Cryptography and Cryptography and Network SecurityNetwork Security

Chapter 17Chapter 17

Fourth EditionFourth Edition

by William Stallingsby William Stallings

Lecture slides by Lawrie BrownLecture slides by Lawrie Brown

Chương 17: An toàn WebChương 17: An toàn WebChapter 17 – Web SecurityChapter 17 – Web Security

Use your mentalityUse your mentality

Wake up to realityWake up to reality

——From the song, "I've Got You under From the song, "I've Got You under My Skin“ by Cole PorterMy Skin“ by Cole Porter

An toàn Web - Web SecurityAn toàn Web - Web Security

Web được sử dụng rộng rãi bởi các công ty, Web được sử dụng rộng rãi bởi các công ty, chính phủ và cá nhânchính phủ và cá nhân

Nhưng Internet và Web có những lỗ hổng lớnNhưng Internet và Web có những lỗ hổng lớn Có nhiều mối đe doạ:Có nhiều mối đe doạ:

Tính toàn vẹnTính toàn vẹn Bảo mậtBảo mật Từ chối dịch vụTừ chối dịch vụ Xác thựcXác thực

Cần bổ sung cơ chế bảo mậtCần bổ sung cơ chế bảo mật

SSL (Secure Socket Layer)SSL (Secure Socket Layer)

Dịch vụ an toàn tầng vận chuyểnDịch vụ an toàn tầng vận chuyển Ban đầu được phát triển bởi NetscapeBan đầu được phát triển bởi Netscape Phiên bản 3 thiết kế cho đầu vào công cộngPhiên bản 3 thiết kế cho đầu vào công cộng Sau đó trở thành chuẩn Internet được biết đến Sau đó trở thành chuẩn Internet được biết đến

như TLS (an toàn tầng vận chuyển)như TLS (an toàn tầng vận chuyển) Sử dụng TCP để cung cấp dịch vụ đầu cuối đến Sử dụng TCP để cung cấp dịch vụ đầu cuối đến

cuối tin cậycuối tin cậy SSL có 2 tầng thủ tụcSSL có 2 tầng thủ tục

SSL ArchitectureSSL Architecture

Kiến trúc SSL - SSL ArchitectureKiến trúc SSL - SSL Architecture

Kết nối SSL:Kết nối SSL: Tạm thời, đầu cuối đến đầu cuối, liên kết trao Tạm thời, đầu cuối đến đầu cuối, liên kết trao

đổiđổi Gắn chặt với 1 phiên SSL Gắn chặt với 1 phiên SSL

Phiên SSL:Phiên SSL: Liên kết giữa người sử dụng và máy chủLiên kết giữa người sử dụng và máy chủ Được tạo bởi thủ tục HandShake ProtocolĐược tạo bởi thủ tục HandShake Protocol Xác định một tập các tham số mã hoáXác định một tập các tham số mã hoá Có thể chia sẻ bởi kết nối SSL lặpCó thể chia sẻ bởi kết nối SSL lặp

Dịch vụ thủ tục bản ghi SSLDịch vụ thủ tục bản ghi SSLSSL Record Protocol ServicesSSL Record Protocol Services

Tính toàn vẹn của bản tin:Tính toàn vẹn của bản tin: Sử dụng MAC với khoá mật chia sẻSử dụng MAC với khoá mật chia sẻ Giống như HMAC nhưng với bộ đệm khácGiống như HMAC nhưng với bộ đệm khác

Bảo mật:Bảo mật: Sử dụng mã đối xứng với khoá chung xác Sử dụng mã đối xứng với khoá chung xác

định bởi thủ tục HandShake.định bởi thủ tục HandShake. IDEA, RC2-40, DES-40, DES, 3DES, IDEA, RC2-40, DES-40, DES, 3DES,

Fortezza, RC4-40, RC4-128Fortezza, RC4-40, RC4-128 Bản tin được nén trước khi mãBản tin được nén trước khi mã

SSL Record Protocol SSL Record Protocol OperationOperation

Thủ tục thay đổi đặc tả SSL Thủ tục thay đổi đặc tả SSL SSL Change Cipher Spec ProtocolSSL Change Cipher Spec Protocol

Một trong 3 giao thức chuyên biệt của Một trong 3 giao thức chuyên biệt của SSL sử dụng thủ tục bản ghi SSL SSL sử dụng thủ tục bản ghi SSL

Mẩu tin đơnMẩu tin đơn Buộc trạng thái treo trở thành hiện Buộc trạng thái treo trở thành hiện

thờithời Nên cập nhật bộ mã đang dùngNên cập nhật bộ mã đang dùng

Thủ tục nhắc nhở SSL Thủ tục nhắc nhở SSL SSL Alert ProtocolSSL Alert Protocol

Truyền đi lời nhắc của SSL liên quan cho thành Truyền đi lời nhắc của SSL liên quan cho thành viênviên

Nghiêm khắc: Nhắc nhở hoặc cảnh báoNghiêm khắc: Nhắc nhở hoặc cảnh báo Nhắc nhở đặc biệt:Nhắc nhở đặc biệt:

cảnh báo: mẳu tin không chờ đợi, bản ghi MAC tồi, lỗi cảnh báo: mẳu tin không chờ đợi, bản ghi MAC tồi, lỗi giải nén, lỗi Handshake, tham số không hợp lệgiải nén, lỗi Handshake, tham số không hợp lệ

Nhắc nhở: đóng ghi chú, không chứng nhận, chứng Nhắc nhở: đóng ghi chú, không chứng nhận, chứng nhận tồi, chứng nhận không được hỗ trợ, chứng nhận nhận tồi, chứng nhận không được hỗ trợ, chứng nhận bị thu hồi, chứng nhận quá hạn, chứng nhận không bị thu hồi, chứng nhận quá hạn, chứng nhận không được biết đến.được biết đến.

Nén và mã như mọi dữ liệu SSLNén và mã như mọi dữ liệu SSL

Thủ tục bắt tay SSL Thủ tục bắt tay SSL Handshake ProtocolHandshake Protocol

Cho phép máy chủ và máy trạm:Cho phép máy chủ và máy trạm: Xác thực nhauXác thực nhau Thỏa thuận thuật toán mã hoá và MACThỏa thuận thuật toán mã hoá và MAC Thỏa thuận khoá mã sẽ dùngThỏa thuận khoá mã sẽ dùng Bao gồm một loạt các thông tin:Bao gồm một loạt các thông tin:

Thiết lập các khả năng an toànThiết lập các khả năng an toàn Xác thực máy chủ và trao đổi khoáXác thực máy chủ và trao đổi khoá Xác thực máy trạm và trao đổi khoáXác thực máy trạm và trao đổi khoá Kết thúcKết thúc

SSL Handshake ProtocolSSL Handshake Protocol

An toàn tầng vận chuyểnAn toàn tầng vận chuyểnTLS (Transport Layer Security)TLS (Transport Layer Security)

số ký hiệu kích thước bản ghisố ký hiệu kích thước bản ghi sử dụng HMAC thay cho MACsử dụng HMAC thay cho MAC hàm giả ngẫu nhiên tăng độ mậthàm giả ngẫu nhiên tăng độ mật có mã ghi chú bổ sungcó mã ghi chú bổ sung có một số thay đỏi hỗ trợ mãcó một số thay đỏi hỗ trợ mã thay đổi kiểu chứng nhận và thỏa thuận thay đổi kiểu chứng nhận và thỏa thuận thay đổi bộ đệm và tính toán mãthay đổi bộ đệm và tính toán mã

Thanh toán điện tử an toànThanh toán điện tử an toànSecure Electronic Transactions (SET)Secure Electronic Transactions (SET)

Mã mở và đặc tả an toànMã mở và đặc tả an toàn Bảo vệ thanh toán thẻ tín dụng trên InternetBảo vệ thanh toán thẻ tín dụng trên Internet Phát triển năm 1996 bởi Master, Visa CardPhát triển năm 1996 bởi Master, Visa Card Không phải hệ thống trả tiềnKhông phải hệ thống trả tiền Là tập các giao thức và định dạng an toànLà tập các giao thức và định dạng an toàn

Trao đổi an toàn giữa các đối tácTrao đổi an toàn giữa các đối tác Tin tưởng vì sử dụng X509v3Tin tưởng vì sử dụng X509v3 Riêng biệt vì hạn chế thông tin cho người cầnRiêng biệt vì hạn chế thông tin cho người cần

SET ComponentsSET Components

Thanh toán điện tử an toànThanh toán điện tử an toànSET TransactionSET Transaction

1.1. Người mua mở tài khoảnNgười mua mở tài khoản2.2. Người mua nhận được chứng nhậnNgười mua nhận được chứng nhận3.3. Người bán có chứng nhận của họNgười bán có chứng nhận của họ4.4. Người mua đặt hàngNgười mua đặt hàng5.5. Người bán được kiểm chứngNgười bán được kiểm chứng6.6. Đơn đặt hàng và trả tiền được gửiĐơn đặt hàng và trả tiền được gửi7.7. Người bán yêu cầu giấy phép trả tiềnNgười bán yêu cầu giấy phép trả tiền8.8. Người bán duyệt đơn đặt hàngNgười bán duyệt đơn đặt hàng9.9. Người bán cung cấp hàng và dịch vụNgười bán cung cấp hàng và dịch vụ10.10. Người bán yêu cầu trả tiền Người bán yêu cầu trả tiền

Chữ ký kép - Dual SignatureChữ ký kép - Dual Signature

Người mua tạo chữ ký képNgười mua tạo chữ ký kép Thông tin đơn đặt OI cho người bán Thông tin đơn đặt OI cho người bán Thông tin trả tiền PI cho ngân hàngThông tin trả tiền PI cho ngân hàng

Không bên nào biết chi tiết của người Không bên nào biết chi tiết của người khác khác

Nhưng cần phải biết là họ được kết nốiNhưng cần phải biết là họ được kết nối Sử dụng chữ ký kép cho mục đích nàySử dụng chữ ký kép cho mục đích này

Ký trên bản ghép của OI và PIKý trên bản ghép của OI và PIDS=E(PRDS=E(PRcc, [H(H(PI)||H(OI))]), [H(H(PI)||H(OI))])

Yêu cầu trả tiền Yêu cầu trả tiền SET Purchase RequestSET Purchase Request

Trao đổi yêu cầu trả tiền gồm 4 mẩu tin Trao đổi yêu cầu trả tiền gồm 4 mẩu tin sausau

1.1. Khởi tạo yêu cầu - nhận chứng nhậnKhởi tạo yêu cầu - nhận chứng nhận

2.2. Khởi tạo trả lời – ký trả lờiKhởi tạo trả lời – ký trả lời

3.3. Yêu cầu trả tiền - của OI và PIYêu cầu trả tiền - của OI và PI

4.4. Trả lời trả tiền – đơn phúc đápTrả lời trả tiền – đơn phúc đáp

Yêu cầu trả tiền – người mua Yêu cầu trả tiền – người mua Purchase Request – CustomerPurchase Request – Customer

Yêu cầu trả tiền – người bánYêu cầu trả tiền – người bánPurchase Request – MerchantPurchase Request – Merchant

Kiểm tra chứng nhận người giữ thẻ bằng chữ Kiểm tra chứng nhận người giữ thẻ bằng chữ ký của CAký của CA

Kiểm tra chữ ký kép bằng cách sử dụng khoá Kiểm tra chữ ký kép bằng cách sử dụng khoá chữ ký công khai của người mua để tin tưởng chữ ký công khai của người mua để tin tưởng rằng đơn không bị giả mạo khi truyền và được rằng đơn không bị giả mạo khi truyền và được ký sử dụng chữ ký khoá riêng của người giữ ký sử dụng chữ ký khoá riêng của người giữ thẻ. thẻ.

Xử lý đơn đặt và gửi tiếp thông tin trả tiền cho Xử lý đơn đặt và gửi tiếp thông tin trả tiền cho cổng trả tiền để xác thực (mô tả sau)cổng trả tiền để xác thực (mô tả sau)

Gửi phản hồi trả tiền cho người giữ thẻGửi phản hồi trả tiền cho người giữ thẻ

Purchase Request – MerchantPurchase Request – Merchant

Giấy phép cổng trả tiềnGiấy phép cổng trả tiềnPayment Gateway AuthorizationPayment Gateway Authorization

1.1. Kiểm chứng mọi chứng nhận Kiểm chứng mọi chứng nhận 2.2. Giải mã phong bì điện tử của khối giấy phép và nhận Giải mã phong bì điện tử của khối giấy phép và nhận

được khoá đối xứng, sau đó giải mã khối giấy phépđược khoá đối xứng, sau đó giải mã khối giấy phép3.3. Kiểm tra chữ ký của người bán trên khối giấy phépKiểm tra chữ ký của người bán trên khối giấy phép4.4. Giải mã phong bì điện tử khối trả tiền, nhận được khoá Giải mã phong bì điện tử khối trả tiền, nhận được khoá

đối xứng, sau đó giải mã khối trả tiềnđối xứng, sau đó giải mã khối trả tiền5.5. Kiểm tra chữ ký kép trên khối trả tiềnKiểm tra chữ ký kép trên khối trả tiền6.6. Kiểm tra rằng, thanh toán ID nhận được từ người bán Kiểm tra rằng, thanh toán ID nhận được từ người bán

phù hợp với danh tính trong PI nhận được (không trực phù hợp với danh tính trong PI nhận được (không trực tiếp) từ người bántiếp) từ người bán

7.7. Yêu cầu và nhận được giấy phép từ nơi phát hànhYêu cầu và nhận được giấy phép từ nơi phát hành8.8. Gửi trả lời giấy phép cho người bánGửi trả lời giấy phép cho người bán

Nhận trả tiềnNhận trả tiềnPayment CapturePayment Capture

Người bán gửi cho cổng trả tiền yêu cầu Người bán gửi cho cổng trả tiền yêu cầu nhận trả tiềnnhận trả tiền

Cổng kiểm tra yêu cầuCổng kiểm tra yêu cầu Sau đó yêu cầu chuyển tiền đến tài khoản Sau đó yêu cầu chuyển tiền đến tài khoản

người bánngười bán Thông báo người bán bằng trả lời việc Thông báo người bán bằng trả lời việc

nhận nhận

SummarySummary

have considered:have considered: need for web securityneed for web security SSL/TLS transport layer security protocolsSSL/TLS transport layer security protocols SET secure credit card payment protocolsSET secure credit card payment protocols