẠI HỌC CNTT&TT -

PHẠM VĂN ĐOAN

NGHIÊN CỨU MẠNG RIÊNG ẢO VÀ

ỨNG DỤNG TRONG THƯƠNG MẠI ĐIỆN TỬ

Chuyên ngành : Khoa học máy tính

MỞ ĐẦU

Với sự phát triển nhanh chóng của công nghệ thông tin và viễn thông, thế giới ngày càng thu nhỏ và trở nên gần gũi Nhiều công ty đang vượt qua ranh giới cục bộ và khu vực, vươn ra thị trường thế giới Nhiều doanh nghiệp có tổ chức trải rộng khắp toàn quốc thậm chí vòng quanh thế giới, và tất cả họ đều đối mặt với một nhu cầu thiết thực: một cách thức nhằm duy trì những kết nối thông tin kịp thời, an toàn và hiệu quả cho dù văn phòng đặt tại bất cứ nơi đâu

Bên cạnh đó các hoạt động giao dịch thương mại đã không còn chỉ là các giao dịch truyền thống, mà thay vào đó, một xu thế đang phát triển mạnh mẽ và phù hợp thời đại là các giao dịch thương mại điện tử Sự phát triển mạnh mẽ của thương mại điện tử sẽ mang đến cho xã hội một tiện ích vô cùng to lơn, khi đó các giao dịch sẽ diễn ra nhanh chóng, kịp thời và phù hợp trong khi người dùng chỉ cần ngồi

ngay tại nhà mình

Tuy nhiên các giao dịch thương mại điện tử chỉ có thể gọi là thành công nếu

nó đảm bảo được tính an toàn cho các giao dịch, nhất là các giao dịch này lại diễn ra trên môi trường internet – là môi trường luôn luôn tiềm ẩn rất nhiều nguy cơ mất an toàn dữ liệu Từ đây, ta thấy song song với việc phát triển của thương mại điện tử thì cẩn phải nghiên cứu giải quyết vấn đề an toàn thông tin trong mỗi giao dịch Nhận ra yêu cầu đó cùng với sự gợi ý của giáo viên hướng dẫn và dựa trên

những tìm hiểu của em, em chọn đề tài nghiên cứu “Nghiên cứu mạng riêng ảo và

ứng dụng trong thương mại điện tử”

Với mục đích nghiên cứu về công nghệ mạng riêng ảo, đề từ đó ứng dụng vào thương mại điện tử, tạo hành lang an toàn cho các giao dịch thương mại điện tử luận văn sẽ gồm 3 chương cụ thể như sau:

Chương 1: Khái quát về mạng riêng ảo và thương mại điện tử

Chương 2: Một số vấn đề về an toàn thông tin trong bài toán thỏa thuận ký

kết hợp đồng điện tử

Chương 3: Chương trình thực nghiệm

Do hạn chế về nhiều mặt nên Luận văn chắc chắn không tránh khỏi những thiếu xót, rất mong được sự đóng góp ý kiến của Thầy, Cô và các bạn để Luận văn được hoàn thiện hơn

Em xin chân thành cảm ơn thầy giáo, PGS TS Trịnh Nhật Tiến đã tận tình hướng dẫn và giúp đỡ em trong suốt quá trình hoàn thành luận văn Em cũng xin trân thành cảm ơn các thầy, cô, bạn bè cùng toàn thể người thân đã giúp đỡ và chỉ

bảo cho em trong thời gian thực hiện luận văn này

Chương 1 KHÁI QUÁT VỀ MẠNG RIÊNG ẢO VÀ THƯƠNG MẠI ĐIỆN TỬ

1.1 KHÁI QUÁT VỀ MẠNG RIÊNG ẢO

1.1.1 Khái niệm mạng riêng ảo

Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN

là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh tranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của Internet Trong thực tế, người ta thường nói tới hai khái niệm VPN đó là: mạng riêng ảo kiểu tin tưởng (Trusted VPN) và mạng riêng ảo an toàn (Secure VPN)

Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhà cung cấp dịch vụ viễn thông Mỗi mạch thuê riêng hoạt động như một đường dây trong một mạng cục bộ Tính riêng tư của trusted VPN thể hiện ở chỗ nhà cung cấp dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó Các mạng riêng xây dựng trên các đường dây thuê thuộc dạng “trusted VPN”

Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật

dữ liệu Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công cộng (ví dụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đó được giải mã dữ liệu tại phía thu Dữ liệu đã mật mã có thể coi như được truyền trong một đường hầm (tunnel) bảo mật từ nguồn tới đích Cho dù một kẻ tấn công có thể nhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năng đọc được vì dữ liệu đã được mật mã

Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở

hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật giống như mạng cục bộ

Router

Mạng riêng (LAN)

Mạng riêng (LAN)

Hình 1.1: Mô hình mạng riêng ảo

a) Chức năng

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality)

Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải

xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác

Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có

bất kỳ sự xáo trộn nào trong quá trình truyền dẫn

Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua

mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà không được phép Thậm chí nếu có lấy được thì cũng không đọc được

1.1.2 Phân loại mạng riêng ảo

Dựa vào những yêu cầu cơ bản mạng riêng ảo được phân làm ba loại:

 VPN truy nhập từ xa (Remote Access VPNs)

VPN truy nhập từ xa cung cấp cho các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập từ xa vào mạng của công ty tại mọi thời điểm tại bất cứ đâu có mạng Internet

VPN truy nhập từ xa cho phép mở rộng mạng công ty tới những người sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công

ty vẫn duy trì Loại VPN này có thể dùng để cung cấp truy nhập an toàn cho các thiết bị di động, những người sử dụng di động, các chi nhánh và những bạn hàng của công ty Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người

Mạng VPN cục bộ (Intranet VPN)

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng

mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là một VPN Site- to- Site

Hình 1.3: VPN cục bộ

Mạng VPN mở rộng (Extranet VPN)

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp…

Intranet

DSL cable

Extranet

Business-to-business

Router Internet

DSL

Hình 1.4: VPN mở rộng

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập

mạng được công nhận ở một trong hai đầu cuối của VPN

1.1.3 Các giáo thức đường hầm trong mạng riêng ảo

a) Giao thức định hướng L2F ( Layer 2 Forwarding)

Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển dựa trên giao thức PPP (Point-to-Point Protocol) L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet L2F là giao thức được phát triển sớm nhất, là phương pháp truyền thống để cho những người sử dụng ở xa truy cập vào một mạng công ty thông qua thiết bị truy cập từ xa L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên kết dữ liệu

Ưu nhược điểm của L2F

Ưu điểm:

- Cho phép thiết lập đường hầm đa giao thức

- Được cung cấp bởi nhiều nhà cung cấp

- Không có mã hoá

- Yếu trong việc xác thực người dùng

- Không có điều khiển luồng cho đường hầm

3) NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên vùng (domain name) hay nhận thực RADIUS để quyết định có hay không người sử dụng yêu cầu dịch

vụ L2F

4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ của gateway đích (home gateway)

5) Một đường hầm được thiết lập từ NAS tới gateway đích nếu giữa chúng chưa

có đường hầm nào Sự thành lập đường hầm bao gồm giai đoạn nhận thực từ ISP tới gateway đích để chống lại tấn công bởi những kẻ thứ ba

6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này tác động kéo dài phiên PPP từ người sử dụng ở xa tới home gateway Kết nối này được thiết lập như sau: Home gateway tiếp nhận các lựa chọn và tất cả thông tin nhận thực PAP/CHAP, như đã thoả thuận bởi đầu cuối người sử dụng và NAS Home gateway chấp nhận kết nối hay nó thoả thuận lại LCP và nhận thực lại người sử dụng

7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói và đóng gói lưu lượng vào trong một khung L2F và hướng nó vào trong đường hầm 8) Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được hướng tới mạng công ty

b) Giao thức PPTP (Point –to- Point Tunneling Protocol)

Giao thức đường hầm điểm–điểm PPTP được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP Forum Nhóm này bao gồm 3 công ty: Ascend comm., Microsoft, ECI Telematicsunication và US Robotic Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa (client) và mạng riêng Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa

phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ

Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing

Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX, NETBEUI

Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực PPTP

có thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mã hoá khác mạnh hơn đó là mã hoá điểm - điểm MPPE (Microsoft Point- to- Point Encryption) để sử dụng cho PPTP

Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết dữ liệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI Bằng cách hỗ trợ việc truyền

dữ liệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác

IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm

- Đóng gói dữ liệu đường hầm PPTP

Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói khung PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu

Cấu trúc gói dữ liệu đã được đóng gói

Tiêu đề IP

Tiêu đề GRE

Tiêu đề PPP

Tải PPP được

mã hoá (IP, IPX, NETBEUI)

Phần đuôi liên kết dữ liệu

- Xử lý và loại bỏ GRE Header và PPP Header

- Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết

- Xử lý phần payload để nhận hoặc chuyển tiếp

- Đường hầm

PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đuờng hầm khác nhau Người dùng có thể chỉ định điểm kết thúc của đường hầm ở ngay tại máy tính của mình nếu có cài PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗ trợ PPTP) Có hai lớp đường hầm: Đường hầm tự nguyên và đường hầm bắt buộc Đường hầm tự nguyện: được tạo ra theo yêu cầu của người dùng Khi sử dụng đường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầm bảo mật thông qua Internet và có thể truy cập đến một Host trên Internet bởi giao thức TCP/IP bình thường Đường hầm tự nguyện thường được sư dụng để cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet được gửi thông qua Internet Đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong suốt đối với người dùng Điểm kết thúc của đương hầm bắt buộc nằm ở máy chủ truy cập từ xa Tất cả dữ liệu truyền đi từ người dùng qua đường hầm PPTP đều phải thông qua RAS

Do đường hầm bắt buộc định trước điểm kết thúc và người dùng không thể truy cập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn so với đường hầm tự nguyện Nếu vì tính bảo mật mà không cho người dùng truy cập Internet công cộng thì đường hầm bắt buộc ngăn không cho họ truy cập Internet công cộng nhưng vẫn cho phép họ dùng Internet để truy cập VPN (nghĩa là chỉ cho truy cập và được các site trong VPN mà thôi)

Một ưu điểm nữa của đường hầm bắt buộc là một đuờng hầm có nhiều điểm kết nối Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa phiên làm việc Một khuyết điểm của đường hầm bắt buộc là kết nối từ RAS đến người dùng nằm ngoài đường hầm nên dễ bị tấn công

Sử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưu điểm đó là: Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người dùng và tính cước dựa vào số điện thoại, các phương thức xác thực khác như thẻ bài (token) hay thẻ thông minh (smart card)

- Xác thực người dùng quay số từ xa (RADIUS)

RADIUS (Remote Authentication Dial-In User Service) sử dụng kiểu client/ server để chứng nhận một cách bảo mật và quản trị các kết nối mạng từ xa của các người dùng trong các phiên làm việc RADIUS client/server sử dụng máy chủ truy cập mạng NAS để quản lý kết nối người dùng Ngoài chức năng của máy chủ truy cập mạng nó còn có một số chức năng cho RADIUS client NAS sẽ nhận dạng người dùng, thông in về mật khẩu rồi chuyển đến máy chủ RADIUS Máy chủ RADIUS sẽ trả lại trạng thái xác thực là chấp nhận hay từ chối dữ liệu cấu hình cho NAS để cung cấp dịch vụ cho người dùng RADIUS tạo một cơ sở dữ liệu tập trung

về người dùng, các loại dịch vụ sẵn có, một dải modem đa chủng loại Trong RADIUS thông tin người dùng được lưu trong máy chủ RADIUS

RADIUS hỗ trợ cho máy chủ Proxy, là nơi lưu giữ thông tin người dùng cho mục đích xác thực, cấp quyền và tính cước, nhưng nó không cho phép thay đổi dữ liệu người dùng Máy chủ Proxy sẽ định kỳ cập nhật cơ sở dữ liệu người dùng từ máy chủ RADIUS Để RADIUS có thể điều khiển việc thiết lập một đường hầm, nó cần phải lưu các thuộc tính của đường hầm Các thuộc tính này bao gồm: giao thức đường hầm được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyền dẫn trong đường hầm được sử dụng

Khi kết hợp đường hầm với RADIUS, có ít nhất 3 tuỳ chọn cho xác thực và cấp quyền:

 Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm

 Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm và cố gắng chuyển đáp ứng của RADIUS đến đàu xa của đường hầm

 Xác thực tại hai đầu của đường hầm

Tuỳ chọn thứ nhất có độ tin cậy rất kém do chỉ yêu cầu một mình ISP điều khiển tiến trình truy cập mạng Tuỳ chọn thứ hai có độ tin cậy trung bình, nó phụ thuộc cách RADIUS trả lời xác thực Tuỳ chọn thứ ba có độ tin cậy cao và làm việc tốt nếu như sử dụng máy chủ Proxy RADIUS

- Đường hầm kết nối LAN-LAN

Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay số kết nối vào một mạng riêng thông qua mạng Internet, những đường hầm kết nối LAN-LAN không được hỗ trợ Mãi đến khi Microsoft giới thiệu máy chủ định hướng và truy cập từ xa (Routing and Remote Access Server) cho NT server 4.0 thì mới hỗ trợ đường hầm kết nối LAN-LAN Kể từ đó các nhà cung cấp khác cũng đã cung cấp các máy chủ tương thích với PPTP có hỗ trợ đường hầm kết nối LAN-LAN

Đường hầm kết nối LAN-LAN diễn ra giữa hai máy chủ PPTP, giống như IPSec dùng 2 cổng nối bảo mật để kết nối 2 mạng LAN Tuy nhiên, do kiến trúc PPTP không có hệ thống quản lý khoá nên việc cấp quyền và xác thực được điều khiển bởi CHAP hoặc thông qua MS-CHAP Để tạo đường hầm giữa hai site, máy chủ PPTP tại mỗi site sẽ được xác thực bởi PPTP ở site kia Khi đó máy chủ PPTP trở thành client PPTP của máy chủ PPTP ở đầu bên kia và ngược lại, do đó một đường hầm tự nguyện được tạo ra giữa hai site

Internet

Máy chủ

Computer Computer

Mạng riêng đựoc bảo vệ

Máy chủ PPTP Computer

Hình 1.6: Kết nối LAN - LAN trong PPTP

Do đường hầm PPTP có thể được đóng gói bởi bất kỳ giao thức mạng nào được hỗ trợ (IP, IPX, NETBEUI), người dùng tại một site có thể truy cập vào tài nguyên tại site kia dựa trên quyền truy cập của họ Điều này có nghĩa là cần phải có site quản lý để đảm bảo người dùng tại một site có quyền truy cập vào site kia Trong Windows NT mỗi site sẽ có miền bảo mật riêng và các site phải thiết lập một mối quan hệ tin cậy giữa các miền để cho phép người dùng truy cập vào tài nguyên của các site

c) Giao thức L2TP ( Layer 2 Tunneling Protocol)

Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP

và L2F- chuyển tiếp lớp 2 PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tại IETF

Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng gói riêng cho việc truyền các gói ở lớp 2 Một điểm khác biệt chính giữa L2F và PPTP

là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trường vật lý khác Bởi vì GRE không sử dụng như giao thức đóng gói, nên L2F định nghĩa riêng cách thức các gói được điều khiển trong môi trường khác Nhưng nó cũng hỗ trợ TACACS+ và RADIUS cho việc xác thực Có hai mức xác thực người dùng: Đầu tiên ở ISP trước khi thiết lập đường hầm, Sau đó là ở cổng nối của mạng riêng sau khi kết nối được thiết lập

L2TP mang dặc tính của PPTP và L2F Tuy nhiên, L2TP định nghĩa riêng một giao thức đường hầm dựa trên hoạt động của L2F Nó cho phép L2TP truyền thông qua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM Mặc dù nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đường hầm Một mạng ATM hay frame Relay có thể áp dụng cho đường hầm L2TP

Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc NETBEUI Cũng giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay RADIUS

Mặc dù Microsoft đã làm cho PPTP trở nên cách chọn lựa phổ biến khi xây dựng VPN bằng cách hỗ trợ giao thức này sẵn có trong hệ điều hành Windows nhưng công ty cũng có kế hoạch hỗ trợ thêm L2TP trong Windows NT 4.0 và Windows 98

- Xử lý dữ liệu đường hầm L2TP trên nền IPSec

 Khi nhận được dữ liệu đường hầm L2TP trên nền IPSec, L2TP client hay L2TP server sẽ thực hiện các bước sau:

 Xử lý và loại bỏ header và trailer của lớp đường truyền dữ liệu

 Xử lý và loại bỏ IP header

 Dùng IPSec ESP Authentication để xác thực IP payload và IPSec ESP header

 Dùng IPSec ESP header để giải mã phần gói đã mật mã

 Xử lý UDP header và gửi gói L2TP tới lớp L2TP

 L2TP dùng Tunnel ID và Call ID trong L2TP header để xác định đường hầm L2TP cụ thể

 Dùng PPP header để xác định PPP payload và chuyển tiếp nó tới dúng

giao thức để xử lý

- Đường hầm L2TP

L2TP sử dụng những lớp đường hầm tương tự như PPTP, tuỳ theo người dùng sử dụng là client PPP hay client L2TP mà sử dụng đường hầm là tự nguyện hay bắt buộc

Đường hầm tự nguyện được tạo ra theo yêu cầu của người dùng cho mục đích cụ thể Khi sử dụng đường hầm tự nguyện thì người dùng có thể đồng thời

mở đường hầm bảo mật thông qua Internet, vừa có thể truy cập vào một host bất

kỳ trên Internet theo giao thức TCP/IP bình thường Điểm kết thúc của đường hầm

tự nguyện nằm ở máy tính người dùng Đường hầm tự nguyện thường được sử dụng để cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet gửi thông qua Internet

Đường hầm bắt buộc được tạo tự động không cần bất kỳ hành động nào từ phía nguời dùng và không cho phép người dùng chọn lựa Do đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong suốt đối với người dùng đầu cuối Đường hầm bắt buộc định trước điểm kết thúc, nằm ở LAC của ISP và nên kiểu đường hầm này điều khiển truy cập tốt hơn so với đường hầm tự nguyện Nếu như vì tính bảo mật mà không cho người dùng truy cập vào Internet công cộng nhưng vẫn cho phép dùng Internet để truy nhập VPN

Một ưu điểm của đường hầm bắt buộc là một đường hầm có thể tải nhiều kết nối, điều này làm giảm băng thông mạng cho các ứng dụng đa phiên làm việc Một

khuyết điểm của đường hầm bắt buộc là kết nối từ LAC đến người dùng nằm ngoài

đường hầm nên dễ bị tấn công

Mặc dù ISP có thể chọn cách thiết lập tĩnh để định nghĩa đường hầm cho

người dùng, nhưng điều này gây lãng phí tài nguyên mạng Có cách khác cho

phép sử dụng tài nguyên hiệu quả hơn bằng cách thiết lập đường hầm động

Những đường hầm động này được thiết lập trong L2TP bằng cách kết nối với

máy chủ RADIUS

Để RADIUS có thể điều khiển việc thiết lập một đường hầm thì nó cần phải

lưu các thuộc tính của đường hầm Các thuộc tính này bao gồm: giao thức đường

hầm được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyền

dẫn trong đường hầm được sử dụng Sử dụng máy chủ RADIUS để thiết lập đường

hầm bắt buộc có một số ưu điểm như:

 Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người dùng

 Tính cước thể dựa trên số điện thoại hoặc các phương thức xác thực khác

- Xác thực và mã hóa trong L2TP

Quá trình xác thực người dùng trong L2TP điễn ra trong 3 giai đoạn: giai đoạn 1

diễn ra tại ISP, giai đoạn 2 và giai đoạn 3 (tuỳ chọn) điễn ra ở máy chủ của mạng riêng

Trong giai đoạn đầu, ISP sử dụng số điện thoại của người dùng hoặc tên người

dùng để xác định dịch vụ L2TP được yêu cầu và khởi tạo kết nối đường hầm đến

máy chủ mạng riêng Khi đường hầm được thiết lập, LAC của ISP chỉ định một số

nhận dạng cuộc gọi (Call ID) mới để định danh cho kết nối trong đường hầm và

khởi tạo phiên bằng cách chuyển thông tin xác thực đến máy chủ của mạng riêng

Máy chủ của mạng riêng sẽ tiến hành tiếp bước thứ 2

Giai đoạn 2, máy chủ của mạng riêng quyết định chấp nhận hay từ chối cuộc

gói Cuộc goi từ ISP chuyển đến có thể mạng thông tin CHAP, PAP hay bất kỳ

thông tin xác thực nào, máy chủ sẽ dựa vào các thông tin này để quyết định chấp

nhận hay từ chối

Sau khi cuộc gọi được chấp nhận thì máy chủ có thể khởi động giai đoạn thứ 3

của quá trình xác thực (tại lớp PPP), đây là giai đoạn tuỳ chọn bước này xem như

máy chủ xác thực một người dùng quay số truy cập vào thẳng máy chủ Kết quả của

3 giai đoạn này cho phép người dùng, ISP và máy chủ của mạng riêng xác định được tính chính xác của cuộc gọi nhưng vẫn chưa bảo mật cho dữ liệu

Để việc xác thực trong L2TP hiệu quả thì cần phải phân phối khoá Mặc dù phân phối bằng tay có thể khả thi trong một số trường hợp nhưng về cơ bản thì cần phải có một giao thức quản lý khoá

d) Giao thức IPSec (IP Security)

Các giao thức nguyên thuỷ TCP/IP không bao gồm các đặc tính bảo mật vốn

có Trong giai đoạn đầu của Internet khi mà người dùng thuộc các trường đại học và các viện nghiên cứu thì vấn đề bảo mật dữ liệu không phải là vấn đề quan trọng như bây giờ khi mà Internet trở nên phổ biến, các ứng dụng thương mại có mặt khắp nơi trên Internet và đối tượng sử dụng Internet rộng hơn bao gồm cả các Hacker

Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao thức IPSec Họ giao thức IPSec đầu tiên được dùng cho xác thực, mã hoá các gói dữ liệu

IP, được chuẩn hoá thành các RFC từ 1825 đến 1829 vào năm 1995 Họ giao thức này mô tả kiến trúc cơ bản của IPSec bao gồm hai loại tiêu đề được sử dụng trong gói IP, gói IP là đơn vị dữ liệu cơ sở trong mạng IP IPSec định nghĩa 2 loại tiêu đề cho các gói IP để điều khiển quá trình xác thực và mã hoá: một là xác thực tiêu đề

IP – AH (IP Authentication Header) điều khiển việc xác thực và hai là đóng gói tải tin an toàn ESP (Encapsulation Security Payload) cho mục đích mã hoá

IPSec không phải là một giao thức Nó là một khung của các tập giao thức chuẩn mở cho phép những nhà quản trị mạng lựa chọn thuật toán, các khoá và phương pháp nhận thực để cung cấp sự xác thực dữ liệu, tính toàn vẹn dữ liệu, và sự tin cậy dữ liệu IPSec là sự lựa chọn cho bảo mật tổng thể các VPN, là phương án tối ưu cho mạng của công ty Nó đảm bảo truyền thông tin cậy trên mạng IP công cộng đối với các ứng dụng

IPsec tạo những đường hầm bảo mật xuyên qua mạng Internet để truyền những luồng dữ liệu Mỗi đường hầm bảo mật là một cặp những kết hợp an ninh để bảo vệ luồng dữ liệu giữa hai Host

IPSec được phát triển nhắm vào họ giao thức IP kế tiếp là IPv6, nhưng do việc triển khai IPv6 còn chậm và sự cần thiết phải bảo mật các gói IP nên IPSec đã được thay đổi cho phù hợp với IPv4 Việc hỗ trợ cho IPSec chỉ là tuỳ chọn của IPv4 nhưng đối với IPv6 thì có sẵn IPSec

- Khung giao thức IPSec

IPSec là khung của các chuẩn mở, được phát triển bởi IETF IPSec là tập hợp những tiêu chuẩn mở làm việc cùng nhau để thiết lập tính bảo mật, toàn vẹn dữ liệu

và nhận thực giữa các thiết bị ngang hàng Những điểm ngang hàng có thể là những cặp Host hay những cặp cổng nối bảo mật (những bộ định tuyến, những tường lửa, những bộ tập trung VPN …) hay có thể giữa một host và một cổng nối bảo mật, như trong VPN truy cập từ xa

Hai giao thức chính của IPSec là AH (Authentication Header) và ESP (Encapsulation Security Payload )

- AH: Cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói IP truyền giữa hai hệ thống Nó là một phương tiện để kiểm tra xem dữ liệu có bị thay đổi trong khi truyền không Do AH không cung cấp khả năng mật mã dữ liệu nên các dữ liệu đều được truyền dưới dạng bản rõ

- ESP: Là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu ESP đảm bảo tính bí mật của thông tin thông qua việc mật mã ở lớp IP Tất cả các lưu lượng ESP đều được mật mã giữa hai hệ thống

- Hoạt động của IPSec

Ta biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn với các dịch vụ bảo mật cần thiếtvà hoạt động của IPSec có thể chia thành 5 bước chính như sau:

A gửi lưu lượng cần bảo vệ tới B

 Router A và B thoả thuận một phiên trao đổi IKE Phase 1 IKE

SA ← IKE Phase → IKE SA

 Router A và B thoả thuận một phiên trao đổi IKE Phase 2 IPSec SA ← IKE Phase → IPSec SA

 Thông tin được truyền dẫn qua đường hầm IPSec

 Kết thúc đường hầm IPSec

Hình : 5 bước hoạt động của IPSec

Bước 1- Kích hoạt lưu lượng cần bảo vệ

Việc xác định lưu lượng nào cần được bảo vệ là một phần việc trong chính sách an ninh (Security Policy) của một mạng VPN Chính sách được sử dụng để quyết định lưu lượng nào cần được bảo vệ và không cần bảo vệ (lưu lượng ở dạng

bản rõ (clear text) không cần bảo vệ) Chính sách sau đó sẽ được thực hiện ở giao

diện của mỗi đối tác IPSec

Đối với mỗi gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: Dùng IPSec, cho qua IPSec, hoặc huỷ gói dữ liệu Đối với mọi gói dữ liệu được bảo vệ bởi IPSec, người quản trị hệ thống cần chỉ rõ các dịch vụ bảo mật được sử dụng cho gói dữ liệu Các cơ sở dữ liệu, chính sách bảo mật chỉ rõ các giao thức IPSec, các node, và các thuật toán được sử dụng cho luồng lưu lượng

Ví dụ, các danh sách điều khiển truy nhập (ACLs – Access Control Lists) của

các router được sử dụng để biết lưu lượng nào cần mật mã ALCs định nghĩa bởi các dòng lệnh

Chẳng hạn: - Lệnh Permit: Xác định lưu lượng phải được mật mã

- Lệnh deny: Xác định lưu lưọng phải được gửi đi dưới dạng không mật mã

Khi phát hiện ra lưu lượng cần bảo vệ thì một đối tác IPSec sẽ kích hoạt bước tiếp theo: Thoả thuận một trao đổi IKE Phase 1

Chế độ chính có 3 trao đổi hai chiều giữa bên khởi tạo và bên nhận:

- Trao đổi thứ nhất – Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các trao đổi thông tin IKE) sẽ được thoả thuận giữa các đối tác

- Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí mật chung (shared secret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của mỗi đối tác Khoá bí mật chung được sử dụng để tạo ra tất cả các khoá mật mã

và xác thực khác

- Trao đổi thứ ba – xác minh nhận dạng của nhau (xác thực đối tác) Kết quả chính của chế độ chính là một đường truyền thông an toàn cho các trao đổi tiếp theo của hai đối tác

Chế độ nhanh thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn) Hầu hết mọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính sách IKE; tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có thể sử dụng để xác định nhận dạng thông qua một bên thứ ba (third party) Bên nhận gửi trở lại mọi thứ cần thiết để hoàn thành (complete)việc trao đổi cuối cùng bên khởi tạo khẳng định (confirm) việc trao đổi

Bước 3 – IKE Phase 2

Mục đích của IKE Phase 2 là để thoả thuận các thông số bảo mật IPSec được

sử dụng để bảo mật đường hầm IPSec

Hình 1.8 : Thoả thuận các thông số bảo mật IPSec

IKE Phase 2 thức hiện các chức năng sau:

 Thoả thuận các thông số bảo mật IPSec (IPSec security parameters), các tập chuyển đổi IPSec (IPSec transform sets)

 Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations)

 Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đường hầm

 Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới được tạo ra, làm tăng tính an toàn của đường hầm)

IKE Phase 2 chỉ có một chế độ được gọi là: Quick Mode

Chế độ này diễn ra khi IKE đã thiết lập được đường hầm an toàn ở IKE Phase

1 IKE Phase 2 thoả thuận một tập chuyển đổi IPSec chung , tạo các khoá bí mật chung sủ dụng cho các thuật toán an ninh IPSec và thiết lập các SA IPSec Quick mode trao đổi các nonce mà được sử dụng để tạo ra khoá mật mã chung mới và ngăn cản các tấn công “Replay” từ việc tạo ra các SA khong có thật

Quick mode cũng được sử dụng để thoả thuận lại một SA IPSec mới khi SA IPSec

cũ đã hết hạn

Bước 4 – Đường hầm mật mã IPSec

Sau khi đã hoàn thành IKE Phase 2 và quick mode đã thiết lập các kết hợp an ninh IPSec SA, lưu lượng trao đổi giữa Host A và Host B thông qua một đường hầm an toàn Lưu lượng được mật mã và giải mã theo các thuật toán xác định trong IPSec SA

Hình 1.9: Đường hầm IPSec được thiết lập

Bước 5 – Kết thúc đường hầm

Hình 1.10: Kết thúc đường hầm

Các kết hợp an ninh IPSec SA kết thúc khi bị xoá hoặc hết hạn Một SA hết hạn khi lượng thời gian chỉ ra đã hết hoặc một số lượng byte nhất định đã truyền qua đường hầm Khi các SA kết thúc, các khoá cũng bị huỷ Lúc đó các IPSec SA mới cần được thiết lập, một IKE Phase 2 mới sẽ được thực hiện, và nếu cần thiết thì

sẽ thoả thuận một IKE Phase 1 mới Một hoả thuận thành công sẽ tạo ra cacSA và khoá mới Các SA mới được thiết lập trước các SA cũ hết hạn để đảm bảo tính liên tục của luồng thông tin

- Các vấn đề còn tồn đọng trong IPSec

Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết cho việc bảo mật một VPN thông qua mạng Internet nhưng nó vẫn còn trong giai đoạn phát triển để hướng tới hoàn thiện Tất cả các gói được sử lý theo IPSec sẽ làm tăng kích thước gói tin do phải thêm vào các tiêu đề IPSec làm cho thông lượng của mạng giảm xuống Điều này có thể được giải quyết bằng cách nén dữ liệu trước khi mã hóa, nhưng điều này chưa được chuẩn hóa

 IKE vẫn là công nghệ chưa được chứng minh Phương thức chuyển khoá bằng tay lại không thích hợp cho mạng có số lượng lớn các đối tượng di động

 IPSec được thiết kế chỉ để điều khiển lưu lượng IP mà thôi

 Việc tính toán cho nhiều giải huật trong IPSec vẫn cồn là một vấn đề đối với các trạm làm việc và máy PC cũ

 Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số nước

 Sử dụng IPSec ở chế độ dường hầm cho phép các nút có thể có những địa chỉ IP không hợp lệ nhưng vẫn có thể liên lạc được với các nút khác Nhưng khi chuyển xuống bảo mật mức Host thì các địa chỉ đó phải được quản lý

cẩn thận sao cho nhận dạng được nhau

1.1.4 Các thành phần cơ bản của mạng riêng ảo

Một VPN bao gồm hai thành phần chính đó là: tuyến kết nối đến Internet được cung cấp bởi ISP và phần mềm cũng như phần cứng để bảo mật dữ liệu bằng cách mã hoá trước khi truyền ra mạng Internet Các chức năng của VPN được thực

hiện bởi các bộ định tuyến, tường lửa và các phần cứng, phần mềm

Cấu trúc phần cứng chính của VPN bao gồm: Máy chủ VPN (VPN servers), máy khách VPN (VPN clients) và một số thiết bị phần cứng khác như: Bộ định tuyến VPN (VPN routers), cổng kết nối VPN (VPN Gateways) và bộ tập trung (Concentrator)

a) Máy chủ mạng riêng ảo

Nhìn chung, Máy chủ VPN là thiết bị mạng dành riêng để chạy phần mềm máy chủ (Software servers) Dựa vào những yêu cầu của công ty, mà một mạng VPN

có thể có một hay nhiều máy chủ Bởi vì mỗi máy chủ VPN phải cung cấp dịch vụ cho các máy khách (VPN client) ở xa cũng như các máy khách cục bộ, đồng thời các máy chủ luôn luôn sãn sàng thực hiện những yêu cầu truy nhập từ các máy khách

Những chức năng chính của máy chủ VPN bao gồm:

 Tiếp nhận những yêu cầu kết nối vào mạng VPN

 Dàn xếp các yêu cầu và các thông số kết nối vào mạng như là: cơ chế của các quá trình bảo mật hay các quá trình xác lập

 Thực hiện các quá trình xác lập hay quá trình bảo mật cho các máy khách VPN

 Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu về máy khách

 Máy chủ VPN hoạt động như là một điểm cuối trong đường ngầm kết nối trong VPN Điểm cuối còn lại được xác lập bởi người dùng cuối cùng

Một máy chủ VPN cũng có thể hoạt động như là một cổng kết nối (Gateway) hay như một bộ định tuyến (Router) trong trưòng hợp số yêu cầu hoặc số người dùng trong mạng nhỏ (Nhỏ hơn 20) Trong trường hợp máy chủ VPN phải hỗ trợ nhiều người sử dụng hơn, mà vẫn hoạt động như một cổng kết nối hoặc một bộ định tuyến thì máy chủ VPN sẽ bị chạy chậm hơn, và gặp khó khăn trong vấn đề bảo mật thông tin cũng như bảo mật dữ liệu lưu trữ trong máy chủ.

b) Máy khách mạng riêng ảo

Máy khách VPN là thiết bị ở xa hay cục bộ, khởi đầu cho một kết nối tới máy chủ VPN và đăng nhập vào mạng từ xa, sau khi chúng được phép xác lập tới điểm cuối ở xa trên mạng Chỉ sau khi đăng nhập thành công thì máy khách VPN

và máy chủ VPN mới có thể truyền thông được với nhau Nhìn chung, một máy khách VPN có thể được dựa trên phần mềm Tuy nhiên, nó cũng có thể là một thiết

bị phần cứng dành riêng

Đặc trưng của máy khách VPN gồm:

 Những người làm việc ở xa sử dụng mạng Internet hoặc mạng công cộng

để kết nối đến tài nguyên của công ty từ nhà

 Những người dùng di động sử dụng máy tính xách tay để kết nối vào mạng cục bộ của công ty thông qua mạng công cộng, để có thể truy cập vào hòm thư điện tử hoặc các nguồn tài nguyên trong mạng mở rộng

 Những người quản trị mạng từ xa, họ dùng mạng công cộng trung gian, như là mạng Internet, để kết nối tới những site ở xa để quản lý, giám sát, sửa chữa hoặc cài đặt dịch vụ hay các thiết bị

Internet

Bộ tập trung truy cập của ISP

Máy khách tại nhà

Hình 1.11 : Đặc trưng của máy khách VPN

c) Bộ định tuyến mạng riêng ảo

Trong trường hợp thiết lập một mạng VPN nhỏ, thì máy chủ VPN có thể đảm nhiệm luôn vai trò của bộ định tuyến Tuy nhiên, trong thực tế thì cách thiết lập đó không hiệu quả trong trường hợp mạng VPN lớn - mạng phải đáp ứng một số lượng lớn các yêu cầu Trong trường hợp này, sử dụng bộ định tuyến VPN riêng là cần thiết Nhìn chung, bộ định tuyến là điểm cuối của một mạng riêng trừ khi nó được đặt sau

“bức tường lửa” (Firewall) Vai trò của bộ định tuyến VPN là tạo kết nối từ xa có thể đạt được trong mạng cục bộ Do vậy, bộ định tuyến là thiết bị chịu trách nhiệm chính trong việc tìm tất cả những đường đi có thể, để đến được nơi đến trong mạng, và chọn

ra đường đi ngắn nhất có thể, cũng giống như trong mạng truyền thống

d) Bộ tập trung mạng riêng ảo

Bộ tập trung VPN (VPN concentrators) được sử dụng để thiết lập một mạng VPN truy cập từ xa có kích thước nhỏ Ngoài việc làm tăng công suất và số lượng của VPN, thiết bị này còn cung cấp khả năng thực hiện cao và năng lực bảo mật cũng như năng lực xác thực cao Ví dụ như bộ tập trung sêri 3000 và 5000 của Cisco hay bộ tập trung VPN của Altiga là các bộ tập trung được sử dụng khá phổ biến

e) Cổng kết nối

Cổng kết nối IP là thiết bị biên dịch những giao thức không phải là giao thức

IP sang giao thức IP và ngược lại Như vậy, những cổng kết nối này cho phép một mạng riêng hỗ trợ chuyển tiếp dựa trên giao thức IP Những thiết bị này có thể là những thiết bị mạng dành riêng, nhưng cũng có thể là giải pháp dựa trên phần mềm Với thiết bị phần cứng, cổng kết nối IP nói chung được thiết lập ở biên của mạng cục bộ của công ty Còn là giải pháp dựa trên phần mềm, thì cổng kết nối IP được cài đặt trên mỗi máy chủ và được sử dụng để chuyển đổi các lưu lượng từ giao thức không phải là giao thức IP sang giao thức IP và ngược lại Ví dụ như phần mềm Novell’s Border Manager

Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) được đặt giữa mạng công cộng và mạng riêng nhằm nhăn chặn xâm nhập trái phép vào mạng riêng Cổng kết nối VPN có thể cung cấp những khả năng tạo đường hầm và

mã hoá dữ liệu riêng trước khi được chuyển đến mạng công cộng

1.2 THƯƠNG MẠI ĐIỆN TỬ VÀ MỘT SỐ BÀI TOÁN TRONG THƯƠNG MẠI ĐIỆN TỬ

1.2.1 Khái niệm thương mại điện tử

Ngày nay, Khi Internet phát triển mạnh mẽ và ngày càng trở nên phổ cập, thì khái niệm TMĐT (E- commerce) không còn xa lạ với dân cư mạng nói riêng, và toàn

xã hội nói chung Đó là quá trình mua bán hàng hóa hay dịch vụ thông qua việc truyền

dữ liệu giữa các máy tính trong chính sách phân phối tiếp thị thông qua mạng internet

Bao gồm tất cả các loại giao dịch thương mại trong đó tất cả các đối tác thương mại dùng kỹ thuật công nghệ thông tin

Cùng với sự phát triển của Internet và world wide web, TMĐT ra đời và ngày càng phát triển, ngày càng khẳng định vị thế của nó trong đời sống xã hội Và

nó ngày càng có những tác động to lớn trong đời sống của con người Trong hoạt động thương mại, TMĐT góp những vai trò đáng kể:

Với doanh nghiệp:

TMĐT xuất hiện và phát triển, giúp cho các doanh nghiệp có thể tương tác với nhau hay tìm kiếm khách hàng nhanh hơn, tiện lợi hơn với một chi phí thấp hơn nhiều so với thương mại truyền thống TMĐT làm cho việc cạnh tranh toàn cầu phát triển, và sự tiện lợi trong việc so sánh giá cả khiến cho những người bán lẻ hưởng chênh lệch giá ít hơn Từ khi TMĐT ra đời, nó tạo điều kiện cho các doanh nghiệp vừa và nhỏ và các doanh nghiệp ở các nước mới phát triển có thể cạnh tranh với cách doanh nghiệp lớn Nó giúp cách doanh nghiệp có thể giới thiệu hàng hóa đến khách hàng một cách tự động, nhanh chóng nhất, nó giúp giảm chi phí liên lạc, giao dịch, chi phí marketing

Với người tiêu dùng:

TMĐT giúp người mua có thể tìm hiểu, nghiên cứu các thông số hàng hóa và các dịch vụ kèm theo sản phẩm một cách tiện lợi nhất, nhanh nhất Họ có thể so sánh hàng hóa cũng như giá cả của hàng hóa để đưa ra quyết định lựa chọn hợp lý nhất, ở đó, họ có thể mùa hàng hóa với giá cả thấp nhất hợp lý nhất có thể

TMĐT giúp người tiêu dùng có thể dễ dàng đưa ra những yêu cầu đặc biệt của mình cho các nhà doanh nghiệp đáp ứng, họ có thể giam gia đầu giá trực tuyến

trên toàn cầu hay cũng có thể liên lạc với những người tiêu dùng khác có cùng nhu cầu với mình để mua hàng theo lô với giá rẻ hơn Internet cách mạng hoá marketing bán lẻ và marketing trực tiếp Người tiêu dùng có thể mua sắm bất cứ sản phẩm nào của nhà sản xuất và những nhà bán lẻ trên khắp thế giới… Tất cả đều được thực hiện ngay tại nhà

Với ngành ngân hàng và các ngành dịch vụ khác:

Khi TMĐT phát triển, ngành ngân hàng, ngành giáo dục, tư vấn, thiết kế, marketting và rất nhiều những dịch vụ tương ứng đã và đang thay đổi rất nhiều về cách thức, chất lượng dịch vụ Ngành ngân hàng từ giữ tiền truyền thống, đã chuyển sang lưu trữ, giao dịch và quản lý đồng tiền số dựa vào internet và TMĐT

Ngày càng nhiều doanh nghiệp và người tiêu dùng từ nhiều quốc gia khác nhau tham gia vào TMĐT, Doanh thu từ TMĐT ngày càng chiếm tỷ trọng lớn trong doanh thu thương mại Ngành quảng cáo trực tuyến mang lại những lợi nhuận khổng lồ cho doanh nghiệp cũng như cho chính phủ TMĐT ngày càng có những tác động to lớn

Thứ nhất, nó phá vỡ giới hạn không gian và thời gian kinh doanh

Thứ hai, TMĐT tạo mối quan hệ trực tiếp giữa nhà cung cấp với người tiêu dùng

Thứ ba, TMĐT làm giảm đáng kể sự phỏng đoán: Thương mại trong xã hội

công nghiệp truyền thống thường được xây dựng trên một thế giới – sự phỏng đoán Nói một cách khác đại ký và người bán lẻ đều tham gia vào việc phỏng đoán: khách hàng muốn cái gì?

Thứ tư, tạo lên một sự lựa chọn phong phú, và các yêu cầu phong phú đa

dạng hơn: Khách hàng có thể đưa ra yêu cầu những cái mà họ muốn có, và những yêu cầu đó có thể được đáp ứng

Thứ năm, tác động của bất động sản đối với kinh doanh giảm đáng kể: Với

TMĐT, chúng ta đã chuyển vào xã hội mạng, Các giao dịch sẽ dựa vào hệ thống giao nhận trực tiếp và số lượng những người trung gian sẽ giảm đi rất nhiều

Thứ sáu, thương mại quốc tế giữa các cá nhân ngày càng phát triển hơn

Thứ bảy, Cuộc cách mạng tiếp thị của các sản phẩm và dịch vụ số hóa ngày

càng phát triển mạnh

Thứ tám, TMĐT tạo sức mạnh cải tổ gây ra biến đối của ngân hàng truyền thống

Thứ chín, Cước viễn thông sẽ là khoản thu lớn nhất của chính phủ

Thứ mười, TMĐT phát triển, các luật mới cũng cần được phát triển và ban hành

1.2.2 Các mô hình thương mại điện tử

Thương mại điện tử được phân chia thành một số loại cơ bản sau dựa trên thành phần tham gia hoạt động thương mại:

 B2C (Business-To-Customers) thành phần tham gia hoạt động thương mại gồm người bán là doanh nghiệp và người mua là người tiêu dùng

 B2B (Business-To-Business) thành phần tham gia hoạt động thương mại là các doanh nghiệp, tức người mua và người bán đều là doanh nghiệp

 B2G (Business-To- Government ) Doanh nghiệp với chính phủ

 B2E (Business-To-Employee) Doanh nghiệp với nhân viên

 C2C (Customers-To-Customers) thành phần tham gia hoạt động thương mại

là các cá nhân, tức người mua và người bán đều là cá nhân

 C2B (Customers-To-Business) Người tiêu dùng với doanh nghiệp

 C2G (Customers-To- Government) Người tiêu dùng với chính phủ

 G2C (Government -To-Customers) Chính phủ với người tiêu dùng

 G2B (Government -To-Business) Chính phủ với doanh nghiệp

 G2G (Government -To- Government) Chính phủ với chính phủ

1.2.3 Đặc trưng và lợi ích của thương mại điện tử

Thương mại truyền thống đã có từ rất lâu đời So với thương mại truyền thống, TMĐT có một số điểm khác biệt cơ bản sau:

 Các bên tiến hành giao dịch trong TMĐT không tiếp xúc trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước

 Các giao dịch thương mại truyền thống được thực hiện với sự tồn tại của khái niệm biên giới quốc gia, còn TMĐT được thực hiện trong một thị trường không

có biên giới (thị trường thống nhất toàn cầu) TMĐT trực tiếp tác động tới môi trường cạnh tranh toàn cầu

 Trong hoạt động giao dịch TMĐT đều có sự tham ra của ít nhất ba chủ thể, trong đó có một bên không thể thiếu được là người cung cấp dịch vụ mạng, các

cơ quan chứng thực

 Đối với thương mại truyền thống thì mạng lưới thông tin chỉ là phương tiện để trao đổi dữ liệu, còn đối với TMĐT thì mạng lưới thông tin chính là thị trường

a) Lợi ích đối với doanh nghiệp

Mở rộng thị trường: Với chi phí đầu tư nhỏ hơn nhiều so với thương mại

truyền thống, các công ty có thể mở rộng thị trường, tìm kiếm, tiếp cận người cung cấp, khách hàng và đối tác trên khắp thế giới Việc mở rộng mạng lưới nhà cung cấp, khách hàng cũng cho phép các tổ chức có thể mua với giá thấp hơn và bán được nhiêu sản phẩm hơn

- Giảm chi phí sản xuất: Giảm chi phí giấy tờ, giảm chi phí chia xẻ thông tin,

chi phí in ấn, gửi văn bản truyền thống

- Cải thiện hệ thống phân phối: Giảm lượng hàng lưu kho và độ trễ trong

phân phối hàng Hệ thống cửa hàng giới thiệu sản phẩm được thay thế hoặc hỗ trợ bởi các showroom trên mạng, ví dụ ngành sản xuất ô tô (Ví dụ như Ford Motor) tiết kiệm được chi phí hàng tỷ USD từ giảm chi phí lưu kho

- Vượt giới hạn về thời gian: Việc tự động hóa các giao dịch thông qua Web

và Internet giúp hoạt động kinh doanh được thực hiện 24/7/365 mà không mất thêm nhiều chi phí biến đổi

- Sản xuất hàng theo yêu cầu: Còn được biết đến dưới tên gọi “Chiến

lược kéo”, lôi kéo khách hàng đến với doanh nghiệp bằng khả năng đáp ứng mọi nhu cầu của khách hàng Một ví dụ thành công điển hình là Dell Computer Corp

- Mô hình kinh doanh mới: Các mô hình kinh doanh mới với những lợi thế

và giá trị mới cho khách hàng Mô hình của Amazon.com, mua hàng theo nhóm hay đấu giá nông sản qua mạng đến các sàn giao dịch B2B là điển hình của những thành công này

- Tăng tốc độ tung sản phẩm ra thị trường: Với lợi thế về thông tin và khả

năng phối hợp giữa các doanh nghiệp làm tăng hiệu quả sản xuất và giảm thời gian tung sản phẩm ra thị trường

- Giảm chi phí thông tin liên lạc:

- Giảm chi phí mua sắm: Thông qua giảm các chi phí quản lý hành chính

(80%); giảm giá mua hàng (5-15%)

- Củng cố quan hệ khách hàng: Thông qua việc giao tiếp thuận tiện qua

mạng, quan hệ với trung gian và khách hàng được củng cố dễ dàng hơn Đồng thời việc cá biệt hóa sản phẩm và dịch vụ cũng góp phần thắt chặt quan hệ với khách hàng và củng cố lòng trung thành

- Thông tin cập nhật: Mọi thông tin trên web như sản phẩm, dịch vụ, giá cả

đều có thể được cập nhật nhanh chóng và kịp thời

- Chi phí đăng ký kinh doanh: Một số nước và khu vực khuyến khích bằng

cách giảm hoặc không thu phí đăng ký kinh doanh qua mạng Thực tế, việc thu nếu triển khai cũng gặp rất nhiều khó khăn do đặc thù của Internet

- Các lợi ích khác: Nâng cao uy tín, hình ảnh doanh nghiệp; cải thiện

chất lượng dịch vụ khách hàng; đối tác kinh doanh mới; đơn giản hóa và chuẩn hóa các quy trình giao dịch; tăng năng suất, giảm chi phí giấy tờ; tăng khả năng tiếp cận thông tin và giảm chi phí vận chuyển; tăng sự linh hoạt trong giao dịch và hoạt động kinh doanh

b) Lợi ích đối với người tiêu dùng

- Vượt giới hạn về không gian và thời gian: Thương mại điện tử cho phép

khách hàng mua sắm mọi nơi, mọi lúc đối với các cửa hàng trên khắp thế giới

- Nhiều lựa chọn về sản phẩm và dịch vụ: Thương mại điện tử cho phép

người mua có nhiều lựa chọn hơn vì tiếp cận được nhiều nhà cung cấp hơn

- Giá thấp hơn: Do thông tin thuận tiện, dễ dàng và phong phú hơn nên

khách hàng có thể so sánh giá cả giữa các nhà cung cấp thuận tiện hơn và từ đó tìm được mức giá phù hợp nhất

- Giao hàng nhanh hơn với các hàng hóa số hóa được: Đối với các sản

phẩm số hóa được như phim, nhạc, sách, phần mềm việc giao hàng được thực hiện dễ dàng thông qua Internet

- Thông tin phong phú, thuận tiện và chất lượng cao hơn: Khách

hàng có thể dễ dàng tìm được thông tin nhanh chóng và dễ dàng thông qua các công cụ tìm kiếm (search engines); đồng thời các thông tin đa phương tiện (âm thanh, hình ảnh)

- Đấu giá: Mô hình đấu giá trực tuyến ra đời cho phép mọi người đều có thể

tham gia mua và bán trên các sàn đấu giá và đồng thời có thể tìm, sưu tầm những món hàng mình quan tâm tại mọi nơi trên thế giới

- Cộng đồng thương mại điện tử: Môi trường kinh doanh thương mại điện tử

cho phép mọi người tham gia có thể phối hợp, chia xẻ thông tin và kinh nghiệm hiệu quả và nhanh chóng

- “Đáp ứng mọi nhu cầu”: Khả năng tự động hóa cho phép chấp nhận

các đơn hàng khác nhau từ mọi khách hàng

- Thuế: Trong giai đoạn đầu của thương mại điện tử, nhiều nước

khuyến khích bằng cách miến thuế đối với các giao dịch trên mạng

c) Lợi ích đối với xã hội

 Hoạt động trực tuyến: Thương mại điện tử tạo ra môi trường để làm

việc, mua sắm, giao dịch từ xa nên giảm việc đi lại, ô nhiễm, tai nạn

 Nâng cao mức sống: Nhiều hàng hóa, nhiều nhà cung cấp tạo áp lực giảm giá do

đó khả năng mua sắm của khách hàng cao hơn, nâng cao mức sống của mọi người

 Lợi ích cho các nước nghèo: Những nước nghèo có thể tiếp cận với các sản phẩm,

dịch vụ từ các nước phát triển hơn thông qua Internet và thương mại điện tử Đồng thời cũng có thể học tập được kinh nghiệm, kỹ năng được đào tạo qua mạng

giáo dục, các dịch vụ công của chính phủ được thực hiện qua mạng với chi phí thấp hơn, thuận tiện hơn Cấp các loại giấy phép qua mạng, tư vấn y tế là các

ví dụ thành công điển hình

1.2.4 Các quy trình và bài toán cơ bản trong thương mại điện tử

Trong thương mại điện tử có nhiều quy trình phức tạp và mỗi quy trình có đặc trưng riêng Theo mỗi quy trình sẽ có một bài toán về an toàn thông tin cho từng quy trình Tuy nhiên có thể đưa ra ba quy trình và bài toán cơ bản nhất trong thương mại điện tử:

a) Quy trình quảng bá hàng hóa

Quảng bá, giới thiệu sản phẩm là khâu đầu tiên trong quy trình thương mại

và nó đươc xem là một trong những khâu mấu chốt trong dây truyền sản xuất, có tính cạnh tranh và quyết định cho sản phẩm Sự xuất hiện của Internet đã đem lại nhiều lợi ích như chi phí thấp để truyền tải thông tin đến số lượng lớn đối tượng tiếp nhận, thông điệp được truyền tải dưới nhiều hình thức khác nhau như văn bản, hình ảnh, âm thanh

Bài toán đặt ra ở đây là : đảm bảo toàn vẹn thông tin quảng cáo và bảo vệ bản quyền sở hữu trí tuệ

b) Quy trình thỏa thuận ký kết hợp đồng

Trong thương mại điện tử, khi khách hàng đã xem và lựa chọn hàng hóa thì bước tiếp theo là thỏa thuận ký kết hợp đồng với nhà cung cấp Đây là quy trình thứ

2 trong các quy trình thương mại điện tử Tại quy trình này, khách hàng và nhà cung cấp sẽ thỏa thuận các điều kiện trong hợp đồng do nhà cung cấp đã soạn sẵn Khi khách hàng có yêu cầu về thay đổi điều khoản hợp đồng thì sẽ có sự tương tác giữa hai bên để đạt được thỏa thuận chung để tiếp tục thực hiện ký kết và sang quy trình thanh toán tiếp theo

Bài toán đặt ra là bảo mật thông tin hợp đồng trực tuyến, bảo đảm tính toàn vẹn thông tin hợp đồng trực tuyến, đảm bảo tính xác thực và chống chối bỏ hợp đồng giao dịch

c) Quy trình thanh toán và trao chuyển hàng hóa

Đây là quy trình cuối cùng trong chuỗi quy trình của thương mại điện tử Tại quy trình này khách hàng thanh toán tiền thông qua các thông điệp điện tử thay cho việc trao tay tiền mặt

Bài toán đặt ra là bảo mật cho thông tin thẻ tín dụng, xác thực định danh, giả danh đồng tiền số và đồng tiền tiêu nhiều lần

Chương 2 MỘT SỐ VẤN ĐỀ VỀ AN TOÀN THÔNG TIN TRONG BÀI TOÁN THỎA THUẬN KÝ KẾT HỢP ĐỒNG ĐIỆN TỬ

Việc thỏa thuận hợp đồng thương mại gồm hai giai đoạn là đàm phán hợp đồng và ký kết hợp đồng Đàm phán hợp đồng là thực hiện một hoặc nhiều cuộc đối thoại, thương lượng giữa 2 bên hoặc nhiều bên có ý muốn quan hệ đối tác với nhau, nhằm tiến đến một thoả thuận chung, đáp ứng yêu cầu cá nhân hoặc yêu cầu hợp tác kinh doanh của các bên tham gia đàm phán

Ký kết hợp đồng là ký xác nhận các nội dung đã đàm phán thỏa thuận ở trên,

từ đó bản hợp đồng có hiệu lực

Với Internet việc thỏa thuận hợp đồng giảm được nhiều thời gian trao đổi giữa doanh nghiệp với doanh nghiệp đối tác cũng như các khách hàng của họ Cũng giống như thỏa thuận hợp đồng thương mại truyền thống các vấn đề đàm phán, thỏa thuận, ký kết đều phải tuân theo luật thương mại

Ngoài những vấn đề nảy sinh như trong thỏa thuận hợp đồng thông thường, thỏa thuận hợp đồng trực tuyến còn có những vấn đề khác như những vấn đề an toàn thông tin trong giao dịch: xác minh nguồn gốc giao dịch, đảm bảo bí mật, toàn vẹn thông tin thỏa thuận ký kết hợp đồng, chống chối bỏ giao dịch Ngoài ra trong thỏa thuận hợp đồng còn có một số bài toán đặc trưng riêng, trong phần này sẽ đề cập đến

2.1 BẢO MẬT THÔNG TIN HỢP ĐỒNG TRỰC TUYẾN

2.1.1 Bài toán

Trong thỏa thuận hợp và ký kết hợp đồng điện tử, việc bảo đảm bí mật thông tin của hợp đồng, của nhà cung cấp cũng như của khách hàng là vấn đề vô cùng quan trọng Đây là một yêu cầu đầu tiên trong quy trình thỏa thuận ký kết hợp đồng điện tử Bởi việc thông tin hợp đồng cũng như thông tin về khách hàng không được bảo mật tốt sẽ dẫn đến việc sử dụng các thông tin đó vào các mục đích không chính đáng hoặc sử dụng trái phép Ví dụ khi hệ thống bị hacker tấn công, nếu thông tin hợp đồng, mà cụ thể là về thông tin cá nhân của khách hàng bị đánh cắp thì rất có

thể nó sẽ bị dùng để lấy cắp các tài khoản thanh toán, hoặc sử dụng để tham gia các hoạt động mua bán phi pháp Quan trọng hơn là hệ thống đã để bị mất tính bảo mật của dữ liệu cũng như vi phạm đến tính riêng tư của các cá nhân, tổ chức là khách hàng – người mà đã cung cấp cho hệ thống của nhà cung cấp dịch vụ thông tin đó Qua đây có thể thấy vấn đề bảo mật cho dữ liệu trong thỏa thuận ký kết hợp đồng điện tử là vô cùng quan trọng, nó mang tính chất sống còn cho một hệ thống thương mại điện tử Điều này yêu cầu cần có giải pháp để giải quyết được vấn đề bảo mật thông tin trong ký kết hợp đồng trực tuyến Giải pháp sử dụng công cụ bảo mật trong công nghệ mạng riêng ảo sẽ đảm bảo được sự an toàn cho thông tin hợp đồng trực tuyến

2.1.2 Công cụ bảo mật dữ liệu trong mạng riêng ảo

Trong công nghệ mạng riêng ảo, kỹ thuật đường hầm (tunnel) đã sử dụng các thuật toán mã hóa để bảo mật dữ liệu “lưu thông bên trong” đường hầm Mã hoá được thực hiện dựa trên hai thành phần: đó là một thuật toán và một khoá Một thuật toán mã hoá là một chức năng toán học nối phần văn bản hay các thông tin dễ hiểu với một chuỗi các số gọi là khoá để tạo ra một văn bản mật mã khó hiểu

Có nhiều kiểu thuật toán mã hoá khác nhau được sử dụng Tuy nhiên, có hai kiểu thuật toán mã hoá sử dụng khoá được sử dụng phổ biến đó là: thuật toán mã hoá khoá bí mật (secret key) hay còn gọi là mã hoá đối xứng (symmetric) và thuật toán mã hoá khóa công khai (Public key)

a) Thuật toán mã hoá khoá bí mật (hay đối xúng)

Ecryption Message

Clear

Message

Clear Message

Shared Secret Key

Shared Secret Key

Hình 2.1 : Mã hoá khoá bí mật hay đối xứng

Thuật toán đối xứng được định nghĩa là một thuật toán khoá chia sẻ sử dụng

để mã hoá và giải mã một bản tin Các thuật toán mã hoá đối xứng sử dụng chung một khoá để mã hoá và giải mã bản tin, điều đó có nghĩa là cả bên gửi và bên nhận

đã thoả thuận, đồng ý sử dụng cùng một khoá bí mật để mã hoá và giải mã

Khi ta có nhiều sự trao đổi với N người khác nhau thì ta phải giữ và dấu N khoá bí mật với mỗi khoá được dùng cho mỗi sự trao đổi

Ưu điểm của mã hoá khoá đối xứng:

- Thuật toán này mã hoá và giải mã rất nhanh, phù hợp với một khối lượng lớn thông tin

- Chiều dài khoá từ 40÷168 bit

- Các tính toán toán học dễ triển khai trong phần cứng

- Người gửi và người nhận chia sẻ chung một mật khẩu

Cơ chế mã hoá đối xứng nảy sinh vấn đề đó là:

- Việc nhận thực bởi vì đặc điểm nhận dạng của một bản tin không thể chúng minh được

- Do hai bên cùng chiếm giữ một khoá giống nhau nên đều có thể tạo và mã hoá và cho là người khác gửi bản tin đó Điều này gây nên cảm giác không tin cậy

về nguồn gốc của bản tin đó

Một số thuật toán đối xứng như DES (Data Encryption Standard) có độ dài khoá là 56 bit, 3DES có độ dài khoá là 168 bit và AES (Advanced Encryption Standard) có độ dài khoá là 128 bit, 256 bit hoặc 512 bit Tất cả các thuật toán này

sử dụng cùng một khoá để mã hoá và giải mã thông tin

Thuật toán DES (Data Encryption Standard)

Chuẩn mật mã dữ liệu DES được đưa ra từ năm 1977 tại Mỹ và đã được sử dụng rộng rãi DES là cơ sở để xây dựng thuật toán tiên tiến hơn là 3DES Hiện nay DES vẫn được sử dụng cho những ứng dụng không đòi hỏi tính an toàn cao, và khi chuẩn mật mã AES chưa chính thức thay thế nó

Key (64 bít)

Round 1

Paintext Block (64 bit) Hoán vị khởi tạo

(IP)

Round 2

Round 16

Bỏ Parity (56 bit)

Hoán vị đảo (RP)

Ciphertext Block (64 bits)

Hình 2.2 : Sơ đồ thuật toán DES

DES là sự kết hợp của hai kỹ thuật cơ bản trong mật mã là xáo trộn (confusion) và xếp lại (defusion) Hai kỹ thuật này được thực hiện trong một vòng (round) với đầu vào là khối dữ liệu plaintext và khoá DES có 16 vòng, và hai kỹ thuật trên được thực hiện trên khối plaintext 16 lần Mỗi vòng của thuật toán DES đều có một khoá 48 bit riêng bằng cách liên tục dịch và hoán vị khoá 56 bit trong từng vòng một

Độ dài khoá là 56 bit nhưng thực chất là 64 bit, trong đó có 8 bit kiểm tra chẵn

lẻ và các bit này bị loại bỏ khi khoá được đưa vào thuật toán DES

Trước khi thực hiện thuật toán DES, khối plaintext 64 bit đi qua bước hoán vị khởi tạo IP (Initial Permutation), không phụ thuộc vào khoá Sau khi thực hiện 16 vòng lặp, dữ liệu đi qua bước hoán vị đảo RP (Reversed Permutation) và tạo thành một khối bản tin mã hoá (ciphertext) Thực chất các bước hoán vị này không làm tăng tính an toàn cho DES

Trung tâm của vòng xử lý DES là mạng Fiestel (tên của nhà khoa học tại IBM) Sơ đồ mạng Fiestel như hình vẽ:

L i-1 R i-1 Khoá i-1

P-Box (Hoán vị)

32

56 48

Hình 2.3: Mạng Fiesel

Khối 64 bit plaintext đầu vào được chia thành hai khối 32 bit: khối phải (Ri-1)

và khối trái (Li-1) Khối phải đầu vào thành khối trái đầu ra (Li) Khối phải cũng đi vào một mạch xử lý: Đầu tiên, nó được chuyển thành 48 bit bởi hoán vị mở rộng EP (Expansion Permutation); sau đó thực hiện phép toán logic XOR với một khoá 48 bit; 48 bit sau khi đã XOR với khoá được đưa tới 8 khối thay thế S-Box (Box substitution), mỗi khối có 6 đầu vào, 4 đầu ra; 32 bit sau khi đi ra khỏi các khối thay thế S được đưa tới khối hoán vị P-Box (P_ Box permutation) Đầu ra của mạch xử

lý được XOR với khối trái (Li-1) và trở thành khối phải của dữ liệu đầu ra (Ri) Mỗi vòng trong thuật toán DES đều có một khoá 48 bằng cách liên tục dịch và hoán vị khoá 56 bit trong từng vòng một

Một phiên bản của DES là 3 DES được gọi như thế bởi vì thuật toán thực hiện

ba hoạt động mã hoá dữ liệu Nó thực hiện một quá trình mã hoá, một quá trình giải

mã và sau đó là quá trình mã hoá khác, mỗi quá trình thực hiện với một khoá 56 bit khác nhau Qúa trình này tạo ra một khoá kết hợp 168 bit, cung cấp phương thức mã hoá mạnh Tất cả các sản phẩm và phần mềm Cisco VPN đều hỗ trợ thuật toán mã hoá 3DES với khoá 168 bit và thuật toán DES 56 bit

b) Thuật toán mã hoá khoá công cộng

Thuật toán mã hoá khoá công cộng được định nghĩa là một thuật toán sử dụng một cặp khoá để mã hoá và giải mã bảo mật một bản tin Theo thuật toán này thì sử dụng một khoá để mã hoá và một khoá khác để giải mã nhưng hai khoá này có liên

quan với nhau tạo thành một cặp khoá duy nhất của một bản tin, chỉ có hai khoá này mới có thể mã hoá và giải mã cho nhau

Encrypted Message

clear Message

clear

Message

Transfer’s Public Key

Receive’s Public Key

Hình 2.4 : Thuật toán mã hoá khoá công cộng

Ưu điểm của thuật toán mã hoá khoá công cộng

- Khoá công cộng của khoá đôi có thể được phân phát một cách sẵn sàng mà không sợ rằng điều này làm ảnh hưởng đến việc sử dụng các khoá riêng Không cần phải gửi một bản sao chép khoá công cộng cho tất cả các đáp ứng mà chúng ta có thể lấy nó từ một máy chủ được duy trì bởi một công ty hay là nhà cung cấp dịch vụ

- Cho phép xác thực nguồn phát của bản tin

Nhươc điểm của mã hoá khoá công cộng là quá trình mã hoá và giải mã rất châm, chậm hơn nhiều so với mã hoá khoá bí mật Do đó nó thường được sử dụng

để mã hoá các khoá phiên, một lượng dữ liệu nhỏ Một số thuật toán sử dụng mã hoá khoá công cộng như RSA, Diffie-Hellman

- Hệ thống mật mã khoá công khai RSA

Kỹ thuật mã hoá khoá công cộng RSA được phát triển năm 1977, và cái tên RSA bắt nguồn từ tên của ba nhà phát triển là: Ron Rivest, Adir Shamir và Leonard Adleman

Cơ sở của thuật toán dựa trên tính phức tạp của phép phân tích một số tự nhiên lớn thành các ước số nguyên tố, được hiểu là có thể dễ dàng nhân A và B được kết quả là C nhưng không dễ dàng suy ra A và B khi biết C, với A, B là những số tương đối lớn

Hàm một chiều trong thuật toán RSA có dạng y= f(x)= Xe

Các bước thực hiện thuật toán RSA

- Khối tin mã:y

- Giải mã x=Ydmod n

Khoá RSA bao gồm ba giá trị số đặc biệt được sử dụng trong các cặp để mã hoá và giải mã dữ liệu Khoá công cộng RSA gồm một giá trị khoá công cộng (thường là 317 hay 65.537) và một mạch toán modulus để lấy giá trị tuyệt đối Modulus là sản phẩm của hai số lớn chính được chọn một cách ngẫu nhiên, được liên kết một cách toán học đến khoá công công được chọn Khoá riêng được tính toán từ hai số chính phát ra từ modulus và giá trị khoá công cộng

Thực tế, để thực hiện thuật toán mật mã khoá công khai RSA còn phải liên quan đến một loạt các vấn đề lý thuyết số phức tạp, như thuật toán Euclide để tìm ƯSCLN của hai số nguyên, thuật toán Miller-Rabin để kiểm tra tính nguyên tố của các số tự nhiên lớn

Kỹ thuật này tạo ra các khoá công cộng phù hợp với các khoá riêng đặc biệt Điều này tạo cho RSA những ưu điểm là cho phép người giữa một khoá riêng mã hoá dữ liệu với khoá đó, vì thế bất kỳ người nào có một bản sao của khoá công cộng

đều có thể giải mã nó sau đó