1

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

TIỂU LUẬN

MÔN HỌC: MẬT MÃ VÀ AN TOÀN DỮ LIỆU
Ngành: HỆ THỐNG THÔNG TIN ĐỀ TÀI: TRÌNH BÀY CÁC CÔNG CỤ ĐẢM BẢO AN TOÀN THÔNG
TIN TRONG THƯƠNG MẠI ĐIỆN TỬ

Học viên: Phùng Thị Liên
Khóa K20 - Hệ thống thông tin
Giáo viên hướng dẫn: PGS.TS. Trịnh Nhật Tiến HÀ NỘI 05/2014

2

LỜI NÓI ĐẦU

3

MỤC LỤC
LỜI NÓI ĐẦU 2
MỤC LỤC 3
CHƯƠNG 1: TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ 5
1.1. Các khái niệm chung về thương mại điện tử 5
1.1.1 Khái niệm về thương mại điện tử 5
1.1.2 Lịch sử hình thành thương mại điện tử 6
1.2. Các mốc thời gian của thương mại điện tử (theo vi.wikipedia.org): 7
1.3. Các ứng dụng kinh doanh và hình thức thương mại điện tử (theo
vi.wikipedia.org) 8
1.4. Thương mại điện tử là khuynh hướng toàn cầu 9
CHƯƠNG 2: CÁC CÔNG CỤ AN TOÀN THÔNG TIN TRONG THƯƠNG
MẠI ĐIỆN TỬ 11
2.1.1 Khái niệm mã hóa dữ liệu 11
2.1.2 Phân loại hệ mã hóa 12
2.1.3 Ứng dụng 12
2.1.4 Một số hệ mã hóa 13
2.2. Hàm băm 13
2.2.1 Khái niệm Hàm băm 13
2.2.2 Đặc tính 13
2.2.3 Ứng dụng hàm băm 14
2.2.4 Phương pháp thực hiện hàm băm 16
2.3. Thủy ký 18
2.3.1 Vai trò của thủy vân số trong mật mã học 18
2.3.2 Định nghĩa hệ thủy vân số 19
2.3.3 Tiêu chí đánh giá tính hiệu quả của một phương pháp thủy vân số 21
2.3.4 Phân loại thủy vân số 22
2.4. Chữ ký số 24

và cá nhân
B2G
Business To Government
Thương mại điện tử giữa doanh nghiệp
và chính phủ
ERP
Enterprise Resource Planning
Hoạch định tài nguyên doanh nghiệp
PKI
Public Key Infastructure
Hạ tầng khóa công khai

Danh mục từ viết tắt Tiếng Việt
TMĐT
Thương mại điện tử
5

CHƯƠNG 1: TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ
1.1. Các khái niệm chung về thương mại điện tử
1.1.1 Khái niệm về thương mại điện tử
Có nhiều khái niệm về thương mại điện tử. Theo Wikipedia.org định nghĩa thương
mại điện tử như sau:
Thương mại điện tử, hay còn gọi là e-commerce, e-comm và EC, là sự mua bán sản
phẩm hay dịch vụ trên các hệ thống điện tử như Internet và các mạng máy tính. Thương
mại điện tử dựa trên một số công nghệ như chuyển tiền điện tử, quản lý chuỗi dây chuyền
cung ứng, tiếp thị Internet, quá trình giao dịch trực tuyến, trao đổi dữ liệu điện tử (EDI-
Electronic Data Interchange), các hệ thống quản lý hàng tồn kho, và các hệ thống tự động

Theo Ủy ban châu Âu: "Thương mại điện tử có thể định nghĩa chung là sự mua bán,
trao đổi hàng hóa hay dịch vụ giữa các doanh nghiệp, gia đình, cá nhân, tổ chức tư nhân
bằng các giao dịch điện tử thông qua mạng Internet hay các mạng máy tính trung gian
(thông tin liên lạc trực tuyến). Thật ngữ bao gồm việc đặt hàng và dịch thông qua mạng
máy tính, nhưng thanh toán và quá trình vận chuyển hàng hay dịch vụ cuối cùng có thể
thực hiện trực tuyến hoặc bằng phương pháp thủ công".
Như vậy tóm lại, thương mại điện tử chỉ xảy ra trong môi trường kinh doanh mạng
Internet và các phương tiện điện tử giữa các nhóm (cá nhân) với nhau thông qua các công
cụ, kỹ thuật và công nghệ điện tử.
1.1.2 Lịch sử hình thành thương mại điện tử
Về nguồn gốc, thương mại điện tử được xem như là điều kiện thuận lợi của các giao
dịch thương mại điện tử, sử dụng công nghệ như EDI và EFT (Electronic Funds Transfer
– chuyển tiền điện tử). Cả hai công nghệ này đều được giới thiệu thập niên 70, cho phép
các doanh nghiệp gửi các hợp đồng điện tử như đơn đặt hàng hay hóa đơn điện tử. Sự
phát triển và chấp nhận của thẻ tín dụng, máy rút tiền tự động (ATM) và ngân hàng điện
thoại vào thập niên 80 cũng đã hình thành nên thương mại điện tử. Một dạng thương mại
điện tử khác là hệ thống đặt vé máy bay bởi Sabre ở Mỹ và Travicom ở Anh.
Vào thập niên 90, thương mại điện tử bao gồm các hệ thống hoạch định tài nguyên
doanh nghiệp (ERP - Enterprise Resource Planning), khai thác dữ liệu và kho dữ liệu.
Năm 1990, Tim Berners-Lee phát minh ra World Wide Web trình duyệt web và
chuyển mạng thông tin liên lạc giáo dục thành mạng toàn cầu được gọi là Internet
(www). Các công ty thương mại trên Internet bị cấm bởi NSF cho đến năm 1995. Mặc dù
Internet trở nên phổ biến khắp thế giới vào khoảng năm 1994 với sự đề nghị của trình
duyệt web Mosaic, nhưng phải mất tới 5 năm để giới thiệu các giao thức bảo mật (mã hóa
SSL trên trình duyệt Netscape vào cuối năm 1994) và DSL cho phép kết nối Internet liên
tục. Vào cuối năm 2000, nhiều công ty kinh doanh ở Mỹ và Châu Âu đã thiết lập các dịch
vụ thông qua World Wide Web. Từ đó con người bắt đầu có mối liên hệ với từ

7


1998: Tem điện tử được mua bán và tải trực tuyến từ Web.
1998: Alibaba Group được hình thành ở Trung Quốc.

8

1999: Business.com bán khoảng 7.5 triệu USD cho eCompanies, được mua vào
năm 1997 với giá 149,000 USD. Phần mềm chia sẻ tập tin ngang hàng Napster ra mắt.
ATG Stores ra mắt các sản phẩm trang trí tại nhà trực tuyến.
2000: Bùng nổ dot-com.
2001: Alibaba.com đạt lợi nhuận trong tháng 12 năm 2001.
2002: eBay mua lại PayPal với 1.5 tỉ USD.
2003: Amazon.com đăng tải bài viết lợi nhuận hàng năm.
2004: DHgate.com, công ty B2C giao dịch trực tuyến đầu tiên ở Trung Quốc được
thành lập, buộc các trang web khác B2B bỏ mô hình "trang vàng".
2005: Yuval Tal sáng lập giải pháp phân phối thanh toán trực tuyến bảo mật.
2007: Business.com mua lại bởi R.H. Donnelley với 345 triệu USD.
2009: Zappos.com mua lại bởi Amazon.com với 928 triệu USD.
2010: Groupon ra báo cáo từ chối một lời đề nghị mua lại trị giá 6 tỷ USD từ
Google. Thay vào đó, Groupon có kế hoạch đi trước với IPO vào giữa năm 2011.
2011: Quidsi.com, công ty cha của Diapers.com, được mua lại bởi Amazon.com với
500 triệu USD tiền mặt cộng với 45 triệu nợ và các nghĩa vụ khác. GSI Commerce, công
ty chuyên tạo ra, phát triển và thực thi trang web mua sắm trực tuyến cho dịch vụ gạch và
vữa trong kinh doanh, được mua lại bởi eBay với 2.4 tỉ USD.
2012: Thương mại điện tử và Doanh số bán lẻ trực tuyến của Mỹ dự kiến đạt 226 tỷ
USD, tăng 12%so với năm 2011.
1.3. Các ứng dụng kinh doanh và hình thức thương mại điện tử (theo
vi.wikipedia.org)
Các ứng dụng phổ biến liên quan đến thương mại điện tử:
- Tài liệu tự động hóa ở chuỗi cung ứng và hậu cần
- Hệ thống thanh toán trong nước và quốc tế

- Doanh nghiệp với Chính phủ (B2G)
- Khách hàng với Khách hàng (C2C)
- Thương mại di động (mobile commerce hay viết tắt là m-commerce).
1.4. Thương mại điện tử là khuynh hướng toàn cầu
Mô hình kinh doanh trên toàn cầu tiếp tục thay đổi đáng kể với sự ra đời của thương
mại điện tử. Nhiều quốc gia trên thế giới cũng đã đóng góp vào sự phát triển của thương
mại điện tử. Ví dụ, nước Anh có chợ thương mại điện tử lớn nhất toàn cầu khi đo bằng
chỉ số chi tiêu bình quân đầu người, con số này cao hơn cả Mỹ. Kinh tế Internet ở Anh có

10

thể tăng 10% từ năm 2010 đến năm 2015. Điều này tạo ra động lực thay đổi cho ngành
công nghiệp quảng cáo.
Trong số các nền kinh tế mới nổi, sự hiện diện của thương mại điện tử ở Trung
Quốc tiếp tục được mở rộng. Với 384 triệu người sử dụng Internet, doanh số bán lẻ của
cửa hàng trực tuyến ở Trung Quốc đã tăng 36,6 tỉ USD năm 2009 và một trong những lý
do đằng sau sự tăng trưởng kinh ngạc là cải thiện độ tin cậy của khách hàng. Các công ty
bán lẻ Trung Quốc đã giúp người tiêu dùng cảm thấy thoải mái hơn khi mua hàng trực
tuyến.
Thương mại điện tử cũng được mở rộng trên khắp Trung Đông. Với sự ghi nhận là
khu vực có tăng trưởng nhanh nhất thế giới trong việc sử dụng Internet từ năm 2000 đến
năm 2009, hiện thời khu vực có hơn 60 triệu người sử dụng Internet. Bán lẻ, du lịch và
chơi game là các phần trong thương mại điện tử hàng đầu ở khu vực, mặc dù có các khó
khăn như thiếu khuôn khổ pháp lý toàn khu vực và các vấn đề hậu cần trong giao thông
vận tải qua biên giới.
Thương mại điện tử đã trở thành một công cụ quan trọng cho thương mại quốc tế
không chỉ bán sản phẩm mà còn quan hệ với khách hàng.


P, sao cho d
kd
(e
ke
(x)) = x,  x  P.
Ở đây x được gọi là bản rõ, e
ke
(x) được gọi là bản mã.
b. Mã hóa và Giải mã
Người gửi G   e
ke
(T)   Người nhận N
(có khóa lập mã ke) (có khóa giải mã kd)

Tin tặc có thể trộm bản mã e
ke
(T)

12

Người gửi G muốn gửi bản tin T cho người nhận N. Để bảo đảm bí mật, G mã hoá
bản tin bằng khóa lập mã ke, nhận được bản mã e
ke
(T), sau đó gửi cho N.
Tin tặc có thể trộm bản mã e
ke
(T), nhưng cũng “khó” hiểu được bản tin gốc T
nếu không có khoá giải mã kd.
Người N nhận được bản mã, họ dùng khoá giải mã kd, để giải mã e

Thuật toán đối xứng hay là thuật toán mà tại đó khoá mã hoá có thể tính toán ra
được từ khoá giải mã. Trong rất nhiều trường hợp, khoá mã hoá và khoá giải mã là
giống nhau. Thuật toán này còn có nhiều tên gọi khác nhau thuật toán khoá bí mật,
thuật toán khoá đơn giản, thuật toán một khoá. Thuật toán này yêu cầu người gửi và
người nhận phải thoả thuận một khoá trước khi thông báo được gửi đi, và khoá này
phải được cất giữ bí mật. Độ an toàn của thuật toán này phụ thuộc vào khoá, nếu để
lộ ra khoá này nghĩa là bất kì ngƣời nào cũng có thể mã hoá và giải mã thông báo
trong hệ thống mã hoá. Sự mã hoá và giải mã của thuật toán đối xứng biểu thị bởi:
E
K
(K) = C và D
K
(C ) = P

2.2. Hàm băm
2.2.1 Khái niệm Hàm băm
Hàm băm là thuật toán không dùng khóa để mã hóa (ở đây dùng thuật ngữ
“băm” thay cho “mã hóa”), nó có nhiệm vụ “lọc” (băm) thông điệp (bản tin) và cho kết
quả là một giá trị “băm” có kích thước cố định, còn gọi là “đại diện thông điệp” hay “đại
diện bản tin”.
Hàm băm là hàm một chiều, theo nghĩa giá trị của hàm băm là duy nhất, và từ
giá trị băm này, “khó thể” suy ngược lại được nội dung hay độ dài ban đầu của thông
điệp gốc.
2.2.2 Đặc tính
Hàm băm h là hàm một chiều (One-way Hash) với các đặc tính sau:
1). Với thông điệp đầu vào (bản tin gốc) x, chỉ thu được giá trị duy nhất z = h(x).
2). Nếu dữ liệu trong bản tin x bị thay đổi hay bị xóa để thành bản tin x’, thì giá trị
băm h(x’)  h(x).

14
16

Xác thực chữ ký số:

2.2.4 Phương pháp thực hiện hàm băm
a. Thuật toán SHA-1
Thuật toán SHA-1 do Cục An ninh Trung ương Hoa Kỳ (NSA) xây dựng dựa trên
thuật toán MD4. Thuật toán SHA-1 tạo ra chuỗi mã băm có chiều dài cố định 160 bit từ
chuỗi bit dữ liệu đầu vào tùy ý với độ dài tối đa 2
64
bits.
Giải thuật gồm 5 bước trên khối 512 bits.
- Bước 1: Nhồi dữ liệu
Thông điệp được nhồi thêm các bit sao cho độ dài L mod 512 luôn đồng dư là 448
Số bit nhồi thêm phải nằm trong khoảng (1,512)
Phần thêm vào cuối dữ liệu gồm 1 bit 1 và theo sau là các bit 0.
- Bước 2: Thêm độ dài
Độ dài khối dữ liệu ban đầu sẽ được biểu diễn dưới dạng nhị phân 64 bit và được
thêm cuối chuỗi nhị phân mà ta thu được ở bước 1.
Độ dài được biểu diễn dưới dạng nhị phân 64 bit không dấu.
Kết quả thu được từ 2 bước là một khối dữ liệu có độ dài là bội số của 512.
- Bước 3: Khởi tạo bộ nhớ đệm MD
Một bộ đệm 160 bits được dùng để lưu trữ các giá trị băm trung gian và kết quả. Bộ
đệm được biểu diễn bằng 5 thanh ghi 32 bit với các giá trị khởi tạo ở dạng big-
endian (byte có trọng số lớn nhất trong từ, nằm ở địa chỉ thấp nhất) và có 2 bộ đệm.

17



18

(20≤ t ≤ 39)
=F(B, C,D)
B XOR C XOR D
(40≤ t ≤ 59)
=F(B, C,D)
(B AND C) OR (B
AND D) OR (C AND D)
(60≤ t ≤ 79)
=F(B, C,D)
B XOR C XOR D
2.3. Thủy ký
2.3.1 Vai trò của thủy vân số trong mật mã học
Steganography (viết mật) có nguồn gốc từ tiếng Hy Lạp và được sử dụng tới
ngày nay, nó có nghĩa là “tài liệu được phủ” (covered writing). Giấu thông tin là
một kỹ thuật nhúng (giấu) một lượng thông tin số nào đó vào một đối tượng dữ liệu
số khác. Kỹ thuật giấu thông tin nhằm bảo đảm an toàn và bảo mật thông tin với hai
mục đích. Một là bảo mật cho dữ liệu được đem giấu, hai là bảo vệ cho chính đối
tượng dùng để giấu dữ liệu vào. Yêu cầu cơ bản của kỹ thuật giấu tin là không làm
ảnh hưởng đến dữ liệu gốc.
"Ẩn-giấu tin" là một nhánh của ngành mật mã học với mục tiêu là "che giấu"
thông tin mật.

Ngành mật mã
Cryptology
Mật mã
Cryptography
Viết mật

Dung lượng của tin được giấu
Tính bền vững của tin được giấu
2.3.2 Định nghĩa hệ thủy vân số
Thuật ngữ “thủy vân” (watermarking) được đưa ra vào cuối thế 18, nó bắt nguồn
từ một loại mực vô hình khi viết lên giấy và chỉ hiển thị khi nhúng giấy đó vào nước.
Năm 1988, Komatsu và Tominaga đã đưa ra thuật ngữ “thủy vân số” (Digital
watermarking).
Vậy thủy vân số là quá trình sử dụng các thông tin (ảnh, chuỗi bít, chuỗi số) nhúng
một cách tinh vi vào dữ liệu số (ảnh số, audio, video hay text) nhằm xác định thông tin
bản quyền của tác phẩm số. Mục đích của thủy vân số là bảo vệ bản quyền cho phương
tiện dữ liệu số mang thông tin thủy vân.
a. Mô hình một hệ thủy vân
Nhúng thủy vân
Tấn công/Chỉnh
sửa
Phát hiện/Tách
thủy vân
Thông điệp M
Tài liệu nền S
Tài liệu có
thủy vân X
Tài liệu có
thủy vân đã
chỉnh sửa
Y
Khóa mật K
Thông điệp
tách được M’

Thông tin của một thủy vân số ký hiệu là thông điệp M sẽ được nhúng vào một tài

lý tài liệu thủy k đã bị tấn công. Tùy thuộc vào yêu cầu là phát hiện có thủy vân hay là
tách thủy vân mà đầu ra của thuật toán này sẽ có đôi chút khác biệt. Nếu như tài liệu thủy
ký không bị sửa đổi trên đường truyền thì thủy vân vẫn còn nguyên vẹn và có thể phát
hiện hoặc tách ra được. Ngược lại thì chứng tỏ tài liệu thủy k đã bị tấn công.

21

D
Thủy vân M’
Khóa mật K
Tài liệu nguồn S
Tài liệu cần kiểm
tra Y
D
k
(S,Y,M) = {0,1}
Thủy vân M
Bộ đối chiếu
Kết quả Đúng/Sai
D
k
(Y) = M’
Tham số đầu vào cho thuật toán giải mã D này là tài liệu cần xác minh Y, khóa bí
mật/công khai K của người dùng, và tùy theo phương pháp sẽ có thể cần thêm cả tài liệu
nguồn ban đầu S và/hoặc thủy vân ban đầu (thông điệp M).
e. Ứng dụng:
- Giấu một thông tin sở hữu của người chủ vào trong tác phẩm (tài liệu số) của họ,
nếu ai sử dụng trái phép tác phẩm đó, thì thông tin giấu sẽ là vật chứng để chứng
minh quyền hợp pháp của người chủ. Đó là ứng dụng để bảo vệ bản quyền tác
phẩm “số”.

động
(working domain)
Dựa vào kiểu môi trường
mang thủy vân
Dựa vào tác động tới
cảm quan
Tác động tới
miền không
gian
(spartial
domain)
Tác động tới
miền tần số
(frequency
domain)
Text
Ảnh Audio Video
Thủy vân
ẩn
(invisible)
Thủy vân
hiện
(visible)
Bền
(robust)
Dễ vỡ
(fragile)
Thủy vân số
(digital watermark)
Công

24 d. Phân loại dựa trên cách thức xác định thủy vân
Thủy vân riêng tư (private watermakr) là loại thủy vân đòi hỏi phải có tài liệu
nguồn ban đầu thì mới có thể phát hiện/tách được thủy vân
Thủy vân công khai là loại thủy vân không cần đòi hỏi tài liệu nguồn ban đầu để
phát hiện/tách thủy vân.
e. Phân loại dựa trên cách thức chèn thủy vân
Có hai nhóm phương pháp chèn thủy vân đó là nhóm dựa trên phép cộng và nhóm
dựa trên việc lượng tử hóa và thay thế.
2.4. Chữ ký số
2.4.1 Khái niệm
Để chứng thực nguồn gốc hay hiệu lực của một tài liệu (ví dụ: đơn xin học, giấy báo
nhập học, ), lâu nay người ta dùng chữ k “tay”, ghi vào phía dưới của mỗi tài liệu.
Như vậy người ký phải trực tiếp “ký tay” vào tài liệu.
Ngày nay các tài liệu được số hóa, người ta cũng có nhu cầu chứng thực nguồn
gốc hay hiệu lực của các tài liệu này. Rõ ràng không thể “k tay” vào tài liệu, vì chúng
không được in ấn trên giấy. Tài liệu “số” (hay tài liệu “điện tử”) là một xâu các bit (0 hay

25

1), xâu bít có thể rất dài (nếu in trên giấy có thể hàng nghìn trang). “Chữ k” để chứng
thực một xâu bít tài liệu cũng không thể là một xâu bit nhỏ đặt phía dưới xâu bit tài liệu.
Một “chữ k” như vậy chắc chắn sẽ bị kẻ gian sao chép để đặt dưới một tài liệu khác bất
hợp pháp.
Những năm 80 của thế kỷ 20, các nhà khoa học đã phát minh ra “chữ ký số” để
chứng thực một “tài liệu số”. Đó chính là “bản mã” của xâu bít tài liệu.
Người ta tạo ra “chữ ký số” (chữ k điện tử) trên “tài liệu số” giống như tạo ra
“bản mã” của tài liệu với “khóa lập mã”.