Một phần của SSL [Secure Socket Layer] đã có trong bộ trình duyệt của khách hàng Đó là một cơ chế mã hóa [encryption] để tiếp nhận đơn hàng, các yêu cầu và các trình ứng dụng khác Nó không giúp bảo vệ chống lại toàn bộ các vấn đề xâm phạm an toàn Nó đơn giản và được sử dụng rộng rải
Bạn đang xem nội dung tài liệu Chương 7 Vấn đề an toàn trong Thương mại điện tử - TS Nguyễn Đức Trí, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Chương 7 Vấn đề an toàn trong Thương mại điện tử Trình bày TS Nguyễn Đức Trí Chủ nhiệm Bộ môn Du lịch Khoa Thương mại Du lịch Đại học Kinh tế TP. HCM Cấu hình mạng TMĐT an toan 21 June 2002 Security Issues2 Tổ chức mạng an toan 21 June 2002 Security Issues3 Proxy 21 June 2002 Security Issues4 Cấu truc bảo an DMZ 21 June 2002 Security Issues5 21 June 2002 Security Issues6 SSL và SET: Ai sẽ thắng? Một phần của SSL [Secure Socket Layer] đã có trong bộ trình duyệt của khách hàng Đó là một cơ chế mã hóa [encryption] để tiếp nhận đơn hàng, các yêu cầu và các trình ứng dụng khác Nó không giúp bảo vệ chống lại toàn bộ các vấn đề xâm phạm an toàn Nó đơn giản và được sử dụng rộng rải SET [ Secure Electronic Transaction] là một giao thức bảo an rất hoàn hảo Nó cung cấp tính riêng tư, chứng thật, an toàn và rào cản Nó ít được sử dụng do tính phức tạp của nó và sự đòi hỏi phải có các bộ đọc card đặc biệt cho người sử dụng Nó có thể bị tẩy chay nếu nó không được làm cho đơn giản hóa hơn hay hoàn thiện hơn 21 June 2002 Security Issues7 Yêu cầu bảo an Thanh toán, giao thức và các vấn đề có liên quan Chứng thật: Là cách kiểm tra người mua trước khi việc thanh toán được thực hiện Toàn vẹn: Bảo đảm rằng các thông tin sẽ không bị thay đổi, xóa do sơ xuất trong quá trình truyền dẫn Mã hóa: Qui trình làm cho các thông điệp không thể đọc hay sử dụng được ngoại trừ những người có khóa giải mã chúng Quyền riêng tư: người bán không nhất thiết phải biết thông tin về thẻ tín dụng của người mua. Điều này cần được thực hiện để bảo đảm quyền riêng tư của khách hàng 21 June 2002 Security Issues8 Qui trình bảo an Khóa bí mật - Secret Key Cryptography [symmetric] Thông điệp được mã hóa Thông điệp nguyên thủy Người gửi InternetThông điệp được mã hóa Khóangười gửi [= Khóangười nhận] Mã hóa Thông điệp nguyên thủy Người nhận Khóangười nhận Giải mã 21 June 2002 Security Issues9 Khóa công cộng - Public Key Cryptography Sender Original Message Scrambled Message Scrambled Message Public Keyreceiver Original Message Receiver Private Keyreceiver Internet Qui trình bảo an... Message Sender Original Message Scrambled Message Scrambled Message Private Keysender Original Message Receiver Public Keysender Internet Digital Signature 21 June 2002 Security Issues10 Chữ ký điện tử - Digital Signature Chữ ký số được người gửi gửi kèm theo thông điệp được mã hóa bằng khóa công cộng Người nhận là người duy nhất có thể đọc thông điệp và anh ta là người có thể biết chắc chắn rằng thông điệp do người nào đã gửi Người gửi mã hóa thông điệp với khóa riêng Bất kỳ người nhận nào có khóa công cộng của người gửi đều có thể đọc được Qui trình bảo an... Từ chữ ký tương đương đến chữ ký bằng tay - Analogous to handwritten signature 21 June 2002 Security Issues11 Chữ ký điện tử 21 June 2002 Security Issues12 Chứng nhận - Certificate Name : “Richard” key-Exchange Key : Signature Key : Serial # : 29483756 Other Data : 10236283025273 Expires : 6/18/96 Signed : CA’s Signature Qui trình bảo an... Xác định người giữ khóa công cộng [trao đổi khóa Key- exchange] Cấp bởi cơ quan chứng thật có uy tín - certificate authority [CA] 21 June 2002 Security Issues13 Cơ quan cấp giấy chứng nhận – ví dụ VeriSign RCA BCA GCA CCA MCA PCA RCA : Root Certificate Authority – Cơ quan chứng nhận nguồn BCA : Brand Certificate Authority - Cơ quan chứng nhận nhãn hiệu GCA : Geo-political Certificate Authority - Cơ quan chứng nhận theo địa lý chính trị CCA : Cardholder Certificate Authority - Cơ quan chứng nhận người sở hữu card MCA : Merchant Certificate Authority - Cơ quan chứng nhận người bán PCA : Payment Gateway Certificate Authority – Cơ quan chứng nhận cổng thanh toán Cách phân chia tầng lớp các cơ quan chứng nhận Qui trình bảo an Có thể là một tổ chức công cộng hay cá nhân Là bên thứ 3 đáng tin cậy Cấp Chứng nhận số Chứng nhận rằng khóa công cộng thuộc về một cá nhân nào đó 21 June 2002 Security Issues14 Giao thức SET - Secure Electronic Transaction Protocol 1. Thông điệp được đưa vào bộ ‘tiêu hóa’ thông tin [hay bộ đọc thông điệp - message digest]. 2. Bộ tiêu hóa thông tin sẽ mã hóa với khóa chữ ký riêng của người gửi, và chữ ký số được tạo ra. 3. Nội dung thông điệp, chữ ký số và chứng nhận của người gửi được mã hóa với khóa đồng đẳng [symmetric key] được tạo ra bởi máy của người gửi cho từng giao dịch. Kết quả là một thông điệp được mã hóa. Giao thức SET dùng hệ Algarit DES thay vì RSA bởi vì DES có thể mã hóa nhanh hơn nhiều so với RSA. 4. Khóa đồng đẳng được mã hóa với khóa công cộng của người nhận vốn đã được gửi đến người gửi trước đó. Kết quả là một bức thư số được tạo ra. Máy tính của người gửi 21 June 2002 Security Issues15 Máy tính của người gửi Khóa chữ ký riêng của người gửi Chứng nhận của người gửi + + Message + Chữ ký số Chứng nhận Của người nhận Mã hóa Khóa đồng đẳng Thông điệp được mã hóa Khóa trao đổi của người nhận Mã hóa Bao thư số Message Bộ đọc thông điệp 21 June 2002 Security Issues16 5. Thông điệp được mã hóa và bao thư số được chuyển đến máy của người nhận thông qua Internet. 6. Bao thư số được giải mã với khóa trao đổi của người nhận. 7. Sử dụng khóa đồng đẳng, thông điệp được mã hóa có thể được tra về hiện trạng thông điệp, chữ ký số và chứng nhận của người gửi. 8. Để xác định tính toàn vẹn [integrity], chữ ký số được giải mã bời khóa công cộng của người gửi. 9. Thông điệp được thành thông điệp được giải mã. 10. Các thông điệp được giải mã đạt được ở các bước 8 & 9 được so sánh bởi người nhận nhằm xác định xem có thay đổi nào không trong quá trình di chuyển. Bước này xác định tính toàn vẹn của thông điệp. Máy tính của người nhận Giao thức SET... 21 June 2002 Security Issues17 Máy tính của người gửi Giải mã Khóa đồng đẳng Thông điệp được mã hóa Chứng nhận Của Người gửi + + Thông điệp So sánh Bao thư số Khoá trao đổi riêng của người gửi Giải mã Thông điệp được đọcChữ ký số Khoá chữ ký công cộng của người gửi Giải mã Thông điệp được đọc 21 June 2002 Security Issues18 Giao thức SET được dùng trong TMĐT Bộ đọc IC Card Khách hàng X Khách hàng Y Với Ví điện tử Cơ quan chứng nhận Cửa hàng điện tử Người bán A Người bán B Loại credit card Giao thức X.25 Cổng thanh toán 21 June 2002 Security Issues19 SET so với SSL Secure Electronic Transaction [SET] Secure Socket Layer [SSL] Phức tạp Đơn giản SET phục vụ nhu cầu nhận thanh toán bằng credit card của người bán. SSL là giao thức bảo mật tổng quát cho các trao đổi thông điệp [mã hóa]. Giao thức SET giấu thông tin về Credit card của khách hàng khỏi người bán, và cũng giấu thông tin đối với ngân hàng, để bảo vệ quyền riêng tư của khách hàng. Giao thức SSL có thể dùng chứng nhận, nhưng nó không có cổng thanh tóan. Vì vậy, người bán cần nhận cả thông tin đặt hàng lẫn thông tin về thẻ tín dụng và qui trình này do người bán quyết định.
Thanh toán điện tử an toàn [tiếng Anh: Secure Electronic Transaction, viết tắt: SET] là một giao thức chuẩn để đảm bảo an toàn thanh toán cho các thẻ tín dụng trên một số mạng truyền thông không tin cậy, nhất là trên Internet.
Khái niệm
Thanh toán điện tử an toàn trong tiếng Anh là secure electronic transaction.
Thanh toán điện tử an toàn [SET] là một giao thức chuẩn để đảm bảo an toàn thanh toán cho các thẻ tín dụng trên một số mạng truyền thông không tin cậy, nhất là trên Internet.
Bản thân SET không phải là một hệ thống thanh toán mà thực ra là một tập hợp giao thức và thủ tục cho phép người dùng có thể thực hiện cơ chế sẵn có của một hệ thống thanh toán thẻ một cách an toàn trong môi trường mở.
SET được phải triển bởi SETco, một công ty an ninh mạng do VISA và MasterCard chỉ đạo, kể từ năm 1996 và sau đó một số công ty khác như GTE, IBM, Microsoft, Netscape, RSA và Verisign cũng tham gia.
SET cho phép các bên đối tác nhận dạng ra nhau [thông tin nhận dạng đã mã hóa] và sau đó trao đổi thông tin một cách an toàn.
Thành phần
Hệ thống của SET có 3 thành phần:
- Giao diện ví điện tử được cài đặt trong thẻ/máy tính của người trả tiền [người mua].
- Giao diện ở máy tính/máy đọc thẻ của người nhận tiền [người bán].
- Giao diện tại máy chủ của ngân hàng phát hành thẻ liên kết với máy chủ ngân hàng có tài khoản của người nhận tiền.
Khi người mua đưa thẻ để trả tiền, người bán cắm vào máy để máy đọc và ghi lại toàn bộ thông tin đã mã hóa gửi đến cho ngân hàng cấp thẻ. Tại đó các thông tin được giải mã, ngân hàng nhận diện [tài khoản] của người trả tiền và của người nhận tiền, nếu đúng sẽ thông báo chấp nhận thanh toán và bộ phận kế toàn thực hiện việc chuyển khoản từ tài khoản người trả tiền đến tài khoản người nhận tiền.
Khi thực hiện xong - hoặc chấp nhận thực hiện - bộ phận kế toàn tại ngân hàng thông báo cho cả hai bên người trả tiền và người nhận tiền là giao dịch đã hoàn thành.
Ưu điểm của SET
Nói chung hiện nay các ngân hàng đang thực hiện giao dịch thanh toán thẻ tín dụng qua mạng đều tin tưởng vào hệ thống SET vì hệ thống này đảm bảo việc nhận dạng chính xác các đối tác trả tiền và nhận tiền, đồng thời không cho phép người nhận tiền giải mã để nắm được thông tin trong thẻ của người trả tiền, điều này giảm bớt nguy cơ bị trộm thông tin thẻ [pharming].
SET là một hệ thống thanh toán đảm bảo được các yêu cầu: xác nhận được các đối tác tham gia giao dịch, không thể chối bỏ, thông tin thanh toán minh bạch và được bảo mật an toàn, thực hiện thanh toán nhanh.
Tuy nhiên vì các chi tiết giao dịch và đối tác đều được lưu ít nhất là trên bộ phận kế toán ngân hàng cho nên việc thanh toán không đảm bảo được bí mật, riêng tư cho người mua và người bán.
[Theo Thương mại điện tử trong thời đại số, NXB Thông tin và truyền thông]