Bài giảng Vấn đề an toàn trong thương mại điện tử

Chương 7Vấn đề an toàn trong Thương mại điện tử Trình bày TS Nguyễn Đức Trí Chủ nhiệm Bộ môn Du lịch Khoa Thương mại Du lịch Đại học Kinh tế TP. HCM tri@triduc.net Cấu hình mạng TMĐT an toan 21 June 2002 Security Issues * Tổ chức mạng an toan 21 June 2002 Security Issues * Proxy 21 June 2002 Security Issues * Cấu truc bảo an DMZ 21 June 2002 Security Issues * 21 June 2002 Security Issues * SSL và SET: Ai sẽ thắng? Một phần của SSL (Secure Socket Layer) đã có trong bộ trình duyệt của khách hàng Đó là một cơ chế mã hóa (encryption) để tiếp nhận đơn hàng, các yêu cầu và các trình ứng dụng khác Nó không giúp bảo vệ chống lại toàn bộ các vấn đề xâm phạm an toàn Nó đơn giản và được sử dụng rộng rải SET ( Secure Electronic Transaction) là một giao thức bảo an rất hoàn hảo Nó cung cấp tính riêng tư, chứng thật, an toàn và rào cản Nó ít được sử dụng do tính phức tạp của nó và sự đòi hỏi phải có các bộ đọc card đặc biệt cho người sử dụng Nó có thể bị tẩy chay nếu nó không được làm cho đơn giản hóa hơn hay hoàn thiện hơn 21 June 2002 Security Issues * Yêu cầu bảo an Thanh toán, giao thức và các vấn đề có liên quan Chứng thật: Là cách kiểm tra người mua trước khi việc thanh toán được thực hiện Toàn vẹn: Bảo đảm rằng các thông tin sẽ không bị thay đổi, xóa do sơ xuất trong quá trình truyền dẫn Mã hóa: Qui trình làm cho các thông điệp không thể đọc hay sử dụng được ngoại trừ những người có khóa giải mã chúng Quyền riêng tư: người bán không nhất thiết phải biết thông tin về thẻ tín dụng của người mua. Điều này cần được thực hiện để bảo đảm quyền riêng tư của khách hàng 21 June 2002 Security Issues * Qui trình bảo an Khóa bí mật - Secret Key Cryptography (symmetric) 21 June 2002 Security Issues * Khóa công cộng - Public Key Cryptography Qui trình bảo an... Message Digital Signature 21 June 2002 Security Issues * Chữ ký điện tử - Digital Signature Chữ ký số được người gửi gửi kèm theo thông điệp được mã hóa bằng khóa công cộng Người gửi mã hóa thông điệp với khóa riêng Qui trình bảo an... Từ chữ ký tương đương đến chữ ký bằng tay - Analogous to handwritten signature 21 June 2002 Security Issues * Chữ ký điện tử 21 June 2002 Security Issues * Chứng nhận - Certificate Qui trình bảo an... Xác định người giữ khóa công cộng (trao đổi khóa Key-exchange) Cấp bởi cơ quan chứng thật có uy tín - certificate authority (CA) 21 June 2002 Security Issues * Cơ quan cấp giấy chứng nhận – ví dụ VeriSign RCA : Root Certificate Authority – Cơ quan chứng nhận nguồn BCA : Brand Certificate Authority - Cơ quan chứng nhận nhãn hiệu GCA : Geo-political Certificate Authority - Cơ quan chứng nhận theo địa lý chính trị CCA : Cardholder Certificate Authority - Cơ quan chứng nhận người sở hữu card MCA : Merchant Certificate Authority - Cơ quan chứng nhận người bán PCA : Payment Gateway Certificate Authority – Cơ quan chứng nhận cổng thanh toán Cách phân chia tầng lớp các cơ quan chứng nhận Qui trình bảo an Có thể là một tổ chức công cộng hay cá nhân Là bên thứ 3 đáng tin cậy Cấp Chứng nhận số Chứng nhận rằng khóa công cộng thuộc về một cá nhân nào đó 21 June 2002 Security Issues * Giao thức SET - Secure Electronic Transaction Protocol 1. Thông điệp được đưa vào bộ ‘tiêu hóa’ thông tin (hay bộ đọc thông điệp - message digest). 2. Bộ tiêu hóa thông tin sẽ mã hóa với khóa chữ ký riêng của người gửi, và chữ ký số được tạo ra. 3. Nội dung thông điệp, chữ ký số và chứng nhận của người gửi được mã hóa với khóa đồng đẳng (symmetric key) được tạo ra bởi máy của người gửi cho từng giao dịch. Kết quả là một thông điệp được mã hóa. Giao thức SET dùng hệ Algarit DES thay vì RSA bởi vì DES có thể mã hóa nhanh hơn nhiều so với RSA. 4. Khóa đồng đẳng được mã hóa với khóa công cộng của người nhận vốn đã được gửi đến người gửi trước đó. Kết quả là một bức thư số được tạo ra. Máy tính của người gửi 21 June 2002 Security Issues * Máy tính của người gửi Khóa chữ ký riêng của người gửi 21 June 2002 Security Issues * 5. Thông điệp được mã hóa và bao thư số được chuyển đến máy của người nhận thông qua Internet. 6. Bao thư số được giải mã với khóa trao đổi của người nhận. 7. Sử dụng khóa đồng đẳng, thông điệp được mã hóa có thể được tra về hiện trạng thông điệp, chữ ký số và chứng nhận của người gửi. 8. Để xác định tính toàn vẹn (integrity), chữ ký số được giải mã bời khóa công cộng của người gửi. 9. Thông điệp được thành thông điệp được giải mã. 10. Các thông điệp được giải mã đạt được ở các bước 8 & 9 được so sánh bởi người nhận nhằm xác định xem có thay đổi nào không trong quá trình di chuyển. Bước này xác định tính toàn vẹn của thông điệp. Máy tính của người nhận Giao thức SET... 21 June 2002 Security Issues * Máy tính của người gửi 21 June 2002 Security Issues * Giao thức SET được dùng trong TMĐT 21 June 2002 Security Issues * SET so với SSL Secure Electronic Transaction (SET) Secure Socket Layer (SSL)