1

MỞ ĐẦU
Với sự phát triển nhanh chóng của công nghệ thông tin và viễn thông, thế
giới ngày càng thu nhỏ và trở nên gần gũi. Nhiều công ty đang vượt qua ranh giới
cục bộ và khu vực, vươn ra thị trường thế giới. Nhiều doanh nghiệp có tổ chức trải
rộng khắp toàn quốc thậm chí vòng quanh thế giới, và tất cả họ đều đối mặt với một
nhu cầu thiết thực: một cách thức nhằm duy trì những kết nối thông tin kịp thời, an
toàn và hiệu quả cho dù văn phòng đặt tại bất cứ nơi đâu.
Bên cạnh đó các hoạt động giao dịch thương mại đã không còn chỉ là các
giao dịch truyền thống, mà thay vào đó, một xu thế đang phát triển mạnh mẽ và phù
hợp thời đại là các giao dịch thương mại điện tử. Sự phát triển mạnh mẽ của thương
mại điện tử sẽ mang đến cho xã hội một tiện ích vô cùng to lơn, khi đó các giao
dịch sẽ diễn ra nhanh chóng, kịp thời và phù hợp trong khi người dùng chỉ cần ngồi
ngay tại nhà mình.
Tuy nhiên các giao dịch thương mại điện tử chỉ có thể gọi là thành công nếu
nó đảm bảo được tính an toàn cho các giao dịch, nhất là các giao dịch này lại diễn ra
trên môi trường internet – là môi trường luôn luôn tiềm ẩn rất nhiều nguy cơ mất an
toàn dữ liệu. Từ đây, ta thấy song song với việc phát triển của thương mại điện tử
thì cẩn phải nghiên cứu giải quyết vấn đề an toàn thông tin trong mỗi giao dịch.
Nhận ra yêu cầu đó cùng với sự gợi ý của giáo viên hướng dẫn và dựa trên
những tìm hiểu của em, em chọn đề tài nghiên cứu “Nghiên cứu mạng riêng ảo và
ứng dụng trong thương mại điện tử”.
Với mục đích nghiên cứu về công nghệ mạng riêng ảo, đề từ đó ứng dụng
vào thương mại điện tử, tạo hành lang an toàn cho các giao dịch thương mại điện tử
luận văn sẽ gồm 3 chương cụ thể như sau:
Chương 1: Khái quát về mạng riêng ảo và thương mại điện tử
Chương 2: Một số vấn đề về an toàn thông tin trong bài toán thỏa thuận ký
kết hợp đồng điện tử.
Chương 3: Chương trình thực nghiệm


cộng (ví dụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đó được
giải mã dữ liệu tại phía thu. Dữ liệu đã mật mã có thể coi như được truyền trong
một đường hầm (tunnel) bảo mật từ nguồn tới đích. Cho dù một kẻ tấn công có thể
nhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năng đọc được vì dữ
liệu đã được mật mã.
Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở
hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật
giống như mạng cục bộ.

Hình 1.1: Mô hình mạng riêng ảo.


4

a) Chức năng
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính
toàn vẹn (Integrity) và tính bảo mật (Confidentiality).
Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình
mong muốn chứ không phải là một người khác.
Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có
bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.
Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy,
không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có lấy
được thì cũng không đọc được.
b) Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho các công ty, tổ chức. Có thể
dùng VPN không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở
xa, người dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí

Site-to-Site VPN được sử dụng để nối các site của các hãng phân tán về mặt
địa lý, trong đó mỗi site có các địa chỉ mạng riêng được quản lý sao cho bình
thường không xảy ra va chạm.
Mạng VPN cục bộ (Intranet VPN)


6

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm
khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi
nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật.
Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu
được phép trong toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng
mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp
nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một
VPN Site- to- Site.

Hình 1.3: VPN cục bộ.
Mạng VPN mở rộng (Extranet VPN)
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng
VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở
rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần
thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các
nhà cung cấp…

Hình 1.4: VPN mở rộng.


7



8

3) NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên vùng (domain name) hay
nhận thực RADIUS để quyết định có hay không người sử dụng yêu cầu dịch
vụ L2F.
4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ
của gateway đích (home gateway).
5) Một đường hầm được thiết lập từ NAS tới gateway đích nếu giữa chúng chưa
có đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn nhận thực từ
ISP tới gateway đích để chống lại tấn công bởi những kẻ thứ ba.
6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này tác động kéo
dài phiên PPP từ người sử dụng ở xa tới home gateway. Kết nối này được
thiết lập như sau: Home gateway tiếp nhận các lựa chọn và tất cả thông tin
nhận thực PAP/CHAP, như đã thoả thuận bởi đầu cuối người sử dụng và
NAS. Home gateway chấp nhận kết nối hay nó thoả thuận lại LCP và nhận
thực lại người sử dụng.
7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói và đóng
gói lưu lượng vào trong một khung L2F và hướng nó vào trong đường hầm.
8) Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được
hướng tới mạng công ty.
b) Giao thức PPTP (Point –to- Point Tunneling Protocol)
Giao thức đường hầm điểm–điểm PPTP được đưa ra đầu tiên bởi một nhóm
các công ty được gọi là PPTP Forum. Nhóm này bao gồm 3 công ty: Ascend
comm., Microsoft, ECI Telematicsunication và US Robotic. Ý tưởng cơ sở của giao
thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng cơ sở hạ
tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa (client) và mạng
riêng. Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa
phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ.

-

xử ký và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.

-

Xử lý và loại bỏ IP Header.

-

Xử lý và loại bỏ GRE Header và PPP Header.

-

Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết.

-

Xử lý phần payload để nhận hoặc chuyển tiếp.


10

- Đường hầm
PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đuờng hầm khác
nhau. Người dùng có thể chỉ định điểm kết thúc của đường hầm ở ngay tại máy tính
của mình nếu có cài PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗ trợ
PPTP). Có hai lớp đường hầm: Đường hầm tự nguyên và đường hầm bắt buộc.
Đường hầm tự nguyện: được tạo ra theo yêu cầu của người dùng. Khi sử dụng
đường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầm bảo mật

cập mạng nó còn có một số chức năng cho RADIUS client. NAS sẽ nhận dạng
người dùng, thông in về mật khẩu rồi chuyển đến máy chủ RADIUS. Máy chủ
RADIUS sẽ trả lại trạng thái xác thực là chấp nhận hay từ chối dữ liệu cấu hình cho
NAS để cung cấp dịch vụ cho người dùng. RADIUS tạo một cơ sở dữ liệu tập trung
về người dùng, các loại dịch vụ sẵn có, một dải modem đa chủng loại. Trong
RADIUS thông tin người dùng được lưu trong máy chủ RADIUS.
RADIUS hỗ trợ cho máy chủ Proxy, là nơi lưu giữ thông tin người dùng cho
mục đích xác thực, cấp quyền và tính cước, nhưng nó không cho phép thay đổi dữ
liệu người dùng. Máy chủ Proxy sẽ định kỳ cập nhật cơ sở dữ liệu người dùng từ
máy chủ RADIUS. Để RADIUS có thể điều khiển việc thiết lập một đường hầm, nó
cần phải lưu các thuộc tính của đường hầm. Các thuộc tính này bao gồm: giao thức
đường hầm được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường
truyền dẫn trong đường hầm được sử dụng.
Khi kết hợp đường hầm với RADIUS, có ít nhất 3 tuỳ chọn cho xác thực và
cấp quyền:
• Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm.
• Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm và cố
gắng chuyển đáp ứng của RADIUS đến đàu xa của đường hầm.
• Xác thực tại hai đầu của đường hầm.
Tuỳ chọn thứ nhất có độ tin cậy rất kém do chỉ yêu cầu một mình ISP điều
khiển tiến trình truy cập mạng. Tuỳ chọn thứ hai có độ tin cậy trung bình, nó phụ
thuộc cách RADIUS trả lời xác thực. Tuỳ chọn thứ ba có độ tin cậy cao và làm việc
tốt nếu như sử dụng máy chủ Proxy RADIUS.


12

- Đường hầm kết nối LAN-LAN
Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay số kết nối vào
một mạng riêng thông qua mạng Internet, những đường hầm kết nối LAN-LAN

riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và PPTP
là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trường
vật lý khác. Bởi vì GRE không sử dụng như giao thức đóng gói, nên L2F định nghĩa
riêng cách thức các gói được điều khiển trong môi trường khác. Nhưng nó cũng hỗ
trợ TACACS+ và RADIUS cho việc xác thực. Có hai mức xác thực người dùng:
Đầu tiên ở ISP trước khi thiết lập đường hầm, Sau đó là ở cổng nối của mạng riêng
sau khi kết nối được thiết lập.
L2TP mang dặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng
một giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền
thông qua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM. Mặc dù
nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể
thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đường
hầm. Một mạng ATM hay frame Relay có thể áp dụng cho đường hầm L2TP.
Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao
thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc NETBEUI.
Cũng giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay RADIUS.
Mặc dù Microsoft đã làm cho PPTP trở nên cách chọn lựa phổ biến khi xây
dựng VPN bằng cách hỗ trợ giao thức này sẵn có trong hệ điều hành Windows nhưng
công ty cũng có kế hoạch hỗ trợ thêm L2TP trong Windows NT 4.0 và Windows 98.
- Xử lý dữ liệu đường hầm L2TP trên nền IPSec
• Khi nhận được dữ liệu đường hầm L2TP trên nền IPSec, L2TP client
hay L2TP server sẽ thực hiện các bước sau:
• Xử lý và loại bỏ header và trailer của lớp đường truyền dữ liệu.


14

• Xử lý và loại bỏ IP header.
• Dùng IPSec ESP Authentication để xác thực IP payload và IPSec ESP
header.

khuyết điểm của đường hầm bắt buộc là kết nối từ LAC đến người dùng nằm ngoài
đường hầm nên dễ bị tấn công.
Mặc dù ISP có thể chọn cách thiết lập tĩnh để định nghĩa đường hầm cho
người dùng, nhưng điều này gây lãng phí tài nguyên mạng. Có cách khác cho
phép sử dụng tài nguyên hiệu quả hơn bằng cách thiết lập đường hầm động.
Những đường hầm động này được thiết lập trong L2TP bằng cách kết nối với
máy chủ RADIUS.
Để RADIUS có thể điều khiển việc thiết lập một đường hầm thì nó cần phải
lưu các thuộc tính của đường hầm. Các thuộc tính này bao gồm: giao thức đường
hầm được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyền
dẫn trong đường hầm được sử dụng. Sử dụng máy chủ RADIUS để thiết lập đường
hầm bắt buộc có một số ưu điểm như:
• Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người
dùng.
• Tính cước thể dựa trên số điện thoại hoặc các phương thức xác thực khác.
- Xác thực và mã hóa trong L2TP
Quá trình xác thực người dùng trong L2TP điễn ra trong 3 giai đoạn: giai đoạn 1
diễn ra tại ISP, giai đoạn 2 và giai đoạn 3 (tuỳ chọn) điễn ra ở máy chủ của mạng riêng.
Trong giai đoạn đầu, ISP sử dụng số điện thoại của người dùng hoặc tên người
dùng để xác định dịch vụ L2TP được yêu cầu và khởi tạo kết nối đường hầm đến
máy chủ mạng riêng. Khi đường hầm được thiết lập, LAC của ISP chỉ định một số
nhận dạng cuộc gọi (Call ID) mới để định danh cho kết nối trong đường hầm và
khởi tạo phiên bằng cách chuyển thông tin xác thực đến máy chủ của mạng riêng.
Máy chủ của mạng riêng sẽ tiến hành tiếp bước thứ 2.
Giai đoạn 2, máy chủ của mạng riêng quyết định chấp nhận hay từ chối cuộc
gói. Cuộc goi từ ISP chuyển đến có thể mạng thông tin CHAP, PAP hay bất kỳ
thông tin xác thực nào, máy chủ sẽ dựa vào các thông tin này để quyết định chấp
nhận hay từ chối.





17

IPsec tạo những đường hầm bảo mật xuyên qua mạng Internet để truyền
những luồng dữ liệu. Mỗi đường hầm bảo mật là một cặp những kết hợp an ninh để
bảo vệ luồng dữ liệu giữa hai Host.
IPSec được phát triển nhắm vào họ giao thức IP kế tiếp là IPv6, nhưng do
việc triển khai IPv6 còn chậm và sự cần thiết phải bảo mật các gói IP nên IPSec đã
được thay đổi cho phù hợp với IPv4. Việc hỗ trợ cho IPSec chỉ là tuỳ chọn của IPv4
nhưng đối với IPv6 thì có sẵn IPSec.
-

Khung giao thức IPSec.
IPSec là khung của các chuẩn mở, được phát triển bởi IETF. IPSec là tập hợp

những tiêu chuẩn mở làm việc cùng nhau để thiết lập tính bảo mật, toàn vẹn dữ liệu
và nhận thực giữa các thiết bị ngang hàng. Những điểm ngang hàng có thể là những
cặp Host hay những cặp cổng nối bảo mật (những bộ định tuyến, những tường lửa,
những bộ tập trung VPN …) hay có thể giữa một host và một cổng nối bảo mật, như
trong VPN truy cập từ xa.
Hai giao thức chính của IPSec là AH (Authentication Header) và ESP
(Encapsulation Security Payload ).
- AH: Cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói IP
truyền giữa hai hệ thống. Nó là một phương tiện để kiểm tra xem dữ liệu có bị thay
đổi trong khi truyền không. Do AH không cung cấp khả năng mật mã dữ liệu nên
các dữ liệu đều được truyền dưới dạng bản rõ.
- ESP: Là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn
gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu. ESP đảm bảo tính bí mật của thông tin
thông qua việc mật mã ở lớp IP. Tất cả các lưu lượng ESP đều được mật mã giữa

Đối với mỗi gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: Dùng IPSec, cho
qua IPSec, hoặc huỷ gói dữ liệu. Đối với mọi gói dữ liệu được bảo vệ bởi IPSec,
người quản trị hệ thống cần chỉ rõ các dịch vụ bảo mật được sử dụng cho gói dữ
liệu. Các cơ sở dữ liệu, chính sách bảo mật chỉ rõ các giao thức IPSec, các node, và
các thuật toán được sử dụng cho luồng lưu lượng.
Ví dụ, các danh sách điều khiển truy nhập (ACLs – Access Control Lists) của
các router được sử dụng để biết lưu lượng nào cần mật mã. ALCs định nghĩa bởi
các dòng lệnh.


19

Chẳng hạn: - Lệnh Permit: Xác định lưu lượng phải được mật mã.
- Lệnh deny: Xác định lưu lưọng phải được gửi đi dưới dạng không mật mã.
Khi phát hiện ra lưu lượng cần bảo vệ thì một đối tác IPSec sẽ kích hoạt bước
tiếp theo: Thoả thuận một trao đổi IKE Phase 1.
Bước 2 – IKE Phase 1
Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chính sách IKE (IKE
policy), xác thực các đối tác ngang hàng, và thiết lập kênh an toàn giữa các đối tác.
IKE Phase 1 có hai chế độ: Chế độ chính (main mode) và chế độ nhanh (Aggressive
mode).

Hình 1.7 : IKE Phase 1
Chế độ chính có 3 trao đổi hai chiều giữa bên khởi tạo và bên nhận:
- Trao đổi thứ nhất – Các thuật toán mật mã và xác thực (sử dụng để bảo vệ
các trao đổi thông tin IKE) sẽ được thoả thuận giữa các đối tác.
- Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí mật chung
(shared secret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng
của mỗi đối tác. Khoá bí mật chung được sử dụng để tạo ra tất cả các khoá mật mã
và xác thực khác.

ngăn cản các tấn công “Replay” từ việc tạo ra các SA khong có thật.
Quick mode cũng được sử dụng để thoả thuận lại một SA IPSec mới khi SA IPSec
cũ đã hết hạn.
Bước 4 – Đường hầm mật mã IPSec
Sau khi đã hoàn thành IKE Phase 2 và quick mode đã thiết lập các kết hợp an
ninh IPSec SA, lưu lượng trao đổi giữa Host A và Host B thông qua một đường


21

hầm an toàn. Lưu lượng được mật mã và giải mã theo các thuật toán xác định trong
IPSec SA.

Hình 1.9: Đường hầm IPSec được thiết lập
Bước 5 – Kết thúc đường hầm

Hình 1.10: Kết thúc đường hầm
Các kết hợp an ninh IPSec SA kết thúc khi bị xoá hoặc hết hạn. Một SA hết
hạn khi lượng thời gian chỉ ra đã hết hoặc một số lượng byte nhất định đã truyền
qua đường hầm. Khi các SA kết thúc, các khoá cũng bị huỷ. Lúc đó các IPSec SA
mới cần được thiết lập, một IKE Phase 2 mới sẽ được thực hiện, và nếu cần thiết thì
sẽ thoả thuận một IKE Phase 1 mới. Một hoả thuận thành công sẽ tạo ra cacSA và
khoá mới. Các SA mới được thiết lập trước các SA cũ hết hạn để đảm bảo tính liên
tục của luồng thông tin.
-

Các vấn đề còn tồn đọng trong IPSec
Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết cho việc bảo mật một

VPN thông qua mạng Internet nhưng nó vẫn còn trong giai đoạn phát triển để

máy chủ (Software servers). Dựa vào những yêu cầu của công ty, mà một mạng VPN
có thể có một hay nhiều máy chủ. Bởi vì mỗi máy chủ VPN phải cung cấp dịch vụ
cho các máy khách (VPN client) ở xa cũng như các máy khách cục bộ, đồng thời các
máy chủ luôn luôn sãn sàng thực hiện những yêu cầu truy nhập từ các máy khách.
Những chức năng chính của máy chủ VPN bao gồm:
• Tiếp nhận những yêu cầu kết nối vào mạng VPN
• Dàn xếp các yêu cầu và các thông số kết nối vào mạng như là: cơ chế của
các quá trình bảo mật hay các quá trình xác lập
• Thực hiện các quá trình xác lập hay quá trình bảo mật cho các máy khách VPN
• Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu về máy khách


23

• Máy chủ VPN hoạt động như là một điểm cuối trong đường ngầm kết nối
trong VPN. Điểm cuối còn lại được xác lập bởi người dùng cuối cùng.
Một máy chủ VPN cũng có thể hoạt động như là một cổng kết nối (Gateway)
hay như một bộ định tuyến (Router) trong trưòng hợp số yêu cầu hoặc số người
dùng trong mạng nhỏ (Nhỏ hơn 20). Trong trường hợp máy chủ VPN phải hỗ trợ
nhiều người sử dụng hơn, mà vẫn hoạt động như một cổng kết nối hoặc một bộ định
tuyến thì máy chủ VPN sẽ bị chạy chậm hơn, và gặp khó khăn trong vấn đề bảo mật
thông tin cũng như bảo mật dữ liệu lưu trữ trong máy chủ.
b) Máy khách mạng riêng ảo
Máy khách VPN là thiết bị ở xa hay cục bộ, khởi đầu cho một kết nối tới
máy chủ VPN và đăng nhập vào mạng từ xa, sau khi chúng được phép xác lập tới
điểm cuối ở xa trên mạng. Chỉ sau khi đăng nhập thành công thì máy khách VPN
và máy chủ VPN mới có thể truyền thông được với nhau. Nhìn chung, một máy
khách VPN có thể được dựa trên phần mềm. Tuy nhiên, nó cũng có thể là một thiết
bị phần cứng dành riêng.
Đặc trưng của máy khách VPN gồm:

Cổng kết nối IP là thiết bị biên dịch những giao thức không phải là giao thức
IP sang giao thức IP và ngược lại. Như vậy, những cổng kết nối này cho phép một
mạng riêng hỗ trợ chuyển tiếp dựa trên giao thức IP. Những thiết bị này có thể là
những thiết bị mạng dành riêng, nhưng cũng có thể là giải pháp dựa trên phần mềm.
Với thiết bị phần cứng, cổng kết nối IP nói chung được thiết lập ở biên của mạng
cục bộ của công ty. Còn là giải pháp dựa trên phần mềm, thì cổng kết nối IP được
cài đặt trên mỗi máy chủ và được sử dụng để chuyển đổi các lưu lượng từ giao thức
không phải là giao thức IP sang giao thức IP và ngược lại. Ví dụ như phần mềm
Novell’s Border Manager.
Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) được
đặt giữa mạng công cộng và mạng riêng nhằm nhăn chặn xâm nhập trái phép vào
mạng riêng. Cổng kết nối VPN có thể cung cấp những khả năng tạo đường hầm và
mã hoá dữ liệu riêng trước khi được chuyển đến mạng công cộng.


25

1.2. THƯƠNG MẠI ĐIỆN TỬ VÀ MỘT SỐ BÀI TOÁN TRONG THƯƠNG
MẠI ĐIỆN TỬ
1.2.1. Khái niệm thương mại điện tử
Ngày nay, Khi Internet phát triển mạnh mẽ và ngày càng trở nên phổ cập, thì
khái niệm TMĐT (E- commerce) không còn xa lạ với dân cư mạng nói riêng, và toàn
xã hội nói chung. Đó là quá trình mua bán hàng hóa hay dịch vụ thông qua việc truyền
dữ liệu giữa các máy tính trong chính sách phân phối tiếp thị thông qua mạng internet.
Bao gồm tất cả các loại giao dịch thương mại trong đó tất cả các đối tác
thương mại dùng kỹ thuật công nghệ thông tin.
Cùng với sự phát triển của Internet và world wide web, TMĐT ra đời và
ngày càng phát triển, ngày càng khẳng định vị thế của nó trong đời sống xã hội. Và
nó ngày càng có những tác động to lớn trong đời sống của con người. Trong hoạt
động thương mại, TMĐT góp những vai trò đáng kể: