- TRẦN THANH HIỆP CƠ SỞ HẠ TẦNG MÃ HÓA KHÓA CÔNG KHAI PKI TRONG THƢƠNG MẠI ĐIỆN TỬ Chuyên ngành: CÔNG NGHỆ THÔNG TIN LUẬN VĂN THẠC SỸ KỸ THUẬT CÔNG NGHỆ THÔNG TIN Hà Nội – Năm 2015 LỜI CAM ĐOAN Luận văn thạc sỹ này do tôi nghiên cứu và thực hiện dƣới sự hƣớng dẫn của Thầy giáo TS. - Bảng Khách Hàng. - Mô hình đảm bảo tính xác thực thông tin trong quản lý giao dịch. - Mô hình đảm bảo tính xác thực thông tin trong quản lý chế độ mặt hàng. - Các thành phần thông tin trạng thái Session SSL. - Các thành phần thông tin trạng thái nối kết SSL. - Hiện giao tiếp qua Internet cho phép các thông tin đƣợc gửi từ máy tính này tới máy tính khác thông qua một loạt các máy tính trung gian hoặc các mạng riêng biệt. - Các thông tin truyền thông trên mạng đều có thể bị nghe trộm, giả mạo, mạo danh. - Do vậy, để bảo mật, các thông tin truyền thông trên internet ngày nay đều có xu hƣớng đƣợc mã hóa. - Trƣớc khi truyền qua mạng Internet, ngƣời gửi mã hóa thông tin, trong quá trình truyền, dù có chặn đƣợc các thông tin này, kẻ trộm cũng không thể đọc đƣợc vì đã bị mã hóa. - Với những chứng chỉ số, ngƣời sử dụng có thể mã hóa thông tin một cách hiệu quả, chống giả mạo (cho phép ngƣời nhận kiểm tra thông tin có bị thay đổi không), xác thực danh tính của ngƣời gửi. - Khái niệm về mật mã hóa khóa công khai Mật mã hóa khóa công khai là một dạng mật mã hóa cho phép ngƣời sử dụng trao đổi các thông tin mật mã mà không cần phải trao đổi các khóa chung bí mật trƣớc đó. - Hệ thống mật mã hóa khóa công khai có thể sử dụng với các mục đích. - Mã hóa: giữ bí mật thông tin và chỉ có ngƣời có khóa bí mật mới giải mã đƣợc. - Thỏa thuận khóa: cho phép thiết lập khóa dùng để trao đổi thông tin mật giữa hai bên. - Hạ tầng cơ sở khóa công khai là một cơ chế để cho một bên thứ 3 (thƣờng là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. - Loại mã hóa đối xứng thƣờng đƣợc gọi là mật mã khóa bí mật và cả hai bên đều sử dụng một khóa để mã hóa và giải mã thông tin. - Chứng chỉ số chứa các thông tin nhận dạng về thực thể nhƣ tên, địa chỉ, khóa công khai (cùng nhiều thông tin khác) và đƣợc ký số bởi khóa bí mật của CA. - Hệ thống thuế online Nộp thuế điện tử là dịch vụ cho phép ngƣời nộp thuế lập giấy nộp tiền vào Ngân sách Nhà nƣớc trực tiếp trên Cổng thông tin điện tử của Cơ quan thuế và đƣợc Ngân hàng thƣơng mại xác nhận kết quả giao dịch nộp thuế tức thời. - Có thể truy cập Cổng thông tin điện tử của Cơ quan thuế để xem, in, tải về các thông báo, giấy nộp tiền điện tử đã nộp. - Đang thực hiện khai thuế điện tử trên Cổng thông tin điện tử của Cơ quan thuế. - Hướng dẫn đăng ký sử dụng dịch vụ: Bƣớc 1: Ngƣời nộp thuế đăng ký sử dụng dịch vụ Nộp thuế điện tử trên cổng thông tin điện tử http://kekhaithue.gdt.gov.vn. - Bƣớc 2: Ngƣời nộp thuế tải bản đăng ký ủy quyền trích nợ tài khoản với ngân hàng trên cổng thông tin điện tử của Ngân hàng thƣơng mại hoặc theo các đƣờng dẫn của các ngân hàng đã đăng ký: Bƣớc 3: Ngƣời nộp thuế khai các thông tin, sau đó đến chi nhánh Ngân hàng thƣơng mại để thực hiện thủ tục đăng ký ủy quyền trích nợ tài khoản cho dịch vụ Nộp thuế điện tử. - Bƣớc 4: Sau khi chi nhánh Ngân hàng thƣơng mại duyệt đăng ký, ngƣời nộp thuế nhận thông tin chấp nhận đăng ký sử dụng dịch vụ Nộp thuế điện tử qua Email đã đăng ký kèm với mật khẩu đăng nhập cho dịch vụ Nộp thuế điện tử. - Chức năng lập giấy nộp tiền, gửi giấy nộp tiền (Có hỗ trợ thông tin sổ thuế phải nộp. - Chức năng cập nhật thông tin ngƣời nộp thuế. - Vượt giới hạn về không gian: Việc sử dụng Internet các doanh nghiệp có thể quảng cáo và trƣng bày các sản phẩm của mình thông qua các hình ảnh và thông tin sinh động thông qua các Website của mình. - Giảm chi phí: thông tin liên lạc,giao thông vận tải,thời gian trao đổi giữa các doanh nghiệp. - 9 Thông tin cập nhật: Mọi thông tin trên Website nhƣ sản phẩm, dịch vụ, giá cả. - tăng khả năng tiếp cận thông tin và giảm chi phí vận chuyển. - Lợi ích của thƣơng mại điện tử đối với ngƣời tiêu dùng - Ngƣời tiêu dùng dễ dàng tham khảo thông tin về các sản phẩm và dịch vụ, so sánh giá cả, chất lƣợng mẫu mã của nhiều nhà cung cấp trƣớc khi quyết định mua hàng. - Ngƣời tiêu dùng có thể khai thác một nguồn thông tin khổng lồ trên mạng Internet, dễ dàng tìm ra sản phẩm và dịch vụ phù hợp nhất của các nhà cung cấp ở khắp nơi trên thế giới. - Khách thực hiện việc chọn sản phẩm cần mua, điền các thông tin cá nhân rồi nhấn vào nút “Chuyển tiền. - Bƣớc 2: Hệ thống sẽ gửi thông tin thẻ của khách hàng tới máy chủ của ngân hàng. - Bƣớc 3: Khách hàng sử dụng điện thoại cố định hoặc điện thoại di động để gửi thông tin xác nhận tới tổng đài. - Tổng đài gửi thông tin này cho ngân hàng. - Ngân hàng kiểm tra thông tin và giao dịch sẽ đƣợc chấp nhận nếu thông tin là chính xác. - Chú ý thông tin xác nhận này (bao gồm cả mật khẩu cấp 2) đƣợc gửi đi dƣới dạng text và xử lý một cách tự động). - Thông tin xác nhận đƣợc coi là chính xác nếu. - Khi khách hàng xem một sản phẩm cụ thể website sẽ đƣa ra thông tin chi tiết về sản phẩm, bao gồm mô tả của nhà cung cấp, hình ảnh sản phẩm và các đánh giá của những khách hàng khác. - Khi tạo tài khoản mới khách hàng sẽ phải cung cấp cho website các thông tin sau: Tên khách hàng, ngày sinh, số ĐT, số CMTND, số tài khoản ngân hàng, địa chỉ email, tên tài khoản, mật khẩu. - Khi một ngƣời dùng muốn sửa đổi thông tin cá nhân thì vào mục sửa đổi thông tin và đƣợc sửa những thông tin sau: mật khẩu, email, số ĐT, số tài khoản. - Khi một giao dịch đƣợc xác nhận bởi khách hàng thì website sẽ gửi cho khách hàng một email thông báo đã xác nhận giao dịch và mã số giao dịch, thông tin về các mặt hàng, tiền thanh toán,… và website sẽ gửi giao dịch đến cho website hệ thống xử lí tiếp. - Website sẽ giữ các thông tin về các nhà cung cấp và tình trạng các mặt hàng của các công ty. - Các công ty muốn đƣa hàng lên website thì phải đăng kí tài khoản với nhà quản lí website, cung cấp các thông tin về công ty và các mặt hàng công ty sẽ cung cấp, số tài khoản của công ty,… Tài khoản của công ty sẽ đƣợc quyền thêm các mặt hàng mới nhƣng phải có sự xác nhận của admin website thì thông tin về sản phẩm mới đƣợc đƣa lên cho khách hàng xem. - Và bây giờ, khi mở rộng kinh doanh thì Trần Anh đã sửa lại trang web www.trananh.vn với một giao diện hoàn toàn mới để giúp cho khách hàng có thể tìm kiếm thông tin về các sản phẩm của công ty một cách dễ dàng hơn. - Họ có thể tìm kiếm đƣợc thông tin mình cần một cách nhanh chóng, dễ dàng. - Ví dụ nhƣ khách hàng muốn tìm kiếm thông tin về tivi LCD để mua thì họ chi cần đƣa trỏ chuột đến biểu tƣợng điện tử âm thanh. - Tại giao diện mới này khách hàng có thể xem đƣợc các thông tin về các sản phẩm tivi LCD của nhiều hãng khác nhau. - Những tiện ích có trong trang web Trang web của công ty Trần Anh có nhiều tiện ích giúp đỡ cho khách hàng rất nhiều trong việc tìm kiếm thông tin mình cần và hỗ trợ họ mua đƣợc sản phẩm tốt với giá hợp lí. - Khi đã tìm đƣợc sản phẩm cần mua, quý khách hãy click vào sản phẩm để xem thông tin chi tiết hoặc có thể đặt mua luôn sản phẩm đó. - 20 - Tại đây, khách hàng có thể. - Nhân viên kinh doanh của Trần Anh sẽ liên lạc với khách hàng để xác nhận thông tin và tiến hàng thực hiện giao dịch với khách hàng. - Đặc biệt, những website có giao dịch điện tử trực tuyến, có liên quan đến các thông tin nhạy cảm nhƣ thẻ tín dụng, thông tin khách hàng, các cơ sở dữ liệu phục vụ kinh doanh. - Ngoài thiếu sót trên tôi thấy trang web bán hàng của Trần Anh cũng chƣa quan tâm đến vấn đề bảo mật thông tin cho khách hàng khi giao dịch với hệ thống vì đang sử dụng giao thức http cho trang web trananh.vn. - Mục đích Mục đích của đề tài là sử dụng cơ sở hạ tầng mã hóa khóa công khai để tăng cƣờng bảo mật thông tin trong thƣơng mại điện tử. - Chỉ CA mới có thể cung cấp chứng chỉ hay đƣa ra thông tin trạng thái thu hồi chứng chỉ CRL. - Hệ thống lưu trữ (Repositories) Chứng chỉ (khóa công) và thông tin thu hồi chứng chỉ phải đƣợc phân phối sao cho những ngƣời cần đến chứng chỉ đều có thể truy cập và lấy đƣợc. - Phân phối khóa Một phƣơng pháp cũng khá phổ biến là phân phối khóa, phân phối chứng chỉ và thông tin thu hồi chứng chỉ là công bố các chứng chỉ rộng rãi, các chứng chỉ này có thể sử dụng một cách công khai và đƣợc đặt ở vị trí có thể truy cập dễ dàng. - Định danh của user đƣợc kiểm tra bởi đối tác thông qua sự hỗ trợ của VA (5): Nếu thẻ chứng thực của user đƣợc xác nhận tính hợp lệ (6) thì đối tác mới tin cậy user và có thể bắt đầu quá trình trao đổi thông tin với nó (VA nhận thông tin về các thẻ chứng thực đã đƣợc phát hành từ CA (a. - CA dựa vào các chính sách, trao đổi thông tin trong môi trƣờng bảo mật, của tổ chức để định nghĩa một tập các quy tắc, các thủ tục liên quan đến việc phát hành thẻ chứng thực. - Nếu nhận đƣợc kết quả là hợp lệ thì Alice chấp nhận (tin cậy) Bob và quá trình trao đổi thông tin giữa Bob và Alice có thể bắt đầu. - Nếu nhƣ trong thực tế, ngƣời ta dùng ID card để định danh duy nhất một cá nhân nào đó thì trong môi trƣờng trao đổi thông tin an toàn, PKI sử dụng thẻ chứng thực số để định danh duy nhất một đối tƣợng nào đó trong suốt quá trình truyền thông. - Thẻ chứng thực số chứa các thông tin sau. - Chứng chỉ đảm bảo tính toàn vẹn của khóa công khai và các thông tin gắn cùng. - Đăng ký Đăng ký là quá trình đến hoặc liên lạc với các tổ chức, trung tâm tin cậy để đăng ký các thông tin và xin cấp chứng chỉ. - Khi hệ thống trạm của chủ thể nhận đƣợc các thông tin cần thiết để liên lạc với CA thì quá trình khởi tạo bắt đầu. - Những thông tin này có thể là khóa công khai của CA, chứng chỉ của CA, cặp khóa công khai/bí mật của chủ thể. - Ngƣời dùng cuối liên lạc với CA khi nhận đƣợc password và sau đó thiết lập một kênh bảo mật để truyền những thông tin cần thiết. - Tùy theo chính sách của tổ chức, bộ khóa mã (mã và giải mã) và những thông tin liên quan đến khóa của ngƣời sử dụng phải đƣợc sao lƣu để có thể lấy lại đƣợc dữ liệu khi ngƣời sử dụng mất khóa riêng hay rời khỏi đơn vị. - Tạo khóa Cặp khóa công khai/bí mật có thể đƣợc tạo ở nhiều nơi. - Nhƣng trong trƣờng hợp khóa bị xâm hại hay có sự thay đổi trong thông tin của chứng chỉ thì chứng chỉ sẽ đƣợc công bố, chứng chỉ cũ sẽ bị thu hồi. - Ngày nay, ngƣời dùng Internet trao đổi rất nhiều loại thông tin trên mạng từ trao đổi thƣ điện tử thông thƣờng đến các thông tin chi tiết trong thẻ tín dụng của mình, do đó họ muốn những dữ liệu đó phải đƣợc bảo mật khi truyền trên mạng công cộng. - Các thành phần thông tin trạng thái nối kết SSL 41 Ở trong hai trƣờng hợp, điều quan trọng cần lƣu ý là các phía giao tiếp phải sử dụng nhiều session SSL đồng thời và các session có nhiều nối kết đồng thời. - Cách thức hoạt động của giao thức SSL Việc trao đổi trên mạng sử dụng SSL bắt đầu với việc trao đổi thông tin qua lại giữa client và server. - Sự trao đổi thông tin này gọi là SSL handshake. - Một ciphersuite bao gồm thông tin về các thuật toán trao đổi khóa công khai và các thuật toán thỏa thuận khóa, và các hàm băm mã hóa. - Thông tin trao đổi qua lại giữa client và server cho phép chúng thỏa thuận một khóa bí mật chung. - Ví dụ, với RSA, client dùng khóa công khai của server, có đƣợc từ chứng chỉ khóa công khai, để mã hóa thông tin khóa bí mật. - Client gửi thông tin khóa bí mật đã đƣợc mã hóa đến server. - Client và server giờ đây có thể trao đổi thông tin với nhau một cách an toàn với các dữ liệu đã băm và mã hóa. - (TLS1.0 đƣợc chỉ ra nhƣ là SSL3.1).Thông tin ciphersuite bao gồm các thuật toán mã hóa và kích thƣớc khóa. - 2) Serverhello: server chọn ra phiên bản SSL cao nhất và ciphersuite tốt nhất mà cả client và server hỗ trợ, và gửi thông tin này về cho client. - 8) Client key exchange: client sinh ra thông tin đƣợc dùng để tạo ra khóa trong mã hóa đối xứng.Với RSA, client mã hóa thông tin khóa này bằng khóa công khai của server nó đến server. - Khi message này đƣợc dùng, client gửi thông tin với chữ kí số tạo bằng hàm băm mã hóa. - Khi server giải mã thông tin này bằng khóa công khai của client, server có thể xác thực client. - Thêm hàng mới thì nhà cung cấp sẽ phải cung cấp thông tin về sản phẩm đó cho website. - (3.2) Sửa mặt hàng: Khi nhà cung cấp có nhu cầu thay đổi thông tin về sản phẩm của mình thì website cấp quyền thay đổi cho các tài khoản của nhà cung cấp. - Trong cửa sổ “Distinguished Name Properties“, nhập các thông tin sau. - Triển khai thử nghiệm trang web và đánh giá kết quả Trên thực tế áp dụng công nghệ bảo mật thông tin bằng hệ mật mã khóa công khai PKI vào thực tiễn là rất cần thiết. - Điền đầy đủ các thông tin nhƣ hình dƣới. - Điền đầy đủ thông tin điện thoại và địa chỉ nhận hàng. - Nháy vào nút Tôi chắc chắn thông tin đã nhập bên trên là chính xác. - Sau đó nháy vào nút Gửi thông tin phiếu đặt hàng để đặt hàng. - Các thông tin đều đã mã hóa. - Qua sử dụng phần mềm wiresack thì nhận thấy thông tin khi dùng giao thức http. - dễ bị lộ thông tin. - Luận văn đã mô phỏng đƣợc cơ sở hạ tầng mã hóa khóa công khai PKI từ đó xây dựng hệ thống bảo mật thông tin trong công tác quản lý bán hàng trực tuyến trên website quangcaohieptho.com. - Lê Ngọc Thành, Khóa luận tốt nghiệp thạc sỹ Hạ tầng mã hóa khóa công khai và bài toán xác thực trong giao dịch điện tử, Viện Công nghệ thông tin và Truyền thông Đại học Bách khoa Hà Nội, (2013). - Nguyễn Khanh Văn, Giáo trình an toàn và bảo mật thông tin, Viện Công nghệ Thông tin và Truyền thông Đại học Bách khoa Hà Nội, (2012)
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt