Bài giảng Thương mại điện tử căn bản - Chương 4: An toàn thương mại điện tử - Nguyễn Văn Minh

CHƯƠNG 4 AN TOÀN THƯƠNG MẠI ĐIỆN TỬ 1Bộ môn Thương mại điện tử DHTM_TMU NỘI DUNG CHÍNH 2 1 • ĐỊNH NGHĨA VÀ CÁC VẤN ĐỀ ĐẶT RA CHO AN TOÀN TRONG TMĐT 2 • CÁC NGUY CƠ VÀ HÌNH THỨC TẤN CÔNG ĐE DỌA AN TOÀN TMĐT 3 • QUẢN TRỊ AN TOÀN TMĐT 4 • MỘT SỐ GIẢI PHÁP CÔNG NGHỆ ĐẢM BẢO AN TOÀN TRONG TMĐT Bộ môn Thương mại điện tử DHTM_TMU 4.1. ĐỊNH NGHĨA VÀ VẤN ĐỀ ĐẶT RA 3 1.1 1.2 ĐỊNH NGHĨA AN TOÀN TMĐT NHỮNG VẤN ĐỀ CĂN BẢN CỦA AN TOÀN THƯƠNG MẠI ĐIỆN TỬ Bộ môn Thương mại điện tử DHTM_TMU 4.1.1 ĐỊNH NGHĨA AN TOÀN TMĐT An toàn thương mại điện tử là an toàn thông tin trao đổi giữa các chủ thể tham gia giao dịch, an toàn cho các hệ thống (hệ thống máy chủ thương mại và các thiết bị đầu cuối, đường truyền..) không bị xâm hại từ môi trường hoặc có khả năng chống lại những tai họa, lỗi và sự tấn công từ môi trường đó. 4Bộ môn Thương mại điện tử DHTM_TMU 4.1.2 NHỮNG VẤN ĐỀ CĂN BẢN CỦA AN TOÀN TMĐT Sự xác thực (Authentication) Sự cấp phép (Authorization) Kiểm soát, giám sát (Auditing) Tính tin cậy (Confidentiality) và tính riêng tư (Privacy) Tính toàn vẹn (Integrity) Tính sẵn sàng (Availability) Chống phủ định (Non-repudation) 5Bộ môn Thương mại điện tử DHTM_TMU 4.2. CÁC NGUY CƠ VÀ HÌNH THỨC TẤN CÔNG ĐE DỌA AT TMĐT 6 4.2.1 4.2.2 TẤN CÔNG KỸ THUẬT TẤN CÔNG PHI KỸ THUẬT Bộ môn Thương mại điện tử DHTM_TMU Đặc điểm Ví dụ Virut Là 1 chương trình có khả năng: -Tự nhân bản - Lây nhiễm từ file – file khi được kích hoạt -Tự phá hủy file -Tự di chuyển thư mục khác => Lấy cắp thông tin và phá hỏng dữ liệu, chuyển dữ liệu -> con số và ko thể phục hồi Worm (sâu máy tính) Là 1 chương trình có khả năng: -Tự nhân bản - Lây nhiễm từ máy tính – máy tính mà ko cần kích hoạt -Tự lan truyền qua mạng (thường là qua email) => phá các mạng thông tin, giảm khả năng hoạt động hay hủy hoại Virut ILOVEYOU tự gửi bản sao tới 50 địa chỉ thư điện tử đầu tiên trong sổ địa chỉ Microsoft Outlook TẤN CÔNG KỸ THUẬT Bộ môn Thương mại điện tử DHTM_TMU Đặc điểm Ví dụ Con ngựa thành Tơ-roa Là 1 chương trình: - Ko có khả năng nhân bản - Tạo cơ hội để các loại virus nguy hiểm khác xâm nhập vào các hệ thống máy tính -Tìm kiếm tệp - Giảm dung lượng tệp xuống 0 byte => Tệp ko thể sd và ko thể khôi phục Giả dạng các chương trình trò chơi, đĩa nhạc Virut tệp Là 1 chương trình có khả năng: -Lây nhiễm vào các tệp tin có đuôi *.exe, *.com, *.drv và *.dll và - Nhân bản khi chúng ta thực thi các tệp tin bị lây nhiễm Virut ILOVEYOU đính kèm tệp “Love-Letter-For- You.TXT.vbs”. Khi mở tệp này, virus sẽ xoá toàn bộ các tệp .mp3 và .jpg. TẤN CÔNG KỸ THUẬT Bộ môn Thương mại điện tử DHTM_TMU Đặc điểm Ví dụ Spyware (phần mềm gián điệp) – biến thể của Adware Là 1 chương trình phần mềm : - Theo dõi moi hoạt động trên máy tính - Thâm nhập trực tiếp vào hệ điều hành mà không để lại dấu vết. - Thu thập mọi thông tin cá nhân, => gửi về cho kẻ tấn công Win32.GreenScreen Adware (phần mềm quảng cáo) Là một phần mềm quảng cáo được cài đặt lén lút vào máy người sử dụng hoặc do người sủ dụng không biết nên tự nguyện cài đặt thông qua các dịch vụ download, chia sẻ phần mềm Một loại virus cải trang thành một file mang tên iTunes.exe TẤN CÔNG KỸ THUẬT Bộ môn Thương mại điện tử DHTM_TMU 4.3. QUẢN TRỊ AN TOÀN TMĐT 10 4.3.1 4.3.2 CÁC LỖI THƯỜNG MẮC PHẢI TRONG QUẢN TRỊ AN TOÀN TMĐT CÁC BƯỚC QUẢN TRỊ AN TOÀN THƯƠNG MẠI ĐIỆN TỬ Bộ môn Thương mại điện tử DHTM_TMU 4.4. MỘT SỐ GIẢI PHÁP CÔNG NGHỆ ĐẢM BẢO AN TOÀN TMĐT 11 4.4.1 4.4.2 AN TOÀN MẠNG THƯƠNG MẠI ĐIỆN TỬ 4.4.3 AN TOÀN TRUYỀN THÔNG THƯƠNG MẠI ĐIỆN TỬ BẢO VỆ CÁC HỆ THỐNG CỦA KHÁCH HÀNG VÀ MÁY PHỤC VỤ Bộ môn Thương mại điện tử DHTM_TMU 12 • Điều khiển và kiểm soát truy cập • Các hệ thống xác thực • Các kỹ thuật mã hoá • Mã hoá • Chữ ký điện tử • Chứng thực điện tử • Các giao thức an toàn • SSL, SET • An toàn mạng TMĐT • Bức tường lửa • Các biện pháp bảo vệ hệ thống khách/chủ • Các chương trình tìm & phát hiện xâm nhập • Anti virus 4.4 MỘT SỐ GIẢI PHÁP CÔNG NGHỆ ĐẢM BẢO AN TOÀN TMĐTDHTM_TMU 13  Cơ chế xác thực  Giới hạn các hoạt động thực hiện bởi việc nhận dạng một người hay một nhóm  Thiết bị (Passive tokens)  Các thiết bị lưu trữ như dải từ (magnetic strips) được sử dụng trong hệ thống nhận dạng bao gồm mã mật và các đặc điểm nhận dạng khác (sinh trắc)  Các yếu tố điều kiện nhận dạng  Mật khẩu  Các hệ thống sinh trắc học Hệ thống nhận dạng các bên tham gia là hợp pháp để thực hiện giao dịch, xác định các hành động của họ là được phép thực hiện và hạn chế những hoạt động của họ, chỉ cho những giao dịch cần thiết được khởi tạo và hoàn thành Điều khiển & kiểm soát truy cập HỆ THỐNG XÁC THỰC DHTM_TMU 14 • Các khái niệm – Bản gốc hay bản rõ (Plaintext) • Một mẩu tin/văn bản không mã hóa và con người có thể đọc – Bản mã hoá hay bản mờ (Ciphertext) • Một bản gốc sau khi đã mã hóa chỉ máy tính mới có thể đọc – Khóa (Key) • Đoạn mã bí mật dùng để mã hóa và giải mã một văn bản/mẩu tin – Thuật toán mã hóa (Encryption algorithm) • Là một biểu thức toán học dùng để mã hóa bản rõ thành bản mờ, và ngược lại Mã hoá là quá trình xáo trộn (mã hóa) một tin nhắn, văn bản hay các tài liệu thành văn bản, tài liệu dưới dạng mật mã để bất cứ ai, ngoài người gửi và người nhận, đều không thể hoặc khó có thể đọc CÁC KĨ THUẬT MÃ HÓA Bộ môn Thương mại điện tử DHTM_TMU 15  Mục đích của kỹ thuật mã hoá • Đảm bảo an toàn cho các thông tin được lưu giữ, và đảm bảo an toàn cho thông tin khi truyền phát trên mạng.  Kỹ thuật mã hoá giúp đảm bảo • Tính toàn vẹn của thông điệp; • Chống phủ định; • Tính xác thực; • Tính bí mật của thông tin.  Các kỹ thuật mã hoá cơ bản • Mã hoá bằng thuật toán băm (hàm Hash) • Mã hoá khoá bí mật • Mã hoá khoá công khai CÁC KĨ THUẬT MÃ HÓA Bộ môn Thương mại điện tử DHTM_TMU 16 Kỹ thuật mã hoá bằng thuật toán băm sử dụng thuật toán HASH để mã hoá thông điệp  Hàm hash (hàm băm) là hàm một chiều mà nếu đưa một lượng dữ liệu bất kì qua hàm này sẽ cho ra một chuỗi có độ dài cố định (160 bit) ở đầu ra – Ví dụ, từ "Illuminatus" đi qua hàm SHA-1 cho kết quả E783A3AE2ACDD7DBA5E1FA0269CBC58D. – Ta chỉ cần đổi "Illuminatus" thành "Illuminati" (chuyển "us" thành "i") kết quả sẽ trở nên hoàn toàn khác (nhưng vẫn có độ dài cố định là 160 bit) A766F44DDEA5CACC3323CE3E7D73AE82. MÃ HÓA BẰNG THUẬT TOÁN BĂM (HASH) Bộ môn Thương mại điện tử DHTM_TMU 17  Tính chất cơ bản của hàm HASH • Tính một chiều • Tính duy nhất Ứng dụng của hàm hash • Chống và phát hiện xâm nhập • Bảo vệ tính toàn vẹn của thông điệp • Tạo chìa khóa từ mật khẩu • Tạo chữ kí điện tử. MÃ HÓA BẰNG THUẬT TOÁN BĂM (HASH) Bộ môn Thương mại điện tử DHTM_TMU 18 Mã hoá khoá bí mật • Gọi là mã hoá đối xứng hay mã hoá khoá riêng • Sử dụng một khoá cho cả quá trình mã hoá: hoạt động mã hóa (thực hiện bởi người gửi) và hoạt động giải mã (thực hiện bởi người nhận) Mã hoá khoá công cộng • Gọi là mã hoá không đối xứng hay mã hoá khoá chung • Sử dụng hai khoá trong quá trình mã hoá: một khoá dùng để mã hoá thông điệp (người gửi) và một khoá khác dùng để giải mã (người nhận). MÃ HÓA KHÓA BÍ MẬT VÀ MÃ HÓA CÔNG KHAI Bộ môn Thương mại điện tử DHTM_TMU 19 Đặc điểm Mã hoá khoá riêng Mã hoá khoá công cộng Số khoá Loại khoá Quản lý khoá Đơn giản, nhưng khó quản lý Tốc độ giao dịch Nhanh Chậm Sử dụng Sử dụng để mã hoá những dữ liệu lớn (hàng loạt) Sử dụng đối với những ứng dụng có nhu cầu mã hoá nhỏ hơn như mã hoá các tài liệu nhỏ hoặc để ký các thông điệp Bộ môn Thương mại điện tử DHTM_TMU • Mã hóa “khóa bí mật” • Mã hoá khoá công cộng 1 1 1 1 Bộ môn Thương mại điện tử DHTM_TMU 21 Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký. (Luật Giao dịch điện tử)  Chức năng của chữ ký điện tử  Là điều kiện cần và đủ để quy định tính duy nhất của văn bản điện tử cụ thể  Xác định rõ người chịu trách nhiệm trong việc tạo ra văn bản đó  Thể hiện sự tán thành đối với nội dung văn bản và trách nhiệm của người ký  Bất kỳ thay đổi nào (về nội dung, hình thức...) của văn bản trong quá trình lưu chuyển đều làm thay đổi tương quan giữa phần bị thay đổi với chữ ký CHỮ KÝ ĐIỆN TỬ DHTM_TMU • Cơ chế hoạt động của chữ ký điện tử 1 1 1 1 Bộ môn Thương mại điện tử DHTM_TMU • Quy trình gửi thông điệp sử dụng chữ ký điện tửTĐS Hàm băm VB mã hóa/ Phong bì số TĐS2 TĐS1 Hàm băm VB1 = DHTM_TMU MỘT SỐ LƯU Ý • Thuật toán được sử dụng nhiều nhất trong hàm băm: MD5 và SHA-1 • Mật khẩu là giải pháp kiểm soát truy cập và xác thức được sử dụng rộng rãi nhất • Tại VN, Chữ ký điện tử được sử dụng phổ biến nhất trong khai báo thuế qua mạng • Bức tường lửa kiểm soát ra vào, ngăn chặn truy cập trái phép vào mạng nội bộ 24Bộ môn Thương mại điện tử DHTM_TMU