Đang tải... (xem toàn văn)
Tài liệu tham khảo công nghệ thông tin Bảo mật trong xây dựng ứng dụng ecommerce
BỘ CÔNG THƯƠNGTRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCMKHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆPNGHIÊN CỨU VẤN ĐỀ BẢO MẬT TRONG XÂY DỰNG ỨNG DỤNGECOMMERCE (ONLINE PAYMENT)Giảng Viên Hướng Dẫn : VÕ THỊ THANH VÂNSinh viên thực hiện : NGUYỄN CẢNH CHÂNLớp : DHTH3LTKhoa : CÔNG NGHỆ THÔNG TINTP. Hồ Chí Minh, tháng 04 năm 2009 LỜI MỞ ĐẦUCùng với sự lớn mạnh của Internet, việc mua bán hàng hóa và dịch vụ thông qua Internet đã xuất hiện, đó chính là “Thương mại điện tử”.Tuy mới xuất hiện và chỉ chiếm một tỷ trọng nhỏ trong thương mại song thương mại điện tử đã mang lại những lợi ích to lớn cho doanh nghiệp, chính phủ, người tiêu dùng và xã hội. Thương mại điện tử đã vượt ra khỏi lĩnh vực thương mại, ngày càng tác động đến các lĩnh vực khác và hứa hẹn mang lại những thay đổi to lớn và sâu sắc mọi mặt đời sống xã hội loài người. Thương mại điện tử ngày càng được sự quan tâm của chính phủ, doanh nghiệp và người tiêu dùng và đang trở thành một công cụ hữu hiệu trong quá trình toàn cầu hoá và trong xây dựng nền kinh tế số. Thât khó mà hình dung ra xã hội tương lai nếu không có thương mại điện tử.Bên cạnh đó, thương mại điện tử cũng đặt ra nhiều vấn đề cần phải giải quyết để khai thác các lợi ích của thương mại điện tử như vấn đề an toàn, an ninh cho các giao dịch trên mạng, các vấn đề về bảo vệ bí mật, tính riêng tư, cơ sở hạ tầng, các vấn đề về nhân lực, chuyển đổi mô hình kinh doanh, các vấn đề về quản lý, thay đổi tập quán, thói quen trong kinh doanh… Trong đó vấn đề an toàn, an ninh cho các giao dịch trên mạng và các vấn đề về bảo vệ tính riêng tư, gọi chung là “các vấn đề bảo mật trong thương mại điện tử” có ý nghía sống còn đối với việc phát triển của thương mại điện tử.Đồ án “Nghiên cứu các vấn đề bảo mật trong xây dựng ứng dụng thương mại điện tử và thanh toán trực tuyến” sẽ giúp tìm hiểu rõ thêm các vấn đề bảo mật và cách để xây dựng một ứng dụng thương mại điện tử an toàn, đảm bảo lợi ích của doanh nghiệp và khách hàng.GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân LỜI CẢM ƠNSau hơn bốn tháng tìm hiểu và thực hiện đồ án tốt nghiệp “Nghiên cứu các vấn đề bảo mật trong xây dựng ứng dụng ecommerce(online payment)” , đến nay đồ án đã cơ bản được hoàn thành. Ngoài sự cố gắng của bản thân, em đã nhận được sự giúp đỡ, động viên khuyến khích từ gia đình, thầy cô và bạn bè.Em xin chân thành cảm ơn đến thầy cô khoa công nghệ thông tin trường Đại học công nghiệp TP.HCM đã tận tình giảng dạy, truyền đạt những kiến thức quý báu cho chúng em trong suốt thời gian qua. Đặc biệt em xin gửi lời cảm ơn sâu sắc đến giáo viên hướng dẫn của em đã tận tình giúp đỡ em hoàn thành đồ án này.Đồ án đã hoàn thành với những kết quả nhất định, tuy nhiên không tránh khỏi những thiếu sót. Kính mong sự cảm thông và đóng góp từ các thầy cô. TP. HCM, 4/2009 Nguyễn Cảnh ChânGVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân NHẬN XÉT(Của giảng viên hướng dẫn) GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân NHẬN XÉT(Của giảng viên phản biện) .GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân MỤC LỤC LỜI MỞ ĐẦU .2 LỜI CẢM ƠN .3 NHẬN XÉT 4 .4 NHẬN XÉT 5 MỤC LỤC 6 DANH MỤC CÁC BẢNG SƠ ĐỒ HÌNH .9 DANH MỤC CÁC CỤM TỪ VIẾT TẮT .11CHƯƠNG 1. GIỚI THIỆU . 13 1.1. Thương mại điện tử và thanh toán điện tử . 13 1.1.1. Thương mại điện tử . 13 1.1.2. Thanh toán trong thương mại điện tử . 19 1.2. Mục tiêu . 23 1.3. Phạm vi thực hiện . 24 CHƯƠNG 2. CƠ SỞ LÝ THUYẾT . 25 2.1. Các thuật toán và kỹ thuật mã hóa sử dụng trong thanh toán điện tử và thương mại điện 25 2.1.1. Secure Socket Layer (SSL) 25 2.1.2. Hàm băm (Cryptographic hash function) . 29 2.1.3. Mã hóa đối xứng (Symmetric Encryption) 34 2.1.4. Mã hóa khóa công khai . 37 2.1.5. Chữ ký số (Digital Signature) . 39 2.1.6. RSA 42 2.1.7. Hạ tầng khóa công khai (Public key Infrastructure) . 45 2.1.8. SET (Secure Electronic Transaction) 52 2.2. Bảo mật Web . 55 2.2.1. Hypertext Transfer Protocol . 55 2.2.2. Bảo mật Web Server 60 2.2.3. Bảo mật ứng dụng Web . 70 2.2.4. Bảo mật Web Client 75 2.3. Cổng thanh toán điện tử 78 2.3.1. Cổng thanh toán điện tử (Payment Gateways) 78 2.3.2. Hoạt động của cổng thanh toán điện tử . 79 2.3.3. Bảo mật trong hệ thống cổng thanh toán điện tử 81 2.4. Authorize.net . 84 2.4.1. Giới thiệu . 84 2.4.2. Hai phương thức tích hợp thanh toán điện tử qua Authorize.net 84 CHƯƠNG 3. PHÂN TÍCH HỆ THỐNG . 86 GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân 3.1. Yêu cầu hệ 86 3.2. Ngôn ngữ và các kỹ thuật 86 3.2.1. Ngôn ngữ lập trình và công cụ phát triển . 86 3.2.2. Hệ quản trị cơ sở dữ liệu 86 3.2.3. Các kỹ thuật và công nghệ 86 3.3. Các công việc cần giải quyết 87 3.4. Các mô hình 88 3.4.1. ERD . 88 3.4.2. Mô hình Use Case . 89 3.4.3. Mô hình hoạt động (Activity) 91 3.4.4. Mô hình lớp ( Class) 95 CHƯƠNG 4. HIỆN THỰC 97 4.1. Bảo mật thông tin . 97 4.1.1. Bảo mật thông tin trên URL 97 4.1.2. Bảo mật thông tin thiết lập trong web.config 97 4.1.3. Bảo mật thông tin thẻ tín dụng 97 4.1.4. Bảo mật các thiết lập quan trọng 98 4.1.5. Sử dụng SSL 98 4.2. Sơ đồ trang Web 99 4.2.1. Phần cho khách hàng 99 4.2.2. Phần cho người quản trị . 102 4.3. Một số màn hình . 105 4.3.1. Trang chủ 105 4.3.2. Trang đăng ký . 106 4.3.3. Trang nhóm sản phẩm . 106 4.3.4. Trang cập nhật giỏ hàng . 107 4.3.5. Trang nhập thông tin chuyển hàng . 107 4.3.6. Trang nhập thông tin hóa đơn . 108 4.3.7. Trang nhập thông tin thẻ tín dụng . 109 4.3.8. Xác nhận mua hàng . 110 4.3.9. Trang quản lý sản phẩm 111 4.3.10. Trang quản lý nhóm sản phẩm 111 4.3.11. Trang quản lý hóa đơn 112 4.3.12. Trang quản lý nhân viên 112 4.3.13. Trang quản lý nhóm và quyền nhân viên 113 4.3.14. Trang quản lý thiết lập hệ thống . 113 CHƯƠNG 5. NHẬN XÉT ĐÁNH GIÁ VÀ HƯỚNG PHÁT TRIỂN . 114 5.1. Nhận xét đánh giá . 114 5.2. Hướng phát triển 115 PHỤ LỤC .1161.1. Thiết lập chứng chỉ SSL của Verisign 116GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân 1.1.1. Các bước thực hiện .1161.1.2. Chuẩn bị 1161.1.3. Thực hiện .1161.2. Hàm băm và mã hóa đối .141 DANH MỤC TÀI LIỆU THAM KHẢO .142GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân DANH MỤC CÁC BẢNG SƠ ĐỒ HÌNHHÌNH 2.1 THIẾT LẬP MỘT PHIÊN SSL .26HÌNH 2.2 VÍ DỤ HÀM BĂM 29HÌNH 2.3 QUÁ TRÌNH MÃ HÓA ĐỐI XỨNG 34HÌNH 2.4 SINH KHÓA CÔNG KHAI .37HÌNH 2.5 MÃ HÓA VÀ GIẢI MÃ BẰNG MÃ HÓA KHÓA CÔNG KHAI 38HÌNH 2.6 TẠO VÀ XÁC THỰC CHỮ KÝ SỐ .39HÌNH 2.7 TẠO CHỮ KÝ SỐ .40HÌNH 2.8 THẨM ĐỊNH CHỮ KÝ SỐ .40HÌNH 2.9 TẠO CHỨNG CHỈ SỐ .47HÌNH 2.10 CẤU TRÚC CHỨNG CHỈ SỐ X.509 48HÌNH 2.11 CÁC THÀNH PHẦN CỦA PKI 49HÌNH 2.12 MÔ HÌNH CA NHIỀU CẤP 51HÌNH 2.13 CHỨNG THỰC CHÉO 51HÌNH 2.14 CÁC THÀNH PHẦN THAM GIA SET 53HÌNH 2.15 CHỮ KÝ SONG SONG 54HÌNH 2.16 VÍ DỤ HTTP HEADER CỦA VIETNAMNET.VN 56HÌNH 2.17 THÔNG TIN MÁY CHỦ TRONG HTTP HEADER 57HÌNH 2.18 VÍ DỤ REFERER TRONG HTTP HEADER 58HÌNH 2.19 PROXY CACHE 58HÌNH 2.20 THIẾT LẬP TƯỜNG LỬA BẢO VỆ MÁY CHỦ WEB .70HÌNH 2.21 QUÁ TRÌNH XỬ LÝ YÊU CẦU CỦA CGI 71HÌNH 2.22 THIẾT LẬP TƯỜNG LỮA BẢO VỆ MÁY CHỦ CƠ SỞ DỮ LIỆU .74HÌNH 2.23 GIẢ MẠO WEB .75HÌNH 2.24 SỬ DỤNG MÁY CHỦ PROXY TIN CẬY ĐỂ LƯỚT WEB ẨN DANH 78HÌNH 2.25 HOẠT ĐỘNG CỦA CỔNG THANH TOÁN ĐIỆN TỬ .79HÌNH 3.26 MÔ HÌNH ERD 88HÌNH 3.27 MÔ HÌNH USE CASE PHẦN KHÁCH HÀNG 89 10HÌNH 3.28 MÔ HÌNH USE CASE PHẦN QUẢN TRỊ .90HÌNH 3.29 MÔ HÌNH HOẠT ĐỘNG QUÁ TRÌNH ĐĂNG KÝ THÀNH VIÊN MỚI .91HÌNH 3.30 MÔ HÌNH HOẠT ĐỘNG QUÁ TRÌNH ĐĂNG NHẬP 92HÌNH 3.31 MÔ HÌNH HOẠT ĐỘNG QUÁ TRÌNH THÊM SẢN PHẨM VÀO GIỎ HÀNG .93HÌNH 3.32 MÔ HÌNH HOẠT ĐỘNG QUÁ TRÌNH MUA HÀNG .94HÌNH 3.33 MÔ HÌNH LỚP TẦNG NGHIỆP VỤ 95HÌNH 3.34 MÔ HÌNH LỚP XỬ LÝ THANH TOÁN 96HÌNH 4.35 BẢO MẬT THÔNG TIN TRÊN URL 97HÌNH 4.36 THÔNG TIN KẾT NỐI VÀO CSDL TRONG WEB.CONFIG CHƯA ĐƯỢC MÃ HÓA 97HÌNH 4.37 THÔNG TIN KẾT NỐI VÀO CSDL TRONG WEB.CONFIG ĐÃ ĐƯỢC MÃ HÓA .97HÌNH 4.38 MÃ HÓA CÁC THIẾT LẬP QUAN TRỌNG TRONG CƠ SỞ DỮ LIỆU 98HÌNH 4.39 MÀN HÌNH TRANG CHỦ 105HÌNH 4.40 MÀN HÌNH TRANG ĐĂNG KÝ KHÁCH HÀNG 106HÌNH 4.41 MÀN HÌNH TRANG NHÓM SẢN PHẨM 106HÌNH 4.42 MÀN HÌNH TRANG CẬP NHẬT GIỎ HÀNG .107HÌNH 4.43 MÀN HÌNH TRANG THÔNG TIN CHUYỂN HÀNG .107HÌNH 4.44 MÀN HÌNH TRANG THÔNG TIN HÓA ĐƠN 108HÌNH 4.45 MÀN HÌNH TRANG THÔNG TIN THẺ TÍN DỤNG .109HÌNH 4.46 MÀN HÌNH XÁC NHẬN MUA HÀNG .110HÌNH 4.47 MÀN HÌNH TRANG QUẢN LÝ SẢN PHẨM 111HÌNH 4.48 MÀN HÌNH TRANG QUẢN LÝ NHÓM SẢN PHẨM .111HÌNH 4.49 MÀN HÌNH TRANG QUẢN LÝ HÓA ĐƠN 112HÌNH 4.50 MÀN HÌNH TRANG QUẢN LÝ NHÂN VIÊN 112HÌNH 4.51 MÀN HÌNH TRANG QUẢN LÝ NHÓM NHÂN VIÊN 113HÌNH 4.52 MÀN HÌNH TRANG CẤU HÌNH HỆ THỐNG .113GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân [...]... giải mã Trên cơ sở đó, hai ứng dụng trao đổi khoá chính (master key) - khoá bí mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá luồng thông tin/dữ liệu qua lại giữa hai ứng dụng chủ khách Toàn bộ cấp độ bảo mật và an toàn của thông tin/dữ liệu phụ thuộc vào một số tham số: 44 Số nhận dạng theo phiên làm việc ngẫu nhiên; 45 Cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL; 46 Độ dài của... vấn đề bảo mật có thể hỗ trợ cho rất nhiều ứng dụng Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức ứng dụng tầng cao hơn như là HTTP (Hyper Text Transport Protocol), IMAP ( Internet Messaging Access Protocol) và FTP (File Transport Protocol) Trong khi SSL có thể sử dụng để hỗ trợ các giao dịch an toàn cho rất nhiều ứng dụng khác nhau trên Internet, thì hiện nay SSL được sử dụng chính... "xác nhận" số nhận dạng của một công ty và phát hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho các giao dịch trên mạng, ở đây là các máy chủ webserver Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các thông tin trong chứng chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà... phát triển và sử dụng bởi chính phủ Mỹ; 62 SKIPJACK - thuật toán khoá đối xứng phân loại được thực hiện trong phần cứng Fortezza, sử dụng bởi chính phủ Mỹ; 63 Triple-DES - mã hoá DES ba lần 2.1.2.Hàm băm (Cryptographic hash function) 2.1.2.1.Giới thiệu hàm băm Trong ngành mật mã học, một hàm băm mật mã học (tiếng Anh: Cryptographic hash function) là một hàm băm với một số tính chất bảo mật nhất định để... toán trực tuyến vào trong trang web 1.3.Phạm vi thực hiện 40 Nghiên cứu các thuật toán, kỹ thuật và phương pháp bảo mật trên web được dùng trong thương mại điện tử và thanh toán trực tuyến 41 Xây dựng một website bán máy tính xách tay trực tuyến để hiện thực một phần những gì đã nghiên cứu được 42 Thiết lập các cơ chế bảo mật thông tin trên website 43 Tích hợp thanh toán bằng thẻ tín dụng qua một cổng... hóa sử dụng trong thanh toán điện tử và thương mại điện 2.1.1.Secure Socket Layer (SSL) 2.1.1.1.Giới thiệu SSL SSL (Secure Socket Layer) là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ thông tin đi/đến, được sử dụng trong giao dịch điện tử như truyền số liệu thẻ tín dụng, mật khẩu, số bí mật cá nhân... băm cho Bob (trong khi vẫn giữ bí mật đáp án và nonce) Bằng cách này, khi Bob tự giải xong, Alice có thể chứng minh rằng cô đã có đáp án từ trước bằng cách đưa nonce cho Bob Trong thực tiễn, Alice và Bob thường là các chương trình máy tính, và bí mật thường là cái gì đó không dễ lừa bằng một lời giải cho câu đó Ứng dụng trên được gọi là một hệ thống tin cậy (commitment scheme) Một ứng dụng quan trọng... trước đó nữa là MD2) MD5 có 2 ứng dụng quan trọng: 66 MD5 được sử dụng rộng rải trong thế giới phần mềm để đảm bảo rằng tập tin tải về không bị hỏng Người sử dụng có thể so sánh giữa thông số kiểm tra phần mềm bằng MD5 được công bố với thông số kiểm tra phần mềm tải về bằng MD5 Hệ điều hành Unix sử dụng MD5 để kiểm tra các gói mà nó phân phối, trong khi hệ điều hành Windows sử dụng phần mềm của hãng thứ... nhận tháng 12 năm 2001, sử dụng các khối gồm 128 bit Các thuật toán đối xứng thường không được sử dụng độc lập Trong thiết kế của các hệ thống mật mã hiện đại, cả hai thuật toán bất đối xứng (asymmetric) (dùng chìa khóa công khai) và thuật toán đối xứng được sử dụng phối hợp để tận dụng các ưu điểm của cả hai Những hệ thống sử dụng cả hai thuật toán bao gồm những cái như SSL (Secure Sockets Layer),... (Symmetric Encryption) 2.1.3.1.Giới thiệu mã hóa đối xứng Trong mật mã học, các thuật toán khóa đối xứng (tiếng Anh: symmetric-key algorithms) là một lớp các thuật toán mật mã hóa trong đó các khóa dùng cho việc mật mã hóa và giải mã có quan hệ rõ ràng với nhau (có thể dễ dàng tìm được một khóa nếu biết khóa kia) Hình 2.3 Quá trình mã hóa đối xứng Khóa dùng để mã hóa có liên hệ một cách rõ ràng với . TP.HCMKHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆPNGHIÊN CỨU VẤN ĐỀ BẢO MẬT TRONG XÂY DỰNG ỨNG DỤNGECOMMERCE (ONLINE PAYMENT)Giảng Viên Hướng Dẫn : VÕ THỊ THANH. mật trong thương mại điện tử” có ý nghía sống còn đối với việc phát triển của thương mại điện tử.Đồ án “Nghiên cứu các vấn đề bảo mật trong xây dựng ứng dụng
