i MỤC LỤC MỤC LỤC i LỜI CAM KẾT iv LỜI CẢM ƠN v DANH MỤC CÁC TỪ VIẾT TẮT vi DANH MỤC HÌNH VẼ VÀ BẢNG BIỂU vii MỞ ĐẦU CHƢƠNG 1: TỔNG QUAN VỀ THƢƠNG MẠI ĐIỆN TỬ 1.1 Khái niệm thương mại điện tử 1.1.1 Thương mại truyền thống 1.1.2 Thương mại điện tử 1.1.3 Nhu cầu công nghệ thông tin thương mại điện tử 1.2 Các đặc trưng thương mại điện tử 10 1.3 Lợi ích thương mại điện tử 11 1.3.1.Thu thập nhiều thông tin 11 1.3.2 Giảm chi phí sản xuất 12 1.3.3 Giảm chi phí bán hàng tiếp thị giao dịch 12 1.3.4 Xây dựng quan hệ đối tác 12 1.3.5 Tạo điều kiện sớm tiếp cận kinh tế tri thức 13 1.4 Giao dịch thương mại điện tử nguy an toàn thông tin 14 1.5 Kết luận 15 CHƢƠNG 2: AN TOÀN THÔNG TIN VÀ CHỮ KÝ SỐ TRONG GIAO DỊCH THƢƠNG MẠI ĐIỆN TỬ 17 2.1 Tổng quan an toàn bảo mật thông tin 17 ii 2.1.1 An toàn bảo mật thông tin 17 2.1.2 Mục tiêu an toàn bảo mật thông tin 19 2.1.3 An toàn thông tin mật mã 19 2.1.4 Nhu cầu an toàn bảo mật thông tin thương mại điện tử 26 2.2 Chữ ký số 28 2.2.1 Chữ ký số chữ ký viết tay 28 2.2.2 Khái niệm chữ ký số 30 2.2.3 Đặc điểm chữ ký số 31 2.2.4 Vai trò chữ ký số 32 2.2.5 Lược đồ chữ ký số 33 2.2.6 Phân loại chữ ký số 35 2.3 Một số sơ đồ chữ ký số 36 2.3.1 Sơ đồ chữ ký số RSA 36 2.3.2 Sơ đồ chữ ký Elgama 40 2.3.3 Sơ đồ chữ ký DSA 45 2.4 Hàm băm 49 2.4.1 Sơ lược hàm băm 49 2.4.2 Lý sử dụng hàm băm chữ ký số 50 2.4.3 Hàm băm SHA-1 51 2.5 Hạ tầng khóa công khai PKI 53 2.5.1 Khái niệm 53 2.5.2 Cấu trúc vai trò PKI chương trình 54 2.5.3 Chứng số 55 2.6 Kết luận 58 CHƢƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM CHỮ KÝ SỐ TRONG GIAO DỊCH THƢƠNG MẠI ĐIỆN TỬ .59 3.1 Đặt vấn đề 59 iii 3.2 Ứng dụng chữ ký số nhằm đảm bảo thông tin trình giao dịch bên 59 3.2.1 Những khía cạnh cần thiết an toàn thông tin 59 3.2.2 Mô tả giao dịch thử nghiệm 60 3.3 Cài đặt thử nghiệm 61 3.3.1 Yêu cầu phần cứng phần mềm 61 3.3.2 Mô tả mô đun giao diện chương trình Demo 61 3.4 Kết luận 65 KẾT LUẬN 66 Kết luận văn 66 Hướng nghiên cứu 66 TÀI LIỆU THAM KHẢO 67 iv LỜI CAM KẾT Tài liệu sử dụng luận văn thu thập từ nguồn kiến thức hợp pháp, có trích dẫn nguồn tài liệu tham khảo Chương trình sử dụng mã nguồn mở, có xuất xứ Dưới giúp đỡ nhiệt tình bảo chi tiết giáo viên hướng dẫn, hoàn thành luận văn Tôi xin cam kết luận văn thân làm nghiên cứu, không trùng hay chép v LỜI CẢM ƠN Để hoàn thành chương trình cao học viết luận văn này, em nhận giúp đỡ đóng góp nhiệt tình thầy cô trường Đại học Công nghệ thông tin Truyền thông, Đại học Thái Nguyên Trước hết, em xin chân thành cảm ơn thầy cô khoa Đào tạo sau đại học, tận tình giảng dạy, trang bị cho em kiến thức quý báu suốt năm học qua Đặc biệt em xin gửi lời cảm ơn sâu sắc đến PGS.TS Đỗ Trung Tuấn - người dành nhiều thời gian, công sức tận tình hướng dẫn cho em suốt trình làm luận văn Xin chân thành cảm ơn gia đình, bạn bè nhiệt tình ủng hộ, giúp đỡ, động viên vật chất lẫn tinh thần thời gian học tập nghiên cứu Trong trình thực luận văn, cố gắng không tránh khỏi thiếu sót Kính mong nhận cảm thông tận tình bảo thầy cô bạn vi DANH MỤC CÁC TỪ VIẾT TẮT ANSI American National Standards Institute B2B Business to business B2C Business to customers Client Khách, Máy khách Client/ server Khách / chủ CNTT Công nghệ Thông tin CSDL Cơ sở liệu DB Database DC Data Communication IDE Integrated Development Environment ISO International Organization for Standardization LHQ Liên hiệp quốc Server Máy chủ, phía máy chủ SQL Structured Query Language TMĐT Thương mại điện tử XML eXtensible Markup Language DSS Digital Signature Standard CA Xác thực, certificate authoring RSA PKI Tên thuật toán khóa công khai, theo tên ba người sáng lập Ron Rivest, Adi Shamir Leonard Adleman Public Key Infrastructure Digital Signature Scheme Lược đồ ký số DSA Digital Signature Algorithm SHA Security Hash Algorithm, thuật toán băm an toàn SHA vii DANH MỤC HÌNH VẼ VÀ BẢNG BIỂU Bảng 1.1: So sánh bước chu trình mua bán TM truyền thống TMĐT Hình 1.1 Mô hình giao dịch B2B Hình 1.2 Mô hình giao dịch B2C Hình 2.1 Sơ đồ mã hóa giải mã 22 Hình 2.2 Sơ đồ hoạt động mã hóa đối xứng 23 Hình 2.3 Sơ đồ hoạt động mã hóa bất đối xứng 25 Bảng 2.1 So sánh chữ ký viết tay chữ ký số 30 Hình 2.4 Quy trình tạo chữ ký số 34 Hình 2.5 Quy trình xác thực chữ ký số 35 Hình 2.6 Quá trình sinh chữ ký số 38 Hình 2.7 Quá trình xác nhận chữ ký số 39 Hình 2.8 Sơ đồ ElGalma 41 Hình 2.9 Sơ đồ chữ ký DSA 46 Hình 2.10 Thí dụ hàm băm 49 Hình 2.11 Chức thành phần hệ thống PKI 54 Hình 3.1 Vai trò xác thực người dùng 60 Hình 3.2 Mô đun tạo cặp khóa RSA cho người dùng 62 Hình 3.3 Mô đun tạo chữ ký số 63 Hình 3.4 Mô đun kiểm tra chữ ký số 64 MỞ ĐẦU Với phát triển nhanh chóng Internet, với phát triển kinh tế theo hướng đại việc trao đổi thông tin, giao dịch hay mua bán hàng hóa…theo phương thức trực tiếp ngày giảm mà thay vào dịch vụ qua Internet Dịch vụ thương mại điện tử (TMĐT) (Electronic-Commerce) bước phát triển nhảy vọt việc ứng dụng Internet vào sống kinh doanh Thông qua TMĐT, nhiều loại hình kinh doanh hình thành, có việc mua bán hàng hóa dịch vụ mạng Với hình thức tiết kiệm thời gian cho người tiêu dùng việc tiếp cận, lựa chọn hàng hóa theo nhu cầu, sở thích việc toán Đồng thời tăng tính cạnh tranh, mở rộng thị trường, giảm chi phí bán hàng tiếp thị cho doanh nghiệp kinh doanh Thương mại điện tử [14], hay gọi e-commerce, e-comm hay EC, mua bán sản phẩm hay dịch vụ hệ thống điện tử Internet mạng máy tính Thương mại điện tử dựa số công nghệ chuyển tiền điện tử, quản lý chuỗi dây chuyền cung ứng, tiếp thị Internet, trình giao dịch trực tuyến, trao đổi liệu điện tử (EDI), hệ thống quản lý hàng tồn kho, hệ thống tự động thu thập liệu Thương mại điện tử đại thường thực công nghệ World Wide Web, kèm theo thiết bị công nghệ như: Email, điện thoại di động… Thương mại điện tử phần thiếu môi trường kinh doanh điện tử (e-business), đảm bảo cho vấn đề trao đổi liệu, toán dịch vụ mạng Internet E-commerce phân chia thành [14]: E-tailing (bán lẻ trực tuyến) "cửa hàng ảo" trang web với danh mục trực tuyến, gom thành "trung tâm mua sắm ảo" Trao đổi liệu điện tử (EDI), trao đổi liệu Doanh nghiệp với Doanh nghiệp Email fax, cách sử dụng chúng phương tiện cho việc tiếp cận thiếp lập mối quan hệ với khách hàng (ví dụ tin - newsletters) Việc mua bán Doanh nghiệp với Doanh nghiệp Bảo mật giao dịch kinh doanh Tóm lại, thương mại điện tử xảy môi trường kinh doanh mạng Internet phương tiện điện tử nhóm (cá nhân) với thông qua công cụ, kỹ thuật công nghệ điện tử Nhưng đồng nghĩa với việc bên mua bên bán không gặp trực tiếp mà trao đổi thông tin, giao dịch qua Internet phương tiện điện tử nên dễ xảy tình trạng lừa đảo, giả mạo thông tin, gây mát thông tin tài sản Vì vậy, điều quan trọng thương mại điện tử tính ràng buộc pháp lý nhằm bảo đảm thông tin bên hoạt động kinh doanh, mua bán hàng hóa, dịch vụ Chữ ký số thành tố quan trọng TMĐT, nhằm đảm bảo độ an toàn thông tin, tính toàn vẹn liệu chống chối bỏ trách nhiệm nội dung ký đối tác thực hoạt động kinh doanh, nghiệp vụ, dịch vụ,… với ràng buộc pháp lý Thấy lợi ích sử dụng chữ ký số tài liệu giao dịch đối tác thương mại điện tử đồng ý giáo viên hướng dẫn, chọn đề tài “Chữ ký số giao dịch thương mại điện tử” làm nội dung nghiên cứu cho luận văn Luận văn gồm chương: Chương 1: Tổng quan thương mại điện tử Chương 2: An toàn thông tin chữ ký số giao dịch thương mại điện tử Chương 3: Cài đặt thử nghiệm chữ ký số giao dịch TMĐT Cuối luận văn phần kết luận danh sách tài liệu tham khảo CHƢƠNG TỔNG QUAN VỀ THƢƠNG MẠI ĐIỆN TỬ 1.1 Khái niệm thương mại điện tử 1.1.1 Thương mại truyền thống Thương mại truyền thống (TMTT) trao đổi hàng hóa/dịch vụ hai phía tham gia Bao gồm tất hoạt động bên tham gia để hoàn thành giao dịch mua bán Hệ thống trao đổi hàng hóa/dịch vụ dựa nguyên tắc tiền tệ Là kênh phân phối hàng hóa từ nhà sản xuất đến người tiêu dùng thông qua trung gian nhà phân phối, đại lý điểm bán lẻ cửa hàng tạp hóa, bách hóa, Các hoạt động giao dịch mua bán hoạt động mà hai bên mua bán cam kết thực nhằm thực giao dịch mua bán (chuyển tiền - đơn đặt hàng - gửi hóa đơn - chuyển hàng đến người mua) Tuy nhiên mô hình có nhược điểm công ty hoàn toàn thụ động việc kiểm soát đích đến hàng hóa chương trình khuyến tính liên tục cung ứng thống giá đến tay người tiêu dùng 1.1.2 Thương mại điện tử 1.1.2.1 Khái niệm thương mại điện tử Thương mại điện tử biết đến với nhiều tên gọi khác "thương mại điện tử" (Electronic commerce), "thương mại trực tuyến" (Online trade), "thương mại không giấy tờ" (Paperless commerce) "kinh doanh điện tử" (E-business) Tuy nhiên, "thương mại điện tử" tên gọi phổ biến dùng thống văn hay công trình nghiên cứu tổ chức hay nhà nghiên cứu Thương mại điện tử bắt đầu việc mua bán hàng hóa dịch vụ thông qua phương tiện điện tử mạng viễn thông, doanh nghiệp tiến tới ứng dụng công nghệ thông tin vào hoạt động mình, từ bán hàng, marketing, toán đến mua sắm, đào tạo, phối hợp hoạt động với nhà cung cấp, đối tác, khách hàng, 54  Đáp ứng đăng ký thẻ người sử dụng  Xác thực người sử dụng phân phối thẻ chứng thực đến họ  Thu hồi thẻ chứng thực hết hạn  Tạo private key public key cho PKI client [19] 2.5.2 Cấu trúc vai trò PKI chương trình Hệ thống PKI bao gồm thành phần sau [19]:  PKI Client  Certification Authority (CA) – Cơ quan ban hành chứng thực  Registration Authority (RA) – Nhà quản lý đăng ký Hình 2.11 Chức thành phần hệ thống PKI 2.5.2.1 Cơ quan ban hành chứng thực CA Cơ quan chứng thực CA: quan tin cậy để xác thực nhận dạng thực thể liên quan giao dịch điện tử Nhiệm vụ CA tiếp nhận yêu cầu người dùng từ RA, tạo lưu trữ cặp khóa bí mật/công khai, tạo chứng số cấp cho người dùng [9] 55 2.5.2.2 Nhà quản lý đăng ký RA Là quan trung gian người đăng ký CA, làm nhiệm vụ tiếp nhận xác minh thủ tục đăng ký chứng số người sử dụng Ngoài RA hỗ trợ CA trình quản lý chứng số người dùng 2.5.2.3 PKI client PKI client thực thể yêu cầu cấp chứng số gửi tới cho RA Các thực thể người dùng cá nhân cần sử dụng chứng số cho giao dịch điện tử như: giao dịch thương mại điện tử, chuyển khoản,…hoặc cá nhân, tổ chức, doanh nghiệp cần sử dụng chứng số cho hoạt động tổ chức: kê khai thuế qua mạng… 2.5.2.4 Các thành phần khác Ngoài ba thành phần trên, để hệ thống PKI hoạt động hiệu có nhiều thành phần hỗ trợ khác như: văn quy định hướng dẫn đăng ký chứng số CA công bố, văn chi tiết quyền lợi người dùng sử dụng chứng số cấp CA, hệ thống hỗ trợ người dùng sử dụng kiểm tra trạng thái chứng số CA ban hành Một khó khăn hệ thống khóa bất đối xứng đảm bảo khóa công khai mà người nhận dùng để chứng thực xác khóa công khai nhận từ đối tác Đó lý đời PKI, PKI đóng vai trò bên trung gian để kiểm tra cung cấp thông tin người sở hữu khóa cho người cần chứng thực cần thiết Trong luận văn tác giả xây dựng tìm hiểu PKI mức sơ khai với chức bản: tạo khóa, cấp phát, chứng thực, kiểm tra người dùng client 2.5.3 Chứng số 2.5.3.1 Giới thiệu chứng số Chứng số tệp tin điện tử dùng để xác minh danh tính cá nhân, máy chủ, công ty,… Internet Nó giống lái xe, hộ chiếu, 56 chứng minh thư hay giấy tờ xác minh cá nhân Để có chứng minh thư, bạn phải quan Công An sở cấp Chứng số vậy, phải tổ chức đứng chứng nhận thông tin đăng ký xác, gọi Nhà cung cấp chứng thực số (CA - Certificate Authority) CA phải đảm bảo độ tin cậy, chịu trách nhiệm độ xác chứng số mà cấp Trong chứng số có ba thành phần chính:  Dữ liệu cá nhân người cấp;  Khóa công khai người cấp;  Chữ ký số CA cấp chứng [11] Trong đó: Dữ liệu cá nhân: bao gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức, v.v Các thông tin giống thông tin chứng minh thư người Khoá công khai: giá trị nhà cung cấp chứng thực đưa khóa mã hoá, kết hợp với khoá cá nhân tạo từ khoá công khai để tạo thành cặp mã khoá bất đối xứng Chữ ký số CA cấp chứng chỉ: gọi chứng gốc Đây xác nhận CA, bảo đảm tính xác hợp lệ chứng Muốn kiểm tra chứng số, trước tiên phải kiểm tra chữ ký số CA có hợp lệ hay không Trên chứng minh thư, dấu xác nhận Công An Tỉnh Thành phố mà bạn trực thuộc Về nguyên tắc, kiểm tra chứng minh thư, phải xem dấu này, để biết chứng minh thư có bị làm giả hay không [11] 2.5.3.2 Lợi ích chứng số Một số lợi ích chứng số đáp ứng khả an toàn cho người dùng tham gia giao dịch điện tử [11]: 57  Tính bảo mật: người gửi mã hoá thông tin khoá công khai người nhận, chắn có người nhận có khóa bí mật giải mã thông tin để đọc Trong trình truyền qua Internet, dù có đọc gói tin mã hoá này, kẻ xấu biết gói tin có thông tin Đây tính quan trọng, giúp người sử dụng hoàn toàn tin cậy khả bảo mật thông tin  Tính toàn vẹn: người gửi gửi thông tin, liệu email, có sử dụng chứng số, người nhận kiểm tra thông tin người gửi có bị thay đổi hay không Bất kỳ sửa đổi hay thay nội dung thông điệp gốc bị phát  Tính xác thực: người gửi gửi thông tin kèm chứng số, người nhận xác định rõ danh tính người gửi Xác thực tính quan trọng việc thực giao dịch điện tử qua mạng, thủ tục hành với quan pháp quyền Các hoạt động cần phải xác minh rõ người gửi thông tin để sử dụng tư cách pháp nhân Đây tảng Chính phủ điện tử, môi trường cho phép công dân giao tiếp, thực công việc hành với quan nhà nước hoàn toàn qua mạng Có thể nói, chứng số phần thiếu, phần cốt lõi Chính phủ điện tử  Tính chống chối cãi nguồn gốc: sử dụng chứng số, bạn phải chịu trách nhiệm hoàn toàn thông tin mà chứng số kèm Trong trường hợp người gửi chối cãi, phủ nhận thông tin gửi (chẳng hạn đơn đặt hàng qua mạng) Trong trường hợp đó, CA cung cấp chứng số cho hai bên chịu trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông tin gửi 58 2.6 Kết luận Chương trình bày khái niệm sử dụng hệ thống dùng chữ ký số nói chung, áp dụng cho trình mua bán thương mại điện tử Các hệ thống chữ ký công khai RSA, ElGalma… bao gồm sơ đồ chữ ký số, thuật toán hạ tầng khóa công khai trình bày sở hệ thống chữ kí số Chương sau ứng dụng kiến thức lí thuyết an toàn liệu nói chung, mật mã nói riêng, hệ thống mua bán điện tử 59 CHƢƠNG CÀI ĐẶT VÀ THỬ NGHIỆM CHỮ KÝ SỐ TRONG GIAO DỊCH THƢƠNG MẠI ĐIỆN TỬ 3.1 Đặt vấn đề Quá trình giao dịch thương mại điện tử phức tạp, diễn bên tham gia Thương mại điện tử dựa số công nghệ chuyển tiền điện tử, quản lý chuỗi dây chuyền cung ứng, tiếp thị Internet, trình giao dịch trực tuyến, trao đổi liệu điện tử (EDI), hệ thống quản lý hàng tồn kho, hệ thống tự động thu thập liệu Thương mại điện tử đại thường sử dụng mạng World Wide Web điểm phải có chu trình giao dịch, bao gồm phạm vi lớn mặt công nghệ email, thiết bị di động điện thoại Luận văn giới hạn tìm hiểu thử nghiệm xác thực chữ ký số, mối liên hệ bên mua bán hàng, trang web trực tuyến thương mại điện tử… 3.2 Ứng dụng chữ ký số nhằm đảm bảo thông tin trình giao dịch bên 3.2.1 Những khía cạnh cần thiết an toàn thông tin Các yêu cầu giao dịch thương mại điện tử gồm:  Đảm bảo tính bí mật: tính bí mật nội dung thông điệp truyền thực mã hóa trước gửi  Đảm bảo tính toàn vẹn nguồn gốc người gửi thông điệp: thực nhờ chữ ký số dựa mã hóa khóa công khai 60 Hình 3.1 Vai trò xác thực ngƣời dùng 3.2.2 Mô tả giao dịch thử nghiệm Trong trình giao dịch thương mại điện tử, việc truyền thông điệp đảm bảo an toàn qua việc mô tả trình ký kiểm tra chữ ký sau: Bƣớc 1: Tạo cặp khóa công khai khóa bí mật Để cho phép mã hóa tệp tin người gửi người nhận, hai bên phải tạo cặp khóa công khai khóa bí mật cho riêng Để đảm bảo tính xác thực khóa công khai bên, chứng số khóa công khai sử dụng Bƣớc 2: Trao đổi kiểm tra khóa công khai với nhau, đồng thời tiến hành xác minh xem khóa chung có phải người gửi hay không Bƣớc 3: Ký vào thông điệp gửi Người gửi sử dụng khóa bí mật để mã hóa (ký) vào thông điệp (file liệu), sau lưu File gửi cho người nhận Bƣớc 4: Giải mã kiểm tra chữ ký Khi nhận thông điệp, người nhận sử dụng khóa công khai người gửi để giải mã hàm băm kiểm tra chữ ký 61 3.3 Cài đặt thử nghiệm 3.3.1 Yêu cầu phần cứng phần mềm Chương trình thử nghiệm ứng dụng viết java Các yêu cầu phần cứng phần mềm sau: Yêu cầu phần cứng Máy tính xách tay máy tính để bàn, tốc độ từ 1.5GHz, nhớ RAM 1GB Yêu cầu phần mềm  Hệ điều hành Windows XP, Windows Windows  Bộ công cụ lập trình NetBeans IDE 8.0.2  Bộ công cụ phát triển Java JDK từ 7.0 3.3.2 Mô tả mô đun giao diện chương trình Demo Chương trình thử nghiệm sử dụng thuật toán mã hóa khóa công khai RSA Chương trình thiết kế thành mô đun: mô đun tạo khóa, mô đun tạo chữ ký mô đun kiểm tra chữ ký Các thao tác số nguyên lớn sử dụng tạo khóa, mã hóa giải mã thông điệp thực dựa lớp BigInteger thư viện java 3.3.2.1 Mô đun tạo khóa Mô đun có chức sinh cặp khóa RSA cho bên tham gia giao dịch Mô đun sinh cặp khóa theo thuật toán RSA sau:  Sinh ngẫu nhiên hai số nguyên tố lớn p q  Tính n = p.q  Tính (n) = (p-1).(q-1) 62  Chọn e, với 1< e