Tài liệu Luận văn Một số công cụ công nghệ thông tin dùng trong thanh toán điện tử: -1-
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
HOÀNG PHƯƠNG BẮC
MỘT SỐ CÔNG CỤ CÔNG NGHỆ THÔNG TIN
DÙNG TRONG THANH TOÁN ĐIỆN TỬ
LUẬN VĂN THẠC SĨ
Hà Nội - 2009
-2-
LỜI CAM ĐOAN
Tôi xin cam đoan toàn bộ nội dung bản luận văn “Một số công cụ công
nghệ thông tin dùng trong thanh toán điện tử” là do tôi tự sưu tầm, tra cứu và
tìm hiểu theo tài liệu tham khảo và làm theo hướng dẫn của người hướng dẫn
khoa học .
Nội dung bản luận văn chưa từng được công bố hay xuất bản dưới bất kỳ
hình thức nào và cũng không được sao chép từ bất kỳ một công trình nghiên cứu
nào. Các nguồn lấy từ tài liệu tham khảo đều được chú thích rõ ràng, đúng quy
định.
Nếu sai tôi xin hoàn toàn chịu trách nhiệm.
Hà nội, tháng 09 năm 2009
Người cam đoan
Hoàng Phương Bắc
-3-
LỜI CẢM ƠN
Lời đầu tiên, tôi xin được gửi lời cảm ơn chân thành và sâu sắc tới PGS.TS
Trịnh Nhật Tiến, người thầy đã cho tôi những định hướng và ý kiến quý báu
trong suốt quá trình hoàn thành ...
149 trang |
Chia sẻ: haohao | Lượt xem: 1180 | Lượt tải: 3
Bạn đang xem trước 20 trang mẫu tài liệu Luận văn Một số công cụ công nghệ thông tin dùng trong thanh toán điện tử, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
-1-
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
HOÀNG PHƯƠNG BẮC
MỘT SỐ CÔNG CỤ CÔNG NGHỆ THÔNG TIN
DÙNG TRONG THANH TOÁN ĐIỆN TỬ
LUẬN VĂN THẠC SĨ
Hà Nội - 2009
-2-
LỜI CAM ĐOAN
Tôi xin cam đoan toàn bộ nội dung bản luận văn “Một số công cụ công
nghệ thông tin dùng trong thanh toán điện tử” là do tôi tự sưu tầm, tra cứu và
tìm hiểu theo tài liệu tham khảo và làm theo hướng dẫn của người hướng dẫn
khoa học .
Nội dung bản luận văn chưa từng được công bố hay xuất bản dưới bất kỳ
hình thức nào và cũng không được sao chép từ bất kỳ một công trình nghiên cứu
nào. Các nguồn lấy từ tài liệu tham khảo đều được chú thích rõ ràng, đúng quy
định.
Nếu sai tôi xin hoàn toàn chịu trách nhiệm.
Hà nội, tháng 09 năm 2009
Người cam đoan
Hoàng Phương Bắc
-3-
LỜI CẢM ƠN
Lời đầu tiên, tôi xin được gửi lời cảm ơn chân thành và sâu sắc tới PGS.TS
Trịnh Nhật Tiến, người thầy đã cho tôi những định hướng và ý kiến quý báu
trong suốt quá trình hoàn thành luận văn.
Tôi xin cảm ơn các thầy, cô trong khoa Công Nghệ Thông Tin cùng các
thầy cô trong trường Đại học Công Nghệ - ĐHQGHN đã giảng dạy, truyền đạt
cho tôi những kiến thức quý báu trong những năm học qua.
Tôi xin được gửi lời cảm ơn sâu sắc tới gia đình và bạn bè, những người
luôn kịp thời động viên, khích lệ giúp đỡ tôi vượt qua những khó khăn để tôi có
thể hoàn thành nhiệm vụ của mình.
Do còn hạn chế về nhiều mặt nên luận văn không thể tránh khỏi những
thiếu sót. Rất mong nhận được sự chỉ bảo, góp ý của Thầy, cô và các bạn.
Hà Nội, Tháng 9 năm 2009
Học viên
Hoàng Phương Bắc
-4-
MỤC LỤC
LỜI CAM ĐOAN ........................................................................................................2
LỜI CẢM ƠN .............................................................................................................3
MỤC LỤC...................................................................................................................4
BẢNG CHỮ VIẾT TẮT..............................................................................................9
DANH MỤC HÌNH VẼ.............................................................................................10
MỞ ĐẦU...................................................................................................................12
CHƯƠNG 1 MỘT SỐ KHÁI NIỆM CƠ BẢN.....................................................14
1.1. CÁC KHÁI NIỆM TRONG TOÁN HỌC...............................................................14
1.1.1. Số nguyên tố và nguyên tố cùng nhau.......................................................14
1.1.2. Đồng dư thức ...........................................................................................14
1.1.3. Không gian Zn và Zn* ................................................................................15
1.1.4. Khái niệm phần tử nghịch đảo trong Zn ....................................................15
1.1.5. Khái niệm nhóm, nhóm con, nhóm Cyclic................................................16
1.1.6. Bộ phần tử sinh ........................................................................................16
1.1.7 Bài toán đại diện........................................................................................17
1.1.8. Hàm một phía và hàm một phía có cửa sập...............................................17
1.1.9. Độ phức tạp tính toán ...............................................................................18
1.2. TỔNG QUAN VỀ AN TOÀN THÔNG TIN...........................................................19
1.2.1. Tại sao phải đảm bảo an toàn thông tin.....................................................19
1.2.2. Một số vấn đề rủi ro mất an toàn thông tin................................................20
1.2.2.1. Xâm phạm tính bí mật. ......................................................................20
1.2.2.2. Xâm phạm tính toàn vẹn ....................................................................21
1.2.2.3. Xâm phạm tính sẵn sàng....................................................................21
1.2.2.4. Giả mạo nguồn gốc giao dịch ............................................................22
1.2.2.5. Chối bỏ giao dịch ..............................................................................22
1.2.2.6. Các hiểm họa đối với hệ thống giao dịch ...........................................22
1.2.3. Chiến lược đảm bảo an toàn thông tin ......................................................25
1.3. TỔNG QUAN VỀ THANH TOÁN ĐIỆN TỬ ........................................................27
1.3.1. Khái niệm Thương mại điện tử .................................................................27
1.3.2. Vấn đề thanh toán điện tử.........................................................................27
-5-
1.4. CÔNG CỤ CNTT DÙNG TRONG THANH TOÁN ĐIỆN TỬ .............................29
1.4.1 Hạ tầng cơ sở bảo đảm an toàn thông tin ...................................................29
1.4.1.1. Tường lửa..........................................................................................29
1.4.1.2. Mạng riêng ảo...................................................................................29
1.4.1.3 Hạ tầng mật mã hóa công khai............................................................30
1.4.2. Một số tiện ích dùng trong thanh toán điện tử...........................................31
1.4.2.1. Thanh toán bằng các loại thẻ .............................................................31
1.4.2.2. Thanh toán bằng séc điện tử ..............................................................31
1.4.2.3. Thanh toán bằng tiền điện tử..............................................................32
CHƯƠNG 2 HẠ TẦNG CƠ SỞ BẢO ĐẢM AN TOÀN THÔNG TIN............33
2.1. HẠ TẦNG MẠNG MÁY TÍNH...............................................................................33
2.1.1. Mạng Lan, Wan, Intranet, Extranet và Internet ........................................33
2.1.1.1. Mạng cục bộ ( LAN) .........................................................................33
2.1.1.2. Mạng diện rộng- WAN......................................................................35
2.1.1.3. Mạng Intranet, Extranet .....................................................................35
2.1.1.4. Mạng Internet ....................................................................................36
2.1.2. Một số dịch vụ internet (internet services) ................................................37
2.1.2.1. World Wide Web – WWW................................................................37
2.1.2.2. Thư điện tử – Email...........................................................................37
2.1.2.3. Truyền, tải tập tin – FTP....................................................................38
2.1.2.4. Tán gẫu – Chat ..................................................................................38
2.1.2.5. Làm việc từ xa – Telnet .....................................................................38
2.1.2.6. Nhóm tin tức – Usenet, newsgroup ...................................................39
2.1.2.7. Dịch vụ danh mục (Directory Services) .............................................39
2.1.3 Các nhà cung cấp dịch vụ trên Internet ......................................................39
2.1.3.1. Nhà cung cấp dich vụ ISP (Internet Service Provider) .......................39
2.1.3.2. Nhà cung cấp dịch vụ IAP (Internet Access Provider) .......................39
2.1.3.3. Nhà cung cấp dịch vụ ICP (Internet Content Provider) .....................40
2.1.3.4. Cấp phát tên miền (Internet Domain Name Provider) ........................40
2.1.3.5. Cho thuê máy chủ web - hosting (Server Space Provider)..................40
-6-
2.2. HẠ TẦNG ĐẢM BẢO AN TOÀN THÔNG TIN....................................................41
2.2.1 Tường lửa..................................................................................................41
2.2.2 Mạng riêng ảo ...........................................................................................43
2.2.2.1. VPN truy nhập từ xa..........................................................................43
2.2.2.2. VPN điểm tới điểm............................................................................45
2.2.3 Các giao thức đảm bảo an toàn truyền tin .................................................48
2.2.3.1. Giao thức SSL ...................................................................................48
2.2.3.2. Giao thức SHTTP ..............................................................................48
2.2.3.3. Giao thức IPSec.................................................................................49
2.2.3.4. Giao thức TCP/IP ..............................................................................49
2.2.3.5. Giao thức bảo mật SET......................................................................50
2.2.4. Công nghệ xây dựng PKI .........................................................................51
2.2.4.1. Công nghệ OpenCA ..........................................................................51
2.2.4.2. Công nghệ SSL..................................................................................52
2.2.4.3. Giao thức truyền tin an toàn tầng liên kết dữ liệu (Data Link)............55
2.2.4.4. Giao thức truyền tin an toàn tầng ứng dụng(Application). .................56
2.2.4.5. Một số công nghệ bảo đảm an toàn thông tin trên thế giới .................58
2.3. HẠ TẦNG MẬT MÃ KHÓA CÔNG KHAI (PKI) ................................................59
2.3.1. Khái niệm về PKI .....................................................................................59
2.3.2. Hiện trạng sử dụng chứng chỉ số trên thế giới và ở Việt Nam ...................60
2.3.3. Các thành phần kỹ thuật cơ bản của PKI ..................................................62
2.3.3.1. Mã hóa ..............................................................................................62
2.3.3.2. Chữ ký số ..........................................................................................65
2.3.3.3. Chứng chỉ khóa công khai ( Chứng chỉ số) ........................................75
2.3.4. Các đối tượng cơ bản của hệ thống PKI....................................................80
2.3.4.1. Chủ thể và các đối tượng sử dụng ......................................................80
2.3.4.2. Đối tượng quản lý chứng chỉ số .........................................................81
2.3.4.3. Đối tượng quản lý đăng ký chứng chỉ số............................................82
2.3.5. Các hoạt động cơ bản trong hệ thống PKI.................................................83
2.3.5.1. Mô hình tổng quát của hệ thống PKI .................................................83
2.3.5.2. Thiết lập các chứng chỉ số .................................................................83
2.3.5.3. Khởi tạo các EE (End Entity) ............................................................83
2.3.5.4. Các hoạt động liên quan đến chứng chỉ số .........................................84
2.3.6 Những vấn đề cơ bản trong xây dựng hệ thống CA ...................................87
2.3.6.1. Các mô hình triển khai hệ thống CA..................................................87
2.3.6.2. Những chức năng bắt buộc trong quản lý PKI ...................................92
-7-
CHƯƠNG 3 MỘT SỐ TIỆN ÍCH DÙNG TRONG THANH TOÁN ĐIỆN TỬ..95
3.1. THẺ THANH TOÁN ...............................................................................................95
3.1.1. Giới thiệu về thẻ thông minh ....................................................................95
3.1.1.1. Khái niệm thẻ thông minh .................................................................95
3.1.1.2. Phân loại thẻ thông minh ...................................................................95
3.1.1.3. Các chuẩn trong thẻ thông minh ........................................................97
3.1.1.4. Phần cứng của thẻ thông minh ...........................................................98
3.1.1.5. Hệ điều hành của thẻ thông minh.....................................................100
3.1.2. Các giao thức với thẻ thông minh ...........................................................104
3.1.2.1. Giao thức truyền thông với thẻ thông minh......................................104
3.1.2.2 Giao thức xác thực với thẻ thông minh .............................................110
3.1.3. Thẻ thanh toán........................................................................................112
3.1.3.1. Luồng giao dịch trên ATM ..............................................................112
3.1.3.2. Chu trình giao dịch trên POS...........................................................113
3.1.3.3. Quy trình thực hiện các giao dịch thẻ tín dụng: ................................117
3.2.TIỀN ĐIỆN TỬ .......................................................................................................119
3.2.1. Giới thiệu về tiền điện tử ........................................................................120
3.2.1.1. Khái niệm tiền điện tử .....................................................................120
3.2.1.2. Cấu trúc tiền điện tử ........................................................................120
3.2.1.3. Phân loại tiền điện tử .......................................................................121
3.2.1.4. Tính chất của tiền điện tử ................................................................122
3.2.1.5. Các giao thức với tiền điện tử .........................................................124
3.2.2. Một số vấn đề đối với tiền điện tử ..........................................................128
3.2.2.1. Vấn đề ẩn danh người dùng .............................................................128
3.2.2.2. Vấn đề giả mạo và tiêu một đồng tiền nhiều lần...............................128
3.2.3. Lược đồ CHAUM-FIAT-NAOR ...........................................................129
3.2.3.1 Giao thức rút tiền..............................................................................130
3.2.3.2 Giao thức thanh toán.........................................................................131
3.2.3.3 Giao thức gửi....................................................................................131
3.2.3.4. Đánh giá ..........................................................................................131
3.2.3.5. Chi phí.............................................................................................132
3.2.3.6. Tấn công..........................................................................................132
-8-
3.2.4. Lược đồ BRAND ...................................................................................133
3.2.4.1. Khởi tạo tài khoản ...........................................................................133
3.2.4.2. Giao thức rút tiền.............................................................................134
3.2.4.3. Giao thức thanh toán........................................................................135
3.2.4.4. Giao thức gửi...................................................................................136
3.2.4.5. Đánh giá ..........................................................................................136
3.2.5. Một số hệ thống tiền điện tử ...................................................................137
3.2.5.1. Hệ thống FIRST VIRTUAL ............................................................137
3.2.5.2. Hệ thống tiền điện tử DIGICASH ....................................................139
3.5.2.3. Hệ thống MILLICENT ....................................................................142
3.5.2.4. Hệ thống MONDEX ........................................................................144
3.5.2.5. Hệ thống PAYWORD .....................................................................145
KẾT LUẬN .............................................................................................................148
TÀI LIỆU THAM KHẢO........................................................................................149
-9-
BẢNG CHỮ VIẾT TẮT
ARLs Authority Revocation Lists
ATTT An toàn thông tin
BIN Bank Identification Number
CA Certificate Authority
CRLs Certificate Revocation Lists
DES Data Encryption Standard
DNS Domain Name System
DSS Digital Signature Standard
EE End Entity
HTTPS Secure Hypertext Transaction Standard
IIN Issuer Identification Number
ISPs Internet Service Providers
NSPs Network Service Providers
POS Point of Sale
PIN Personal Identification Number
PKC Public Key Certificate
PKI Public Key Infrastructure
SET Secure Electronic Transaction
RA Registration Authorities
SSL Secure Socket Layer
TLS Transport Layer Security
TMĐT Thương mại điện tử
TTĐT Thanh toán điện tử
-10-
DANH MỤC HÌNH VẼ
Hình 1.1: Các lớp bảo vệ thông tin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Hình 1.2 : Một hệ thống mạng riêng ảo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
Hình 2.1 : Mạng cục bộ LAN . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Hình 2.2 : Các topology mạng cục bộ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Hình 2.3: Mạng diện rộng (WAN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Hình 2.4 : Kiến trúc mạng Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Hình 2.5: Bức tường lửa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Hình 2.6 : Máy phục vụ uỷ quyền (Proxy server). . . . . . . . . . . . . . . . . . . . . . . . 42
Hình 2.7 : Mô hình VPN truy nhập từ xa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Hình 2.8 : Mô hình VPN cục bộ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Hình 2.9: Mô hình VPN mở rộng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Hình 2.10: Vị trí SSL trong mô hình OSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Hình 2.11: Hệ mã hóa khóa đối xứng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Hình 2.12: Hệ mã hóa khóa công khai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Hình 2.13: Chữ ký số . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Hình 2.14: Mô hình quá trình ký có sử dụng hàm băm . . . . . . . . . . . . . . . . . . . 67
Hình 2.15: Quá trình kiểm thử . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Hình 2.16: Mô hình ký của loại chữ ký khôi phục thông điệp . . . . . . . . . . . . . .67
Hình 2.17: Sơ đồ chữ ký một lần của Schnorr . . . . . . . . . . . . . . . . . . . . . . . . . . 70
H ình 2.18: Sơ đồ chữ ký mù . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73
Hình 2.19: Sơ đồ chữ ký mù dựa trên chữ ký RSA . . . . . . . . . . . . . . . . . . . . . . 74
Hình 2.20: Các đối tượng và hoạt động cơ bản trong hệ thống PKI . . . . . . . . . 83
Hình 2.21: Kiến trúc CA phân cấp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87
Hình 2.22: Kiến trúc CA mạng lưới . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89
Hình 2.23: Kiến trúc CA danh sách tin cậy . . . . . . . . . . . . . . . . . . . . . . . . . . . .91
-11-
Hình 3.1: Các điểm tiếp xúc theo chuẩn ISO 7816-2 . . . . . . . . . . . . . . . . . . . . 98
Hình 3.2: Cấu trúc file trong thẻ thông minh . . . . . . . . . . . . . . . . . . . . . . . . . ..100
Hình 3.3: Cấu trúc file EF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102
Hình 3.4: Cấu trúc của APDU phản hồi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Hình 3.5: Mã trả về của SW1, SW2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Hình 3.6: Mã hoá bit trực tiếp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107
Hình 3.7: Đảo bit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107
Hình 3.8: Lệnh ghi dữ liệu vào thẻ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Hình 3.9: Lệnh đọc dữ liệu từ thẻ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Hình 3.10: Cấu trúc của một khối truyền . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Hình 3.11: Thẻ thông minh xác thực thực thể ngoài . . . . . . . . . . . . . . . . . . . 110
Hình 3.12: Thực thể ngoài xác thực thẻ thông minh . . . . . . . . . . . . . . . . . . . 111
Hình 3.13: Luồng giao dịch trên ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Hình 3.14: Quy trình cấp phép . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Hình 3.15: Quy trình giao dịch thẻ tín dụng . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Hình 3.16: Mô hình giao dịch của hệ thống tiền điện tử cùng ngân hàng . . . 124
Hình 3.17: Mô hình giao dịch của hệ thống tiền điện tử liên ngân hàng . . . 126
-12-
MỞ ĐẦU
Trong những thập kỷ gần đây, sự phát triển mạnh mẽ của Internet đã và đang làm
thay đổi một cách căn bản cách thức hoạt động của nhiều lĩnh vực kinh tế - xã hội,
trong đó có hoạt động thương mại. Khâu quan trọng nhất trong hoạt động TMĐT là
“thanh toán”, bởi vì mục tiêu cuối cùng của cuộc trao đổi thương mại là người mua
nhận được những cái gì cần mua và người bán nhận được số tiền thanh toán.
Vấn đề an toàn thông tin (ATTT) trong các giao dịch luôn là một yêu cầu cần
phải có đối với mọi hoạt động thương mại, đặc biệt là hoạt động thương mại điện tử vì
các quy trình giao dịch được thực hiện qua Internet - một môi trường truyền thông
công cộng. Các thành tựu của ngành mật mã, đặc biệt là lý thuyết mật mã khoá công
khai đã cung cấp các giải pháp ATTT cho các hoạt động thương mại, tạo cơ sở cho
việc xây dựng các hệ thống thanh toán điện tử.
Cơ sở hạ tầng mã khoá công khai (PKI - Public Key Infrastructure) cùng các tiêu
chuẩn và công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc
lập để giải quyết vấn đề ATTT. PKI bản chất là một hệ thống công nghệ vừa mang
tính tiêu chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý
các chứng chỉ khóa công khai (Public Key Certificate) cũng như các khoá công khai
và khóa bí mật (khóa riêng).
Hiện nay ở Việt Nam, việc nghiên cứu, ứng dụng và triển khai PKI nói chung và
dịch vụ cung cấp chứng chỉ số nói riêng là vấn đề còn mang tính thời sự. Bằng việc sử
dụng chứng chỉ và chữ ký số, những ứng dụng cho phép PKI đưa ra nhiều đặc tính
đảm bảo an toàn thông tin cho người sử dụng đặc biệt là trong các giao dịch điện tử.
Mỗi mô hình thanh toán điện tử đại diện cho một phương thức thanh toán điện tử
khác nhau như thanh toán bằng tiền mặt, bằng séc, bằng các loại thẻ…Mỗi phương
thức thanh toán điện tử có các giao thức được xây dựng dựa trên nền tảng lý thuyết
mật mã, đảm bảo cho các giao dịch thanh toán thực hiện an toàn và theo đúng quy
trình. Vì vậy, mỗi phương thức thanh toán đều phải có các giao thức rõ ràng, đảm bảo
an toàn cho việc giao dịch thông tin giữa các bên tham gia.
Luận văn thực hiện với mục đích nghiên cứu về hạ tầng cơ sở đảm bảo an toàn
thông tin, hạ tầng mật mã khóa công khai PKI (Các thành phần kỹ thuật của PKI, các
đối tượng và các hoạt động trong hệ thống PKI. . .), và một số công cụ dùng trong
thanh toán điện tử (thẻ thanh toán, giải pháp và công nghệ sử dụng tiền điện tử).
-13-
Nội dung chính của Luận văn gồm có:
Chương 1: Các khái niệm cơ bản
Trong chương này sẽ trình bày một số khái niệm toán học, tổng quan về an toàn
thông tin, một số vấn đề rủi ro mất an toàn thông tin, các chiến lược đảm bảo an toàn
thông tin và tổng quan về thanh toán điện tử trong thương mại điện tử.
Chương 2: Hạ tầng cơ sở đảm bảo an toàn thông tin
Trong chương này trình bày tổng quan về hạ tầng mạng, hạ tầng đảm bảo an toàn
thông tin, các giao thức đảm bảo an toàn truyền tin và hạ tầng mã hoá khóa công khai
(PKI) (các thành phần kỹ thuật, các đối tượng, các hoạt động cơ bản, công nghệ và
giao thức của PKI)
Chương 3: Một số tiện ích dùng trong thanh toán điện tử
Trong chương này giới thiệu một số tiện ích dùng trong thanh toán điện tử: Thẻ
thanh toán (thẻ thông minh, thẻ tín dụng. . .), và một số hệ thống thanh toán bằng tiền
điện tử.
-14-
CHƯƠNG 1 MỘT SỐ KHÁI NIỆM CƠ BẢN
1.1. CÁC KHÁI NIỆM TRONG TOÁN HỌC
1.1.1. Số nguyên tố và nguyên tố cùng nhau
Số nguyên tố là số nguyên dương chỉ chia hết cho 1 và chính nó.
Ví dụ: 2, 3, 5,…
Các hệ mật mã thường dùng các số nguyên tố cỡ 512 bit hoặc lớn hơn.
Hai số nguyên dương m và n được gọi là nguyên tố cùng nhau, nếu ước số chung
lớn nhất của chúng bằng 1, ký hiệu gcd(m, n) = 1.
Ví dụ: 8 và 17 là hai số nguyên tố cùng nhau.
1.1.2. Đồng dư thức
1) Định nghĩa
Cho a và b là các số nguyên, khi đó a được gọi là đồng dư với b theo modulo n,
ký hiệu là a b mod n nếu a, b chia cho n có cùng số dư. Số nguyên n được gọi là
modulo của đồng dư.
Ví dụ: 5 7 mod 2 vì: 5 mod 2 = 1 và 7 mod 2 = 1
2) Tính chất
Cho a, a1, b, b1, cZ. Ta có các tính chất sau:
+ ab mod n nếu và chỉ nếu a và b có cùng số dư khi chia cho n
+ Tính phản xạ: aa mod n
+ Tính đối xứng: Nếu a b mod n thì ba mod n
+ Tính giao hoán: Nếu ab mod n và bc mod n thì ac mod n
+ Nếu aa1 mod n, bb1 mod n thì a+ba1+b1 mod n và aba1b1 mod n
3) Lớp tương đương
Lớp tương đương của một số nguyên a là tập hợp các số nguyên đồng dư với a
theo modulo n.
Cho n cố định đồng dư với n trong không gian Z vào các lớp tương đương. Nếu
a=qn +r, trong đó 0 r n thì a r mod n. Vì vậy mỗi số nguyên a là đồng dư theo
modulo n với duy nhất một số nguyên trong khoảng từ 0 đến n-1 và được gọi là thặng
dư nhỏ nhất của a theo modulo n. Cũng vì vậy, a và r cùng thuộc một lớp tương
đương. Do đó r có thể đơn giản được sử dụng để thể hiện lớp tương đương. [1]
-15-
1.1.3. Không gian Zn và Zn*
Không gian các số nguyên theo modulo n: Zn là tập hợp các số nguyên không âm
nhỏ hơn n. Tức là: Zn = {0, 1, 2,… n-1}. Tất cả các phép toán trong Zn đều được thực
hiện theo modulo n.
Ví dụ: Z25 ={0,1, 2,..., 24}. Trong Z25 : 12 + 20 = 7(mod 25)
Không gian Zn* là tập hợp các số nguyên p thuộc Zn sao cho ước chung lớn nhất
của p và n là 1. Tức là, Zn* = {p thuộc Zn | gcd(n, p) = 1}
Ví dụ: Z2 = { 0,1 }; Z*2 = {1} vì gcd(1, 2)=1
1.1.4. Khái niệm phần tử nghịch đảo trong Zn
1) Định nghĩa
Cho aZn. Nghịch đảo nhân của a theo modulo n là một số nguyên xZn sao cho
a*x1 (mod n). Nếu tồn tại thì đó là giá trị duy nhất và a gọi là khả đảo, nghịch đảo
của a ký hiệu là a-1.
2) Tính chất
+ Cho a,bZn . Phép chia của a cho b theo modulo n là tích của a và b-1 theo
modulo n, và chỉ được xác định khi b có nghịch đảo theo modulo n.
+ Giả sử d=gcd(a, n). Phương trình đồng dư ax b (mod n) có nghiệm x nếu và
chỉ nếu d chia hết cho b, trong trường hợp các nghiệm d nằm trong khoảng 0 đến n-1
thì các nghiệm đồng dư theo modulo n/d. [1]
Ví dụ: 4-1 = 7(mod 9) vì 4*7 1(mod 9).
-16-
1.1.5. Khái niệm nhóm, nhóm con, nhóm Cyclic
1) Nhóm
Nhóm là bộ các phần tử (G, *) thỏa mãn các tính chất sau:
+ Tính chất kết hợp: ( x * y ) * z = x * ( y * z )
+ Tính chất tồn tại phần tử trung gian e G: e * x= x * e = x , x G
+ Tính chất tồn tại phần tử nghịch đảo x’ G: x’ * x = x * x’ = e
2) Nhóm con
Nhóm con là bộ các phần tử ( S, * ) là nhóm thỏa mãn các tính chất sau:
1/ S G, phần tử trung gian e S
2/ x, y S => x * y S
3) Nhóm cylic
Nhóm Cyclic là nhóm mà mọi phần tử x của nó được sinh ra từ một phần tử đặc
biệt g G. Phần tử này được gọi là phần tử nguyên thủy, tức là:
Với x G: n N mà gn = x.
Ví dụ: (Z+, *) là một nhóm cyclic có phần tử sinh là 1
1.1.6. Bộ phần tử sinh
{g1, …, gk} được gọi là bộ phần tử sinh nếu mỗi gi là một phần tử sinh và những
phần tử này khác nhau (gi gj nếu i j).
Ví dụ: {3, 5} là bộ phần tử sinh của Z7*, bởi vì:
1 = 36 mod 7 = 56 mod 7 2 = 32 mod 7 = 54 mod 7
3 = 31 mod 7 = 55 mod 7 4 = 34 mod 7 = 52 mod 7
5 = 35 mod 7 = 51 mod 7 6 = 33 mod 7 = 53 mod 7
2 không phải là phần tử sinh của Z7*, bởi vì:
{2, 22, 23, 24, 25, 26} = {1, 4, 1, 2, 4, 1} {1, 2, 4}
Tuy nhiên {1, 2, 4} là tập con của {1, 2, 3, 4, 5, 6} = Z7*, dó đó số 2 được gọi là
“phần tử sinh của nhóm G(3)”, G(3) là nhóm có 3 thành phần {1, 2, 4}.
-17-
1.1.7 Bài toán đại diện
Gọi g là phần tử sinh của nhóm con G(q) thuộc Zn*. Bài toán logarit rời rạc liên
quan đến việc tìm số mũ a, sao cho:
a = loggh mod n (với h G (q)).
Cho k 2, 1 ai q, i = 1… k.
Bài toán đại diện là: cho h thuộc G(q), tìm {a1, …, ak}, của bộ phần tử sinh
{g1, …, gk}, sao cho:
h = g1a1 * g2a2 *… * gkak mod n.
{a1, …, ak} được gọi là đại diện (presentation).
Ví dụ: Cho tập Z23*, thì ta có thể tìm được:
Nhóm con G (11) = {1, 2, 3, 4, 6, 8, 9, 12, 13, 16, 18} với những phần tử sinh gi
là: 2, 3, 4, 6, 8, 9, 12, 13, 16, 18.
{2, 3} là 2 phần tử sinh của nhóm con G (11) trong Z23*.
Bài toán đại diện là với h = 13 G (11), tìm {a1, a2} sao cho:
13 = 2a1 * 3a2 mod 23
Logarit hai vế, có a1*log(2) + a2*log(3) = log(13) mod 23.
Kết quả là: a1 = 2 và a2 =2, vì 22 * 32 = 4*9 = 36 = 13 mod 23.
Hay a1 = 7 và a2 = 11, vì 27 * 311 = 128*177147 = 13 mod 23.
1.1.8. Hàm một phía và hàm một phía có cửa sập
1) Hàm một phía
Một hàm một phía là hàm mà dễ dàng tính toán ra quan hệ một chiều, nhưng rất
khó để tính ngược lại. Ví như biết x thì có thể dễ dàng tính ra f(x), nhưng nếu biết f(x)
thì rất khó tính ra được x. Trong trường hợp này “khó” có nghĩa là để tính ra được kết
quả thì phải mất rất nhiều thời gian để tính toán.
Ví dụ:
Tính y = f(x) = αx mod p là dễ nhưng tính ngược lại x = logα y là bài toán “khó”
(bài toán logarit rời rạc)
-18-
2) Hàm một phía có cửa sập
F(x) được gọi là hàm một phía có cửa sập nếu tính xuôi y = f(x) thì dễ, nhưng
tính ngược x = f-1(y) thì khó, tuy nhiên nếu có “cửa sập” thì vấn đề tính ngược trở nên
dễ dàng. Cửa sập ở đây là một điều kiện nào đó giúp chúng ta dễ dàng tính ngược. [1]
Ví dụ:
y = f(x) =xb mod n tính xuôi thì dễ nhưng tính ngược x= ya mod n thì khó, vì phải
biết a với a * b 1 (mod( (n)) trong đó (n) = (p-1)(q-1)). Nhưng nếu biết cửa sập
p, q thì ta tính (n) sau đó tính a trở nên dễ dàng.
1.1.9. Độ phức tạp tính toán
Độ phức tạp tính toán (về không gian hay thời gian) của một tiến trình tính toán
là số ô nhớ được dùng hay số các phép toán sơ cấp được thực hiện trong tiến trình tính
toán đó. Dữ liệu đầu vào đối với một thuật toán thường được biểu diễn qua các từ
trong một bảng ký tự nào đó. Độ dài của một từ là số ký tự trong từ đó.
Cho thuật toán A trên bảng ký tự Z ( tức là có các đầu vào là các từ trong Z). Độ
phức tạp tính toán của thuật toán A được hiểu như một hàm số fa(n) sao cho với mỗi số
n thì fa(n) là số ô nhớ, hay số phép toán sơ cấp tối đa mà A cần để thực hiện tiến trình
tính toán của mình trên các dữ liệu vào có độ dài nhỏ hơn hoặc bằng n. Ta nói: thuật
toán A có độ phức tạp thời gian đa thức, nếu có một đa thức p(n) sao cho với mọi n đủ
lớn ta có: fa(n) p(n), trong đó fa(n) là độ phức tạp tính toán theo thời gian của A.
Bài toán P được gọi là “giải được” nếu tồn tại thuật toán để giải nó, tức là thuật
toán làm việc có kết thúc trên mọi dữ liệu đầu vào của bài toán. Bài toán P được gọi là
“giải được trong thời gian đa thức” nếu có thuật toán giải nó với độ phức tạp thời gian
đa thức. [1]
-19-
1.2. TỔNG QUAN VỀ AN TOÀN THÔNG TIN
1.2.1. Tại sao phải đảm bảo an toàn thông tin
Ngày nay, với sự phát triển mạnh mẽ của công nghệ thông tin thì việc ứng dụng
các công nghệ mạng máy tính trở nên vô cùng phổ cập và cần thiết.
Công nghệ mạng máy tính đã mang lại những lợi ích to lớn. Sự xuất hiện mạng
Internet cho phép mọi người có thể truy cập, chia sẻ và khai thác thông tin một cách dễ
dàng và hiệu quả. Việc ứng dụng các mạng cục bộ trong các tổ chức, công ty hay trong
quốc gia là rất phong phú. Các hệ thống chuyển tiền của các ngân hàng hàng ngày có
thể chuyển hàng tỷ đôla qua hệ thống của mình. Các thông tin về kinh tế, chính trị,
khoa học xã hội được trao đổi rộng rãi. Nhất là trong quân sự và kinh tế, bí mật là yếu
tố vô cùng quan trọng, do vậy các thông tin về quân sự và kinh tế được xem như là các
thông tin tuyệt mật và cần được bảo vệ cẩn thận. Đó cũng là một quá trình tiến triển
hợp logic, một yêu cầu thực tế tất yếu đặt ra cần phải được giải quyết. Những thông tin
này khi bị lộ có thể làm thay đổi cục diện của một cuộc chiến tranh hay làm phá sản
nhiều công ty và làm xáo động thị trường.
Internet không chỉ cho phép truy cập vào nhiều nơi trên thế giới mà còn cho phép
nhiều người không mời mà tự ghé thăm máy tính của chúng ta. Internet có những kỹ
thuật tuyệt vời cho phép mọi người truy nhập, khai thác, chia sẻ thông tin. Nhưng nó
cũng là nguy cơ chính dẫn đến thông tin bị hư hỏng hoặc bị phá hủy hoàn toàn, là đối
tượng cho nhiều người tấn công với các mục đích khác nhau. Đôi khi cũng chỉ đơn
giản là thử tài hay đùa bỡn với người khác. Nguy hiểm hơn là các thông tin quan trọng
có liên quan đến an ninh của một quốc gia, bí mật kinh doanh của một tổ chức kinh tế
hay các thông tin về tài chính, lại thường là mục tiêu nhằm vào của các tổ chức tình
báo nước ngoài hoặc của kẻ cắp nói chung. Thử tưởng tượng nếu có kẻ xâm nhập được
vào hệ thống chuyển tiền của các ngân hàng, thì ngân hàng đó sẽ chịu những thiệt hại
to lớn như mất tiền và có thể dẫn tới phá sản. Đó là chưa tính đến mức độ nguy hại,
một hậu quả không thể lường trước được khi hệ thống an ninh quốc gia bị đe dọa.
Để hình dung được mức độ nguy hại mà kẻ tấn công gây ra như thế nào, chúng ta
thử tìm hiểu những con số mà đội cấp cứu máy tính CERT (Computer Emegency
Response Team) đã cung cấp cho chúng ta như sau: số lượng các vụ tấn công trên
Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào
năm 1991, 1400 vào năm 1993, và 2241 vào năm 1994. [1]
-20-
Các vụ tấn công này có quy mô khổng lồ, có tới 100.000 máy tính có mặt trên
Internet, của các công ty lớn như AT&T, IBM; của các trường đại học, các cơ quan
nhà nước, các tổ chức quân sự, nhà băng,… bị tấn công. Không chỉ số lượng các cuộc
tấn công tăng lên nhanh chóng, mà các phương pháp tấn công cũng liên tục được hoàn
thiện. Như vậy, khi phải đối mặt với những khó khăn đó chúng ta phải giải quyết ra
làm sao?
Chính vì vậy vấn đề an toàn thông tin trở thành yêu cầu chung của mọi hoạt động
kinh tế xã hội và giao tiếp của con người, và là vấn đề cấp bách cần được cọi trọng và
quan tâm đặc biệt.
1.2.2. Một số vấn đề rủi ro mất an toàn thông tin.
1.2.2.1. Xâm phạm tính bí mật.
Các hệ thống TMĐT lưu giữ dữ liệu của người dùng và lấy lại các thông tin về
sản phẩm từ các CSDL kết nối với máy chủ Web. Ngoài các thông tin về sản phẩm,
các CSDL có thể chứa các thông tin có giá trị và mang tính riêng tư.
Khi giao dịch qua internet, thông tin giao dịch được truyền đi trên mạng, những
thông tin này rất có thể bị nghe nén, hay bị dò rỉ, bị đánh cắp trên đường truyền làm lộ
tính bí mật của cuộc giao dịch. Trong một cuộc giao dịch điện tử nói việc đảm bảo tính
bí mật luôn phải đặt lên hàng đầu.Bằng không, doanh nghiệp có thể gặp những nguy
cơ như nghe trộm, giả mạo, mạo danh hay chối cãi nguồn gốc ...
Khi những thông tin nhạy cảm như thông tin cá nhân, thông tin thẻ tín dụng,
thông tin giao dịch… bị lấy cắp trên đường truyền gây ra những thiệt hại không nhỏ
với cả hai bên giao dịch. Một phần mềm đặc biệt, được gọi là trình đánh hơi (sniffer)
đưa ra cách móc nối vào Internet và ghi lại thông tin qua các máy tính đặc biệt (thiết bị
định tuyến - router) trên đường đi từ nguồn tới đích. Chương trình sniffer gần giống
với việc móc nối vào đường dây điện thoại để nghe thông tin cuộc đàm thoại. Chương
trình sniffer có thể đọc thông báo thư tín điện tử cũng như các thông tin TMĐT.
Tình trạng lấy cắp số thẻ tín dụng là một vấn đề quá rõ ràng, nhưng các thông tin
thỏa thuận hợp đồng, hoặc các trang dữ liệu được phát hành gửi đi cho các chi nhánh
của hãng có thể bị chặn xem một cách dễ dàng. Thông thường các thông tin bí mật của
hãng, các thông tin trong cuộc giao kết hợp đồng còn có giá trị hơn nhiều so với một
số thẻ tín dụng, các thông tin bị lấy cắp của hãng có thể trị giá đến hàng triệu đô la.
-21-
1.2.2.2. Xâm phạm tính toàn vẹn
Mối hiểm họa đối với tính toàn vẹn tồn tại khi một thành viên trái phép có thể
sửa đổi các thông tin trong một thông báo. Các giao dịch ngân hàng không được bảo
vệ, ví dụ tổng số tiền gửi được chuyển đi trên internet, là chủ thể của xâm phạm tính
toàn vẹn. Tất nhiên, tính xâm phạm toàn vẹn bao hàm cả xâm phạm tính bí mật. Bởi vì
một đối tượng xâm phạm (sửa đổi thông tin trái phép) có thể đọc và làm sáng tỏ thông
tin. Không giống hiểm họa với tính bí mật. Các hiểm họa tới tính toàn vẹn gây ra sự
thay đổi trong các hoạt động của một cá nhân hoặc một công ty, do nội dung cuộc
truyền thông bị thay đổi
Phá hoại điều khiển (Cyber vandalism) là một ví dụ về xâm phạm tính toàn vẹn.
Cyber vandalism phá (xóa bỏ để không đọc được) một trang web đang tồn tại.
Cyber Vandalism xảy ra bất cứ khi nào, khi các cá nhân thay đổi định kỳ nội dung
trang web của họ.
Tấn công toàn vẹn chính và việc sửa đổi một yêu cầu và gửi nó tới máy chủ của
một công ty thực. Máy chủ thương mại không biết được tấn công này, nó chỉ kiểm tra
số thẻ tin dụng của khách hàng và tiếp tục thực hiện yêu cầu.
1.2.2.3. Xâm phạm tính sẵn sàng
Mục đích của xâm phạm tính sẵn sàng là phá vỡ quá trình xử lý thông thường
của máy tính hoặc chối bỏ toàn bộ quá trình xử lý.
Xâm phạm tính sẵn sàng là tấn công từ chối giao dịch. Khi khách hàng, đối tác
thấy các sản phẩm hàng hóa của doanh nghiệp, nhà cung cấp…thỏa mãn các yêu cầu
về sản phẩm của họ, họ muốn thỏa thuận giao kết hợp đồng với nhà cung cấp. Một kết
nối giao dịch đến nhà cung cấp được thiết lập. Tấn công từ chối giao dịch sẽ ngăn cản
làm chậm thậm chí từ chối sự kết nối giao dịch này. Điều này ảnh hưởng rất lớn đến
hoạt động thương mại của doanh nghiệp, gây tổn thất doanh thu, thậm chí gây mất
lòng tin của khách hàng- yếu tố được chú trọng hàng đầu của doanh nghiệp.
-22-
1.2.2.4. Giả mạo nguồn gốc giao dịch
Giao dịch trên mạng là loại hình giao dịch không biên giới, có tính chất toàn cầu.
Các bên giao dịch không gặp nhau, thậm chí không hề quen biết nhau, và đây cũng
chính là cơ hội để cho kẻ xấu lợi dụng để thực hiện mục đích của mình. Vì vậy, việc
kiểm tra tính đúng đắn của thông tin trong giao dịch cần phải được thực hiện thường
xuyên để phòng tránh những rủi ro như thông tin gây nhiễu, giả mạo hay lừa đảo.
Mặc dù đã dùng những biện pháp kỹ thuật để bảo mật thông tin trong giao dịch,
song khi nhận được các thông tin người dùng vẫn phải kiểm tra tính đúng đắn, xác
thực của thông tin.
1.2.2.5. Chối bỏ giao dịch
Chối bỏ giao dịch được được định nghĩa là sự không thừa nhận của một trong các
thực thể tham gia truyền thông, anh ta không tham gia tất cả hoặc một phần cuộc
truyền thông … Khác với giao dịch thông thường khi đối tác hai bên biết mặt nhau, thì
trong giao dịch điện tử được thực hiện trong môi trường Internet … Các bên tham gia
giao dịch điện tử ở cách xa nhau về địa lý, thậm chí họ có thể không biết mặt nhau thì
vấn đề chối bỏ giao dịch có thể xảy ra rất cao và luật pháp cho chúng chưa nhiều, gây
ra những thiệt hại to lớn cho bên tham giao dịch.
1.2.2.6. Các hiểm họa đối với hệ thống giao dịch
1) Hiểm họa với máy chủ
Máy chủ là liên kết thứ 3 trong bộ ba máy khách - Internet - máy chủ (Client -
Internet-Server), bao gồm đường dẫn TMĐT giữa một người dùng và một máy chủ
thương mại. Máy chủ có những điểm yếu dễ bị tấn công và một đối tượng nào đó có
thể lợi dụng những điểm yếu này để phá huỷ, hoặc thu được các thông tin một cách
trái phép. Hiểm hoạ đối với máy chủ bao gồm máy chủ Web, máy chủ CSDL và các
phần mềm của chúng, các chương trình phụ trợ bất kỳ có chứa dữ liệu, các chương
trình tiện ích được cài đặt trong máy chủ.
Hiểm họa với máy chủ CSDL:
Các hệ thống TMĐT lưu giữ dữ liệu của người dùng và lấy lại các thông tin về
sản phẩm từ các CSDL kết nối với máy chủ Web. Ngoài các thông tin về sản phẩm,
các CSDL có thể chứa các thông tin có giá trị và mang tính riêng tư. Tính bí mật luôn
sẵn sàng trong các CSDL, thông qua các đặc quyền được thiết lập trong CSDL.
-23-
Tuy nhiên, một số CSDL lưu giữ mật khẩu/tên người dùng một cách không an
toàn, hoặc dựa vào máy chủ Web để có an toàn. Khi an toàn bị vi phạm, CSDL bị
dùng bất hợp pháp, làm lộ hoặc tải về các thông tin mang tính cá nhân và quý giá. Các
chương trình con ngựa thành Tơroa nằm ẩn trong hệ thống CSDL cũng có thể làm lộ
các thông tin bằng việc giáng cấp các thông tin này (có nghĩa là chuyển các thông tin
nhạy cảm sang một vùng ít được bảo vệ của CSDL, do đó bất cứ ai cũng có thể xem
xét các thông tin này). Khi các thông tin bị giáng cấp, tất cả những người dùng, không
ngoại trừ những đối tượng xâm nhập trái phép cũng có thể truy nhập.
Hiểm họa với máy chủ web:
Các máy chủ Web được thiết lập chạy ở các mức đặc quyền khác nhau. Mức
thẩm quyền cao nhất có độ mềm dẻo cao nhất, cho phép các chương trình thực hiện tất
cả các chỉ lệnh của máy và không giới hạn truy nhập vào tất cả các phần của hệ thống,
không ngoại trừ các vùng nhạy cảm và phải có thẩm quyền. Việc thiết lập một máy
chủ Web chạy ở mức thẩm quyền cao có thể gây hiểm hoạ về an toàn đối với máy chủ
Web. Trong hầu hết thời gian, máy chủ Web cung cấp các dịch vụ thông thường và
thực hiện các nhiệm vụ với một mức thẩm quyền rất thấp. Nếu một máy chủ Web chạy
ở mức thẩm quyền cao, một đối tượng xấu có thể lợi dụng một máy chủ Web để thực
hiện các lệnh trong chế độ thẩm quyền.
Một trong các file nhạy cảm nhất trên máy chủ Web chứa mật khẩu và tên người
dùng của máy chủ Web. Nếu file này bị tổn thương, bất kỳ ai cũng có thể thâm nhập
vào các vùng thẩm quyền, bằng cách giả mạo một người nào đó. Do đó, có thể giả
danh để lấy được các mật khẩu và tên người dùng nên các thông tin liên quan đến
người dùng không còn bí mật nữa.
2) Hiểm họa với máy khách
Cho đến khi được biểu diễn trên web, các trang web chủ yếu được biểu diễn dưới
trạng thái tĩnh. Thông qua ngôn ngữ biểu diễn siêu văn bản HTML, các trang tĩnh cũng
ở dạng động một phần chứ không đơn thuần chỉ hiển thị nội dung và cung cấp liên kết
các trang web với thông tin bổ sung. Việc dùng những nội dung động (active content)
mang lại sự sống động cho web tĩnh nhưng đã gây ra một số rủi ro cho trong TMĐT.
Gây ra những hiểm họa với máy khách. Active content được dùng trong TMĐT để đặt
các khoản mục mà chúng ta muốn mua trong giỏ mua hàng và tính toán tổng số hóa
đơn, bao gồm thuế bán hàng, các chi phí vận chuyển và chi phí xử lý.
-24-
Các nhà phát triển nắm lấy active content vì nó tận dụng tối đa chức năng của
HTML và bổ sung thêm sự sống cho các trang web, làm cho trang web có tương tác
với người dùng cao hơn. Nó cũng giảm bớt gánh nặng cho các máy chủ khi phải xử lý
nhiều dữ liệu. Gánh nặng này được chuyển bớt sang cho máy khách nhàn dỗi của
người dùng.
Active content cho các trang Web khả năng thực hiện các hoạt động trong suốt
hoàn toàn đối với bất kỳ người nào xem duyệt trang Web chứa chúng. Bất kỳ ai cố tình
gây hại cho một máy khách đều có thể nhúng một active content gây hại vào các trang
Web. Kỹ thuật lan truyền này được gọi là con ngựa thành Tơroa.
Các cookie được dùng để nhớ các thông tin yêu cầu của khách hàng, hoặc tên
người dùng và mật khẩu. Nhiều active content gây hại có thể lan truyền thông qua các
cookie, chúng có thể phát hiện được nội dung của các file phía máy khách, hoặc thậm
chí có thể huỷ bỏ các file được lưu giữ trong các máy khách. Trên máy tính cá nhân có
lưu một số lượng lớn các cookie giống như trên Internet và một số các cookie có thể
chứa các thông tin nhạy cảm và mang tính chất cá nhân.
Như vậy, các hiểm hoạ đối với máy khách khi khai thác thông tin qua Internet là
lớn và rất khó nhận diện.
3) Các hiểm họa đối với kênh truyền thông
Internet đóng vai trò kết nối một khách hàng với một tài nguyên TMĐT (máy
tính dịch vụ thương mại). Chúng ta đã xem xét các hiểm hoạ đối với các máy khách,
máy chủ, các tài nguyên tiếp theo chính là kênh truyền thông, các kênh này được dùng
để kết nối các máy khách và máy chủ.
Các thông báo trên Internet được gửi đi theo một đường dẫn ngẫu nhiên, từ nút
nguồn tới nút đích. Các thông báo đi qua một số máy tính trung gian trên mạng trước
khi tới đích cuối cùng và mỗi lần đi chúng có thể đi theo những tuyến đường khác
nhau. Không có gì đảm bảo rằng tất cả các máy tính mà thông báo đi qua trên Internet
đều an toàn. Những đối tượng trung gian có thể đọc các thông báo, sửa đổi, hoặc thậm
chí có thể loại bỏ hoàn toàn các thông báo của chúng ta ra khỏi Internet. Do vậy, các
thông báo được gửi đi trên mạng là đối tượng có khả năng bị xâm phạm đến tính bí
mật, tính toàn vẹn và tính sẵn sàng. [3]
-25-
1.2.3. Chiến lược đảm bảo an toàn thông tin
Giới hạn quyền: Đây là nguyên tắc cơ bản trong an toàn nói chung. Đối với mỗi
người dùng hệ thống chỉ được truy nhập vào một số tài nguyên hệ thống nhất định, đủ
để dùng cho công việc của mình. Phòng thủ theo chiều sâu: phân ra thành nhiểu lớp
bảo vệ. Dưới đây là hình vẽ tượng trưng cho lớp bảo vệ đó.
Hình 1.1: Các lớp bảo vệ thông tin
Thông tin nằm ở tầng trong cùng, trên nó là sự giới hạn quyền truy nhập, tiếp
theo là giới hạn đăng nhập và mật khẩu, tiếp theo là mã hóa thông tin, tiếp theo là bảo
vệ vât lý (khóa cửa phòng máy tính, khóa bàn phím, ổ ghi…), ngoài cùng là tường lửa.
Các phương pháp bảo đảm an toàn thông tin:
1) Kiểm soát truy nhập thông tin. Bao gồm:
+ Kiểm soát, ngăn chặn các thông tin vào ra hệ thống máy tính
+ Kiểm soát, cấp quyền sử dụng các thông tin trong hệ thống máy tính
+ Kiểm soát, tìm diệt Vius vào ra hệ thống máy tính
Công cụ, kỹ thuật sử dụng để kiểm soát truy nhập là: Mật khẩu, tường lửa, mạng riêng
ảo, nhận dạng, xác thực thực thể, cấp quyền hạn.
2) Bảo mật thông tin.
Nhằm đảm bảo thông tin không bị lộ đối với người không được phép.
Công cụ, kỹ thuật sử dụng để bảo mật thông tin là: Mã hóa ( Thay đổi hình dạng dữ
liệu gốc, người khác khó nhận ra), giấu tin (cất giấu dữ liệu này trong môi trường dữ
liệu khác).
3) Bảo toàn thông tin
Nhằm ngăn chặn, hạn chế việc bổ sung, loại bỏ và sửa dữ liệu không được phép.
Công cụ, kỹ thuật sử dụng để bảo toàn thông tin là: Mã hóa, giấu tin, hàm băm, ký số,
thủy ký.
Thông tin
Mã hóa
dữ liệu
Bảo vệ bằng
phương pháp
vật lí
Password
đăng
nhập
Quyền
truy nhập
-26-
4) Xác thực nguồn gốc thông tin
Nhằm xác thực đúng thực thể cần kết nối, giao dịch, nguồn gốc của thông tin.
Công cụ, kỹ thuật sử dụng để xác thực nguồn gốc thông tin là: Chữ ký số, giao thức
xác thực thông tin.
5) Phương pháp chống chối cãi
Nhằm xác thực đúng thực thể có trách nhiệm về nội dung thông tin.
Công cụ, kỹ thuật sử dụng để xác thực thực thể, chống chối cãi là: Chữ ký số, giao
thức xác thực thông tin, truy tìm dấu vết.
6) Kiểm soát và xử lý các « lỗ hổng » an ninh.
Phát hiện và xử lý các « lỗ hổng » trong các thuật toán, các giao thức mật mã
giấu tin, trong các giao thức mạng, hệ điều hành mạng và trong các ứng dụng. [1]
-27-
1.3. TỔNG QUAN VỀ THANH TOÁN ĐIỆN TỬ
1.3.1. Khái niệm Thương mại điện tử
Ngày nay, Khi Internet phát triển mạnh mẽ và ngày càng trở nên phổ cập, thì
khái niệm TMĐT (E- commerce) không còn xa lạ với dân cư mạng nói riêng, và toàn
xã hội nói chung. Đó là quá trình mua bán hàng hóa hay dịch vụ thông qua việc truyền
dữ liệu giữa các máy tính trong chính sách phân phối tiếp thị thông qua mạng internet.
Bao gồm tất cả các loại giao dịch thương mại trong đó tất cả các đối tác thương
mại dùng kỹ thuật công nghệ thông tin.
1.3.2. Vấn đề thanh toán điện tử
Thanh toán là một trong những vấn đề phức tạp nhất của hoạt động thương mại
điện tử (TMĐT). Hoạt động TMĐT chỉ phát huy được tính ưu việt của nó khi áp dụng
được hình thức thanh toán từ xa - thanh toán điện tử.
Thanh toán điện tử (electronic payment) là việc thanh toán tiền thông qua các
thông điệp điện tử (electronic message) thay cho việc thanh toán bằng séc hay tiền
mặt. Bản chất của mô hình thanh toán điện tử cũng là mô phỏng lại những mô hình
mua bán truyền thống, nhưng từ các thủ tục giao dịch, thao tác xử lý dữ liệu rồi thực
hiện chuyển khoản, tất cả đều thực hiện thông qua hệ thống máy tính được nối mạng
bằng các giao thức riêng chuyên dụng. [7],[8].
Về mặt mô hình, một phương thức thanh toán nói chung là một mô tả hoạt động
của một hệ thống xử lý phân tán có nhiều bên tham gia, trong đó có hai bên cơ bản là
bên mua (người trả tiền) và bên bán (người được trả tiền). Các bên được đại diện bởi
các máy tính của mình nối với nhau qua mạng máy tính, sử dụng chúng để thực hiện
các giao thức thanh toán.
Hệ thống có thể có các tổ chức tài chính (ví dụ các ngân hàng) đại diên cho mỗi
bên. Trong một số hệ thống thanh toán lại sử dụng một thực thể khác đóng vai trò là
người môi giới, đảm nhiệm việc phát hành những hình thức của tiền hoặc một vật thể
nào đó mang giá trị trao đổi thanh toán thường được gọi là đồng tiền số (digital coin)
hoặc séc điện tử (electronic cheque) và đổi lại thành tiền mặt.
Đặc trưng của mô hình thanh toán điện tử là các bên tham gia sẽ trao đổi với
nhau các chứng từ được số hoá (thành những chuỗi bit máy tính có thể dùng được).
Bản chất là bên được thanh toán có thể thông qua ngân hàng của mình (tất nhiên là
phải liên hệ với ngân hàng của bên thanh toán) để chuyển tiền vào tài khoản của mình.
Các quá trình này sẽ được phản ánh trong các giao thức thanh toán của mỗi hệ thống.
-28-
Có 2 mô hình thanh toán được sử dụng trong thanh toán điện tử là:
Mô hình trả sau:
Trong mô hình này, thời điểm tiền mặt được rút ra khỏi tài khoản bên mua để
chuyển sang bên bán, xảy ra ngay (pay-now) hoặc sau (pay-later) giao dịch mua bán.
Hoạt động của hệ thống dựa trên nguyên tắc tín dụng (credit credential). Nó còn được
gọi là mô hình mô phỏng Séc (Cheque-like model)
Mô hình trả trước:
Trong mô hình này, khách hàng liên hệ với ngân hàng (hay công ty môi giới –
broker) để có được chứng từ do ngân hàng phát hành. Chứng từ hay đồng tiền số này
mang dấu ấn của ngân hàng, được đảm bảo bởi ngân hàng và do đó có thể dùng ở bất
cứ nơi nào đã có xác lập hệ thống thanh toán với ngân hàng này.
Vì nó có thể sử dụng giống như tiền mặt, do đó mô hình này còn được gọi là mô
hình mô phỏng tiền mặt (Cash-like model).
Có 2 hình thức thanh toán trong thanh toán điện tử là :
Thanh toán ngoại tuyến (off-line payment)
Phiên giao dịch giữa người sử dụng và nhà cung cấp có thể diễn ra, mà không
cần đến sự tham gia của ngân hàng. Nói cách khác, nhà cung cấp tự kiểm tra tính hợp
lệ của đồng tiền, mà không cần sự trợ giúp của bên thứ ba.
Thanh toán trực tuyến (online payment)
Trong mỗi lần giao dịch, nhà cung cấp sẽ yêu cầu ngân hàng kiểm tra tính hợp lệ
của đồng tiền do người dùng chuyển trước khi chấp nhận thanh toán. Vì vậy, hệ thống
thanh toán trực tuyến có khả năng kiểm tra được tính tin cậy của đồng tiền.
Thanh toán trực tuyến thích hợp với những giao dịch có giá trị lớn. Với hệ thống
này, quá trình thanh toán và gửi tiền vào ngân hàng tách biệt nhau trong mỗi lần giao
dịch. Do vậy, chi phí về thời gian cũng như tiền bạc sẽ tốn kém hơn. [3], [7], [8].
-29-
1.4. CÔNG CỤ CNTT DÙNG TRONG THANH TOÁN ĐIỆN TỬ
1.4.1 Hạ tầng cơ sở bảo đảm an toàn thông tin
1.4.1.1. Tường lửa
Tường lửa được dùng như một hàng rào giữa một mạng (cần được bảo vệ) và
internet hoặc mạng khác (có khả năng gây ra mối đe dọa). Mạng và các máy tính cần
được bảo vệ nằm bên trong bức tường lửa, các mạng khác nằm ở bên ngoài. Các bức
tường lửa có các đặc điểm sau đây:
Tất cả các luồng thông tin từ trong ra ngoài, từ ngoài vào trong đều phải chịu sự
quản lý của nó.
Chỉ có các luồng thông tin được phép đi qua nó.
Bức tường lửa tự bảo vệ mình.
Các bức tường lửa hoạt động ở tầng ứng dụng. Chúng cũng có thể hoạt động ở
tầng mạng và tầng vận tải. Các site của công ty khác nhau phải có một bức tường lửa
cho mỗi kết nối ngoài với internet. Đảm bảo một phạm vi an toàn không thể phá vỡ.
Ngoài ra, mỗi bức tường lửa trong công ty phải tuân theo chính sách an toàn.
1.4.1.2. Mạng riêng ảo
Mạng riêng ảo VPN (Virtual Private Network) là giải pháp công nghệ cho phép
thiết lập mạng dùng riêng trên nền mạng công cộng sẵn có bằng cơ chế mã hóa, tạo ra
các “đường hầm ảo” thông suốt và bảo mật.
Bảo mật của VPN còn được hỗ trợ bằng công nghệ thẻ thông minh và sinh trắc
học. Micrsoft đã tích hợp một giao thức khác gọi là EAP-TLS trong Windows, chuyên
trách công việc này cho VPN truy cập từ xa.
EAP-TLS là chữ viết tắt của Extensible Authentication Protocol - Transport
Layer Security (giao thức thẩm định quyền truy cập có thể mở rộng - bảo mật lớp
truyền dẫn). Kết nối dựa trên giao thức này đòi hỏi có một chứng nhận người dùng
(user certificate) trên cả máy khách và máy chủ IAS của mạng VPN. Đây là cơ chế có
mức độ an toàn nhất ở cấp độ người dùng.
-30-
Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng
chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như "Văn
phòng" tại gia) hoặc người dùng (Nhân viên di động) truy cập đến từ bên ngoài. [3]
1.4.1.3 Hạ tầng mật mã hóa công khai
Nhu cầu sử dụng dịch vụ chữ ký số trong đời sống xã hội đang ngày được quan
tâm. Để có thể triển khai dịch vụ này thì cần phải có một cơ sở hạ tầng mật mã hóa
công khai (PKI) hoàn chỉnh, ổn định.
Khái niệm PKI đã được thế giới biết đến từ hơn 20 năm nay, hiện đang được coi
là giải pháp tốt nhất trong việc bảo mật, xác thực và toàn vẹn dữ liệu trong các giao
dịch điện tử với các ứng dụng trực tuyến như ngân hàng điện tử, thanh toán điện tử, ký
số tài liệu, xác thực đăng nhập…
Hàng triệu người trên khắp thế giới đã truy cập vào các website để thực hiện các
tác vụ như thanh toán ngân hàng, mua bán trực tuyến… và PKI được sử dụng để đảm
bảo an toàn cho các phiên giao dịch đó.
Tại Việt Nam, giao dịch điện tử cũng đã được phát triển mạnh mẽ cả ở khối Nhà
nước cũng như khối thương mại – doanh nghiệp, và đi kèm theo đó là nhu cầu cần
có ứng dụng chữ ký số (chữ ký điện tử), nhiều Bộ, ngành đã và đang chuẩn bị triển
khai các dịch vụ công trực tuyến bắt buộc phải sử dụng chữ ký số mới đạt yêu cầu dịch
vụ hoàn chỉnh, điển hình như thuế điện tử (e-tax) của Tổng cục Thuế, ngân hàng điện
tử (e-banking) của Ngân hàng Nhà nước, chứng nhận nguồn gốc xuất xứ điện tử (e-
certificate of origin) của Bộ Công Thương…
Cơ sở hạ tầng khoá công khai PKI có thể hiểu là một tập hợp các công cụ,
phương tiện và các giao thức đảm bảo an toàn truyền tin cho các giao dịch trên mạng
máy tính công khai. Đó là nền móng mà trên đó các ứng dụng, các hệ thống an toàn
bảo mật thông tin được thiết lập. [2], [13].
Hình 1.2 : Một hệ thống mạng riêng ảo
-31-
1.4.2. Một số tiện ích dùng trong thanh toán điện tử
1.4.2.1. Thanh toán bằng các loại thẻ
1) Thẻ tín dụng
Thanh toán bằng thẻ tín dụng là phương thức được sử dụng rộng rãi nhất hiện
nay trên Internet. Để thực hiện giao dịch, người mua hàng chỉ việc cung cấp số hiệu
thẻ và thời hạn sử dụng của tấm thẻ, người bán sẽ chuyển các thông tin này đến ngân
hàng để xác nhận giao dịch. Phương thức thanh toán này chủ yếu thực hiện thanh toán
theo kiểu trực tuyến.
Ưu điểm: Đây là phương thức thanh toán đơn giản và dễ sử dụng.
Nhược điểm: Kiểu thanh toán này không an toàn cho cả hai bên mua và bán,
không cho phép ẩn danh, chi phí cao và không cho phép thanh toán nhỏ lẻ.
2) Thẻ “tiền mặt”
Thẻ “tiền mặt” được phát triển đáp ứng nhu cầu giảm việc giữ tiền mặt của khách
hàng và mong muốn phương tiện thanh toán thuận tiện và linh hoạt hơn. Thẻ “tiền
mặt” được phân loại theo đặc điểm vật lý thành hai loại: thẻ từ và thẻ thông minh.
Thẻ từ, đã tồn tại khá lâu, sử dụng các vạch từ để lưu trữ thông tin, trong khi thẻ
thông minh sử dụng công nghệ vi mạch để lưu trữ thông tin, khắc phục nhược điểm về
tính an toàn của thẻ từ. Thẻ thông minh được thiết kế nhằm ngăn chặn tình trạng giả
mạo và làm sai lệch các thông tin được lưu giữ.
1.4.2.2. Thanh toán bằng séc điện tử
Séc điện tử chính là một hình thức thể hiện của séc giấy. Nói cách khác, séc điện
tử bao gồm tất cả các thông tin trên séc giấy truyền thống nhưng có thể chuyển được
bằng thư điện tử (e-mail), có khuôn dạng đặc biệt được gửi trên Internet. Bên trong
bức thư điện tử là tất cả các thông tin giống như trên một tấm séc giấy gồm tên người
hưởng, số tiền, ngày thanh toán, số tài khoản người trả tiền và ngân hàng của người
trả. Séc điện tử được “ký” bằng chữ ký điện tử của người gửi và được mã hoá bằng
khoá công khai của người nhận. Nó cũng gồm một xác nhận số từ ngân hàng của
người gửi xác nhận rằng số tài khoản là hợp lệ và thuộc về người ký tờ séc này.
-32-
1.4.2.3. Thanh toán bằng tiền điện tử
Đây là phương tiện thanh toán được sử dụng trong thương mại điện tử. Tiền điện
tử e-cash (còn gọi là tiền mặt số, xu điện tử…) có các thông tin giống như trên tiền
mặt thông thường: nơi phát hành, giá trị bao nhiêu và số seri duy nhất.
Người tiêu dùng có thể mua tiền mặt điện tử và lưu trữ nó trong một ví tiền số
(digital wallet hoặc electronic purse) trên một đĩa nhớ. Ví tiền số gồm bàn phím và
màn hình. Nó có thể được kết nối tới tài khoản ngân hàng của người tiêu dùng và có
thể nạp thêm tiền bất cứ lúc nào.
Người dùng có thể tiêu tiền số tại bất kỳ cửa hàng nào chấp nhận tiền mặt điện
tử, mà không phải mở tài khoản hay chuyển đi số thẻ tín dụng. [3],[7],[8].
-33-
CHƯƠNG 2 HẠ TẦNG CƠ SỞ BẢO ĐẢM AN TOÀN
THÔNG TIN
2.1. HẠ TẦNG MẠNG MÁY TÍNH
2.1.1. Mạng Lan, Wan, Intranet, Extranet và Internet
2.1.1.1. Mạng cục bộ ( LAN)
Các mạng cục bộ (Local area networks-LANs) nối kết các máy tính và các thiết
bị xử lý thông tin khác trong một khu vực hạn chế, như văn phòng, lớp học, tòa nhà,
nhà máy sản xuất, hay nơi làm việc khác. LANs đã trở nên thông dụng trong nhiều tổ
chức đối với việc cung cấp các khả năng mạng viễn thông nối kết nhiều người dùng
trong các văn phòng, bộ phận, và các nhóm làm việc khác.
LANs sử dụng nhiều phương tiện viễn thông, như dây điện thoại thông thường,
cáp đồng trục, hay thậm chí các hệ thống vô tuyến để nối các trạm máy vi tính và các
thiết bị ngoại vi với nhau. Để giao tiếp qua mạng, mỗi PC thường có một bo mạch
được gọi là một card giao tiếp mạng. Phần lớn LANs dùng một máy vi tính mạnh hơn
có dung lượng đĩa cứng lớn, được gọi là file server hay máy chủ mạng, chứa chương
trình hệ điều hành mạng kiểm soát viễn thông, cách dùng và chia sẻ tài nguyên mạng.
Ví dụ, nó phân phối các bản sao các tập tin dữ liệu thông thường và các bộ phần mềm
đến các máy vi tính khác trong mạng và kiểm soát truy cập đến các máy in và các thiết
bị ngoại vi khác đã được chia sẻ.
Hình 2.1 : Mạng LAN cho phép chia sẻ
tài nguyên phần cứng, phần mềm và dữ liệu
-34-
Topo mạng cục bộ
Topo (hay topology) mạng là sơ đồ vật lý của một mạng cục bộ.
Mạng LAN đầu tiên sử dụng kiểu kênh/tuyến (Bus). Dây cáp mạnh tạo thành một
kênh duy nhất và các máy trạm nối vào đó. Để giải quyết tranh chấp, mạng bus sử
dụng vài loại kỹ thuật quản lý tranh chấp. Kỹ thuật này nhằm loại bỏ dữ liệu bị hỏng
do tranh chấp. Mạng có ưu điểm là thiết kế đơn giản nhưng khó kiểm soát và không
thể đưa thêm một trạm vào giữa mạng.
Kiểu hình sao (Star) giải quyết vấn đề mở rộng mạng bằng cách đưa vào một bộ
tập trung là Hub, nhờ đó việc bổ sung thêm người sử dụng khá đơn giản nhưng độ tin
cậy thấp vì tất cả máy tính phụ thuộc vào máy chủ trung tâm.
Kiểu vòng (Ring) tạo ra cách duy nhất để chống tình trạng tranh chấp, một trạm
làm việc chỉ có thể truyền dữ liệu khi sở hữu một thẻ bài, là đơn vị đặc biệt chạy vòng
trong mạng này.
Hình 2.2 : Các topology mạng cục bộ (vòng, sao, tuyến)
-35-
2.1.1.2. Mạng diện rộng- WAN
Các mạng viễn thông bao phủ một phạm vi địa lý rộng lớn được gọi là mạng diện
rộng (wide area network-WAN). Các mạng bao phủ một thành phố lớn hay phạm vi
thủ đô (metropolitan area network-MAN) cũng có thể được bao gồm trong loại này.
Các mạng lớn như vậy đã trở nên cần thiết cho việc thực hiện các hoạt động hàng ngày
của nhiều tổ chức kinh doanh và chính phủ và những người dùng cuối của nó. Ví dụ,
WAN được dùng bởi nhiều công ty đa quốc gia để chuyển và nhận thông tin giữa các
nhân viên, khách hàng, nhà cung cấp, và các tổ chức khác qua nhiều thành phố, vùng,
quốc gia và thế giới. Hình minh họa một ví dụ của một mạng diện rộng toàn cầu cho
một công ty đa quốc gia lớn.
Hình 2.3: Mạng diện rộng (WAN)
2.1.1.3. Mạng Intranet, Extranet
- Intranet : Là mạng cục bộ dành cho các nhân viên bên trong tổ chức.
+ Mạng riêng gồm nhiều LAN & WAN.
+ Sử dụng các giao thức để liên lạc như : TCP/IP, IPX/SPX...
+ Thường có Firewalls nếu có kết nối Internet.
- Extranet : Dạng mở rộng của Intranet, cho phép kết nối từ ngoài vào.
+ Một kiểu mạng Intranet mở rộng.
+ Dành cho giao tiếp với khách hàng, đại lý bên ngoài.
-36-
2.1.1.4. Mạng Internet
- Internet : kết nối nhiều LAN, tạo khả năng truy cập mở trên toàn cầu.
+ Mạng cộng đồng diện rộng, sử dụng giao thức TCP/IP
+ Gồm nhiều Intranet kết nối bằng đường điện thoại, vệ tinh...
+ Mỗi máy tính trong mạng có một địa chỉ IP duy nhất.
Các mạng xương sống được kiểm soát bởi các Nhà cung cấp dịch vụ mạng
(Network Service Providers - NSPs) như MCI, Sprint, UUNET/MIS… Mỗi mạng
xương sống xử lý hơn 300 terabytes/tháng. Các mạng con đến từ các Nhà cung cấp
dịch vụ Internet (Internet Service Provider - ISPs) trao đổi dữ liệu với NSP tại các
điểm truy cập mạng (Network Access Points - NAPs). Hình sau đây minh họa các kết
nối giữa ISP, NAP và các mạng xương sống.
Hình 2.4 : Kiến trúc mạng Internet
Khi người sử dụng gửi một yêu cầu lên Internet từ máy tính của mình, nó sẽ theo
mạng ISP, di chuyển qua một hay nhiều mạng xương sống và băng qua mạng ISP khác
đến máy tính chứa thông tin quan tâm. Câu trả lời cho yêu cầu đó sẽ theo thứ tự lộ
trình tương tự. Bất kỳ yêu cầu và kết quả trả lời nào cũng đều không theo lộ trình định
sẵn. Thật vậy, chúng bị tách ra thành các gói và mỗi gói lại theo những lộ trình khác
nhau. Những lộ trình này được xác định bởi các máy tính đặc biệt gọi là Router. Các
Router có những bản đồ mạng trên Internet có thể cập nhật được cho phép chúng xác
định đường đi cho các gói tin.
-37-
2.1.2. Một số dịch vụ internet (internet services)
2.1.2.1. World Wide Web – WWW
Đây là dịch vụ thông dụng nhất trên Internet. Để sử dụng dịch vụ này, người
dùng cần có một trình duyệt web thường được gọi là browser. Hai trình duyệt thông
dụng nhất hiện nay là Internet Explorer của công ty Microsoft và Netscape Navigator
của công ty Netscape.
Để truy cập vào một trang web, chúng ta cần phải biết địa chỉ (URL – Uniform
Resource Location) của trang web đó. Ví dụ: Để truy cập vào trang web của công ty
Microsoft, ta gõ vào:
Trong mỗi trang web truy cập vào, chúng ta có thể thấy được văn bản, hình ảnh,
âm thanh, … được trang trí và trình bày hết sức đẹp mắt. Ngoài ra, để có thể di chuyển
tới các trang web khác, chúng ta có thể sử dụng các siêu liên kết (hyperlink). Do con
trỏ chuột thường thay đổi hình dạng ngang qua một đối tượng có chứa hyperlink nên
đây là cách đơn giản để nhận diện chúng.
Sự ra đời của www là một bước ngoặt lớn của mạng Internet, nó tạo cơ hội cho
chúng ta truy cập đến một kho thông tin khổng lồ với hàng triệu triệu trang web. Điều
này mở ra nhiều cơ hội và thách thức lớn cho công việc của chúng ta trong hiện tại và
tương lai. Dịch vụ này sử dụng giao thức HTTP (Hypertext Transfer Protocol).
2.1.2.2. Thư điện tử – Email
Email (Electronic mail) là dịch vụ trao đổi các thông điệp điện tử bằng mạng
viễn thông. Các thông điệp này thường được mã hóa dưới dạng văn bản ASCII. Tuy
nhiên, chúng ta cũng có thể gửi các tập tin hình ảnh, âm thanh cũng như các tập tin
chương trình kèm theo email. Email là một trong những dịch vụ ban đầu của Internet
và được sử dụng rất rộng rãi. Chiếm phần lớn lưu lượng trên mạng Internet là email.
Giao thức thường dùng để gửi/nhận email là SMTP (Simple Mail Transfer
Protocol)/POP3 (Post Office Protocol 3).
Để sử dụng dịch vụ email, chúng ta cần phải có:
Địa chỉ email. Một địa chỉ email thường có dạng name@domainname. Ví dụ,
trong địa chỉ email hpbac@gmail.com, hpbac đóng vai trò là tên hộp thư (name),
gmail.com là tên miền (domain name).
-38-
Tên đăng nhập và mật khẩu để truy cập vào hộp thư: Điều này đảm bảo rằng chỉ
có chính chúng ta mới có thể đọc và gửi các thư của chính mình.
Địa chỉ email được quản lý bởi 1 mail server. Tại Việt Nam, các nhà cung cấp
dịch vụ email thường là các ISP như VNPT, FPT, SaigonNet,... Do đó, tên miền trong
các địa chỉ email của chúng ta thường có dạng : hcm.vnn.vn, hcm.fpt.vn,
saigonnet.vn,… Tuy nhiên, có rất nhiều website trên Internet cung cấp dịch vụ email
miễn phí. Thông dụng nhất vẫn là Yahoo, Hotmail, Gmail…
2.1.2.3. Truyền, tải tập tin – FTP
FTP (File Transfer Protocol) là dịch vụ dùng để trao đổi các tập tin giữa các máy
tính trên Internet với nhau. FTP thường được dùng để truyền (upload) các trang web từ
những người thiết kế đến các máy chủ. Nó cũng thường được dùng để tải (download)
các chương trình và các tập tin từ các máy chủ trên mạng về máy của người sử dụng.
2.1.2.4. Tán gẫu – Chat
Dịch vụ tán gẫu cho phép người dùng có thể trao đổi trực tuyến với nhau qua
mạng Internet. Cách thông dụng nhất là trao đổi bằng văn bản. Nếu đường truyền tốt,
chúng ta có thể trò chuyện tương tự như nói chuyện điện thoại. Nếu máy có gắn
webcam, ta còn có thể thấy hình của người đang nói chuyện từ bất kỳ nơi nào trên thế
giới. Ngoài ra, hiện nay nhiều trang web cũng gắn chức năng diễn đàn trao đổi thảo
luận, cho phép người sử dụng tạo ra các phòng chat, và tán gẫu bằng văn bản hoặc
giọng nói.
2.1.2.5. Làm việc từ xa – Telnet
Dịch vụ telnet cho phép người sử dụng kết nối vào 1 máy tính ở xa và làm việc
trên máy đó. Nhờ dịch vụ này, người ta có thể ngồi tại máy tính ở nhà và kết nối vào
máy ở cơ quan để làm việc như đang ngồi tại cơ quan vậy.
Để sử dụng dịch vụ này, cần phải có 1 chương trình máy khách (telnet client
program). Và máy chủ để kết nối phải bật dịch vụ Telnet server. Chẳng hạn, nếu máy
khách sử dụng hệ điều hành windows, chúng ta có thể gọi lệnh Start/ Run và gõ dòng
lệnh sau : telnet , và nhập vào user name và password để đăng
nhập.
-39-
2.1.2.6. Nhóm tin tức – Usenet, newsgroup
Dịch vụ usenet hay newsgroup là dịch vụ cho phép người sử dụng tham gia vào
các nhóm tin tức, để đọc và tham gia trao đổi, thảo luận theo từng chủ đề với mọi
người trên thế giới. Chúng ta không phải tốn phí khi gia nhập các nhóm tin tức, có thể
viết và gửi bài vào một chủ đề nào đó, để mọi người cùng đọc và thảo luận.
Để sử dụng dịch vụ này, cần phải có 1 chương trình máy khách (newsreader). Sử
dụng chương trình này chúng ta có thể tìm kiếm các chủ đề quan tâm, tìm đọc các bài
trao đổi, cũng như tham gia viết bài và tạo ra các chủ đề mới nếu muốn.
2.1.2.7. Dịch vụ danh mục (Directory Services)
Dịch vụ danh mục giúp cho người ta có thể tiếp xúc và sử dụng tài nguyên trên
máy chủ ở bất cứ nơi nào trong mạng mà không cần biết vị trí vật lý của chúng. Dịch
vụ danh mục rất giống với dịch vụ hỗ trợ danh mục điện thoại cung cấp số điện thoại
khi đưa vào tên của một người. Với tên duy nhất của một người, máy chủ, hay tài
nguyên, dịch vụ danh mục sẽ trả về địa chỉ mạng và thông tin khác gắn liền với tên đó.
Bình thường thì người ta sử dụng dịch vụ danh mục một cách gián tiếp thông qua
giao diện ứng dụng. Một ứng dụng có thể tương tác với dịch vụ danh mục thông qua
tên tài nguyên mà người sử dụng tạo ra để sau đó tham chiếu đến tài nguyên thông qua
tên này.
2.1.3 Các nhà cung cấp dịch vụ trên Internet
2.1.3.1. Nhà cung cấp dich vụ ISP (Internet Service Provider)
Là nhà cung cấp các dịch vụ trên Internet, như là : www, ftp, e-mail, chat,
newsletter, telnet, netphone… Các dịch vụ này có thể có hoặc không tùy theo nhà cung
cấp dịch vụ.
Các cá nhân, tổ chức muốn gia nhập vào mạng Internet cần phải đăng ký với một
ISP để có tài khoản (account) kết nối Internet và có thể sử dụng được các dịch vụ của
nhà cung cấp đó.
2.1.3.2. Nhà cung cấp dịch vụ IAP (Internet Access Provider)
Là nhà cung cấp dịch vụ kết nối truy cập Internet. Các ISP phải đăng ký với IAP
để có đường kết nối truy cập Internet quốc tế. Ở mỗi nước, có thể có nhiều ISP nhưng
chỉ có 1 vài IAP. Thông thường các IAP cũng là các ISP, nhưng không phải ISP nào
cũng là IAP. Ở nước ta, nhà cung cấp đường truyền Internet lớn nhất là VNPT.
-40-
2.1.3.3. Nhà cung cấp dịch vụ ICP (Internet Content Provider)
Là các nhà cung cấp nội dung lên Internet, như là : các cơ quan thông tấn báo
chí, các tổ chức doanh nghiệp, chính phủ… Việc cung cấp nội dung lên Internet, tùy
thuộc vào chính sách của mỗi quốc gia, có thể phải xin phép hoặc không.
Hiện nay, có rất nhiều cơ quan, tổ chức cung cấp các thông tin, tài nguyên lên
mạng một cách miễn phí. Chẳng hạn, chúng ta có thể tìm thấy rất nhiều nội dung quý
giá từ các kho học liệu mở, thư viện điện tử của các trường đại học, cao đẳng, các tổ
chức chính phủ, phi chính phủ, các cơ quan thông tấn, báo chí, các doanh nghiệp…
2.1.3.4. Cấp phát tên miền (Internet Domain Name Provider)
Tên miền là một dạng tài nguyên trên Internet, được gắn với một địa chỉ IP dùng
để xác định duy nhất một vị trí trên mạng Internet. Vì vậy, cần có một cơ quan làm
nhiệm vụ cấp phát tên miền, theo nguyên tắc “ai đăng ký trước thì được” – tức là tên
miền mới phải không trùng với một tên miền nào đã đăng ký trước, và phải đóng một
khoản phí theo quy định. Thường đây là mức phí để lưu giữ tên miền trong một
khoảng thời gian nào đó.
Hiện nay, InterNIC là cơ quan cấp phát tên miền quốc tế. Ở mỗi nước có một tổ
chức chịu trách nhiệm cấp phát tên miền đặc trưng cho nước đó.
2.1.3.5. Cho thuê máy chủ web - hosting (Server Space Provider)
Các tổ chức, đơn vị muốn thiết lập 1 website và đưa thông tin lên Internet, cần
phải mua một tên miền và thuê 1 máy chủ để lưu trữ website (gọi là hosting). Nhà
cung cấp dịch vụ cho thuê không gian máy chủ để lưu trữ website được gọi là Server
Space Provider.
Khi chọn máy chủ hosting, cần phải xem kỹ tính năng của server có đáp ứng
được yêu cầu kỹ thuật của website đã thiết kế hay không, chủ yếu là server chạy trên
nền hệ điều hành nào, cơ sở dữ liệu và các ngôn ngữ script mà server hỗ trợ. Ví dụ :
với cấu hình “Windows + SQL Server, Access + ASP” nghĩa là server chạy hệ điều
hành Windows, hỗ trợ CSDL SQL Server và Access, các trang web có thể sử dụng
ngôn ngữ lập trình (server script) là ASP.
Giá cả thuê máy chủ còn thay đổi tùy theo không gian thuê nhiều hay ít, và băng
thông mạng (bandwidth) hay lưu lượng truyền tối đa có thể tiếp nhận. Ngoài ra, cũng
cần lưu ý các dịch vụ hỗ trợ khác, như là : có hỗ trợ upload, download bằng ftp, có
theo dõi tình hình website, quản lý bảo mật, sao lưu và khắc phục sự cố…[3],[15].
-41-
2.2. HẠ TẦNG ĐẢM BẢO AN TOÀN THÔNG TIN
2.2.1 Tường lửa
Bức tường lửa (firewall) là một phần mềm hoặc phần cứng cho phép những
người sử dụng mạng máy tính của một tổ chức có thể truy cập tài nguyên của
các mạng khác (thí dụ, mạng Internet), nhưng đồng thời ngăn cấm những người
sử dụng khác, không được phép, từ bên ngoài truy cập vào mạng máy tính của tổ
chức. Một bức tường lửa sẽ có những đặc điểm sau:
+ Tất cả giao thông từ bên trong mạng máy tính của tổ chức và ngược lại
đều phải đi qua đó.
+ Chỉ các giao thông được phép, theo qui định về an toàn mạng máy tính của tổ
chức, mới được phép đi qua.
+ Không được phép thâm nhập vào chính hệ thống này.
Về cơ bản, bức tường lửa cho phép những người sử dụng mạng máy tính (mạng
được bức tường lửa bảo vệ) truy cập toàn bộ các dịch vụ của mạng bên ngoài trong
khi cho phép có lựa chọn các truy cập từ bên ngoài vào mạng trên cơ sở kiểm tra
tên và mật khẩu của người sử dụng, địa chỉ IP hoặc tên vùng (domain name)... Thí dụ,
một nhà sản xuất chỉ cho phép những người sử dụng có tên vùng (domain name)
thuộc các công ty đối tác là khách hàng lâu năm, truy cập vào website của họ để mua
hàng. Như vậy, công việc của bức tường lửa là thiết lập một rào chắn giữa mạng
máy tính của tổ chức và bên ngoài (những người truy cập từ xa và các mạng máy tính
bên ngoài). Nó bảo vệ mạng máy tính của tổ chức tránh khỏi những tổn thương do
những kẻ tin tặc, những người tò mò từ bên ngoài tấn công. Tất cả mọi thông điệp
được gửi đến và gửi đi đều được kiểm tra đối chiếu với những quy định về an toàn do
tổ chức xác lập. Nếu thông điệp đảm bảo được các yêu cầu về an toàn, chúng sẽ được
tiếp tục phân phối, nếu không sẽ bị chặn đứng lại. [3]
Hình 2.5: Bức tường lửa.
-42-
Một trong các loại bức tường lửa phổ biến nhất là phần mềm máy phục vụ uỷ
quyền (proxy server*), gọi tắt là proxy. Proxy là phần mềm máy phục vụ, thường
được đặt trên một máy tính chuyên dụng, kiểm soát toàn bộ các thông tin được gửi
đến từ một nơi nào đó trên Internet và ngược lại. Nó cung cấp các dịch vụ trung gian,
đóng vai người thông ngôn giữa mạng Internet và mạng nội bộ của tổ chức. Khi một
người sử dụng trên mạng máy tính của tổ chức muốn "nói chuyện" với một người sử
dụng của tổ chức khác, trước tiên anh ta phải nói chuyện với ứng dụng proxy
trên máy phục vụ, tiếp đó proxy sẽ nói chuyện với máy tính của người sử dụng kia.
Tương tự như vậy, khi một máy tính ở bên ngoài muốn nói chuyện với một máy tính
trong mạng của tổ chức cũng phải nói thông qua proxy trên máy phục vụ
Hình 2.6 : Máy phục vụ uỷ quyền (Proxy server).
Ưu điểm cơ bản của việc sử dụng proxy trong an toàn mạng đó là các thông tin
về mạng máy tính của tổ chức, các thông tin về người sử dụng (như tên, địa chỉ mạng
máy tính của tổ chức)... được bảo mật, bởi thực tế, các hệ thống bên ngoài chỉ giao tiếp
với máy phục vụ proxy chứ không trực tiếp giao tiếp với máy tính của người sử
dụng. Bằng việc ngăn chặn người sử dụng trực tiếp thông tin với Internet,
thông qua proxy, các tổ chức có thể hạn chế việc truy cập vào một số loại website có
nội dung không tốt hoặc ảnh hưởng đến lợi ích của tổ chức như khiêu dâm, bán đấu
giá, hay giao dịch chứng khoán...
Sử dụng proxy còn tạo điều kiện tăng khả năng thực thi của Web bằng cách lưu
trữ các thông tin, các trang web thường được yêu cầu, để giảm thời gian tải các thông
tin lên mạng và các chi phí cho việc truyền dữ liệu. Ngoài ra, proxy còn đóng vai trò
quan trọng trong việc quản trị mạng. Nó cho phép theo dõi hoạt động của các máy tính
thông qua việc ghi chép địa chỉ IP của máy tính, ngày giờ thực hiện giao dịch, thời
gian giao dịch, dung lượng (số byte) của các giao dịch... Các ưu điểm này
khẳng định vai trò không thể thiếu của proxy nói riêng và các bức tường lửa (firewall)
nói chung trong an toàn mạng máy tính của các doanh nghiệp và các tổ chức.
-43-
2.2.2 Mạng riêng ảo
Mạng riêng ảo (Virtual Private Network – VPN) là một giải pháp hiệu quả cho
phép truyền thông dữ liệu một cách an toàn với chi phí thấp, giảm nhờ các công việc
quản lý hoạt động của mạng, linh hoạt trong việc truy nhập từ xa. Có nhiều phương án
triển khai VPN, nhưng ngày nay người ta nói nhiều đến hai giải pháp cơ bản là VPN
dựa trên giao thức IPSec và MPLS-VPN. Cả hai giải pháp này đều tương đối mềm dẻo
trong xây dựng, cho phép giảm chi phí vận hành, duy trì quản lý đơn giản, có khả năng
mở rộng tới các vùng địa lí khác nhau một cách linh hoạt và không hạn chế. [3].
Mạng riêng ảo VPN cung cấp nhiều khả năng ứng dụng khác nhau. Yêu cầu cơ
bản đối với VPN là phải điều khiển được quyền truy nhập của khách hàng, các nhà
cung cấp dịch vụ cũng như các đối tượng bên ngoài khác. Dựa vào hình thức ứng dụng
và những khả năng mà mạng riêng ảo mang lại, có thể phân thành hai loại như sau:
- VPN truy nhập từ xa (Remote Access VPN);
- VPN điểm tới điểm (Site-to-Site VPN).
Trong đó mạng VPN điểm tới điểmlại được chia thành hai loại là:
- VPN cục bộ (Intranet VPN);
- VPN mở rộng (Extranet VPN).
2.2.2.1. VPN truy nhập từ xa
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa cho người sử dụng
(hình 2.7). Tại mọi thời điểm, các nhân viên hay chi nhánh văn phòng di động có thể
sử dụng các phần mềm VPN để truy nhập vào mạng của công ty thông qua gateway
hoặc bộ tập trung VPN (bản chất là một server). Giải pháp này vì thế còn được gọi là
giải pháp client/server. VPN truy nhập từ xa là kiểu VPN điển hình nhất, bởi vì chúng
có thể được thiết lập vào bất kỳ thời điểm nào và từ bất cứ nơi nào có mạng Internet.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua
cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì.
Chúng có thể dùng để cung cấp truy nhập an toàn cho những nhân viên thường xuyên
phải đi lại, những chi nhánh hay những bạn hàng của công ty. Những kiểu VPN này
được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ
ISDN, quay số, IP di động, DSL hay công nghệ cáp và thường yêu cầu một vài kiểu
phần mềm client chạy trên máy tính của người sử dụng.
-44-
Một hướng phát triển khá mới trong VPN truy nhập từ xa là dùng VPN không
dây (Wireless), trong đó một nhân viên có thể truy nhập về mạng của họ thông qua kết
nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm
không dây (Wireless Terminal) và sau đó về mạng của công ty. Trong cả hai trường
hợp (có dây và không dây), phần mềm client trên máy PC đều cho phép khởi tạo các
kết nối bảo mật, còn được gọi là đường hầm. [3], [15].
Một vấn đề quan trọng là việc thiết kế quá trình xác thực ban đầu để đảm bảo yêu
cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên
cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm một số qui trình
kỹ thuật và các ứng dụng chủ, ví dụ như Remote Authentication Dial-In User Service
(RADIUS), Terminal Access Controller Access Control System Plus (TACACS+).
Hình 2.7 : Mô hình VPN truy nhập từ xa
Các ưu điểm của VPN truy nhập từ xa so với các phương pháp truy nhập từ xa
truyền thống là:
- VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình
kết nối từ xa được các ISP thực hiện.
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết
nối khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
- Do kết nối truy nhập là nội bộ nên các modem kết nối hoạt động ở tốc độ cao
hơn so với cách truy nhập khoảng cách xa.
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty
bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn
những nhược điểm cố hữu đi cùng như:
- VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS;
- Nguy cơ bị mất dữ liệu cao do các gói có thể phân phát không đến nơi hoặc bị
mất.
- Do thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng một cách đáng kể.
-45-
2.2.2.2. VPN điểm tới điểm
VPN điểm tới điểm (Site-to-Site hay LAN-to-LAN) là giải pháp kết nối các hệ
thống mạng ở những nơi khác nhau với mạng trung tâm thông qua VPN. Trong tình
huống này, quá trình xác thực ban đầu cho người sử dụng sẽ là quá trình xác thực giữa
các thiết bị. Các thiết bị này hoạt động như Cổng an ninh (Security Gateway), truyền
lưu lượng một cách an toàn từ Site này đến Site kia. Các thiết bị định tuyến hay tường
lửa với hỗ trợ VPN đều có khả năng thực hiện kết nối này. Sự khác nhau giữa VPN
truy nhập từ xa và VPN điểm tới điểm chỉ mang tính tượng trưng. Nhiều thiết bị VPN
mới có thể hoạt động theo cả hai cách này.
VPN điểm tới điểm có thể được xem như một VPN cục bộ hoặc mở rộng xét từ
quan điểm quản lý chính sách. Nếu hạ tầng mạng có chung một nguồn quản lý, nó có
thể được xem như VPN cục bộ. Ngược lạii, nó có thể được coi là mở rộng. Vấn đề truy
nhập giữa các điểm phải được kiểm soát chặt chẽ bởi các thiết bị tương ứng.
1) VPN cục bộ
VPN cục bộ là một dạng cấu hình tiêu biểu của VPN điểm tới điểm được
sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty (hình
2.8). Nó liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung
sử dụng các kết nối luôn được mã hoá bảo mật. điều này cho phép tất cả các địa điểm
có thể truy nhập an toàn các nguồn dư liệu được phép trong toàn bộ mạng của công ty.
Hình 2.8 : Mô hình VPN cục bộ
-46-
VPN cục bộ cung cấp những đặc tính của mạng WAN như khả năng mở rộng,
tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn
đảm bảo tính mềm dẻo. Những ưu điểm chính của giải pháp VPN cục bộ bao gồm:
- Các mạng cục bộ hay diện rộng có thể được thiết lập thông qua một hay nhiều
nhà cung cấp dịch vụ;
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa;
- Do kết nối trung gian được thực hiện thông qua Internet, nên nó có
thể dễ dàng thiết lập thêm một liên kết ngang hàng mới;
- Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp
với các công nghệ chuyển mạch tốc độ cao.
Tuy nhiên giải pháp mạng cục bộ dựa trên VPN cũng có những nhược điểm đi
cùng như:
- Do dữ liệu được truyền “ngầm” qua mạng công cộng như Internet nên vẫn còn
những mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS);
- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao;
- Trường hợp cần truyền khối lượng lớn dữ liệu như đa phương tiện với yêu cầu
tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường
Internet.
2) VPN mở rộng
VPN mở rộng được cấu hình như một VPN điểm tới điểm , cung cấp đường hầm
bảo mật giữa các khách hàng, nhà cung cấp và đối tác thông qua một cơ sở hạ tầng
mạng công cộng (hình 2.9). Kiểu VPN này sử dụng các kết nối luôn được bảo mật và
nó không bị cô lập với thế giới bên ngoài như các trường hợp VPN cục bộ hay truy
nhập từ xa.
Hình 2.9: Mô hình VPN mở rộng
-47-
Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới
những nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh.
Sự khác nhau giữa VPN cục bộ và VPN mở rộng là sự truy nhập mạng được công
nhận ở một trong hai đầu cuối của VPN.
Những ưu điểm chính của mạng VPN mở rộng bao gồm:
- Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải pháp kết nối khác để
cùng đạt được một mục đích như vậy;
- Dễ dàng thiết lập, bảo trì và thay đổi đối với mạng đang hoạt động.
- Do VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội
trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của từng
công ty;
- Các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì nên có
thể giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, và do vậy giảm được chi phí
vận hành của toàn mạng.
Bên cạnh những ưu điểm trên, giải pháp VPN mở rộng cũng còn những nhược
điểm đi cùng như:
- Vấn đề bảo mật thông tin gặp khó khăn hơn trong môi trường mở rộng như
vậy, và điều này làm tăng nguy cơ rủi ro đối với mạng cục bộ của công ty;
- Khả năng mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại;
- Việc truyền khối lượng lớn dữ liệu với yêu cầu tốc độ cao và thời gian thực
vẫn còn là một thách thức lớn cần giải quyết. [1], [2], [3].
-48-
2.2.3 Các giao thức đảm bảo an toàn truyền tin
2.2.3.1. Giao thức SSL
Giao thức SSL của Netscape và giao thức truyền siêu văn bản an toàn (S-HTTP)
của CommerceNet là hai giao thức cho phép truyền thông tin an toàn qua Internet. SSL
và S-HTTP cho phép các máy khách và máy chủ quản lý các hoạt động mã hoá và giải
mã trong một phiên Web an toàn.
SSL nằm ở đỉnh tầng TCP/IP của giao thức Internet, cung cấp một bắt tay an
toàn, ở đó máy khách và máy chủ trao đổi một khối dữ liệu ngắn gọn các thông báo.
Khóa SSL có hai độ dài là 40 bit và 128 bit. Chúng chỉ ra độ dài của khoá phiên
riêng, được sinh ra cho mọi giao dịch có mã hoá.
2.2.3.2. Giao thức SHTTP
S-HTTP là một mở rộng của HTTP, cung cấp một số đặc tính an toàn, trong đó
có xác thực máy khách và máy chủ, mã hoá và chống chối bỏ yêu cầu/đáp ứng. Giao
thức này được CommerceNet Consortium phát triển, hoạt động ở tầng ứng dụng. Nó
cung cấp mã hoá đối xứng để thiết lập xác thực máy khách/máy chủ và các tóm lược
thông báo nhằm đảm bảo tính toàn vẹn dữ liệu. Máy khách và máy chủ có thể dùng
các kỹ thuật S-HTTP một cách riêng lẻ.
S-HTTP thiết lập các chi tiết an toàn thông qua header (phần đầu trong gói tin)
của gói đặc biệt. Header định nghĩa kiểu kỹ thuật an toàn, cụ thể là mã khoá riêng, xác
thực máy chủ, xác thực máy khách và đảm bảo tính toàn vẹn thông báo.
Một khi máy khách và máy chủ thoả thuận được các thiết lập an toàn bắt buộc
giữa chúng, tất cả các thông báo trong phiên giao dịch sau này được đóng gói an toàn
trong một phong bì an toàn (secure envelope). Đây là một tiện ích an toàn đóng gói
thông báo và đảm bảo tính bí mật, toàn vẹn và xác thực máy khách/máy chủ. Nhờ đó,
mọi thông báo chuyển tiếp trên mạng hoặc Internet được mã hoá, không ai có thể đọc
trộm. Mọi sửa đổi trên thông báo đều bị phát hiện, nhờ vào kỹ thuật toàn vẹn.
SHTTP cung cấp một mã phát hiện thông báo bị sửa đổi. Người ta dùng chứng
chỉ số do một CA (Certificate authority - được công nhận) phát hành để xác thực các
máy khách và máy chủ. Phong bì an toàn bao gồm tất cả các đặc tính an toàn trên.
-49-
2.2.3.3. Giao thức IPSec
IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình
truyền thông tin trên nền tảng Internet Protocol (IP). Bao gồm xác thực và/hoặc mã
hoá (Authenticating and/or Encrypting) cho mỗi gói IP trong quá trình truyền thông
tin. IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực.
IPsec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại
các tầng trên của mô hình OSI. Với một ứng dụng dùng IPsec mã (code) không bị thay
đổi, nhưng nếu ứng dụng đó bắt buộc dùng SSL và các giao thức bảo mật trên các tầng
trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn.
IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật:
Mã hoá quá trình truyền thông tin.
Đảm bảo tính nguyên vẹn của dữ liệu.
Phải được xác thực giữa các giao tiếp.
Chống quá trình replay trong các phiên bảo mật.
2.2.3.4. Giao thức TCP/IP
Mã hóa và chữ ký số có thể bảo vệ các gói thông tin, tránh bị trộm cắp hoặc làm
trễ. Tuy nhiên, TCP có trách nhiệm kiểm soát các gói tại các nút cuối. Phát hiện những
thay đổi trên đường truyền. Tại đích, khi lắp ráp các gói theo đúng trật tự ban đầu, nó
phát hiện được ngay các gói bị mất, hay những gói không đúng cấu trúc. Trách nhiệm
lúc này của TCP là yêu cầu máy khách gửi lại dữ liệu. Điều này có nghĩa là không có
giao thức an toàn máy tính đặc biệt nào (ngoại trừ TCP/IP) được dùng như một biện
pháp đối phó, chống tấn công từ chối.
TCP/IP là một hệ thống giao thức - một tập hợp các giao thức hỗ trợ việc lưu
truyền trên mạng. Ra đời trước khi có mô hình OSI (International Standards
Organization). Các tầng trong bộ giao thức TCP/IP không giống hệt các tầng trong
OSI. Bộ giao thức TCP/IP có 5 tầng: vật lý, liên kết dữ liệu, mạng, giao vận và ứng
dụng. Bốn tầng đầu tiên cung cấp các chuẩn vật lý giao tiếp mạng, liên mạng và chức
năng giao vận tương ứng với 4 tầng đầu tiên trong mô hình OSI. [1],[2],[4].
-50-
2.2.3.5. Giao thức bảo mật SET
Hiện nay, trong việc thanh toán qua mạng, các tổ chức tín dụng và các nhà cung
cấp dịch vụ xử lý thanh toán thẻ tín dụng trên thế giới áp dụng công nghệ bảo mật cao
cấp là SET (Secure Electronic Transaction).
- SET là một nghi thức tập hợp những kỹ thuật mã hoá và bảo mật nhằm mục
đích đảm bảo an toàn cho các giao dịch mua bán trên mạng. Đây là một kỹ thuật bảo
mật, mã hóa được phát triển bởi VISA, MASTER CARD và các tổ chức khác trên thế
giới. Mục địch của SET là bảo vệ hệ thống thẻ tín dụng, tạo cho khách hàng, doanh
nghiệp, ngân hàng, các tổ chức tài chính sự tin cậy khi giao dịch mua bán trên Internet.
- Ngoài ra, SET thiết lập một phương thức hoạt động phối hợp tương hỗ (method
of interoperability) nhằm bảo mật các dịch vụ qua mạng trên các phần cứng và phần
mềm khác nhau.
Một sự khác biệt điển hình giữa SET và SSL là SSL không bao gồm một chứng
thực khách hàng yêu cầu phần mềm đặc biệt (được gọi là ví số - digital wallet) tại máy
tính cá nhân của họ. SSL được thiết lập trong trình duyệt, do đó không cần một phần
mềm đặc biệt nào. Trong khi đó, Visa và MasterCard chấp nhận các thông điệp chỉ khi
chúng tuân thủ giao thức SET.
Tuy nhiên, SET không phổ biến nhanh như nhiều người mong đợi do tính phức
tạp, thời gian phản hồi chậm, và sự cần thiết phải cài đặt ví số ở máy tính của khách
hàng. Nhiều ngân hàng ảo và cửa hàng điện tử duy trì giao thức SSL, thậm chí một số
cửa hàng điện tử, như Wal-Mart Online, đi theo cả hai giao thức SSL và SET. Ngoài
ra, theo một cuộc khảo sát do Forrest Research thực hiện, chỉ có 1% kế hoạch kinh
doanh điện tử di chuyển sang SET. [4],[15].
Tóm lại SET được thiết lập để bảo mật những thông tin về cá nhân cũng như
thông tin về tài chính trong quá trình mua bán và giao dịch trên mạng.
-51-
2.2.4. Công nghệ xây dựng PKI
2.2.4.1. Công nghệ OpenCA
OpenCA là dự án đồ sộ, có mục đích xây dựng PKI hoàn chỉnh, chuyên
nghiệp, OpenCA được phát triển liên tục từ năm 1999. Từ năm 2001, OpenCA đã bắt
đầu được sử dụng cho các đơn vị cỡ vừa và lớn.
OpenCA sử dụng giao diện web, hỗ trợ hầu hết các web Browser chính, hỗ trợ
sản phẩm mã nguồn mở.
Các Module chương trình trong OpenCA.
- Giao tiếp công cộng: Giao diện web để người sử dụng có thể truy cập qua
Internet. Người dùng có thể đăng kí xin cấp chứng chỉ trực tiếp qua Module này.
- Giao tiếp LDAP: Danh bạ các khoá công khai, người dùng lấy khoá công khai
từ Module này để mã hoá tài liệu, trước khi gửi đến đơn vị dùng openCA.
- Giao tiếp RA: Đơn vị điều hành RA sử dụng Module này để cập nhật các
thông tin cá nhân của người xin cấp chứng chỉ.
- Giao tiếp OCSP: Module hỗ trợ kiểm tra chứng chỉ còn hiệu lực hay không.
OCSP có tác dụng như việc công bố CRL, nhưng tính năng ưu việt hơn CRL.
- Giao tiếp CA: Module kí số riêng rẽ, cho phép CA làm theo nguyên tắc an
ninh - tách biệt khỏi mạng công cộng, để bảo vệ tối đa khoá bí mật. Điều này khiến
cho openCA trở nên an toàn hơn các phần mềm CA khác có trên thị trường hiện nay.
Các tính năng ưu việt khác của OpenCA, ngoài tính năng thiết yếu của PKI.
- Đăng nhập bằng chứng chỉ.
- Hệ thống quản lý mềm dẻo.
- Sử dụng được các tính năng của X.509 mở rộng.
- OpenCA là phần mềm mã nguồn mở miễn phí, có tài liệu chi tiết đầy đủ.
OpenCA được thiết kế cho một hạ tầng phân tán. Nó có thể không chỉ điều
khiển một CA offline và một RA online, mà còn giúp ta xây dựng một cấu trúc thứ bậc
với nhiều mức khác nhau. OpenCA không phải là một giải pháp nhỏ cho các nghiên
cứu vừa và nhỏ. Nó hỗ trợ tối đa cho các tổ chức lớn như các trường đại học, các công
ty lớn.
-52-
2.2.4.2. Công nghệ SSL
SSL là giao thức đa mục đích, được thiết kế để tạo ra các giao tiếp giữa hai
chương trình ứng dụng trên một cổng định trước (Socket 443), nhằm mã hoá toàn bộ
thông tin gửi / nhận. Giao thức SSL được hình thành và phát triển đầu tiên năm 1994
bởi nhóm nghiên cứu Netscape, dẫn dắt bởi Elgamal và nay đã trở thành chuẩn bảo
mật cài đặt trên Internet.
SSL được thiết kế độc lập với tầng ứng dụng, để đảm bảo tính bí mật, an toàn
và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ giữa
Webserver và các trình duyệt (Browsers), do đó được sử dụng rộng rãi trong nhiều ứng
dụng khác nhau trên môi trường Internet.
Toàn bộ cơ chế và hệ thống thuật toán mã hoá trong SSL được phổ biến công
khai, trừ khoá phiên (Session key) được sinh ra tại thời điểm trao đổi giữa hai ứng
dụng là ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính. Ngoài ra,
giao thức SSL còn đòi hỏi người dùng phải được chứng thực bởi đối tượng thứ ba
(CA) thông qua chứng chỉ số (Digital Certificate) dựa trên mật mã công khai (ví dụ
RSA).
Hình 2.10 : Vị trí SSL trong mô hình OSI
SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật, có thể hỗ
trợ cho nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP / IP và bên dưới các
ứng dụng tầng cao hơn như là HTTP (HyperText Transfer Protocol), LDAP
(Lightweight Directory Access Protocol) hoặc IMAP (Internet Messaging Access
Protocol). Hiện nay SSL được sử dụng chủ yếu cho các giao dịch trên Web.
SSL cho phép một Server (có hỗ trợ SSL) tự xác thực với một Client (cũng hỗ
trợ SSL), ngược lại cho phép Client tự xác thực với Server. SSL cho phép cả hai máy
thiết lập một kết nối được mã hoá.
-53-
- Chứng thực SSL Server: cho phép Client xác thực được Server muốn kết
nối. Trình duyệt sử dụng kỹ thuật mã hóa công khai để chắc chắn rằng chứng chỉ và
public ID của Server là có giá trị, được cấp phát bởi một CA (trong danh sách các CA
tin cậy của Client).
- Chứng thực SSL Client: cho phép Server xác thực được Client muốn kết
nối. Server cũng sử dụng kỹ thuật mã hoá khoá công khai để kiểm tra chứng chỉ của
Client và public ID là đúng, được cấp phát bởi một CA (trong danh sách các CA tin
cậy của Server).
- Mã hoá kết nối: tất cả các thông tin trao đổi giữa Client và Server được mã
hoá trên đường truyền, nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối
với cả hai bên, khi có các giao dịch mang tính riêng tư. Ngoài ra, tất cả các dữ liệu
được gửi đi trên một kết nối SSL đã được mã hoá, còn được bảo vệ nhờ cơ chế tự động
phát hiện các xáo trộn, thay đổi trong dữ liệu.
Hai tầng trong Giao thức SSL.
- Record Protocol là tầng thấp nhất của SSL Nó được dùng để đóng gói một
số giao thức ở mức cao hơn. Một trong những giao thức được đóng gói là SSL.
- Handshake Protocol là giao thức cho phép Server và Client xác thực lẫn
nhau. Chúng thoả thuận thuật toán mã hoá và khoá mật trước khi thực hiện gửi hoặc
nhận dữ liệu.
Ưu điểm và hạn chế của SSL.
- Ưu điểm của SSL:
Tính năng mạnh nhất của SSL / TLS là chúng xác định được mối quan hệ với
các tầng giao thức khác trong hệ thống kiến trúc mạng OSI. Tại mức cao nhất là
phần mềm ứng dụng hoặc các trình duyệt. Chạy phía dưới các ứng dụng này là giao
thức tầng ứng dụng, bao gồm Telnet, FTP, HTTP…Bên dưới nữa là giao thức SSL và
các thuật toán mã hoá được sử dụng để kết nối. Bên dưới SSL là tầng giao vận. Hầu
hết các trường hợp đó là TCP / IP.
Giao thức SSL là duy nhất không phụ thuộc vào giao thức mạng. SSL không
phụ thuộc vào các tầng giao thức, cho nên SSL trở thành một nền tảng độc lập hay là
một thực thể mạng độc lập.
-54-
Giao thức SSL ngăn chặn cách thức tấn công từ điển. Cách thức này sử dụng
từ điển để phá khoá trong hệ mã hoá. SSL khắc phục được điều này bởi cho phép
không gian khoá là rất lớn đối với hệ mã hoá được sử dụng. SSL cung cấp hai mức độ
tin cậy: 40 bit và 128 bit tuỳ thuộc khả năng của browser. SSL 128 bit và SSL 40 bit: ý
nói độ dài của khoá phiên dùng để mã hoá dữ liệu sau khi đã định danh và được thiết
lập bằng giải thuật mã hóa khoá công khai (RSA hoặc Diffie-Hellman). Độ dài của
khoá phiên càng lớn thì độ bảo mật càng cao. SSL 128 bit có độ tin cậy lớn, theo RSA
phải mất hàng tỉ năm mới có thể giải mã được bằng các kỹ thuật hiện nay. Cách thức
tấn công từ điển có thể bị ngăn chặn bởi sử dụng phương pháp số nonce (nonce
number). Số này được sinh ngẫu nhiên, được Server sử dụng, nonce number là một số
không thể bị phá khoá.
Giao thức SSL bảo vệ chính nó với đối tác thứ 3. Đó là các Client xâm nhập
bất hợp pháp dữ liệu trên đường truyền. Client xâm nhập này có thể giả mạo Client
hoặc Server, SSL ngăn chặn giả mạo này bằng cách dùng khoá riêng của Server và sử
dụng chứng chỉ số. Phương thức “Bắt tay” trong TLS cũng tương tự. Tuy nhiên, TLS
tăng cường sự bảo mật bằng cách cho phép truyền phiên bản giao thức, số hiệu phiên
làm việc, hệ mã hoá và cách thức nén được sử dụng. TLS bổ xung thêm hai thuật toán
“băm” không có trong SSL.
- Hạn chế của SSL:
Giao thức SSL, giống như bất kỳ công nghệ nào, cũng có những hạn chế. Vì
SSL cung cấp các dịch vụ bảo mật, ta cần quan tâm tới các giới hạn của nó. Giới hạn
của SSL thường nằm trong ba trường hợp sau:
Đầu tiên là do những ràng buộc cơ bản của bản thân giao thức SSL. Đây là hệ
quả của việc thiết kế SSL và ứng dụng chịu sự tác động của nó. Thứ hai là giao thức
SSL cũng thừa kế một vài điểm yếu từ các công cụ mà nó sử dụng, cụ thể là các thuật
toán ký và mã hoá. Nếu các thuật toán này sẵn có điểm yếu, SSL cũng không thể
khắc phục chúng. Thứ ba là các môi trường, trong đó SSL được triển khai cũng có
những thiếu sót và giới hạn.
Mặc dù trong thiết kế của nó đã xét đến mối quan hệ với rất nhiều ứng dụng
khác nhau, SSL rõ ràng được tập trung vào việc bảo mật các giao dịch Web. SSL yêu
cầu một giao thức vận chuyển tin cậy như TCP. Đó là yêu cầu hoàn toàn hợp lý trong
các giao dịch Web, vì bản thân HTTP cũng yêu cầu TCP. Tuy nhiên, điều này cũng có
nghĩa là SSL không thể thực thi mà sử dụng một giao thức vận chuyển không kết nối
như UDP. Vì vậy, giao thức SSL có thể hoạt động hiệu quả với phần lớn các ứng dụng
thông thường. Và thực tế là hiện nay SSL đang được sử dụng cho rất nhiều ứng dụng
bảo mật, bao gồm truyền file, đọc tin trên mạng, điều khiển truy cập từ xa...
-55-
SSL bị lỗi khi hỗ trợ dịch vụ bảo mật đặc biệt là “non-repudiation” (không
thể chối bỏ). Non-repudiation kết hợp chữ ký số tương ứng với dữ liệu, khi được sử
dụng một cách hợp lý, nó ngăn ngừa bên tạo và ký dữ liệu từ chối hay phủ nhận điều
đó. Giao thức SSL không cung cấp các dịch vụ “non-repudiation”, do đó sẽ không
phù hợp với các ứng dụng yêu cầu dịch vụ này.
SSL có phiên làm việc tồn tại quá lâu trong quá trình “Bắt tay”, khoá phiên
được khởi tạo giữa Client và Server sử dụng trong suốt quá trình kết nối. Khi khoá này
còn tồn tại, mỗi khi thông điệp được gửi, xuất hiện lỗ hổng bảo mật trong kết nối, cho
phép kẻ lạ xâm nhập. Giao thức TLS khắc phục được lỗi này bằng cách thay đổi khoá
cho mỗi phiên làm việc. [3],[4].
2.2.4.3. Giao thức truyền tin an toàn tầng liên kết dữ liệu (Data Link).
Trong mô hình OSI, tầng liên kết dữ liệu là tầng đầu tiên có thể can thiệp vào
được bằng phần mềm (thông qua trình điểu khiển thiết bị của hệ điều hành). Vì vậy, nó
đáng được khảo sát trước tiên - để đảm bảo an toàn thông tin ở mức thấp nhất. Tất
nhiên tầng vật lý trong mô
Các file đính kèm theo tài liệu này:
- LUẬN VĂN-MỘT SỐ CÔNG CỤ CÔNG NGHỆ THÔNG TIN DÙNG TRONG THANH TOÁN ĐIỆN TỬ.pdf