Một phần của SSL (Secure Socket Layer) đã có trong bộ
trình duyệt của khách hàng
Đó là một cơ chế mã hóa (encryption) để tiếp nhận đơn hàng, các
yêu cầu và các trình ứng dụng khác
Nó không giúp bảo vệ chống lại toàn bộ các vấn đề xâm phạm an
toàn
Nó đơn giản và được sử dụng rộng rải
19 trang |
Chia sẻ: lylyngoc | Lượt xem: 1787 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Chương 7 Vấn đề an toàn trong Thương mại điện tử - TS Nguyễn Đức Trí, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Chương 7
Vấn đề an toàn trong Thương mại
điện tử
Trình bày
TS Nguyễn Đức Trí
Chủ nhiệm Bộ môn Du lịch
Khoa Thương mại Du lịch
Đại học Kinh tế TP. HCM
tri@triduc.net
Cấu hình mạng TMĐT an toan
21 June 2002 Security Issues2
Tổ chức mạng an toan
21 June 2002 Security Issues3
Proxy
21 June 2002 Security Issues4
Cấu truc bảo an DMZ
21 June 2002 Security Issues5
21 June 2002 Security Issues6
SSL và SET: Ai sẽ thắng?
Một phần của SSL (Secure Socket Layer) đã có trong bộ
trình duyệt của khách hàng
Đó là một cơ chế mã hóa (encryption) để tiếp nhận đơn hàng, các
yêu cầu và các trình ứng dụng khác
Nó không giúp bảo vệ chống lại toàn bộ các vấn đề xâm phạm an
toàn
Nó đơn giản và được sử dụng rộng rải
SET ( Secure Electronic Transaction) là một giao thức
bảo an rất hoàn hảo
Nó cung cấp tính riêng tư, chứng thật, an toàn và rào cản
Nó ít được sử dụng do tính phức tạp của nó và sự đòi hỏi phải có các
bộ đọc card đặc biệt cho người sử dụng
Nó có thể bị tẩy chay nếu nó không được làm cho đơn giản hóa hơn
hay hoàn thiện hơn
21 June 2002 Security Issues7
Yêu cầu bảo an
Thanh toán, giao thức và các vấn đề có liên quan
Chứng thật: Là cách kiểm tra người mua trước khi việc
thanh toán được thực hiện
Toàn vẹn: Bảo đảm rằng các thông tin sẽ không bị thay
đổi, xóa do sơ xuất trong quá trình truyền dẫn
Mã hóa: Qui trình làm cho các thông điệp không thể đọc
hay sử dụng được ngoại trừ những người có khóa giải mã
chúng
Quyền riêng tư: người bán không nhất thiết phải biết thông
tin về thẻ tín dụng của người mua. Điều này cần được thực
hiện để bảo đảm quyền riêng tư của khách hàng
21 June 2002 Security Issues8
Qui trình bảo an
Khóa bí mật - Secret Key Cryptography
(symmetric)
Thông điệp
được mã hóa
Thông điệp
nguyên thủy
Người gửi
InternetThông điệp được mã hóa
Khóangười gửi (= Khóangười nhận)
Mã hóa
Thông điệp
nguyên thủy
Người nhận
Khóangười nhận
Giải mã
21 June 2002 Security Issues9
Khóa công cộng - Public Key Cryptography
Sender
Original
Message
Scrambled
Message
Scrambled
Message
Public Keyreceiver
Original
Message
Receiver
Private Keyreceiver
Internet
Qui trình bảo an...
Message
Sender
Original
Message
Scrambled
Message
Scrambled
Message
Private Keysender
Original
Message
Receiver
Public Keysender
Internet
Digital
Signature
21 June 2002 Security Issues10
Chữ ký điện tử - Digital Signature
Chữ ký số được
người gửi gửi kèm
theo thông điệp được
mã hóa bằng khóa
công cộng
Người nhận là người
duy nhất có thể đọc
thông điệp và anh ta là
người có thể biết chắc
chắn rằng thông điệp do
người nào đã gửi
Người gửi mã
hóa thông điệp
với khóa riêng
Bất kỳ người nhận
nào có khóa công
cộng của người gửi
đều có thể đọc được
Qui trình bảo an...
Từ chữ ký tương đương đến chữ ký bằng tay - Analogous to
handwritten signature
21 June 2002 Security Issues11
Chữ ký điện tử
21 June 2002 Security Issues12
Chứng nhận - Certificate
Name : “Richard”
key-Exchange Key :
Signature Key :
Serial # : 29483756
Other Data : 10236283025273
Expires : 6/18/96
Signed : CA’s Signature
Qui trình bảo an...
Xác định người giữ khóa công cộng (trao đổi khóa Key-
exchange)
Cấp bởi cơ quan chứng thật có uy tín - certificate authority
(CA)
21 June 2002 Security Issues13
Cơ quan cấp giấy chứng nhận – ví dụ VeriSign
RCA
BCA
GCA
CCA MCA PCA
RCA : Root Certificate Authority – Cơ quan chứng
nhận nguồn
BCA : Brand Certificate Authority - Cơ quan
chứng nhận nhãn hiệu
GCA : Geo-political Certificate Authority - Cơ
quan chứng nhận theo địa lý chính trị
CCA : Cardholder Certificate Authority - Cơ quan
chứng nhận người sở hữu card
MCA : Merchant Certificate Authority - Cơ quan
chứng nhận người bán
PCA : Payment Gateway Certificate Authority –
Cơ quan chứng nhận cổng thanh toán
Cách phân chia tầng lớp các cơ quan chứng nhận
Qui trình bảo an
Có thể là một tổ chức công cộng hay cá nhân
Là bên thứ 3 đáng tin cậy
Cấp Chứng nhận số
Chứng nhận rằng khóa công cộng thuộc về một cá nhân nào đó
21 June 2002 Security Issues14
Giao thức SET - Secure Electronic
Transaction Protocol
1. Thông điệp được đưa vào bộ ‘tiêu hóa’ thông tin (hay bộ đọc thông điệp -
message digest).
2. Bộ tiêu hóa thông tin sẽ mã hóa với khóa chữ ký riêng của người gửi, và chữ
ký số được tạo ra.
3. Nội dung thông điệp, chữ ký số và chứng nhận của người gửi được mã hóa
với khóa đồng đẳng (symmetric key) được tạo ra bởi máy của người gửi cho
từng giao dịch. Kết quả là một thông điệp được mã hóa. Giao thức SET dùng
hệ Algarit DES thay vì RSA bởi vì DES có thể mã hóa nhanh hơn nhiều so
với RSA.
4. Khóa đồng đẳng được mã hóa với khóa công cộng của người nhận vốn đã
được gửi đến người gửi trước đó. Kết quả là một bức thư số được tạo ra.
Máy tính của người gửi
21 June 2002 Security Issues15
Máy tính của người gửi
Khóa chữ ký riêng của
người gửi
Chứng nhận
của người gửi
+
+
Message
+
Chữ ký số
Chứng nhận
Của người nhận
Mã hóa
Khóa đồng
đẳng
Thông điệp
được mã
hóa
Khóa trao đổi của
người nhận
Mã hóa
Bao thư số
Message
Bộ đọc thông điệp
21 June 2002 Security Issues16
5. Thông điệp được mã hóa và bao thư số được chuyển đến máy của người nhận
thông qua Internet.
6. Bao thư số được giải mã với khóa trao đổi của người nhận.
7. Sử dụng khóa đồng đẳng, thông điệp được mã hóa có thể được tra về hiện trạng
thông điệp, chữ ký số và chứng nhận của người gửi.
8. Để xác định tính toàn vẹn (integrity), chữ ký số được giải mã bời khóa công
cộng của người gửi.
9. Thông điệp được thành thông điệp được giải mã.
10. Các thông điệp được giải mã đạt được ở các bước 8 & 9 được so sánh bởi
người nhận nhằm xác định xem có thay đổi nào không trong quá trình di
chuyển. Bước này xác định tính toàn vẹn của thông điệp.
Máy tính của người nhận
Giao thức SET...
21 June 2002 Security Issues17
Máy tính của người gửi
Giải mã
Khóa đồng đẳng
Thông điệp
được mã
hóa
Chứng nhận
Của Người gửi
+
+
Thông điệp
So sánh
Bao thư số
Khoá trao đổi riêng
của người gửi
Giải mã
Thông điệp được đọcChữ ký số
Khoá chữ ký công cộng
của người gửi
Giải mã
Thông điệp được đọc
21 June 2002 Security Issues18
Giao thức SET được dùng trong TMĐT
Bộ đọc
IC Card
Khách hàng X
Khách hàng Y
Với Ví điện tử
Cơ quan chứng nhận
Cửa hàng điện tử
Người bán A Người bán B
Loại credit card
Giao thức
X.25
Cổng thanh toán
21 June 2002 Security Issues19
SET so với SSL
Secure Electronic Transaction (SET) Secure Socket Layer (SSL)
Phức tạp Đơn giản
SET phục vụ nhu cầu nhận thanh
toán bằng credit card của người
bán.
SSL là giao thức bảo mật tổng
quát cho các trao đổi thông
điệp (mã hóa).
Giao thức SET giấu thông tin về
Credit card của khách hàng khỏi
người bán, và cũng giấu thông tin
đối với ngân hàng, để bảo vệ
quyền riêng tư của khách hàng.
Giao thức SSL có thể dùng
chứng nhận, nhưng nó không có
cổng thanh tóan. Vì vậy, người
bán cần nhận cả thông tin đặt
hàng lẫn thông tin về thẻ tín
dụng và qui trình này do người
bán quyết định.