Nội Dung
Bảo vệ bản quyền, quyền sở hữu trí
tuệ
Kỹ thuật WaterMarking và 1 số công ty
cung cấp giải pháp
Thiết lập bảo vệ trong trình duyệt Web
Chứng thực số
51 trang |
Chia sẻ: phuongt97 | Lượt xem: 370 | Lượt tải: 0
Bạn đang xem trước 20 trang nội dung tài liệu Bài giảng Thương mại điện tử - Bài 6: Thực hiện bảo mật trong thương mại điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
341
6
Bài 6
Thực Hiện Bảo Mật trong
Thương Mại Điện Tử
Thương Mại Điện Tử
342
6
Nội Dung
Bảo vệ bản quyền, quyền sở hữu trí
tuệ
Kỹ thuật WaterMarking và 1 số công ty
cung cấp giải pháp
Thiết lập bảo vệ trong trình duyệt Web
Chứng thực số
343
6
Nội Dung
Bảo mật khi truyền gửi thông tin
Các giải thuật mã hóa, các nghi thức
truyền thông mã hóa
Văn bản với chữ ký điện tử
Proxy, FireWall
344
6
Bảo vệ tài sản TMĐT
Cần phải ghi rõ (văn bản) việc phân
tích cũng như chính sách bảo mật
Các tài sản nào cần được bảo vệ
Cần thực hiện gì để bảo vệ tài sản
Phân tích các mối đe dọa
Các qui định về việc bảo vệ
345
6
Bảo vệ tài sản TMĐT
Cần quan tâm đến những nguy hại xâm
phạm đến tài sản khi kinh doanh TMĐT
Truy cập bất hợp pháp
Sửa chữa, cập nhật thông tin
Phá hoại thông tin
Liên quan đến thông tin bí mật của doanh
nghiệp
Không tiết lộ với bất kỳ ai bên ngoài doanh
nghiệp
346
6
Bảo vệ quyền sở hữu trí tuệ
Vấn đề : giao dịch mua bán trên mạng
Internet nhưng vẫn có khả năng xác
nhận quyền sở hữu khi cần thiết
Các khuyến nghị bảo vệ quyền sở hữu
trong không gian ảo(Cyberspace):
Ngăn chặn các host name bất hợp pháp
Lọc gói tin - Packet filtering
Sử dụng các Proxy servers
347
6
Một số công ty cung cấp các phần
mềm bảo vệ bản quyền
ARIS Technologies
Hệ thống Digital audio watermarking
Nhúng mã vào các tập tin âm thanh thể hiện
bản quyền
Digimarc Corporation
“Watermarking” với tập tin nhiều dạng
thức
Các phần mềm điều khiển, các thiết bị
phát
348
6
WaterMarking
Cho phép nhúng thông tin tác giả (gọi là
watermark) vào các tài liệu số hoá sao cho
chất lượng trực quan của tài liệu không bị
ảnh hưởng
Khi cần có thể dò lại được watermark đã
nhúng nhằm xác nhận bản quyền.
Đây là kỹ thuật ẩn giấu thông tin
(steganography) đặc biệt nhằm đưa các dấu
hiệu vào ảnh số.
Ngoài ra, kỹ thuật watermarking còn đòi hỏi
iệc chống lại các thao tác tấn công nhằm xóa
bỏ thông tin được nhúng.
349
6
WaterMarking
Hai hướng áp dụng chính của kỹ thuật
watermarking là
xác nhận (chứng thực) thông tin
đánh dấu bảo vệ bản quyền
Kỹ thuật này đã được ứng dụng phổ biến tại
nhiều nước trên thế giới. Từ cuối những năm
1990, kỹ thuật này đã được một số công ty
ứng dụng trong thương mại
Sử dụng Liquid Audio áp dụng công nghệ của
Verance Corporation (âm nhạc).
Photoshop: với Digimarc.
Ngày nay, các công ty chuyên kinh doanh các
hệ thống watermarking đã tăng đáng kể.
350
6
Một số công ty cung cấp các phần
mềm bảo vệ bản quyền
SoftLock Services
Cho phép khóa các tập tin
Gửi các tập tin lên mạng
Sử dụng 1 khóa giải mã (sau khi trả tiền)
để có thể sử dụng
351
6
Bảo vệ các máy khách
Các thông tin dạng Active content,
được tải về máy từ các trang web động
là 1 trong các hiểm họa với máy tính
của NSD
Mối đe doạ đến từ
Các trang web
Các hình ảnh, plug-in,.. tải về
Các phần đính kèm trong e-mail
352
6
Bảo vệ các máy khách
Hiểm họa từ Cookies
Các mẩu thông dạng text lưu trên máy khách và
chứa các thông tin nhạy cảm, không mã hóa
Bất kỳ ai cũng có thể đọc và hiểu các thông tin
trong cookies
Không trực tiếp phá hoại nhưng tiềm ẩn các hiểm
họa phá rối hoạt động
Hiểm họa từ các website mạo danh-
Misplaced trust
Các Web site giả mạo nhằm lừa NSD đăng nhập
vào và để lộ các thông tin nhạy cảm
353
6
Kiểm soát các nội dung dạng
Active
Các trình duyệt Netscape
Navigator,Microsoft Internet Explorer
cho phép NSD kiểm soát và quyết định
tải về các thông tin dạng Active
Chứng thực số(Digital certificate) bảo
đảm cho cả clients và servers tính xác
thực, đúng đắn của 2 phía tham gia
354
6
Xác nhận số-Digital Certificates
Còn được gọi là digital ID
Có thể được đính kèm với e-mail
Được nhúng trong 1 trang web
Sử dụng để xác nhận chính xác người
sở hữu digital ID
Được mã hóa để không ai có thể đọc
hay nhân bản
355
6
Trung tâm Chứng thực kỹ
thuật số - CA
Cấp và quản lý chứng thực số cho tất cả các
đối tượng tham gia trong môi trường giao
dịch điện tử, như các giao dịch thương mại
và trao đôi thông tin, gồm những cá nhân,
những tổ chức và các hệ thống thương mại
điện tử.
Chứng thực số cho các cá nhân và tổ chức
thực hiện an toàn các giao dịch trong môi
trường điện tử, như gửi nhận e-mail, mua
bán hàng hoá, trao đổi thông tin, phát triển
phần mềm...
356
6
Trung tâm Chứng thực kỹ
thuật số
Các chức năng chính của Trung tâm
chứng thực số
Đăng ký xin cấp chứng thực số
Xác thực và cấp chứng thực số
Truy lục và tìm kiếm thông tin về chứng
thực số
Yêu cầu thay đổi, gia hạn
Quản lý chứng thực số
357
6
Trung tâm Chứng thực kỹ
thuật số
Công cụ an toàn, bảo mật và xác thực hợp
pháp cho các hệ thống hoạt động thương
mại điện tử: các web site giao dịch B2B, các
web site bán hàng, hệ thống thanh toán trực
tuyến...
Sử dụng chứng thực số giúp cho bảo đảm
an toàn các giao dịch điện tử. Tránh được
các nguy cơ, giả mạo thông tin, lộ các thông
tin nhậy cảm, mạo danh, xuyên tạc và thay
đổi nội dung thông tin.
358
6
VeriSign
Cơ quan CA - Certification Authority nổi
tiếng và thành lập từ rất lâu
Cung cấp nhiều cấp độ xác nhận
Class 1 (Lớp thấp nhất)
Kết hợp thư điện tử với mã khóa công cộng
Class 4 (Lớp cao nhất)
Các tổ chức và server
Kiểm soát NSD và các mối quan hệ với các tổ
chức
359
6
Microsoft Internet Explorer
Cung cấp khả năng bảo vệ máy khách
(ngay trong trình duyệt)
Có khả năng kiểm tra các nội dung
dạng ActiveX, Java applet
Kiểm tra tính xác thực của các nội dung
được tải về
NSD xác nhận lần cuối độ tin cậy vào
nội dung được tải về (quyết định tải về
hay không)
360
6
Netscape Navigator
NSD có thể xác lập chọn lựa để tải về
nội dung Active
Có thể quan sát các chữ ký đính kèm
với Java Applet và JavaScript
Security : hộp thoại Preferences dialog
Xác lập chế độ Cookie:hộp Preferences
361
6
Phối hợp với Cookies
Có thể thiết lập hạn ngạch thời gian
trong vòng 10, 20, hay 30 ngày
Chỉ có thể truy cập đến những site tạo
ra chính nó
Lưu trữ thông tin mà người dùng không
muốn nhập vào thường xuyên khi thăm
1 website (tên tài khỏan, mật khẩu)
362
6
Phối hợp với Cookies
Các trình duyệt trước đây thường tự
động lưu lại các cookie (không cảnh
báo NSD)
Các trình duyệt hiện nay đều cho phép
Lưu trữ tự do các cookie
Xuất hiện cảnh báo khi có tình huống ghi
Không cho phép ghi lại cookie trên máy
363
6
Bảo Vệ Khi Truyền Thông
Bảo vệ thông tin, tài sản trong quá trình
chuyển tải giữa các máy khách và máy
phục vụ
Bao gồm các yêu cầu
Bảo mật kênh truyền
Bảo đảm toàn vẹn dữ liệu
Bảo đảm hợp lệ, phù hợp
Xác nhận - Authentication
364
6
Phương pháp bảo vệ
Mã hóa - Encryption
Chuyển đổi thông tin bằng phương pháp
toán học - dựa trên 1 chương trình
+ khóa bí mật để tạo ra các ký tự khó hiểu
Ẩn giấu thông tin-Steganography
Thông tin vô hình trước NSD
Mã hóa thông tin-Cryptography
Chuyển đổi dữ liệu gốc sang dạng không thể
đọc, không có ý nghĩa,...
365
6
Mã hóa-Encryption
Tối thiểu : sử dụng khóa 40-bit, mã hóa với
khóa có độ dài 128 bit an toàn hơn
Có thể phân thành 3 nhóm
Hash Coding
Xây dựng 1 chuỗi số duy nhất ứng với 1 nội dung cần mã
hóa
Mã hóa bất đối xứng-Asymmetric (Public-key)
Encryption
Mã hóa và giải mã bằng 2 khóa khác nhau
Mã hóa đối xứng -Symmetric (Private-key)
Encryption
Dùng 1 khóa để mã hóa và giải mã
366
6
Secure Sockets
Layer (SSL) Protocol
Thực hiện bảo mật nối kết giữa 2 máy
tính
Máy khách và máy chủ qui ước cấp độ
bảo mật, các qui ước xác nhận và các
cơ chế bảo vệ thông tin liên lạc khác
Nhiều cơ chế, kiểu loại bảo mật cho
việc thông tin liên lạc giữa các máy tính
367
6
Secure Sockets
Layer (SSL) Protocol
Cung cấp mã hóa 40 bit hay 128 bit
Sử dụng Session key để mã hóa dữ
liệu trong phiên làm việc
Độ dài khóa càng lớn thì khả năng bảo
mật càng cao
368
6
Secure HTTP (S-HTTP) Protocol
Mở rộng từ HTTP nhằm cung cấp
nhiều tính năng bảo mật
Xác nhận cả phía máy khách và máy phục
vụ
Cơ chế mã hóa tự động
Thực hiện tốt cơ chế Request/response
Hỗ trợ các phương pháp mã hóa
symmetric , public-key, message
digests
369
6
Bảo đảm hoàn thành các giao dịch
Các gói thông tin được bảo vệ bởi mã
hóa hay chữ ký số không bị đánh cắp
Tốc độ truyền gửi đảm bảo
Nghi thức TCP (Transmission Control
Protocol) chịu trách nhiệm theo dõi và
kiểm soát các gói tin
Nghi thức TCP yêu cầu máy khách gửi
lại gói dữ liệu khi chúng thất lạc
370
6
Bảo vệ máy chủ
Commerce Server
Quyền truy cập và sự xác nhận
Những ai có thể đăng nhập và quyền sử
dụng trên máy phục vụ
Yêu cầu máy khách gửi 1 “xác nhận”
(certificate) để định danh
Server kiểm tra “timestamp” của giấy xác
nhận : thời gian hiệu lực
Có thể sử dụng 1 hệ thống callback nhằm
kiểm tra địa chỉ và tên máy khách với 1
danh sách
371
6
Bảo vệ máy chủ
Commerce Server
Tên tài khoản sử dụng cùng với mật
khẩu và phương pháp thông dụng
Tên tài khoản sử dụng : dạng văn bản,
Mật khẩu : được mã hóa
Mật khẩu khi nhập vào được mã hóa
và so khớp với thông tin cá nhân của
NSD được lưu trữ
372
6
Bảo vệ với chức năng của HĐH
Phần lớn các hệ điều hành sử dụng cơ
chế chứng thực : tài khoản/mật khẩu
Phương án thường sử dụng: firewall
Mọi thông tin vào/ra khỏi mạng đều phải đi
qua tường lửa
Chỉ cho phép các gói thông tin xác định
Firewall phải cấu hình tốt nhằm chống lại
các cuộc xâm nhập
373
6
Tường Lửa-Firewalls
Chức năng chính của Firewall là kiểm soát
luồng thông tin từ giữa Intranet và Internet.
Thiết lập cơ chế điều khiển dòng thông tin
giữa mạng bên trong (Intranet) và mạng
Internet
Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ
Intranet ra Internet).
Cho phép hoặc cấm những dịch vụ phép truy nhập vào
trong (từ Internet vào Intranet).
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
Kiểm soát người sử dụng và việc truy nhập của người sử
dụng.
Kiểm soát nội dung thông tin thông tin lưu chuyển trên
mạng
374
6
Tường Lửa-Firewalls
Firewall chuẩn bao gồm một hay nhiều các
thành phần sau đây:
Bộ lọc packet (packet-filtering router)
Cổng ứng dụng (application-level gateway hay
proxy server)
Cổng mạch (circuit - level gateway)
375
6
Tường Lửa-Firewalls
Các chức năng của phần mềm firewall
Lọc các gói tin(Packet filters)
Kiểm tra tất cả các gói tin đi ngang qua tường
lửa
Hoạt động như 1 Gateway
Lọc gói tin dựa trên yêu cầu các ứng dụng
Proxy servers
Liên lạc với mạng bên ngoài thay cho mạng cục
bộ
Vùng đệm cho các trang web
376
6
Nguyên Lý Bộ Lọc Packet
Bộ lọc packet cho phép hay từ chối mỗi
packet mà nó nhận được.
Kiểm tra toàn bộ đoạn dữ liệu để quyết định
xem đoạn dữ liệu đó có thoả mãn một trong
số các luật lệ của lọc packet hay không.
Các luật lệ lọc packet này là dựa trên các
thông tin ở đầu mỗi packet (packet header),
dùng để cho phép truyền các packet đó ở
trên mạng:
377
6
Nguyên Lý Bộ Lọc Packet(tt)
Địa chỉ IP nơi xuất phát ( IP Source address)
Địa chỉ IP nơi nhận (IP Destination address)
Những thủ tục truyền tin (TCP, UDP, ICMP, IP
tunnel)
Cổng TCP/UDP nơi xuất phát (TCP/UDP source
port)
Cổng TCP/UDP nơi nhận (TCP/UDP destination
port)
Dạng thông báo ICMP ( ICMP message type)
Giao diện packet đến ( incomming interface of
packet)
Giao diện packet đi ( outcomming interface of
packet)
378
6
Nguyên Lý Bộ Lọc Packet(tt)
Nếu luật lệ lọc packet được thoả mãn thì packet
được chuyển qua firewall. Nếu không packet sẽ bị
bỏ đi.
Firewall có thể ngăn cản được các kết nối vào các
máy chủ hoặc mạng nào đó được xác định, hoặc
khoá việc truy cập vào hệ thống mạng nội bộ từ
những địa chỉ không cho phép.
Việc kiểm soát các cổng làm cho Firewall có khả
năng chỉ cho phép một số loại kết nối nhất định vào
các loại máy chủ nào đó, hoặc chỉ có những dịch vụ
nào đó (Telnet, SMTP, FTP...) được phép mới chạy
được trên hệ thống mạng cục bộ
379
6
Ưu/Khuyết điểm
Ưu điểm
Đa số các hệ thống firewall đều sử dụng bộ lọc
packet.
Chi phí thấp vì cơ chế lọc packet đã được bao
gồm trong mỗi phần mềm router.
Bộ lọc packet là trong suốt đối với người sử dụng
và các ứng dụng, vì vậy nó không yêu cầu sự
huấn luyện đặc biệt nào cả.
Hạn chế
Việc định nghĩa các chế độ lọc package là một
việc khá phức tạp
380
6
Ưu/Khuyết điểm
Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc
càng trở nên dài và phức tạp, rất khó để quản lý
và điều khiển.
Bộ lọc packet không kiểm soát được nôi dung
thông tin của packet. Các packet chuyển qua vẫn
có thể mang theo những hành động với ý đồ ăn
cắp thông tin hay phá hoại của kẻ xấu.
381
6
Cổng ứng dụng
(Application-Level Gateway)
Nguyên lý
Là một loại Firewall được thiết kế để tăng cường
chức năng kiểm soát các loại dịch vụ, giao thức
được cho phép truy cập vào hệ thống mạng. Cơ
chế hoạt động dựa trên cách thức gọi là Proxy
service.
Proxy service : các bộ code đặc biệt cài đặt trên gateway
cho từng ứng dụng.
Nếu người quản trị mạng không cài đặt proxy code cho một
ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung
cấp và do đó không thể chuyển thông tin qua firewall.
Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ
chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị
mạng cho là chấp nhận được trong khi từ chối những đặc
điểm khác.
382
6
Cổng ứng dụng
Một cổng ứng dụng thường được coi như là một
pháo đài (bastion host)
Được thiết kế đặt biệt để chống lại sự tấn công từ
bên ngoài.
Những biện pháp đảm bảo an ninh của một
bastion host là:
Luôn chạy các version an toàn (secure version) của các
phần mềm hệ thống (Operating system).
Chỉ những dịch vụ mà người quản trị mạng cho là cần
thiết mới được cài đặt trên bastion host. Thông thường,
chỉ một số giới hạn các ứng dụng cho các dịch vụ
Telnet, DNS, FTP, SMTP và xác thực user là được cài
đặt trên bastion host.
383
6
Cổng ứng dụng
Bastion host có thể yêu cầu nhiều mức độ xác
thực khác nhau
Mỗi proxy được đặt cấu hình để cho phép truy
nhập chỉ một sồ các máy chủ nhất định.
Mỗi proxy duy trì một quyển nhật ký ghi chép
lại toàn bộ chi tiết của giao thông qua nó, mỗi
sự kết nối, khoảng thời gian kết nối.
Mỗi proxy đều độc lập với các proxies khác
trên bastion host. Điều này cho phép dễ dàng
quá trình cài đặt một proxy mới, hay tháo gỡ
môt proxy đang có vấn để.
384
6
Cổng ứng dụng
Ưu điểm
Cho phép người quản trị mạng hoàn toàn điều
khiển được từng dịch vụ trên mạng
Cho phép người quản trị mạng hoàn toàn điều
khiển được những dịch vụ nào cho phép
Cổng ứng dụng cho phép kiểm tra độ xác thực
rất tốt, ghi chép lại thông tin về truy nhập hệ
thống.
Luật lệ lọc filltering cho cổng ứng dụng là dễ
dàng cấu hình và kiểm tra hơn so với bộ lọc
packet.
385
6
Cổng ứng dụng
Hạn chế
Yêu cầu các users thay đổi thao tác, hoặc thay
đổi phần mềm đã cài đặt trên máy client cho
truy nhập vào các dịch vụ proxy
Có một số phần mềm client cho phép ứng
dụng trên cổng ứng dụng là trong suốt, bằng
cách cho phép user chỉ ra máy đích chứ không
phải cổng ứng dụng trên lệnh Telnet.
386
6
Cổng vòng (Circuit-Level
Gateway)
Cổng vòng là một chức năng đặc biệt có thể
thực hiện được bởi một cổng ứng dụng.
Cổng vòng đơn giản chỉ chuyển tiếp (relay)
các kết nối TCP mà không thực hiện bất kỳ
một hành động xử lý hay lọc packet nào.
Cổng vòng đơn giản chuyển tiếp kết nối telnet
qua firewall mà không thực hiện một sự kiểm
tra, lọc hay điều khiển các thủ tục Telnet nào.
Cổng vòng làm việc như một sợi dây,sao chép
các byte giữa kết nối bên trong (inside
connection) và các kết nối bên ngoài (outside
connection).
387
6
Cổng vòng (Circuit-Level
Gateway)
Cổng vòng thường được sử dụng cho những
kết nối ra ngoài
Ưu điểm lớn nhất là một bastion host có thể
được cấu hình như là một hỗn hợp cung cấp
Cổng ứng dụng cho những kết nối đến, và
cổng vòng cho các kết nối đi.
Hệ thống bức tường lửa dễ dàng sử dụng cho
những người trong mạng nội bộ muốn trực
tiếp truy nhập tới các dịch vụ Internet, trong khi
vẫn cung cấp chức năng bức tường lửa để
bảo vệ mạng nội bộ từ những sự tấn công bên
ngoài.
388
6
Những hạn chế của firewall
Không đủ thông minh như con người để có thể
đọc hiểu từng loại thông tin và phân tích nội
dung tốt hay xấu của nó.
Chỉ có thể ngăn chặn sự xâm nhập của những
nguồn thông tin không mong muốn nhưng phải
xác định rõ các thông số địa chỉ.
Không thể ngăn chặn một cuộc tấn công nếu
cuộc tấn công này không "đi qua" nó. Một cách
cụ thể, firewall không thể chống lại một cuộc
tấn công từ một đường dial-up, hoặc sự dò rỉ
thông tin do dữ liệu bị sao chép bất hợp pháp
lên đĩa mềm
389
6
Những hạn chế của firewall
Không thể chống lại các cuộc tấn công bằng
dữ liệu (data-drivent attack). Khi có một số
chương trình được chuyển theo thư điện tử,
vượt qua firewall vào trong mạng được bảo vệ
và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không
thể làm nhiệm vụ rà quét virus trên các dữ liệu
được chuyển qua nó, do tốc độ làm việc, sự
xuất hiện liên tục của các virus mới và do có
rất nhiều cách để mã hóa dữ liệu, thoát khỏi
khả năng kiểm soát của firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu
hiệu được áp dụng rộng rãi.
390
6
Chọn cấu hình cho FireWall
Có nhiều cách thiết lập cấu hình
Dạng Bastion host
Tập trung triển khai các chế độ bảo vệ
Thường ở cấp độ application-level hay
circuit level gateway
Dạng Dual homed gateway
Sử dụng 2 giao tiếp mạng, 1 cho mạng
nội bộ và 1 cho mạng ngoài
Khả năng lọc packet
391
6
Chọn cấu hình cho FireWall (tt)
Dạng Screened host firewall system
Sử dụng 1 bộ điều hướng mạng (network router)
để truyền tải thông tin đi vào mạng nội bộ và ra
mạng bên ngoài qua trung gian 1 gateway
Screened-subnet firewall system
Các file đính kèm theo tài liệu này:
- bai_giang_thuong_mai_dien_tu_bai_6_thuc_hien_bao_mat_trong_t.pdf