HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG --- NGUYỄN MINH QUANG NGHIÊN CỨU MỘT SỐ GIẢI PHÁP AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG CÁC GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ Chuyên ngành: Khoa học
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
-
NGUYỄN MINH QUANG
NGHIÊN CỨU MỘT SỐ GIẢI PHÁP AN TOÀN
VÀ BẢO MẬT THÔNG TIN TRONG CÁC GIAO
DỊCH THƯƠNG MẠI ĐIỆN TỬ
Chuyên ngành: Khoa học máy tính
Mã số: 60.48.o1 Người hướng dẫn khoa học: TS PHẠM THẾ QUẾ
TÓM TẮT LUẬN VĂN THẠC SĨ
HÀ NỘI – 2012
MỞ ĐẦU
Trong thương mại truyền thống mọi việc diễn ra đơn giản, người mua trả tiền, người bán giao hàng Nhưng trong giao dịch thương mại điện tử, để thực hiện được thao tác giao nhận đó là cả một vấn đề Nếu không có một cơ chế an toàn và bảo mật, người mua không biết liệu có phải mình đang giao dịch với nhà cung cấp thật không, ngược lại người bán không biết có phải mình đang giao dịch với chủ nhân thực sự của thẻ tín dụng không Nếu cơ chế này không đảm bảo, các hoạt động giao dịch thương mại điện tử sẽ sụp đổ hoàn toàn
Cùng với sự phát triển của thương mại điện tử, đi kèm theo là những vấn đề an toàn thông tin trong các hoạt động giao dịch nên tôi lựa chọn đề tài “Nghiên cứu một số giải pháp an toàn và bảo mật thông tin trong các giao dịch thương mại điện tử” với mục đích là nghiên cứu các kỹ thuật và xây dựng ứng dụng minh họa đảm bảo cho các giao dịch điện tử Nội dung của Luận văn như sau:
Chương 1: Thương mại điện tử - Khái niệm và công nghệ Chương 2: Chữ ký số và ứng dụng trong các giao dịch
thương mại điện tử
Chương 3: Xây dựng ứng dụng chữ ký điện tử trong việc trao
đổi các chứng từ điện tử
Trang 2Chương 1 THƯƠNG MẠI ĐIỆN TỬ - KHÁI NIỆM VÀ CÔNG
NGHỆ 1.1 Tổng quan về thương mại điện tử
Thương mại điện tử (còn gọi là thị trường điện tử, thị trường ảo,
E-Commerce hay E-Business) là quy trình mua bán ảo thông qua việc
truyền dữ liệu giữa các máy tính trong chính sách phân phối của tiếp
thị Tại đây một mối quan hệ thương mại hay dịch vụ trực tiếp giữa
người cung cấp và khách hàng được tiến hành thông qua Internet
Hiện nay định nghĩa thương mại điện tử được rất nhiều tổ chức quốc
tế đưa ra song chưa có một định nghĩa thống nhất về thương mại điện tử
Khái niệm thương mại điện tử (TMĐT) cơ bản phải bao hàm các nội
dung sau:
− Đó phải là một hoạt động kinh doanh thương mại, tức là phản ảnh
một hoạt động mua bán hàng hoá và dịch vụ thông qua một chu trình kinh
doanh thương mại: chào hàng, chào giá, đàm phán mua bán, ký hợp đồng
mua bán, vận chuyển giao hàng, thanh lý hợp đồng và thanh toán
− Việc kinh doanh thương mại phải được thực hiện trong một môi
trường đặc biệt đó là môi trường mạng máy tính nói chung và đặc biệt là
mạng internet
− Công nghệ thông tin đã tạo ra môi trường và phát triển các công
nghệ cho TMĐT phát triển Công nghệ thông tin cũng mở ra một loại hàng
hoá và dịch vụ đặc trưng là các hàng hoá và dịch vụ số (hàng hoá và dịch vụ
phi vật thể được số hoá và có thể giao hàng ngay qua mạng) góp phần vào
việc phát triển hình thức thương mại điện tử
1.2 Các hình thức hoạt động chủ yếu của thương mại điện tử
Dựa vào chủ thể của thương mại điện tử, có thể phân chia thương mại điện tử ra các loại hình phổ biến như sau:
- Giao dịch giữa doanh nghiệp với doanh nghiệp - B2B (business to
business);
- Giao dịch giữa doanh nghiệp với khách hàng - B2C (business to
consumer);
- Giao dịch giữa doanh nghiệp với cơ quan nhà nước - B2G (business
to government);
- Giao dịch trực tiếp giữa các cá nhân với nhau - C2C (consumer to
consumer);
- Giao dịch giữa cơ quan nhà nước với cá nhân - G2C (government
to consumer)
1.3 Các phương thức giao dịch
Các doanh nghiệp, các cơ quan Nhà nước, sử dụng thư điện tử để gửi thư cho nhau một cách “trực tuyến” thông qua mạng, gọi là thư điện tử (electronic mail, viết tắt là e-mail)
Thanh toán điện tử (electronic payment) là việc thanh toán tiền thông qua bức thư điện tử (electronic message) ví dụ, trả lương bằng cách chuyển tiền trực tiếp vào tài khoản, trả tiền mua hàng bằng thẻ mua hàng, thẻ tín dụng v.v thực chất đều là dạng thanh toán điện tử Trao đổi dữ liệu điện tử (electronic data interc hange, viết tắt là EDI) là việc trao đổi các dữ liệu dưới dạng “có cấu trúc” (stuctured form), từ máy tính điện tử này sang máy tính điẹn tử khác, giữa các công ty hoặc đơn vị đã thỏa thuận buôn bán với nhau
Trang 3Dung liệu (content) là nội dung của hàng hóa số, giá trị của nó
không phải trong vật mang tin và nằm trong bản thân nội dung của
nó Hàng hoá số có thể được giao qua mạng Ví dụ hàng hoá số là:
Tin tức, nhạc phim, các chương trình phát thanh, truyền hình, các
chương trình phần mềm, các ý kiến tư vấn, vé máy bay, vé xem
phim, xem hát, hợp đồng bảo hiểm, v.v Trước đây, dung liệu được
trao đổi dưới dạng hiện vật (physical form) bằng cách đưa vào đĩa,
vào băng, in thành sách báo, thành văn bản, đóng gói bao bì chuyển
đến tay người sử dụng, hoặc đến điểm phân phối (như của hàng, quầy
báo v.v.) để người sử dụng mua và nhận trức tiếp Ngày nay, dung
liệu được số hóa và truyền gửi theo mạng, gọi là “giao gửi số hóa”
(digital delivery)
1.4 Cơ hội và thách thức
Theo nghiên cứu của Tổ chức Liên hiệp Quốc về Thương mại và
Phát triển - UNCTAD năm 2003, để phát triển Thương mại điện tử
có 25 hoạt động các nước cần triển khai từ thấp đến cao Theo mô
hình trên, những vấn đề quan trọng nhất các nước cần quan tâm để
phát triển Thương mại điện tử gồm: Nhận thức, Nối mạng, Nhân lực
và Nội dung (4N) Những vấn đề khó khăn nhất hiện nay đối với
Thương mại điện tử gồm: thanh toán trực tuyến, an ninh, bảo mật
trong giao dịch thương mại điện tử, chứng thực điện tử quốc tế
Chương 2 CHỮ KÝ SỐ VÀ ỨNG DỤNG TRONG CÁC GIAO
DỊCH THƯƠNG MẠI ĐIỆN TỬ 2.1 Bảo mật các giao dịch điện tử
Để đảm bảo an toàn tuyệt đối là rất khó, thậm chí là không thể,
mà chỉ có thể tạo ra các rào cản đủ để ngăn chặn sự xâm phạm An toàn tích hợp là việc kết hợp tất cả các biện pháp với nhau nhằm ngăn chặn việc khám phá, phá huỷ hoặc sửa đổi trái phép các tài sản Thông tin dữ liệu cũng có thể được xem là đảm bảo độ an toàn nếu như khi tội phạm tấn công khai thác được thì đã mất hiệu lực sử dụng
nó Trong giao dịch điện tử với quy mô toàn cầu, có sự tham gia của nhiều người, nhiều thành phần, thiết bị thì việc khẳng định được độ tin cậy trong thời gian dài là một thách thức
2.2 Các kỹ thuật đảm bảo an toàn cho giao dịch điện tử
2.2.1 Mã hóa đối xứng
Phương pháp mã hóa khóa bí mật (secret key cryptography) còn được gọi là mã hóa đối xứng (symmetric cryptography) Với phương pháp này, người gửi và người nhận sẽ dùng chung một khóa để mã hóa và giải mã dữ liệu Trước khi mã hóa dữ liệu để truyền đi trên mạng, hai bên gửi và nhận phải có khóa và phải thống nhất thuật toán dùng để mã hóa và giải mã Có nhiều thuật toán ứng dụng cho mã hóa khóa bí mật như: DES - Data Encrytion Standard, 3DES - triple-strength DES, RC2 - Rons Cipher 2 và RC4, v.v
Trang 4
Hình 2.1 Mô hình mã hoá đối xứng
2.2.2 Mã hoá công khai
Vào những năm 1970 Diffie và Hellman đã phát minh ra một
hệ mã hoá mới được gọi là hệ mã hoá công khai hay hệ mã hoá phi
đối xứng.Phương pháp mã hóa khóa công khai (public key
cryptography) đã giải quyết được vấn đề của phương pháp mã hóa
khóa bí mật là sử dụng hai khóa public key và private key Public key
được gửi công khai trên mạng, trong khi đó private key được giữ kín
Public key và private key có vai trò trái ngược nhau, một khóa dùng
để mã hóa và khóa kia sẽ dùng để giải mã Phương pháp này còn
được gọi là mã hóa bất đối xứng (asymmetric cryptography) vì nó sử
dụng hai khóa khác nhau để mã hóa và giải mã dữ liệu Phương pháp
này sử dụng thuật toán mã hóa RSA (tên của ba nhà phát minh ra nó:
Ron Rivest, Adi Shamir và Leonard Adleman) và thuật toán DH
(Diffie-Hellman)
Hình 2.2 Mã hoá và giải mã với hai khoá
2.2.3 Xác thực thông báo qua các hàm băm
Hàm băm có đầu vào là thông báo M có kích thước thay đổi, đầu ra là một mã băm H(M) có kích thước cố định Mã hàm băm là một hàm của tất cả các bit có trong thông báo, đồng thời nó cung cấp khả năng phát hiện lỗi: Nếu A thay đổi một bit bất kỳ hoặc nhiều bit trong thông báo dẫn đến kết quả là mã băm cũng thay đổi theo Mục đích của mã băm là tạo ra fingerprint (dấu vân tay) cho một tệp, thông báo hay khối dữ liệu Để đáp ứng được việc xác thực thông báo, một hàm băm H phải bao gồm các tính chất
H được áp dụng cho một khối dữ liệu có kích cỡ bất kỳ
Đầu ra H có độ dài cố định
Dễ tính toán được H(x) với mọi x cho trước
Với mọi mã h cho trước, không thể tìm được x thoả mãn H(x)=h
Với mọi khối x cho trước, không thể tìm ra được y x sao cho H(y) = H(x) tức là khả năng trùng lặp ít
Không tìm thấy bất cứ cặp (x,y) nào sao cho H(x) = H(y), điều này nhấn mạnh khả năng không bị va chạm
Trang 52.3 Chữ ký số
Chữ ký số (digital signature), là một dạng của chữ ký điện tử, là
đoạn dữ liệu ngắn đính kèm với văn bản gốc để chứng thực tác giả
của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung
văn bản gốc
Chữ ký số được tạo ra bằng cách áp dụng thuật toán băm một
chiều trên văn bản gốc để tạo ra bản phân tích văn bản/văn bản tóm
lược (message digest) hay còn gọi là fingerprint, sau đó mã hóa bằng
private key tạo ra chữ ký số đính kèm với văn bản gốc để gửi đi khi
nhận, văn bản được tách làm 2 phần, phần văn bản gốc được tính lại
fingerprint để so sánh với fingerprint cũ cũng được phục hồi từ việc
giải mã chữ ký số
Hình 2.3 Mô hình mã hóa
2.4 Chữ ký mù
Khái niệm của chữ ký mù trước hết được giới thiệu : Chúng tôi yêu cầu chữ ký phải được xác thực(chỉ một người ký , có thể ký nhiều báo cáo) và có thể kiểm tra chung (bất kỳ người nào cũng có thể kiểm tra xem liệu chữ ký của bản báo cáo có đúng không) Trong quá trình ký một người dùng tương tác với một người
ký và có một chữ ký Trong thời gian sự tương tác người ký không thể nhìn thấy nội dugn tài liệu mà anh ta đang ký
Ý tưởng có thể được thực hiện bởi khái niệm của chữ ký RSA
Nếu người ký có khóa công khai RSA(n,e) va khóa bí mật tương ứng d, anh ta có thể ký một bản báo cáo m Một người nào đó
có thể xác minh bằng cách kiểm tra xem liệu m=se mod n? chú ý rằng cách lập mã và giải mã của hệ thống mã RSA trong việc ký báo cáo và xác minh chữ ký đó
Giả sử người thỉnh cầu muốn đạt được chữ ký của bản báo cáo m Người đó không muốn để lộ thông tin bản báo cáo m cho bất
kỳ ai biết , kể cả người ký Người ký được yêu cầu ký vào một bản báo cáo mù,mà anh ta không biết mình ký gì
2.5 Giao thức SSL và SET 2.5.1 Cơ chế bảo mật SSL (Secure Socket Layer)
Giao thức SSL được phát triển lần đầu tiên bởi Nescape nhằm đảm bảo tính an toàn khi truyền dữ liệu, định tuyến thông qua giao thức HTTP, LDAP, POP3 trên tầng ứng dụng SSL được thiết kể
để sử dụng TCP, cung cấp một kết nối xác thực và an toàn giữa hai điểm trên mạng
