Slide bài giảng thương mại điện tử chương 7

 Một phần của SSL Secure Socket Layer đã có trong bộ trình duyệt của khách hàng  Đó là một cơ chế mã hóa encryption để tiếp nhận đơn hàng, các yêu cầu và các trình ứng dụng khác  Nó k

Chương 7

Vấn đề an toàn trong

Thương mại điện tử

Trình bày

TS Nguyễn Đức Trí Chủ nhiệm Bộ môn Du lịch

Khoa Thương mại Du lịch Đại học Kinh tế TP HCM

tri@triduc.net

Cấu hình mạng TMĐT an toan

21 June 2002 Security Issues

2

Tổ chức mạng an toan

21 June 2002 Security Issues

3

21 June 2002 Security Issues

4

Cấu truc bảo an DMZ

21 June 2002 Security Issues

5

21 June 2002 Security Issues

6

SSL và SET: Ai sẽ thắng?

 Một phần của SSL (Secure Socket Layer) đã có trong bộ trình duyệt của khách hàng

 Đó là một cơ chế mã hóa (encryption) để tiếp nhận đơn hàng, các yêu cầu và các trình ứng dụng khác

 Nó không giúp bảo vệ chống lại toàn bộ

các vấn đề xâm phạm an toàn

 Nó đơn giản và được sử dụng rộng rải

 SET ( Secure Electronic Transaction) là một giao thức bảo an rất hoàn hảo

 Nó cung cấp tính riêng tư, chứng thật, an toàn và rào cản

 Nó ít được sử dụng do tính phức tạp của nó và sự đòi hỏi phải có các bộ đọc card đặc biệt cho người sử dụng

 Nó có thể bị tẩy chay nếu nó không được

làm cho đơn giản hóa hơn hay hoàn thiện hơn

21 June 2002 Security Issues

7

Thanh toán, giao thức và các

vấn đề có liên quan

 Chứng thật: Là cách kiểm tra người mua trước khi việc thanh toán được thực hiện

 Toàn vẹn: Bảo đảm rằng các thông tin sẽ không bị thay đổi, xóa do sơ xuất trong quá trình truyền dẫn

 Mã hóa: Qui trình làm cho các thông điệp không thể đọc hay sử dụng được ngoại trừ những người có khóa giải mã chúng

 Quyền riêng tư: người bán không nhất thiết phải biết thông tin về thẻ tín

dụng của người mua Điều này cần được thực hiện để bảo đảm quyền riêng tư của khách hàng

21 June 2002 Security Issues

8

Qui trình bảo an

Cryptography (symmetric)

Thông điệp được mã hóa

Thông

điệp

nguyên

thủy

Người gửi

Internet

Thông điệp được mã hóa

Khóangười gửi (= Khóangười nhận)

Mã hóa

Thông điệp nguyên thủy

Người nhận

Khóangười nhận

Giải mã

21 June 2002 Security Issues

9

Cryptography

Sender

Original Message

Scrambled Message

Scrambled Message

Public Keyreceiver

Original Message

Receiver

Private Keyreceiver

Internet

Qui trình bảo an

Message

Sender

Original Message

Scrambled Message

Scrambled Message

Private Keysender

Original Message

Receiver

Public Keysender

Internet

Digital

Signature

21 June 2002 Security Issues

10

Signature

Chữ ký số

được người

gửi gửi kèm

theo thông

điệp được

mã hóa

bằng khóa

công cộng

Người nhận là người duy nhất có thể đọc

thông điệp và anh ta là người có thể biết

chắc chắn rằng thông điệp do người nào đã gửi

Người gửi mã hóa thông

điệp với khóa

riêng

Bất kỳ người nhận nào có khóa công

cộng của người gửi đều có thể đọc được

Qui trình bảo an

 Từ chữ ký tương đương đến chữ ký bằng tay -

Analogous to handwritten signature

21 June 2002 Security Issues

11

Chữ ký điện tử

21 June 2002 Security Issues

12

Name : “Richard”

key-Exchange Key : Signature Key : Serial # : 29483756 Other Data : 10236283025273 Expires : 6/18/96

Signed : CA’s Signature

Qui trình bảo an

 Xác định người giữ khóa công cộng

(trao đổi khóa Key-exchange)

 Cấp bởi cơ quan chứng thật có uy tín -

certificate authority (CA)

21 June 2002 Security Issues

13

dụ VeriSign

RCA BCA GCA

RCA : Root Certificate Authority – Cơ quan chứng nhận nguồn

BCA : Brand Certificate Authority - Cơ quan chứng nhận nhãn hiệu

GCA : Geo-political Certificate Authority - Cơ quan chứng nhận theo địa lý chính trị CCA : Cardholder Certificate Authority - Cơ quan chứng nhận người sở hữu card

MCA : Merchant Certificate Authority - Cơ quan chứng nhận người bán

PCA : Payment Gateway Certificate Authority –

Cơ quan chứng nhận cổng thanh toán

Cách phân chia tầng lớp các cơ quan chứng nhận

Qui trình bảo an

 Có thể là một tổ chức công cộng hay cá nhân

 Là bên thứ 3 đáng tin cậy

 Cấp Chứng nhận số

 Chứng nhận rằng khóa công cộng thuộc về một cá nhân nào đó

21 June 2002 Security Issues

14

Giao thức SET - Secure Electronic Transaction Protocol

1. Thông điệp được đưa vào bộ ‘tiêu hóa’ thông tin

(hay bộ đọc thông điệp - message digest)

2 Bộ tiêu hóa thông tin sẽ mã hóa với khóa chữ ký riêng của người gửi, và chữ ký số được tạo ra

3 Nội dung thông điệp, chữ ký số và chứng nhận

của người gửi được mã hóa với khóa đồng đẳng

(symmetric key) được tạo ra bởi máy của người gửi

cho từng giao dịch Kết quả là một thông điệp được mã hóa Giao thức SET dùng hệ Algarit DES thay vì RSA bởi vì DES có thể mã hóa nhanh hơn nhiều so với

RSA

4 Khóa đồng đẳng được mã hóa với khóa công cộng của người nhận vốn đã được gửi đến người gửi

trước đó Kết quả là một bức thư số được tạo ra

21 June 2002 Security Issues

15

Máy tính của người gửi

Khóa chữ ký riêng của người gửi

Chứng nhận của người gử i

+

+

Message

+

Chữ ký số



Chứng nhận Của người nhận

Mã hóa

Khóa đồng đẳng

Thông điệp được mã hóa



Khóa trao đổi của người nhận

Mã hóa

Bao thư số



Message

Bộ đọc thông điệp



21 June 2002 Security Issues

16

5. Thông điệp được mã hóa và bao thư số được chuyển đến máy của người nhận thông qua Internet

6 Bao thư số được giải mã với khóa trao đổi của người nhận

7 Sử dụng khóa đồng đẳng, thông điệp được mã hóa có thể được tra về hiện trạng thông điệp, chữ ký số và chứng nhận của người gửi

8 Để xác định tính toàn vẹn (integrity), chữ ký số được giải mã bời khóa công cộng của người gửi

9 Thông điệp được thành thông điệp được giải mã

10 Các thông điệp được giải mã đạt được ở các bước

8 & 9 được so sánh bởi người nhận nhằm xác định

xem có thay đổi nào không trong quá trình di chuyển Bước này xác định tính toàn vẹn của thông điệp

Giao thức SET

21 June 2002 Security Issues

17

Máy tính của người gửi

Giải mã

Khóa đồng đẳng

Thông điệp được mã hóa



Chứng nhận Của Người gửi

+

+

Thông điệp

So sánh

Bao thư số

Khoá trao đổi riêng của người gửi



Giải mã

Thông điệp được đọc Chữ ký số

Khoá chữ ký công cộng của người gửi



Giải mã

Thông điệp được đọc



21 June 2002 Security Issues

18 Giao thức SET được dùng trong TMĐT

Bộ đọc

IC Card

Khách hàng XKhách hàng Y

Với Ví điện tử

Cơ quan chứng nhận

Cửa hàng điện tử Người bán A Người bán B

Loại credit card

Giao thức X.25 Cổng thanh

toán

21 June 2002 Security Issues

19

SET so với SSL

Secure Electronic Transaction (SET) Secure Socket Layer (SSL)

SET phục vụ nhu cầu

nhận thanh toán bằng

credit card của người

bán.

SSL là giao thức bảo mật tổng quát cho các trao đổi

thông điệp (mã hóa).

Giao thức SET giấu

thông tin về Credit card

của khách hàng khỏi

người bán, và cũng

giấu thông tin đối với

ngân hàng, để bảo

vệ quyền riêng tư

của khách hàng

Giao thức SSL có thể dùng chứng nhận, nhưng nó không có cổng thanh tóan Vì vậy, người bán cần nhận cả thông tin đặt hàng lẫn thông tin về thẻ tín dụng và qui trình này do người bán quyết định.