1 ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CNTT&TT PHẠM VĂN ĐOAN NGHIÊN CỨU MẠNG RIÊNG ẢO VÀ ỨNG DỤNG TRONG THƢƠNG MẠI ĐIỆN TỬ LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH THÁI NGUYÊN, NĂM 2012 2 ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CNTT&TT PHẠM VĂN ĐOAN NGHIÊN CỨU MẠNG RIÊNG ẢO VÀ ỨNG DỤNG TRONG THƢƠNG MẠI ĐIỆN TỬ Chuyên ngành : Khoa học máy tính Mã số : 60.48.01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH NGƢỜI HƢỚNG DẪN KHOA HỌC PGS.TS TRỊNH NHẬT TIẾN THÁI NGUYÊN, NĂM 2012 3 MỞ ĐẦU Với sự phát triển nhanh chóng của công nghệ thông tin và viễn thông, thế giới ngày càng thu nhỏ và trở nên gần gũi. Nhiều công ty đang vƣợt qua ranh giới cục bộ và khu vực, vƣơn ra thị trƣờng thế giới. Nhiều doanh nghiệp có tổ chức trải rộng khắp toàn quốc thậm chí vòng quanh thế giới, và tất cả họ đều đối mặt với một nhu cầu thiết thực: một cách thức nhằm duy trì những kết nối thông tin kịp thời, an toàn và hiệu quả cho dù văn phòng đặt tại bất cứ nơi đâu. Bên cạnh đó các hoạt động giao dịch thƣơng mại đã không còn chỉ là các giao dịch truyền thống, mà thay vào đó, một xu thế đang phát triển mạnh mẽ và phù hợp thời đại là các giao dịch thƣơng mại điện tử. Sự phát triển mạnh mẽ của thƣơng mại điện tử sẽ mang đến cho xã hội một tiện ích vô cùng to lơn, khi đó các giao dịch sẽ diễn ra nhanh chóng, kịp thời và phù hợp trong khi ngƣời dùng chỉ cần ngồi ngay tại nhà mình. Tuy nhiên các giao dịch thƣơng mại điện tử chỉ có thể gọi là thành công nếu nó đảm bảo đƣợc tính an toàn cho các giao dịch, nhất là các giao dịch này lại diễn ra trên môi trƣờng internet – là môi trƣờng luôn luôn tiềm ẩn rất nhiều nguy cơ mất an toàn dữ liệu. Từ đây, ta thấy song song với việc phát triển của thƣơng mại điện tử thì cẩn phải nghiên cứu giải quyết vấn đề an toàn thông tin trong mỗi giao dịch. Nhận ra yêu cầu đó cùng với sự gợi ý của giáo viên hƣớng dẫn và dựa trên những tìm hiểu của em, em chọn đề tài nghiên cứu “Nghiên cứu mạng riêng ảo và ứng dụng trong thƣơng mại điện tử”. Với mục đích nghiên cứu về công nghệ mạng riêng ảo, đề từ đó ứng dụng vào thƣơng mại điện tử, tạo hành lang an toàn cho các giao dịch thƣơng mại điện tử luận văn sẽ gồm 3 chƣơng cụ thể nhƣ sau: Chương 1: Khái quát về mạng riêng ảo và thƣơng mại điện tử Chương 2: Một số vấn đề về an toàn thông tin trong bài toán thỏa thuận ký kết hợp đồng điện tử. Chương 3: Chƣơng trình thực nghiệm 4 Do hạn chế về nhiều mặt nên Luận văn chắc chắn không tránh khỏi những thiếu xót, rất mong đƣợc sự đóng góp ý kiến của Thầy, Cô và các bạn để Luận văn đƣợc hoàn thiện hơn. Em xin chân thành cảm ơn thầy giáo, PGS. TS Trịnh Nhật Tiến đã tận tình hƣớng dẫn và giúp đỡ em trong suốt quá trình hoàn thành luận văn. Em cũng xin trân thành cảm ơn các thầy, cô, bạn bè cùng toàn thể ngƣời thân đã giúp đỡ và chỉ bảo cho em trong thời gian thực hiện luận văn này. 5 Chƣơng 1 KHÁI QUÁT VỀ MẠNG RIÊNG ẢO VÀ THƢƠNG MẠI ĐIỆN TỬ 1.1. KHÁI QUÁT VỀ MẠNG RIÊNG ẢO 1.1.1. Khái niệm mạng riêng ảo Cụm từ Virtual Private Network (mạng riêng ảo) thƣờng đƣợc gọi tắt là VPN là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh tranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của Internet. Trong thực tế, ngƣời ta thƣờng nói tới hai khái niệm VPN đó là: mạng riêng ảo kiểu tin tƣởng (Trusted VPN) và mạng riêng ảo an toàn (Secure VPN). Mạng riêng ảo kiểu tin tƣởng đƣợc xem nhƣ một số mạch thuê của một nhà cung cấp dịch vụ viễn thông. Mỗi mạch thuê riêng hoạt động nhƣ một đƣờng dây trong một mạng cục bộ. Tính riêng tƣ của trusted VPN thể hiện ở chỗ nhà cung cấp dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó. Các mạng riêng xây dựng trên các đƣờng dây thuê thuộc dạng “trusted VPN”. Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật dữ liệu. Dữ liệu ở đầu ra của một mạng đƣợc mật mã rồi chuyển vào mạng công cộng (ví dụ: mạng Internet) nhƣ các dữ liệu khác để truyền tới đích và sau đó đƣợc giải mã dữ liệu tại phía thu. Dữ liệu đã mật mã có thể coi nhƣ đƣợc truyền trong một đƣờng hầm (tunnel) bảo mật từ nguồn tới đích. Cho dù một kẻ tấn công có thể nhìn thấy dữ liệu đó trên đƣờng truyền thì cũng không có khả năng đọc đƣợc vì dữ liệu đã đƣợc mật mã. Mạng riêng ảo VPN đƣợc định nghĩa là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng (nhƣ mạng Internet) với các chính sách quản lý và bảo mật giống nhƣ mạng cục bộ. Đƣờng hầm Router Internet Router Router Router RouterRouter Mạng riêng (LAN) Mạng riêng (LAN) Hình 1.1: Mô hình mạng riêng ảo. 6 a) Chức năng VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality). Tính xác thực : Để thiết lập một kết nối VPN thì trƣớc hết cả hai phía phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với ngƣời mình mong muốn chứ không phải là một ngƣời khác. Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất kỳ sự xáo trộn nào trong quá trình truyền dẫn. Tính bảo mật : Ngƣời gửi có thể mã hoá các gói dữ liệu trƣớc khi truyền qua mạng công cộng và dữ liệu sẽ đƣợc giải mã ở phía thu. Bằng cách làm nhƣ vậy, không một ai có thể truy nhập thông tin mà không đƣợc phép. Thậm chí nếu có lấy đƣợc thì cũng không đọc đƣợc. b) Ưu điểm VPN mang lại lợi ích thực sự và tức thời cho các công ty, tổ chức. Có thể dùng VPN không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, ngƣời dùng lƣu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí cho công việc trên thấp hơn nhiều so với việc mua thiết bị và đƣờng dây cho mạng WAN riêng. Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo (flexibility), khả năng mở rộng (scalability) và một số ƣu điểm khác 1.1.2. Phân loại mạng riêng ảo Dựa vào những yêu cầu cơ bản mạng riêng ảo đƣợc phân làm ba loại:  VPN truy nhập từ xa (Remote Access VPNs)  VPN Site – To – Site:  Mạng VPN cục bộ (Intranet VPN)  Mạng VPN mở rộng (Extranet VPN) a) VPN truy nhập từ xa (Remote access VPNs) 7 VPN truy nhập từ xa cung cấp cho các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập từ xa vào mạng của công ty tại mọi thời điểm tại bất cứ đâu có mạng Internet. VPN truy nhập từ xa cho phép mở rộng mạng công ty tới những ngƣời sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì. Loại VPN này có thể dùng để cung cấp truy nhập an toàn cho các thiết bị di động, những ngƣời sử dụng di động, các chi nhánh và những bạn hàng của công ty. Những kiểu VPN này đƣợc thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thƣờng yêu cầu một vài kiểu phần mềm client chạy trên máy tính của ngƣời sử dụng. Hình 1.2: VPN truy nhập từ xa. b) VPN Site To Site Site-to-Site VPN đƣợc sử dụng để nối các site của các hãng phân tán về mặt địa lý, trong đó mỗi site có các địa chỉ mạng riêng đƣợc quản lý sao cho bình thƣờng không xảy ra va chạm. Mạng VPN cục bộ (Intranet VPN) 8 Các VPN cục bộ đƣợc sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn đƣợc mã hoá bảo mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu đƣợc phép trong toàn bộ mạng của công ty. Những VPN này vẫn cung cấp những đặc tính của mạng WAN nhƣ khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhƣng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thƣờng đƣợc cấu hình nhƣ là một VPN Site- to- Site. v¨n phßng ë xa Router InternetInternet POPPOP Remote site Central site or PIX Firewall Văn phòng trung tâm Hình 1.3: VPN cục bộ. Mạng VPN mở rộng (Extranet VPN) Không giống nhƣ mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tƣợng kinh doanh nhƣ là các đối tác, khách hàng, và các nhà cung cấp… Intranet DSL cable Extranet Business-to-business Router InternetInternet POPPOP Remote site Central site or PIX Firewall Văn phòng ở xa Văn phòng trung tâm DSL Hình 1.4: VPN mở rộng. 9 Các VPN mở rộng cung cấp một đƣờng hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng các kết nối luôn luôn đƣợc bảo mật và đƣợc cấu hình nhƣ một VPN Site–to– Site. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng đƣợc công nhận ở một trong hai đầu cuối của VPN. 1.1.3. Các giáo thức đƣờng hầm trong mạng riêng ảo a) Giao thức định hướng L2F ( Layer 2 Forwarding). Giao thức định hƣớng lớp 2 L2F do Cisco phát triển độc lập và đƣợc phát triển dựa trên giao thức PPP (Point-to-Point Protocol). L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một đƣờng hầm bảo mật thông qua cơ sở hạ tầng công cộng nhƣ Internet. L2F là giao thức đƣợc phát triển sớm nhất, là phƣơng pháp truyền thống để cho những ngƣời sử dụng ở xa truy cập vào một mạng công ty thông qua thiết bị truy cập từ xa. L2F cho phép đóng gói các gói PPP trong L2F, định đƣờng hầm ở lớp liên kết dữ liệu. Ưu nhược điểm của L2F Ƣu điểm: - Cho phép thiết lập đƣờng hầm đa giao thức. - Đƣợc cung cấp bởi nhiều nhà cung cấp. Nhƣợc điểm: - Không có mã hoá. - Yếu trong việc xác thực ngƣời dùng. - Không có điều khiển luồng cho đƣờng hầm. Hoạt động của L2F Hoạt động L2F bao gồm các hoạt động: thiết lập kết nối, đƣờng hầm và phiên làm việc. Ta xem xét ví dụ minh hoạ hoạt động của L2F: 1) Một ngƣời sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPP tới ISP. 2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP (Link Control Protocol). 10 3) NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên vùng (domain name) hay nhận thực RADIUS để quyết định có hay không ngƣời sử dụng yêu cầu dịch vụ L2F. 4) Nếu ngƣời sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ của gateway đích (home gateway). 5) Một đƣờng hầm đƣợc thiết lập từ NAS tới gateway đích nếu giữa chúng chƣa có đƣờng hầm nào. Sự thành lập đƣờng hầm bao gồm giai đoạn nhận thực từ ISP tới gateway đích để chống lại tấn công bởi những kẻ thứ ba. 6) Một kết nối PPP mới đƣợc tạo ra trong đƣờng hầm, điều này tác động kéo dài phiên PPP từ ngƣời sử dụng ở xa tới home gateway. Kết nối này đƣợc thiết lập nhƣ sau: Home gateway tiếp nhận các lựa chọn và tất cả thông tin nhận thực PAP/CHAP, nhƣ đã thoả thuận bởi đầu cuối ngƣời sử dụng và NAS. Home gateway chấp nhận kết nối hay nó thoả thuận lại LCP và nhận thực lại ngƣời sử dụng. 7) Khi NAS tiếp nhận lƣu lƣợng dữ liệu từ ngƣời sử dụng, nó lấy gói và đóng gói lƣu lƣợng vào trong một khung L2F và hƣớng nó vào trong đƣờng hầm. 8) Tại home gateway, khung L2F đƣợc tách bỏ, và dữ liệu đóng gói đƣợc hƣớng tới mạng công ty. b) Giao thức PPTP (Point –to- Point Tunneling Protocol) Giao thức đƣờng hầm điểm–điểm PPTP đƣợc đƣa ra đầu tiên bởi một nhóm các công ty đƣợc gọi là PPTP Forum. Nhóm này bao gồm 3 công ty: Ascend comm., Microsoft, ECI Telematicsunication và US Robotic. Ý tƣởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa ngƣời dùng ở xa (client) và mạng riêng. Ngƣời dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa phƣơng là có thể tạo đƣờng hầm bảo mật tới mạng riêng của họ. Giao thức PPTP đƣợc xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đƣờng hầm bảo mật thông qua Internet đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing [...]... (Security gateway) đƣợc đặt giữa mạng công cộng và mạng riêng nhằm nhăn chặn xâm nhập trái phép vào mạng riêng Cổng kết nối VPN có thể cung cấp những khả năng tạo đƣờng hầm và mã hoá dữ liệu riêng trƣớc khi đƣợc chuyển đến mạng công cộng 27 1.2 THƢƠNG MẠI ĐIỆN TỬ VÀ MỘT SỐ BÀI TOÁN TRONG THƢƠNG MẠI ĐIỆN TỬ 1.2.1 Khái niệm thƣơng mại điện tử Ngày nay, Khi Internet phát triển mạnh mẽ và ngày càng trở nên phổ... thƣơng mại điện tử Trong thƣơng mại điện tử có nhiều quy trình phức tạp và mỗi quy trình có đặc trƣng riêng Theo mỗi quy trình sẽ có một bài toán về an toàn thông tin cho từng quy trình Tuy nhiên có thể đƣa ra ba quy trình và bài toán cơ bản nhất trong thƣơng mại điện tử: a) Quy trình quảng bá hàng hóa Quảng bá, giới thiệu sản phẩm là khâu đầu tiên trong quy trình thƣơng mại và nó đƣơc xem là một trong. .. đề bảo mật cho dữ liệu trong thỏa thuận ký kết hợp đồng điện tử là vô cùng quan trọng, nó mang tính chất sống còn cho một hệ thống thƣơng mại điện tử Điều này yêu cầu cần có giải pháp để giải quyết đƣợc vấn đề bảo mật thông tin trong ký kết hợp đồng trực tuyến Giải pháp sử dụng công cụ bảo mật trong công nghệ mạng riêng ảo sẽ đảm bảo đƣợc sự an toàn cho thông tin hợp đồng trực tuyến 2.1.2 Công cụ bảo... đồng thƣơng mại điện tử: Môi trƣờng kinh doanh thƣơng mại điện tử cho phép mọi ngƣời tham gia có thể phối hợp, chia xẻ thông tin và kinh nghiệm hiệu quả và nhanh chóng - “Đáp ứng mọi nhu cầu”: Khả năng tự động hóa cho phép chấp nhận các đơn hàng khác nhau từ mọi khách hàng - Thuế: Trong giai đoạn đầu của thƣơng mại điện tử, nhiều nƣớc khuyến khích bằng cách miến thuế đối với các giao dịch trên mạng c)... bao gồm các đặc tính bảo mật vốn có Trong giai đoạn đầu của Internet khi mà ngƣời dùng thuộc các trƣờng đại học và các viện nghiên cứu thì vấn đề bảo mật dữ liệu không phải là vấn đề quan trọng nhƣ bây giờ khi mà Internet trở nên phổ biến, các ứng dụng thƣơng mại có mặt khắp nơi trên Internet và đối tƣợng sử dụng Internet rộng hơn bao gồm cả các Hacker Để thiết lập tính bảo mật trong IP ở cấp độ gói,... bộ định tuyến (Router) trong trƣòng hợp số yêu cầu hoặc số ngƣời dùng trong mạng nhỏ (Nhỏ hơn 20) Trong trƣờng hợp máy chủ VPN phải hỗ trợ nhiều ngƣời sử dụng hơn, mà vẫn hoạt động nhƣ một cổng kết nối hoặc một bộ định tuyến thì máy chủ VPN sẽ bị chạy chậm hơn, và gặp khó khăn trong vấn đề bảo mật thông tin cũng nhƣ bảo mật dữ liệu lƣu trữ trong máy chủ b) Máy khách mạng riêng ảo Máy khách VPN là thiết... ở xa sử dụng mạng Internet hoặc mạng công cộng để kết nối đến tài nguyên của công ty từ nhà  Những ngƣời dùng di động sử dụng máy tính xách tay để kết nối vào mạng cục bộ của công ty thông qua mạng công cộng, để có thể truy cập vào hòm thƣ điện tử hoặc các nguồn tài nguyên trong mạng mở rộng  Những ngƣời quản trị mạng từ xa, họ dùng mạng công cộng trung gian, nhƣ là mạng Internet, để kết nối tới những... đi có thể, để đến đƣợc nơi đến trong mạng, và chọn ra đƣờng đi ngắn nhất có thể, cũng giống nhƣ trong mạng truyền thống d) Bộ tập trung mạng riêng ảo Bộ tập trung VPN (VPN concentrators) đƣợc sử dụng để thiết lập một mạng VPN truy cập từ xa có kích thƣớc nhỏ Ngoài việc làm tăng công suất và số lƣợng của VPN, thiết bị này còn cung cấp khả năng thực hiện cao và năng lực bảo mật cũng nhƣ năng lực xác thực... quả trong trƣờng hợp mạng VPN lớn - mạng phải đáp ứng một số lƣợng lớn các yêu cầu Trong trƣờng hợp này, sử dụng bộ định tuyến VPN riêng là cần thiết Nhìn chung, bộ định tuyến là điểm cuối của một mạng riêng trừ khi nó đƣợc đặt sau “bức tƣờng lửa” (Firewall) Vai trò của bộ định tuyến VPN là tạo kết nối từ xa có thể đạt đƣợc trong mạng cục bộ Do vậy, bộ định tuyến là thiết bị chịu trách nhiệm chính trong. .. dịch vụ hay các thiết bị Mạng riêng đƣợc bảo vệ Mạng riêng đƣợc bảo vệ Máy khách di động Internet Máy chủ Bộ định tuyến Bộ tập trung truy cập của ISP Máy chủ Bộ định tuyến Máy khách tại nhà Hình 1.11 : Đặc trưng của máy khách VPN 26 c) Bộ định tuyến mạng riêng ảo Trong trƣờng hợp thiết lập một mạng VPN nhỏ, thì máy chủ VPN có thể đảm nhiệm luôn vai trò của bộ định tuyến Tuy nhiên, trong thực tế thì cách . chọn đề tài nghiên cứu Nghiên cứu mạng riêng ảo và ứng dụng trong thƣơng mại điện tử . Với mục đích nghiên cứu về công nghệ mạng riêng ảo, đề từ đó ứng dụng vào thƣơng mại điện tử, tạo hành. Chƣơng 1 KHÁI QUÁT VỀ MẠNG RIÊNG ẢO VÀ THƢƠNG MẠI ĐIỆN TỬ 1.1. KHÁI QUÁT VỀ MẠNG RIÊNG ẢO 1.1.1. Khái niệm mạng riêng ảo Cụm từ Virtual Private Network (mạng riêng ảo) thƣờng đƣợc gọi tắt. NGUYÊN TRƢỜNG ĐẠI HỌC CNTT&TT PHẠM VĂN ĐOAN NGHIÊN CỨU MẠNG RIÊNG ẢO VÀ ỨNG DỤNG TRONG THƢƠNG MẠI ĐIỆN TỬ LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH THÁI