Tải bản đầy đủ (.doc) (142 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Bảo mật trong xây dựng ứng dụng ecommerce

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (6.44 MB, 142 trang )

BỘ CÔNG THƯƠNG
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCM
KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN TỐT NGHIỆP
NGHIÊN CỨU VẤN ĐỀ BẢO MẬT
TRONG XÂY DỰNG ỨNG DỤNG
ECOMMERCE (ONLINE PAYMENT)
Giảng Viên Hướng Dẫn : VÕ THỊ THANH VÂN
Sinh viên thực hiện : NGUYỄN CẢNH CHÂN
Lớp : DHTH3LT
Khoa : CÔNG NGHỆ THÔNG TIN
TP. Hồ Chí Minh, tháng 04 năm 2009
LỜI MỞ ĐẦU
Cùng với sự lớn mạnh của Internet, việc mua bán hàng hóa và dịch vụ thông qua
Internet đã xuất hiện, đó chính là “Thương mại điện tử”.
Tuy mới xuất hiện và chỉ chiếm một tỷ trọng nhỏ trong thương mại song thương mại
điện tử đã mang lại những lợi ích to lớn cho doanh nghiệp, chính phủ, người tiêu dùng
và xã hội. Thương mại điện tử đã vượt ra khỏi lĩnh vực thương mại, ngày càng tác động
đến các lĩnh vực khác và hứa hẹn mang lại những thay đổi to lớn và sâu sắc mọi mặt đời
sống xã hội loài người. Thương mại điện tử ngày càng được sự quan tâm của chính phủ,
doanh nghiệp và người tiêu dùng và đang trở thành một công cụ hữu hiệu trong quá trình
toàn cầu hoá và trong xây dựng nền kinh tế số. Thât khó mà hình dung ra xã hội tương
lai nếu không có thương mại điện tử.
Bên cạnh đó, thương mại điện tử cũng đặt ra nhiều vấn đề cần phải giải quyết để khai
thác các lợi ích của thương mại điện tử như vấn đề an toàn, an ninh cho các giao dịch
trên mạng, các vấn đề về bảo vệ bí mật, tính riêng tư, cơ sở hạ tầng, các vấn đề về nhân
lực, chuyển đổi mô hình kinh doanh, các vấn đề về quản lý, thay đổi tập quán, thói quen
trong kinh doanh… Trong đó vấn đề an toàn, an ninh cho các giao dịch trên mạng và các
vấn đề về bảo vệ tính riêng tư, gọi chung là “các vấn đề bảo mật trong thương mại điện
tử” có ý nghía sống còn đối với việc phát triển của thương mại điện tử.


Đồ án “Nghiên cứu các vấn đề bảo mật trong xây dựng ứng dụng thương mại điện tử
và thanh toán trực tuyến” sẽ giúp tìm hiểu rõ thêm các vấn đề bảo mật và cách để xây
dựng một ứng dụng thương mại điện tử an toàn, đảm bảo lợi ích của doanh nghiệp và
khách hàng.
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
LỜI CẢM ƠN
Sau hơn bốn tháng tìm hiểu và thực hiện đồ án tốt nghiệp “Nghiên cứu các vấn đề
bảo mật trong xây dựng ứng dụng ecommerce(online payment)” , đến nay đồ án đã cơ
bản được hoàn thành. Ngoài sự cố gắng của bản thân, em đã nhận được sự giúp đỡ, động
viên khuyến khích từ gia đình, thầy cô và bạn bè.
Em xin chân thành cảm ơn đến thầy cô khoa công nghệ thông tin trường Đại học
công nghiệp TP.HCM đã tận tình giảng dạy, truyền đạt những kiến thức quý báu cho
chúng em trong suốt thời gian qua. Đặc biệt em xin gửi lời cảm ơn sâu sắc đến giáo viên
hướng dẫn của em đã tận tình giúp đỡ em hoàn thành đồ án này.
Đồ án đã hoàn thành với những kết quả nhất định, tuy nhiên không tránh khỏi những
thiếu sót. Kính mong sự cảm thông và đóng góp từ các thầy cô.
TP. HCM, 4/2009
Nguyễn Cảnh Chân
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
NHẬN XÉT
(Của giảng viên hướng dẫn)
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................

.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................

.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
NHẬN XÉT
(Của giảng viên phản biện)
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................

.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
.............................................................................................................................................................................
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
MỤC LỤC
LỜI MỞ ĐẦU.......................................................................................................................................................2
LỜI CẢM ƠN.......................................................................................................................................................3
NHẬN XÉT..........................................................................................................................................................4
.........................................................................................................................................................................4
NHẬN XÉT..........................................................................................................................................................5
MỤC LỤC............................................................................................................................................................6
DANH MỤC CÁC BẢNG SƠ ĐỒ HÌNH...................................................................................................................9
DANH MỤC CÁC CỤM TỪ VIẾT TẮT...................................................................................................................11
CHƯƠNG 1. GIỚI THIỆU ................................................................................................................................... 13

1.1. Thương mại điện tử và thanh toán điện tử ....................................................... 13
1.1.1. Thương mại điện tử ......................................................................................... 13
1.1.2. Thanh toán trong thương mại điện tử ............................................................. 19
1.2. Mục tiêu ................................................................................................................. 23
1.3. Phạm vi thực hiện ................................................................................................. 24
CHƯƠNG 2. CƠ SỞ LÝ THUYẾT ........................................................................................................................... 25
2.1. Các thuật toán và kỹ thuật mã hóa sử dụng trong thanh toán điện tử và
thương mại điện .............................................................................................................. 25
2.1.1. Secure Socket Layer (SSL) .............................................................................. 25
2.1.2. Hàm băm (Cryptographic hash function) ....................................................... 29
2.1.3. Mã hóa đối xứng (Symmetric Encryption) ...................................................... 34
2.1.4. Mã hóa khóa công khai ................................................................................... 37
2.1.5. Chữ ký số (Digital Signature) ......................................................................... 39
2.1.6. RSA .................................................................................................................. 42
2.1.7. Hạ tầng khóa công khai (Public key Infrastructure) ....................................... 45
2.1.8. SET (Secure Electronic Transaction) .............................................................. 52
2.2. Bảo mật Web ......................................................................................................... 55
2.2.1. Hypertext Transfer Protocol ........................................................................... 55
2.2.2. Bảo mật Web Server ........................................................................................ 60
2.2.3. Bảo mật ứng dụng Web ................................................................................... 70
2.2.4. Bảo mật Web Client ........................................................................................ 75
2.3. Cổng thanh toán điện tử ...................................................................................... 78
2.3.1. Cổng thanh toán điện tử (Payment Gateways) .............................................. 78
2.3.2. Hoạt động của cổng thanh toán điện tử ......................................................... 79
2.3.3. Bảo mật trong hệ thống cổng thanh toán điện tử ............................................ 81
2.4. Authorize.net ......................................................................................................... 84
2.4.1. Giới thiệu ....................................................................................................... 84
2.4.2. Hai phương thức tích hợp thanh toán điện tử qua Authorize.net .................... 84
CHƯƠNG 3. PHÂN TÍCH HỆ THỐNG ................................................................................................................... 86
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân

3.1. Yêu cầu hệ ............................................................................................................ 86
3.2. Ngôn ngữ và các kỹ thuật .................................................................................... 86
3.2.1. Ngôn ngữ lập trình và công cụ phát triển ....................................................... 86
3.2.2. Hệ quản trị cơ sở dữ liệu ................................................................................ 86
3.2.3. Các kỹ thuật và công nghệ .............................................................................. 86
3.3. Các công việc cần giải quyết ................................................................................ 87
3.4. Các mô hình .......................................................................................................... 88
3.4.1. ERD ................................................................................................................. 88
3.4.2. Mô hình Use Case ........................................................................................... 89
3.4.3. Mô hình hoạt động (Activity) .......................................................................... 91
3.4.4. Mô hình lớp ( Class) ........................................................................................ 95
CHƯƠNG 4. HIỆN THỰC .................................................................................................................................... 97
4.1. Bảo mật thông tin ................................................................................................. 97
4.1.1. Bảo mật thông tin trên URL ............................................................................ 97
4.1.2. Bảo mật thông tin thiết lập trong web.config .................................................. 97
4.1.3. Bảo mật thông tin thẻ tín dụng ........................................................................ 97
4.1.4. Bảo mật các thiết lập quan trọng .................................................................... 98
4.1.5. Sử dụng SSL .................................................................................................... 98
4.2. Sơ đồ trang Web .................................................................................................. 99
4.2.1. Phần cho khách hàng ...................................................................................... 99
4.2.2. Phần cho người quản trị ............................................................................... 102
4.3. Một số màn hình ................................................................................................. 105
4.3.1. Trang chủ ...................................................................................................... 105
4.3.2. Trang đăng ký ............................................................................................... 106
4.3.3. Trang nhóm sản phẩm ................................................................................... 106
4.3.4. Trang cập nhật giỏ hàng ............................................................................... 107
4.3.5. Trang nhập thông tin chuyển hàng ............................................................... 107
4.3.6. Trang nhập thông tin hóa đơn ....................................................................... 108
4.3.7. Trang nhập thông tin thẻ tín dụng ................................................................. 109
4.3.8. Xác nhận mua hàng ....................................................................................... 110

4.3.9. Trang quản lý sản phẩm ................................................................................ 111
4.3.10. Trang quản lý nhóm sản phẩm .................................................................... 111
4.3.11. Trang quản lý hóa đơn ................................................................................ 112
4.3.12. Trang quản lý nhân viên .............................................................................. 112
4.3.13. Trang quản lý nhóm và quyền nhân viên .................................................... 113
4.3.14. Trang quản lý thiết lập hệ thống ................................................................. 113
CHƯƠNG 5. NHẬN XÉT ĐÁNH GIÁ VÀ HƯỚNG PHÁT TRIỂN ............................................................................. 114
5.1. Nhận xét đánh giá ............................................................................................... 114
5.2. Hướng phát triển ................................................................................................ 115
PHỤ LỤC.........................................................................................................................................................116
1.1. Thiết lập chứng chỉ SSL của Verisign..............................................................116
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
1.1.1. Các bước thực hiện.......................................................................................116
1.1.2. Chuẩn bị........................................................................................................116
1.1.3. Thực hiện.......................................................................................................116
1.2. Hàm băm và mã hóa đối ...................................................................................141
DANH MỤC TÀI LIỆU THAM KHẢO...................................................................................................................142
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
DANH MỤC CÁC BẢNG SƠ ĐỒ HÌNH
HÌNH 2.1 THIẾT LẬP MỘT PHIÊN SSL...................................................................................................................26
HÌNH 2.2 VÍ DỤ HÀM BĂM..................................................................................................................................29
HÌNH 2.3 QUÁ TRÌNH MÃ HÓA ĐỐI XỨNG..........................................................................................................34
HÌNH 2.4 SINH KHÓA CÔNG KHAI.......................................................................................................................37
HÌNH 2.5 MÃ HÓA VÀ GIẢI MÃ BẰNG MÃ HÓA KHÓA CÔNG KHAI......................................................................38
HÌNH 2.6 TẠO VÀ XÁC THỰC CHỮ KÝ SỐ.............................................................................................................39
HÌNH 2.7 TẠO CHỮ KÝ SỐ...................................................................................................................................40
HÌNH 2.8 THẨM ĐỊNH CHỮ KÝ SỐ.......................................................................................................................40
HÌNH 2.9 TẠO CHỨNG CHỈ SỐ.............................................................................................................................47
HÌNH 2.10 CẤU TRÚC CHỨNG CHỈ SỐ X.509........................................................................................................48
HÌNH 2.11 CÁC THÀNH PHẦN CỦA PKI................................................................................................................49

HÌNH 2.12 MÔ HÌNH CA NHIỀU CẤP....................................................................................................................51
HÌNH 2.13 CHỨNG THỰC CHÉO..........................................................................................................................51
HÌNH 2.14 CÁC THÀNH PHẦN THAM GIA SET......................................................................................................53
HÌNH 2.15 CHỮ KÝ SONG SONG..........................................................................................................................54
HÌNH 2.16 VÍ DỤ HTTP HEADER CỦA VIETNAMNET.VN........................................................................................56
HÌNH 2.17 THÔNG TIN MÁY CHỦ TRONG HTTP HEADER......................................................................................57
HÌNH 2.18 VÍ DỤ REFERER TRONG HTTP HEADER................................................................................................58
HÌNH 2.19 PROXY CACHE....................................................................................................................................58
HÌNH 2.20 THIẾT LẬP TƯỜNG LỬA BẢO VỆ MÁY CHỦ WEB.................................................................................70
HÌNH 2.21 QUÁ TRÌNH XỬ LÝ YÊU CẦU CỦA CGI..................................................................................................71
HÌNH 2.22 THIẾT LẬP TƯỜNG LỮA BẢO VỆ MÁY CHỦ CƠ SỞ DỮ LIỆU.................................................................74
HÌNH 2.23 GIẢ MẠO WEB...................................................................................................................................75
HÌNH 2.24 SỬ DỤNG MÁY CHỦ PROXY TIN CẬY ĐỂ LƯỚT WEB ẨN DANH............................................................78
HÌNH 2.25 HOẠT ĐỘNG CỦA CỔNG THANH TOÁN ĐIỆN TỬ.................................................................................79
HÌNH 3.26 MÔ HÌNH ERD....................................................................................................................................88
HÌNH 3.27 MÔ HÌNH USE CASE PHẦN KHÁCH HÀNG............................................................................................89
10
HÌNH 3.28 MÔ HÌNH USE CASE PHẦN QUẢN TRỊ.................................................................................................90
HÌNH 3.29 MÔ HÌNH HOẠT ĐỘNG QUÁ TRÌNH ĐĂNG KÝ THÀNH VIÊN MỚI.........................................................91
HÌNH 3.30 MÔ HÌNH HOẠT ĐỘNG QUÁ TRÌNH ĐĂNG NHẬP................................................................................92
HÌNH 3.31 MÔ HÌNH HOẠT ĐỘNG QUÁ TRÌNH THÊM SẢN PHẨM VÀO GIỎ HÀNG...............................................93
HÌNH 3.32 MÔ HÌNH HOẠT ĐỘNG QUÁ TRÌNH MUA HÀNG.................................................................................94
HÌNH 3.33 MÔ HÌNH LỚP TẦNG NGHIỆP VỤ........................................................................................................95
HÌNH 3.34 MÔ HÌNH LỚP XỬ LÝ THANH TOÁN....................................................................................................96
HÌNH 4.35 BẢO MẬT THÔNG TIN TRÊN URL........................................................................................................97
HÌNH 4.36 THÔNG TIN KẾT NỐI VÀO CSDL TRONG WEB.CONFIG CHƯA ĐƯỢC MÃ HÓA ......................................97
HÌNH 4.37 THÔNG TIN KẾT NỐI VÀO CSDL TRONG WEB.CONFIG ĐÃ ĐƯỢC MÃ HÓA...........................................97
HÌNH 4.38 MÃ HÓA CÁC THIẾT LẬP QUAN TRỌNG TRONG CƠ SỞ DỮ LIỆU..........................................................98
HÌNH 4.39 MÀN HÌNH TRANG CHỦ....................................................................................................................105
HÌNH 4.40 MÀN HÌNH TRANG ĐĂNG KÝ KHÁCH HÀNG......................................................................................106

HÌNH 4.41 MÀN HÌNH TRANG NHÓM SẢN PHẨM..............................................................................................106
HÌNH 4.42 MÀN HÌNH TRANG CẬP NHẬT GIỎ HÀNG.........................................................................................107
HÌNH 4.43 MÀN HÌNH TRANG THÔNG TIN CHUYỂN HÀNG.................................................................................107
HÌNH 4.44 MÀN HÌNH TRANG THÔNG TIN HÓA ĐƠN........................................................................................108
HÌNH 4.45 MÀN HÌNH TRANG THÔNG TIN THẺ TÍN DỤNG.................................................................................109
HÌNH 4.46 MÀN HÌNH XÁC NHẬN MUA HÀNG...................................................................................................110
HÌNH 4.47 MÀN HÌNH TRANG QUẢN LÝ SẢN PHẨM..........................................................................................111
HÌNH 4.48 MÀN HÌNH TRANG QUẢN LÝ NHÓM SẢN PHẨM...............................................................................111
HÌNH 4.49 MÀN HÌNH TRANG QUẢN LÝ HÓA ĐƠN............................................................................................112
HÌNH 4.50 MÀN HÌNH TRANG QUẢN LÝ NHÂN VIÊN..........................................................................................112
HÌNH 4.51 MÀN HÌNH TRANG QUẢN LÝ NHÓM NHÂN VIÊN..............................................................................113
HÌNH 4.52 MÀN HÌNH TRANG CẤU HÌNH HỆ THỐNG.........................................................................................113
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
11
DANH MỤC CÁC CỤM TỪ VIẾT TẮT
UNCITRAL : United Nations Commission On International Trade Law
WTO : World Trade Organization
B2B : Business To Business
B2C : Business to Customers
B2G : Business to Government
C2C :Customers to Customers
G2C : Customers to Government
SSL : Secure Sockets Layer
ID : Identification
PIN : Personal Identificate Number
BIN : Bank Identificate Number
IETF : Internet Engineering Task Force
TLS : Transport Layer Security
HTTP : Hyper Text Transport Protocol
IMAP : Internet Messaging Access Protocol

FTP : File Transport Protocol
MIT : Massachusetts Institute of Technology
DES : Data Encryption Standard
DSA : Digital Signature Algorithm
KEA : Key Exchange Algorithm
MD5 : Message Digest algorithm 5
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
12
SHA-1 : Secure Hash Algorithm
NIST : National Institute of Standards and Technology
PGP : Pretty Good Privacy
GPG : GNU Privacy Guard
FIPS : Federal Information Processing Standard
NSA : National Security Agency
AES : Advanced Encryption Standard
PKI : Public key infrastructure
CA : Certificate Authority
URL : Uniform Resource Locator
IP : Internet Protocol
ITU :International Telecommunication Union
SET : Secure Electronic Transaction
LAN : Local Area Network
CGI : Common Gateway Interface
CSC : Card Security Code
CVV : Card Verification Value
CVC : Card Verification Code
AVS : Address Verification System
CSDL : Cơ sở dữ liệu
TMĐT : Thương mại điện tử
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân

13
CHƯƠNG 1.GIỚI THIỆU
1.1.Thương mại điện tử và thanh toán điện tử
1.1.1.Thương mại điện tử
1.1.1.1.Khái niệm
Hiện nay có nhiều quan điểm khác nhau về “thương mại điện tử” nhưng tựu trung lại
có hai quan điểm lớn trên thế giới xin được nêu ra dưới đây. Thương mại điện tử theo
nghĩa rộng được định nghĩa trong Luật mẫu về Thương mại điện tử của Ủy ban Liên
Hợp quốc về Luật Thương mại Quốc tế (UNCITRAL): Thuật ngữ “thương mại” cần
được diễn giải theo nghĩa rộng để bao quát các vấn đề phát sinh từ mọi quan hệ mang
tính chất thương mại dù có hay không có hợp đồng. Các quan hệ mang tính thương mại
bao gồm các giao dịch sau đây: Bất cứ giao dịch nào về thương mại nào về cung cấp
hoặc trao đổi hàng hóa hoặc dịch vụ; thỏa thuận phân phối; đại diện hoặc đại lý thương
mại, ủy thác hoa hồng; cho thuê dài hạn; xây dựng các công trình; tư vấn; kỹ thuật công
trình; đầu tư; cấp vốn; ngân hàng; bảo hiểm; thỏa thuận khai thác hoặc tô nhượng; liên
doanh các hình thức khác về hợp tác công nghiệp hoặc kinh doanh; chuyên chở hàng hóa
hay hành khách bằng đường biển, đường không, đường sắt hoặc đường bộ. Như vậy, có
thể thấy rằng phạm vi của Thương mại điện tử rất rộng, bao quát hầu hết các lĩnh vực
hoạt động kinh tế, việc mua bán hàng hóa và dịch vụ chỉ là một trong hàng ngàn lĩnh vực
áp dụng của thương mại điện tử.
Ủy ban Châu Âu đưa ra định nghĩa về thương mại điện tử như sau: Thương mại điện
tử được hiểu là việc thực hiện hoạt động kinh doanh qua các phương tiện điện tử. Nó
dựa trên việc xử lý và truyền dữ liệu điện tử dưới dạng text, âm thanh và hình ảnh.
Thương mại điện tử gồm nhiều hành vi trong đó hoạt động mua bán hàng hóa và dịch vụ
qua phương tiện điện tử, giao nhận các nội dung kỹ thuật số trên mạng, chuyển tiền điện
tử, mua bán cổ phiếu điện tử, vận đơn điện tử, đấu giá thương mại, hợp tác thiết kế, tài
nguyên mạng, mua sắm công cộng, tiếp thị trực tiếp tới người tiêu dùng và các dịch vụ
sau bán hàng. Thương mại điện tử được thực hiện đối với cả thương mại hàng hóa (ví dụ
như hàng tiêu dùng, các thiết bị y tế chuyên dụng) và thương mại dịch vụ (ví dụ như dịch
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân

14
vụ cung cấp thông tin, dịch vụ pháp lý, tài chính); các hoạt động truyền thống (như chăm
sóc sức khỏe, giáo dục ) và các hoạt động mới (ví dụ như siêu thị ảo).
Tóm lại, theo nghĩa rộng thì thương mại điện tử có thể được hiểu là các giao dịch tài
chính và thương mại bằng phương tiện điện tử như: trao đổi dữ liệu điện tử; chuyển tiền
điện tử và các hoạt động gửi rút tiền bằng thẻ tín dụng.
Thương mại điện tử theo nghĩa hẹp bao gồm các hoạt động thương mại được thực
hiện thông qua mạng Internet. Các tổ chức như: Tổ chức Thương mại thế giới (WTO),
Tổ chức Hợp tác phát triển kinh tế đưa ra các khái niệm về thương mại điện tử theo
hướng này. Thương mại điện tử được nói đến ở đây là hình thức mua bán hàng hóa được
bày tại các trang Web trên Internet với phương thức thanh toán bằng thẻ tín dụng. Có thể
nói rằng thương mại điện tử đang trở thành một cuộc cách mạng làm thay đổi cách thức
mua sắm của con người.
Theo Tổ chức Thương mại Thế giới: Thương mại điện tử bao gồm việc sản xuất,
quảng cáo, bán hàng và phân phối sản phẩm được mua bán và thanh toán trên mạng
Internet, nhưng được giao nhận một cách hữu hình cả các sản phẩm được giao nhận
cũng như những thông tin số hóa thông qua mạng Internet.
Khái niệm về Thương mại điện tử do Tổ chức hợp tác phát triển kinh tế của Liên
Hợp quốc đưa ra là: Thương mại điện tử được định nghĩa sơ bộ là các giao dịch thương
mại dựa trên truyền dữ liệu qua các mạng truyền thông như Internet.
Theo các khái niệm trên, chúng ta có thể hiểu được rằng theo nghĩa hẹp thương mại
điện tử chỉ bao gồm những hoạt động thương mại được thực hiện thông qua mạng
Internet mà không tính đến các phương tiện điện tử khác như điện thoại, fax, telex...
Qua nghiên cứu các khái niệm về thương mại điện tử như trên, hiểu theo nghĩa rộng
thì hoạt động thương mại được thực hiện thông qua các phương tiện thông tin liên lạc đã
tồn tại hàng chục năm nay và đạt tới doanh số hàng tỷ đô la Mỹ mỗi ngày. Theo nghĩa
hẹp thì thương mại điện tử chỉ mới tồn tại được vài năm nay nhưng đã đạt được những
kết quả rất đáng quan tâm, thương mại điện tử chỉ gồm các hoạt động thương mại được
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
15

tiến hàng trên mạng máy tính mở như Internet. Trên thực tế, chính các hoạt động thương
mại thông qua mạng Internet đã làm phát sinh thuật ngữ “thương mại điện tử”.
1.1.1.2.Các đặc trưng của thương mại điện tử
Đế xây dựng khung pháp luật thống nhất cho thương mại điện tử, chúng ta cần
nghiên cứu và tìm ra các đặc trưng của thương mại điện tử. So với các hoạt động thương
mại truyền thống, thương mại điện tử có một số điểm khác biệt cơ bản sau:
1. Các bên tiến hành giao dịch trong thương mại điện tử
không tiếp xúc trực tiếp với nhau và không đòi hỏi
phải biết nhau từ trước.
2. Các giao dịch thương mại truyền thống được thực hiện
với sự tồn tại của khái niệm biên giới quốc gia, còn
thương mại điện tử được thực hiện trong một thị
trường không có biên giới (thị trường thống nhất toàn
cầu). Thương mại điện tử trực tiếp tác động tới môi
trường cạnh tranh toàn cầu.
3. Trong hoạt động giao dịch thương mại điện tử đều có
sự tham ra của ít nhất ba chủ thể, trong đó có một bên
không thể thiếu được là người cung cấp dịch vụ mạng,
các cơ quan chứng thực.
4. Đối với thương mại truyền thống thì mạng lưới thông
tin chỉ là phương tiện để trao đổi dữ liệu, còn đối với
thương mại điện tử thì mạng lưới thông tin chính là thị
trường
1.1.1.3.Những lợi ích của thương mại điện tử
5. Thương mại điện tử giúp cho các doanh nghiệp nắm
được thông tin phong phú về thị trường và đối tác
6. Thương mại điện tử giúp giảm chi phí sản xuất
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
16
7. Thương mại điện tử giúp giảm chi phí bán hàng và tiếp

thị.
8. Thương mại điện tử qua Internet giúp người tiêu dùng
và các doanh nghiệp giảm đáng kể thời gian và chí phí
giao dịch.
9. Thương mại điện tử tạo điều kiện cho việc thiết lập và
củng cố mối quan hệ giữa các thành phần tham gia vào
quá trình thương mại.
10.Tạo điều kiện sớm tiếp cận nền kinh tế số hoá.
1.1.1.4.Một số loại hình ứng dụng trong thương mại điện tử
11.B2B (Business To Business): Thương mại điện tử B2B
được định nghĩa đơn giản là thương mại điện tử giữa
các công ty. Đây là loại hình thương mại điện tử gắn
với mối quan hệ giữa các công ty với nhau
12.B2C (Business to Customers): Thương mại điện tử
B2C là việc một doanh nghiệp dựa trên mạng internet
để trao đổi các hang hóa dịch vụ do mình tạo ra hoặc
do mình phân phối.
13.B2G (Business to Government): Thương mại điện tử
giữa doanh nghiệp với chính phủ (B2G) được định
nghĩa chung là thương mại giữa công ty và khối hành
chính công. Nó bao hàm việc sử dụng Internet cho mua
bán công, thủ tục cấp phép và các hoạt động khác liên
quan tới chính phủ. Hình thái này của thương mại điện
tử có hai đặc tính: thứ nhất, khu vực hành chính công
có vai trò dẫn đầu trong việc.
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
17
14.C2C (Customers to Customers): Thương mại điện tử
khách hàng tới khách hàng C2C đơn giản là thương
mại giữa các cá nhân và người tiêu dùng.

15.G2C (Customers to Government): Thương mại điện tử
cơ quan nhà nước với cá nhân chủ yếu là những giao
dịch mang tính hành chính, nhưng có thể mang những
yếu tố của thương mại điện tử.
1.1.1.5.Các bước cơ bản của một giao dịch mua bán trên mạng
16.Khách hàng, từ một máy tính tại một nơi nào đó, điền
những thông tin thanh toán và điạ chỉ liên hệ vào đơn
đặt hàng (Order Form) của website bán hàng (còn gọi
là website thương mại điện tử). Doanh nghiệp nhận
được yêu cầu mua hàng hoá hay dịch vụ của khách
hàng và phản hồi xác nhận tóm tắt lại những thông tin
cần thiết nh mặt hàng đã chọn, địa chỉ giao nhận và số
phiếu đặt hàng...
17.Khách hàng kiểm tra lại các thông tin và kích (click)
vào nút (button) "đặt hàng", từ bàn phím hay chuột
(mouse) của máy tính, để gởi thông tin trả về cho
doanh nghiệp.
18.Doanh nghiệp nhận và lưu trữ thông tin đặt hàng đồng
thời chuyển tiếp thông tin thanh toán (số thẻ tín dụng,
ngày đáo hạn, chủ thẻ ...) đã được mã hoá đến máy chủ
(Server, thiết bị xử lý dữ liệu) của Trung tâm cung cấp
dịch vụ xử lý thẻ trên mạng Internet. Với quá trình mã
hóa các thông tin thanh toán của khách hàng được bảo
mật an toàn nhằm chống gian lận trong các giao dịch
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
18
(chẳng hạn doanh nghiệp sẽ không biết được thông tin
về thẻ tín dụng của khách hàng).
19.Khi Trung tâm Xử lý thẻ tín dụng nhận được thông tin
thanh toán, sẽ giải mã thông tin và xử lý giao dịch

đằng sau bức tường lửa (FireWall) và tách rời mạng
Internet (off the Internet), nhằm mục đích bảo mật
tuyệt đối cho các giao dịch thương mại, định dạng lại
giao dịch và chuyển tiếp thông tin thanh toán đến ngân
hàng của doanh nghiệp (Acquirer) theo một đường dây
thuê bao riêng (một đường truyền số liệu riêng biệt).
20.Ngân hàng của doanh nghiệp gởi thông điệp điện tử
yêu cầu thanh toán (authorization request) đến ngân
hàng hoặc công ty cung cấp thẻ tín dụng của khách
hàng (Issuer). Và tổ chức tài chính này sẽ phản hồi là
đồng ý hoặc từ chối thanh toán đến trung tâm xử lý thẻ
tín dụng trên mạng Internet.
21.Trung tâm xử lý thẻ tín dụng trên Internet sẽ tiếp tục
chuyển tiếp những thông tin phản hồi trên đến doanh
nghiệp, và tùy theo đó doanh nghiệp thông báo cho
khách hàng được rõ là đơn đặt hàng sẽ được thực hiện
hay không.
22.Toàn bộ thời gian thực hiện một giao dịch qua mạng từ
bước 1 -> bước 6 được xử lý trong khoảng 15 - 20
giây.
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
19
1.1.2.Thanh toán trong thương mại điện tử
1.1.2.1.Thẻ tín dụng
Thẻ tín dụng đã được xử lý điện tử hàng thập kỷ nay. Chúng được sử dụng đầu tiên
trong các nhà hàng và khách sạn sau đó là các cửa hàng bách hoá và cách sử dụng nó đã
được giới thiệu trên các chương trình quảng cáo trên truyền hình từ 20 năm nay. Cả một
ngành công nghiệp lớn đang tồn tại trong lĩnh vực xử lý các giao dịch thẻ tín dụng trực
tuyến với các công ty như First Data Corp., Total System Corp., và National Data Corp.,
chi tiết hoá các giao dịch phía sau mối quan hệ giữa nhà băng, người bán hàng và người

sử dụng thẻ tín dụng. Hàng triệu các cửa hàng bách hoá trên toàn nước Mỹ được trang bị
các trạm đầu cuối (Hewlett-Package Verifone là nhà sản xuất hàng đầu của thiết bị này)
thông qua đó thể tín dụng được kiểm tra, nhập số thẻ và biên lai được in ra. Người sử
dụng ký vào biên lai này để xác thực việc mua hàng.
Trước khi nhận số thẻ tín dụng của người mua qua Internet bạn cần có một chứng
nhận người bán. Nếu bạn đã hoạt động kinh doanh thì đơn giản là yêu cầu nhà băng của
bạn cung cấp chứng nhận này. Nếu bạn chưa có bất cứ cái gì thì bạn có thể thực hiện
việc này nhanh chóng tại một nhà băng nào đó hoặc truy nhập vào một WEB site có các
mẫu đăng ký trực tuyến.
Sử dụng thẻ tín dụng trực tuyến ngày hôm nay, tuy nhiên, giống như việc sử dụng
chúng với một "operating standing by". Số thẻ và chi tiết của giao dịch được lưu lại và
xử lý, nhưng không có sự xuất hiện của người mua và khi có một vụ thanh toán bị lỡ thì
nó vẫn được lưu lại trên hệ thống. Bởi lý do này các chi phí xử lý thẻ tín dụng trực tuyến
nhiều ngang bằng với chi phí để xử lý một giao dịch chứ không ngang bằng với một mức
phí như điện thoại và thông thường là vào khoảng 50 xen. (Các giao dịch được xử lý
thông qua các trạm đầu cuối đã được hợp đồng chỉ mất khoảng từ 3 đến 5 xen).
Ngoài các khoản trên, phí được giảm nhờ việc sử dụng các dịch vụ của Visa và
MasterCard, là các tổ hợp của các nhà băng, hoặc American Express Co. và Discover là
các công ty riêng rẽ xử lý và quản lý các giao dịch thẻ tín dụng. Ðiều đó có nghĩa là bạn
sẽ phải trả từ 2 đến 3 xen cho một đô la khi sử dụng Visa hay MasterCard, và ít hơn một
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
20
chút với Discover, đối với American Express phí này vào khoảng 5 xen cho một đô la.
Các thoả ước giữa các công ty cung cấp thẻ và các chủ doanh nghiệp giúp cho khách
hàng không phải trả các chi phí này. Việc chiết khấu cũng khác giữa người sử dụng tại
trạm đầu cuối nơi mà thẻ tín dụng tồn tại một cách vật lý, và môi trường WEB nơi mà
thẻ không hiện diện. Trong quá trình chuyển đổi để chiết khấu người bán được đảm bảo
thanh toán. Người mua được đảm bảo về việc sẽ nhận được hàng hoá và một số đảm bảo
có giới hạn khác chống lại việc bị lừa hoặc mất thẻ. (Bảo hiểm thẻ được bán bởi các nhà
băng phát hành thẻ và các rủi ro sẽ được thanh toán).

Cửa hàng trên web của bạn cần phần mềm nào để có thể xử lý thẻ tín dụng? ở mức
đơn giản nhất, bạn phải có sẵn một số biểu mẫu có khả năng mã hoá bảo mật, thông
thường là Sercure Socket Layer (SSL), một tiêu chuẩn đối với cả các trình duyệt của
Microsoft và Netscape, và điều đó cũng có nghĩa là máy chủ của bạn phải có một khoá
mã hoá. Tiếp theo bạn phải có một chương trình đóng vai trò là một giỏ mua hàng, cho
phép người sử dụng thu thập các mặt hàng cần mua, tính giá và thuế sau đó đưa ra một
hoá đơn cuối cùng để phê chuẩn. Cuối cùng nếu như bạn không muốn xử lý các tệp giao
dịch bằng tay hoặc xử lý một gói các tệp thì bạn phải cần một cơ chế giao dịch điện tử.
1.1.2.2.Ðịnh danh hay ID số hoá (Digital identificator)
Các khoá mã bảo mật trên máy chủ, được biết đến như là các ID số hoá, được cung
cấp bởi một số các cơ quan chứng nhận thẩm quyền, là nơi cấp phép và bảo dưỡng các
bản ghi diễn biến trên các ID số hoá này. Tổ chức chứng thực thẩm quyền lớn nhất được
điều hành bởi VeriSign Inc., một công ty được thành lập vào năm 1995 chuyên về lĩnh
vực quản lý các chứng nhận số hoá. Công ty xử lý các yêu cầu ID số hoá cho các công ty
như American Online, Microsoft, Netscape, tuy nhiên bạn cũng có thể trực tiếp có các
ID số hoá trên web site của công ty. Vào mùa hè năm 1998, VeriSign thu phí 349 USD
cho máy chủ ID đầu tiên mà một công ty mua và 249 USD cho thêm mỗi máy chủ ID
tiếp theo. Một Máy chủ ID toàn cục - Global Server ID, 128 bit có mức chi phí 695
USD.
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
21
Công nghệ nền tảng cho các ID số hoá của VeriSign là SSL được xây dựng đầu tiên
bởi RSA Technologies inc., nay là một đơn vị của Sercurity Dynamics. Mỗi thông điệp,
được mã hoá bằng hai mã hoặc khoá là một chuỗi các bit làm thay đổi giá trị đã được số
hoá các của dữ liệu được đưa vào hay lấy ra khỏi chương trình. Một khoá công cộng
được dùng để mã hoá các thông điệp, trong khi khoá riêng thứ hai được dùng để giải mã
nó. Tính thống nhất và xác thực của các khoá riêng được đảm bảo bởi một cơ quan
chứng nhận thẩm quyền như VeriSign. Một máy chủ ID số hoá cho phép bạn ký vào các
văn bản điện tử và chứng thực chữ ký của mình với một cơ quan chứng nhận thẩm
quyền.

1.1.2.3.Một số thuật ngữ
23.Cơ sở chấp nhận thẻ (Merchant): Là các thành phần
kinh doanh hàng hoá và dịch vụ có ký kết với Ngân
hàng thanh toán về việc chấp nhận thanh toán thẻ như:
nhà hàng, khách sạn, cửa hàng... Các đơn vị này phải
trang bị máy móc kỹ thuật để tiếp nhận thẻ thanh toán
tiền mua hàng hoá, dịch vụ, trả nợ thay cho tiền mặt.
24.Ngân hàng đại lý hay Ngân hàng thanh toán
(Acquirer): Là Ngân hàng trực tiếp ký hợp đồng với cơ
sở tiếp nhận và thanh toán các chứng từ giao dịch do
cơ sở chấp nhận thẻ xuất trình. Một Ngân hàng có thể
vừa đóng vai trò thanh toán thẻ vừa đóng vai trò phát
hành.
25.Ngân hàng phát hành thẻ (Issuer): Là thành viên chính
thức của các Tổ chức thẻ quốc tế, là Ngân hàng cung
cấp thẻ cho khách hàng. Ngân hàng phát hành chịu
trách nhiệm tiếp nhận hồ sơ xin cấp thẻ, xử lý và phát
hành thẻ, mở và quản lý tài khoản thẻ, đồng thời thực
hiện việc thanh toán cuối cùng với chủ thẻ.
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
22
26.Chủ thẻ (Cardholder): Là người có tên ghi trên thẻ
được dùng thẻ để chi trả thanh toán tiền mua hàng hoá,
dịch vụ. Chỉ có chủ thẻ mới có thể sử dụng thẻ của
mình mà thôi. Mỗi khi thanh toán cho các cơ sở chấp
nhận thẻ vể hàng hoá dịch vụ hoặc trả nợ, chủ thẻ phải
xuất trình thẻ để nơi đây kiểm tra theo qui trình và lập
biên lai thanh toán.
27.Danh sách Bulletin: Còn gọi là danh sách báo động
khẩn cấp, là một danh sách liệt kê những số thẻ không

được phép thanh toán hay không được phép mua hàng
hóa, dịch vụ. Đó là những thẻ tiêu dùng quá hạn mức,
thẻ giả mạo đang lưu hành, thẻ bị lộ mật mã cá nhân
(PIN), thẻ bị mất cắp, thất lạc, thẻ bị loại bỏ... Danh
sách được cập nhật liên tục và gởi đến cho tất cả các
Ngân hàng thanh toán để thông báo kịp thời cho cơ sở
chấp nhận.
28.Hạn mức tín dụng (Credit limit): Được hiểu là tổng số
tín dụng tối đa mà Ngân hàng phát hành thẻ cấp cho
chủ thẻ sử dụng đối với từng loại thẻ.
29.Số PIN (Personal Identificate Number): Là mã số cá
nhân riêng của chủ thẻ để thực hiện giao dịch rút tiền
tại các máy rút tiền tự động. Mã số này do Ngân hàng
phát hành thẻ cung cấp cho chủ thẻ khi phát hành. Đối
với mã số PIN, người chủ thẻ phải giữ bí mật, chỉ một
mình mình biết.
30.BIN (Bank Identificate Number): Là mã số chỉ Ngân
hàng phát hành thẻ. Trong hiệp hội thẻ có nhiều ngân
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
23
hàng thành viên, mỗi ngân hàng thành viên có một mã
số riêng giúp thuận lợi trong thanh toán và truy xuất.
31.Ngày hiệu lực: Ngày sao kê (Statement date): là ngày
ngân hàng phát hành thẻ lập các sao kê về khoản chi
tiêu mà chủ thẻ phải thanh toán trong tháng.
32.Ngày đáo hạn (Due date): là ngày mà ngân hàng phát
hành qui định cho chủ thẻ thanh toán toàn bộ hay một
phần trong giá trị sao kê trên
33.Merchant account: Merchant account là một tài khoản
ngân hàng đặc biệt, cho phép bạn khi kinh doanh có

thể chấp nhận thanh toán bằng thẻ tín dụng. Việc thanh
toán bằng thẻ tín dụng chỉ có thể tiến hành thông qua
dạng tài khoản này.
34.Cổng thanh toán điện tử (payment gateway): là một
chuơng trình phần mềm. Phần mềm này sẽ chuyển dữ
liệu của các giao dịch từ website của người bán sang
trung tâm thanh toán thẻ tín dụng để hợp thức hoá quá
trình thanh toán thẻ tín dụng.
1.2.Mục tiêu
35.Tìm hiểu về thương mại điện tử.
36.Tìm hiểu thanh toán điện tử trực tuyến.
37.Tìm hiểu về các phương thức bảo mật trong thương
mại điện tử và thanh toán điện tử trực tuyến.
38.Xây dựng được một website thương mại điện tử với
mô hình B2C.
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
24
39.Tích hợp được hệ thống thanh toán trực tuyến vào
trong trang web.
1.3.Phạm vi thực hiện
40.Nghiên cứu các thuật toán, kỹ thuật và phương pháp
bảo mật trên web được dùng trong thương mại điện tử
và thanh toán trực tuyến.
41.Xây dựng một website bán máy tính xách tay trực
tuyến để hiện thực một phần những gì đã nghiên cứu
được.
42.Thiết lập các cơ chế bảo mật thông tin trên website.
43.Tích hợp thanh toán bằng thẻ tín dụng qua một cổng
thanh toán điện tử.
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân

25
Chương 2.CƠ SỞ LÝ THUYẾT
2.1.Các thuật toán và kỹ thuật mã hóa sử dụng trong thanh toán điện tử và thương
mại điện
2.1.1.Secure Socket Layer (SSL)
2.1.1.1.Giới thiệu SSL
SSL (Secure Socket Layer) là giao thức đa mục đích được thiết kế để tạo ra các giao
tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá
toàn bộ thông tin đi/đến, được sử dụng trong giao dịch điện tử như truyền số liệu thẻ tín
dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet.
Được phát triển bởi Netscape, ngày nay giao thức Secure Socket Layer (SSL) đã
được sử dụng rộng rãi trên World Wide Web trong việc xác thực và mã hoá thông tin
giữa client và server. Tổ chức IETF (Internet Engineering Task Force) đã chuẩn hoá SSL
và đặt lại tên là TLS (Transport Layer Security). Mặc dù là có sự thay đổi về tên nhưng
TSL chỉ là một phiên bản mới của SSL. Phiên bản TSL 1.0 tương đương với phiên bản
SSL 3.1. Tuy nhiên SSL là thuật ngữ được sử dụng rộng rãi hơn.
SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho
rất nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức
ứng dụng tầng cao hơn như là HTTP (Hyper Text Transport Protocol), IMAP ( Internet
Messaging Access Protocol) và FTP (File Transport Protocol). Trong khi SSL có thể sử
dụng để hỗ trợ các giao dịch an toàn cho rất nhiều ứng dụng khác nhau trên Internet, thì
hiện nay SSL được sử dụng chính cho các giao dịch trên Web.
2.1.1.2.Cơ chế mã hóa của SSL
Giao thức SSL dựa trên hai nhóm con giao thức là giao thức "bắt tay" (handshake
protocol) và giao thức "bản ghi" (record protocol). Giao thức bắt tay xác định các tham
số giao dịch giữa hai đối tượng có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức
bản ghi xác định khuôn dạng cho tiến hành mã hoá và truyền tin hai chiều giữa hai đối
tượng đó. Khi hai ứng dụng máy tính, thí dụ giữa một trình duyệt web và máy chủ web,
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×