Nghiên cứu giải pháp xác thực web ứng dụng trong giao dịch điện tử
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (6.41 MB, 76 trang )
i
...
đại học thái nguyên
Tr-ờng đại học CÔNG NGHệ THÔNG TIN Và TRUYềN THÔNG
HONG VNH H
[
NGHIấN CU GII PHP XC THC WEB
ỨNG DỤNG TRONG GIAO DỊCH ĐIỆN TỬ
LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
Chuyên ngành: KHOA HỌC MÁY TÍNH
Mã số: 60.48.01
Ngƣời hƣớng dẫn khoa học: TS. HỒ VĂN HƢƠNG
Thái Nguyên, 2014
Số hóa bởi Trung tâm Học liệu
/>
ii
LỜI CAM ĐOAN
Tơi xin cam đoan đây là cơng trình nghiên cứu của bản thân. Các số liệu kết
quả trình bày trong Luận văn này là trung thực. Những tƣ liệu đƣợc sử dụng trong
Luận văn có nguồn gốc rõ ràng, đầy đủ.
Thái nguyên, tháng 9 năm 2014
Số hóa bởi Trung tâm Học liệu
/>
iii
LỜI CẢM ƠN
Văn Hƣơng, Ban Cơ yếu Chính phủ
L
văn.
-TT Thái Nguyên.
, em trong Công ty EcoIT đã chỉ
gian tôi học tậ
ế
ến Thắng,
ơng ty.
Ban Cơ yếu Chính phủ
hệ thống đăng nhập duy nhất
ế.
SSO, CAS, SSL, Chữ ký số
–
.
!
Thái Nguyên, ngày 29 tháng 09 năm 2014
Học viên thực hiện
(ký và ghi họ tên)
Hồng Vĩnh Hà
Số hóa bởi Trung tâm Học liệu
/>
iv
MỤC LỤC
LỜI CAM ĐOAN ........................................................................................................i
LỜI CẢM ƠN ........................................................................................................... iii
DANH MỤC CÁC CHỮ VIẾT TẮT ........................................................................vi
DANH MỤC CÁC HÌNH ........................................................................................ vii
LỜI MỞ ĐẦU ............................................................................................................. 1
CHƢƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG
GIAO DỊCH ĐIỆN TỬ ...............................................................................................3
1.1 Tổng quan về giao dịch điện tử ........................................................................3
1.1.1 Giới thiệu về giao dịch điện tử ..................................................................3
1.1.2 Những hạn chế trong giao dịch điện tử .....................................................4
1.2 An tồn thơng tin trong giao dịch điện tử .........................................................5
1.3 Tổng quan về Web và ứng dụng WEB .............................................................8
1.3.1 Kiến trúc một ứng dụng WEB .................................................................10
1.3.2 Nguy cơ mất an toàn dịch vụ WEB .........................................................11
1.4 Một số kỹ thuật mật mã ứng dụng trong bảo mật và xác thực web ...............14
1.4.1 Mật mã khoá đối xứng.............................................................................14
1.4.2 Mật mã khố cơng khai ...........................................................................15
.................................................................................................17
1.4.4 Chữ ký số .................................................................................................17
.........................................19
CHƢƠNG 2: MỘT SỐ GIẢI PHÁP XÁC THỰC WEB ......................................... 21
2.1. Một số giải pháp xác thực ngƣời dùng của website ......................................21
2.1.1. Các yếu tố xác thực ................................................................................21
2.1.2 Một số phƣơng pháp xác thực .................................................................21
2.2 Hệ thống đăng nhập duy nhất [3] ...................................................................24
................................................................................................24
..................................................................................................24
.......................................................................................25
Số hóa bởi Trung tâm Học liệu
/>
v
2.2.4 Một số yếu tố quyết định đến hệ thống SSO ..........................................27
2.2.5
...................................................28
2.3 Giải pháp ký số, xác thực nội dung Web [4] ..................................................36
2.3.1 Một số giải pháp ký số đã triển khai trên nền tảng Web .........................36
2.3.2 Phƣơng pháp tiếp cận ký số trên nền tảng Web ......................................37
2.4 Sử dụng giao thức SSL/TLS trong quá trình trao đổi giữa Web client và
WebServer .................................................................................................................39
CHƢƠNG 3: XÂY DỰNG VÀ TÍCH HỢP GIẢI PHÁP XÁC THỰC WEB TRÊN
CỔNG THÔNG TIN NGUỒN MỞ LIFERAY ........................................................ 43
3.1 Xây dựng, tích hợp CAS với cổng thơng tin nguồn mở Liferay ....................43
3.1.1 Mơ hình xác thực ngƣời dùng .................................................................44
3.1.2 Mơ tả quy trình xác thực .........................................................................45
3.1.3 Thiết kế và xây dựng tiện ích quản lý định danh xác thực ngƣời dùng ..45
3.1.4 Xây dựng dịch vụ đăng nhập cho ngƣời dùng ........................................46
3.2 Xây dựng ứng dụng ký số, xác thực trên nền tảng Web .................................51
3.2.1 Mơ hình tổng quan giải pháp ký số, xác thực trên nền tảng Web ...........51
3.2.2 Phân tích thiết kế quy trình ký số, xác thực ............................................52
3.2.3 Thiết kế và xây dựng ứng dụng ký số, xác thực trên nền tảng Web .......58
3.3 Cấu hình, tích hợp giao thức SSL/TLS trong q trình trao đổi giữa Web
Client và Web Server ................................................................................................60
3.3.1 Mô tả giải pháp ........................................................................................60
3.3.2 Sử dụng giao thức SSL/TLS 2 chiều trong q trình xác thực ngƣời dùng
của các website có sử dụng chứng thƣ số.........................................................61
KẾT LUẬN ............................................................................................................... 66
DANH MỤC CÁC CƠNG TRÌNH LIÊN QUAN ĐẾN LUẬN VĂN ................... 67
TÀI LIỆU THAM KHẢO......................................................................................... 68
Số hóa bởi Trung tâm Học liệu
/>
vi
DANH MỤC CÁC CHỮ VIẾT TẮT
TÊN ĐẦY ĐỦ
TỪ VIẾT TẮT
DỊCH RA TIẾNG VIỆT
ATTT
An Tồn Thơng Tin
CNTT
Cơng Nghệ Thơng Tin
CA
Certificate Authority
Thẩm quyền chứng thực
DES
Data Encrytion Standard
Chuẩn mã hóa dữ liệu
DNS
Domain Name System
Hệ thống tên miền
HTTP
Hypertext Transfer Protocol
Giao thức truyền tải siêu văn bản
HTTPS
LDAP
PKCS
Secure
Hypertext
Transfer Giao thức truyền tải siêu văn bản
Protocol
an toàn
Lightweight Directory Access Lightweight
Protocol
Public
Directory
Access
Protocol
Key
Cryptography
Standards
Chuẩn mật mã khóa cơng khai
PKI
Public Key Infrastructure
Cơ sở hạ tầng khóa cơng khai
RA
Registration Authority
Thẩm quyền đăng ký
RSA
Rivest Shamir Adleman
Thuật tốn mã hóa RSA
SHA
Secure Hash Algorithm
Thuật tốn băm
SPKC
Simple Public Key Certificate
SSL
Secure Socket Layer
TLS
Transport Layer Security
Số hóa bởi Trung tâm Học liệu
Chứng thƣ khố cơng khai đơn
giản
Giao thức bảo mật web
Giao thức bảo mật tầng truyền
thông
/>
vii
DANH MỤC CÁC HÌNH
Hình 1.1Thống kê bảo mật ứng dụng WEB ..............................................................10
Hình 1.2 Kiến trúc một ứng dụng WEB. ..................................................................10
Hình 1.3 Mã hóa khóa bí mật ....................................................................................14
Hình 1.4 Mã hóa khóa cơng khai ..............................................................................15
Hình 1.5 Xác thực thơng tin ......................................................................................16
Hình 1.6 Ký và mã hố với khóa cơng khai ..............................................................17
.........................................................................18
................................................................................19
................................................................................20
Hình 1.10 Nhận và kiểm tra chữ ký ..........................................................................21
nh Single Domain SSO .....................................................................26
......................................................................27
.............................................................................................31
.....................................................................................32
........................................................................................35
Hình 2.6 Mơ hình ký số dữ liệu trên Server ..............................................................39
Hình 3.1 Kiến trúc Liferay portal ..............................................................................43
Hình 3.2 Mơ hình xác thực ngƣời dùng ....................................................................44
Hình 3.3 Mơ hình tiện ích quản lý định danh chuẩn .................................................46
Hình 3.4 Cài đặt tệp tin server.xml ...........................................................................46
Hình 3.5 Giao diện tích hợp CAS .............................................................................47
Hình 3.6 Cài đặt giao diện tích hợp với CAS ...........................................................47
Hình 3.7 Tạo khóa riêng bằng câu lệnh ....................................................................48
Hình 3.8 Tạo chứng nhận từ khóa riêng ...................................................................48
Hình 3.9 Đăng ký xác thực vào keystore của java ....................................................49
Hình 3.10 Cài đặt CAS trên Liferay Portal ...............................................................49
Hình 3.11 Kiểm tra kết nối tới CAS và thành cơng ..................................................49
Hình 3.12 Hồn thành tích hợp CAS ........................................................................50
Số hóa bởi Trung tâm Học liệu
/>
viii
Hình 3.13 Đăng nhập xác thực CAS .........................................................................50
Hình 3.14 Thơng báo thành cơng đăng nhập xác thực CAS .....................................51
Hình 3.15 Trạng thái thốt khỏi xác thực CAS .........................................................51
Hình 3.16 Mơ hình tổng quan ...................................................................................52
Hình 3.17 Các kiểu cơ bản của CMS ........................................................................54
Hình 3.18 Lƣợc đồ ký số dữ liệu ..............................................................................56
Hình 3.19 Lƣợc đồ xác thực dữ liệu tổng quan ........................................................57
Hình 3.20 Giao diện chính ........................................................................................58
Hình 3.21 Giao diện chính – Mở rộng ......................................................................59
Hình 3.22 Chọn đƣờng dẫn thƣ viện PKCS#11 ........................................................60
Hình 3.23 Xây dựng giải pháp sử dụng giao thức SSL/TLS trong quá trình trao đổi
giữa Web Client và Web Server ................................................................................61
Hình 3.24 Mơ hình sử dụng giải pháp xác thực 2 chiều SSL/TLS ...........................62
Hình 3.25 Lựa chọn chứng thƣ số xác thực vào website ..........................................64
Hình 3.26 Nhập mật khẩu thiết bị lƣu khóa ..............................................................65
Số hóa bởi Trung tâm Học liệu
/>
1
LỜI MỞ ĐẦU
Ngày nay, công nghệ thông tin phát triển rất nhanh và đƣợc ứng dụng vào
hầu hết những lĩnh vực trong cuộc sống. Vai trị của cơng nghệ thơng tin ngày càng
đƣợc nâng cao, không chỉ dừng lại ở những ứng dụng văn phịng, cơng nghệ thơng
tin cịn đƣợc triển khai ở nhiều lĩnh vực khác trong đời sống, kinh tế xã hội và an
ninh quốc phòng. Bên cạnh những lợi thế trong việc áp dụng công nghệ thông tin,
việc sử dụng CNTT còn tiềm ẩn nhiều vấn đề cịn tồn tại, trong đó có việc đảm bảo
an tồn thơng tin ví dụ nhƣ bị đánh cắp dữ liệu, đƣợc phép đọc các tài liệu mà
không đủ thẩm quyền, dữ liệu bị phá hủy … Do đó, bên cạnh việc triển khai và sử
dụng CNTT, chúng ta cũng phải đảm bảo ATTT. Đảm bảo ATTT chính là đảm bảo
hệ thống có đƣợc ba yếu tố:
Tình tồn vẹn
Tính bí mật
Tính sẵn sàng
Trong lĩnh vực ATTT, sử dụng chứng thƣ số đã trở thành một trong các
phƣơng pháp giúp chúng ta có thể bảo mật thơng tin. Với chứng thƣ số, ngƣời sử
dụng có thể mã hóa thơng tin một cách hiệu quả, chống giả mạo thông tin, xác thực
ngƣời gửi. Ngồi ra, chứng thƣ số cịn là bằng chứng giúp chống chối cãi nguồn
gốc, ngăn chặn ngƣời gửi chối cãi nguồn gốc tài liệu mình đã gửi.
Bố cục đề tài Luận văn gồm có 3 phần, với nội dung từng phần cụ thể nhƣ sau:
Chƣơng 1. TỔNG QUAN VỀ AN TỒN THƠNG TIN VÀ BẢO MẬT
THƠNG TIN TRONG GIAO DỊCH ĐIỆN TỬ
Chƣơng này chúng tơi sẽ tìm hiểu về giao dịch điện tử, phân loại giao dịch
điện tử, an toàn thông tin trong giao dịch điện tử, một số giải pháp bảo mật giao
dịch điện tử, tổng quan về web và ứng dụng web, an toàn dịch vụ web, mật mã khóa
đối xứng, mật mã khóa cơng khai, hàm băm, chữ ký số.
Số hóa bởi Trung tâm Học liệu
/>
2
Chƣơng 2. MỘT SỐ GIẢI PHÁP XÁC THỰC WEB
Chƣơng này trình bày về một số giải pháp xác thực web bao gồm: Giải pháp
xác thực ngƣời dùng Web, hệ thống đăng nhập duy nhất, giải pháp ký số, xác thực
nội dung Web và giải pháp sử dụng giao thức SSL/TLS trong quá trình trao đổi giữa
Web client và WebServer để xây dựng ứng dụng cho chƣơng tiếp theo.
Chƣơng 3. XÂY DỰNG VÀ TÍCH HỢP GIẢI PHÁP XÁC THỰC WEB
TRÊN CỔNG THÔNG TIN NGUỒN MỞ LIFERAY
Chƣơng này xây dựng ứng dụng cụ thể: Xây dựng, tích hợp hệ thống đăng
nhập duy nhất CAS với cổng thông tin nguồn mở Liferay, xây dựng ứng dụng ký
số, xác thực trên nền tảng Web, cấu hình, tích hợp giao thức SSL/TLS cũng nhƣ
tích hợp với thiết bị Etoken.
Do thời gian hoàn thành đề tài có hạn cũng nhƣ khả năng nghiên cứu cịn hạn
chế cho nên em không tránh khỏi những khiếm khuyết, em rất mong có đƣợc những
góp ý và giúp đỡ của các thầy cơ giáo để em có thể tiếp tục đề tài này ở mức ứng
dụng cao hơn trong tƣơng lai.
Em xin chân thành cảm ơn.
Học viên
Hồng Vĩnh Hà
Số hóa bởi Trung tâm Học liệu
/>
3
Chƣơng 1 TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG
GIAO DỊCH ĐIỆN TỬ
1.1 Tổng quan về giao dịch điện tử
1.1.1 Giới thiệu về giao dịch điện tử
Càng ngày CNTT đã trở thành một trong những động lực quan trọng của sự
phát triển. Cùng với sự phát triển của máy tính điện tử, truyền thơng phát triển kéo
theo sự ra đời và phát triển của mạng máy tính, từ các mạng cục bộ, mạng diện rộng
cho tới mạng tồn cầu Internet và xa lộ thơng tin. Việc thơng tin chuyển sang dạng
số và nối mạng đã làm thay đổi sự chuyển hóa của nền kinh tế, các dạng thể chế,
các mối quan hệ và bản chất của hoạt động kinh tế xã hội và có ảnh hƣởng sâu sắc
đển hầu hết các lĩnh vực hoạt động và đời sống con ngƣời, trong đó có hoạt động
giao dịch điện tử. Ngƣời ta đã có thể tiến hành các hoạt động giao dịch nhờ các
phƣơng tiện điện tử. Đó chính là giao dịch điện tử (GDĐT).
Giao dịch điện tử là các hoạt động mua bán sản phẩm hay dịch vụ trên các hệ
thống điện tử nhƣ Internet và các mạng máy tính. Giao dịch điện tử dựa trên một số
cơng nghệ nhƣ chuyển tiền, quản lý chuỗi dây chuyền cung cấp ứng dụng, tiếp thị
Internet, quá trình giao dịch trực tuyến, trao đổi dữ liệu điện tử, các hệ thống quản
lý hàng tồn kho và các hệ thống tự động thu thập dữ liệu. Giao dịch điện tử hiện đại
thƣờng sử dụng mạng World Wide Web là một điểm thiết yếu trong chu trình giao
dịch mặc dù nó có thể bao gồm một phạm vi lớn hơn về mặt công nghệ nhƣ email,
các thiết bị di động cũng nhƣ điện thoại. Ngƣời ta phân loại GDĐT là theo bản chất
của giao dịch điện tử hoặc mối quan hệ giữa các bên tham gia. Ngƣời ta phân loại
theo một số loại hình GDĐT chính nhƣ sau: GDĐT giữa các doanh nghiệp (B2B);
GDĐT giữa ngƣời tiêu dùng – doanh nghiệp (C2B: Consumer- To-Business).
GDĐT giữa ngƣời tiêu dùng – ngƣời tiêu dùng (C2C: Consumer-To-Consumer);
Chính phủ điện tử; G2G (Government-To-Government);
(Government-To-
Business); G2C (Government-To-Custemer).
Các hình thức hoạt động của GDĐT chủ yếu là các Website và thƣ điện tử,
thanh toán điện tử (Trao đổi dữ liệu điện tử tài chính, tiền mặt Internet, tiền túi điện
Số hóa bởi Trung tâm Học liệu
/>
4
tử, giao dịch ngân hàng số hóa…) trao đổi dữ liệu điện tử, truyền nội dung, bán lẻ
hàng hóa hữu hình…
1.1.2 Những hạn chế trong giao dịch điện tử
Theo nghiên cứu của EcommerceNet một tổ chức nghiên cứu tình hình phát
triển của GDĐT có uy tín tại Mỹ, thì mƣời rào cản lớn nhất đối với sự phát triển
GDĐT theo thứ tự là:
An toàn.
Sự tin tƣởng và rủi ro.
Thiếu nhân lực về GDĐT.
Văn hóa.
Thiếu hạ tầng về chữ ký số hóa (hoạt động của các tổ chức chứng thực cịn
hạn chế).
Nhận thức của các tổ chức về GDĐT.
Gian lận trong GDĐT (thẻ tín dụng…).
Các sàn giao dịch B2B chƣa thực sự thân thiện với ngƣời dùng.
Các rào cản thƣơng mại quốc tế truyền thống.
Thiếu các tiêu chuẩn quốc tế về GDĐT.
Trong đó, hạn chế chia thành hai nhóm chính là nhóm hạn chế mang tính kỹ
thuật và nhóm hạn chế mang tính thƣơng mại. Trong đó, nhóm hạn chế mang tính
kỹ thuật đƣợc thể hiện nhƣ sau:
An tồn: Vấn đề an toàn trong giao dịch là vấn đề lớn đối với GDĐT. Nhiều
khách hàng ngần ngại không muốn cung cấp số thẻ tín dụng qua Internet vì đã có rất
nhiều trƣờng hợp bị đánh cắp thông tin và tài khoản thẻ tín dụng gây nhiều thiệt hại
cho ngƣời dùng.
Tồn vẹn dữ liệu: Bảo vệ dữ liệu và tính tồn vẹn của dữ liệu là một vấn đề
nghiêm trọng. Do sự xuất hiện của các virut máy tính dẫn đến đƣờng truyền dữ liệu
Số hóa bởi Trung tâm Học liệu
/>
5
bị nghẽn, các tệp dữ liệu bị phá hủy, tin tặc truy cập trái phép hệ thống để lấy cắp
thông tin, hủy hoại dữ liệu khiến cho khách hàng lo lắng về hệ thống GDĐT.
Nỗi lo lắng về nâng cấp hệ thống: Sau một thời gian phát triển hệ thống
website GDĐT, số lƣợng khách hàng truy cập ngày một đông sẽ dấn đến tốc độ truy
cập chậm lại, nghẽn mạng. Kết quả là khách hàng rời bỏ website. Để tránh tình
trạng này các doanh nghiệp phải thƣờng xuyên nâng cấp hệ thống.
Trên thế giới vẫn chƣa có tiêu chuẩn quốc tế về chất lƣợng dịch vụ, độ an
toàn và độ tin cậy trong GDĐT, mỗi quốc gia lại có một chính sách khác nhau và
các chính sách về GDĐT vẫn chƣa chặt chẽ và cịn nhiều lỗ hổng. Các cơng cụ xây
dựng phần mềm về GDĐT (Nhƣ các nền tảng phát triển website GDĐT, cách thức
thanh toán, xác thực…) vẫn chƣa đƣợc hồn thiện và cịn trong đang giai đoạn phát
triển. Khi kếp hợp các phần mềm GDĐT với các phần mềm ứng dụng và các cơ sở
dữ liệu truyền thống vẫn gặp nhiều khó khăn.
1.2 An tồn thơng tin trong giao dịch điện tử
Thƣơng mại điện tử là sự mua bán sản phẩm hay dịch vụ trên các hệ thống
điện tử nhƣ Internet hoặc các mạng máy tính. Các giao dịch điện tử trong thƣơng
mại điện tử chủ yếu là: chuyển tiền, mua sắm điện tử, trao đổi thông tin điện tử…
Đây là các giao dịch hết sức quan trọng địi hỏi phải có độ an tồn và bảo mật cao.
Ngoài các yếu tố an toàn và bảo mật nhƣ đối với hệ thống thông tin, giao
dịch điện tử cần phải chú trọng vào một số vấn đề sau:
Bảo mật thông tin khách hàng.
Xác thực chủ thể, chống chối bỏ.
Xác thực tính chính xác về thời gian giao dịch và kiểu giao dịch.
Khi nhu cầu giao dịch điện tử ngày càng gia tăng thì các nguy cơ mất an tồn
càng dễ xảy ra. Điều này địi hỏi phải có những chính sách thích hợp giúp cho
ngƣời sử dụng yên tâm khi thực hiện các giao dịch điện tử. Các doanh nghiệp kinh
Số hóa bởi Trung tâm Học liệu
/>
6
doanh điện tử thƣờng trú trọng đến các giải pháp để có thể xác thực ngƣời dùng: sử
dụng chữ ký số, xác thực sinh trắc, xác nhận qua điện thoại, email… Các giải pháp
này giúp hạn chế tối đa các trƣờng hợp mạo danh để thực hiện các giao dịch điện tử.
Lợi ích của giao dịch điện tử đối với nền kinh tế quốc dân cũng nhƣ sự phát
triển về mặt cơng nghệ và thị trƣờng tồn cầu là vơ cùng to lớn. Tuy nhiên, song
hành cùng với những thuận lợi bao giờ cũng nảy sinh và tồn tại khó khăn. Vấn đề
đáng lo ngại nhất hiện nay mà tất cả các quốc gia đều phải đối mặt đó là sự tấn
công, phá hoại của một số phần tử xã hội, gây ảnh hƣởng không nhỏ đến nền kinh
tế. Các cuộc tấn cơng mạng trên tồn cầu gây thiệt hại hàng tỉ USD mỗi năm và con
số này đang không ngừng gia tăng. Theo thống kê của Ủy ban Thƣơng mại Liên
bang Hoa Kỳ, việc mất dữ liệu ở Mỹ trong 5 năm đã gây thiệt hại 60 tỉ USD. Cịn
theo Computer Economics, chỉ riêng 4 loại sâu máy tính MyDoom, Bagel, Netsky
và Sasser đã gây tổng thiệt hại đến 11 tỉ USD… Thế giới trong năm qua bị rung
động bởi sự hoành hành của Flame và Duqu, những vi rút đánh cắp thông tin mật
của các hệ thống điện tốn khu vực Trung Đơng. Gần đây nhất, đầu năm 2014, tại
Mỹ hàng loạt các công ty công nghệ hàng đầu cũng đã bị hacker tấn công nhƣ
Apple, Facebook, Microsoft. Bên cạnh đó, nhiều tịa báo lớn của Mỹ cũng đã bị
hacker liên tiếp tấn công nhằm đánh cắp dữ liệu. Một vấn đề bức xúc đƣợc đặt ra là
các giải pháp an tồn thơng tin cho giao dịch điện tử.
Ở Việt Nam, trong những năm gần đây liên tục diễn ra các sự kiện liên quan
đến vấn đề an tồn thơng tin. Những báo cáo, tham luận tại các Hội thảo đều cho
thấy vấn đề an ninh các website, đặc biệt website của các cơng ty chứng khốn là
những mối quan ngại lớn. Với những diễn biến xảy ra, an ninh mạng Việt Nam thực
sự là bất ổn và đƣợc coi là “báo động đỏ”. Hàng nghìn virus mới xuất hiện, những
cuộc tấn cơng có chủ đích của giới hacker vào các website của các cơ quan, tổ chức
và doanh nghiệp... đã gây ra những hậu quả nhất định cho các đơn vị này. Nhiều
hoạt động phạm pháp, lợi dụng Internet làm mơi trƣờng hoạt động, tình trạng phát
tán thƣ rác, virus ... tăng theo cấp số nhân. Theo ƣớc tính, năm 2007 ở nƣớc ta thiệt
Số hóa bởi Trung tâm Học liệu
/>
7
hại do virus gây ra có thể lên tới hơn 2 nghìn tỉ đồng. Đầu năm 2014, các số liệu
thống kê cho thấy, tình hình mất an tồn an ninh mạng vẫn khơng có dấu hiệu giảm.
Theo nhận định của các chuyên gia, năm 2014 vẫn tiếp tục xuất hiện nhiều biến thể
virus mới và tập trung tấn công vào từng nhóm đối tƣợng có chủ đích thay vì tấn
cơng chung chung trên diện rộng. Do đó, con số thiệt hại cũng sẽ tăng lên một cách
đáng báo động [7].
Theo thống kê của BKAV, trong năm 2014, tại Việt nam có tới 2.203
website của các cơ quan doanh nghiệp (DN) bị tấn công, các cuộc tấn công này chủ
yếu thông qua các lỗ hổng trên hệ thống mạng. So với năm 2013 (có 2.245 website
bị tấn cơng), con số này hầu nhƣ không giảm. Thực trạng này cho thấy, an ninh
mạng vẫn chƣa thực sự đƣợc quan tâm tại các cơ quan, DN. Theo nhận định của các
chuyên gia công ty BKAV, hầu hết cơ quan DN của Việt Nam chƣa bố trí đƣợc
nhân sự phụ trách an ninh mạng hoặc năng lực và nhận thức của đội ngũ này chƣa
tƣơng xứng với tình hình thực tế. Đó là những ngun nhân chính. Trong năm 2013,
tấn cơng, phát tán phần mềm gián điệp (spyware) vào các cơ quan, DN là hình thái
mới của giới tội phạm mạng mang tính chất quốc gia. Trong năm, hệ thống giám sát
vi rút của Bkav đã phát hiện hàng loạt email đính kèm file văn bản chứa phần mềm
gián điệp đƣợc gửi tới các cơ quan, DN. Do từ trƣớc tới nay các file văn bản vẫn
đƣợc cho là an toàn, hầu hết ngƣời nhận đƣợc email đã mở file đính kèm và bị
nhiễm vi rút dạng spyware khai thác lỗ hổng của phần mềm Microsoft Office (bao
gồm cả Word, Excel và PowerPoint). Khi xâm nhập vào máy tính, virus này âm
thầm kiểm sốt tồn bộ máy tính nạn nhân, mở cổng hậu (backdoor), cho phép
hacker điều khiển máy tính nạn nhân từ xa. Chúng cũng nhận lệnh hacker tải các
virus khác về máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu.
Các sự việc này đã rung lên hồi chuông báo động về thực trạng mất an toàn an ninh
mạng của các cơ quan, doanh nghiệp tại Việt nam.
Việc kết nối qua mạng Internet hiện nay chủ yếu sử dụng giao thức TCP/IP.
TCP/IP cho phép các thông tin đƣợc gửi từ một máy tính này tới một máy tính khác
Số hóa bởi Trung tâm Học liệu
/>
8
thông qua một loạt các máy trung gian hoặc các mạng riêng biệt trƣớc khi nó có thể
đi tới đích. Tính linh hoạt này của giao thức TCP/IP đã tạo cơ hội cho “bên thứ ba”
có thể thực hiện các hành động bất hợp pháp, cụ thể là:
Nghe trộm: thông tin vẫn khơng bị thay đổi, nhƣng sự bí mật của nó thì
khơng cịn.
Giả mạo: các thơng tin trong khi truyền đi bị thay đổi hoặc thay thế trƣớc
khi đến ngƣời nhận.
Mạo danh: thông tin đƣợc gửi tới một cá nhân mạo nhận là ngƣời nhận
hợp pháp.
Sự phát triển của giao dịch điện tử phụ thuộc phần lớn vào mạng máy tính
(Internet) bởi con đƣờng thơng thƣơng duy nhất trong thị trƣờng giao dịch điện tử
chính là các kết nối Internet. Do vậy, việc đảm bảo cho con đƣờng này đƣợc thơng
suốt và an tồn là mục tiêu quan trọng cần hƣớng tới của mọi thị trƣờng giao dịch
điện tử từ quốc gia đến khu vực và thế giới.
1.3 Tổng quan về Web và ứng dụng WEB
Website là một “trang web” đƣợc lƣu trữ tại các máy chủ hay các hosting
hoạt động trên Internet. Đây là nơi giới thiệu những thơng tin, hình ảnh về doanh
nghiệp, sản phần và dịch vụ của doanh nghiệp hay giới thiệu thông tin để khách
hàng có thể truy cập bất kì ở đâu, bất cứ lúc nào. Website là tập hợp của nhiều web
page. Để tạo nên một website cần có 3 yếu tố sau:
Tên miền (domain): Thực chất một website không cần đến tên miền nó vẫn
có thể hoạt động bình thƣờng vì nó cịn có địa chỉ IP của trang web, chúng ta chỉ
cần gõ vào trình duyệt IP của trang web thì ngay lập tức trình duyệt sẽ load trang
web về trình duyệt của bạn. Sỡ dĩ chúng ta cần phải có tên miền thay cho IP là vì IP
là mỗi chuỗi số thập phân, có những địa chỉ IP thì rất là dễ nhớ nhƣng đa số địa chỉ
IP thì rất là khó nhớ. Với cái tên nó rất gần gũi với ngôn ngữ tự nhiên của con ngƣời
nên rất là dễ nhớ cũng chính vì vậy mà ngƣời ta đã thay tên miền cho IP và từ đó
cơng nghệ DNS ra đời. Nơi lƣu trữ website (hosting): Nơi lƣu trữ website thì bắt
Số hóa bởi Trung tâm Học liệu
/>
9
buộc chúng ta phải có, nó có thể là một máy chủ để lƣu trữ hay một hosting chúng
ta thuê từ nhà cung cấp dịch vụ.
Nội dung các trang thông tin (web page): Nội dung trang thơng tin này thì
phải có vì mục đích của chúng ta lập nên website nhằm đăng thông tin của chúng ta
lên website hay giới thiệu các thơng tin của cơng ty. Nói đến một website ngƣời ta
thƣờng nói website đấy là web động hay tĩnh, đa số các website bây giờ đến là
website động.
Website tĩnh có thể hiểu nhƣ thế sau ngƣời dùng gửi yêu cầu một tài nguyên
nào đó và máy chủ sẽ trả về tài ngun đó. Các trang Web khơng khác gì là một văn
bản đƣợc định dạng và phân tán. Lúc mới đầu phát triển website thì web tĩnh đƣợc
sử dụng rất nhiều vì lúc đấy nhu cầu của việc đăng tải trên website là chƣa cao nhƣ
đăng thông tin về các sự kiện, địa chỉ hay lịch làm việc qua Internet mà thơi, chƣa
có sự tƣơng tác qua lại giữa các trang Web.
Website động là thuật ngữ đƣợc dùng để chỉ những website đƣợc hỗ trợ bởi
một phần mềm cơ sở web, một cách đơn giản web động là web có cơ sở dữ liệu.
Ngày nay, đa số các trang web đều có cơ sở dữ liệu vì mục đích, nhu cầu của con
ngƣời càng ngày gia tăng. Thực chất, website động có nghĩa là một website tĩnh
đƣợc "ghép" với một phần mềm web (các modules ứng dụng cho Web). Với chƣơng
trình phần mềm này, ngƣời chủ website thực sự có quyền điều hành nó, chỉnh sửa
và cập nhật thơng tin trên website của mình mà khơng cần phải nhờ đến những
ngƣời chuyên nghiệp.
Ứng dụng WEB là một ứng dụng máy chủ/máy khách sử dụng giao thức
HTTP để tƣơng tác với ngƣời dùng hay hệ thống khác. Trình duyệt WEB giành cho
ngƣời dùng nhƣ Internet Explore hoặc Firefox hay Chrome,... Ngƣời dùng gửi và
nhận các thông tin từ máy chủ WEB thông qua việc tác động vào các trang WEB.
Các ứng dụng WEB có thể là trang trao đổi mua bán, các diễn đàn, gửi và nhận
email. Với công nghệ hiện nay, website không chỉ đơn giản là một trang tin cung
cấp các bài tin đơn giản. Những ứng dụng web viết trên nền web khơng chỉ đƣợc
Số hóa bởi Trung tâm Học liệu
/>
10
gọi là một phần của website nữa, giờ đây chúng đƣợc gọi là phần mềm viết trên nền
web. Có rất nhiều phần mềm chạy trên nền web nhƣ Google Word (xử lý các file
văn bản), Google spreadsheets (xử lý tính bảng tính), Google Translate (từ điển,
dịch văn bản),...
Hình 1.1Thống kê bảo mật ứng dụng WEB
1.3.1 Kiến trúc một ứng dụng WEB
Hình 1.2 Kiến trúc một ứng dụng WEB.
Một ứng dụng web có đầy đủ các thành phần nhƣ sau:
Số hóa bởi Trung tâm Học liệu
/>
11
Máy khách
Tại máy khách muốn truy cập vào đƣợc các ứng dụng web thì phải có trình
duyệt web có thể dùng trình duyệt web mặc định của các hệ điều hành nhƣ window
là Internet Explore, Linux thƣờng là Firefox,... còn khơng thì có thể cài thêm các
chƣơng trình duyệt web nhƣ Google Chrome, Opera,...
Máy chủ web
Là nơi lƣu trữ nội dung trang web, tiếp nhận các yêu cầu kết nối từ máy
khách, máy chủ web sử dụng phần mềm để chạy dịch vụ web phục vụ cho các máy
khách nhƣ trên Windows có IIS, Linux thì có Apache, Tom cat,...
Ứng dụng web
Ứng dụng web đƣợc viết bằng các ngôn ngữ khác nhau nhƣ java, php,.. hay
có thể là một đoạn flash đơn giản để nhúng các ứng dụng vào trang web. Ví dụ nhƣ
games online trên facebook hay zing.
Cơ sở dữ liệu
Là một máy chủ chịu đảm nhiệm việc lƣu trữ thơng tin của các ứng dụng
web có thể là lƣu trữ ngay trên máy chủ web hoặc là một máy chủ khác nhƣng
thƣờng để bảo mật thì ngƣời ta lƣu trên một máy chủ khác và sử dụng hệ quản trị cơ
sở dữ liệu nhƣ SQL Server hay Oracle,... Ví dụ: nhƣ chơi games online trên web
của facebook hay zing thì ngƣời chơi games xong thƣờng lƣu các giá trị của ngƣời
chơi vào một cơ sở dữ liệu nào đấy và khi nào ngƣời chơi muốn tiếp tục chơi thì
truy vấn lấy cơ sở dữ liệu đấy ra.
1.3.2 Nguy cơ mất an toàn dịch vụ WEB
Ngày nay với sự phát triển mạnh mẽ của công nghệ thông tin việc ứng dụng
cơng nghệ mạng máy tính trở lên vơ cùng phổ cập và cần thiết. Sự xuất hiện mạng
internet cho phép mọi ngƣời có thể truy cập, chia sẻ và khai thác thông tin một cách dễ
dàng và hiệu quả. Sự phát triển mạnh mẽ của Internet xét về mặt bản chất chính là việc
Số hóa bởi Trung tâm Học liệu
/>
12
đáp ứng lại sự gia tăng không ngừng của nhu cầu giao dịch trực tuyến trên hệ thống
mạng toàn cầu. Các giao dịch trực tuyến trên Internet phát triển từ những hình thức sơ
khai nhƣ trao đổi thơng tin (email, message …), quảng bá (Web-publishing) đến những
giao dịch phức tạp thể hiện qua các hệ thống chính phủ điện tử, thƣơng mại điện tử
ngày càng phát triển mạnh mẽ trên khắp thế giới. Tuy nhiên lại nảy sinh các vấn đề an
tồn thơng tin, Internet có những kỹ thuật cho phép mọi ngƣời truy nhập, khai thác,
chia sẻ thông tin. Nhƣng nó cũng là nguy cơ chính dẫn đến việc thơng tin bị hƣ hỏng
hoặc phá hủy. Sở dĩ có lý do đó là việc truyền thơng tin qua mạng Internet hiện nay chủ
yếu sử dụng giao thức TCP/IP, cho phép các thơng tin đƣợc gửi từ một máy tính này
tới một máy tính khác đi qua một loạt các giao thức trung gian hoặc mạng riêng biệt
trƣớc khi có thể tới đích. Chính vì điểm này, đã tạo cơ hội cho “bên thứ ba” có thể thực
hiện các hành động gây mất mát thông tin trong giao dịch. Một số vấn đề an tồn đối
với nhiều mạng máy tính hiện nay.
Nghe trộm (Eavaesdropping): Thông tin không bị thay đổi, nhƣng sự bí mật của
nó thì khơng cịn. Ví dụ: Ai đó có thể biết đƣợc số ID và Password của thẻ tín dụng…
Giả mạo (Tampering): Các thơng tin trong khi truyền trên mạng bị thay đổi
trƣớc khi đến ngƣời nhận. Ví dụ: Một ai đó có thể sửa đổi đơn đặt hàng hoặc thay
đổi lý lịch cá nhân trƣớc khi các thơng tin đó đi đến đích.
Mạo danh (Impersonation): Một cá nhân có thể dựa vào thơng tin của ngƣời
khác để trao đổi với một đối tƣợng. Có hai hình thức mạo danh:
Mạo danh bắt chƣớc (Spoofing): Một cá nhân có thể dựa vào thơng tin của
ngƣời khác. Ví dụ: Dùng địa chỉ mail của một ngƣời khác hoặc giả mạo một tên
miền của một trang Web.
Xuyên tạc (Mirepresentation): Một cá nhân hay một tổ chức có thể giả vờ
nhƣ một đối tƣợng, hay đƣa ra thông tin về kinh doanh máy tính mà có sử dụng thẻ
tín dụng. Nhƣng thực tế trang này chuyên đánh cắp thẻ tín dụng.
Số hóa bởi Trung tâm Học liệu
/>
13
Chối cãi nguồn gốc (Non-repudiation): Một cá nhân có thể chối là đã không
gửi tài liệu khi xảy ra tranh chấp. Ví dụ: Khi gửi email thơng thƣờng, ngƣời nhận sẽ
khơng thể khẳng định ngƣời gửi là chính xác.
Để đảm báo tính bảo mật của thơng tin khơng làm giảm sự phát triển của
việc trao đổi thông tin quảng bá trên tồn cầu thì chúng ta cần có các giải pháp phù
hợp. Hiện tại có rất nhiều giải pháp cho vấn đề an tồn thơng tin trên mạng nhƣ mã
hóa thơng tin, chữ ký điện tử. Các bí mật đảm bảo an toàn cho giao dịch điện tử:
Thế nào là một hệ thống an tồn thơng tin? An tồn thơng tin trƣớc cho các
cuộc tấn công là một vấn đề mà các hệ thống giao dịch trực tuyến cần giải quyết.
Thông tin truyền trên mạng gặp rất nhiều rủi ro và nguy cơ mất thông tin là thƣờng
xuyên. Chẳng hạn việc thanh tốn bằng thẻ tín dụng thơng qua dịch vụ Web sẽ gặp
một số rủi ro sau:
Thông tin từ trình duyệt Web của khách hàng ở dạng thuần văn bản nên có
thể bị lọt vào tay kẻ tấn cơng. Trình duyệt Web của khách hàng khơng thể xác định
đƣợc máy chủ mà mình trao đổi tin có phải là thật hay một Web giả mạo. Khơng ai
có thể đảm bảo dữ liệu truyền đi có thể bị thay đổi hay khơng? Vì vậy các hệ thống
cần phải có một cơ chế đảm bảo an tồn trong q trình giao dịch điện tử. Một hệ
thống thông tin trao đổi dữ liệu an toàn phải đáp ứng một số yêu cầu sau:
Hệ thống phải đảm bảo dữ liệu trong quá trình chuyển đi là khơng bị đánh
cắp. Hệ thống phải có khả năng xác thực, tránh trƣờng hợp giả danh, giả mạo. Do
vậy, cần tập trung vào việc bảo vệ các tài sản khi chúng đƣợc chuyển tiếp giữa
khách và máy chủ từ xa. Việc cung cấp kênh thƣơng mại an tồn đồng nghĩa với
việc đảm báo tính tồn vẹn của thơng báo, tính sẵn sàng của kênh. Các kỹ thuật đảm
bảo cho an tồn giao dịch điện tử chính là sử dụng các hệ mật mã, chứng thƣ số và
chữ ký số trong quá trình thực hiện các giao dịch.
Số hóa bởi Trung tâm Học liệu
/>
14
Mật mã đƣợc chia làm hai loại chính là mật mã khóa đối xứng (mật mã khóa
bí mật) và mật mã khóa cơng khai [1, 8, 9].
1.4 Một số kỹ thuật mật mã ứng dụng trong bảo mật và xác thực web
1.4.1 Mật mã khố đối xứng
Mật mã khóa đối xứng cịn đƣợc gọi là mật mã khóa bí mật. Đây là phƣơng
pháp mã hóa sử dụng cặp khóa đối xứng. Với phƣơng pháp này, ngƣời gửi và ngƣời
nhận sẽ dùng chung một khóa để mã hóa và giải mã thơng điệp. Trƣớc khi mã hóa
thơng điệp gửi đi, hai bên gửi và nhận phải có khóa chung và phải thống nhất thuật
tốn để mã hóa và giải mã. Để đảm bảo tính bí mật trong truyền thơng thì hai bên tham
gia truyền thơng phải giữ kín và khơng để lộ thơng tin về khóa mật cho ngƣời khác.
Độ an tồn của thuật tốn này phụ thuộc vào khố, nếu để lộ khoá này nghĩa là
bất kỳ ngƣời nào cũng có thể mã hố và giải mã thơng báo trong hệ thống mã hố.
Hình 1.3 Mã hóa khóa bí mật
Ứng dụng: Sử dụng trong mơi trƣờng mà khố dễ dàng đƣợc chuyển đi, nhƣ là
trong cùng một văn phòng. Cùng dùng để mã hố thơng tin khi lƣu trữ trên đĩa nhớ.
Số hóa bởi Trung tâm Học liệu
/>
15
1.4.2 Mật mã khố cơng khai
Mật mã khóa cơng khai là một dạng mật mã cho phép ngƣời sử dụng trao đổi
các thông tin mật mã mà không cần phải trao đổi các khóa chung bí mật trƣớc đó.
Điều này đƣợc thực hiện bằng cách sử dụng một cặp khóa có quan hệ tốn học với
nhau là khóa cơng khai (Public Key) và khóa cá nhân (Private Key).
Trong mật mã khóa cơng khai, khóa cá nhân phải đƣợc giữ bí mật trong khi
khóa cơng khai đƣợc phổ biến cơng khai. Trong hai khóa, một dùng để mã hóa và
khóa cịn lại dùng để giải mã. Điều quan trọng đối với hệ thống là khơng thể tìm ra
khóa bí mật nếu chỉ biết khóa cơng khai.
Việc sử dụng mật mã khóa công khai cung cấp cho ta những ứng dụng quan
trọng trong bảo vệ thơng tin:
1.4.2.1 Bảo vệ tính bí mật thông tin
Giả sử A muốn gửi cho B một thông điệp M, A sẽ phải:
Mã hóa thơng điệp M bằng khóa cơng khai của B.
Gửi bản mã thơng điệp cho B.
Khi B nhận đƣợc thông điệp M. Thông điệp M đã đƣợc mã hóa của A, B sẽ
sử dụng khóa riêng của mình để giải mã thơng điệp đó.
Hình 1.4 Mã hóa khóa cơng khai
Phƣơng pháp này cung cấp tính bí mật vì chỉ có B mới có khóa bí mật để giải
mã thành công bản mã mà A đã gửi. Tuy nhiên, phƣơng pháp này lại khơng cung
Số hóa bởi Trung tâm Học liệu
/>
16
cấp bất kỳ quá trình xác thực nào để khẳng định bản mã mà B nhận là do A gửi, vì
khóa cơng khai của B ai cũng biết.
1.4.2.2 Xác thực thông tin
A muốn mọi ngƣời biết đƣợc rằng tài liệu M là của chính A gửi, A có thể sử
dụng khóa riêng của mình để ký lên tài liệu M.
Khi ai đó nhận đƣợc tài liệu, ví dụ là B, B sẽ kiểm tra chữ ký có trong tài liệu
M bằng khóa cơng khai của A và có thể chắc chắn đƣợc rằng tài liệu này là do A ký
vì chỉ có A mới có khóa riêng dùng để ký lên tài liệu.
Hình 1.5 Xác thực thơng tin
Phƣơng pháp này giúp ngƣời sử dụng có thể xác thực đƣợc nguồn gốc của tài
liệu, nhƣng lại khơng bảo vệ tính bí mật của tài liệu. Do đó, ngƣời khơng đƣợc
quyền xem tài liệu vẫn có thể xem đƣợc nó.
1.4.2.3 Bảo vệ bí mật và xác thực thơng tin
Để đảm bảo thơng tin vừa bí mật vừa xác thực, chúng ta phải thực hiện mã
hóa hai lần:
Đầu tiên, A phải ký thơng điệp bằng khóa riêng của mình (thao tác này để
đảm bảo tính xác thực).
Sau đó, A sử dụng khóa cơng khai của B để mã hóa tiếp thơng báo vừa đƣợc
mã hóa (thao tác này để đảm bảo tính bí mật) .
Số hóa bởi Trung tâm Học liệu
/>
17
Sau đó, A gửi bản mã cuối cùng đến B, B nhận đƣợc, sẽ làm giải mã theo thứ
tự ngƣợc lại để lấy đƣợc bản rõ.
Hình 1.6 Ký và mã hố với khóa cơng khai
1.4.3
. Một số
:
SHA–0, SHA-1…
1.4.4 Chữ ký số
1.4.4.
.
–
.
:
:
Số hóa bởi Trung tâm Học liệu
/>
