ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
PHẠM THỊ THANH THỦY
NGHIÊN CỨU MỘT SỐ BÀI TOÁN VỀ
AN TOÀN THÔNG TIN TRONG THỎA THUẬN VÀ
KÝ KẾT HỢP ĐỒNG CỦA THƢƠNG MẠI ĐIỆN TỬ
Ngành:
Công nghệ thông tin
Chuyên ngành: Hệ thống thông tin
Mã số:
60480104
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS. TS. TRỊNH NHẬT TIẾN
Học viên thực hiện
Giáo viên hướng dẫn
Hà Nội – 2016
Chủ tịch hội đồng
LỜI CẢM ƠN
LỜI CAM ĐOAN
Tôi xin cam đoan nội dung trình bày trong luận văn này là do tôi tự nghiên
cứu và tìm hiểu dưới sự hướng dẫn trực tiếp của Thầy PGS. TS. Trịnh Nhật Tiến.
Luận văn này của tôi chưa từng được ai công bố trong bất cứ công trình nào trước đây.
Trong quá trình nghiên cứu tôi có tham khảo đến các tài liệu của một số tác giả. Tôi
đều có trích dẫn đầy đủ và liệt kê trong mục “TÀI LIỆU THAM KHẢO” ở cuối
luận văn.
Hà Nội, ngày … tháng … năm 2016
Học viên
Phạm Thị Thanh Thủy
ii
MỤC LỤC
LỜI CẢM ƠN .............................................................................................................. i
LỜI CAM ĐOAN .......................................................................................................ii
LỜI MỞ ĐẦU ............................................................................................................ 1
CHƢƠNG 1. CÁC KHÁI NIỆM CƠ BẢN ............................................................ 3
1.1. Tổng quan về thương mại điện tử .................................................................... 3
1.1.1. Khái niệm về TMĐT ............................................................................... 3
1.1.2. Vai trò tác động của TMĐT .................................................................... 4
1.1.3. Các đặc trưng của TMĐT ....................................................................... 6
1.1.4. Các loại hình giao dịch TMĐT ............................................................... 8
1.1.5. Ba giai đoạn hoạt động của TMĐT ....................................................... 10
1.2. Tổng quan về An toàn thông tin ..................................................................... 12
1.2.1. An toàn thông tin là gì? Tại sao cần bảo đảm An toàn thông tin? ........ 12
1.2.2. Mục tiêu của An toàn thông tin............................................................. 13
3.1. Giới thiệu chương trình .................................................................................. 50
3.1.1. Chương trình mã hóa AES ...................................................................... 50
3.1.2. Chương trình ký không thể phủ định ...................................................... 50
3.2. Cấu hình hệ thống ........................................................................................... 50
3.3. Hướng dẫn sử dụng ........................................................................................ 50
3.3.1. Chương trình mã hóa AES ...................................................................... 50
3.3.2. Chương trình ký không thể phủ định ...................................................... 55
KẾT LUẬN .............................................................................................................. 58
TÀI LIỆU THAM KHẢO ...................................................................................... 59
iv
BẢNG CÁC CHỮ VIẾT TẮT
Từ viết tắt
Ý nghĩa
AES
Advance Encryption Standard
(Chuẩn mã hóa tiên tiến)
DES
Data Encryption Standard
(Chuẩn mã hóa dữ liệu)
RSA
Hình 1.10: Doanh thu bán lẻ TMĐT của Ấn Độ .......................................................10
Hình 1.11: Sơ đồ mã hóa đơn giản. ..........................................................................15
Hình 1.12: Phân loại Thủy vân .................................................................................29
Hình 1.13: Ví dụ về thuỷ vân hiện (trên trang web của Thư viện số liên bang Mỹ) .29
Hình 1.14: Giấu thông tin trong ảnh ........................................................................30
Hình 2.1: Mô hình giải quyết bài toán ......................................................................34
Hình 2.2: Sơ đồ thuật toán AES ................................................................................38
Hình 2.3: Các phần tử biến đổi của S-box dưới dạng ma trận .................................39
Hình 2.4: Kết quả biến đổi của hàm SubBytes() với mảng trạng thái ......................39
Hình 2.5: Nội dung bảng S-box sau khi tính toán .....................................................40
Hình 2.6: Kết quả tính toán.......................................................................................40
Hình 2.7: Minh họa sự dịch vòng..............................................................................41
Hình 2.8: Minh họa làm việc trên cột trạng thái ......................................................42
Hình 2.9: Thực hiện hàm AddRoundKey() ................................................................42
Hình 2.10: Quá trình thực hiện Expand Key ............................................................43
Hình 2.11: Minh họa thực hiện hàm InvShiftRows() ................................................44
Hình 2.14: Kiểm tra tính đúng đắn của chữ ký .........................................................48
Hình 2.15: Giao thức kiểm thử chữ ký số .................................................................49
Hình 2.16: Giao thức chối bỏ chữ ký số. ..................................................................49
Hình 3.1: Quá trình mã hóa văn bản ........................................................................51
Hình 3.2: Quá trình giải mã văn bản ........................................................................52
Hình 3.3: Quá trình mã hóa tệp tin ...........................................................................53
Hình 3.4: Quá trình giải mã tệp tin ..........................................................................54
Hình 3.5: Quá trình ký ..............................................................................................56
Hình 3.6: Giao thức kiểm thử ...................................................................................56
Hình 3.7: Giao thức chối bỏ. ....................................................................................57
vi
Vấn đề đặt ra là trong môi trường mạng một lượng tin hay dữ liệu khi được
gửi từ người gửi đến người nhận thường phải qua nhiều nút, nhiều trạm không ai
đảm bảo rằng thông tin đến người nhận không bị sao chép, không bị đánh cắp hay
không bị sửa đổi…Mục 1.3 [2] chỉ ra rằng bảo đảm an toàn thông tin trong thỏa
thuận và ký kết hợp đồng của thương mại điện tử là bảo đảm việc xác minh nguồn
gốc giao dịch, đảm bảo bí mật, toàn vẹn thông tin và chống chối bỏ giao dịch. Đây
là một vấn đề cấp thiết cần phải được giải quyết hiện nay, xuất phát từ yêu cầu này
mà tác giả đã lựa chọn đề tài “Nghiên cứu một số bài toán về an toàn thông tin
trong thỏa thuận và ký kết hợp đồng của thương mại điện tử” làm đề tài nghiên
cứu của mình.
Trên cơ sở làm rõ một số bài toán về an toàn thông tin trong giai đoạn thỏa
thuận và ký kết hợp đồng điện tử, luận văn sẽ tập trung nghiên cứu một số kỹ thuật
để đảm bảo việc xác minh nguồn gốc giao dịch, đảm bảo bí mật, toàn vẹn thông tin
1
Phương tiện điện tử là phương tiện hoạt động dựa trên công nghệ điện, điện tử, kỹ thuật số, từ tính, truyền
dẫn không dây, quang học, điện từ hoặc công nghệ tương tự.
1
và chống chối bỏ giao dịch cũng như thử nghiệm chương trình thực hiện việc xác
nhận đúng hợp đồng, đảm bảo thông tin hợp đồng không bị sửa đổi và tiến hành ký
kết hợp đồng.
Nhiệm vụ cụ thể mà luận văn cần giải quyết đó là:
Nêu rõ khái niệm, vai trò, đặc điểm, phân loại, phương pháp và các vấn đề
gặp phải khi thực hiện thỏa thuận hợp đồng điện tử.
Phân tích, nghiên cứu, tìm hiểu một số bài toán về ATTT trong thỏa thuận và
ký kết hợp đồng điện tử.
Nghiên cứu một số kỹ thuật đảm bảo an toàn thông tin trong giai đoạn thỏa
CHƢƠNG 1. CÁC KHÁI NIỆM CƠ BẢN
1.1. Tổng quan về thƣơng mại điện tử
1.1.1. Khái niệm về TMĐT
Theo Bill Gates: “Cạnh tranh ngày nay không phải giữa các sản phẩm mà giữa
các mô hình kinh doanh”. Điều đó có nghĩa là sự thành công của doanh nghiệp không
phải phụ thuộc hoàn toàn vào sản phẩm mà phụ thuộc khá nhiều vào mô hình kinh
doanh. Nếu doanh nghiệp muốn nhận được nhiều cơ hội mới thì cần phải quan tâm
nhiều đến thông tin, Internet, Web. Như chúng ta đã biết sự ra đời của công nghệ Web
kích thích các doanh nghiệp tham gia và dẫn đến sự ra đời của TMĐT.
Hình 1.1: Mô hình đơn giản thương mại điện tử
TMĐT được hiểu theo [9] như sau: Việc mua bán hàng hóa, sản phẩm hay
dịch vụ trên hệ thống điện tử như Internet và mạng máy tính gọi là Thương mại
điện tử (e-commerce).
Mặt khác, [9] cũng đưa ra các định nghĩa về khái niệm TMĐT như sau:
Theo WTO: "Thương mại điện tử bao gồm việc sản xuất, quảng cáo, bán
hàng và phân phối sản phẩm được mua bán và thanh toán trên mạng Internet,
nhưng được giao nhận một cách hữu hình, cả các sản phẩm giao nhận cũng như
những thông tin số hoá thông qua mạng Internet".
Theo APEC: "TMĐT liên quan đến việc trao đổi hàng hóa, dịch vụ giữa
các nhóm hoặc các cá nhân chủ yếu là thông qua các giao dịch thương mại dựa
trên Internet."
3
TMĐT [4] được định nghĩa trong Luật mẫu TMĐT của Ủy ban Liên Hợp quốc
về Luật Thương mại Quốc tế (UNCITRAL): “Thuật ngữ Thương mại cần được
Website là tập hợp trang web, thông thường chỉ nằm trong một tên miền hay tên miền phụ trên World Wide
Web của Internet.
3
Texas là viện đại học chuyên về nghiên cứu của tiểu bang Texas – Hoa Kỳ.
4
Kinh doanh điện tử là việc sử dụng Internet, sử dụng các công nghệ trực tuyến tạo ra quá trình kinh doanh
hiệu quả cho dù việc có hay không có lợi nhuận, do đó tăng lợi ích với khách hàng.
5
Gọi tắt là Web hay WWW- mạng lưới toàn cầu là không gian thông tin mà mọi người có thể đọc và viết
(truy cập) thông qua các máy tính nối mạng Internet.
4
Nhờ sự ra đời của TMĐT các doanh nghiệp vừa và nhỏ có thể cạnh tranh với
các doanh nghiệp lớn hơn. Nó giúp các doanh nghiệp này có thể giới thiệu hàng hóa
hay sản phẩm của mình đến khách hàng một cách nhanh chóng, tự động mà lại giảm
chi phí liên lạc, giảm chi phí giao dịch và marketing.
Với người tiêu dùng:
Nhờ vào TMĐT, người mua có thể nghiên cứu, tìm hiểu hàng hóa, sản phẩm
và các dịch vụ kèm theo một cách tiện lợi và nhanh nhất có thể. Họ có thể so sánh
chất lượng cũng như giá cả của hàng hóa để có sự lựa chọn tốt nhất.
Internet cách mạng hoá marketing trực tiếp và marketing bán lẻ. Người tiêu
dùng có thể mua sắm bất kì sản phẩm hàng hóa nào của những nhà sản xuất và bán
lẻ trên khắp thế giới…Tất cả đều có thể thực hiện ngay tại nhà.
Hình 1.2: Khảo sát giá trị mua hàng trực tuyến của người dùng Việt Nam 2015
Với ngành ngân hàng và các ngành dịch vụ khác:
Khi TMĐT phát triển ngành ngân hàng từ giữ tiền truyền thống đã chuyển
sang lưu trữ, giao dịch và quản lý đồng tiền số dựa vào Internet và TMĐT…Ngoài
Hình 1.4: Biểu đồ so sánh mức độ ứng dụng TMĐT ở Việt Nam
1.1.3. Các đặc trƣng của TMĐT
Những điểm khác biệt cơ bản [4] của TMĐT so với các hoạt động Thương
mại truyền thống:
Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúc trực
tiếp với nhau và không đòi hỏi phải biết nhau từ trước.
6
Thương mại truyền thống thì các bên thường trực tiếp gặp nhau tiến hành giao
dịch. Các giao dịch thực hiện chủ yếu theo nguyên tắc như vận đơn, chuyển tiền,
gửi báo cáo, séc hóa đơn. Các phương tiện viễn thông như: fax, telex,... chỉ được sử
dụng để trao đổi số liệu kinh doanh.
Mọi người đều có thể tham gia vào TMĐT từ các vùng xa xôi hẻo lánh đến
các khu đô thị lớn, điều đó chứng tỏ tất cả mọi người ở khắp nơi đều có cơ hội
ngang nhau tham gia vào thị trường giao dịch toàn cầu và không nhất thiết đòi hỏi
phải có mối quen biết với nhau từ trước.
Các giao dịch của TMĐT được thực hiện trong một thị trường không có biên
giới (thị trường thống nhất toàn cầu) còn các giao dịch thương mại truyền thống
được thực hiện với sự tồn tại của khái niệm biên giới quốc gia. TMĐT tác động
trực tiếp tới môi trường cạnh tranh toàn cầu.
Máy tính cá nhân giúp cho doanh nghiệp hướng ra thị trường trên toàn thế
giới. Trước kia phải mất nhiều năm thì các doanh nhân mới thành lập mới có thể
kinh doanh ở các nước như Nhật Bản, Đức, Chile…nhưng nhờ vào sự phát triển
của TMĐT thì điều đó hoàn toàn có thể mà không phải bước ra khỏi nhà chỉ cần
một chiếc máy tính kết nối Internet.
Trong giao dịch TMĐT đều có sự tham gia của ít nhất ba chủ thể, trong đó có
người cung cấp dịch vụ mạng, các cơ quan chứng thực là bên không thể thiếu được.
Trong TMĐT, bên thứ ba đó là các cơ quan chứng thực, nhà cung cấp dịch vụ
Hình 1.6: Doanh thu bán lẻ TMĐT của Hoa Kỳ
Hình 1.7: Doanh thu bán lẻ TMĐT của Hàn Quốc
Hình 1.8: Doanh thu bán lẻ TMĐT của Indonesia
9
Hình 1.9: Doanh thu bán lẻ TMĐT của Úc
Hình 1.10: Doanh thu bán lẻ TMĐT của Ấn Độ
1.1.5. Ba giai đoạn hoạt động của TMĐT
Như chúng ta đã thấy việc ứng dụng TMĐT trong hoạt động sản xuất, kinh
doanh hiện nay được xem là một trong những công cụ hỗ trợ đắc lực trong hoạt
động kinh doanh, đã mang lại hiệu quả rõ rệt trong chiến lược kinh doanh của
doanh nghiệp, giúp doanh nghiệp tiết kiệm thời gian, giảm chi phí, rút ngắn khoảng
cách giao thương và dễ dàng mở rộng thị trường. Trong TMĐT bao gồm quá trình
mua bán hàng hóa, giao dịch thương mại thông qua các phương tiện điện tử. Quy
trình TMĐT có các giai đoạn sau:
Giai đoạn quảng cáo và giới thiệu sản phẩm (Marketing):
Quảng cáo và giới thiệu sản phẩm là khâu đầu tiên và là một trong những khâu
quyết định sự thành công của doanh nghiệp trong quy trình thương mại. Quảng cáo
10
hàng hóa trực tuyến chính là hoạt động giới thiệu và chào bán sản phẩm, dịch vụ
qua hệ thống điện tử như Internet, mạng máy tính. Nó cung cấp đầy đủ các thông tin
Nhờ vào TMĐT việc truyền dữ liệu đến thẻ tín dụng hay truyền dữ liệu đến các
phương tiện thanh toán khác của khách hàng được thực hiện dễ dàng và thuận tiện
hơn. Tuy nhiên, khi các giao dịch thanh toán qua mạng được diễn ra thì nguy cơ bị
mất thông tin liên quan đến thẻ hoặc các giao dịch có sử dụng thẻ là rất lớn. Kẻ gian
sẽ thực hiện các hành vi lừa đảo, gian lận thẻ và lấy cắp các thông tin của khách
11
hàng để thực hiện mưu đồ đen tối, chẳng hạn chúng có thể giả danh khách hàng để
thiết lập các khoản tín dụng mới…
Trong trường hợp khách hàng nước ngoài trước đó có đặt hàng nhưng sau đó
phủ nhận việc này thì sẽ là một thiệt hại rất lớn cho người bán hàng trực tuyến bởi
vì thực tế thường không có cách nào xác định được hàng đã đến tay khách hàng
chưa và chủ thẻ có đúng là người đã đặt đơn hàng hay không? Do vậy, sự an toàn
trong thanh toán trực tuyến là một trong những vấn đề cốt yếu của TMĐT.
1.2. Tổng quan về An toàn thông tin
1.2.1. An toàn thông tin là gì? Tại sao cần bảo đảm An toàn thông tin?
An toàn thông tin là gì?
An toàn thông tin là thuật ngữ dùng để chỉ việc bảo vệ thông tin số và các hệ
thống thông tin chống lại các nguy cơ tự nhiên, các hành động truy cập, sử dụng,
phát tán, phá hoại, sửa đổi và phá hủy bất hợp pháp nhằm bảo đảm cho các hệ thống
thông tin thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng,
chính xác và tin cậy.
Tại sao cần đảm bảo An toàn thông tin?
Nhu cầu trao đổi thông tin phát triển nhanh chóng trong thời đại ngày nay. Sự
ra đời của Internet giúp con người trao đổi thông tin một cách dễ dàng và thuận tiện.
Chỉ cần với một chiếc máy tính kết nối mạng bạn có thể gửi nhận Email và thực hiện
các giao dịch buôn bán trực tuyến…Vấn đề ở chỗ thông tin quan trọng có được toàn
vẹn hay không? Những bí mật về tài chính, về kinh doanh có được bảo mật không?
thông báo để bảo vệ thông tin.
Ngày nay, người ta dùng mật mã cổ điển để hoán vị, thay thế các ký tự trong
bản tin “gốc” để được bản tin “mật mã” làm cho người khác “khó” có thể đọc được.
1.2.2. Mục tiêu của An toàn thông tin
Bảo đảm bí mật: thông tin chỉ cho phép một số người có thẩm quyền được
đọc, được biết thông tin (nghĩa là thông tin không bị lộ đối với người không được
phép) còn sẽ giữ bí mật đối với tất cả mọi người không được phép.
Bảo đảm toàn vẹn: thông tin không bị sửa đổi bởi những người không có
quyền hoặc bằng những phương tiện không được phép (nghĩa là ngăn chặn, hạn chế
bổ sung, loại bỏ và sửa dữ liệu không được phép).
Bảo đảm xác thực: Xác thực đúng thực thể có trách nhiệm về nội dung thông
tin (xác định nguồn gốc thông tin), thực thể có giao dịch, kết nối.
Bảo đảm sẵn sàng: Thông tin sẵn sàng cho những người dùng được phép.
Bảo đảm tính không thể chối bỏ: Ngăn chặn việc chối bỏ trách nhiệm với
một cam kết đã có (chối bỏ việc đã ký vào một hợp đồng, văn bản nào đó…).
1.2.3. Các giải pháp bảo đảm An toàn thông tin
Các giải pháp bảo đảm An toàn thông tin [1] gồm:
Bảo đảm toàn vẹn và xác thực thông tin:
- Mã hóa (”Che” dữ liệu): thay đổi hình dạng dữ liệu gốc làm cho người khác
khó nhận ra.
- “Giấu” dữ liệu: dữ liệu này được giấu trong môi trường dữ liệu khác.
- Bảo đảm toàn vẹn và xác thực thông tin.
Kỹ thuật sử dụng: Mã hóa, giấu tin, thủy ký, ký số, hàm băm …
Giao thức bảo toàn thông tin, xác thực thông tin...
13
Kiểm soát lối vào ra của thông tin:
- Kiểm soát ngăn chặn thông tin vào hoặc ra hệ thống máy tính.
không biết thông tin đã bị thay đổi trên đường truyền.
- Thông tin bị đánh cắp và không đến được người nhận.
Để giải quyết được những vấn đề trên thì thông tin sẽ được mã hóa trước khi
truyền đi và khi đến người nhận thì sẽ được giải mã để biết được nội dung.
14
Trên đường truyền nội dung của thông tin có thể bị theo dõi, bị đọc trộm hay
bị đánh cắp vì vậy để đảm bảo rằng chỉ có người nhận mới được đọc tin thì trước
khi gửi chúng cần phải được mã hóa thành “thông tin không có ý nghĩa”. Và để hiểu
được thông điệp này thì kẻ tấn công phải giải mã được nó, nếu chúng được mã hóa
với thuật toán càng tốt thì chi phí giải mã càng cao đối với những kẻ tấn công này
và đương nhiên chúng sẽ phải tính toán xem chi phí giải mã có cao hơn thông tin
cần biết hay không? Như vậy thuật toán mã hóa càng tốt thì vấn đề bảo mật thông
tin càng cao.
1.3.1. Khái niệm Mã hóa dữ liệu
Để bảo đảm ATTT lưu trữ trong máy tính hay bảo đảm ATTT trên đường
truyền tin [1] người ta phải “Che Giấu” (mã hóa) các thông tin này để người khác
khó nhận ra.
Mã hóa: Là quá trình chuyển thông tin từ dạng đọc được (bản rõ) thành
thông tin không thể đọc được (bản mã) đối với người không được phép.
Giải mã: Là quá trình chuyển đổi thông tin ngược lại từ thông tin không thể
đọ được (bản mã) sang thông tin có thể đọc được (bản rõ).
Hình 1.11: Sơ đồ mã hóa đơn giản.
1.3.1.1. Hệ mã hóa
Hệ mã hóa: là tập hợp các thuật toán, các khóa nhằm mã hóa và giải mã thông
tin. Hệ mã hóa là bộ năm (P, C, K, E, D) trong đó:
Như chúng ta đã biết hiện nay có 2 loại mã hóa chính bao gồm: mã hóa khóa
đối xứng và mã hóa khoá công khai.
1.3.2.1. Hệ mã hóa khóa đối xứng
Mã hóa khóa đối xứng [1] là hệ mã hóa mà cả khóa lập mã và khóa giải mã
“giống nhau” nếu biết được khóa lập mã thì có thể “dễ” tính ra được khóa giải mã
và ngược lại biết được khóa giải mã thì sẽ “dễ” tính ra được khóa lập mã. Đặc biệt
có một số hệ mã hóa có khoá lập mã và khoá giải mã trùng nhau (ke = kd), chẳng
hạn như hệ mã hóa “dịch chuyển” hay DES.
Hệ mã hóa khóa đối xứng hay còn gọi là hệ mã hóa khoá bí mật, khóa riêng
bởi vì phải giữ bí mật cả hai khóa. Người gửi, người nhận phải thoả thuận khoá
chung (lập mã hay giải mã) và khoá này phải được giữ bí mật trước khi dùng hệ mã
hóa khóa đối xứng. Độ an toàn của hệ mã hóa khóa đối xứng phụ thuộc vào khoá.
Ưu điểm:
- Mã hóa khóa đối xứng thì mã hóa và giải mã nhanh hơn hệ mã hóa khóa
công khai.
Nhược điểm:
- Mã hóa khóa đối xứng chưa thật sự an toàn vì: người mã hoá và người giải mã
phải có “chung” một khoá. Do vậy khóa phải được giữ bí mật tuyệt đối (vì biết khoá
này “dễ” tính được khoá kia và ngược lại).
- Việc thỏa thuận và quản lý khóa chung là khó khăn và phức tạp. Người gửi,
người nhận luôn phải thống nhất với nhau về khoá chung. Việc thay đổi khoá là rất
khó và dễ bị lộ. Khóa chung phải được gửi cho nhau giữa người gửi và người nhận
trên kênh an toàn.
16
- Hai người (lập mã, giải mã) cùng biết “chung” một bí mật, thì việc giữ được
bí mật là rất khó!
Nơi sử dụng:
17
Copyright: Tài liệu đại học ©