Mục Lục

1

AN TOÀN TRONG THƯƠNG MẠI ĐIỆN TỬ

Với sự phát triển mang tính toàn cầu của mạng Internet và TMĐT, con người có thể mua bán hàng hoá và dịch vụ thông qua mạng máy tính toàn cầu một cách dễ dàng trong mọi lĩnh vực thương mại rộng lớn . Tuy nhiên đối với các giao dịch mang tính nhạy cảm này cần phải có những cơ chế đảm bảo bảo mật và an toàn vì vậy vấn đề bảo mật và an toàn thông tin trong thương mại điện tử là một vấn đề hết sức quan trọng.

Chương 1: Tổng quan về thương mại điện tử1.1.Thương mại điện tử

1.1.1.Khái niêm

Thương mại điện tử, hay còn gọi là e-commerce, e-comm hay EC, là sự mua bán sản phẩm hay dịch vụ trên các hệ thống điện tử như Internet và các mạng máy tính. Thương mại điện tử dựa trên một số công nghệ như chuyển tiền điện tử, quản lý chuỗi dây chuyền cung ứng, tiếp thị Internet, quá trình giao dịch trực tuyến, trao đổi dữ liệu điện tử (EDI), các hệ thống quản lý hàng tồn kho, và các hệ thống tự động thu thập dữ liệu. Thương mại điện tử hiện đại thường sử dụng mạng World Wide Web là một điểm ít nhất phải có trong chu trình giao dịch, mặc dù nó có thể bao gồm một phạm vi lớn hơn về mặt công nghệ như email, các thiết bị di động cũng như điện thoại.

Thương mại điện tử thông thường được xem ở các khía cạnh của kinh doanh điện tử (e-business). Nó cũng bao gồm việc trao đổi dữ liệu tạo điều kiện thuận lợi cho các nguồn tài chính và các khía cạnh thanh toán của việc giao dịch kinh doanh

1.1.2.Các hình thức thương mại điện tử

Nếu phân chia theo đối tượng tham gia thì có 3 đối tượng chính bao gồm: Chính phủ (G - Goverment), Doanh nghiệp (B - Business) và Khách hàng (C - Customer hay Consumer). Nếu kết hợp đôi một 3 đối tượng này sẽ có 9 hình thức theo đối tượng tham gia: B2C, B2B, B2G, G2B, G2G, G2C, C2G, C2B, C2C. Trong đó, các dạng hình thức chính của thương mại điện tử bao gồm:

- Giao dịch giữa doanh nghiệp với doanh nghiệp – B2B (business to business);

- Giao dịch giữa doanh nghiệp với khách hàng – B2C (business to consumer);

- Giao dịch giữa doanh nghiệp với cơ quan nhà nước – B2G (business to government);

- Giao dịch trực tiếp giữa các cá nhân với nhau – C2C (consumer to consumer);

- Giao dịch giữa cơ quan nhà nước với cá nhân – G2C (government to consumer).

2

B2B là loại hình giao dịch qua các phương tiện điện tử giữa doanh nghiệp với doanh nghiệp. Theo Tổ chức Liên hợp quốc về Hợp tác và Phát triển kinh tế (UNCTAD), TMĐT B2B chiếm tỷ trọng lớn trong TMĐT (khoảng 90%). Các giao dịch B2B chủ yếu được thực hiện trên các hệ thống ứng dụng TMĐT như mạng giá trị gia tăng (VAN); dây chuyền cung ứng hàng hoá, dịch vụ (SCM), các sàn giao dịch TMĐT… Các doanh nghiệp có thể chào hàng, tìm kiếm bạn hàng, đặt hàng, ký kết hợp đồng, thanh toán qua các hệ thống này. Ở một mức độ cao, các giao dịch này có thể diễn ra một cách tự động. TMĐT B2B đem lại nhiều lợi ích thực tế cho doanh nghiệp, đặc biệt giúp giảm các chi phí về thu thập thông tin tìm hiểu thị trường, quảng cáo, tiếp thị, đàm phán, tăng các cơ hội kinh doanh,…

B2C là loại hình giao dịch giữa doanh nghiệp và người tiêu dùng qua các phương tiện điện tử. Doanh nghiệp sử dụng các phương tiện điện tử để bán hàng hóa, dịch vụ tới người tiêu dùng. Người tiêu dùng thông qua các phương tiện điện tử để lựa chọn, mặc cả, đặt hàng, thanh toán, nhận hàng. Giao dịch B2C tuy chiếm tỷ trọng ít (khoảng 10%) trong TMĐT nhưng có sự phạm vi ảnh hưởng rộng. Để tham gia hình thức kinh doanh này, thông thường doanh nghiệp sẽ thiết lập website, hình thành cơ sở dữ liệu về hàng hoá, dịch vụ; tiến hành các quy trình tiếp thị, quảng cáo, phân phối trực tiếp tới người tiêu dùng. TMĐT B2C đem lại lợi ích cho cả doanh nghiệp lẫn người tiêu dùng. Doanh nghiệp tiết kiệm nhiều chi phí bán hàng do không cần phòng trưng bày hay thuê người giới thiệu bán hàng, chi phí quản lý cũng giảm hơn. Người tiêu dùng sẽ cảm thấy thuận tiện vì không phải tới tận cửa hàng, có khả năng lựa chọn và so sánh nhiều mặt hàng cùng một lúc.B2G là loại hình giao dịch giữa doanh nghiệp với cơ quan nhà nước, trong đó cơ quan nhà nước đóng vai trò khách hàng. Quá trình trao đổi thông tin giữa doanh nghiệp với cơ quan nhà nước được tiến hành qua các phương tiện điện tử. Cơ quan nhà nước cũng có thể thiết lập những website tại đó đăng tải thông tin về nhu cầu mua hàng của các cơ quan nhà nước, tiến hành việc đấu thầu hàng hoá, dịch vụ và lựa chọn nhà cung cấp trên website. Điều này một mặt giúp tiết kiệm các chi phí tìm nhà cung cấp, đồng thời giúp tăng cường tính minh bạch trong hoạt động mua sắm công.C2C là loại hình giao dịch giữa các cá nhân với nhau. Sự phát triển của các phương tiện điện tử làm cho nhiều cá nhân có thể tham gia hoạt động thương mại với tư cách là người bán, người cung cấp dịch vụ. Một cá nhân có thể tự thiết lập website để kinh doanh những mặt hàng do mình làm ra hoặc sử dụng một website có sẵn để đấu giá một số món hàng mình có. C2C góp phần tạo nên sự đa dạng của thị trường.

G2C là loại hình giao dịch giữa cơ quan nhà nước với cá nhân. Đây chủ yếu là các giao dịch mang tính hành chính, nhưng có thể mang những yếu tố của TMĐT. Ví dụ khi người dân đóng tiền thuế qua mạng, trả phí khi đăng ký hồ sơ trực tuyến, v.v…

1.2.Bảo mật trong thương mại điện tử1.2.1.Môi trường trong thương mại điện tử

3

Hạ tầng cơ sở công nghệ: TMĐT hoạt động trên nền tảng một hạ tầng cơ sở công nghệ thông tin đủ năng lực. Hạ tầng này bao gồm 2 nhánh là tính toán (computing) và truyền thông (communication). Hai nhánh này ngoài công nghệ - thiết bị còn cần phải có một nền công nghiệp điện lực cững mạnh làm nền. Hiện nay đang có xu hướng đưa cả công nghệ bảo mật và an toàn vào cơ sở hạ tầng công nghệ của TMĐT. Đòi hỏi về hạ tầng cơ sở công nghệ bao gồm 2 mặt: một là tính tiên tiến, hiện đại về công nghệ thiết bị, hai là tính phổ cập về kinh tế. Hạ tầng truyền thông phải đạt được tốc độ 45Mbps để có thể chuyển tải được thông tin dưới dạng hình ảnh, đồ họa, video. Kế tiếp là các hệ thống thiết bị kỹ thuật mạng, truy cập từ xa, an toàn kỹ thuật. Thông thường, một quốc gia muốn phát triển TMĐT thì mạng trục thông tin (backbone) quốc gia đóng vai trò xương sống. Mạng này đối với trong nước được ví như nơi mọi con sông đổ vào, đối với quốc tế được ví như cửa sông đổ ra biển siêu lộ thông tin quốc tế. Thông tin có thông thương được hay không, một phần quan trọng phụ thuộc vào tốc độ của backbone.

Hạ tầng cơ sở nhân lực: Hoạt động TMĐT liên quan tới mọi con người, từ người tiêu thụ đến người sản xuất, phân phối, các cơ quan chính phủ, các nhà công nghệ, nên việc áp dụng TMĐT tất yếu đòi hỏi đa số con người phải có kỹ năng thực tế ứng dụng công nghệ thông tin một cách có hiệu quả, có thói quen làm việc trên máy tính, trên mạng máy tính và cần phải có một đội ngũ chuyên gia đủ mạnh về công nghệ thông tin. Nói trong diện hẹp, đó là những tập thể các doanh nghiệp và các tổ chức dịch vụ mạng có kỹ năng chuyên ngành về TMĐT và thông thạo tiếng Anh. Nói trên diện rộng, điều kiện nhân lực bao gồm cả người tiêu dùng.

Bảo mật, an toàn: Giao dịch thương mại qua các phương tiện điện tử, trong đó mọi dữ liệu đều ở dạng số hóa, đặt ra các yêu cầu nghiêm ngặt về tính bảo mật, an toàn. Mất tiền, lừa đảo, lấy trộm hoặc thay đổi thông tin, xâm nhập dữ liệu... là các rủi ro ngày càng lớn không chỉ đối với người kinh doanh mà cả với người quản lý, với từng quốc gia, vì các hệ thống điện tử có thể bị các tin tặc (hacker) xâm nhập. Gần đây người ta đã chứng kiến những vụ hacker lấy trộm các số tài khoản để lấy tiền ở các ngân hàng lớn trên thế giới hay các virus được tạo ra đã phá hoại hàng loạt các kho thông tin của nhiều cơ quan, tổ chức, gây ngưng trệ cho cả hệ thống thông tin toàn cầu; hoặc có nhiều tổ chức cực đoan sử dụng Internet như phương tiện phổ biến tư tưởng phát xít và kêu gọi chiến tranh... Thiệt hại từ những hoạt động phá hoại đó không chỉ tính bằng tiền. Do đó, cần phải có các hệ thống bảo mật, an toàn được thiết kế trên cơ sở kỹ thuật mã hóa (encryption) hiện đại và một cơ chế an ninh hữu hiệu. Ngoài ra, nhu cầu bảo vệ bí mật riêng tư cũng ngày càng tăng.

Hệ thống thanh toán tự động: Phương thức thanh toán là vấn đề quan trọng và rất nhạy cảm trong giao dịch thương mại. TMĐT chỉ có thể thực hiện thực tế và có hiệu quả khi đã tồn tại một hệ thống thanh toán tài chính ở mức độ phát triển đủ cao, cho phép tiến hành thanh toán tự động mà không phải dùng đến tiền mặt. Trong kinh doanh bán lẻ, vai trò của thẻ thông minh (smart card) là rất quan trọng. Khi chưa có hệ thống này, TMĐT chỉ giới hạn ở khâu trao đổi tin tức, còn việc buôn bán hàng hóa và dịch vụ vẫn phải kết thúc bằng trả tiền trực tiếp hoặc thông qua các phương tiện thanh toán truyền thống. Hiệu

4

quả quả do đó sẽ thấp và không đủ bù đắp chi phí trang bị phương tiện TMĐT. Hiện nay, Mỹ là quốc gia có hệ thống thanh toán điện tử phát triển nhất thế giới.

Bảo vệ sở hữu trí tuệ: Do chất xám của con người ngày càng chiếm giá trị cao trong sản phẩm, bảo vệ tài sản cuối cùng sẽ trở thành bảo vệ sở hữu trí tuệ. Trong TMĐT vì thế nổi lên vấn đề đăng ký tên miền (domain name), bảo vệ sở hữu chất xám và bản quyền của các thông tin (hình thức quảng cáo, nhãn hiệu thương mại, cấu trúc cơ sở dữ liệu các nội dung truyền gởi), ở các khía cạnh phức tạp hơn nhiều so với việc bảo vệ sở hữu trí tuệ trong nền kinh tế vật thể. Một trong các khía cạnh đó là mâu thuẫn giữa tính phi biên giới của không gian TMĐT và tính chất quốc gia của quyền sở hữu trí tuệ.

Bảo vệ người tiêu dùng: Mức độ tín nhiệm của người tiêu dùng quyết định trực tiếp sự thành bại trong kinh doanh. Do đó vấn đề bảo vệ người tiêu dùng ngày càng được đề cao trong thương mại. Vì quy cách phẩm chất hàng hoá và các thông tin có liên quan trong TMĐT đều ở dạng số hóa nên người mua chịu rủi ro lớn hơn so với giao dịch thương mại vật thể. Để giải quyết vấn đề đó, cần phải thiết lập một cơ chế trung gian đảm bảo chất lượng nhằm mục đích tạo niềm tin cho người tiêu dùng, nhất là ở những nước mà tập quán mua hàng “sờ tận tay, thấy tận mắt” vẫn còn phổ biến. Một trong các giải pháp cho vấn đề này là xây dựng một hệ thống tiêu chuẩn hoá công nghiệp và thương mại quốc tế thống nhất cho các giao dịch TMĐT .

Hành lang pháp lý: TMĐT là hoạt động thương mại có quy mô toàn cầu, vì vậy hàng loạt quy định về luật pháp quốc tế và quốc gia về lĩnh vực phải được đáp ứng. Những nội dung chính của hàng lang pháp lý này là quy định về tiêu chuẩn chất lượng hàng hoá, dịch vụ, quy định về những điều cấm và được phép thay đổi theo quốc gia, quy định về sở hữu công nghiệp, bản quyền chế tạo, luật về chữ ký điện tử, luật giải quyết tranh chấp đối với hợp đồng kinh tế điện tử...

1.2.2.Các phương pháp bảo mật trong thương mại điện tử1.2.2.1.Mã hóa

Là quá trình chuyển văn bản hay các tài liệu gốc thành văn bản dưới dạng mật mã để bất cứ ai ngoài người gủi và người nhận đều không thể đọc được.-Bảo đảm an ninh thong tin khi truyền phát-Hai phương pháp mã hóa+Mã hóa đối xứng(symmetric key encryption

Dùng 1 khóa cho mã hóa và giải mã+Mã hóa khóa công khai(public key Encryption)

Dùng 2 mã khóa trong quá trình mã hóa, 1 khóa dung để mã hóa, 1 khóa dùng để giải mã

*Khóa công khai:Được thông báo rộng rãi cho những người sử dụng khác trong hệ thôngDùng để mã hóa thông điệp hoặc kiểm tra chữ ký

*Khóa bí mậtChỉ nơi giữ được biết

5

Để giải mã thông điệp hoặc tạo chữ ký1.2.2.2.Chữ ký điện tử

Chữ ký điện tử là bằng chứng hợp pháp dung để và đủ khẳng định trách nhiệm của người ký văn bản điện tử sau khi chuyển khỏi người ký nó

Các cơ quan chứng nhận (Certificate Authority-CA) sẽ đứng ra xác thực chữ ký điện tử(hay khóa công khái) là của cá nhân hay tổ chức cụ thể và duy nhất

Chứng thực điện tử bao gồm:-Tên của cá nhân hoặc tổ chức-Khóa công khai-Số định danh của chứng thực điện tử-Thời gian hiêu lực-Chữ ký của cơ quan chứng thực1.2.2.3.Tường lửa

Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trong một môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các bức tường ngăn lửa trong các tòa nhà. Tường lửa còn được gọi là Thiết bị bảo vệ biên giới (Border Protection Device - BPD), đặc biệt trong các ngữ cảnh của NATO, hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD - một phiên bản Unix của Đại học California, Berkeley.

Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùng tin cậy khác nhau. Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao). Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối thiểu (principle of least privilege).

Cấu hình đúng đắn cho các tường lửa đòi hỏi kỹ năng của người quản trị hệ thống. Việc này đòi hỏi hiểu biết đáng kể về các giao thức mạng và về an ninh máy tính. Những lỗi nhỏ có thể biến tường lửa thành một công cụ an ninh vô dụng.

Có 2 loại tường lửa thông dụng là tường lửa bảo vệ để bảo vệ an ninh cho máy tính cá nhân hay mạng cục bộ, tránh sự xâm nhập, tấn công từ bên ngoài và tường lửa ngăn chặn thường do các nhà cung cấp dịch vụ Internet thiết lập và có nhiệm vụ ngăn chặn không cho máy tính truy cập một số trang web hay máy chủ nhất định, thường dùng với mục đích kiểm duyệt Internet.

1.2.2.4.Bảo vệ vật lý-Hệ điều hành an toàn,phần mềm diệt viruss

6

Chương 2: Tường Lửa

2.1.Tổng quan về tường lửa

Trong ngành mạng máy tính, bức tường lửa (tiếng Anh: firewall) là rào chắn mà một số cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ.

Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trong một môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các bức tường ngăn lửa trong các tòa nhà. Tường lửa còn được gọi là Thiết bị bảo vệ biên giới (Border Protection Device - BPD), đặc biệt trong các ngữ cảnh của NATO, hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD - một phiên bản Unix của Đại học California, Berkeley.

Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùng tin cậy khác nhau. Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao). Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối thiểu (principle of least privilege).

Cấu hình đúng đắn cho các tường lửa đòi hỏi kỹ năng của người quản trị hệ thống. Việc này đòi hỏi hiểu biết đáng kể về các giao thức mạng và về an ninh máy tính. Những lỗi nhỏ có thể biến tường lửa thành một công cụ an ninh vô dụng.

Có 2 loại tường lửa thông dụng là tường lửa bảo vệ để bảo vệ an ninh cho máy tính cá nhân hay mạng cục bộ, tránh sự xâm nhập, tấn công từ bên ngoài và tường lửa ngăn chặn thường do các nhà cung cấp dịch vụ Internet thiết lập và có nhiệm vụ ngăn chặn không cho máy tính truy cập một số trang web hay máy chủ nhất định, thường dùng với mục đích kiểm duyệt Internet.

2.2.Lịch sử ra đời

Công nghệ tường lửa bắt đầu xuất hiện vào cuối những năm 1980 khi Internet vẫn còn là một công nghệ khá mới mẻ theo khía cạnh kết nối và sử dụng trên toàn cầu. Ý tưởng đầu tiên được đã hình thành sau khi hàng loạt các vụ xâm phạm nghiêm trọng đối với an ninh liên mạng xảy ra vào cuối những năm 1980. Năm 1988, một nhân viên tại trung tâm nghiên cứu NASA Ames tại California gửi một bản ghi nhớ qua thư điện tử tới đồng nghiệp rằng: "Chúng ta đang bị một con VIRUS Internet tấn công! Nó đã đánh Berkeley, UC San Diego, Lawrence Livermore, Stanford, và NASA Ames." Con virus được biết

7

đến với tên Sâu Morris này đã được phát tán qua thư điện tử và khi đó đã là một sự khó chịu chung ngay cả đối với những người dùng vô thưởng vô phạt nhất. Sâu Morris là cuộc tấn công diện rộng đầu tiên đối với an ninh Internet. Cộng đồng mạng đã không hề chuẩn bị cho một cuộc tấn công như vậy và đã hoàn toàn bị bất ngờ. Sau đó, cộng đồng Internet đã quyết định rằng ưu tiên tối cao là phải ngăn chặn không cho một cuộc tấn công bất kỳ nào nữa có thể xảy ra, họ bắt đầu cộng tác đưa ra các ý tưởng mới, những hệ thống và phần mềm mới để làm cho mạng Internet có thể trở lại an toàn.

Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố, khi Jeff Mogul thuộc Digital Equipment Corp. phát triển các hệ thống lọc đầu tiên được biết đến với tên các tường lửa lọc gói tin. Hệ thống khá cơ bản này đã là thế hệ đầu tiên của cái mà sau này sẽ trở thành một tính năng kỹ thuật an toàn mạng được phát triển cao. Từ năm 1980 đến năm 1990, hai nhà nghiên cứu tại phòng thí nghiệm AT&T Bell, Dave Presetto và Howard Trickey, đã phát triển thế hệ tường lửa thứ hai, được biến đến với tên các tường lửa tầng mạch (circuit level firewall). Các bài báo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng thí nghiệm AT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based firewall). Nghiên cứu công nghệ của Marcus Ranum đã khởi đầu cho việc tạo ra sản phẩm thương mại đầu tiên. Sản phẩm này đã được Digital Equipment Corporation's (DEC) phát hành với tên SEAL. Đợt bán hàng lớn đầu tiên của DEC là vào ngày 13 tháng 9 năm 1991 cho một công ty hóa chất tại bờ biển phía Đông của Mỹ.

Tại AT&T, Bill Cheswick và Steve Bellovin tiếp tục nghiên cứu của họ về lọc gói tin và đã phát triển một mô hình chạy được cho công ty của chính họ, dựa trên kiến trúc của thế hệ tường lửa thứ nhất của mình. Năm 1992, Bob Braden và Annette DeSchon tại Đại học Nam California đã phát triển hệ thống tường lửa lọc gói tin thế hệ thứ tư. Sản phẩm có tên "Visas" này là hệ thống đầu tiên có một giao diện với màu sắc và các biểu tượng, có thể dễ dàng cài đặt thành phần mềm cho các hệ điều hành chẳng hạn Microsoft Windows và Mac/OS của Apple và truy nhập từ các hệ điều hành đó. Năm 1994, một công ty Israel có tên Check Point Software Technologies đã xây dựng sản phẩm này thành một phần mềm sẵn sàng cho sử dụng, đó là FireWall-1. Một thế hệ thứ hai của các tường lửa proxy đã được dựa trên công nghệ Kernel Proxy. Thiết kế này liên tục được cải tiến nhưng các tính năng và mã chương trình cơ bản hiện đang được sử dụng rộng rãi trong cả các hệ thống máy tính gia đình và thương mại. Cisco, một trong những công ty an ninh mạng lớn nhất trên thế giới đã phát hành sản phẩm này năm 1997.

Thế hệ FireWall-1 mới tạo thêm hiệu lực cho động cơ kiểm tra sâu gói tin bằng cách chia sẻ chức năng này với một hệ thống ngăn chặn xâm nhập.

2.3.Các loại tường lửa

Có ba loại tường lửa cơ bản tùy theo:

8

Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng.

Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng. Tường lửa có theo dõi trạng thái của truyền thông hay không.

Phân loại theo phạm vi của các truyền thông được lọc, có các loại sau:

Tường lửa cá nhân hay tường lửa máy tính, một ứng dụng phần mềm với chức năng thông thường là lọc dữ liệu ra vào một máy tính đơn.

Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung gian nằm giữa mạng nội bộ và mạng bên ngoài). Một tường lửa thuộc loại này lọc tất cả truyền thông dữ liệu vào hoặc ra các mạng được kết nối qua nó.

Loại tường lửa mạng tương ứng với ý nghĩa truyền thống của thuật ngữ "tường lửa" trong ngành mạng máy tính.

Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có ba loại tường lửa chính:

Tường lửa tầng mạng. Ví dụ iptables. Tường lửa tầng ứng dụng. Ví dụ TCP Wrappers. Tường lửa ứng dụng. Ví dụ: hạn chế các dịch vụ ftp bằng việc định cấu

hình tại tệp /etc/ftpaccess.

Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau, mặc dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặt chung cả hai.

Cuối cùng, nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tường lửa:

Tường lửa có trạng thái (Stateful firewall) Tường lửa phi trạng thái (Stateless firewall)

2.4.Lý do sử dựng tường lửa

Mạng internet ngày càng phát triển và phổ biến rộng khắp mọi nơi, lợi ích của nó rất lớn. Tuy nhiên cũng có rất nhiều ngoại tác không mong muốn đối với các cá nhân là cha mẹ hay tổ chức, doanh nghiệp, cơ quan nhà nước... như các trang web không phù hợp lứa tuổi, nhiệm vụ, lợi ích, đạo đức, pháp luật hoặc trao đổi thông tin bất lợi cho cá nhân, doanh nghiệp... Do vậy họ (các cá nhân, tổ chức, cơ quan và nhà nước) sử dụng tường lửa để ngăn chặn.

9

Tường lửa đóng vai trò rất quan trọng để ngăn chặn các thành phần nguy hiểm như hacker , sâu, hay các loại virus trước khi chúng có thể xâm nhập vào máy tính của ta

2.5. Demo xây dựng luật cho tường lửa

Chương 3: Phương pháp mã hóa sử dung thuật toán AES trong thuơng mại điện tử

2.2.Thuật toán mã hóa AES2.2.1.Tổng quan AES

Trong mật mã học, AES (viết tắt của từ tiếng Anh: Advanced Encryption Standard, hay Tiêu chuẩn mã hóa tiên tiến) là một thuật toán mã hóa khối được chính phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa. Giống như tiêu chuẩn tiền nhiệm DES, AES được kỳ vọng áp dụng trên phạm vi thế giới và đã được nghiên cứu rất kỹ lưỡng. AES được chấp thuận làm tiêu chuẩn liên bang bởi Viện tiêu chuẩn và công nghệ quốc gia Hoa kỳ (NIST) sau một quá trình tiêu chuẩn hóa kéo dài 5 năm (Xem thêm: quá trình thiết kế AES).

Thuật toán được thiết kế bởi hai nhà mật mã học người Bỉ: Joan Daemen và Vincent Rijmen. Thuật toán được đặt tên là "Rijndael" khi tham gia cuộc thi thiết kế AES. Rijndael được phát âm là "Rhine dahl" theo phiên âm quốc tế (IPA: [ɹaindal]).

Thuật toán được dựa trên bản thiết kế Square có trước đó của Daemen và Rijmen; còn Square lại được thiết kế dựa trên Shark.

Khác với DES sử dụng mạng Feistel, Rijndael sử dụng mạng thay thế-hoán vị. AES có thể dễ dàng thực hiện với tốc độ cao bằng phần mềm hoặc phần cứng và không đòi hỏi nhiều bộ nhớ. Do AES là một tiêu chuẩn mã hóa mới, nó đang được triển khai sử dụng đại trà.

2.2.2.Mô tả thuật toán

Mặc dù 2 tên AES và Rijndael vẫn thường được gọi thay thế cho nhau nhưng trên thực tế thì 2 thuật toán không hoàn toàn giống nhau. AES chỉ làm việc với các khối dữ liệu (đầu vào và đầu ra) 128 bít và khóa có độ dài 128, 192 hoặc 256 bít trong khi Rijndael có thể làm việc với dữ liệu và khóa có độ dài bất kỳ là bội số của 32 bít nằm trong khoảng từ 128 tới 256 bít. Các khóa con sử dụng trong các chu trình được tạo ra bởi quá trình tạo khóa con Rijndael. Mỗi khóa con cũng là một cột gồm 4 byte. Hầu hết các phép toán trong thuật toán AES đều thực hiện trong một trường hữu hạn của các byte. Mỗi khối dữ liệu 128 bit đầu vào được chia thành 16 byte (mỗi byte 8 bit),có thể xếp thành 4 cột, mỗi

10

cột 4 phần tử hay là một ma trận 4x4 của các byte,nó được gọi là ma trận trạng thái, hay vắn tắt là trạng thái (tiếng Anh: state, trang thái trong Rijndael có thể có thêm cột). Trong quá trình thực hiện thuật toán các toán tử tác động để biến đổi ma trận trạng thái này

Trong phạm vi bài tập, chúng em sẽ tìm hiểu về thuật toán AES với dữ liệu đầu vào là 128 bit và sử dụng khóa 128bit.

2.2.3.Mã hóa AES

Nguyên tắc Mã hóa AES sử dụng dữ liệu đầu vào và key là hệ Hex, vì thế bản rõ và key phải được chuyển đổi từ hệ ASCII sang hệ Hex.Tùy thuộc vào độ dài của key khi sử dụng 128bit, 196bit và 256 bit mà AES có các cách mã hóa với số lần lặp khác nhau. Cụ thể

Độ dài khóa(Nk) Kích thước khối (Nb) Số lần lặpAES 128 4 4 10AES 196 6 4 12AES 256 8 4 14

Các bước thực hiệnKhởi động vòng lặpAddRoundKey — Mỗi cột của trạng thái đầu tiên lần lượt được kết hợp với một khóa con theo thứ tự từ đầu dãy khóa.Vòng lặp

SubBytes — đây là phép thế (phi tuyến) trong đó mỗi byte trong trạng thái sẽ được thế bằng một byte khác theo bảng tra (Rijndael S-box)

ShiftRows — dịch chuyển, các hàng trong trạng thái được dịch vòng theo số bước khác nhau.

MixColumns — quá trình trộn làm việc theo các cột trong khối theo một phép biến đổi tuyến tính.AddRoundKeyVòng lặp cuốiSubBytesShiftRowsAddRoundKey

Mã hóa keySau mỗi vòng lặp, đến bước AddRoundKey, kết quả sẽ được (+) 1 khóa round key. Vậy Round key được tính như thế nào. Phần này chúng ta sẽ tìm hiểu về cách mã hóa Round keyTa có key ban đầu:

2b 28 Ab 097e Ae F7 Cf

11

15 D2 15 4f16 A6 88 3c

Để thực hiện việc tính Round key(1). Đầu tiên ta sẽ lấy cột cuối cùng của key ban đầu. Đảo bit đầu tiên xuống dưới

09Cf4f3c

ThànhCf4f3c09

Sau đó ta đi so sánh với bảng S-box

Cụ thể ta có: Cf=8a4f=843c=eb09=01

8a84Eb01

Tiếp theo ta lấy cột từng cột của Key cũ(+)kết quả trên (+) Rcon

Với Rcon=0100

12

0000

2b

(+)

8a

(+)

01

=

A07e 84 00 Fa15 Eb 00 Fe16 01 00 17

Sau khi tính ta có cột thứ 1 của Round key(1)A0FaFe17

Tiếp tục ta sẽ lấy cột thứ 2 của key (+) cột thứ nhất của RoundKey(1) nhưng không cộng với Rcon, ta có côt thứ 2 của RoundKey(1)

A0 88Fa 54Fe 2c17 bl

Tiếp tục, ta lại lấy cột thứ 3 của key (+) cột thứ 2 của RoundKey (1) ta được cột thứ 3 của Roundkey(1)

A0 88 23Fa 54 A3Fe 2c 3917 bl 39

Tiếp tục, ta lại lấy cột thứ 4của key (+) cột thứ 3 của RoundKey (1) ta được cột thứ 4 của Roundkey(1)

A0 88 23 2aFa 54 A3 6cFe 2c 39 7617 bl 39 05Roundkey(1)

Cuối cùng ta RoundKey(1). Tương tự ta sẽ tính các RoundKey tiếp. Trong bài này ta sử dụng khóa 128b nên sẽ có 10 lần lặp. vì thế ta sẽ có 10 Roundkey

F2C295F2

7a96B943

5935807a

7359F67f

Roundkey(2)3d 80 477d

4716Fe3e

1e237e44

6d7a883b

Roundkey(3)

13

Ef44A541

A8525b7f

B671253b

Db0bAd00

Roundkey(4)

D4D1C6F8

8c839d87

CaF2B8Bc

11F915bc

Roundkey(5)6d88A37a

110b3eFd

DbF98641

Ca0093fd

Roundkey(6)4e54F70e

5f5fC9F3

84A64fB2

4eA6Dc4f

Roundkey(7)EaD27321

B58dBaD2

312bF560

7f8d292f

Roundkey(8)

Ac7766F3

19Fadc21

28D12941

575c006e

Roundkey(9)

D014F9A8

C9Ee2589

E13f0cC8

B6630cA6

Roundkey(10)

Khởi động vòng lặp

14

Vd: cho Plantext và Key sau khi chuyển đổi sang ASCIIChuyển đổi từ bản rõ (hệ ASCII sang hệ Hex)(Plan text)

32 88 31 E043 5a 31 37F6 30 98 07A8 8d A2 34

Chuyển đổi key(hệ ASCII sang hệ Hex)(key)

Bước 1: Add Round KeyTa thực hiện lấy Plan text (+) Key Vd: 32 (+) 2bBiến đổi 32 về hệ hex= 0011 0010Biến đổi 2b về hệ hex= 0010 1011

0011 0010 (+)

0010 1011 ______________ (=) 0001 1001

Cách tính: ta lấy từng số cộng với nhau. Nếu 2 số bằng nhau (đều là số 0 hay số 1) thì kết quả sẽ là 0, còn 2 số khác nhau kết quả là số 1Từ kết quả 0001 1001 ta biến đổi về hệ 16 thì kết quả là 19

Từ đó ta có bảng19 A0 9a E93d F4 C6 F8E3 E2 8d 48Be 2b 2a 08

Tiếp theo, bắt đầu vào vòng lặpVòng lặpB1: SubBytesTừ bảng trên ta đem so sánh với bảng S-Box

2b 28 Ab 097e Ae F7 Cf15 D2 15 4f16 A6 88 3c

15

Với giá trị 19, ta tìm đến hàng 1 (1x) cột 9 (x9) ta được giá trị “d4”Với giá trị 3d, ta tìm đến hang 3 (3x) cột d (xd) ta được giá trị “27”

Tương tự với các giá trị còn lại ta có bảngD4 E0 B8 1e27 Bf B4 4111 98 5d 52ae F1 E5 30

B2.ShiftrowsTừ bảng thu được sau khi thực hiện SubBytes, ta thực hiện bước 2.

Bước 2 sẽ thực hiện chuyển các bit tại các hàng về sau theo thứ tự:Hàng thứ 1 không chuyểnHàng thứ 2 chuyển bit đầu tiên về vị trí bit cuối cùng, các bit còn lại sẽ đẩy lên trên.

27 bf B4 41

bf B4 41 27Hàng thứ 3 chuyển bit đầu tiên về vị trí của bit cuối cùng,các bit còn lại sẽ được đẩy lên. Sau đó lại thực hiện việc chuyển 1 lần nữa

11 98 5d 52

98 5d 52 11

5d 52 11 98Tương tự như vậy,hàng thứ 4 sẽ thực hiện chuyển vị trí bit đầu tiên

xuống bit cuối cùng và lặp lại 2 lầnae F1 E5 30

F1 E5 30 ae

E5 30 ae F1

16

30 ae F1 E5Sau khi thực hiện chuyển bit, ta có kết quả

D4 E0 B8 1ebf B4 41 275d 52 11 9830 ae F1 E5

B3.Mix ColumnSau khi thực hiện việc chuyển bit, ta có bảng kết quả

D4 E0 B8 1ebf B4 41 275d 52 11 9830 ae F1 E5

Trong bước Mix Column, ta sẽ thực hiện việc nhân các cột của bảng kết quả với ma trận mặc định (như hình vẽ).

Cụ thể như sau:Cột thứ 1:

D4Bf5d30

Ta sẽ lấy cột nhân với hàng theo quy tắc(D4.02) xor (bf.03) xor (5d.01)xor(30.01)=X1

Tính (D4.02) Biến đổi D4 về hệ Hex:D4=11010100

Với số nhân là “02”, ta có cách thực hiện như sau

17

Ta sẽ thêm số “0” vào cuối cùng của dãy sau khi chuyển về hệ Hex, vì thế dãy số của chúng ta sẽ biến đổi. Cụ thể trong trường hợp này, số “1” đầu tiên của dãy sẽ bị loại bỏD4=10101000

Sau đó, chúng ta sẽ lấy kết quả sau khi thêm bit nhân với dãy bit (00011011)

10101000Xor

00011011

= 10110011

Sau đó chúng ta tiếp tục tính (bf.03)Trong trường hợp số nhân là “03”, ta có:03=02+01

Từ đó (bf.03)=(bf.02) xor (bf.01)

Với (bf.02) ta thực hiện tương tự như tính (D4.02)Bf=10111111Dịch bit: bf=01111110

01111110Xor

00011011

= 01100101

Với (bf.01)=bf=10111111Từ đó ta có (bf.03)=(bf.02)xor(bf.01) 01100101Xor

10111111

= 11011010

Tương tự ta có (5d.01)=01011101(30.01)=00110000

Từ đó:X1= (D4.02) xor (bf.03) xor (5d.01)xor(30.01) 1011 0011Xor

1101 1010Xor 0101 1101Xor 0011 0000

18

X1= 0000 0100=04

Tiếp tục với đến hết ta có :D4Bf5d30

=

046681E5

Sau khi thực hiện xong bước MixColumn, ta có kết quả

D4 E0 B8 1ebf B4 41 275d 52 11 9830 ae F1 E5

04 E0 48 28

=66 Cb F8 0681 19 D3 26E5 9a 7a 4c

B4. AddRound KeyTừ kết quả của bảng MixColumn, ta (+) RoundKey tương ứng(Trong vòng lặp thứ nhất sẽ +() RoundKey(1) và tương tự với các vòng lặp còn lại)

04 E0 48 2866 Cb F8 0681 19 D3 26E5 9a 7a 4c

A0 88 23 2a

Fa 54 A3 6c

A4 68 6b 02

=9c 9f 5b 6a7f 35 Ea 50F2 2b 43 49

19

Fe 2c 39 76

17 bl 39 05

Roundkey(1)

Sau khi kết thúc AddRoundKey, vòng lặp thứ 2 bắt đầuInput sẽ là kết quả của vòng Addroundkey trước:Vòng Lặp CuốiNhư đã trình bày, với khóa k=128b, mã hóa AES sẽ thực hiện 9 vòng lặp bao gồm 4 bước.Đến vòng lặp thứ 10(vòng cuối), AES sẽ chỉ thực hiện 3 bướcSubBytesShiftRowsAddRoundKeyTrong vòng lặp cuối sẽ bỏ đi bước MixColumn

Kết thúc vòng 10,ta sẽ thu được kết quả:39 02 dc 1925 dc 11 6a

20

84 09 85 0b1d Fd 97 32

Giải mã

Thuật toán giải mã được trình bày như sơ đồ ban đầu ta đã thấy thứ tự các hàm biến đổi được áp dụng khác so với thuật toán mã hóa trong khi dạng của danh sách khóa 2 thuật toán vẫn giữ nguyên. Tuy vậy, một sô đặc điểm của AES cho phép chúng ta có một thuật toán giải mã tương đương có thứ tự áp dụng các hàm biến đổi giống với thuật toán mã hóa ( tất nhiên là biến đổi bằng cách làm ngược cảu chúng). Điều này làm được bằng cách thay đổi sách khóa.

1. Add Round Key:

Ví dụ:

Bản khóa:39 02 dc 1925 dc 11 6a84 09 85 0b1d Fd 97 32

Round key 10:D0 C9 E1 B614 Ee 3f 63F9 25 0c 0cA8 89 C8 A6

Kết quả: E9 Cb 3d Af31 32 2e 097d 2c 89 07B5 72 5f 94

2. InvShiftRows ()

Đây là quá trình ngược lại so với quá trình ShiftRows()

Ví dụ:

Ban đầu:

21

E9 Cb 3d Af31 32 2e 097d 2c 89 07B5 72 5f 94

Trạng thái 1(xoay 1 byte)E9 Cb 3d Af31 32 2e 097d 2c 89 07 72 5f 95 B5

Trạng thái 2(xoay 2 byte):E9 Cb 3d Af31 32 2e 0989 07 7d 2c72 5f 95 B5

Kết quả(xoay 3 byte):

E9 Cb 3d Af09 31 32 2e89 07 7d 2c72 5f 95 B5

3. InvSubBytes ()

Quá trình Process InvSubBytes tương tự với SubBytes, nhưng các bảng được sử dụng khác nhau. Bảng được sử dụng là các bảng S-Box nghịch đảo:

22

Ví dụ:

Ban đầu:E9 Cb 3d Af09 31 32 2e89 07 7d 2c72 5f 95 B5

Kết quả sau khi so bảng:Eb 59 8b 1b40 2e A1 C3F2 38 13 421e 84 E7 D2

4. InvAddRows ()

Ban đầuEb 59 8b 1b40 2e A1 C3F2 38 13 421e 84 E7 D2

Kết quả:47 40 A3 4c37 D4 70 9f94 E4 3a 42

23

Ed A5 A6 bc

4. InverseMixCollums ()

Hàm này là hàm ngược của hàm MixColum. Hàm này làm việc trên các cột của mảng trạng thái, coi mỗi cột như là một mô tô đa thức 4 hạng tử. Các cột được xem là các đa thức trên GF(28) và được nhân theo modulo x4+1 với 1 đa thức cố định là a-1(x):a-1(x)= {0b}x-3 + {0d}x-3+{09}x + {0e}

Và có thể mô ta bằng phép nhân ma trận như sau:S’(x)= a-1(x) xor s(x)

Trong đó 0<c<Nb.Kết quả là 4 byte trong mỗi cột được thay thế bằng công thức sau:

Ví dụ:

Ban đầu:47 40 A3 4c37 D4 70 9f94 E4 3a 42Ed A5 A6 bc

Tiến hành:

24

dòng

Cột

Tất cả các cột được thực hiện cùng 1 cách như trên và kết quả thu được như sau:

87 F2 4d 976e 4c 90 Ec46 E7 4a C3A6 8c D8 95

Làm tương tự với các vòng lặp theo sơ đồ mã hóa và giải mã, kết quả cuối cùng sau vòng lặp thứ 10 là bản rõ như sau:

32 88 31 E043 5a 31 37F6 30 98 07A8 8d A2 34

25