i
S húa bi Trung tõm Hc liu đại học thái nguyên
Tr-ờng đại học CÔNG NGHệ THÔNG TIN Và TRUYềN THÔNG
HONG VNH H

[
NGHIấN CU GII PHP XC THC WEB
NG DNG TRONG GIAO DCH IN T

LUN VN THC S KHOA HC MY TNH Chuyờn ngnh: KHOA HC MY TNH
Mó s: 60.48.01
Ngi hng dn khoa hc: TS. H VN HNG
Thỏi Nguyờn, 2014

ii
Số hóa bởi Trung tâm Học liệu MỤC LỤC

LỜI CAM ĐOAN i
LỜI CẢM ƠN iii
DANH MỤC CÁC CHỮ VIẾT TẮT vi
DANH MỤC CÁC HÌNH vii
LỜI MỞ ĐẦU 1
CHƢƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG
GIAO DỊCH ĐIỆN TỬ 3
1.1 Tổng quan về giao dịch điện tử 3
1.1.1 Giới thiệu về giao dịch điện tử 3
1.1.2 Những hạn chế trong giao dịch điện tử 4
1.2 An toàn thông tin trong giao dịch điện tử 5
1.3 Tổng quan về Web và ứng dụng WEB 8
1.3.1 Kiến trúc một ứng dụng WEB 10
1.3.2 Nguy cơ mất an toàn dịch vụ WEB 11
1.4 Một số kỹ thuật mật mã ứng dụng trong bảo mật và xác thực web 14
1.4.1 Mật mã khoá đối xứng 14
1.4.2 Mật mã khoá công khai 15
17
1.4.4 Chữ ký số 17
19
CHƢƠNG 2: MỘT SỐ GIẢI PHÁP XÁC THỰC WEB 21
2.1. Một số giải pháp xác thực ngƣời dùng của website 21
2.1.1. Các yếu tố xác thực 21
2.1.2 Một số phƣơng pháp xác thực 21
2.2 Hệ thống đăng nhập duy nhất [3] 24
24

KẾT LUẬN 66
DANH MỤC CÁC CÔNG TRÌNH LIÊN QUAN ĐẾN LUẬN VĂN 67
TÀI LIỆU THAM KHẢO 68

vi
Số hóa bởi Trung tâm Học liệu DANH MỤC CÁC CHỮ VIẾT TẮT
TỪ VIẾT TẮT
TÊN ĐẦY ĐỦ
DỊCH RA TIẾNG VIỆT
ATTT

An Toàn Thông Tin
CNTT

Công Nghệ Thông Tin
CA
Certificate Authority
Thẩm quyền chứng thực
DES
Data Encrytion Standard
Chuẩn mã hóa dữ liệu
DNS
Domain Name System
Hệ thống tên miền
HTTP
Hypertext Transfer Protocol
Giao thức truyền tải siêu văn bản

SSL
Secure Socket Layer
Giao thức bảo mật web
TLS
Transport Layer Security
Giao thức bảo mật tầng truyền
thông vii
Số hóa bởi Trung tâm Học liệu DANH MỤC CÁC HÌNH
Hình 1.1Thống kê bảo mật ứng dụng WEB 10
Hình 1.2 Kiến trúc một ứng dụng WEB. 10
Hình 1.3 Mã hóa khóa bí mật 14
Hình 1.4 Mã hóa khóa công khai 15
Hình 1.5 Xác thực thông tin 16
Hình 1.6 Ký và mã hoá với khóa công khai 17
18
19
20
Hình 1.10 Nhận và kiểm tra chữ ký 21
nh Single Domain SSO 26
27
31
32
35
Hình 2.6 Mô hình ký số dữ liệu trên Server 39

Hình 3.25 Lựa chọn chứng thƣ số xác thực vào website 64
Hình 3.26 Nhập mật khẩu thiết bị lƣu khóa 65

1
Số hóa bởi Trung tâm Học liệu LỜI MỞ ĐẦU
Ngày nay, công nghệ thông tin phát triển rất nhanh và đƣợc ứng dụng vào
hầu hết những lĩnh vực trong cuộc sống. Vai trò của công nghệ thông tin ngày càng
đƣợc nâng cao, không chỉ dừng lại ở những ứng dụng văn phòng, công nghệ thông
tin còn đƣợc triển khai ở nhiều lĩnh vực khác trong đời sống, kinh tế xã hội và an
ninh quốc phòng. Bên cạnh những lợi thế trong việc áp dụng công nghệ thông tin,
việc sử dụng CNTT còn tiềm ẩn nhiều vấn đề còn tồn tại, trong đó có việc đảm bảo
an toàn thông tin ví dụ nhƣ bị đánh cắp dữ liệu, đƣợc phép đọc các tài liệu mà
không đủ thẩm quyền, dữ liệu bị phá hủy … Do đó, bên cạnh việc triển khai và sử
dụng CNTT, chúng ta cũng phải đảm bảo ATTT. Đảm bảo ATTT chính là đảm bảo
hệ thống có đƣợc ba yếu tố:
Tình toàn vẹn
Tính bí mật
Tính sẵn sàng
Trong lĩnh vực ATTT, sử dụng chứng thƣ số đã trở thành một trong các
phƣơng pháp giúp chúng ta có thể bảo mật thông tin. Với chứng thƣ số, ngƣời sử
dụng có thể mã hóa thông tin một cách hiệu quả, chống giả mạo thông tin, xác thực
ngƣời gửi. Ngoài ra, chứng thƣ số còn là bằng chứng giúp chống chối cãi nguồn
gốc, ngăn chặn ngƣời gửi chối cãi nguồn gốc tài liệu mình đã gửi.
Bố cục đề tài Luận văn gồm có 3 phần, với nội dung từng phần cụ thể nhƣ sau:
Chƣơng 1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ BẢO MẬT
THÔNG TIN TRONG GIAO DỊCH ĐIỆN TỬ
Chƣơng này chúng tôi sẽ tìm hiểu về giao dịch điện tử, phân loại giao dịch

3
Số hóa bởi Trung tâm Học liệu Chƣơng 1 TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG
GIAO DỊCH ĐIỆN TỬ
1.1 Tổng quan về giao dịch điện tử
1.1.1 Giới thiệu về giao dịch điện tử
Càng ngày CNTT đã trở thành một trong những động lực quan trọng của sự
phát triển. Cùng với sự phát triển của máy tính điện tử, truyền thông phát triển kéo
theo sự ra đời và phát triển của mạng máy tính, từ các mạng cục bộ, mạng diện rộng
cho tới mạng toàn cầu Internet và xa lộ thông tin. Việc thông tin chuyển sang dạng
số và nối mạng đã làm thay đổi sự chuyển hóa của nền kinh tế, các dạng thể chế,
các mối quan hệ và bản chất của hoạt động kinh tế xã hội và có ảnh hƣởng sâu sắc
đển hầu hết các lĩnh vực hoạt động và đời sống con ngƣời, trong đó có hoạt động
giao dịch điện tử. Ngƣời ta đã có thể tiến hành các hoạt động giao dịch nhờ các
phƣơng tiện điện tử. Đó chính là giao dịch điện tử (GDĐT).
Giao dịch điện tử là các hoạt động mua bán sản phẩm hay dịch vụ trên các hệ
thống điện tử nhƣ Internet và các mạng máy tính. Giao dịch điện tử dựa trên một số
công nghệ nhƣ chuyển tiền, quản lý chuỗi dây chuyền cung cấp ứng dụng, tiếp thị
Internet, quá trình giao dịch trực tuyến, trao đổi dữ liệu điện tử, các hệ thống quản
lý hàng tồn kho và các hệ thống tự động thu thập dữ liệu. Giao dịch điện tử hiện đại
thƣờng sử dụng mạng World Wide Web là một điểm thiết yếu trong chu trình giao
dịch mặc dù nó có thể bao gồm một phạm vi lớn hơn về mặt công nghệ nhƣ email,
các thiết bị di động cũng nhƣ điện thoại. Ngƣời ta phân loại GDĐT là theo bản chất
của giao dịch điện tử hoặc mối quan hệ giữa các bên tham gia. Ngƣời ta phân loại
theo một số loại hình GDĐT chính nhƣ sau: GDĐT giữa các doanh nghiệp (B2B);
GDĐT giữa ngƣời tiêu dùng – doanh nghiệp (C2B: Consumer- To-Business).
GDĐT giữa ngƣời tiêu dùng – ngƣời tiêu dùng (C2C: Consumer-To-Consumer);
Chính phủ điện tử; G2G (Government-To-Government); (Government-To-

nhiều trƣờng hợp bị đánh cắp thông tin và tài khoản thẻ tín dụng gây nhiều thiệt hại
cho ngƣời dùng.
Toàn vẹn dữ liệu: Bảo vệ dữ liệu và tính toàn vẹn của dữ liệu là một vấn đề
nghiêm trọng. Do sự xuất hiện của các virut máy tính dẫn đến đƣờng truyền dữ liệu

5
Số hóa bởi Trung tâm Học liệu bị nghẽn, các tệp dữ liệu bị phá hủy, tin tặc truy cập trái phép hệ thống để lấy cắp
thông tin, hủy hoại dữ liệu khiến cho khách hàng lo lắng về hệ thống GDĐT.
Nỗi lo lắng về nâng cấp hệ thống: Sau một thời gian phát triển hệ thống
website GDĐT, số lƣợng khách hàng truy cập ngày một đông sẽ dấn đến tốc độ truy
cập chậm lại, nghẽn mạng. Kết quả là khách hàng rời bỏ website. Để tránh tình
trạng này các doanh nghiệp phải thƣờng xuyên nâng cấp hệ thống.
Trên thế giới vẫn chƣa có tiêu chuẩn quốc tế về chất lƣợng dịch vụ, độ an
toàn và độ tin cậy trong GDĐT, mỗi quốc gia lại có một chính sách khác nhau và
các chính sách về GDĐT vẫn chƣa chặt chẽ và còn nhiều lỗ hổng. Các công cụ xây
dựng phần mềm về GDĐT (Nhƣ các nền tảng phát triển website GDĐT, cách thức
thanh toán, xác thực…) vẫn chƣa đƣợc hoàn thiện và còn trong đang giai đoạn phát
triển. Khi kếp hợp các phần mềm GDĐT với các phần mềm ứng dụng và các cơ sở
dữ liệu truyền thống vẫn gặp nhiều khó khăn.
1.2 An toàn thông tin trong giao dịch điện tử
Thƣơng mại điện tử là sự mua bán sản phẩm hay dịch vụ trên các hệ thống
điện tử nhƣ Internet hoặc các mạng máy tính. Các giao dịch điện tử trong thƣơng
mại điện tử chủ yếu là: chuyển tiền, mua sắm điện tử, trao đổi thông tin điện tử…
Đây là các giao dịch hết sức quan trọng đòi hỏi phải có độ an toàn và bảo mật cao.
Ngoài các yếu tố an toàn và bảo mật nhƣ đối với hệ thống thông tin, giao
dịch điện tử cần phải chú trọng vào một số vấn đề sau:
Bảo mật thông tin khách hàng.

đến vấn đề an toàn thông tin. Những báo cáo, tham luận tại các Hội thảo đều cho
thấy vấn đề an ninh các website, đặc biệt website của các công ty chứng khoán là
những mối quan ngại lớn. Với những diễn biến xảy ra, an ninh mạng Việt Nam thực
sự là bất ổn và đƣợc coi là “báo động đỏ”. Hàng nghìn virus mới xuất hiện, những
cuộc tấn công có chủ đích của giới hacker vào các website của các cơ quan, tổ chức
và doanh nghiệp đã gây ra những hậu quả nhất định cho các đơn vị này. Nhiều
hoạt động phạm pháp, lợi dụng Internet làm môi trƣờng hoạt động, tình trạng phát
tán thƣ rác, virus tăng theo cấp số nhân. Theo ƣớc tính, năm 2007 ở nƣớc ta thiệt

7
Số hóa bởi Trung tâm Học liệu hại do virus gây ra có thể lên tới hơn 2 nghìn tỉ đồng. Đầu năm 2014, các số liệu
thống kê cho thấy, tình hình mất an toàn an ninh mạng vẫn không có dấu hiệu giảm.
Theo nhận định của các chuyên gia, năm 2014 vẫn tiếp tục xuất hiện nhiều biến thể
virus mới và tập trung tấn công vào từng nhóm đối tƣợng có chủ đích thay vì tấn
công chung chung trên diện rộng. Do đó, con số thiệt hại cũng sẽ tăng lên một cách
đáng báo động [7].
Theo thống kê của BKAV, trong năm 2014, tại Việt nam có tới 2.203
website của các cơ quan doanh nghiệp (DN) bị tấn công, các cuộc tấn công này chủ
yếu thông qua các lỗ hổng trên hệ thống mạng. So với năm 2013 (có 2.245 website
bị tấn công), con số này hầu nhƣ không giảm. Thực trạng này cho thấy, an ninh
mạng vẫn chƣa thực sự đƣợc quan tâm tại các cơ quan, DN. Theo nhận định của các
chuyên gia công ty BKAV, hầu hết cơ quan DN của Việt Nam chƣa bố trí đƣợc
nhân sự phụ trách an ninh mạng hoặc năng lực và nhận thức của đội ngũ này chƣa
tƣơng xứng với tình hình thực tế. Đó là những nguyên nhân chính. Trong năm 2013,
tấn công, phát tán phần mềm gián điệp (spyware) vào các cơ quan, DN là hình thái
mới của giới tội phạm mạng mang tính chất quốc gia. Trong năm, hệ thống giám sát
vi rút của Bkav đã phát hiện hàng loạt email đính kèm file văn bản chứa phần mềm

1.3 Tổng quan về Web và ứng dụng WEB
Website là một “trang web” đƣợc lƣu trữ tại các máy chủ hay các hosting
hoạt động trên Internet. Đây là nơi giới thiệu những thông tin, hình ảnh về doanh
nghiệp, sản phần và dịch vụ của doanh nghiệp hay giới thiệu thông tin để khách
hàng có thể truy cập bất kì ở đâu, bất cứ lúc nào. Website là tập hợp của nhiều web
page. Để tạo nên một website cần có 3 yếu tố sau:
Tên miền (domain): Thực chất một website không cần đến tên miền nó vẫn
có thể hoạt động bình thƣờng vì nó còn có địa chỉ IP của trang web, chúng ta chỉ
cần gõ vào trình duyệt IP của trang web thì ngay lập tức trình duyệt sẽ load trang
web về trình duyệt của bạn. Sỡ dĩ chúng ta cần phải có tên miền thay cho IP là vì IP
là mỗi chuỗi số thập phân, có những địa chỉ IP thì rất là dễ nhớ nhƣng đa số địa chỉ
IP thì rất là khó nhớ. Với cái tên nó rất gần gũi với ngôn ngữ tự nhiên của con ngƣời
nên rất là dễ nhớ cũng chính vì vậy mà ngƣời ta đã thay tên miền cho IP và từ đó
công nghệ DNS ra đời. Nơi lƣu trữ website (hosting): Nơi lƣu trữ website thì bắt

9
Số hóa bởi Trung tâm Học liệu buộc chúng ta phải có, nó có thể là một máy chủ để lƣu trữ hay một hosting chúng
ta thuê từ nhà cung cấp dịch vụ.
Nội dung các trang thông tin (web page): Nội dung trang thông tin này thì
phải có vì mục đích của chúng ta lập nên website nhằm đăng thông tin của chúng ta
lên website hay giới thiệu các thông tin của công ty. Nói đến một website ngƣời ta
thƣờng nói website đấy là web động hay tĩnh, đa số các website bây giờ đến là
website động.
Website tĩnh có thể hiểu nhƣ thế sau ngƣời dùng gửi yêu cầu một tài nguyên
nào đó và máy chủ sẽ trả về tài nguyên đó. Các trang Web không khác gì là một văn
bản đƣợc định dạng và phân tán. Lúc mới đầu phát triển website thì web tĩnh đƣợc
sử dụng rất nhiều vì lúc đấy nhu cầu của việc đăng tải trên website là chƣa cao nhƣ

Hình 1.2 Kiến trúc một ứng dụng WEB.
Một ứng dụng web có đầy đủ các thành phần nhƣ sau:

11
Số hóa bởi Trung tâm Học liệu Máy khách
Tại máy khách muốn truy cập vào đƣợc các ứng dụng web thì phải có trình
duyệt web có thể dùng trình duyệt web mặc định của các hệ điều hành nhƣ window
là Internet Explore, Linux thƣờng là Firefox, còn không thì có thể cài thêm các
chƣơng trình duyệt web nhƣ Google Chrome, Opera,
Máy chủ web
Là nơi lƣu trữ nội dung trang web, tiếp nhận các yêu cầu kết nối từ máy
khách, máy chủ web sử dụng phần mềm để chạy dịch vụ web phục vụ cho các máy
khách nhƣ trên Windows có IIS, Linux thì có Apache, Tom cat,
Ứng dụng web
Ứng dụng web đƣợc viết bằng các ngôn ngữ khác nhau nhƣ java, php, hay
có thể là một đoạn flash đơn giản để nhúng các ứng dụng vào trang web. Ví dụ nhƣ
games online trên facebook hay zing.
Cơ sở dữ liệu
Là một máy chủ chịu đảm nhiệm việc lƣu trữ thông tin của các ứng dụng
web có thể là lƣu trữ ngay trên máy chủ web hoặc là một máy chủ khác nhƣng
thƣờng để bảo mật thì ngƣời ta lƣu trên một máy chủ khác và sử dụng hệ quản trị cơ
sở dữ liệu nhƣ SQL Server hay Oracle, Ví dụ: nhƣ chơi games online trên web
của facebook hay zing thì ngƣời chơi games xong thƣờng lƣu các giá trị của ngƣời
chơi vào một cơ sở dữ liệu nào đấy và khi nào ngƣời chơi muốn tiếp tục chơi thì
truy vấn lấy cơ sở dữ liệu đấy ra.
1.3.2 Nguy cơ mất an toàn dịch vụ WEB
Ngày nay với sự phát triển mạnh mẽ của công nghệ thông tin việc ứng dụng

miền của một trang Web.
Xuyên tạc (Mirepresentation): Một cá nhân hay một tổ chức có thể giả vờ
nhƣ một đối tƣợng, hay đƣa ra thông tin về kinh doanh máy tính mà có sử dụng thẻ
tín dụng. Nhƣng thực tế trang này chuyên đánh cắp thẻ tín dụng.

13
Số hóa bởi Trung tâm Học liệu Chối cãi nguồn gốc (Non-repudiation): Một cá nhân có thể chối là đã không
gửi tài liệu khi xảy ra tranh chấp. Ví dụ: Khi gửi email thông thƣờng, ngƣời nhận sẽ
không thể khẳng định ngƣời gửi là chính xác.
Để đảm báo tính bảo mật của thông tin không làm giảm sự phát triển của
việc trao đổi thông tin quảng bá trên toàn cầu thì chúng ta cần có các giải pháp phù
hợp. Hiện tại có rất nhiều giải pháp cho vấn đề an toàn thông tin trên mạng nhƣ mã
hóa thông tin, chữ ký điện tử. Các bí mật đảm bảo an toàn cho giao dịch điện tử:
Thế nào là một hệ thống an toàn thông tin? An toàn thông tin trƣớc cho các
cuộc tấn công là một vấn đề mà các hệ thống giao dịch trực tuyến cần giải quyết.
Thông tin truyền trên mạng gặp rất nhiều rủi ro và nguy cơ mất thông tin là thƣờng
xuyên. Chẳng hạn việc thanh toán bằng thẻ tín dụng thông qua dịch vụ Web sẽ gặp
một số rủi ro sau:
Thông tin từ trình duyệt Web của khách hàng ở dạng thuần văn bản nên có
thể bị lọt vào tay kẻ tấn công. Trình duyệt Web của khách hàng không thể xác định
đƣợc máy chủ mà mình trao đổi tin có phải là thật hay một Web giả mạo. Không ai
có thể đảm bảo dữ liệu truyền đi có thể bị thay đổi hay không? Vì vậy các hệ thống
cần phải có một cơ chế đảm bảo an toàn trong quá trình giao dịch điện tử. Một hệ
thống thông tin trao đổi dữ liệu an toàn phải đáp ứng một số yêu cầu sau:
Hệ thống phải đảm bảo dữ liệu trong quá trình chuyển đi là không bị đánh
cắp. Hệ thống phải có khả năng xác thực, tránh trƣờng hợp giả danh, giả mạo. Do
vậy, cần tập trung vào việc bảo vệ các tài sản khi chúng đƣợc chuyển tiếp giữa

1.4.2 Mật mã khoá công khai
Mật mã khóa công khai là một dạng mật mã cho phép ngƣời sử dụng trao đổi
các thông tin mật mã mà không cần phải trao đổi các khóa chung bí mật trƣớc đó.
Điều này đƣợc thực hiện bằng cách sử dụng một cặp khóa có quan hệ toán học với
nhau là khóa công khai (Public Key) và khóa cá nhân (Private Key).
Trong mật mã khóa công khai, khóa cá nhân phải đƣợc giữ bí mật trong khi
khóa công khai đƣợc phổ biến công khai. Trong hai khóa, một dùng để mã hóa và
khóa còn lại dùng để giải mã. Điều quan trọng đối với hệ thống là không thể tìm ra
khóa bí mật nếu chỉ biết khóa công khai.
Việc sử dụng mật mã khóa công khai cung cấp cho ta những ứng dụng quan
trọng trong bảo vệ thông tin:
1.4.2.1 Bảo vệ tính bí mật thông tin
Giả sử A muốn gửi cho B một thông điệp M, A sẽ phải:
Mã hóa thông điệp M bằng khóa công khai của B.
Gửi bản mã thông điệp cho B.
Khi B nhận đƣợc thông điệp M. Thông điệp M đã đƣợc mã hóa của A, B sẽ
sử dụng khóa riêng của mình để giải mã thông điệp đó.

Hình 1.4 Mã hóa khóa công khai
Phƣơng pháp này cung cấp tính bí mật vì chỉ có B mới có khóa bí mật để giải
mã thành công bản mã mà A đã gửi. Tuy nhiên, phƣơng pháp này lại không cung

16
Số hóa bởi Trung tâm Học liệu cấp bất kỳ quá trình xác thực nào để khẳng định bản mã mà B nhận là do A gửi, vì
khóa công khai của B ai cũng biết.
1.4.2.2 Xác thực thông tin
A muốn mọi ngƣời biết đƣợc rằng tài liệu M là của chính A gửi, A có thể sử

.
–
.
:
: