Giáo trình An toàn bảo mật hệ thống thông tin

ai chế độ 
là chế độ vận chuyển (transport) và chế độ đường hầm (tunnel). Họat động của IPSec là 
trong suốt đối với các giao thức ở lớp ứng dụng. 
 - Giao thức bảo mật SSL (Secure Sockets Layer) là một giao thức cộng thêm họat 
động bên trên giao thức TCP. SSL cung cấp hai dịch vụ cơ bản là mật mã hóa và xác 
thực dữ liệu / xác thực đầu cuối cho các ứng dụng Internet như web, e-mail, . SSL 
được sử dụng rất phổ biến hiện nay trên mạng Internet, đặt biệgt trong các thủ tục trao 
đổi thông tin bí mật giữa client và server như đăng nhập vào hộp thư điện tử, nhập số 
thẻ tín dụng khi mua hàng,  
 - Giao thức SET (Secure Electronic Transaction) là một giao thức bảo mật khá 
toàn diện, sử dụng mật mã để cung cấp tính bảo mật cho thông tin, đảm bảo tính toàn 
vẹn trong thanh toán, và cho phép xác thực các thực thể với nhau. Để xác thực, những 
người mua hàng và người bán háng được yêu cầu cần phải có các chứng chỉ số được cấp 
bởi các tổ chức được đảm bảo. 
2. Hệ thống xác thực 
2.1. Xác thực là gì? 
 Xác thực là quá trình người dùng cung cấp bằng chứng là danh định đó là đúng 
và phù hợp với mình. 
 Mục đích của xác thực: chứng minh danh định là hợp lệ và phù hợp với người 
dùng và quyết định có cho phép người dùng truy cập vào tài nguyên của hệ thống hay 
không. 
KHOA CÔNG NGHỆ THÔNG TIN Trang 64 
 Chương 5: Ứng dụng bảo mật 
2.2. Các phương pháp xác thực: 
 - Những gì bạn biết (Something you know): Ví dụ: Password; Số PIN (Personal 
Identification Number). Ưu điểm: tiện lợi, chi phí thấp; Khuyết điểm: mức độ bảo mật 
phụ thuộc vào độ phức tạp của password. 
 - Những gì bạn có (Something you have): thẻ thông minh (smart card): có bộ nhớ 
nhỏ và có khả năng thực hiện một vài tính toán. Trong thẻ có lưu thông tin về người 
dùng và cả password, người dùng có thể chọn những password phức tạp và thay đổi khi 
cần; địa chỉ MAC, địa chỉ IP. 
 - Những gì là chính bạn (Something you are): Sử dụng các yếu tố sinh trắc học 
để xác thực như nhận dạng khuôn mặt; quét tròng mắt; hình học bàn tay; nhận dạng vân 
tay; xác thực bằng sinh trắc học gồm 2 bước: đăng ký mẫu và nhận dạng. Ưu điểm: khó 
tấn công, khuyết điểm là tốn kém: lưu trữ, xử lý. Các lỗi xảy ra khi xác thực bằng sinh 
trắc học: Fraud rate, False accept rate. Tỷ lệ lỗi sinh trắc học: 
 +Fraud rate = Insult rate 
 + Vân tay (5%) 
 + Hình học bàn tay (0.1%) 
 + Tròng mắt (0.001%) 
 Một phương pháp xác thực tốt là phương pháp mà không dễ bị đoán hoặc bị làm 
giả. Phương pháp xác thực tốt thì tốn kém 
 - Xét về khả năng bị tấn công: Biometrics < Smartcard < Password 
 - Xét về chi phí: Password < Smartcard < Biometrics 
 Có thể kết hợp các phương pháp xác thực với nhau. 
3. Ứng dụng bảo mật trong thanh toán điện tử 
3.1. Giao thức SSL 
 Giao thức SSL, đã phát triển một cách rộng rãi trên Internet ngày này, được giúp 
đỡ để tạo một chuẩn cơ bản về khả năng bảo mật cho website thương mại. Đa phần 
người tiêu dùng sử dụng các trình duyệt web có SSL, cũng như phần mềm server bán 
hàng. Hàm trăm triệu USD đã được dùng để mua bán khi khách hàng sử dụng số thẻ tín 
dụng của họ trên các website bán hàng có sử dụng công nghệ bảo mật SSL. 
 Trong trường hợp này, SSL cung cấp một kênh bảo mật giữa người tiêu dùng và 
người bán hàng cho việc trao đổi các thông tin thanh toán. Điều này có nghĩa là bất kỳ 
dữ liẹu nào được gửi trên kênh này đều được mã hóa. Hay nói cách khác, SSL có thể 
tạo ra các kết nối tin cậy, nó cũng có các rủi ro lớn như: 
KHOA CÔNG NGHỆ THÔNG TIN Trang 65 
 Chương 5: Ứng dụng bảo mật 
 - Người chủ thẻ được bảo vệ trước những kẻ nghe trộm nhưng không được bảo 
vệ trước những người bán hàng. Một vài người bán hàng ko đáng tin cậy, và một trong 
số họ là các hacker, những người có thể lập ra các website về thời trang của hãng XYZ 
hay giả mạo website của hãng XYZ để thu thập thông tin về thẻ tín dụng của khách 
hàng. 
 - Người bán hàng không được bảo vệ trước những người mua hàng không tin 
cậy, những người sử dụng các thẻ tín dụng không còn giá trị sử dụng hoặc những người 
bị ngân hàng trả lại tiền mà không cần bất kỳ lý do nào. 
 Cho dù SET là một giải pháp hoàn hảo cho thanh toán điện tử an toàn, một phiên 
bản tương đối đơn giản của SSL đang được sử dụng rộng rãi hiện nay. Đó là vì giao thức 
SET phức tạp và các chứng thực không được phân phối rộng rãi với một cách thức ổn 
định. Về mặt lý thuyết, giao thức SSL (Netscape 1996) có thể sử dụng một chứng thực 
song không bao gồm khái niệm một cổng nối thanh toán. Những người kinh doanh cần 
nhận được cả thông tin về việc đặt hàng lẫn thông tin thẻ tín dụng bởi vì quá trình cầm 
giữ được khởi phát bởi người kinh doanh.Giao thức SET, trái lại, giấu các thông tin về 
thẻ tín dụng của khách hàng đối với người kinh doanh và cũng giấu cả thông tin về đơn 
hàng đối với các ngân hàng để bảo vệ sự riêng tư. Thiết kế này được gọi là chữ ký kép 
(dual signature). Cho đến khi SET trở nên thông dụng, một phiên bản đơn giản của SSL 
là một sự lựa chọn rất đúng đắn. 
3.2. Giao thức SET 
 Có 4 thực thể chính trong giao thức SET: 
 - Cardholder (người mua hàng, chủ thẻ): Một người tiêu dùng hay một công ty 
mua hàng, người sử dụng thẻ tín dụng để trả tiền cho người bán (người kinh doanh). 
 - Merchant (người bán hàng): Một thực thể chấp nhận thẻ tín dụng và cung cấp 
hàng hoá hay dịch vụ để đổi lấy việc trả tiền. 
 - Merchant’s Bank (cổng thanh toán hay ngân hàng của người bán hàng): Một cơ 
quan tài chính (thường là một ngân hàng) lập tài khoản cho người kinh doanh và có được 
chứng từ của các phiếu bán hàng uỷ quyền. 
 - Issuer (ngân hàng của người chủ thẻ): Một cơ quan tài chính (thường là một 
ngân hàng) lập tài khoản cho người chủ sở hữu thẻ và phát hành thẻ tín dụng. 
 Đầu tiên, cả hai bên chủ thẻ và người bán hàng cần phải đăng ký với một CA 
(trung tâm xác thực) trước khi họ có thể mua hay bán hàng trên Internet. Sau khi đã đăng 
ký thành công, chủ thẻ và người bán hàng có thể bắt đầu các giao dịch với nhau theo 9 
bước trong giao thức SET, bao gồm: 
 1. Người mua hàng duyệt website và quyết định món hàng mà mình muốn mua. 
KHOA CÔNG NGHỆ THÔNG TIN Trang 66 
 Chương 5: Ứng dụng bảo mật 
 2. Người mua hàng gửi yêu cầu mua hàng và thông tin thanh toán, bao gồm 2 
phần trong 1 thông báo: 
 a. Thông tin về mặt hàng cần mua – phần này dành cho người bán hàng 
 b. Thông tin về thẻ tín dụng – phần này chỉ dành cho ngân hàng 
 3. Người bán hàng chuyển thông tin của thẻ tín dụng (phần b) tới ngân hàng phía 
cửa hàng 
 4. Ngân hàng thương mại (phía cửa hàng) kiểm tra tính xác thực của thanh toán 
với ngân hàng thương mại (phía chủ thẻ). 
 5. Ngân hàng thương mại (phía chủ thẻ) kiểm chứng thông tin thanh toán từ cổng 
thanh toán. 
 6. Ngân hàng thương mại gửi lại thông tin xác thực cho người bán hàng. 
 7. Người bán chấp nhận yêu cầu mua bán và gửi hàng cho phía khách hàng. 
 8. Người bán hàng nhận giao dịch thanh toán từ ngân hàng của họ. 
 9. Ngân hàng (phía chủ thẻ) gửi thông tin về hóa đơn tới khách hàng. 
 Nó dựa vào mật mã và chứng chỉ số để đảm bảo tính bí mật và an toàn cho thông 
báo. Gói dữ liệu được mã hóa bằng một khóa được sinh ngẫu nhiên rồi sử dụng khóa 
công khai của người nhận để mã hóa và được gửi đến cho người nhận với dạng một 
thông báo đã được mã hóa. Người nhận giải mã “digital envelope” bằng khóa riêng rồi 
dùng khóa đối xứng để giải mã và thu được thông báo ban đầu. 
 Các chứng chỉ số, còn được gọi là các giấy ủy nhiệm điện tử hoặc là các ID, là 
các tài liệu chứng thực số sử dụng một khóa công khai có ràng buộc với cá nhân hoặc 
thực thể. Cả khách hàng và người bán hàng cần phải đăng ký một chứng chỉ xác thực 
(CA) trước khi họ có thể thực hiên các giao dịch thanh toán. Theo cách đó, khách hàng 
sẽ có các giấy ủy nhiệm điện tử để chứng minh sự tin cậy của mình. Người bán hàng 
cũng đăng ký và nhận các chứng chỉ số đó. Các chứng chỉ số này không chứa các thông 
tin nhạy cảm như số thẻ tín dụng . Cuối cùng, khi khách hàng muốn thực hiện một giao 
dịch, anh ta và người bán hàng trao đổi các chứng chỉ số vói nhau. Nếu cả hai bên chấp 
nhận thì họ có thể thực hiện ngay việc giao dịch. Các chứng chỉ số phải được cấp lại sau 
vài năm, và tránh bị giả mạo. 
4. Ứng dụng bảo mật trong SSL 
 Chứng chỉ số SSL, chuẩn bảo mật SSL (là từ viết tắt của: Secure Sockets Layer) 
là một tiêu chuẩn an ninh công nghệ toàn cầu tạo ra một liên kết được mã hóa giữa máy 
chủ web (Server web) và trình duyệt. Liên kết này đảm bảo tất cả các dữ liệu trao đổi 
giữa máy chủ web và trình duyệt luôn được bảo mật và an toàn. 
KHOA CÔNG NGHỆ THÔNG TIN Trang 67 
 Chương 5: Ứng dụng bảo mật 
 Chứng thư số SSL cài trên website của doanh nghiệp cho phép khách hàng khi 
 truy cập có thể xác minh được tính xác thực, tin cậy của website, đảm bảo mọi dữ liệu, 
thông tin trao đổi giữa website và khách hàng được mã hóa, tránh nguy cơ bị can thiệp. 
 Hình 5. 1 Mô hình giao thức SSL 
 Công nghệ SSL có các tính năng nổi bật như: thực hiện mua bán bằng thẻ tín 
dụng, bảo vệ những thông tin cá nhân nhạy cảm của khách hàng, đảm bảo hacker không 
thể dò tìm được mật khẩu. 
 SSL đảm bảo rằng tất cả các dữ liệu được truyền giữa các máy chủ web và các 
trình duyệt được mang tính riêng tư, tách rời. SSL là một chuẩn công nghiệp được sử 
dụng bởi hàng triệu trang web trong việc bảo vệ các giao dịch trực tuyến với khách hàng 
của họ. 
 Hình 5.2 Các bước thực hiện giao thức SSL 
 Tiêu chuẩn xác thực– SSL chỉ được cung cấp bởi các đơn vị cấp phát chứng thư 
(CA) có uy tín trên toàn thế giới sau khi đã thực hiện xác minh thông tin về chủ thể đăng 
ký rất kỹ càng mang lại mức độ tin cậy cao cho người dùng Internet và tạo nên giá trị 
cho các website, doanh nghiệp cung cấp dịch vụ. 
KHOA CÔNG NGHỆ THÔNG TIN Trang 68 
 Chương 5: Ứng dụng bảo mật 
 Hình 5. 3 Sơ đồ thực hiện giao thức SSL giữa trình duyệt web với máy chủ 
 Tại sao nên sử dụng SSL? 
 – Bạn đăng ký domain để sử dụng các dịch vụ website, email v.v -> luôn có 
những lỗ hổng bảo mật -> hacker tấn công -> SSL bảo vệ website và khách hàng của 
bạn 
 – Bảo mật dữ liệu: dữ liệu được mã hóa và chỉ người nhận đích thực mới có thể 
giải mã. 
 – Toàn vẹn dữ liệu: dữ liệu không bị thay đổi bởi tin tặc. 
 – Chống chối bỏ: đối tượng thực hiện gửi dữ liệu không thể phủ nhận dữ liệu 
của mình. 
 Lợi ích khi sử dụng SSL ? 
 – Xác thực website, giao dịch 
 – Nâng cao hình ảnh, thương hiệu và uy tín doanh nghiệp 
 – Bảo mật các giao dịch giữa khách hàng và doanh nghiệp, các dịch vụ truy nhập 
hệ thống 
 – Bảo mật webmail và các ứng dụng như Outlook Web Access, Exchange, và 
Office Communication Server; 
 – Bảo mật các ứng dụng ảo hó như Citrix Delivery Platform hoặc các ứng dụng 
điện toán đám mây; 
 – Bảo mật dịch vụ FTP; 
 – Bảo mật truy cập control panel; 
 – Bảo mật các dịch vụ truyền dữ liệu trong mạng nội bộ, file sharing, extranet; 
KHOA CÔNG NGHỆ THÔNG TIN Trang 69 
 Chương 5: Ứng dụng bảo mật 
 – Bảo mật VPN Access Servers, Citrix Access Gateway  
 – Website không được xác thực và bảo mật sẽ luôn ẩn chứa nguy cơ bị xâm nhập 
dữ liệu, dẫn đến hậu quả khách hàng không tin tưởng sử dụng dịch vụ. 
KHOA CÔNG NGHỆ THÔNG TIN Trang 70 
 Chương 5: Ứng dụng bảo mật 
 CÂU HỎI 
Câu 1: Nêu 3 loại giao thức ứng dụng trong bảo mật hiện nay. 
Câu 2: Tại sao nên dùng giao thức SSL. 
Câu 3: Hãy nêu các phương pháp xác thực bằng sinh trắc học. 
Câu 4: Hãy nêu 3 phương pháp xác thực hiện nay và ưu khuyết điểm của từng phương pháp. 
KHOA CÔNG NGHỆ THÔNG TIN Trang 71 
 TÀI LIỆU THAM KHẢO 
1. TS. Lê Văn Phùng, “Sách An toàn thông tin” Nhà xuất bản thông tin và truyền thông, 2019. 
2. Đặng Trường Sơn, “Giáo trình bảo mật thông tin” Đại học Quốc gia TPHCM, 2012. 
3. TS. Thái Văn Tùng, “Giáo trình mật mã và an toàn thông tin” Nhà xuất bản thông tin 
và truyền thông, 2011. 
4. Lê Trung Thành, Nguyễn Văn Hách, Bùi Thị Thùy, “Giáo trình An Toàn Và Bảo Mật 
Thông Tin” Đại học tài nguyên môi trường Hà Nội, 2014. 
5. Trần Minh Văn, “Bài giảng An toàn bảo mật hệ thống thông tin” Đại học Nha Trang, 
2014. 
 DANH MỤC HÌNH ẢNH 
Hình 1. 1 Mô hình hệ thống thông tin ................................................................................. 1 
Hình 1. 2 Các yêu cầu trong bảo mật hệ thống thông tin .................................................... 2 
Hình 1. 3 Các bước cơ bản trong bảo mật thông tin ........................................................... 3 
Hình 1.4 Mô hình truyền tin bị tấn công ............................................................................. 4 
Hình 1. 5 Xem thời gian cập nhật bản gần nhất trên Microsoft Security Essentials ........... 7 
Hình 1. 6 Cài đặt tự động cập nhật theo thời gian trên Microsoft Security Essentials ....... 7 
Hình 2. 1 Mô tả bảo mật mạng .......................................................................................... 20 
Hình 3. 1 Sơ đồ một hệ thống mã hóa ............................................................................... 26 
Hình 3. 2 Bảng mã Ceasar ................................................................................................. 28 
Hình 3. 3. Bảng mã Vigenere ............................................................................................ 29 
Hình 3. 4 Bảng Tabula recta dùng trong Mã hóa Trithemius............................................ 31 
Hình 3. 5 Mô hình phương pháp Mã hóa đối xứng ........................................................... 32 
Hình 3. 6 Các vòng Feistel của mã DES ........................................................................... 34 
Hình 3. 7 Hoán vị khởi tạo của mã DES ........................................................................... 34 
Hình 3. 8 Hoán vị kết thúc của mã DES............................................................................ 35 
Hình 3. 9 Cấu trúc một vòng của mã DES ........................................................................ 35 
Hình 3. 10 Quy tắc mở rộng hàm Expand trong DES ....................................................... 36 
Hình 3. 11 Hàm S-boxes của DES .................................................................................... 36 
Hình 4. 1 Phần mềm SignOffine ....................................................................................... 50 
Hình 5. 1 Mô hình giao thức SSL ...................................................................................... 68 
Hình 5.2 Các bước thực hiện giao thức SSL ..................................................................... 68 
Hình 5. 3 Sơ đồ thực hiện giao thức SSL giữa trình duyệt web với máy chủ ................... 69 
KHOA CÔNG NGHỆ THÔNG TIN Trang 73 
 DANH MỤC TỪ VIẾT TẮT 
 STT Ký hiệu, chữ viết tắt Chữ viết đầy đủ 
 1 DES Division of Employment Security 
 2 RSA Rivest–Shamir–Adleman 
 3 CNTT Công nghệ thông tin 
 4 EFF Electronic Frontier Foundation 
 5 AES Advanced Encryption Standard 
KHOA CÔNG NGHỆ THÔNG TIN Trang 74