Đồ án tốt nghiệp nghiên cứu vấn đề bảo mật trong xây dựng ứng dụng Ecommerce pptx

138 908 6
Đồ án tốt nghiệp nghiên cứu vấn đề bảo mật trong xây dựng ứng dụng Ecommerce pptx

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

BỘ GIÁO DỤC VÀ ĐÀO TẠO  ĐỒ ÁN TỐT NGHIỆP: NGHIÊN CỨU VẤN ĐỀ BẢO MẬT TRONG ỨNG DỤNG COMMERCE (ONLINE PAYMENT BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCM KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU VẤN ĐỀ BẢO MẬT TRONG XÂY DỰNG ỨNG DỤNG ECOMMERCE (ONLINE PAYMENT) Giảng Viên Hướng Dẫn : VÕ THỊ THANH VÂN Sinh viên thực hiện : NGUYỄN CẢNH CHÂN Lớp : DHTH3LT Khoa : CÔNG NGHỆ THÔNG TIN TP. Hồ Chí Minh, tháng 04 năm 2009 GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân LỜI MỞ ĐẦU Cùng với sự lớn mạnh của Internet, việc mua bán hàng hóa và dịch vụ thông qua Internet đã xuất hiện, đó chính là “Thương mại điện tử”. Tuy mới xuất hiện và chỉ chiếm một tỷ trọng nhỏ trong thương mại song thương mại điện tử đã mang lại những lợi ích to lớn cho doanh nghiệp, chính phủ, người tiêu dùng và xã hội. Thương mại điện tử đã vượt ra khỏi lĩnh vực thương mại, ngày càng tác động đến các lĩnh vực khác và hứa hẹn mang lại những thay đổi to lớn và sâu sắc mọi mặt đời sống xã hội loài người. Thương mại điện tử ngày càng được sự quan tâm của chính phủ, doanh nghiệp và người tiêu dùng và đang trở thành một công cụ hữu hiệu trong quá trình toàn cầu hoá và trong xây dựng nền kinh tế số. Thât khó mà hình dung ra xã hội tương lai nếu không có thương mại điện tử. Bên cạnh đó, thương mại điện tử cũng đặt ra nhiều vấn đề cần phải giải quyết để khai thác các lợi ích của thương mại điện tử như vấn đề an toàn, an ninh cho các giao dịch trên mạng, các vấn đề về bảo vệ bí mật, tính riêng tư, cơ sở hạ tầng, các vấn đề về nhân lực, chuyển đổi mô hình kinh doanh, các vấn đề về quản lý, thay đổi tập quán, thói quen trong kinh doanh… Trong đó vấn đề an toàn, an ninh cho các giao dịch trên mạng và các vấn đề về bảo vệ tính riêng tư, gọi chung là “các vấn đề bảo mật trong thương mại điện tử” có ý nghía sống còn đối với việc phát triển của thương mại điện tử. Đồ án “Nghiên cứu các vấn đề bảo mật trong xây dựng ứng dụng thương mại điện tử và thanh toán trực tuyến” sẽ giúp tìm hiểu rõ thêm các vấn đề bảo mật và cách để xây dựng một ứng dụng thương mại điện tử an toàn, đảm bảo lợi ích của doanh nghiệp và khách hàng. GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân LỜI CẢM ƠN Sau hơn bốn tháng tìm hiểu và thực hiện đồ án tốt nghiệp “Nghiên cứu các vấn đề bảo mật trong xây dựng ứng dụng ecommerce(online payment)” , đến nay đồ án đã cơ bản được hoàn thành. Ngoài sự cố gắng của bản thân, em đã nhận được sự giúp đỡ, động viên khuyến khích từ gia đình, thầy cô và bạn bè. Em xin chân thành cảm ơn đến thầy cô khoa công nghệ thông tin trường Đại học công nghiệp TP.HCM đã tận tình giảng dạy, truyền đạt những kiến thức quý báu cho chúng em trong suốt thời gian qua. Đặc biệt em xin gửi lời cảm ơn sâu sắc đến giáo viên hướng dẫn của em đã tận tình giúp đỡ em hoàn thành đồ án này. Đồ án đã hoàn thành với những kết quả nhất định, tuy nhiên không tránh khỏi những thiếu sót. Kính mong sự cảm thông và đóng góp từ các thầy cô. TP. HCM, 4/2009 Nguyễn Cảnh Chân GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân NHẬN XÉT (Của giảng viên hướng dẫn) GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân NHẬN XÉT (Của giảng viên phản biện) GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân MỤC LỤC LỜI MỞ ĐẦU 3 LỜI CẢM ƠN 4 NHẬN XÉT 5 5 NHẬN XÉT 6 MỤC LỤC 7 DANH MỤC CÁC BẢNG SƠ ĐỒ HÌNH 11 DANH MỤC CÁC CỤM TỪ VIẾT TẮT 13 CHƯƠNG 1. GIỚI THIỆU 15 1.1. Thương mại điện tử và thanh toán điện tử 15 1.1.1. Thương mại điện tử 15 1.1.2. Thanh toán trong thương mại điện tử 20 1.2. Mục tiêu 24 1.3. Phạm vi thực hiện 24 CHƯƠNG 2. CƠ SỞ LÝ THUYẾT 26 2.1. Các thuật toán và kỹ thuật mã hóa sử dụng trong thanh toán điện tử và thương mại điện 26 2.1.1. Secure Socket Layer (SSL) 26 2.1.2. Hàm băm (Cryptographic hash function) 30 2.1.3. Mã hóa đối xứng (Symmetric Encryption) 34 2.1.4. Mã hóa khóa công khai 38 2.1.5. Chữ ký số (Digital Signature) 40 2.1.6. RSA 43 2.1.7. Hạ tầng khóa công khai (Public key Infrastructure) 45 2.1.8. SET (Secure Electronic Transaction) 52 2.2. Bảo mật Web 56 2.2.1. Hypertext Transfer Protocol 56 2.2.2. Bảo mật Web Server 61 Giúp bảo vệ hệ thống trước các lỗi phần cứng hay các sự cố xóa nhầm tệp tin 64 Giúp bảo vệ trước những cuộc tấn công bởi vì những tệp bị xóa hay bị sữa đổi bởi kẻ tấn công có thể được khôi phục lại từ bản sao lưu 64 Giúp phát hiện mức độ phá hoại của kẻ tấn công bằng cách so sánh những tệp đang có trong hệ thống với những tệp được lưu trữ trong bản sao lưu 64 Luôn kiểm tra lại bản sao lưu để đảm bảo rằng nó không bị hỏng và có thể khôi phục lại hệ thống đúng như lúc được sao lưu 65 Luôn mã hóa bản sao lưu bằng một mật khẩu an toàn, để trong trường hợp bản sao lưu bị đánh cắp thì dữ liệu được lưu trữ cũng không bị nguy hiểm. Và bản sao lưu cũng phải được lưu trữ ở những nơi đã được bảo vệ 65 GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân Cẩn thận khi thực hiện việc sao lưu trong một mạng nội bộ. Thường trong mạng có một máy chủ phục vụ cho việc sao lưu hệ thống của các máy tính khác trong mạng, vì vậy nếu máy tính này bị tấn công thì những những hệ thống mà nó thực hiện sao lưu cũng sẽ gặp nguy hiểm 65 Công cụ quét những điểm yếu của hệ thống và báo cáo cho người quản trị (Snapshot tools). Ví dụ như trên hệ thống UNIX một công cụ sẽ gám xác tệp /etc/passwd để đảm bảo không cho phép ai ngoại trừ người quản trị có thể sửa đổi. Các chương trình này có thể quét hệ thống nhiều lần trong một khoảng thời gian ngắn, tùy theo thiết lập 65 Nên cẩn thận khi quản lý các báo cáo được xuất ra từ công cụ này, tốt nhất là nên lưu trữ ở một nơi an toàn và chỉ những người có quyền mới được xem, vì từ những thông tin này nếu lọt vào tay kẻ tấn công chúng có thể giúp tìm ra các lỗ hổng trong hệ thống một các dễ dàng 65 Công cụ giúp giám sát hệ thống và phát hiện những thay đổi không được phép trong hệ thống. Công cụ này rất quan trọng bởi vì điều đầu tiên mà kẻ tấn công làm khi xâm nhập được vào hệ thống là chỉnh sửa lại hệ thống để giúp chúng có thể dễ đang xâm nhập vào những lần sau hay xóa đi các chứng cớ xâm nhập 65 Giám sát các sự thay đổi không thể ngăn chặn sự tấn công, tuy nhiên nó giúp cảnh báo hệ thống đã bị làm hại. Hấu hết các cuộc tấn công không bị phát hiện trong một khoảng thời gian, công cụ phát hiện thay đổi là cách duy nhất giúp bạn phát hiện sự hiện diện của kẻ xâm nhập trong hệ thống để có những hành động thích hợp. 66 Nếu như hệ thống có nhiều hơn một người quản trị, báo cáo thay đổi sẽ giúp giám xác các hoạt động của từng người 66 Công cụ giám sát mạng, giúp phát hiện những điểm yếu bảo mật trong mạng. Nên sử dụng một công cụ giúp tự động quét hệ thống mạng. Công cụ này giúp phát hiện những lỗi trong những chương trình mạng như gửi mail hay dịch vụ FPTD (File Transfer Protocol DAEMON) 66 Công cụ giám sát hệ thống và mạng để phát hiện những cuộc tấn công đang được thực hiện 66 Hệ thống dò tìm xâm nhập (Intrusion detection system) viết tắt là IDS là phần mềm hay phần cứng giúp phát hiện những sự cố gắng không mong muốn để xâm nhập, thao tác hay cố gắng vô hiệu hóa hệ thống máy tính thông qua mạng, mà chủ yếu là qua mạng internet ở dạng những cuộc tấn công như sử dụng các phần mềm độc hại… 66 Sử dụng các phần mềm quét virus để phát hiện virus và các phần mềm độc hại nhằm tránh hoạt động của chúng trên hệ thống có thể tạo các lỗ hổng cho kẻ tấn công xâm nhập vào hệ thống 66 Công cụ giúp lưu lại hoạt động của mạng để phục vụ cho sự phân tích sau này 66 Hệ thống dò tìm xâm nhập (IDS) giống như một hệ thống báo động tinh vi: IDS có những cảm biến và báo động, nếu như có một sự xâm nhập đi qua một trong chúng, IDS sẽ ghi nhận lại sự việc. Nhưng vấn đề với hệ thống IDS là chúng chỉ có thể ghi nhận lại những gì mà chúng đã được thiết lập để ghi nhận 67 GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân Công cụ ghi lại nhật ký mạng lại tiếp cận theo một cách khác. Hệ thống sẽ lưu lại tất cả những thông tin được truyền qua mạng, và cho phép phân tích ngược lại. Trong trường hợp máy chủ bị tấn công hay các sự cố khác, những thông tin đó sẽ được phân tích để tìm ra nguyên nhân. Hệ thống này thường chạy trên máy tính có dung lượng ở cứng lớn 67 2.2.3. Bảo mật ứng dụng Web 70 2.2.4. Bảo mật Web Client 74 2.3. Cổng thanh toán điện tử 77 2.3.1. Cổng thanh toán điện tử (Payment Gateways) 77 2.3.2. Hoạt động của cổng thanh toán điện tử 78 2.3.3. Bảo mật trong hệ thống cổng thanh toán điện tử 80 2.4. Authorize.net 82 2.4.1. Giới thiệu 82 2.4.2. Hai phương thức tích hợp thanh toán điện tử qua Authorize.net 82 CHƯƠNG 3. PHÂN TÍCH HỆ THỐNG 84 3.1. Yêu cầu hệ 84 3.2. Ngôn ngữ và các kỹ thuật 84 3.2.1. Ngôn ngữ lập trình và công cụ phát triển 84 3.2.2. Hệ quản trị cơ sở dữ liệu 84 3.2.3. Các kỹ thuật và công nghệ 84 3.3. Các công việc cần giải quyết 85 3.4. Các mô hình 86 3.4.1. ERD 86 3.4.2. Mô hình Use Case 87 3.4.3. Mô hình hoạt động (Activity) 89 3.4.4. Mô hình lớp ( Class) 93 CHƯƠNG 4. HIỆN THỰC 95 4.1. Bảo mật thông tin 95 4.1.1. Bảo mật thông tin trên URL 95 4.1.2. Bảo mật thông tin thiết lập trong web.config 95 4.1.3. Bảo mật thông tin thẻ tín dụng 95 4.1.4. Bảo mật các thiết lập quan trọng 96 4.1.5. Sử dụng SSL 96 4.2. Sơ đồ trang Web 97 4.2.1. Phần cho khách hàng 97 4.2.2. Phần cho người quản trị 100 4.3. Một số màn hình 103 4.3.1. Trang chủ 103 4.3.2. Trang đăng ký 103 4.3.3. Trang nhóm sản phẩm 104 4.3.4. Trang cập nhật giỏ hàng 104 4.3.5. Trang nhập thông tin chuyển hàng 105 GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân 4.3.6. Trang nhập thông tin hóa đơn 105 4.3.7. Trang nhập thông tin thẻ tín dụng 106 4.3.8. Xác nhận mua hàng 106 4.3.9. Trang quản lý sản phẩm 107 4.3.10. Trang quản lý nhóm sản phẩm 107 4.3.11. Trang quản lý hóa đơn 108 4.3.12. Trang quản lý nhân viên 108 4.3.13. Trang quản lý nhóm và quyền nhân viên 108 4.3.14. Trang quản lý thiết lập hệ thống 109 CHƯƠNG 5. NHẬN XÉT ĐÁNH GIÁ VÀ HƯỚNG PHÁT TRIỂN 110 5.1. Nhận xét đánh giá 110 5.2. Hướng phát triển 111 PHỤ LỤC 112 1.1. Thiết lập chứng chỉ SSL của Verisign 112 1.1.1. Các bước thực hiện 112 1.1.2. Chuẩn bị 112 1.1.3. Thực hiện 112 1.2. Hàm băm và mã hóa đối 137 DANH MỤC TÀI LIỆU THAM KHẢO 138 GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân [...]... thanh toán điện tử trực tuyến 37 Tìm hiểu về các phương thức bảo mật trong thương mại điện tử và thanh toán điện tử trực tuyến 38 Xây dựng được một website thương mại điện tử với mô hình B2C 39 Tích hợp được hệ thống thanh toán trực tuyến vào trong trang web 1.3 Phạm vi thực hiện 40 Nghiên cứu các thuật toán, kỹ thuật và phương pháp bảo mật trên web được dùng trong thương mại điện tử và thanh toán trực... Nguyễn Cảnh Chân 25 41 Xây dựng một website bán máy tính xách tay trực tuyến để hiện thực một phần những gì đã nghiên cứu được 42 Thiết lập các cơ chế bảo mật thông tin trên website 43 Tích hợp thanh toán bằng thẻ tín dụng qua một cổng thanh toán điện tử GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân 26 Chương 2 CƠ SỞ LÝ THUYẾT 2.1 Các thuật toán và kỹ thuật mã hóa sử dụng trong thanh toán điện tử và thương... giải mã Trên cơ sở đó, hai ứng dụng trao đổi khoá chính (master key) - khoá bí mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá luồng thông tin/dữ liệu qua lại giữa hai ứng dụng chủ khách Toàn bộ cấp độ bảo mật và an toàn của thông tin/dữ liệu phụ thuộc vào một số tham số: 44 Số nhận dạng theo phiên làm việc ngẫu nhiên; 45 Cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL; 46 Độ dài của... dùng trong mật mã hóa khóa công khai (public key cryptography) Các thuật toán đối xứng nói chung đòi hỏi công suất tính toán ít hơn các thuật toán khóa bất đối xứng (asymmetric key algorithms) Trên thực tế, một thuật toán khóa bất đối xứng có khối lượng tính toán nhiều hơn gấp hằng trăm, hằng ngàn lần một thuật toán khóa đối xứng (symmetric key algorithm) có chất lượng tương đương Thuật toán đối xứng... GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân 36 Các thuật toán đối xứng thường không được sử dụng độc lập Trong thiết kế của các hệ thống mật mã hiện đại, cả hai thuật toán bất đối xứng (asymmetric) (dùng chìa khóa công khai) và thuật toán đối xứng được sử dụng phối hợp để tận dụng các ưu điểm của cả hai Những hệ thống sử dụng cả hai thuật toán bao gồm những cái như SSL (Secure Sockets Layer), PGP (Pretty... thuật toán RSA; GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân 30 61 SHA-1 - thuật toán hàm băm an toàn, phát triển và sử dụng bởi chính phủ Mỹ; 62 SKIPJACK - thuật toán khoá đối xứng phân loại được thực hiện trong phần cứng Fortezza, sử dụng bởi chính phủ Mỹ; 63 2.1.2 Triple-DES - mã hoá DES ba lần Hàm băm (Cryptographic hash function) 2.1.2.1 Giới thiệu hàm băm Trong ngành mật mã học, một hàm băm mật. .. "xác nhận" số nhận dạng của một công ty và phát hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho các giao dịch trên mạng, ở đây là các máy chủ webserver Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các thông tin trong chứng chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà... SSL là thuật ngữ được sử dụng rộng rãi hơn SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiều ứng dụng Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức ứng dụng tầng cao hơn như là HTTP (Hyper Text Transport Protocol), IMAP ( Internet Messaging Access Protocol) và FTP (File Transport Protocol) Trong khi SSL có thể sử dụng để hỗ trợ các giao dịch... trước đó nữa là MD2) MD5 có 2 ứng dụng quan trọng: 66 MD5 được sử dụng rộng rải trong thế giới phần mềm để đảm bảo rằng tập tin tải về không bị hỏng Người sử dụng có thể so sánh giữa thông số kiểm tra phần mềm bằng MD5 được công bố với thông số kiểm tra phần mềm tải về bằng MD5 Hệ điều hành Unix sử dụng MD5 để kiểm tra các gói mà nó phân phối, trong khi hệ điều hành Windows sử dụng phần mềm của hãng thứ... doanh có thể chấp nhận thanh toán bằng thẻ tín dụng Việc thanh toán bằng thẻ tín dụng chỉ có thể tiến hành thông qua dạng tài khoản này 34 Cổng thanh toán điện tử (payment gateway): là một chuơng trình phần mềm Phần mềm này sẽ chuyển dữ liệu của các giao dịch từ website của người bán sang trung tâm thanh toán thẻ tín dụng để hợp thức hoá quá trình thanh toán thẻ tín dụng 1.2 Mục tiêu 35 Tìm hiểu về .  ĐỒ ÁN TỐT NGHIỆP: NGHIÊN CỨU VẤN ĐỀ BẢO MẬT TRONG ỨNG DỤNG COMMERCE (ONLINE PAYMENT BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCM KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU. doanh nghiệp và khách hàng. GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân LỜI CẢM ƠN Sau hơn bốn tháng tìm hiểu và thực hiện đồ án tốt nghiệp Nghiên cứu các vấn đề bảo mật trong xây dựng ứng dụng. bảo mật trong xây dựng ứng dụng thương mại điện tử và thanh toán trực tuyến” sẽ giúp tìm hiểu rõ thêm các vấn đề bảo mật và cách để xây dựng một ứng dụng thương mại điện tử an toàn, đảm bảo lợi

Ngày đăng: 11/07/2014, 08:21

Từ khóa liên quan

Mục lục

  • Chương 1. GIỚI THIỆU

    • 1.1. Thương mại điện tử và thanh toán điện tử

      • 1.1.1. Thương mại điện tử

        • 1.1.1.1. Khái niệm

        • 1.1.1.2. Các đặc trưng của thương mại điện tử

        • 1.1.1.3. Những lợi ích của thương mại điện tử

        • 1.1.1.4. Một số loại hình ứng dụng trong thương mại điện tử

        • 1.1.1.5. Các bước cơ bản của một giao dịch mua bán trên mạng

        • 1.1.2. Thanh toán trong thương mại điện tử

          • 1.1.2.1. Thẻ tín dụng

          • 1.1.2.2. Ðịnh danh hay ID số hoá (Digital identificator)

          • 1.1.2.3. Một số thuật ngữ

          • 1.2. Mục tiêu

          • 1.3. Phạm vi thực hiện

          • Chương 2. CƠ SỞ LÝ THUYẾT

            • 2.1. Các thuật toán và kỹ thuật mã hóa sử dụng trong thanh toán điện tử và thương mại điện

              • 2.1.1. Secure Socket Layer (SSL)

                • 2.1.1.1. Giới thiệu SSL

                • 2.1.1.2. Cơ chế mã hóa của SSL

                • 2.1.1.3. Các thuật toán mã hóa trong SSL

                • 2.1.2. Hàm băm (Cryptographic hash function)

                  • 2.1.2.1. Giới thiệu hàm băm

                  • 2.1.2.2. Ứng dụng của hàm băm

                  • 2.1.2.3. MD5 (Message-Digest algorithm 5)

                  • 2.1.2.4. SHA (Secure Hash Algorithm)

                  • 2.1.3. Mã hóa đối xứng (Symmetric Encryption)

                    • 2.1.3.1. Giới thiệu mã hóa đối xứng

                    • 2.1.3.2. DES (Data Encryption Standard )

                    • 2.1.3.3. AES (Advanced Encryption Standard)

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan