Bài giảng Thương mại điện tử căn bản: Chương 4

1

Giảng viên: Trần Thị Huyền Trang Bộ môn: Nguyên lý Thƣơng mại điện tử Email: Huyentrangtmdt@gmail.com

NỘI DUNG CHÍNH

4.1 Định nghĩa, những vấn đề đặt ra cho an toàn

4.2 Các nguy cơ và các hình thức tấn công đe dọa

thương mại điện tử

an toàn thương mại điện tử

4.3 Một số giải pháp công nghệ đảm bảo an toàn

trong thương mại điện tử

2 4.1 ĐỊNH NGHĨA NHỮNG VẤN ĐỀ ĐẶT RA CHO AN TOÀN TMĐT _______________________________

Định nghĩa an toàn thương mại điện tử

4.1 Những vấn đề căn bản của an toàn thương mại điện tử

3

4.1.1 ĐỊNH NGHĨA AN TOÀN TMĐT _______________________________

Khái niệm

An toàn trong thương mại điện tử được hiểu là an toàn

thông tin trao đổi giữa các chủ thể tham gia giao dịch,

mại và các thiết bị đầu cuối, đường truyền…) không bị

xâm hại từ bên ngoài hoặc có khả năng chống lại những

tai hoạ, lỗi và sự tấn công từ bên ngoài.

an toàn cho các hệ thống (hệ thống máy chủ thương

4

4.1.1 ĐỊNH NGHĨA AN TOÀN TMĐT _______________________________

• An toàn mang

• An toàn gắn

• An toàn là cả

một chuỗi liên

tính tương đối

liền với chi phí

kết

và

nó

thường đứt ở

những

điểm

yếu nhất.

Đặc điểm của an toàn

5

4.1.2 NHỮNG VẤN ĐẶT RA CHO AN TOÀN TMĐT _______________________________

Yêu cầu của các bên tham gia

Yêu cầu từ

phía người

dùng

từ cả hai

phía

+ Yêu cầu

Yêu cầu từ

phía doanh

6

nghiệp

4.1.2 NHỮNG VẤN ĐẶT RA CHO AN TOÀN TMĐT _______________________________

Yêu cầu từ phía

người dùng

Website đó có phải do một doanh nghiệp hợp pháp vận

hành và sử dụng hay không?

Website thông tin có chứa đựng những đoạn mã nguy

hiểm hay không?

Website có tiết lộ thông tin cho bên thứ 3 hay không ?

7

4.1.2 NHỮNG VẤN ĐẶT RA CHO AN TOÀN TMĐT _______________________________

Yêu cầu từ phía

doanh nghiệp

Người sử dụng có định xâm

nhập và thay đổi nội dung

Người sử dụng có làm gián

của website hay không?

đoạn hoạt động của máy chủ

hay không?

8

4.1.2 NHỮNG VẤN ĐẶT RA CHO AN TOÀN TMĐT _______________________________

Thông tin có bị bên thứ 3 nghe trộm không?

Yêu

( Tính bí mật của thông tin)

cầu

từ

hai

Thông tin có bị biến đổi hay không?

( Tính toàn vẹn của thông tin)

phía

9

4.1.2 NHỮNG VẤN ĐẶT RA CHO AN TOÀN TMĐT _______________________________

Những vấn đề cần thực hiện để đảm bảo

an toàn TMĐT

Xác thực

Cấp phép

(Authentication)

(Authorization)

Kiểm soát

(Auditing)

10

4.1.2 NHỮNG VẤN ĐẶT RA CHO AN TOÀN TMĐT _______________________________

Những vấn đề cần thực hiện để đảm bảo

an toàn TMĐT

Tính bí mật của thông tin

Tính toàn vẹn của thông tin

(Privacy)

(Integrity)

Tính sẵn sàng của thông tin

Tính chống từ chối phủ nhận

(Availability)

(Nonrepudation)

11

4.1.2 NHỮNG VẤN ĐẶT RA CHO AN TOÀN TMĐT _______________________________

Trình duyệt Web

Web server

Chương trình CGI,…

Lưu trữ (CSDL)

Internet

Tính riêng tư Toàn vẹn

Xác thực

Tính riêng tư Toàn vẹn

Xác thực Cấp phép Kiểm soát

Chống phủ định

Các vấn đề chung về an toàn Website trong thương mại điện tử

12 4.2 CÁC NGUY CƠ VÀ CÁC HÌNH THỨC TẤN CÔNG ĐE DỌA AN TOÀN TMĐT _______________________________

doanh

Bên trong

nghiệp

doanh

nghiệp

Bên ngoài

13 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Là những nguy cơ đe doạ do các nhân tố bên ngoài

sử dụng phần mềm, tri thức và kinh nghiệm chuyên

môn tấn công vào hệ thống của doanh nghiệp

14 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Virus

Worm Hacker

Trojan horse

Adware

Spyware

15 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

4.2.1.1 Virus

Khái niệm

Virus là một chương trình máy tính, nó có khả năng nhân

bản hoặc tự tạo các bản sao của chính mình và lây lan

sang các chương trình, các tệp dữ liệu khác trên máy tính

16 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Tác hại của virus

 Phá huỷ các chương trình, các tệp dữ liệu, xoá sạch các

 Tác động và làm lệch lạc khả năng thực hiện của các

thông tin hoặc định dạng lại ổ đĩa cứng của máy tính.

chương trình, các phần mềm hệ thống.

17 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Phân loại

Virus

macro

Virus

script

tệp

18 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Virus macro

 Chiếm từ 75% đến 80% trong tổng số các loại virus

được phát hiện.

 Đây là loại virus đặc biệt, chỉ nhiễm vào các tệp ứng

dụng được soạn thảo, chẳng hạn như các tệp văn bản

của Microsoft Word, Excel và PowerPoint.

19 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Virus macro

 Khi người sử dụng mở các tài liệu bị nhiễm virus trong

các chương trình ứng dụng, virus này sẽ tự tạo ra các

bản sao và nhiễm vào các tệp chứa đựng các khuôn

 Virus macro cũng có thể dễ lây lan khi gửi thư điện tử

có đính kèm tệp văn bản.

mẫu của ứng dụng, để từ đó lây sang các tài liệu khác.

20

4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Virus macro

Melissa virus

Virus macro này phát tán khi người dùng mở tài liệu

Microsoft Word bị nhiễm. Tiêu đề của e-mail có file hiểm

độc đó mang tên: "Đây là tài liệu mà bạn cần… đừng cho

Melissa sẽ lợi dụng Microsoft Outlook để gửi mình tới 50

nhân vật đầu tiên trong hộp thư địa chỉ của nạn nhân.

bất kỳ ai xem". Một khi người dùng mở file đính kèm,

21 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Virus tệp (file-infecting virus)

 Là những virus thường lây nhiễm vào các tệp tin có thể

thực thi, như các tệp tin có đuôi là *.exe, *.com, *.drv

và *.dll.

22 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Virus tệp (file-infecting virus)

 Virus này sẽ hoạt động khi chúng ta thực thi các tệp tin

bị lây nhiễm bằng cách tự tạo các bản sao của chính

mình ở trong các tệp tin khác đang được thực thi tại thời

 Loại virus tệp này cũng dễ dàng lây nhiễm qua con

đường thư điện tử và các hệ thống truyền tệp khác

điểm đó trên hệ thống.

23 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP __________________________

Virus tệp (file-infecting virus)

 Chernobyl là một loại virus hẹn giờ, cứ ngày 26 tháng 4

Virus Chernobyl

hàng năm nó sẽ phá hủy dữ liệu của máy tính mà nó đang

 Virus "Chernobyl" sau khi xâm nhập vào máy vi tính sẽ

xóa tất cả mọi dữ liệu và cố gắng viết lại thông tin được

lưu trữ trong con chip BIOS của máy vi tính theo ý nó.

lây nhiễm.

24 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Virus script

Virus này sẽ hoạt động khi chúng ta chạy một tệp chương

trình dạng *.vbs hay *.js có nhiễm virus.

25 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Virus script

Virus “I LOVE YOU” (hay còn gọi là virus tình yêu), loại

virus chuyên ghi đè lên các tệp *.jpg và *.mp3, là một

ví dụ điển hình của loại virus này.

26 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

4.2.1.2 Worm

Khái niệm

Worm là một loại virus có khả năng lây nhiễm từ máy

tính này sang máy tính khác. Một worm có khả năng tự

nhân bản mà không cần người sử dụng hay các chương

trình phải kích hoạt nó.

27 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Tác hại của worm

 Là một loại virus chuyên tìm kiếm mọi dữ liệu trong bộ

nhớ hoặc trong đĩa làm thay đổi nội dung bất kỳ dữ liệu

nào mà nó gặp, nhưng thường dữ liệu đã bị hỏng (sai

 Nhiệm vụ chính của worm là phá các mạng (network)

lệch) không phục hồi được.

hủy hoại các mạng này.

thông tin, làm giảm khả năng hoạt động hay ngay cả

28 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Cơ chế lây nhiễm của worm

Worm được dùng để chỉ những virus phát tán bằng

cách tìm các địa chỉ trong sổ địa chỉ (Address book) của

máy mà nó đang lây nhiễm - thường là địa chỉ của bạn

email tới những địa chỉ tìm được.

bè, người thân, khách hàng... và tự gửi chính nó qua

Sâu Morris

29 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

4.2.1.3 Trojan horse

Khái niệm

Là một chương trình phần mềm được ngụy trang bởi vẻ

bề ngoài vô hại, nhưng ẩn sâu bên trong là các đoạn mã

nguy hiểm có khả năng đánh cắp thông tin cá nhân của

người sử dụng.

30 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Cơ chế lây nhiễm

 Trojan có thể nhiễm vào máy của bạn qua tệp tin gắn

kèm thư điện tử mà bạn đã vô tình tải về và chạy thử,

hoặc có lẫn trong những chương trình trò chơi, nhưng

 Mở những cổng hậu để hacker xâm nhập, biến máy tính

của người sử dụng trở thành công cụ để phát tán thư

rác hoặc trở thành công cụ để tấn công website nào đó.

chương trình mà bạn không rõ nguồn gốc...

31 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Tác hại của trojan horse

 Cho phép hacker điều khiển máy tính của người khác từ

 Xoá hay viết lại các dữ liệu trên máy tính, làm hỏng chức

xa.

năng của các tệp, lây nhiễm các phần mềm ác tính khác

 Ăn cắp thông tin như là mật khẩu và số thẻ tín dụng, đọc

như là virus.

các chi tiết tài khoản ngân hàng và dùng vào các mục tiêu 32

phạm tội.

4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

4.2.1.4 Adware (Phần mềm quảng cáo ngụy trang)

Khái niệm

Adware là những chương trình phần mềm được cài đặt

một cách lén lút trên máy tính của người sử dụng hoặc

người sử dụng không biết nên tự động cài đặt.

33 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Cơ chế lây nhiễm

 Đi theo các phần mềm miễn phí, dùng thử, các phần mềm

bẻ khóa (crack, keygen): khi bạn cài đặt hoặc chạy các

 Do sự vô tình và hiếu kỳ của người sử dụng.

 Do trình duyệt máy tính có lỗi, người sử dụng tự động lạc

vào những website lạ.

phần mềm này, Adware sẽ cài đặt lên máy tính của bạn.

34 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

 Thường được phân phát miễn phí hay là phiên bản

dùng thử và chỉ khi người dùng trả tiền cho những

phiên bản dùng thử đó các quảng cáo sẽ teo nhỏ hoặc

biến mất theo chính sách của hãng phần mềm đó.

35 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Tác hại của adware

 Tạo cho người dùng sự bực mình.

 Là hiện lên những quảng cáo bất hợp pháp mà chưa được

người dùng cho phép, thường xuyên hiện lên máy bắt bạn

 Nhanh chóng kết hợp với các sâu máy tính hoặc virus để

tăng hiệu quả tấn công phá hủy hệ thống máy tính hoặc

cơ sở dữ liệu.

phải mua mới thôi.

36 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

4.2.1.5 Spyware (Phần mềm gián điệp)

Khái niệm

Spyware là một chương trình phần mềm được cài đặt một

cách lén lút và theo dõi mọi hoạt động của người sử dụng

trên máy tính. Spyware có khả năng xâm nhập trực tiếp

vào hệ điều hành, không để lại dấu vết gì.

37 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Cơ chế lây nhiễm

 Được cài đặt một cách bí mật như là một bộ phận

kèm theo của các phần mềm miễn phí (freeware) và

phần mềm chia sẻ (shareware) mà người ta có thể tải

 Một khi đã cài đặt, spyware điều phối các hoạt động

của máy chủ trên Internet và lặng lẽ chuyển các dữ liệu

thông tin đến một máy khác.

về từ Internet.

38 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Tác hại của spyware

 Spyware còn sử dụng (đánh cắp) từ máy chủ các tài

nguyên của bộ nhớ, ăn chặn băng thông khi nó gửi thông

tin trở về chủ của các spyware qua các liên kết Internet

 Ăn cắp mật khẩu truy nhập cũng như ăn cắp các các tin

tức riêng tư của người chủ máy (như là số tài khoản ở

và có thể dẫn tới hư máy hay máy không ổn định.

ngân hàng, ngày sinh và các con số quan trọng khác...) 39

nhằm vào các mưu đồ xấu.

4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

4.2.1.5 Tin tặc và một số hình thức tấn công phổ biến

Tin tặc

Khái niệm

Hacker là người có thể viết hay chỉnh sửa phần mềm, phần

cứng máy tính bao gồm lập trình quản trị và bảo mật.

mạng máy tính và dùng kiến thức bản thân để làm thay

đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau.

Những người này hiểu rõ hoạt động của hệ thống máy tính,

40 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Hacker mũ đen

Hacker mũ trắng

Hacker mũ xanh

Hacker mũ xám

Phân loại

41 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Các hình thức tấn công phổ biến

Tấn công từ

Tấn công thay

chối dịch vụ

đổi giao diện

(DoS)

(Deface)

Tấn công từ chối

dịch vụ phân tán

(DDoS)

42 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Tấn công thay đổi giao diện (Deface)

Khái niệm

Đây là hình thức tấn công chiếm quyền kiểm soát ở mức

cao nhất và cũng là hình thức tấn công mà mọi tin tặc

đều mong muốn thực hiện vì chứng tỏ đẳng cấp và trình

độ của tin tặc.

43 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Cách thức tấn công

 Những website có đuôi: .gov, .vn là những website dễ tấn

 Khai thác lỗ hổng bảo mật của hệ thống hoặc phần mềm

và hacker xâm nhập được vào sâu trong máy chủ của một

website và chiếm quyền kiểm soát máy chủ, sau đó sử

công nhất.

dụng quyền này để tạo ra những thay đổi về mặt nội

dung, cũng như giao diện của website đó, vì thế khi người

sử dụng truy cập vào website này chỉ có thể nhìn thấy 44

được các hình ảnh nội dung mà hacker tải đầy đủ.

4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Một số vụ tấn công deface điển hình  Chodientu.vn bị tấn công

45 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Một số vụ tấn công deface điển hình

Chodientu.vn

Giao diện chodientu.vn

22h ngày 12/02/2006

46 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Một số vụ tấn công deface điển hình

Chodientu.vn

Giao diện chodientu.vn

11h ngày 29/09/2006

47 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Một số vụ tấn công deface điển hình  Vietnamnet.vn bị tấn công

48 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Một số vụ tấn công deface điển hình

Vietnamnet.vn

Giao diện Vietnamnet.vn

3h sáng này 22/11/2010

49 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Tấn công khước từ dịch vụ

Khái niệm

Tấn công khước từ dịch vụ là hành động mà các tin tặc

lợi dụng đặc điểm hoặc lỗi an toàn thông tin của một hệ

thống dịch vụ nhằm làm ngưng trệ hoặc ngăn cản người

dùng truy nhập dịch vụ đó.

50 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Peter

Khái niệm

Làm tắc nghẽn đường truyền

Internet

Anne

Server

51 Anne không thể truy cập vào website

4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Phân loại

Tấn công từ chối dịch vụ

(DoS - Denial of Service)

Phân

loại

Tấn công từ chối dịch vụ phân tán

(DDoS - Distributed Denial of Service)

52 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

 Tấn công từ chối dịch vụ (DoS)

Là hình thức dùng 1 máy chủ gửi hàng loạt yêu cầu

(request) sang 1 máy chủ khác nhằm làm tê liệt đường

truyền và chiếm tài nguyên băng thông.

53 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Hacker

Server

54 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

 Tấn công từ chối dịch vụ phân tán (DDoS)

Là hình thức dùng nhiều máy chủ hay client gửi yêu cầu

(request) đến máy chủ chứa ứng dụng và cũng làm tê

liệt đường truyền và chiếm tài nguyên máy chủ.

55 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

56 4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI DOANH NGHIỆP _______________________________

Đặc điểm – Tác hại

 Liên tục gửi các gói tin yêu cầu kết nối đến server làm cho

khác.

 Không lấy mất thông tin của hệ thống, nó thường chỉ gây

server bị quá tải dẫn đến không thể phục vụ các kết nối

cho hệ thống tê liệt, không hoạt động được, và đôi khi gây

 Gây thiệt hại về tiền bạc, uy tín cho nhà cung cấp dịch vụ,

và thiệt hại gián tiếp của khách hàng sử dụng dịch vụ.

hỏng hóc hoặc phá hoại thông tin có trên hệ thống.

57 4.2.2 CÁC NGUY CƠ TẤN CÔNG BÊN TRONG DOANH NGHIỆP _______________________________

Các nguy cơ tấn công bên trong doanh nghiệp là

hình thức tấn công từ chính những nhân viên ở

bên trong của doanh nghiệp

58 4.3 MỘT SỐ GIẢI PHÁP CÔNG NGHỆ ĐẢM BẢO AN TOÀN THƢƠNG MẠI ĐIỆN TỬ _______________________________

Giải pháp công nghệ

Kiểm soát truy cập và xác thực Cơ sở hạ tầng khóa công khai

59

4.3.1 KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC _______________________________

 Kiểm soát truy cập xác định ai (người hoặc máy)

4.3.1.1 Khái niệm

được sử dụng hợp pháp các tài nguyên mạng và

 Xác thực là quá trình kiểm tra xem người dùng có

đúng là người xưng danh hay không

những tài nguyên nào họ được sử dụng.

60

4.3.1 KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC _______________________________

4.3.1.2 Các phương thức kiểm soát truy cập và xác thực

Mật khẩu (Password)

Thẻ (Token)

Hệ thống sinh trắc

61

4.3.1 KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC _______________________________

Mật khẩu

62

4.3.1 KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC _______________________________

Thẻ (Token)

Token bị động

Phần lớn thẻ bị động là thẻ nhựa có gắn dải từ. Người

tính hoặc trạm công tác, sau đó nhập mật khẩu và nhận

được quyền truy cập vào mạng.

dùng cà thẻ bị động vào một đầu đặt gắn kết với máy

63

4.3.1 KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC _______________________________

Token chủ động

 Token tự tạo các dãy mã số một cách ngẫu nhiên (gồm 06

liên tục trong một khoảng thời gian nhất định (30 giây

hoặc 60 giây).

 Cơ chế bảo mật của mỗi Token chính là mã số được tạo ra

liên tục, duy nhất, đồng bộ hoá và xác thực bởi máy chủ.

chữ số hiện ra trên màn hình phía trên Token) và thay đổi

64

Hệ thống sinh trắc trong xác thực

4.3.1 KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC _______________________________

65

Kỹ thuật mã

hóa thông tin

Chứng thực

Mã hóa khóa bí

điện tử

mật

Mã hóa khóa

Chữ ký điện tử

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

66

công khai

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

4.3.2.1 Kỹ thuật mã hóa thông tin

Khái niệm

Mã hoá thông tin là quá trình chuyển các văn bản hay

các tài liệu gốc thành các văn bản dưới dạng mật mã để

bất cứ ai, ngoài người gửi và người nhận, đều không thể

đọc được.

67

Khái niệm

Bản rõ

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

ELECTRONIC COMMERCE

Mã hóa

Key = 3

Bản mờ

HOHFXURQLF FRPPHUFH

68

Bản mờ

 Khái niệm

Mã hóa

Bản rõ

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

69

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

 Đảm bảo tính toàn vẹn của thông điệp

 Khả năng chống phủ định

 Đảm bảo tính xác thực

 Đảm bảo tính bí mật của thông tin

Mục đích của mã hóa thông tin

70

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

4.3.2.2 Mã hóa khóa bí mật (Mã hóa khóa đơn)

Khái niệm

Mã hoá khoá bí mật, còn gọi là mã hoá đối xứng hay mã

mã hoá (được thực hiện bởi người gửi thông tin) và quá

trình giải mã (được thực hiện bởi người nhận).

hoá khoá riêng, là sử dụng một khoá cho cả quá trình

71

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

Quá trình mã hóa

72

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

Quá trình mã hóa

Bob

Anne

Internet

Giải mã

Mã hóa

Thông

Thông điệp

Thông

điệp gốc

mã hóa

điệp gốc

73

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

Đơn giản, dễ sử dụng

Quá trình mã hóa và giải mã nhanh chóng

Sử dụng để mã hoá những dữ liệu lớn (hàng loạt)

Ưu điểm

74

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

Nhược điểm

Chi phí tốn kém

Nhược

Khó khăn trong vấn đề tạo lập, phân phối, lưu trữ và quản lý khóa

điểm

Không dùng cho mục đích xác thực, hay chống phủ nhận được

75

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

4.3.2.3 Mã hóa khóa công khai

Khái niệm

Mã hoá khoá công cộng (còn gọi là mã hoá không đối

mã khoá dùng để mã hoá thông điệp và một mã khoá

khác dùng để giải mã. Hai mã khoá này có quan hệ với

nhau về mặt thuật toán sao cho dữ liệu được mã hoá

xứng) sử dụng hai mã khoá trong quá trình mã hoá : một

bằng khoá này sẽ được giải mã bằng khoá kia.

76

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

Quá trình mã hóa

77

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

Quá trình mã hóa

Khóa riêng của Bob

Khóa công khai của Bob

Bob

Khóa riêng của Alice

Alice

Khóa công khai của Alice 78

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

Quá trình mã hóa

Mã hóa

Bob

Internet

--------------------------------------------------------------------

Giải mã

79 Alice

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

Độ an toàn và tin cậy cao

Ưu điểm

Không cần phải phân phối khóa giải mã như trong mã hóa đối xứng

Ưu

Gửi thông tin mật trên đường truyền không an toàn mà không cần thỏa thuận khóa từ trước

Tạo và cho phép nhận dạng chữ ký số và do đó được dùng để xác thực hay chống phủ nhận

điểm

80

4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI _______________________________

Tốc độ mã hóa và giải mã chậm.

Sử dụng đối với những ứng dụng có nhu cầu mã hoá nhỏ

hơn như mã hoá các tài liệu nhỏ hoặc để ký các thông điệp.

Nhược điểm

81

4.3.3 CHỮ KÝ ĐIỆN TỬ _______________________________

4.3.3.1 Khái niệm

Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký

điện tử, gắn liền hoặc kết hợp một cách logic với thông

điệp dữ liệu, có khả năng xác nhận người ký thông điệp

dữ liệu và xác nhận sự chấp thuận của người đó đối với

hiệu, âm thanh hoặc các hình thức khác bằng phương tiện

nội dung thông điệp dữ liệu được ký

82

4.3.3 CHỮ KÝ ĐIỆN TỬ _______________________________

4.3.3.2 Cơ sở hạ tầng cho chữ ký điện tử

Hàm băm

Cơ sở hạ

tầng CKĐT

Mã hóa

khóa công

khai

83

4.3.3 CHỮ KÝ ĐIỆN TỬ _______________________________

Hàm băm

Khái niệm

Hàm băm (hàm hash) là giải thuật nhằm sinh ra các

giá trị băm tương ứng với mỗi khối dữ liệu.

Các điều kiện của hàm băm tốt

 Tính toán nhanh

 Các khoá được phân bố đều trong bảng

 Ít xảy ra đụng độ

84

 Xử lý được các loại khóa có kiểu dữ liệu khác nhau

4.3.3 CHỮ KÝ ĐIỆN TỬ _______________________________

Thuộc tính của hàm băm

Hàm băm

Fox

DFCD3454

Hàm băm

52ED879E

The red fox runs across the ice

46042841

Hàm băm

The red fox walks across the ice

85

4.3.3 CHỮ KÝ ĐIỆN TỬ _______________________________

Thuộc tính của hàm băm

Dữ liệu đầu vào với độ dài bất kỳ thì luôn sinh ra giá

trị băm với độ dài cố định.

Giá trị trả lại của hàm băm là duy nhất đối với mỗi giá

trị đầu vào

Từ giá trị của hàm băm không thể suy ra được dữ liệu

đầu vào ban đầu ( tính một chiều của hàm băm)

86

4.3.3 CHỮ KÝ ĐIỆN TỬ _______________________________

4.3.3.3 Quy trình tạo lập chữ ký điện tử

Hàm băm

Chữ ký số

Hợp đồng rút gọn

Hợp đồng gốc

87

4.3.3 CHỮ KÝ ĐIỆN TỬ _______________________________

4.3.3.3 Quy trình gửi thông điệp sử dụng CKĐT

B2: Sử dụng hàm băm (thuật toán Hash) để chuyển từ hợp

đồng gốc sang hợp đồng rút gọn.

B1: Tạo một hợp đồng gốc.

B3: Người gửi sử dụng khóa riêng để mã hóa hợp đồng rút gọn. Hợp đồng rút gọn sau khi được mã hóa gọi là chữ ký điện tử.

B4: Người gửi mã hóa cả hợp đồng gốc và chữ ký số sử dụng khóa công khai của người nhận. Hợp đồng gốc và chữ ký số sau khi được mã hóa gọi là phong bì số.

88

B5: Người gửi gửi phong bì số hóa cho người nhận

4.3.3 CHỮ KÝ ĐIỆN TỬ _______________________________

B6: Khi nhận được phong bì số hóa, người nhận sử dụng khóa riêng của mình để giải mã phong bì số và nhận được hợp đồng gốc và chữ ký số của người gửi.

B7: Người nhận sử dụng khóa công khai của người gửi để nhận dạng chữ ký số của người gửi (là thông điệp đã được mã hóa bằng hàm Hash).

B8: Người nhận sử dụng thuật toán băm để chuyển hợp đồng gốc thành hợp đồng rút gọn số như ở bước 2 mà người gửi đã làm.