Chương 7 Vấn đề an toàn trong Thương mại điện tử - TS Nguyễn Đức Trí

Chương 7 Vấn đề an toàn trong Thương mại điện tử Trình bày TS Nguyễn Đức Trí Chủ nhiệm Bộ môn Du lịch Khoa Thương mại Du lịch Đại học Kinh tế TP. HCM tri@triduc.net Cấu hình mạng TMĐT an toan 21 June 2002 Security Issues2 Tổ chức mạng an toan 21 June 2002 Security Issues3 Proxy 21 June 2002 Security Issues4 Cấu truc bảo an DMZ 21 June 2002 Security Issues5 21 June 2002 Security Issues6 SSL và SET: Ai sẽ thắng?  Một phần của SSL (Secure Socket Layer) đã có trong bộ trình duyệt của khách hàng  Đó là một cơ chế mã hóa (encryption) để tiếp nhận đơn hàng, các yêu cầu và các trình ứng dụng khác  Nó không giúp bảo vệ chống lại toàn bộ các vấn đề xâm phạm an toàn  Nó đơn giản và được sử dụng rộng rải  SET ( Secure Electronic Transaction) là một giao thức bảo an rất hoàn hảo  Nó cung cấp tính riêng tư, chứng thật, an toàn và rào cản  Nó ít được sử dụng do tính phức tạp của nó và sự đòi hỏi phải có các bộ đọc card đặc biệt cho người sử dụng  Nó có thể bị tẩy chay nếu nó không được làm cho đơn giản hóa hơn hay hoàn thiện hơn 21 June 2002 Security Issues7  Yêu cầu bảo an Thanh toán, giao thức và các vấn đề có liên quan  Chứng thật: Là cách kiểm tra người mua trước khi việc thanh toán được thực hiện  Toàn vẹn: Bảo đảm rằng các thông tin sẽ không bị thay đổi, xóa do sơ xuất trong quá trình truyền dẫn  Mã hóa: Qui trình làm cho các thông điệp không thể đọc hay sử dụng được ngoại trừ những người có khóa giải mã chúng  Quyền riêng tư: người bán không nhất thiết phải biết thông tin về thẻ tín dụng của người mua. Điều này cần được thực hiện để bảo đảm quyền riêng tư của khách hàng 21 June 2002 Security Issues8 Qui trình bảo an  Khóa bí mật - Secret Key Cryptography (symmetric) Thông điệp được mã hóa Thông điệp nguyên thủy Người gửi InternetThông điệp được mã hóa Khóangười gửi (= Khóangười nhận) Mã hóa Thông điệp nguyên thủy Người nhận Khóangười nhận Giải mã 21 June 2002 Security Issues9  Khóa công cộng - Public Key Cryptography Sender Original Message Scrambled Message Scrambled Message Public Keyreceiver Original Message Receiver Private Keyreceiver Internet Qui trình bảo an... Message Sender Original Message Scrambled Message Scrambled Message Private Keysender Original Message Receiver Public Keysender Internet Digital Signature 21 June 2002 Security Issues10  Chữ ký điện tử - Digital Signature Chữ ký số được người gửi gửi kèm theo thông điệp được mã hóa bằng khóa công cộng Người nhận là người duy nhất có thể đọc thông điệp và anh ta là người có thể biết chắc chắn rằng thông điệp do người nào đã gửi Người gửi mã hóa thông điệp với khóa riêng Bất kỳ người nhận nào có khóa công cộng của người gửi đều có thể đọc được Qui trình bảo an...  Từ chữ ký tương đương đến chữ ký bằng tay - Analogous to handwritten signature 21 June 2002 Security Issues11 Chữ ký điện tử 21 June 2002 Security Issues12  Chứng nhận - Certificate Name : “Richard” key-Exchange Key : Signature Key : Serial # : 29483756 Other Data : 10236283025273 Expires : 6/18/96 Signed : CA’s Signature Qui trình bảo an...  Xác định người giữ khóa công cộng (trao đổi khóa Key- exchange)  Cấp bởi cơ quan chứng thật có uy tín - certificate authority (CA) 21 June 2002 Security Issues13  Cơ quan cấp giấy chứng nhận – ví dụ VeriSign RCA BCA GCA CCA MCA PCA RCA : Root Certificate Authority – Cơ quan chứng nhận nguồn BCA : Brand Certificate Authority - Cơ quan chứng nhận nhãn hiệu GCA : Geo-political Certificate Authority - Cơ quan chứng nhận theo địa lý chính trị CCA : Cardholder Certificate Authority - Cơ quan chứng nhận người sở hữu card MCA : Merchant Certificate Authority - Cơ quan chứng nhận người bán PCA : Payment Gateway Certificate Authority – Cơ quan chứng nhận cổng thanh toán Cách phân chia tầng lớp các cơ quan chứng nhận Qui trình bảo an  Có thể là một tổ chức công cộng hay cá nhân  Là bên thứ 3 đáng tin cậy  Cấp Chứng nhận số  Chứng nhận rằng khóa công cộng thuộc về một cá nhân nào đó 21 June 2002 Security Issues14 Giao thức SET - Secure Electronic Transaction Protocol 1. Thông điệp được đưa vào bộ ‘tiêu hóa’ thông tin (hay bộ đọc thông điệp - message digest). 2. Bộ tiêu hóa thông tin sẽ mã hóa với khóa chữ ký riêng của người gửi, và chữ ký số được tạo ra. 3. Nội dung thông điệp, chữ ký số và chứng nhận của người gửi được mã hóa với khóa đồng đẳng (symmetric key) được tạo ra bởi máy của người gửi cho từng giao dịch. Kết quả là một thông điệp được mã hóa. Giao thức SET dùng hệ Algarit DES thay vì RSA bởi vì DES có thể mã hóa nhanh hơn nhiều so với RSA. 4. Khóa đồng đẳng được mã hóa với khóa công cộng của người nhận vốn đã được gửi đến người gửi trước đó. Kết quả là một bức thư số được tạo ra.  Máy tính của người gửi 21 June 2002 Security Issues15 Máy tính của người gửi Khóa chữ ký riêng của người gửi Chứng nhận của người gửi + + Message + Chữ ký số  Chứng nhận Của người nhận Mã hóa Khóa đồng đẳng Thông điệp được mã hóa  Khóa trao đổi của người nhận Mã hóa Bao thư số  Message Bộ đọc thông điệp  21 June 2002 Security Issues16 5. Thông điệp được mã hóa và bao thư số được chuyển đến máy của người nhận thông qua Internet. 6. Bao thư số được giải mã với khóa trao đổi của người nhận. 7. Sử dụng khóa đồng đẳng, thông điệp được mã hóa có thể được tra về hiện trạng thông điệp, chữ ký số và chứng nhận của người gửi. 8. Để xác định tính toàn vẹn (integrity), chữ ký số được giải mã bời khóa công cộng của người gửi. 9. Thông điệp được thành thông điệp được giải mã. 10. Các thông điệp được giải mã đạt được ở các bước 8 & 9 được so sánh bởi người nhận nhằm xác định xem có thay đổi nào không trong quá trình di chuyển. Bước này xác định tính toàn vẹn của thông điệp.  Máy tính của người nhận Giao thức SET... 21 June 2002 Security Issues17 Máy tính của người gửi Giải mã Khóa đồng đẳng Thông điệp được mã hóa  Chứng nhận Của Người gửi + + Thông điệp So sánh  Bao thư số Khoá trao đổi riêng của người gửi  Giải mã Thông điệp được đọcChữ ký số Khoá chữ ký công cộng của người gửi  Giải mã Thông điệp được đọc  21 June 2002 Security Issues18 Giao thức SET được dùng trong TMĐT Bộ đọc IC Card Khách hàng X Khách hàng Y Với Ví điện tử Cơ quan chứng nhận Cửa hàng điện tử Người bán A Người bán B Loại credit card Giao thức X.25 Cổng thanh toán 21 June 2002 Security Issues19 SET so với SSL Secure Electronic Transaction (SET) Secure Socket Layer (SSL) Phức tạp Đơn giản SET phục vụ nhu cầu nhận thanh toán bằng credit card của người bán. SSL là giao thức bảo mật tổng quát cho các trao đổi thông điệp (mã hóa). Giao thức SET giấu thông tin về Credit card của khách hàng khỏi người bán, và cũng giấu thông tin đối với ngân hàng, để bảo vệ quyền riêng tư của khách hàng. Giao thức SSL có thể dùng chứng nhận, nhưng nó không có cổng thanh tóan. Vì vậy, người bán cần nhận cả thông tin đặt hàng lẫn thông tin về thẻ tín dụng và qui trình này do người bán quyết định.