Khi Internet mới ra đời, thư tín điện tử là một trong những ứng dụng phổ biến nhất của Internet. Từ khi có thư tín điện tử, người ta thường lo lắng và đặt vấn đề nghi ngờ, các thư điện tử có thể bị một đối tượng nào đó (chẳng hạn, một đối thủ cạnh tranh) chặn đọc và tấn công ngược trở lại hay không?
262 trang |
Chia sẻ: vietpd | Lượt xem: 1321 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Báo cáo Vấn đề nghiên cứu, xây dựng giải pháp bảo mật thông tin trong thương mại điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
BAN CƠ YẾU CHÍNH PHỦ
BÁO CÁO ĐỀ TÀI NHÁNH
“NGHIấN CỨU, XÂY DỰNG GIẢI PHÁP
BẢO MẬT THễNG TIN TRONG
THƯƠNG MẠI ĐIỆN TỬ”
Thuộc đề tài : “Nghiờn cứu một số vấn đề kỹ thuật, cụng nghệ chủ yếu trong
thương mại điện tử và triển khai thử nghiệm - mó số KC.01.05”
5095-1
14/9/2006
Hà nội, thỏng 9 năm 2004
nội dung
Ch−ơng 1: Các hiểm hoạ đối với an toàn th−ơng mại điện tử.........................................4
1.1 Giới thiệu .....................................................................................................4
1.2 Các hiểm hoạ đối với sở hữu trí tuệ .............................................................7
1.3 Các hiểm hoạ đối với th−ơng mại điện tử ....................................................8
Ch−ơng 2: Thực thi an toàn cho th−ơng mại điện tử......................................................20
2.1 Bảo vệ các tài sản th−ơng mại điện tử............................................................20
2.2 Bảo vệ sở hữu trí tuệ.......................................................................................21
2.3 Bảo vệ các máy khách...................................................................................22
2.4 Bảo vệ các kênh th−ơng mại điện tử .............................................................27
2.5 Đảm bảo tính toàn vẹn giao dịch ..................................................................36
2.6 Bảo vệ máy chủ th−ơng mại..........................................................................39
2.7 Tóm tắt ..........................................................................................................41
Ch−ơng 3: Một số kỹ thuật an toàn áp dụng cho th−ơng mại điện .................................43
3.1 Mật mã đối xứng...........................................................................................43
3.2 Mật mã khoá công khai................................................................................45
3.3 Xác thực thông báo và các hàm băm ............................................................60
3.4 Chữ ký số ......................................................................................................71
Ch−ơng 4: Chứng chỉ điện tử .........................................................................................79
4.1 Giới thiệu về các chứng chỉ khoá công khai .................................................79
4.2 Quản lý cặp khoá công khai và khoá riêng ...................................................85
4.3 Phát hành các chứng chỉ................................................................................89
4.4 Phân phối chứng chỉ......................................................................................92
4.5 Khuôn dạng chứng chỉ X.509 .......................................................................94
4.6 Việc thu hồi chứng chỉ .................................................................................107
4.7 CRL theo X.509 ............................................................................................114
4.8 Cặp khoá và thời hạn hợp lệ của chứng chỉ...................................................121
4.9 Chứng thực thông tin uỷ quyền.....................................................................123
4.10 Tóm tắt ........................................................................................................128
Ch−ơng 5: Cơ sở Hạ tầng khoá công khai.......................................................................131
5.1 Các yêu cầu ...................................................................................................131
5.2 Các cấu trúc quan hệ của CA........................................................................132
5.3 Các chính sách của chứng chỉ X.509 ............................................................145
5.4 Các ràng buộc tên X.509...............................................................................150
5.5 Tìm các đ−ờng dẫn chứng thực và phê chuẩn ...............................................152
5.6 Các giao thức quản lý chứng chỉ ...................................................................154
5.7 Ban hành luật ..................................................................................................155
Chữ ký điện tử trong hoạt động th−ơng mại điện tử .......................................................156
Phần A: Cơ sở công nghệ cho chữ ký số...............................................................170
Phần B: Cơ sở pháp lý cho chữ ký số .....................................................................195
Các vấn đề lý thuyết
Trong phần này trình bầy những vần đề lý thuyết cơ bản phục vụ cho việc xây dựng các giải
pháp an toàn TMĐT sẽ trình bầy trong phần 2.
Ch−ơng 1:
Các hiểm hoạ đối với an toàn th−ơng mại điện tử
1.1 Giới thiệu
Khi Internet mới ra đời, th− tín điện tử là một trong những ứng dụng phổ biến nhất của
Internet. Từ khi có th− tín điện tử, ng−ời ta th−ờng lo lắng và đặt vấn đề nghi ngờ, các th−
điện tử có thể bị một đối t−ợng nào đó (chẳng hạn, một đối thủ cạnh tranh) chặn đọc và tấn
công ng−ợc trở lại hay không?
Ngày nay, các mối hiểm hoạ còn lớn hơn. Internet càng ngày càng phát triển và các cách
mà chúng ta có thể sử dụng nó cũng thay đổi theo. Khi một đối thủ cạnh tranh có thể truy
nhập trái phép vào các thông báo và các thông tin số, hậu quả sẽ nghiêm trọng hơn rất nhiều
so với tr−ớc đây. Trong th−ơng mại điện tử thì các mối quan tâm về an toàn thông tin luôn
phải đ−ợc đặt lên hàng đầu.
Một quan tâm điển hình của những ng−ời tham gia mua bán trên Web là số thẻ tín dụng
của họ có khả năng bị lộ khi đ−ợc chuyển trên mạng hay không. Từ 30 năm tr−ớc đây cũng
xảy ra điều t−ơng tự khi mua bán sử dụng thẻ tín dụng thông qua điện thoại: “Tôi có thể tin
cậy ng−ời đang ghi lại số thẻ tín dụng của tôi ở đầu dây bên kia hay không?”. Ngày nay, các
khách hàng th−ờng đ−a số thẻ tín dụng và các thông tin khác của họ thông qua điện thoại
cho những ng−ời xa lạ, nh−ng nhiều ng−ời trong số họ lại e ngại khi làm nh− vậy qua máy
tính. Trong phần này, chúng ta sẽ xem xét vấn đề an toàn trong phạm vi th−ơng mại điện tử
và đ−a ra một cái nhìn tổng quan nó cũng nh− các giải pháp hiện thời.
An toàn máy tính: Chính là việc bảo vệ các tài sản không bị truy nhập, sử dụng, hoặc phá
huỷ trái phép. ở đây có hai kiểu an toàn chung: vật lý và logic. An toàn vật lý bao gồm việc
bảo vệ thiết bị (ví dụ nh− báo động, ng−ời canh giữ, cửa chống cháy, hàng rào an toàn, tủ
sắt hoặc hầm bí mật và các toà nhà chống bom). Việc bảo vệ các tài sản không sử dụng các
biện pháp bảo vệ vật lý thì gọi là an toàn logic. Bất kỳ hoạt động hoặc đối t−ợng gây nguy
hiểm cho các tài sản của máy tính đều đ−ợc coi nh− một “hiểm hoạ”.
Biện pháp đối phó: Đây là tên gọi chung cho thủ tục (có thể là vật lý hoặc logic) phát
hiện, giảm bớt hoặc loại trừ một hiểm hoạ. Các biện pháp đối phó th−ờng biến đổi, phụ
thuộc vào tầm quan trọng của tài sản trong rủi ro. Các hiểm hoạ bị coi là rủi ro thấp và hiếm
khi xảy ra có thể đ−ợc bỏ qua, khi chi phí cho việc bảo vệ chống lại hiểm hoạ này v−ợt quá
giá trị của tài sản cần đ−ợc bảo vệ. Ví dụ, có thể tiến hành bảo vệ một mạng máy tính khi
xảy ra các trận bão ở thành phố Okalahoma, đây là nơi th−ờng xuyên xảy ra các trận bão,
nh−ng không cần phải bảo vệ một mạng máy tính nh− vậy tại Los Angeles, nơi hiếm khi
xảy ra các trận bão. Mô hình quản lý rủi ro đ−ợc trình bày trong hình 1.3, có 4 hoạt động
chung mà bạn có thể tiến hành, phụ thuộc vào chi phí và khả năng xảy ra của các hiểm hoạ
vật lý. Trong mô hình này, trận bão ở Kansas hoặc Okalahoma nằm ở góc phần t− thứ 2, còn
trận bão ở nam California nằm ở góc phần t− thứ 3 hoặc 4.
Kiểu mô hình quản lý rủi ro t−ơng tự sẽ áp dụng cho bảo vệ Internet và các tài sản
th−ơng mại điện tử khỏi bị các hiểm hoạ vật lý và điện tử. Ví dụ, đối t−ợng mạo danh, nghe
trộm, ăn cắp. Đối t−ợng nghe trộm là ng−ời hoặc thiết bị có khả năng nghe trộm và sao chép
các cuộc truyền trên Internet. Để có một l−ợc đồ an toàn tốt, bạn phải xác định rủi ro, quyết
định nên bảo vệ tài sản nào và tính toán chi phí cần sử dụng để bảo vệ tài sản đó. Trong các
phần sau, chúng ta tập trung vào việc bảo vệ, quản lý rủi ro chứ không tập trung vào các chi
phí bảo vệ hoặc giá trị của các tài sản. Chúng ta tập trung vào các vấn đề nh− xác định các
hiểm hoạ và đ−a ra các cách nhằm bảo vệ các tài sản khỏi bị hiểm hoạ đó.
Phân loại an toàn máy tính
Các chuyên gia trong lĩnh vực an toàn máy tính đều nhất trí rằng cần phân loại an toàn
máy tính thành 3 loại: loại đảm bảo tính bí mật (secrecy), loại đảm bảo tính toàn vẹn
(integrity) và loại bảo đảm tính sẵn sàng (necessity). Trong đó:
8 Tính bí mật ngăn chặn việc khám phá trái phép dữ liệu và đảm bảo xác thực
nguồn gốc dữ liệu.
8 Tính toàn vẹn ngăn chặn sửa đổi trái phép dữ liệu.
8 Tính sẵn sàng ngăn chặn, không cho phép làm trễ dữ liệu và chống chối bỏ.
Giữ bí mật là một trong các biện pháp an toàn máy tính đ−ợc biết đến nhiều nhất. Hàng
tháng, các tờ báo đ−a ra rất nhiều bài viết nói về các vụ tấn công ngân hàng hoặc sử dụng
trái phép các số thẻ tín dụng bị đánh cắp để lấy hàng hoá và dịch vụ. Các hiểm hoạ về tính
toàn vẹn không đ−ợc đ−a ra th−ờng xuyên nh− trên, nên nó ít quen thuộc với mọi ng−ời. Ví
dụ về một tấn công toàn vẹn, chẳng hạn nh− nội dung của một thông báo th− điện tử bị thay
đổi, có thể khác hẳn với nội dung ban đầu. ở đây có một vài ví dụ về hiểm hoạ đối với tính
sẵn sàng, xảy ra khá th−ờng xuyên. Việc làm trễ một thông báo hoặc phá huỷ hoàn toàn
I
Kiểm soát
II
Ngăn chặn
III
Bỏ qua
IV
Kế hoạch bảo
hiểm/dự phòng
Khả năng xảy ra lớn
Khả năng xảy ra thấp
Tác
động
cao
(chi
phí)
Tác
động
thấp
(chi
phí)
Hình 1.3 Mô hình quản lý rủi ro
thông báo có thể gây ra các hậu quả khó l−ờng. Ví dụ, bạn gửi thông báo th− tín điện tử lúc
10 giờ sáng tới E*Trade, đây là một công ty giao dịch chứng khoán trực tuyến, đề nghị họ
mua 1.000 cổ phiếu của IBM trên thị tr−ờng. Nh−ng sau đó, ng−ời môi giới mua bán cổ
phiếu thông báo rằng anh ta chỉ nhận đ−ợc thông báo của bạn sau 2 giờ 30 phút chiều (một
đối thủ cạnh tranh nào đó đã làm trễ thông báo) và giá cổ phiếu lúc này đã tăng lên 15%
trong thời gian chuyển tiếp.
Bản quyền và sở hữu trí tuệ
Quyền đối với bản quyền và bảo vệ sở hữu trí tuệ cũng là các vấn đề cần đến an toàn,
mặc dù chúng đ−ợc bảo vệ thông qua các biện pháp khác nhau. Bản quyền là việc bảo vệ sở
hữu trí tuệ của một thực thể nào đó trong mọi lĩnh vực. Sở hữu trí tuệ là chủ sở hữu của các
ý t−ởng và kiểm soát việc biểu diễn các ý t−ởng này d−ới dạng ảo hoặc thực. Cũng giống
với xâm phạm an toàn máy tính, xâm phạm bản quyền gây ra các thiệt hại. Tuy nhiên, nó
không giống với các lỗ hổng trong an toàn máy tính. Tại Mỹ, luật bản quyền đã ra đời từ
năm 1976 và hiện nay có rất nhiều các trang Web đ−a ra các thông tin bản quyền.
Chính sách an toàn và an toàn tích hợp
Để bảo vệ các tài sản th−ơng mại điện tử của mình, một tổ chức cần có các chính sách an
toàn phù hợp. Một chính sách an toàn là một tài liệu công bố những tài sản cần đ−ợc bảo vệ
và tại sao phải bảo vệ chúng, ng−ời nào phải chịu trách nhiệm cho việc bảo vệ này, hoạt
động nào đ−ợc chấp nhận và hoạt động nào không đ−ợc chấp nhận. Phần lớn các chính sách
an toàn đòi hỏi an toàn vật lý, an toàn mạng, quyền truy nhập, bảo vệ chống lại virus và
khôi phục sau thảm hoạ. Chính sách phải đ−ợc phát triển th−ờng xuyên và nó là một tài liệu
sống, công ty hoặc văn phòng an toàn phải tra cứu và cập nhật th−ờng xuyên hay định kỳ,
thông qua nó.
Để tạo ra một chính sách an toàn, phải bắt đầu từ việc xác định các đối t−ợng cần phải
bảo vệ (ví dụ, bảo vệ các thẻ tín dụng khỏi bị những đối t−ợng nghe trộm). Sau đó, xác định
ng−ời nào có quyền truy nhập vào các phần của hệ thống. Tiếp theo, xác định tài nguyên
nào có khả năng bảo vệ các tài sản đã xác định tr−ớc. Đ−a ra các thông tin mà nhóm phát
triển chính sách an toàn đòi hỏi. Cuối cùng, uỷ thác các tài nguyên phần mềm và phần cứng
tự tạo ra hoặc mua lại, các rào cản vật lý nhằm thực hiện chính sách an toàn.Ví dụ, nếu
chính sách an toàn chỉ ra rằng, không một ai đ−ợc phép truy nhập trái phép vào thông tin
khách hàng và các thông tin nh− số thẻ tín dụng, khái l−ợc của tín dụng, chúng ta phải viết
phần mềm đảm bảo bí mật từ đầu này tới đầu kia (end to end) cho các khách hàng th−ơng
mại điện tử hoặc mua phần mềm (các ch−ơng trình hoặc các giao thức) tuân theo chính sách
an toàn này. Để đảm bảo an toàn tuyệt đối là rất khó, thậm chí là không thể, chỉ có thể tạo
ra các rào cản đủ để ngăn chặn các xâm phạm.
An toàn tích hợp là việc kết hợp tất cả các biện pháp với nhau nhằm ngăn chặn việc
khám phá, phá huỷ hoặc sửa đổi trái phép các tài sản. Các yếu tố đặc tr−ng của một chính
sách an toàn gồm:
8 Xác thực: Ai là ng−ời đang cố gắng truy nhập vào site th−ơng mại điện tử?
8 Kiểm soát truy nhập: Ai là ng−ời đ−ợc phép đăng nhập vào site th−ơng mại
điện tử và truy nhập vào nó?
8 Bí mật: Ai là ng−ời đ−ợc phép xem các thông tin có chọn lọc?
8 Toàn vẹn dữ liệu: Ai là ng−ời đ−ợc phép thay đổi dữ liệu và ai là ng−ời
không đ−ợc phép thay đổi dữ liệu?
8 Kiểm toán: Ai là ng−ời gây ra các biến cố, chúng là biến cố nh− thế nào và
xảy ra khi nào?
Trong phần này, chúng ta tập trung vào các vấn đề áp dụng các chính sách an toàn vào
th−ơng mại điện tử nh− thế nào. Tiếp theo, chúng ta sẽ tìm hiểu về các hiểm hoạ đối với
thông tin số, đầu tiên là các hiểm hoạ đối với sở hữu trí tuệ.
1.2 Các hiểm hoạ đối với sở hữu trí tuệ
Các hiểm hoạ đối với sở hữu trí tuệ là một vấn đề lớn và chúng đã tồn tại tr−ớc khi
Internet đ−ợc sử dụng rộng rãi. Việc sử dụng tài liệu có sẵn trên Internet mà không cần sự
cho phép của chủ nhân rất dễ dàng. Thiệt hại từ việc xâm phạm bản quyền rất khó −ớc tính
so với các thiệt hại do xâm phạm an toàn lên tính bí mật, toàn vẹn hay sẵn sàng (nh− đã
trình bày ở trên). Tuy nhiên, thiệt hại này không phải là nhỏ. Internet có mục tiêu riêng hấp
dẫn với hai lý do. Thứ nhất, có thể dễ dàng sao chép hoặc có đ−ợc một bản sao của bất cứ
thứ gì tìm thấy trên Internet, không cần quan tâm đến các ràng buộc bản quyền. Thứ hai, rất
nhiều ng−ời không biết hoặc không có ý thức về các ràng buộc bản quyền, chính các ràng
buộc bản quyền này bảo vệ sở hữu trí tuệ. Các ví dụ về việc không có ý thức và cố tình xâm
phạm bản quyền xảy ra hàng ngày trên Internet. Hầu hết các chuyên gia đều nhất trí rằng,
sở dĩ các xâm phạm bản quyền trên Web xảy ra là do ng−ời ta không biết những gì không
đ−ợc sao chép. Hầu hết mọi ng−ời không chủ tâm sao chép một sản phẩm đã đ−ợc bảo vệ và
gửi nó trên Web.
Mặc dù luật bản quyền đã đ−ợc ban bố tr−ớc khi Internet hình thành, Internet đã làm rắc
rối các ràng buộc bản quyền của nhà xuất bản. Nhận ra việc sao chép trái phép một văn bản
khá dễ dàng, còn không cho phép sử dụng trái phép một bức tranh trên một trang Web là
một việc rất khó khăn. Trung tâm Berkman về Internet và xã hội tại tr−ờng luật Harvard mới
đây đã giới thiệu một khoá học có tiêu đề "Sở hữu trí tuệ trong không gian máy tính". The
Copyright Website giải quyết các vấn đề về bản quyền, gửi các nhóm tin và sử dụng không
gian lận. Sử dụng không gian lận cho phép sử dụng giới hạn các tài liệu bản quyền sau khi
thoả mãn một số điều kiện nào đó.
Trong một vài năm trở lại đây, xảy ra sự tranh chấp về quyền sở hữu trí tuệ và các tên
miền của Internet. Các toà án đã phải giải quyết rất nhiều tr−ờng hợp xoay quanh hoạt động
Cybersquatting. Cybersquatting là một hoạt động đăng ký tên miền, đúng hơn là đăng ký
nhãn hiệu của một cá nhân hay công ty khác và ng−ời chủ sở hữu sẽ trả một số l−ợng lớn
đôla để có đ−ợc địa chỉ URL.
1.3 Các hiểm hoạ đối với th−ơng mại điện tử
Có thể nghiên cứu các yêu cầu an toàn th−ơng mại điện tử bằng cách kiểm tra toàn bộ
quy trình, bắt đầu với khách hàng và kết thúc với máy chủ th−ơng mại. Khi cần xem xét
từng liên kết logic trong "dây chuyền th−ơng mại", các tài sản phải đ−ợc bảo vệ nhằm đảm
bảo th−ơng mại điện tử an toàn, bao gồm các máy khách, các thông báo đ−ợc truyền đi trên
các kênh truyền thông, các máy chủ Web và máy chủ th−ơng mại, gồm cả phần cứng gắn
với các máy chủ. Khi viễn thông là một trong các tài sản chính cần đ−ợc bảo vệ, các liên
kết viễn thông không chỉ là mối quan tâm trong an toàn máy tính và an toàn th−ơng mại
điện tử. Ví dụ, nếu các liên kết viễn thông đ−ợc thiết lập an toàn nh−ng không có biện pháp
an toàn nào cho các máy khách hoặc các máy chủ Web, máy chủ th−ơng mại, thì chắc chắn
không tồn tại an toàn truyền thông. Một ví dụ khác, nếu máy khách bị nhiễm virus thì các
thông tin bị nhiễm virus có thể đ−ợc chuyển cho một máy chủ th−ơng mại hoặc máy chủ
Web. Trong tr−ờng hợp này, các giao dịch th−ơng mại chỉ có thể an toàn chừng nào yếu tố
cuối cùng an toàn, đó chính là máy khách.
Các mục tiếp theo trình bày bảo vệ các máy khách, bảo vệ truyền thông trên Internet và
bảo vệ các máy chủ th−ơng mại điện tử. Tr−ớc hết chúng ta xem xét các hiểm hoạ đối với
các máy khách.
Các mối hiểm hoạ đối với máy khách
Cho đến khi biểu diễn đ−ợc nội dung Web, các trang Web chủ yếu ở trạng thái tĩnh.
Thông qua ngôn ngữ biểu diễn siêu văn bản HTML (ngôn ngữ mô tả trang Web chuẩn), các
trang tĩnh cũng ở dạng động một phần chứ không đơn thuần chỉ hiển thị nội dung và cung
cấp liên kết các trang Web với các thông tin bổ xung. Việc sử dụng rộng rãi các nội dung
động (active content) đã dẫn đến điều này.
Khi nói đến active content, ng−ời ta muốn nói đến các ch−ơng trình đ−ợc nhúng vào các
trang Web một cách trong suốt và tạo ra các hoạt động. Active content có thể hiển thị hình
ảnh động, tải về và phát lại âm thanh, hoặc thực hiện các ch−ơng trình bảng tính dựa vào
Web. Active content đ−ợc sử dụng trong th−ơng mại điện tử để đặt các khoản mục mà
chúng ta muốn mua trong một thẻ mua hàng và tính toán tổng số hoá đơn, bao gồm thuế
bán hàng, các chi phí vận chuyển bằng đ−ờng thuỷ và chi phí xử lý. Các nhà phát triển nắm
lấy active content vì nó tận dụng tối đa chức năng của HTML và bổ xung thêm sự sống
động cho các trang Web. Nó cũng giảm bớt gánh nặng cho các máy chủ khi phải xử lý
nhiều dữ liệu và gánh nặng này đ−ợc chuyển bớt sang cho các máy khách nhàn rỗi của
ng−ời sử dụng.
Active content đ−ợc cung cấp theo một số dạng. Các dạng active content đ−ợc biết đến
nhiều nhất là applets, ActiveX controls, JavaScript và VBScript.
JavaScript và VBScript cho các script (tập các chỉ lệnh) hoặc các lệnh có thể thực hiện
đ−ợc, chúng còn đ−ợc gọi là các ngôn ngữ kịch bản. VBScript là một tập con của ngôn ngữ
lập trình Visual Basic của Microsoft, đây là một công cụ biên dịch nhanh gọn và mềm dẻo
khi sử dụng trong các trình duyệt Web và các ứng dụng khác có sử dụng Java applets hoặc
ActiveX controls của Microsoft.
Applet là một ch−ơng trình nhỏ chạy trong các ch−ơng trình khác và không chạy trực
tiếp trên một máy tính. Điển hình là các applet chạy trên trình duyệt Web.
Còn có các cách khác để cung cấp active content, nh−ng chúng không phổ biến với nhiều
ng−ời, chẳng hạn nh− các trình Graphics và các trình duyệt Web plug-ins. Các tệp Graphics
có thể chứa các chỉ lệnh ẩn đ−ợc nhúng kèm. Các chỉ lệnh này đ−ợc thực hiện trên máy
khách khi chúng đ−ợc tải về. Các ch−ơng trình hoặc các công cụ biên dịch thực hiện các chỉ
lệnh đ−ợc tìm thấy trong ch−ơng trình Graphics, một số khuôn dạng khác có thể tạo ra các
chỉ lệnh không có lợi (ẩn trong các chỉ lệnh graphics) và chúng cũng đ−ợc thực hiện. Plug-
ins là các ch−ơng trình biên dịch hoặc thực hiện các chỉ lệnh, đ−ợc nhúng vào trong các
hình ảnh tải về, âm thanh và các đối t−ợng khác.
Active content cho các trang Web khả năng thực hiện các hoạt động. Ví dụ, các nút nhấn
có thể kích hoạt các các ch−ơng trình đ−ợc nhúng kèm