An toàn dữ liệu đối với bài toán SelfCare của hệ thống chăm sóc khách hàng
Trang 1Lĩnh vực Công nghệ thông tin
An toàn dữ liệu đối với bài toán SelfCare của hệ thống chăm sóc khách hàng
ThS Đặng Hà Vinh, KS Nguyễn Xuân Hào
Trung tâm Công nghệ thông tin Giới thiệu:
Hiện nay, các hệ thống chăm sóc khách hàng tại các bu điện tỉnh/thành đã phát huy
đợc những kết quả tốt trong việc ứng dụng công nghệ thông tin vào việc phục vụ sản xuất kinh doanh Với một quy trình nghiệp vụ khép kín, các chức năng ngày càng đợc hoàn thiện, nên ngoài việc đáp ứng các yêu cầu về thay đổi nghiệp vụ thì chất lợng phục vụ khách hàng cũng luôn đợc hoàn thiện và nâng cao hơn
Trớc sự phát triển nhanh chóng của thơng mại điện tử, hệ thống chăm sóc khách hàng cũng đang có những bớc thay đổi để hoà nhập với xu hớng phát triển của thế giới Đó là việc
đa dần các chức năng giao diện ra phía khách hàng, nhằm cung cấp các chức năng cho phép khách hàng tự chăm sóc quản lý thuê bao dịch vụ của mình qua môi trờng Internet (SelfCare)
Bài viết này sẽ đề cập đến vấn đề đợc quan tâm hàng đầu đối với bài toán SelfCare -không chỉ với nhà cung cấp dịch vụ mà còn đối với cả khách hàng Đó là các yêu cầu về an toàn dữ liệu đối với bài toán SelfCare của hệ thống chăm sóc khách hàng
1.Mô hình bài toán SelfCare trong hệ thống chăm sóc khách hàng
Nhõn viờn khai thỏc
Application Server
Database Server
Internet Khỏch hàng
Firewall
Hình 1 Mô hình SelfCare của hệ thống chăm sóc khách hàng
Mô hình của bài toán SelfCare của hệ thống chăm sóc khách hàng, xét về mặt tổng quát thì cũng không có sự khác biệt nh các bài toán thơng mại điện tử khác trên Internet Tuy nhiên, chúng ta sẽ đi sâu vào chi tiết để sẽ thấy rõ đợc sự những đặc thù riêng của hệ thống, đó là:
- Tính phức tạp, đa dạng về nghiệp vụ: Nh chúng ta đã biết, hệ thống chăm sóc khách hàng
có một quy trình nghiệp vụ hết sức phức tạp, gồm rất nhiều các chức năng kết hợp lại với nhau Từ chức năng ban đầu là Lập hợp đồng cho đến chức năng Thanh toán cớc phí phải trải qua rất nhiều các chức năng, quy trình xử lý, tính toán Nên yêu cầu đặt ra đối với hệ thống là tính thống nhất, toàn vẹn cao Bất cứ một sự cố dù nhỏ xảy ra cũng có thể ảnh h -ởng đến toàn bộ quá trình hoạt động trong toàn hệ thống
- Yêu cầu cao về tính sẵn sàng: đối với những đơn vị có số lợng khách hàng lớn, thì yêu cầu đảm bảo tính hoạt động liên tục của hệ thống là một yêu cầu bắt buộc Việc hệ thống ngừng hoạt động sẽ dẫn đến những thiệt hại rất lớn đối với cả khách hàng cũng nh với
đơn vị Theo đó là uy tín của đơn vị sẽ bị giảm sút, dẫn đến mất khách hàng Ví dụ nh với chức năng Quản lý thu nợ
Do đó, khi khách hàng đăng nhập vào hệ thống SelfCare để sử dụng các dịch vụ đơc cung
Trang 2Hội nghị Khoa học lần thứ 5
của hệ thống Ngoài việc đảm bảo an toàn không bị những kẻ xâm nhập trái phép lấy trộm
để sử dụng vào các mục đích xấu xâm phạm vào quyền lợi kinh tế và quyền bảo vệ thông tin cá nhân của khách hàng, thì việc đảm bảo để hệ thống hoạt động không gặp sự cố đều là những yêu cầu cấp thiết
2.Các biện pháp bảo mật của hệ thống
Dới đây chúng tôi sẽ trình bày một số giải pháp bảo mật đợc áp dụng cho bài toán SelfCare của hệ thống chăm sóc khách hàng
2.1.Mã hoá sử dụng khoá công khai
Mã hoá là thực hiện quá trình chuyển dạng thông tin, khiến cho ngoài ngời nhận ra thì không ai có thể xem đợc thông tin này Khi ngời nhận nhận đợc thông tin đã mã hoá này, họ cần thực hiện thủ tục giải mã để đa thông tin về dạng ban đầu Việc mã hoá và giải mã đợc thực hiện bằng những cipher, là những hàm toán học có chức năng chuyển dạng thông tin Hiện nay, thông tin đợc bảo mật không phải nhờ cipher (bởi các cipher đều rất thông dụng),
mà nhờ các khoá cipher cần để có thể hoạt động
Khi sử dụng phơng pháp này, hai đầu trao đổi thông tin sử dụng hai khoá khác nhau Quá trình đợc thực hiện theo mô hình mã hoá sử dụng khoá công khai
Theo phơng pháp này, mỗi ngời sẽ có một khoá riêng bí mật của riêng mình, và một khoá công khai tơng ứng Khoá công khai này đợc công khai để mọi ngời đều biết Khi cần gửi thông tin đến cho một ngời, việc mã hoá sẽ đợc thực hiện bằng khoá công khai của ngời đó Thông tin sau khi đã mã hoá chỉ có thể giải mã khi có khoá riêng tơng ứng
Sử dụng phơng pháp mã hoá-giải mã sử dụng khoá không đối xứng yêu cầu lợng tính toán nhiều hơn so với mã hoá đối xứng Do đó, nó không thích hợp khi cần truyền một lợng lớn thông tin
Giải pháp mã hoá đợc áp dụng trong những chức năng cần trao đổi thông tin không cần độ an toàn cao nh: các chức năng tra cứu thông tin, tra cứu cớc, nợ của khách hàng, hoặc gửi hoá đơn cho khách hàng qua địa chỉ e-mail
2.2.Secure Socket Layer (SSL)
SSL do Netscape phát triển, và hiện tại đang đợc sử dụng rộng rãi SSL thực hiện những chức năng quan trọng của việc đảm bảo an toàn truyền tin trên Internet nh: an toàn thông tin, chữ ký điện tử, thanh toán trực tuyến
Giao thức TCP/IP thực hiện việc định tuyến và chuyển thông tin trên mạng Internet Các giao thức nh HTTP, LDAP, IMAP hoạt động ở phía trên của TCP/IP Khi hoạt động, SSL nằm trên TCP/IP và nằm dới các giao thức lớp cao đó
Khi SSL hoạt động, nó giúp cho server có thể tự chứng thực mình khi giao tiếp với client,
và ngợc lại, nó cho phép client tự chứng thực khi giao tiếp với server SSL cũng cho phép cả hai đầu thiết lập một kết nối đợc mã hoá
Server hay client có thể ứng dụng kỹ thuật mã hoá khoá công khai để chứng thực đợc
đầu bên kia Bằng cách này, server hay client thấy đợc đầu bên kia đã đợc chứng nhận bởi một CA (certificate authority) trong danh sách các CA có thể tin tởng của mình
Khi giữa hai đầu thực hiện một kết nối đợc mã hoá, thông tin truyền giữa hai đầu đợc bảo
đảm tránh khỏi nghe trộm cũng nh bị thay đổi trên đờng truyền
Giao thức SSL bao gồm hai giao thức nhỏ: SSL-record và SSL-handshake:
Giao thức SSL-record xác định các định dạng để truyền thông tin Bởi giao thức SSL
là một giao thức đợc phân lớp nên, cũng giống nh các giao thức đợc phân lớp khác, nó nhận gói tin của lớp trên, thực hiện các thao tác nh cắt, thực hiện các thao tác của riêng mình, thêm tiêu đề, đóng thành gói và gửi xuống lớp dới
Giao thức SSL-handshake thực hiện các thao tác bắt tay giữa server và client Một phiên làm việc SSL luôn đợc bắt đầu bằng việc trao đổi những bản tin phục vụ việc thiết lập kết nối đợc gọi là SSL Handshake Handshake cho phép server có thể tự chứng thực mình cho client thấy bằng cách sử dụng kỹ thuật mã hoá khoá công khai Sau đó cho phép server và client có thể thoả thuận về khoá đối xứng sẽ sử dụng trong phiên SSL đó
Trong quá trình trao đổi thông tin ban đầu đó diễn ra nh sau:
Trang 3Lĩnh vực Công nghệ thông tin
1 Client gửi tới server gói hello chứa các thông tin mà server cần để có thể giao tiếp với client bằng SSL nh: version của SSL client dùng, các thiết đặt cipher
2 Server gửi tới client các thông tin của server tơng ứng với bớc 1 Nếu server cần client
tự chứng thực thì sẽ gửi thông tin yêu cầu việc này
3 Client sử dụng các thông tin vừa nhận đợc để chứng thực server Nếu việc chứng thực này không thực hiện đợc thì phiên làm việc bị kết thúc ngay ở phần handshake này
4 Client tạo ra thông tin premaster secret cho phiên làm việc, sau đó mã hoá bằng khoá công khai của server (khoá công khai này đợc server gửi trong bớc 2) rồi gửi cho server
Error: Reference source not found
5 Nếu trong bớc 2 server yêu cầu client tự chứng thực thì client sẽ gửi thêm các thông tin tự chứng thực mình cùng với premaster secret
6 Nếu server yêu cầu client tự chứng thực thì ở bớc này server sẽ kiểm tra các thông tin chứng thực của client Nếu không chứng thực đợc client, tất nhiên, phiên làm việc cũng bị huỷ bỏ Sau khi chứng thực client xong, server sẽ sử dụng khoá riêng của mình để giải mã thông tin về premaster secret Từ thông tin này server sẽ thực hiện một số thao tác để tạo ra master secret Phía client cũng thực hiện các thao tác giống
nh vậy để tạo ra master secret
7 Cả client và server cùng dùng master secret để tạo ra session key, là khoá đối xứng sẽ
sử dụng để mã hoá thông tin truyền giữa hai bên sau này
8 Client gửi tới server thông tin rằng tất cả các bản tin sau này sẽ đợc mã hoá bằng khoá đối xứng Và tiếp theo đó là bản tin đã đợc mã hoá bằng khoá đối xứng thông báo rằng handshake ở phía client đã kết thúc
9 Server gửi tới client hai bản tin tơng tự nh hai bản tin ở bớc 8
10 SSL handshake đã kết thúc, server và client bắt đầu trao đổi thông tin với nhau
Giải pháp này đòi hỏi phải qua một nhà cung cấp xác thực an toàn trên Internet, ví dụ nh VeriSign, để thực hiện các xác thực thông qua máy chủ của nhà cung cấp
3 Kết luận
Xuất phát từ yêu cầu đảm bảo an toàn dữ liệu đối với bài toán SelfCare của hệ thống chăm sóc khách hàng, nhóm tác giả đã nghiên cứu các giải pháp bảo mật áp dụng cho thơng mại điện tử phổ biến nhất hiện nay nh mã hoá công khai, Secure Socket Layer (SSL) và đã
áp dụng vào để giải quyết trong bài toán
Qua quá trình nghiên cứu áp dụng, nhóm tác giả cũng đã đúc kết đợc những kinh nghiệm quý báu với vấn đề bảo mật Kết quả áp dụng các giải pháp bảo mật của bài toán SelfCare hoàn toàn có thể đa vào áp dụng trong các bài toán chăm sóc khách hàng qua Internet nói chung
Tài liệu tham khảo
1 Guide to Securing Your Web Site For Business - VeriSign Inc
2 Building an E-Commerce Trust Infrastructure - VeriSign Inc
