An ninh thông tin cho sàn giao dịch thương mại điện tử tỉnh thái nguyên

Nguy hiểm bởi: nó xuất phát từ phía những kẻ có chuyên môn cao và sử dụng kỹ thuật tinh vi như đoán mật khẩu, khai thác các điểm yếu của hệ thống và các chương trình hệ thống, giả mạo đị

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Người hướng dẫn khoa học: PGS.TS Đỗ Trung Tuấn

THÁI NGUYÊN - 2017

LỜI CAM ĐOAN

Tôi xin cam đoan luận văn này do chính tôi thực hiện, dưới sự hướng dẫn khoa học của PGS.TS Đỗ Trung Tuấn, các kết quả lý thuyết được trình bày trong luận văn là sự tổng hợp từ các kết quả đã được công bố và có trích dẫn đầy đủ, số liệu và kết quả của chương trình thực nghiệm trong luận văn này được tác giả thực hiện là hoàn toàn trung thực, nếu sai tôi hoàn toàn chịu trách nhiệm

LỜI CẢM ƠN

Luận văn này được hoàn thành tại Trường Đại học Công nghệ Thông tin và Truyền thông dưới sự hướng dẫn của PGS.TS Đỗ Trung Tuấn Tác giả xin bày tỏ lòng biết ơn tới các thầy cô giáo thuộc Trường Đại học Công nghệ Thông tin và Truyền thông đã tạo điều kiện và giúp đỡ tác giả trong quá trình học tập và làm luận văn tại Trường, đặc biệt tác giả xin bày tỏ lòng biết ơn tới PGS.TS Đỗ Trung Tuấn

đã tận tình hướng dẫn và cung cấp nhiều tài liệu cần thiết để tác giả có thể hoàn thành luận văn đúng thời hạn

Xin chân thành cảm ơn anh chị em học viên cao học và bạn bè đồng nghiệp đã trao đổi, động viên và khích lệ tác giả trong quá trình học tập và làm luận văn tại Trường Đại học Công nghệ Thông tin và Truyền thông - Đại học Thái Nguyên

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CẢM ƠN ii

MỤC LỤC iii

DANH SÁCH CÁC TỪ VIẾT TẮT vi

DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂU vii

MỞ ĐẦU 1

CHƯƠNG 1: VỀ THƯƠNG MẠI ĐIỆN TỬ VÀ AN TOÀN THÔNG TIN 4

1.1 Khái niệm cơ bản về thương mại điện tử 4

1.1.1 Giới thiệu 4

1.1.2 Mua hàng 4

1.1.3 Bán hàng 5

1.1.4 Khái niệm thương mại điện tử 6

1.1.5 Đặc trưng của thương mại điện tử 7

1.1.6 Hạ tầng kĩ thuâ ̣t của thương mại điện tử 7

1.1.7 Hạ tầng thanh toán 8

1.2 An toàn thông tin thương mại điện tử 11

1.2.1 Vấn đề an toàn thông tin 11

1.2.2 Chứng chỉ số và cơ chế mã hóa 14

CHƯƠNG 2: MỘT SỐ THUẬT TOÁN VÀ KỸ THUẬT MÃ HÓA TRONG THƯƠNG MẠI ĐIỆN TỬ 27

2.1 Mã khóa công khai RSA 27

2.1.1 Định nghĩa 27

2.1.2 Các điều kiện của một hệ mã công khai 27

2.2 An toàn thông tin với hệ mật mã RSA 28

2.2.1 Khái niệm hệ mật mã RSA 28

2.2.2 Độ an toàn của RSA 30

2.2.3 Một số tính chất của hệ RSA 31

2.2.4 Ứng dụng của RSA 32

2.2.5 Ưu nhược điểm của mật mã khóa công khai 32

2.3 Secure Socket Layer (SSL) 33

2.3.1 Giới thiệu SSL 33

2.3.2 Cơ chế mã hóa của SSL 33

2.3.3 Các thuật toán mã hóa trong SSL 36

2.4 Hàm băm (Cryptographic hash function) 36

2.4.1 Giới thiệu hàm băm 36

2.4.2 Ứng dụng của hàm băm 37

2.4.3 Các hàm băm được chế tạo đặc biệt 38

2.5 MD5 (Message-Digest algorithm 5) 39

2.6 SHA (Secure Hash Algorithm) 40

2.7 Mã hóa đối xứng (Symmetric Encryption) 41

2.7.1 Giới thiệu mã hóa đối xứng 41

2.8 DES (Data Encryption Standard ) 42

2.8.1 AES (Advanced Encryption Standard) 43

CHƯƠNG 3: ỨNG DỤNG THỰC TIỄN TRÊN SÀN THƯƠNG MẠI ĐIỆN TỬ TỈNH THÁI NGUYÊN 44

3.1 Các giao thức trong Thương mại điện tử 44

3.1.1 Các loại hình TMĐT 44

3.1.2 Đặc điểm của thương mại điện tử 46

3.2 Chữ ký số trong Thương mại điện tử 47

3.2.1 Chữ ký số 47

3.2.2 Các ưu điểm chữ ký số 48

3.2.3 Chữ ký số khóa công khai 49

3.2.4 Hàm băm và ứng dụng chữ ký điện tử 51

3.3 Phân tích, đánh giá hoạt động thường xuyên trên sàn giao dịch Thương mại điện tử tỉnh Thái Nguyên 52

3.4 Hệ mã khóa RSA cho an toàn thông tin sàn giao dịch Thương mại điện tử tỉnh Thái Nguyên 53

3.5 Áp dụng an ninh mạng 54

3.5.1 Mã hóa đơn hàng 54

3.5.2 Giải mã đơn hàng 55

3.6 Kết quả thử nghiệm tại Sở Công Thương tỉnh Thái Nguyên 56

3.6.1 Thủ tục đăng kí thành viên 56

3.6.2 Khách hàng lựa chọn mua hàng trên website 57

KẾT LUẬN 60

1 Kết quả đạt được 60

2 Hướng phát triển 60

TÀI LIỆU THAM KHẢO 61

DANH SÁCH CÁC TỪ VIẾT TẮT

B2B (Bussiness To Business ) Doanh nghiệp với doanh nghiệp B2C (Bussiness To Consumer) Doanh nghiệp với người tiêu dùng B2E (Bussiness To Employee) Doanh nghiệp với nhân viên

B2G (Bussiness To Government) Doanh nghiệp với chính phủ

C2B (Consummer To Business) Người tiêu dùng với doanh nghiệp C2C (Consumer To Consumer) Người tiêu dùng với người tiêu dùng C2G (Consumer To Government) Người tiêu dùng với chính phủ

G2B (Government To Business) Chính phủ với doanh nghiệp

G2C (Government To Consumer) Chính phủ với người tiêu dùng G2G (Government To Government) Chính phủ với chính phủ

IANA asigned numbers Authority Cấp số được gán

SET ( Secure Electronic Transaction) Bảo mật giao dịch điện tử

DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂU

Hình 1.1 Khái niệm bán hàng 5

Hình 1.2: Sử dụng mật khẩu xác thực máy khách kết nối tới máy dịch vụ 16

Hình 1.3: Chứng chỉ số chứng thực cho may khách kết nối tới máy dịch vụ 17

Hình 1.4: Chứng chỉ khóa công khai dựa trên CA 19

Hình 1.5: Vị trí của các phương tiện bảo mật trong cấu trúc của giao thức TCP/IP 22

Hình 1.6: Các thành phần của bảo mật thương mại điện tử 24

Hình 2.1: Mã hóa với khóa mã và giải mã khác nhau 27

Hình 2.2: Sơ đồ các bước thực hiện mã hóa theo thuật toán RSA 29

Hình 2.3: Thiết lập một phiên SSL 34

Hình 2.4: Ví dụ hàm băm 37

Hình 2.5: Quá trình mã hóa đối xứng 41

Bảng 2.1: Thời gian dự đoán thực hiện phép tính 32

Nhưng mối đe dọa và hậu quả tiềm ẩn đối với thông tin trong hệ thống mạng phục vụ hoạt động TMĐT là rất lớn, và được đánh giá trên nhiều khía cạnh khác, như: kiến trúc hệ thống công nghệ thông tin, từ chính sách bảo mật thông tin, các công cụ quản lý và kiểm tra, quy trình phản ứng, v.v Nguy cơ mất an toàn thông tin tiềm ẩn trong chính sách bảo-mật/an-toàn thông tin, đó là: sự chấp hành các chuẩn

an toàn, tức là sự xác định rõ ràng cái được phép và không được phép trong khi vận hành hệ thống thông tin; thiết lập trách nhiệm bảo vệ thông tin không rõ ràng; việc chấp hành sử dụng các chuẩn bảo mật thông tin được phân cấp, chuẩn an toàn mạng, truy cập từ bên ngoài, chuẩn an toàn bức tường lửa; chính sách an toàn Internet,v.v;

Thông tin trong hệ thống TMĐT cũng sẽ dễ bị tổn thất nếu công cụ quản lý

và kiểm tra của các tổ chức quản lý điều khiển hệ thống không được thiết lập như: các quy định mang tính hành chính như duy trì kiểm tra tiêu chuẩn bảo mật thường

xuyên; các công cụ phát hiện âm mưu xâm nhập nhằm báo trước các ý đồ tiếp cận trái phép và giúp đỡ phục hồi những sự cố vốn không tránh khỏi; các công cụ kiểm tra tính toàn vẹn dữ liệu và thông tin tránh bị cá nhân bất hợp pháp và phương tiện khác thay đổi; công cụ chống virus,v.v; Nguy cơ mất thông tin trong hệ thống TMĐT còn tiềm ẩn ngay trong cấu trúc phần cứng của các thiết bị tin học (tất nhiên không phải là tất cả) và trong phần mềm hệ thống và ứng dụng (kể cả phần mềm mật mã thương mại) do hãng sản xuất cài sẵn các loại “rệp” điện tử theo ý đồ định trước-thường gọi là “bom điện tử” Khi cần thiết, thông qua kênh viễn thông, người

ta có thể điều khiển cho “nổ” tung thiết bị đang lưu trữ thông tin, hoặc tự động rẽ nhánh thông tin vào một địa chỉ đã định trước mỗi khi có sự truyền và xử lý thông tin của thiết bị (hay đang sử dụng phần mềm chương trình đó) đó trên mạng, thậm chí có thể điều khiển làm tê liệt hoặc làm tắc nghẽn hoạt động trao đổi thông tin của

cả hệ thống mạng nếu cần, v.v Ngày nay, các chuyên gia đánh giá nguy cơ tiềm tàng nguy hiểm nhất đối với mạng máy tính mở là đạo tặc tin học, xuất hiện từ phía bọn tội phạm và giới tình báo Nguy hiểm bởi: nó xuất phát từ phía những kẻ có chuyên môn cao và sử dụng kỹ thuật tinh vi (như đoán mật khẩu, khai thác các điểm yếu của hệ thống và các chương trình hệ thống, giả mạo địa chỉ IP, khai thác nguồn trên gói IP, đón lõng các trạm đầu cuối hoặc truy cập đang hoạt động, cài rệp điện

tử, bơm virus máy tính phá hoại CSDL, sửa nội dung thông tin theo ý đồ đen tối của chúng, thậm chí nếu cần còn có thể làm tắc nghẽn kênh truyền, v.v); hoạt động của chúng là có chủ đích và trên phạm vi rộng (như không những đối với từng cơ quan, doanh nghiệp mà còn đối với cả Chính phủ) Những tác hại mà chúng gây ra ảnh hưởng tới không chỉ riêng trong lĩnh vực kinh tế mà cả đối với lĩnh vực chính trị, an ninh-quốc phòng Bởi vậy, vấn đề bảo mật/an toàn thông tin trong hệ thống TMĐT phải là cả một kế hoạch tổng thể không đơn thuần chỉ có lĩnh vực sử dụng mật mã

Vì vậy, tác giả chọn làm đề tài “ An ninh thông tin cho sàn giao dịch Thương mại điện tử tỉnh Thái Nguyên” với mục đích hỗ trợ tư vấn về an toàn thông tin, an ninh mạng cho doanh nghiệp và người dân tham gia hoạt động, mua sắm trên sàn giao dịch Thương mại diện tử tỉnh Thái Nguyên

Các kết quả đạt được trong luận văn này là kết quả trong quá trình học tập và nghiên cứu của tác giả tại Trường Đại học Công nghệ Thông tin và Truyền thông Ngoài phần mở đầu, kết luận và tài liệu tham khảo, nội dung luận văn được trình bày thành ba chương:

 Chương 1: Trình bày các khái niệm cơ bản về thương mại điện tử và

an toàn thông tin trong thương mại điện tử

 Chương 2: Tác giả tìm hiểu về an toàn thông tin sử dụng hệ mã khóa RSA

 Chương 3: Áp dụng hệ mã khóa RSA vào sàn giao dịch thương mại điện tử tỉnh Thái Nguyên

CHƯƠNG 1

VỀ THƯƠNG MẠI ĐIỆN TỬ VÀ AN TOÀN THÔNG TIN

1.1 Khái niệm cơ bản về thương mại điện tử

1.1.1 Giới thiệu

Thương mại điện tử (còn gọi là thị trường điện tử, thị trường ảo, ECommerce hayE-Business) là quy trình mua bán ảo thông qua việc truyền dữ liệu giữa các máy tính trong chính sách phân phối của tiếp thị Tại đây một mối quan hệ thương mại hay dịch vụ trực tiếp giữa người cung cấp và khách hàng được tiến hành thông qua Internet

Hiện nay định nghĩa thương mại điện tử được rất nhiều tổ chức quốc tế đưa

ra song chưa có một định nghĩa thống nhất về thương mại điện tử

Khái niệm thương mại điện tử (TMĐT) cơ bản phải bao hàm các nội dung sau:

 Đó phải là một hoạt động kinh doanh thương mại, tức là phản ảnh một hoạt động mua bán hàng hoá và dịch vụ thông qua một chu trình kinh doanh thương mại: chào hàng, chào giá, đàm phán mua bán, ký hợp đồng mua bán, vận chuyển giao hàng, thanh lý hợp đồng và thanh toán

 Việc kinh doanh thương mại phải được thực hiện trong một môi trường đặc biệt đó là môi trường mạng máy tính nói chung và đặc biệt

là mạng internet

 Công nghệ thông tin đã tạo ra môi trường và phát triển các công nghệ cho TMĐT phát triển Công nghệ thông tin cũng mở ra một loại hàng hoá và dịch vụ đặc trưng là các hàng hoá và dịch vụ số (hàng hoá và dịch vụ phi vật thể được số hoá và có thể giao hàng ngay qua mạng) góp phần vào việc phát triển hình thức thương mại điện tử

1.1.2 Mua hàng

Mua hàng là hành vi mà người tiêu dùng (người mua) nhận về một lượng hàng hóa nhất định có thể thỏa mãn nhu cầu hay phần nào nhu cầu nào đó và ngược lại phải trao lại một lượng tiền nhất định cho người bán

Khái niệm: Mua hàng là hoạt động nghiệp vụ cơ bản của doanh nghiệp thương mại nhằm tạo ra nguồn hàng hóa để đảm bảo cung ứng đầy đủ kịp thời đồng

bộ đúng quy cách chủng loại cho các nhu cầu của khách hàng

Xuất phát từ nhu cầu hàng hóa trên thị trường, doanh nghiệp nghiên cứu các nguồn hàng, khả năng cung ứng từ các nhà cung cấp, đàm phán về giá cả, số lượng, chất lượng, thời gian, giao hàng, thanh toán đén khi ký kết hợp đồng mua bán

Hình 1.1 Khái niệm bán hàng

Theo một số quan điểm hiện đại phổ biến thì khái niệm bán hàng được định nghĩa như sau:

 Bán hàng là nền tảng trong kinh doanh đó là sự gặp gỡ của người bán

và người mua ở những nơi khác nhau giúp doanh nghiệp đạt được mục tiêu nếu cuộc gặp gỡ thành công trong cuộc đàm phán về việc trao đổi sản phẩm

 Bán hàng là quá trình liên hệ với khách hàng tiềm năng tìm hiểu nhu cầu khách hàng, trình bày và chứng minh sản phẩm, đàm phán mua bán, giao hàng và thanh toán

 Bán hàng là sự phục vụ, giúp đỡ khách hàng nhằm cung cấp cho khách hàng những thứ mà họ muốn

1.1.4 Khái niệm thương mại điện tử

Thương mại điện tử là hình thức mua bán hàng hóa và dịch vụ thông qua mạng máy tính tòan cầu Thương mại điện tử theo nghĩa rộng được định nghĩa trong Luật mẫu về Thương mại điện tử của Ủy ban Liên Hợp quốc về Luật Thương mại Quốc tế (UNCITRAL):

“Thuật ngữ Thương mại cần được diễn giải theo nghĩa rộng để bao quát các vấn đề phát sinh từ mọi quan hệ mang tính chất thương mại dù có hay không có hợp đồng Các quan hệ mang tính thương mại bao gồm các giao dịch sau đây: bất cứ giao dịch nào về thương mại nào về cung cấp hoặc trao đổi hàng hóa hoặc dịch vụ; thỏa thuận phân phối; đại diện hoặc đại lý thương mại, ủy thác hoa hồng; cho thuê dài hạn; xây dựng các công trình; tư vấn; kỹ thuật công trình; đầu tư; cấp vốn; ngân hàng; bảo hiểm; thỏa thuận khai thác hoặc tô nhượng; liên doanh các hình thức khác

về hợp tác công nghiệp hoặc kinh doanh; chuyên chở hàng hóa hay hành khách bằng đường biển, đường không, đường sắt hoặc đường bộ.”

Như vậy, có thể thấy rằng phạm vi của Thương mại điện tử rất rộng, bao quát hầu hết các lĩnh vực hoạt động kinh tế, việc mua bán hàng hóa và dịch vụ chỉ

là một trong hàng ngàn lĩnh vực áp dụng của Thương mại điện tử Theo nghĩa hẹp thương mại điện tử chỉ gồm các hoạt động thương mại đư ợc tiến hành trên mạng máy tính mở như Internet Trên thực tế, chính các hoạt động thương mại thông qua mạng Internet đã làm phát sinh thuật ngữ Thương mại điện tử

Thương mại điện tử gồm các hoạt động mua bán hàng hóa và dịch vụ qua phương tiện điện tử, giao nhận các nội dung kỹ thuật số trên mạng, chuyển tiền điện

tử, mua bán cổ phiếu điện tử, vận đơn điện tử, đấu giá thương mại, hợp tác thiết kế, tài nguyên mạng, mua sắm công cộng, tiếp thị trực tuyến tới người tiêu dùng và các dịch vụ sau bán hàng

Thương mại điện tử được thực hiện đối với cả thương mại hàng hóa (ví dụ như hàng tiêu dùng, các thiết bị y tế chuyên dụng) và thương mại dịch vụ (ví dụ như dịch vụ cung cấp thông tin, dịch vụ pháp lý, tài chính); các hoạt động truyền thống (như chăm sóc sức khỏe, giáo dục) và các hoạt động mới (ví dụ như siêu thị ảo) Thương mại điện tử đang trở thành một cuộc cách mạng làm thay đổi cách thức mua sắm của con người

1.1.5 Đặc trưng của thương mại điện tử

So với các hoạt động thương mại truyền thống, TMĐT có một số các đặc trưng cơ bản sau:

1 Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúc trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước

2 Các giao dịch thương mại truyền thống được thực hiện với sự tồn tại của khái niệm biên giới quốc gia, còn thương mại điện tử được thực hiện trong một thị trường không có biên giới (thị trường thống nhất toàn cầu) Thương mại điện tử trực tiếp tác động tới môi trường cạnh tranh toàn cầu

3 Trong hoạt động giao dịch TMĐT đều có sự tham gia của ít nhất ba chủ thể, trong đó có một bên không thể thiếu được là người cung cấp dịch vụ mạng, các cơ quan chứng thực

4 Đối với thương mại truyền thống thì mạng lưới thông tin chỉ là phương tiện để trao đổi dữ liệu, còn đối với TMĐT thì mạng lưới thông tin chính là thị trường

Thông qua TMĐT nhiều loại hình kinh doanh mới được hình thành Ví dụ: Các dịch vụ gia tăng giá trị trên mạng máy tính hình thành nên các nhà trung gian

ảo làm các dịch vụ môi giới cho giới kinh doanh và tiêu dùng, các siêu thị ảo được hình thành để cung cấp hàng hoá và dịch vụ trên mạng máy tính Các chủ cửa hàng thông thường ngày nay cũng đang đua nhau đưa thông tin lên Web để tiến tới khai thác mảng thị trường rộng lớn trên Web bằng cách mở cửa hàng ảo

1.1.6 Hạ tầng ki ̃ thuâ ̣t của thương mại điện tử

Tuỳ thuộc vào đối tác kinh doanh mà người ta gọi đó là thị trường B2B, B2C, C2B hay C2C Thị trường mở là những thị trường mà tất cả mọi người có thể

đăng ký và tham gia Tại một thị trường đóng chỉ có một số thành viên nhất định được mời hay cho phép tham gia Một thị trường ngang tập trung vào một quy trình kinh doanh riêng lẻ nhất định, ví dụ như lĩnh vực cung cấp: nhiều doanh nghiệp có thể từ các nghành khác nhau tham gia như là người mua và liên hệ với một nhóm nhà cung cấp Ngược lại thị trường dọc mô phỏng nhiều quy trình kinh doanh khác nhau của một nghành duy nhất hay một nhóm người dùng duy nhất

Sau khi làn sóng lạc quan về TMĐT của những năm 1990 qua đi, thời gian

mà đã xuất hiện nhiều thị trường điện tử, người ta cho rằng sau một quá trình tập trung chỉ có một số ít thị trường lớn là sẽ tiếp tục tồn tại Thế nhưng bên cạnh đó là ngày càng nhiều những thị trường chuyên môn nhỏ

Ngày nay tình hình đã khác hăn đi, công nghệ để thực hiện một thị trường điện tử đã rẻ đi rất nhiều Thêm vào đó là xu hướng kết nối nhiều thông tin chào hàng khác nhau thông qua các giao diện lập trình ứng dụng để thành lập một thị trường chung có mật độ chào hàng cao Ngoài ra các thị trường độc lập trước đây còn được tích hợp ngày càng nhiều bằng các giải pháp phần mềm cho một cổng Web toàn diện

Thương mại điện tử được phân loại theo tư cách của người tham gia giao dịch như sau:

 Người tiêu dùng: C2C, Người tiêu dùng với người tiêu dùng; C2B, Người tiêu dùng với doanh nghiệp; C2G, Người tiêu dùng với chính phủ;

 Doanh nghiệp: B2C, Doanh nghiệp với người tiêu, Doanh nghiệp với chính phủ; B2E, Doanh nghiệp với nhân viên

 Chính phủ: G2C, Chính phủ với người tiêu dùng; G2B, Chính phủ với doanh nghiệp; G2G, Chính phủ với chính phủ

1.1.7 Hạ tầng thanh toán

1.1.7.1 Các hệ thống thanh toán điện tử

Thanh toán điện tử là một khâu quan trọng trong TMĐT Hiểu một cách khái quát thì thanh toán điện tử là một quá trình thanh toán tiền giữa người mua và người bán Điểm cốt lõi của vấn đề này là việc ứng dụng các công nghệ thanh toán tài chính (ví dụ như mã hoá số thẻ tin dụng, séc điện tử, hoặc tiền điện tử) giữa ngân hàng, nhà trung gian và các bên tham gia hoạt động thương mại Các ngân hàng và

tổ chức tín dụng hiện nay sử dụng các phương pháp này nhằm mục đích nâng cao hiệu quả hoạt động trong bối cảnh phát triển của nền kinh tế số, với một số lợi ích như giảm chi phí xử lý, chi phí công nghệ và tăng cường thương mại trực tuyến

Thanh toán điện tử là việc trả tiền thông qua các thông điệp điện tử thay vì trao tay trực tiếp Việc trả lương bằng cách chuyển tiền vào tài khoản ngân hàng, trả tiền mua hàng bằng thẻ tín dụng, bằng thẻ mua hàng thực chất cũng là những ví

dụ đơn giản của thanh toán điện tử

Hình thức thanh toán điện tử có một số hệ thống thanh toán cơ bản sau:

1 Thanh toán bằng thẻ tín dụng: Thực tế cho thấy, khách hàng trên mạng không thể trả tiền hoặc séc để thanh toán

2 Thanh toán vi điện tử (Electronic Cash MicroPayment): Được sử dụng cho những giao dịch quá nhỏ đối với yêu cầu thanh toán qua thẻ tín dụng

3 Chi phiếu điện tử (Electronic Check): Đây là một dịch vụ cho phép khách hàng trực tiếp chuyển tiền điện tử từ ngân hàng đến người bán hàng Chi phiếu điện tử được sử dụng thanh toán hoá đơn định kỳ

4 Thư điện tử (Email): Có thể dùng để cho phép đối táckinh doanh nhận thanh toán từ tài khoản khách hàng hoặc để lập tài khoản với nhà cung cấp

Với những lợi ích nêu trên, tăng cường khả năng thanh toán điện tử sẽ là một giải pháp cắt giảm đáng kể các chi phí hoạt động Theo tính toán của các ngân hàng thì việc giao dịch bằng tiền và séc rất tốn kém, do đó họ tìm kiếm các giải pháp khác với chi phí thấp hơn Hiện nay ở Mỹ thì các giao dịch bằng tiền mặt chiếm khoảng 54% và bằng séc là 29% các giao dịch điện tử chiếm khoảng 17% Dự báo con số này sẽ tăng lên trong thời gian tới

1.1.7.2 Công nghệ thanh toán điện tử

Các công nghệ thanh toán điện tử bắt đầu phát triển với dịch vụ chuyển tiền bằng điện tử ví dụ như dịch vụ chuyển tiền của Western Union giúp một cá nhân có thể chuyển tiền cho người nào đó ở địa điểm khác thông qua lệnh chuyển tiền của

họ từ một quầy cung cấp dịch vụ của Western Union Tiền chỉ có thể chuyển giao

cho khách hàng sau khi đáp ứng được các yêu cầu nhận điện Trong trường hợp này, không có sự tham gia của bất kỳ ngân hàng nào cả, Western chỉ đơn thuần là một công ty điện tín Sự an toàn phụ thuộc vào khả năng tài chính của hãng, và sự

an toàn của dịch vụ này được kiểm soát qua các thông điệp gửi đi trong từng giao dịch riêng lẻ Các thông tin này không được công bố rộng rãi mà chỉ khách hàng và người nhận được biết khoản tiền được chuyển Chữ ký được sử dụng như một công

cụ xác nhận nhằm mục đích cho biết quá trình chuyển giao đã hoàn thành khi khách hàng nhận được tiền

Các sáng kiến trong thanh toán điện tử hiện nay đều nhằm mục đích tạo ra một cách thức đơn giản, thuận lợi cho khách hàng trong giao dịch thanh toán và mang tính tức thời Trong một giao dịch điện tử, các khâu kiểm tra hối đoái, tiến hành thủ tục thanh toán sẽ diễn ra ngay lập tức khi khách hàng gửi lệnh yêu cầu chuyển tiền để thanh toán cho một giao dịch mua bán trên mạng Hệ thống thanh toán điện tử dành cho khách hàng phát triển rất nhanh chóng

1.1.7.3 Quy trình thanh toán điện tử

Một quy trình thanh toán điện tử bao gồm có 6 công đoạn cơ bản sau:

1 Khách hàng, từ một máy tính tại một nơi nào đó, điền những thông tin thanh toán và địa chỉ liên hệ vào đơn đặt hàng (Order Form) của Website bán hàng Doanh nghiệp nhận được yêu cầu mua hàng hoá hay dịch vụ của khách hàng và phản hồi xác nhận tóm tắt lại những thông tin cần thiết nhưmặt hàng đã chọn, địa chỉ giao nhận và số phiếu đặt hàng

2 Khách hàng kiểm tra lại các thông tin và click chọn “đặt hàng”, để gởi thông tin trả về cho Doanh nghiệp

3 Doanh nghiệp nhận và lưu trũ thông tin đặt hàng đồng thời chuyển tiếp thông tin thanh toán (số thẻ tín dụng, ngày đáo hạn, chủ thẻ ) đã được mã hoá đến máy chủ (Server, thiết bị xử lý dữ liệu) của Trung tâm cung cấp dịch vụ xử lý thẻ trên mạng Internet Với quá trình mã hoá các thông tin thanh toán của khách hàng được bảo mật an toàn

nhằm chống gian lận trong các giao dịch (ngay cả doanh nghiệp sẽ không biết được thông tin về thẻ tín dụng của khách hàng)

4 Khi Trung tâm xử lý thẻ tín dụng nhận được thông tin thanh toán, sẽ giải mã thông tin và xử lý giao dịch đằng sau tường lửa (Fire Wall) và tách rời mạng Internet (off the Internet), nhằm mục đích bảo mật tuyệt đối cho các giao dịch thương mại, định dạng lại giao dịch và chuyển tiếp thông tin thanh toán đến Ngân hàng của Doanh nghiệp (Acquirer) theo một đường dây thuê bao riêng (một đường truyền số liệu riêng biệt)

5 Ngân hàng của Doanh nghiệp gởi thông điện điện tử yêu cầu thanh toán (authorization request) đến ngân hàng hoặc Công ty cung cấp thẻ tín dụng của khách hàng (Issuer) Và tổ chức tài chính này sẽ phản hồi

là đồng ý hoặc từ chối thanh toán đến trung tâm xử lý thẻ tín dụng trên mạng Internet

6 Trung tâm xử lý thẻ tín dụng trên Internet sẽ tiếp tục chuyển tiếp những thông tin phản hồi trên đến doanh nghiệp và tuỳ theo đó doanh nghiệp thôngbáo cho khách hàng được rõ là đơn đặt hàng sẽ được thực hiện hay không

1.2 An toàn thông tin thương mại điện tử

1.2.1 Vấn đề an toàn thông tin

Ngày nay, với sự phát triển mạnh mẽ của công nghệ thông tin việc ứng dụng công nghệ mạng máy tính trở nên vô cùng phổ cập và cần thiết Công nghệ mạng máy tính đã mang lại lợi ích to lớn.Sự xuất hiện mạng Internet cho phép mọi người

có thể truy cập, chia sẻ và khai thác thông tin một cách dễ dàng và hiệu quả Sự phát triển mạnh mẽ của Internet xét về mặt bản chất chính là việc đáp ứng lại sự gia tăng không ngừng của nhu cầu giao dịch trực tuyến trên hệ thống mạng toàn cầu Các giao dịch trực tuyến trên Internet phát triển từ những hình thức sơ khai như trao đổi thông tin (email, message, v.v…), quảng bá (web-publishing) đến những giao dịch phức tạp thể hiện qua các hệ thống chính phủ điện tử, thương mại điện tử ngày càng phát triển mạnh mẽ trên khắp thế giới

Tuy nhiên lại nảy sinh các vấn đề an toàn thông tin, Internet có những kỹ thuật cho phép mọi người truy nhập, khai thác, chia sẻ thông tin Nhưng nó cũng là nguy cơ chính dẫn đến việc thông tin của bạn bị hư hỏng hoặc phá huỷ hoàn toàn

Sở dĩ có lý do đó là vì việc truyền thông tin qua mạng Internet hiện nay chủ yếu sử dụng giao thức TCP /IP TCP/IP cho phép các thông tin được gửi từ một máy tính này tới một máy tính khác mà đi qua một loạt các máy tính trung gian hoặc mạng riêng biệt trước khi nó có thể đi tới được đích Chính vì điểm này, giao thức TCP /IP đã tạo cơ hội cho "bên thứ ba" có thể thực hiện các hành động gây mất mát an toàn thông tin trong giao dịch

Theo số liệu của CERT (Computer Emegency Response Team - "Đội cấp cứu máy tính"), số lượng các vụ tấn công trên internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, và

2241 vào năm 1994 Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, các máy tính của tất cả các công ty lớn như AT &T, IBM, các trường đại học, các cơ quan nhà nước, các tổ chức quân sự nhà băng… Một số vụ tấn công

có quy mô khổng lồ (có tới 100.000 máy tính bị tấn công) Hơn nữa, những con số này chỉ là phần nổi của tảng băng Một phần rất lớn các vụ tấn công không được thông báo, vì nhiều lý do, trong đó có thể kể đến nỗi lo bị mất uy tín, hoặc đơn giản những người quản trị hệ thống không hề hay biết những cuộc tấn công nhằm vào hệ thống của họ

1.2.1.1 Các tấn công

Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương pháp tấn công cũng liên tục được hoàn thiện Điều đó một phần do cácnhân viên quản trị hệ thống được kết nối với Internet ngày càng đề cao cảnh giác Cũng theo CERT, những cuộc tấn công thời kỳ 1988-1989 chủ yếu đoán tên người sử dụng – mật khẩu (UserID-password) hoặc sử dụng một số lỗi của các chương trình và hệ điều hành (security hole) làm vô hiệu hóa hệ thống bảo vệ, tuy nhiên các cuộc tấn công vào thời gian gần đây bao gồm cả các thao tác như giả mạo địa chỉ IP, theo dõi thông tin truyền qua mạng, chiếm các phiên làm việc từ xa (telnet hoặc rlogin) Một

số vấn đề an toàn đối với nhiều mạng hiện nay:

 Nghe trộm (Eavesdropping): Thông tin không hề bị thay đổi, nhưng

sự bí mật của nó thì không còn Ví dụ, một ai đó có thể biết được số thẻ tín dụng, hay các thông tin cần bảo mật của bạn

 Giả mạo (Tampering): Các thông tin trong khi truyền trên mạng bị thay đổi hay bị thay đổi trước khi đến người nhận Ví dụ, một ai đó có thể sửa đổi nội dung của một đơn đặt hàng hoặc thay đổi lý lịch của một cá nhân trước khi các thông tin đó đi đến đích

 Mạo danh (Impersonation): Một cá nhân có thể dựa vào thông tin của người khác để trao đổi với một đối tượng Có hai hình thức mạo danh (i) Bắt chước : Một cá nhân có thể giả vờ như một người khác Ví dụ, dùng địa chỉ mail của một người khác hoặc giả mạo một tên miền của một trang Web; (ii) Xuyên tạc : Một cá nhân hay một tổ chức có thể giả vờ như một đối tượng, hay đưa ra những thông tin về mình mà không đúng như vậy Ví dụ, có một trang chuyên về thiết bị nội thất

mà có sử dụng thẻ tín dụng, nhưng thực tế là một trang chuyên đánh cắp thẻ tín dụng

 Chối cãi nguồn gốc: Một cá nhân có thể chối là đã không gửi tài liệu khi xảy ra tranh chấp Ví dụ, khi gửi email thông thường, người nhận

sẽ không thể khẳng định người gửi là chính xác

Để vừa đảm bảo tính bảo mật của thông tin lại không làm giảm sự phát triển của việc trao đổi thông tin quảng bá trên toàn cầu thì chúng ta cần có các giải pháp phù hợp Hiện tại có rất nhiều giải pháp cho vấn đề an toàn thông tin trên mạng như

mã hoá thông tin, chữ ký điện tử (chứng chỉ khoá khoá công khai) … Sau đây chúng ta lần lượt tìm hiểu các khái niệm căn bản về mã hoá thông tin và đi sâu vào viềc sử dụng chữ ký số cho việc xác thực trên mạng

1.2.1.2 Các bí mật bảo đảm an toàn cho giao dịch điện tử

Thế nào là một hệ thống an toàn thông tin? An toàn trước các cuộc tấn công là một vấn đề mà các hệ thống giao dịch trực tuyến cần giải quyết Thông tin truyền trên mạng gặp rất nhiều rủi ro và nguy cơ bị mất thông tin là thường xuyên Chẳng hạn việc thanh toán bằng thẻ tín dụng thông qua dịch vụ web sẽ gặp một số rủi ro sau:

 Thông tin từ trình duyệt web của khách hàng ở dạng thuần văn bản nên có thể bị lọt vào tay kẻ tấn công o Trình duyệt web của khách hàng không thể xác định được máy chủ mà mình trao đổi thông tin có phải là thật hay một web giả mạo

 Không ai có thể đản bảo dữ liệu truyền đi có bị thay đổi hay không

Vì vậy các hệ thống cần phải có một cơ chế đảm bảo an toàn trong quá trình giao dịch điện tử Một hệ thống thông tin trao đổi dữ liệu an toàn phải đáp ứng một số yêu cầu sau:

 Hệ thống phải đảm bảo dữ liệu trong quá trìmh truyền đi là không bị đánh cắp

 Hệ thống phải có khả năng xác thực, tránh trường hợp giả danh, giả mạo

Do vậy, cần tập trung vào việc bảo vệ các tài sản khi chúng được chuyển tiếp giữa máy khách và máy chủ từ xa Việc cung cấp kênh thương mại an toàn đồng nghĩa với việc đảm bảo tính toàn vẹn của thông báo và tính sẵn sàng của kênh Thêm vào đó, một kế hoạch an toàn đầy đủ còn bao gồm cả tính xác thực

Các kỹ thuật đảm bảo cho an toàn giao dịch điện tử chính là sử dụng các hệ mật

mã, các chứng chỉ số và sử dụng chữ ký số trong quá trìmh thực hiện các giao dịch

1.2.2 Chứng chỉ số và cơ chế mã hóa

1.2.2.1 Giới thiệu về chứng chỉ số

Việc sử dụng mã hóa hay kí số chỉ giải quyết đuợc vấn đề bảo mật thông điệp và xác thực Tuy nhiên không có thể đảm bảo rằng đối tác không thể bị giả mạo, trong nhiều trường hợp cần thiết phải “chứng minh” bằng phương tiện điện tử danh tính của ai đó Chứng chỉ số là một tệp tin điện tử được sử dụng để nhận diện một cá nhân, một máy dịch vụ, một tổ chức, …nó gắn định danh của đối tượng đó với một khóa công khai, giống như bằng lái xe, hộ chiếu, chứng minh thư

Có một nơi có thể chứng nhận các thông tin của bạn là đúng, được gọi là cơ quan xác thực chứng chỉ (Certificate Authority-CA).Đó là một đơn vị có thẩm quyền xác nhận định danh và cấp các chứng chỉ số.CA có thể là một đối tác thứ ba đứng độc lập hoặc có các tổ chức tự vận hành một hệ thống tự cấp các chứng chỉ cho nội bộ của họ.Các phương pháp để xác định định danh phụ thuộc vào các chính

sách mà CA đặt ra.Chính sách lập ra phải đảm bảo việc cấp chứng chỉ số phải đúng đắn, ai được cấp và mục đích dùng vào việc gì.Thông thường, trước khi cấp một chứng chỉ số, CA sẽ công bố các thủ tục cần thiết phải thực hiện cho các loại chứng chỉ số

Trong chứng chỉ số chứa một khóa công khai được gắn với một tên duy nhất của một đối tượng (như tên của một nhân viên hoặc máy dịch vụ).Các chứng chỉ số giúp ngăn chặn việc sử dụng khóa công khai cho việc giả mạo.Chỉ có khóa công khai được chứng thực bởi chứng chỉ số sẽ làm việc với khóa bí mật tương ứng, nó được sở hữu bởi đối tượng có định danh nằm trong chứng chỉ số

Ngoài khóa công khai, chứng chỉ số còn chứa thông tin về đối tượng như tên

mà nó nhận diện.hạn dùng, tên của CA cấp chứng chỉ số, mã số…Điều quan trọng nhất là chứng chỉ số phải có chữ ký số của CA đã cấp chứng chỉ số đó.Nó cho phép chứng chỉ số như đã được đóng dấu để người sử dụng có thể kiểm tra

1.2.2.2 Xác thực định danh

Việc giao tiếp trên mạng điển hình là giữa một máy khách (Client - như trình duyệt trên máy cá nhân) và một máy dịch vụ (Server - như máy chủ Website).Việc chứng thực có thể được thực hiện ở cả hai phía.Máy dịch vụ có thể tin tưởng vào máy khách và ngược lại

Việc xác thực ở đây không chỉ có ý nghĩa một chiều đối với người gửi, tức là người gửi muốn người nhận tin tưởng vào mình.Khi một người đã gửi thông điệp có kèm theo chữ ký số của mình (cùng vối chứng chỉ số), thì không thể chối cãi: đó không phải là thông điệp của anh ta Có hai hình thức xác thực máy khách:

1 Xác thực dựa trên tên truy nhập và mật khẩu (Username và Password) Tất cả các máy dịch vụ cho phép người dùng nhập mật khẩu, để có thể truy nhập vào hệ thống.Máy dịch vụ sẽ quản lý danh sách các Username

Xác thực dựa trên mật khẩu: Khi xác thực người dùng theo phương pháp này

K, người dùng đã quyết định tin tưởng vào máy dịch vụ (có thể không có bảo mật theo giao thức SSLc).Máy dịch vụ phải xác thực người sử dụng trước khi cho phép

họ truy nhập tài nguyên của hệ thống

Hình 1.2: Sử dụng mật khẩu xác thực máy khách kết nối tới máy dịch vụ

Các bước trong hình trên như sau:

1 Bước 1: Để đáp lại yêu cầu xác thực từ máy dịch vụ, máy khách sẽ hiện

hộp thoại yêu cầu nhập mật khẩu.Người phải dùng nhập mật khẩu cho mỗi máy dịch vụ khác nhau trong cùng một phiên làm việc

2 Bước 2: Máy khách gửi mật khẩu qua mạng, không cần một hình thức mã

hóa nào

3 Bước 3: Máy dịch vụ tìm kiếm mật khẩu trong cơ sở dữ liệu

4 Bước 4: Máy dịch vụ xác định xem mật khẩu đó có quyền truy cập vào

những tài nguyên nào của hệ thống

5 Khi sử dụng loại xác thực này, người dùng phải nhập mật khẩu cho mỗi

máy dịch vụ khác nhau, nó lưu lại dấu vết của các mật khẩu này cho mỗi người dùng

Hình 1.3: Chứng chỉ số chứng thực cho may khách kết nối tới máy dịch vụ

Xác thực dựa trên chứng chỉ số Chứng chỉ số có thể thay thế 3 bước đầu chứng thực bằng mật khẩu với cơ chế cho phép người dung chỉ phải nhập mật khẩu một lần và không phải truyền qua mạng, người quản trị có thể điều khiển quyền truy nhập một cách tập trung

Giao dịch ở hình trên có dùng giao thức bảo mật SSL Máy khách phải có chứng chỉ số để cho máy dịch vụ nhận diện.Sử dụng chứng chỉ số để chứng thực có lợi thế hơn khi dùng mật khẩu Bởi vì nó dựa trên những gì mà người sử dụng có: Khóa bí mật và mật khẩu để bảo vệ khóa bí mật

Điều cần chú ý là chỉ có chủ máy khách mới được phép truy nhập vào máy khách, phải nhập mật khẩu để vào cơ sở dữ liệu của chương trình có sử dụng khóa

bí mật (mật khẩu này có thể phải nhập lại trong khoảng thời gian định kì cho trước)

Cả hai có chế xác thực trên đều phỉa truy nhập mức vật lý tới các máy cá nhân.Mã hóa khóa công khai chỉ có thể kiểm tra việc sử dụng khóa bí mật tương ứng với khóa công khjai trong chứng chỉ số Nó không đảm nhận trách nhiệm bảo vệ mức vật lý

và mật khẩu sử dụng khóa bí mật.Trách nhiệm này thuộc về người dùng

Các bước trong hình trên như sau:

1 Bước 1: Phần mềm máy khách(ví dụ như Communicator) quản lý cơ sở dữ liệu về các cặp khóa bí mật và khóa công khai.Máy khách sẽ yêu cầu nhập mật khẩu để truy nhập vào cơ sở dữ liệu này chỉ một lần hoặc theo định kỳ Khi máy khách truy nhập vào máy dịch vụ có sử dụng SSL, để xác thực máy

khách dựa trên chứng chỉ số, ngưòi dùng chỉ phải nhập mật khẩu một lần, họ không phải nhập lại khi cần truy cập lần thứ hai

2 Bước 2: Máy khách dùng khóa bí mật tương ứng với khóa công khai ghi trong chứng chỉ, và kí lên dữ liệu được tạo ra ngẫu nhiên cho mục đích chứng thực từ cả phía máy khách và máy dịch vụ.Dữ liệu này và chữ kí số thiết lập một bằng chứng để xác định tính hợp lệ của khóa bí mật Chữ kí số

có thể đựoc kiểm tra bằng khóa công khai tương ứng với khóa bí mật đã dùng để kí, nó là duy nhất trong mỗi phiên làm việc của giao thức SSL

3 Bước 3: Máy khách gửi cả chứng chỉ và bằng chứng (một phần dữ liệu được tạo ngẫu nhiên và được kí) qua mạng

4 Bước 4: Máy dịch vụ sử dụng chứng chỉ số và bằng chứng đó để xác thực người dùng

5 Bước 5: Máy dịch vụ có thể thực hiện tùy chọn các nhiệm vụ xác thực khác, như vieẹc xem chứng chỉ của máy khách có trong cơ sở dữ liệu để lưu trữ và quản lý các chứng chỉ số Máy dịch vụ tiếp tục xác định xem người sử dụng

có quyền gì đối với tài nguyên của hậ thống

1.2.2.3 Chứng chỉ khóa công khai

Giới thiệu chứng chỉ khóa công khai:

Khi một người muốn dùng kĩ thuật mã hóa khóa công khai để mã hóa một thông điệp và gửi cho người nhận, người gửi cần một bản sao khóa công khai của ngưòi nhận Khi một thành viên bất kỳ muốn kiểm tra chữ ký số, anh ta cần có một bản sao khóa công khai của thành viên ký Chúng ta gọi cả hai thành viên mã hóa thông điệp và thành viên kiểm tra chữ kí số là những người sử dụng khóa công khai

Khi khóa công khai được gửi đến cho ngươì sử dụng, thì không cần thiết phải giữ bí mật khóa công khai này.Tuy nhiên, người dùng khóa công khai phải đảm bảo rằng khóa công khai được dùng, đúng là dành cho thành viên khác (có thể

là người nhận thông điệp có chủ định hoặc bộ sinh chữ ký số được yêu cầu) Nếu kẻ phá hoại dùng khóa công khai khác thay thế khóa công khai hợp lệ, nội dung các thông điệp đã mã hóa có thể bị lộ Như vậy những thành viên không chủ định khác

sẽ biết đựoc các thông điệp hay các chữ ký số có thể bị làm giả Nói cách khác, cách

bảo vệ (được tạo ra từ các kĩ thuật này) sẽ bị ảnh hưởng nếu kẻ truy nhập thay thế các khóa công khai không xác thực

Đối với các nhóm thành viên nhỏ yêu cầu này có thể được thỏa mãn dễ dàng.Ví dụ trường hai người quen biết nhau, khi người này muốn truyền thông an toàn với người kia, họ có thể được bản sao khóa công khai của nhau bằng cách trao đổi các đĩa nhớ có ghi các khóa công khai của từng người Như vậy đảm bảo rằng các khóa công khai được lưu giữ an toàn trên mỗi hệ thống cục bộ của từng người Đây chính là hình thức phân phối khóa công khai thủ công

Tuy nhiên hình thức phân phối khóa công khai kiểu này bị coi là không thực

tế hoặc không thỏa đáng trong phần lớn các lĩnh vực ứng dụng khóa công khai, đặc biệt khi số lượng sử dụng trở nên quá lớn hoặc ở phân tán.Các chứng chỉ khóa công khai giúp cho việc phân phối khóa công khai trở nên có hệ thống

Hệ thống cấp chứng chỉ khóa công khai làm việc như sau:

Một CA phát hành các chứng chỉ cho những người nắm giữ các cặp khóa công khai và khóa riêng.Một chứng chỉ gồm khóa công khai và thông tin để nhận dạng duy nhất chủ thể (Subject) của chứng chỉ Chủ thể của chứng chỉ có thể là một người, thiết bị, hoặc một thực thể khác có nắm giữ khóa riêng tương ứng Khi chủ thể của chứng chỉ là một người hoặc một thực thể hợp pháp nào đó, chủ thể thường được nhắc đến như là một thực thể (Subscriber) của CA Chứng chỉ được CA kí bằng khóa riêng của họ

Hình 1.4: Chứng chỉ khóa công khai dựa trên CA

Một khi hệ thống các chứng chỉ được thiết lập, công việc của người dùng công khai rất đơn giản Người dùng cần khóa công khai của một trong các thuê bao của CA, họ chỉ cần lấy bản sao chứng chỉ của CA, lấy ra khóa công khai, kiểm tra chữ kí của CA có trên chứng chỉ hay không Người dùng khóa công khai sử dụng các chứng chỉ như trên được coi là thành viên tin cậy Kiểu hệ thống này tương đối đơn giản và kinh tế khi thiết lập trên diện rộng và theo hình thức tự động bởi vì một trong các đặc tính quan trọng của chứng chỉ là: “Các chứng chỉ có thể được phát hành mà không cần phải bảo vệ thông qua các dịch vụ an toàn truyền thông để đảm bảo sự tin cẩn xác thực và toàn vẹn”

Chúng ta không cần giữ bí mật khóa công khai, như vậy các chúng chỉ không phải là bí mật Hơn nữa, ở đây không đòi hỏi các yêu cầu về tính xác thực và toàn vẹn do các chứng chỉ tự bảo vệ (chữ kí số của CA có trong chứng chỉ cung cấp bảo

vệ xác thực và toàn vẹn) Một kẻ truy nhập trái phép định làm giả chứng chỉ khi nó này đang được phát hành cho những người sử dụng khóa công khai, những người dùng này sẽ phát hiện ra việc làm giả vì chữ kí số của CA được kiểm tra chính xác Chính vì thế các chứng chỉ khóa công khai được phát hành theo cách không an toàn,

ví dụ như: thông qua các máy chủ, hệ thống thư mục, các giao thức truyền thông không an toàn

Lợi ích cơ bản của hệ thống cấp chứng chỉ là: một người sử dụng khóa công khai có thể có được số lượng lớn khóa công khai của các thành viên khác một cách tin cậy, nhờ khóacông khai của CA.Lưu ý rằng chứng chỉ số chỉ hữu ích khi người dùng khóa công khai tin cậy CA phát hành các chứng chỉ hợp lệ

1.2.2.4 Mô hình CA

Nếu việc thiết lập một CA (có thể phát hành các chứng chỉ khoá công khai cho tất cả những người nắm giữ cặp khóa công khai và khóa riêng trên thế giới) là khả thi và khi tất cả những người sử dụng khóa công khai tin cậy vào các chứng chỉ được CA này phát hành thì ta giải quyết vấn đề phân phối khóa công khai Rất tiếc

là điều này không thể thực hiện được Đơn giản vì nó không thực tế đối với một CA.Một CA không thể có đầy đủ thông tin và các mối quan hệ với các thuê bao để

có thể phát hành các chứng chỉ được tất cả những người dùng khóa công khai chấp nhận.Vì vậy, chúng ta cần chấp nhận sự tồn tại của nhiều CA trên thế giới

Giả thiết khi có nhiều CA, một người dùng nắm giữ khoá công khai của một

CA xác định (CA này đã phát hành chứng chỉ cho thành viên mà ngời sử dụng khóa công khai muốn truyền thông an toàn) một cách bí mật là không thực tế Tuy nhiên,

để có được khóa công khai của CA, người dùng có thể tìm và sử dụng một chứng chỉ khác, nó chứa khóa công khai của CA này nhưng do CA khác phát hành khóa công khai của CA này được người sử dụng nắm giữ an toàn

1.2.2.5 Một số giao thức bảo mật ứng dụng trong TMĐT

Các vấn đề bảo mật ứng dụng Web: Word Wide Web có cơ sở ứng dụng là client/sever chạy trên Internet và các mạng Intranet với giao thức ICP/IP Những thách thức mới đối với bảo mật Web đã trở thành cần thiết hơn bao giờ hết nhất là trong cách mạng bối cảnh các mạng máy tính và các dịch vụ sử dụng Web ngày càng phát triển

Internet như con dao hai lưỡi Không giống những môi trường truyền thống như những hệ thống điện tín, đàm thoại, fax, các Web sever luôn có nguy cơ phải hứng chịu các cuộc tấn công trên toàn bộ mạng Internet

Có nhiều giải pháp cho vấn đề bảo mật ứng dụng Web cũng như các Web sever liên quan đều rất dễ sử dụng, cấu hình hoặc quản lí Nội dung của các web side này cũng ngày càng phong phú, phản ánh tính đa dạng của thông tin, và tất nhiên không loại trừ những webside không trước được bởi chúng ẩn dưới những lớp

vỏ được che chắn một cách khéo léo Lịch sử ngắn ngủi của Web được phản ánh bởi những hệ thống được nâng cấp và phát triển mới mà ở đó vẫn có những nguy cơ

bị tấn công vào các lỗ hổng bảo mật

Có nhiều giải pháp cho vấn đề bảo mật đã được đua ra, các nhà nghiên cứu chủ yếu tập trung vào việc nghiên cứu và xem xét nhằm cải tiến các dịch vụ đã cung cấp và các kĩ thuật đã được sử dụng, nhưng với một cách tiếp cậ mới trong giới hạn của giao thức ICP/IP Tiến bộ này của IPSec thể hiện ở chỗ nó tạo một kênh thông suốt, kênh sạch,giữa người sử dụng cuối với ứng dụng như là một giải pháp thông

nhất Hơn nữa, IPSec còn chứa một bộ lọc đặc biệt để lựa chọn tuyến giao vận tránh hiện tượng tràn bộ nhớ trong quá trình xử lý của IPSec

Hình 1.5: Vị trí của các phương tiện bảo mật trong cấu trúc của giao thức

TCP/IP

Một giải pháp nữa là cải tiến cơ chế bảo mật trên giao thức TCP, một trong những ý tưởng dẫn dắt đến sự ra đời của giao thức Secure Sockets layer (SSL) và Transprot layer Security (TLS) Ở tầng này, có hai sự lựa chọn là SSL hoặc là TLS, SSL được cung cấp như là một giao thức hỗ trợ nên có hoàn toàn có thể bảo mật bất

kì giao thức ứng dụng nào được xếp trên lớp TCP một cách trong suốt.Ngoài ra, SSL còn có thể được gắn vào các ứng dụng như một gói đặc biệt, ví dụ như các trình duyệt IE và Netscape đều được trang bị SSL, các Web server cũng đều đã được bổ sung giao thức này

Một đặc trưng khác của các dịch vụ bảo mật là việc chúng được gắn bên trong các dịch vụ bảo mật, hình 3.1c là một ví dụ cho kiến trúc dạng này Sự thay đổi mới này thể hiện ở chỗ các dịch vụ có thể thích úng với các thành phần cần thiết nhất định của úng dụng Trong bối cảnh chung của vấn đề bảo mật úng dụng web, SET(Secure Electrolic Transaction) là một ví dụ tiêu biểu cho cách tiếp cận này

SSL và TLS : Như đã đề cập ở trên, hai giao thức bảo mật quan trọng lớp vận chuyển (Layer Transport) có tầm quan trọng rất lớn đối với sự bảo mật của các trình úng dụng trên web đó là SSL và TLS

Cho đến nay, đã có 3 phiên bản của SSL:

Giao thức SSL cung cấp sự bảo mật truyền thông vốn có 3 đặc tính cơ bản:

1 Các bên giao tiếp (nghĩa là Client và server) có thể xác thực nhau bằng cách

sử dụng mật mã khóa chung

2 Sự bí mật của lưu lượng dữ liệu được bảo vệ vì nối kết được mã hóa trong suốt sau khi một sự thiết lập quan hệ ban đầu và sự thương lượng khóa session đã xảy ra

3 Tính xác thực và tính toàn vẹn của lưu lượng dự liệu cũng được bảo vệ vì các thông báo được xác thực và được kiểm tra tính toán toàn vẹn một cách trong suốt bằng cách sử dụng MAC

Tuy nhiên điều quan trọng cần lưu ý là SSL không ngăn các cuộc tấn công phân tích lưu lượng Ví dụ: bằng cách xem xét các địa chỉ IP nguồn và đích không được mã hoá và các số cổng TCP, hoặc xem xét lượng dữ liệu được truyền, một người vẫn phân tích lưu lượng vẫn có thể xác định các bên nào dang tương tác, các loại dịch vụ nào đang được sử dụng, và đôi khi ngay cả khi dành được thông tin về các mối quan hệ doanh nghiệp hoặc cá nhân Hơn nữa SSL không ngăn các cuộc tấn công có định hướng dựa vào phần thực thi TCP chẳng hạn như các cuộc tấn công làm tràn ngập TCP SYN hoạc cưỡng đoạt sesion Để sử dụng sự bảo vệ của SSL cả client lẫn server phải biết rằng phía bên kia đang sử dụng SSL Nói chung có ba khả năng giải quyết vấn đề này:

 Sử dụng các sổ cổng chuyên dụng được dành riêng bởi Internet IANA Trong trường hợp này một số cổng riêng biệt phải được gán cho mọi giao thức ứn dụng vốn sử dụng SSL

 Sử dụng số cổng chuẩn cho mọi giao thức ứng dụng và để thương lượng các tuỳ chọn bảo mật như là một phần của giao thức ứng dụng

 Sử dụng một tuỳ chọn TCP để thương lượng việc sử dụng một giao thức bảo mật, chẳng hạn như SSL trong suốt giai đoạn thiết lập nối kểt TCP thông thường

Bảo mật giao dịch điện tử SET SET là một phương pháp bảo mật được xây dựng nhằm bảo đảm an toàn các giao dịch trên internet bằng thể tín dụng Phiên bản hiện tại, SET v1, được chọn làm tiêu chuân bảo mật cho các thẻ tín dụng như Matercard và Visa vào tháng 1 năm 1996 Rất nhiều công ty đã tập chung phát triển

và xây dựng tong đó có IBM, Microsoft, Netscape, RSA, Tesia và Versign Từ năm

1998 các sản phẩm đầu tiên sử dụng SET đã được triển khai

Bản thân SET không phải là một hệ thống thanh toán, mà thực chất nó là tập hợp các giao thức bảo mật và định dạng cho phép người dùng sử dụng các thiết bị làm việc với thẻ tín dụng trên hệ thống mạng như internet theo nguyên tắc bảo mật

Về cơ bản, SET cung cấp ba dịch vụ:

1 Cung cấp một kênh truyền thông an toàn tuyệt đối với tất cả các thành viền trong quá trình giao dịch

2 Sử dụng tiêu chuẩn chứng thực số X.509v3 để đảm bảo an toàn

3 Giữ gìn sự riêng tư bởi các thông tin chỉ cung cấp cho các thành viên trong giao dịch diễn ra vào thời điểm hay địa điểm cần thiết

Các thành phần tham gia sử dụng SET:

Hình 1.6: Các thành phần của bảo mật thương mại điện tử

 Người dùng thẻ (cardholder): trong môi trường điện tử, khách hàng hay một nhóm khách hàng có ảnh hưởng tới các nhà kinh doanh từ những chiếc máy tính

cá nhân thông qua internet Một người sử dụng thẻ là người có quyền nắm giữ thẻ thanh toán được cung cấp bởi những nhà phát hành

 Nhà kinh doanh(Merchant): Một nhà kinh doanh có thể là một cá nhân hay một

tổ chức có các dịch vụ bán hàng cho người dùng thẻ Các dịch vụ này được tiến hành thông qua các website hoặc thư điện tử Một nhà kinh doanh chấp nhận được các thẻ thanh toán thì buộc phải có quan hệ với một nhà trung gian(Acquirer)

 Nhà phát hành(issuer): Đây là một tổ chức tài chính, chẳng hạn như ngân hàng, cung cấp tài khoản người dùng cùng với thẻ thanh toán Các tài khoản được sử dụng thông qua các imail cá nhân Về cơ bản, các nhà phát hành chịu trách nhiệm chi trả các khoản tiền chưa trả của người dùng thẻ

 Nhà trung gian - Ngân hàng của doanh nghiệp (Acquirer): Đây là tổ chức tài chính thực hiện việc thiết lập một tài khoản đối với nhà kinh doanh và chứng thực các quá trình chi trả bằng thẻ Các nhà kinh doanh thường chấp nhận nhiều hơn một loại thẻ nhưng lại không muốn quan tâm đến nhiều tổ chức cũng như nhiều cá nhân cung cấp thẻ nào Trng khi đó nhà trung gian sẽ cung cấp việc chứng thực nhà kinh doanh bằng cách đưa ra cho họ một thẻ tài khoản tiện lợi và giới hạn quyền đối với các loại thẻ này Nhà trung gian cũng cung cấp các luân chuyển điện tử cho việc chi trả đối với các tài khoản của các nhà kinh doanh Sau cùng, nhà kinh doanh sẽ được hoàn lại số tiền mà các nhà phát hành có được

từ quỹ luân chuyển điện tử trên mạng chi trả

 Cổng chi trả (payment gateway): Đây là một chức năng thực hiện bởi Nhà trung gian hoặc đươc xây dựng một thành viên thứ ba nhằm xử lí các thông tin chi trả của nhà kinh doanh Nhà trung gian trao đổi các thông điệp SET với cổng chi trả thông qua internet, trong khi đó cổng chi trả hướng vào hay kết nối mạng tới hệ thống sử lí tài chính của nhà trung gian

 Quyền chứng nhận (Certification Authority- CA): Đây là một thực thể được tin cậy để cung cấp các chức nhận khoá công khai X.509V3 cho người sử dụng thẻ, các nhà kinh doanh và các công chi trả Thành công của SET sẽ phụ thuộc vào

sự tồn tại của một hạ tầng CA có giá trị

Dưới đây là mô tả lược đồ bao gồm cho các sự kiện đươc diễn ra trong một giao dịch thương mại điện tử:

1 Khách hàng mở một tài khoản: khách hàng có được ở thẻ tín dụng như MasteerCard hay Visa với một ngân hàng có khả năng hỗ trợ chi trả điện

tử và STE

2 Khách hàng nhận một chứng nhận: Sau khi nhận dạng hoàn tất, khách hàng nhận được một chứng nhận số X.509V3, Được kí bởi ngân

hàng.chứng nhận này xác minh công khai RSA của khách hàng và hạn sử dụng của nó Nó sẽ thiết lập một quan hệ, được bảo đảm bởi ngân hang, chiếc cặp khoả của khách hàng và thẻ tín dụng của anh ta

3 Nhà kinh doanh có riêng các chứng nhận của họ: Một nhà kinh doanh muốn chấp nhận nhiều loại thẻ thì buộc phải sở hữu hai chứng nhận đối với hai khoá công khai riêng của họ: Một cho kí nhận thông điêp và một cho trao đổi khoá Nhà kinh doanh cùng cần có một bả sao chứng nhận khoá công khai của cổng chi trả

4 Khách hàng đặt một thanh toán: Đây là một quá trình bao gồm việc lựa chọn mặt hàng trên webside của nhà kinh doanh và xác định giá cả Khách hàng gửi tới nhà kinh doanh một danh sách các mặt hàng muốn mua, họ nhận được một mẫu thanh toán bao gồm danh sách mặt hàng, giá

cả, tổng tiền và số hoá đơn

5 Nhà kinh doanh được xác nhận: Thêm vào mỗi thanh toán, nhà kinh doanh gửi một bản sao chứng nhận nó, vì vậy khách hàng có thể tin tưởng rằng anh ta có quan hệ với một nhà kinh doanh hợp pháp

6 Việc thanh toán và chi trả được gửi đi: Khách hàng gửi tới nhà kinh doanh các thông tin thanh toán và chi trả cùng với chứng nhận khách hàng: Thông tin thanh toán bao gồm các mặt hàng đã đặt trong mẫu hoá đơn; thông tin chi trả chứa nội dung chi tiết của thẻ tín dụng Nó đã được

mã hoá do vậy nhà kinh doanh không thể biết được; chứng nhận khách hàng cho phép nhà kinh doanh xác nhận khách hàng

7 Nhà kinh doanh yêu cầu chứng thực các chi trả: nhà kinh doanh chuyển các thông tin tới cổng chi trả, yêu cầu xác thực thông tin thẻ tín dụng của khách hàng có phù hợp với việc mua các sản phẩm đã đặt hay không

8 Nhà kinh doanh xác nhận thanh toán: nhà kinh doanh gửi xác nhận thanh toán tới khách hàng

9 Nhà kinh doanh cung cấp các mặt hàng dịch vụ: nhà kinh doanh chuyển hàng hoặc cung cấp dịch vụ tới khách hàng

10 Nhà kinh doanh yêu cầu chi trả: yêu cầu này được gửi tới cổng chi trả (Quả lý tất cả quá trình chi trả)