Tải bản đầy đủ (.doc) (138 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Kỹ thuật lập trình

Đồ án tốt nghiệp nghiên cứu vấn đề bảo mật trong xây dựng ứng dụng Ecommerce pptx

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (6.54 MB, 138 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO

ĐỒ ÁN TỐT NGHIỆP:
NGHIÊN CỨU VẤN ĐỀ BẢO MẬT TRONG ỨNG
DỤNG COMMERCE (ONLINE
PAYMENT


BỘ CÔNG THƯƠNG
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCM
KHOA CÔNG NGHỆ THÔNG TIN
ĐỒ ÁN TỐT NGHIỆP
NGHIÊN CỨU VẤN ĐỀ BẢO MẬT
TRONG XÂY DỰNG ỨNG DỤNG
ECOMMERCE (ONLINE PAYMENT)
Giảng Viên Hướng Dẫn : VÕ THỊ THANH VÂN
Sinh viên thực hiện : NGUYỄN CẢNH CHÂN
Lớp : DHTH3LT
Khoa : CÔNG NGHỆ THÔNG TIN
TP. Hồ Chí Minh, tháng 04 năm 2009
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
LỜI MỞ ĐẦU
Cùng với sự lớn mạnh của Internet, việc mua bán hàng hóa và dịch vụ thông qua
Internet đã xuất hiện, đó chính là “Thương mại điện tử”.
Tuy mới xuất hiện và chỉ chiếm một tỷ trọng nhỏ trong thương mại song thương
mại điện tử đã mang lại những lợi ích to lớn cho doanh nghiệp, chính phủ, người tiêu
dùng và xã hội. Thương mại điện tử đã vượt ra khỏi lĩnh vực thương mại, ngày càng
tác động đến các lĩnh vực khác và hứa hẹn mang lại những thay đổi to lớn và sâu sắc
mọi mặt đời sống xã hội loài người. Thương mại điện tử ngày càng được sự quan tâm
của chính phủ, doanh nghiệp và người tiêu dùng và đang trở thành một công cụ hữu
hiệu trong quá trình toàn cầu hoá và trong xây dựng nền kinh tế số. Thât khó mà hình


dung ra xã hội tương lai nếu không có thương mại điện tử.
Bên cạnh đó, thương mại điện tử cũng đặt ra nhiều vấn đề cần phải giải quyết để
khai thác các lợi ích của thương mại điện tử như vấn đề an toàn, an ninh cho các giao
dịch trên mạng, các vấn đề về bảo vệ bí mật, tính riêng tư, cơ sở hạ tầng, các vấn đề về
nhân lực, chuyển đổi mô hình kinh doanh, các vấn đề về quản lý, thay đổi tập quán,
thói quen trong kinh doanh… Trong đó vấn đề an toàn, an ninh cho các giao dịch trên
mạng và các vấn đề về bảo vệ tính riêng tư, gọi chung là “các vấn đề bảo mật trong
thương mại điện tử” có ý nghía sống còn đối với việc phát triển của thương mại điện
tử.
Đồ án “Nghiên cứu các vấn đề bảo mật trong xây dựng ứng dụng thương mại điện
tử và thanh toán trực tuyến” sẽ giúp tìm hiểu rõ thêm các vấn đề bảo mật và cách để
xây dựng một ứng dụng thương mại điện tử an toàn, đảm bảo lợi ích của doanh nghiệp
và khách hàng.
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
LỜI CẢM ƠN
Sau hơn bốn tháng tìm hiểu và thực hiện đồ án tốt nghiệp “Nghiên cứu các vấn đề
bảo mật trong xây dựng ứng dụng ecommerce(online payment)” , đến nay đồ án đã cơ
bản được hoàn thành. Ngoài sự cố gắng của bản thân, em đã nhận được sự giúp đỡ,
động viên khuyến khích từ gia đình, thầy cô và bạn bè.
Em xin chân thành cảm ơn đến thầy cô khoa công nghệ thông tin trường Đại học
công nghiệp TP.HCM đã tận tình giảng dạy, truyền đạt những kiến thức quý báu cho
chúng em trong suốt thời gian qua. Đặc biệt em xin gửi lời cảm ơn sâu sắc đến giáo
viên hướng dẫn của em đã tận tình giúp đỡ em hoàn thành đồ án này.
Đồ án đã hoàn thành với những kết quả nhất định, tuy nhiên không tránh khỏi
những thiếu sót. Kính mong sự cảm thông và đóng góp từ các thầy cô.
TP. HCM, 4/2009
Nguyễn Cảnh Chân
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
NHẬN XÉT
(Của giảng viên hướng dẫn)












































GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
NHẬN XÉT
(Của giảng viên phản biện)












































GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
MỤC LỤC

LỜI MỞ ĐẦU 3
LỜI CẢM ƠN 4
NHẬN XÉT 5
5
NHẬN XÉT 6
MỤC LỤC 7
DANH MỤC CÁC BẢNG SƠ ĐỒ HÌNH 11
DANH MỤC CÁC CỤM TỪ VIẾT TẮT 13
CHƯƠNG 1. GIỚI THIỆU 15
1.1. Thương mại điện tử và thanh toán điện tử 15
1.1.1. Thương mại điện tử 15
1.1.2. Thanh toán trong thương mại điện tử 20
1.2. Mục tiêu 24
1.3. Phạm vi thực hiện 24
CHƯƠNG 2. CƠ SỞ LÝ THUYẾT 26
2.1. Các thuật toán và kỹ thuật mã hóa sử dụng trong thanh toán điện tử và
thương mại điện 26
2.1.1. Secure Socket Layer (SSL) 26
2.1.2. Hàm băm (Cryptographic hash function) 30
2.1.3. Mã hóa đối xứng (Symmetric Encryption) 34
2.1.4. Mã hóa khóa công khai 38
2.1.5. Chữ ký số (Digital Signature) 40
2.1.6. RSA 43
2.1.7. Hạ tầng khóa công khai (Public key Infrastructure) 45
2.1.8. SET (Secure Electronic Transaction) 52
2.2. Bảo mật Web 56
2.2.1. Hypertext Transfer Protocol 56
2.2.2. Bảo mật Web Server 61
Giúp bảo vệ hệ thống trước các lỗi phần cứng hay các sự cố xóa nhầm tệp tin 64
Giúp bảo vệ trước những cuộc tấn công bởi vì những tệp bị xóa hay bị sữa đổi bởi

kẻ tấn công có thể được khôi phục lại từ bản sao lưu 64
Giúp phát hiện mức độ phá hoại của kẻ tấn công bằng cách so sánh những tệp
đang có trong hệ thống với những tệp được lưu trữ trong bản sao lưu 64
Luôn kiểm tra lại bản sao lưu để đảm bảo rằng nó không bị hỏng và có thể khôi
phục lại hệ thống đúng như lúc được sao lưu 65
Luôn mã hóa bản sao lưu bằng một mật khẩu an toàn, để trong trường hợp bản
sao lưu bị đánh cắp thì dữ liệu được lưu trữ cũng không bị nguy hiểm. Và bản sao
lưu cũng phải được lưu trữ ở những nơi đã được bảo vệ 65
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
Cẩn thận khi thực hiện việc sao lưu trong một mạng nội bộ. Thường trong mạng
có một máy chủ phục vụ cho việc sao lưu hệ thống của các máy tính khác trong
mạng, vì vậy nếu máy tính này bị tấn công thì những những hệ thống mà nó thực
hiện sao lưu cũng sẽ gặp nguy hiểm 65
Công cụ quét những điểm yếu của hệ thống và báo cáo cho người quản trị
(Snapshot tools). Ví dụ như trên hệ thống UNIX một công cụ sẽ gám xác tệp
/etc/passwd để đảm bảo không cho phép ai ngoại trừ người quản trị có thể sửa đổi.
Các chương trình này có thể quét hệ thống nhiều lần trong một khoảng thời gian
ngắn, tùy theo thiết lập 65
Nên cẩn thận khi quản lý các báo cáo được xuất ra từ công cụ này, tốt nhất là nên
lưu trữ ở một nơi an toàn và chỉ những người có quyền mới được xem, vì từ những
thông tin này nếu lọt vào tay kẻ tấn công chúng có thể giúp tìm ra các lỗ hổng
trong hệ thống một các dễ dàng 65
Công cụ giúp giám sát hệ thống và phát hiện những thay đổi không được phép
trong hệ thống. Công cụ này rất quan trọng bởi vì điều đầu tiên mà kẻ tấn công
làm khi xâm nhập được vào hệ thống là chỉnh sửa lại hệ thống để giúp chúng có
thể dễ đang xâm nhập vào những lần sau hay xóa đi các chứng cớ xâm nhập 65
Giám sát các sự thay đổi không thể ngăn chặn sự tấn công, tuy nhiên nó giúp cảnh
báo hệ thống đã bị làm hại. Hấu hết các cuộc tấn công không bị phát hiện trong
một khoảng thời gian, công cụ phát hiện thay đổi là cách duy nhất giúp bạn phát
hiện sự hiện diện của kẻ xâm nhập trong hệ thống để có những hành động thích

hợp. 66
Nếu như hệ thống có nhiều hơn một người quản trị, báo cáo thay đổi sẽ giúp giám
xác các hoạt động của từng người 66
Công cụ giám sát mạng, giúp phát hiện những điểm yếu bảo mật trong mạng. Nên
sử dụng một công cụ giúp tự động quét hệ thống mạng. Công cụ này giúp phát
hiện những lỗi trong những chương trình mạng như gửi mail hay dịch vụ FPTD
(File Transfer Protocol DAEMON) 66
Công cụ giám sát hệ thống và mạng để phát hiện những cuộc tấn công đang được
thực hiện 66
Hệ thống dò tìm xâm nhập (Intrusion detection system) viết tắt là IDS là phần
mềm hay phần cứng giúp phát hiện những sự cố gắng không mong muốn để xâm
nhập, thao tác hay cố gắng vô hiệu hóa hệ thống máy tính thông qua mạng, mà
chủ yếu là qua mạng internet ở dạng những cuộc tấn công như sử dụng các phần
mềm độc hại… 66
Sử dụng các phần mềm quét virus để phát hiện virus và các phần mềm độc hại
nhằm tránh hoạt động của chúng trên hệ thống có thể tạo các lỗ hổng cho kẻ tấn
công xâm nhập vào hệ thống 66
Công cụ giúp lưu lại hoạt động của mạng để phục vụ cho sự phân tích sau này 66
Hệ thống dò tìm xâm nhập (IDS) giống như một hệ thống báo động tinh vi: IDS có
những cảm biến và báo động, nếu như có một sự xâm nhập đi qua một trong
chúng, IDS sẽ ghi nhận lại sự việc. Nhưng vấn đề với hệ thống IDS là chúng chỉ có
thể ghi nhận lại những gì mà chúng đã được thiết lập để ghi nhận 67
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
Công cụ ghi lại nhật ký mạng lại tiếp cận theo một cách khác. Hệ thống sẽ lưu lại
tất cả những thông tin được truyền qua mạng, và cho phép phân tích ngược lại.
Trong trường hợp máy chủ bị tấn công hay các sự cố khác, những thông tin đó sẽ
được phân tích để tìm ra nguyên nhân. Hệ thống này thường chạy trên máy tính
có dung lượng ở cứng lớn 67
2.2.3. Bảo mật ứng dụng Web 70
2.2.4. Bảo mật Web Client 74

2.3. Cổng thanh toán điện tử 77
2.3.1. Cổng thanh toán điện tử (Payment Gateways) 77
2.3.2. Hoạt động của cổng thanh toán điện tử 78
2.3.3. Bảo mật trong hệ thống cổng thanh toán điện tử 80
2.4. Authorize.net 82
2.4.1. Giới thiệu 82
2.4.2. Hai phương thức tích hợp thanh toán điện tử qua Authorize.net 82
CHƯƠNG 3. PHÂN TÍCH HỆ THỐNG 84
3.1. Yêu cầu hệ 84
3.2. Ngôn ngữ và các kỹ thuật 84
3.2.1. Ngôn ngữ lập trình và công cụ phát triển 84
3.2.2. Hệ quản trị cơ sở dữ liệu 84
3.2.3. Các kỹ thuật và công nghệ 84
3.3. Các công việc cần giải quyết 85
3.4. Các mô hình 86
3.4.1. ERD 86
3.4.2. Mô hình Use Case 87
3.4.3. Mô hình hoạt động (Activity) 89
3.4.4. Mô hình lớp ( Class) 93
CHƯƠNG 4. HIỆN THỰC 95
4.1. Bảo mật thông tin 95
4.1.1. Bảo mật thông tin trên URL 95
4.1.2. Bảo mật thông tin thiết lập trong web.config 95
4.1.3. Bảo mật thông tin thẻ tín dụng 95
4.1.4. Bảo mật các thiết lập quan trọng 96
4.1.5. Sử dụng SSL 96
4.2. Sơ đồ trang Web 97
4.2.1. Phần cho khách hàng 97
4.2.2. Phần cho người quản trị 100
4.3. Một số màn hình 103

4.3.1. Trang chủ 103
4.3.2. Trang đăng ký 103
4.3.3. Trang nhóm sản phẩm 104
4.3.4. Trang cập nhật giỏ hàng 104
4.3.5. Trang nhập thông tin chuyển hàng 105
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
4.3.6. Trang nhập thông tin hóa đơn 105
4.3.7. Trang nhập thông tin thẻ tín dụng 106
4.3.8. Xác nhận mua hàng 106
4.3.9. Trang quản lý sản phẩm 107
4.3.10. Trang quản lý nhóm sản phẩm 107
4.3.11. Trang quản lý hóa đơn 108
4.3.12. Trang quản lý nhân viên 108
4.3.13. Trang quản lý nhóm và quyền nhân viên 108
4.3.14. Trang quản lý thiết lập hệ thống 109
CHƯƠNG 5. NHẬN XÉT ĐÁNH GIÁ VÀ HƯỚNG PHÁT TRIỂN 110
5.1. Nhận xét đánh giá 110
5.2. Hướng phát triển 111
PHỤ LỤC 112
1.1. Thiết lập chứng chỉ SSL của Verisign 112
1.1.1. Các bước thực hiện 112
1.1.2. Chuẩn bị 112
1.1.3. Thực hiện 112
1.2. Hàm băm và mã hóa đối 137
DANH MỤC TÀI LIỆU THAM KHẢO 138
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
DANH MỤC CÁC BẢNG SƠ ĐỒ HÌNH
HÌNH 2.1 THIẾT LẬP MỘT PHIÊN SSL 27
HÌNH 2.2 VÍ DỤ HÀM BĂM 30
HÌNH 2.3 QUÁ TRÌNH MÃ HÓA ĐỐI XỨNG 35

HÌNH 2.4 SINH KHÓA CÔNG KHAI 38
HÌNH 2.5 MÃ HÓA VÀ GIẢI MÃ BẰNG MÃ HÓA KHÓA CÔNG KHAI 39
HÌNH 2.6 TẠO VÀ XÁC THỰC CHỮ KÝ SỐ 40
HÌNH 2.7 TẠO CHỮ KÝ SỐ 41
HÌNH 2.8 THẨM ĐỊNH CHỮ KÝ SỐ 41
HÌNH 2.9 TẠO CHỨNG CHỈ SỐ 47
HÌNH 2.10 CẤU TRÚC CHỨNG CHỈ SỐ X.509 49
HÌNH 2.11 CÁC THÀNH PHẦN CỦA PKI 50
HÌNH 2.12 MÔ HÌNH CA NHIỀU CẤP 51
HÌNH 2.13 CHỨNG THỰC CHÉO 52
HÌNH 2.14 CÁC THÀNH PHẦN THAM GIA SET 54
HÌNH 2.15 CHỮ KÝ SONG SONG 55
HÌNH 2.16 VÍ DỤ HTTP HEADER CỦA VIETNAMNET.VN 57
HÌNH 2.17 THÔNG TIN MÁY CHỦ TRONG HTTP HEADER 57
HÌNH 2.18 VÍ DỤ REFERER TRONG HTTP HEADER 58
HÌNH 2.19 PROXY CACHE 59
HÌNH 2.20 THIẾT LẬP TƯỜNG LỬA BẢO VỆ MÁY CHỦ WEB 69
HÌNH 2.21 QUÁ TRÌNH XỬ LÝ YÊU CẦU CỦA CGI 70
HÌNH 2.22 THIẾT LẬP TƯỜNG LỮA BẢO VỆ MÁY CHỦ CƠ SỞ DỮ LIỆU 73
HÌNH 2.23 GIẢ MẠO WEB 74
HÌNH 2.24 SỬ DỤNG MÁY CHỦ PROXY TIN CẬY ĐỂ LƯỚT WEB ẨN DANH 77
HÌNH 2.25 HOẠT ĐỘNG CỦA CỔNG THANH TOÁN ĐIỆN TỬ 78
HÌNH 3.26 MÔ HÌNH ERD 86
HÌNH 3.27 MÔ HÌNH USE CASE PHẦN KHÁCH HÀNG 87
12
HÌNH 3.28 MÔ HÌNH USE CASE PHẦN QUẢN TRỊ 88
HÌNH 3.29 MÔ HÌNH HOẠT ĐỘNG QUÁ TRÌNH ĐĂNG KÝ THÀNH VIÊN MỚI 89
HÌNH 3.30 MÔ HÌNH HOẠT ĐỘNG QUÁ TRÌNH ĐĂNG NHẬP 90
HÌNH 3.31 MÔ HÌNH HOẠT ĐỘNG QUÁ TRÌNH THÊM SẢN PHẨM VÀO GIỎ HÀNG 91
HÌNH 3.32 MÔ HÌNH HOẠT ĐỘNG QUÁ TRÌNH MUA HÀNG 92

HÌNH 3.33 MÔ HÌNH LỚP TẦNG NGHIỆP VỤ 93
HÌNH 3.34 MÔ HÌNH LỚP XỬ LÝ THANH TOÁN 94
HÌNH 4.35 BẢO MẬT THÔNG TIN TRÊN URL 95
HÌNH 4.36 THÔNG TIN KẾT NỐI VÀO CSDL TRONG WEB.CONFIG CHƯA ĐƯỢC MÃ HÓA 95
HÌNH 4.37 THÔNG TIN KẾT NỐI VÀO CSDL TRONG WEB.CONFIG ĐÃ ĐƯỢC MÃ HÓA 95
HÌNH 4.38 MÃ HÓA CÁC THIẾT LẬP QUAN TRỌNG TRONG CƠ SỞ DỮ LIỆU 96
HÌNH 4.39 MÀN HÌNH TRANG CHỦ 103
HÌNH 4.40 MÀN HÌNH TRANG ĐĂNG KÝ KHÁCH HÀNG 103
HÌNH 4.41 MÀN HÌNH TRANG NHÓM SẢN PHẨM 104
HÌNH 4.42 MÀN HÌNH TRANG CẬP NHẬT GIỎ HÀNG 104
HÌNH 4.43 MÀN HÌNH TRANG THÔNG TIN CHUYỂN HÀNG 105
HÌNH 4.44 MÀN HÌNH TRANG THÔNG TIN HÓA ĐƠN 105
HÌNH 4.45 MÀN HÌNH TRANG THÔNG TIN THẺ TÍN DỤNG 106
HÌNH 4.46 MÀN HÌNH XÁC NHẬN MUA HÀNG 106
HÌNH 4.47 MÀN HÌNH TRANG QUẢN LÝ SẢN PHẨM 107
HÌNH 4.48 MÀN HÌNH TRANG QUẢN LÝ NHÓM SẢN PHẨM 107
HÌNH 4.49 MÀN HÌNH TRANG QUẢN LÝ HÓA ĐƠN 108
HÌNH 4.50 MÀN HÌNH TRANG QUẢN LÝ NHÂN VIÊN 108
HÌNH 4.51 MÀN HÌNH TRANG QUẢN LÝ NHÓM NHÂN VIÊN 108
HÌNH 4.52 MÀN HÌNH TRANG CẤU HÌNH HỆ THỐNG 109
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
13
DANH MỤC CÁC CỤM TỪ VIẾT TẮT
UNCITRAL : United Nations Commission On International Trade Law
WTO : World Trade Organization
B2B : Business To Business
B2C : Business to Customers
B2G : Business to Government
C2C :Customers to Customers
G2C : Customers to Government

SSL : Secure Sockets Layer
ID : Identification
PIN : Personal Identificate Number
BIN : Bank Identificate Number
IETF : Internet Engineering Task Force
TLS : Transport Layer Security
HTTP : Hyper Text Transport Protocol
IMAP : Internet Messaging Access Protocol
FTP : File Transport Protocol
MIT : Massachusetts Institute of Technology
DES : Data Encryption Standard
DSA : Digital Signature Algorithm
KEA : Key Exchange Algorithm
MD5 : Message Digest algorithm 5
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
14
SHA-1 : Secure Hash Algorithm
NIST : National Institute of Standards and Technology
PGP : Pretty Good Privacy
GPG : GNU Privacy Guard
FIPS : Federal Information Processing Standard
NSA : National Security Agency
AES : Advanced Encryption Standard
PKI : Public key infrastructure
CA : Certificate Authority
URL : Uniform Resource Locator
IP : Internet Protocol
ITU :International Telecommunication Union
SET : Secure Electronic Transaction
LAN : Local Area Network

CGI : Common Gateway Interface
CSC : Card Security Code
CVV : Card Verification Value
CVC : Card Verification Code
AVS : Address Verification System
CSDL : Cơ sở dữ liệu
TMĐT : Thương mại điện tử
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
15
CHƯƠNG 1.GIỚI THIỆU
1.1. Thương mại điện tử và thanh toán điện tử
1.1.1. Thương mại điện tử
1.1.1.1. Khái niệm
Hiện nay có nhiều quan điểm khác nhau về “thương mại điện tử” nhưng tựu trung
lại có hai quan điểm lớn trên thế giới xin được nêu ra dưới đây. Thương mại điện tử
theo nghĩa rộng được định nghĩa trong Luật mẫu về Thương mại điện tử của Ủy ban
Liên Hợp quốc về Luật Thương mại Quốc tế (UNCITRAL): Thuật ngữ “thương mại”
cần được diễn giải theo nghĩa rộng để bao quát các vấn đề phát sinh từ mọi quan hệ
mang tính chất thương mại dù có hay không có hợp đồng. Các quan hệ mang tính
thương mại bao gồm các giao dịch sau đây: Bất cứ giao dịch nào về thương mại nào về
cung cấp hoặc trao đổi hàng hóa hoặc dịch vụ; thỏa thuận phân phối; đại diện hoặc đại
lý thương mại, ủy thác hoa hồng; cho thuê dài hạn; xây dựng các công trình; tư vấn; kỹ
thuật công trình; đầu tư; cấp vốn; ngân hàng; bảo hiểm; thỏa thuận khai thác hoặc tô
nhượng; liên doanh các hình thức khác về hợp tác công nghiệp hoặc kinh doanh;
chuyên chở hàng hóa hay hành khách bằng đường biển, đường không, đường sắt hoặc
đường bộ. Như vậy, có thể thấy rằng phạm vi của Thương mại điện tử rất rộng, bao
quát hầu hết các lĩnh vực hoạt động kinh tế, việc mua bán hàng hóa và dịch vụ chỉ là
một trong hàng ngàn lĩnh vực áp dụng của thương mại điện tử.
Ủy ban Châu Âu đưa ra định nghĩa về thương mại điện tử như sau: Thương mại
điện tử được hiểu là việc thực hiện hoạt động kinh doanh qua các phương tiện điện tử.

Nó dựa trên việc xử lý và truyền dữ liệu điện tử dưới dạng text, âm thanh và hình ảnh.
Thương mại điện tử gồm nhiều hành vi trong đó hoạt động mua bán hàng hóa và dịch
vụ qua phương tiện điện tử, giao nhận các nội dung kỹ thuật số trên mạng, chuyển tiền
điện tử, mua bán cổ phiếu điện tử, vận đơn điện tử, đấu giá thương mại, hợp tác thiết
kế, tài nguyên mạng, mua sắm công cộng, tiếp thị trực tiếp tới người tiêu dùng và các
dịch vụ sau bán hàng. Thương mại điện tử được thực hiện đối với cả thương mại hàng
hóa (ví dụ như hàng tiêu dùng, các thiết bị y tế chuyên dụng) và thương mại dịch vụ (ví
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
16
dụ như dịch vụ cung cấp thông tin, dịch vụ pháp lý, tài chính); các hoạt động truyền
thống (như chăm sóc sức khỏe, giáo dục ) và các hoạt động mới (ví dụ như siêu thị ảo).
Tóm lại, theo nghĩa rộng thì thương mại điện tử có thể được hiểu là các giao dịch
tài chính và thương mại bằng phương tiện điện tử như: trao đổi dữ liệu điện tử; chuyển
tiền điện tử và các hoạt động gửi rút tiền bằng thẻ tín dụng.
Thương mại điện tử theo nghĩa hẹp bao gồm các hoạt động thương mại được thực
hiện thông qua mạng Internet. Các tổ chức như: Tổ chức Thương mại thế giới (WTO),
Tổ chức Hợp tác phát triển kinh tế đưa ra các khái niệm về thương mại điện tử theo
hướng này. Thương mại điện tử được nói đến ở đây là hình thức mua bán hàng hóa
được bày tại các trang Web trên Internet với phương thức thanh toán bằng thẻ tín dụng.
Có thể nói rằng thương mại điện tử đang trở thành một cuộc cách mạng làm thay đổi
cách thức mua sắm của con người.
Theo Tổ chức Thương mại Thế giới: Thương mại điện tử bao gồm việc sản xuất,
quảng cáo, bán hàng và phân phối sản phẩm được mua bán và thanh toán trên mạng
Internet, nhưng được giao nhận một cách hữu hình cả các sản phẩm được giao nhận
cũng như những thông tin số hóa thông qua mạng Internet.
Khái niệm về Thương mại điện tử do Tổ chức hợp tác phát triển kinh tế của Liên
Hợp quốc đưa ra là: Thương mại điện tử được định nghĩa sơ bộ là các giao dịch thương
mại dựa trên truyền dữ liệu qua các mạng truyền thông như Internet.
Theo các khái niệm trên, chúng ta có thể hiểu được rằng theo nghĩa hẹp thương mại
điện tử chỉ bao gồm những hoạt động thương mại được thực hiện thông qua mạng

Internet mà không tính đến các phương tiện điện tử khác như điện thoại, fax, telex
Qua nghiên cứu các khái niệm về thương mại điện tử như trên, hiểu theo nghĩa rộng
thì hoạt động thương mại được thực hiện thông qua các phương tiện thông tin liên lạc
đã tồn tại hàng chục năm nay và đạt tới doanh số hàng tỷ đô la Mỹ mỗi ngày. Theo
nghĩa hẹp thì thương mại điện tử chỉ mới tồn tại được vài năm nay nhưng đã đạt được
những kết quả rất đáng quan tâm, thương mại điện tử chỉ gồm các hoạt động thương
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
17
mại được tiến hàng trên mạng máy tính mở như Internet. Trên thực tế, chính các hoạt
động thương mại thông qua mạng Internet đã làm phát sinh thuật ngữ “thương mại điện
tử”.
1.1.1.2. Các đặc trưng của thương mại điện tử
Đế xây dựng khung pháp luật thống nhất cho thương mại điện tử, chúng ta cần
nghiên cứu và tìm ra các đặc trưng của thương mại điện tử. So với các hoạt động
thương mại truyền thống, thương mại điện tử có một số điểm khác biệt cơ bản sau:
1. Các bên tiến hành giao dịch trong thương mại điện
tử không tiếp xúc trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước.
2. Các giao dịch thương mại truyền thống được thực
hiện với sự tồn tại của khái niệm biên giới quốc gia, còn thương mại điện tử
được thực hiện trong một thị trường không có biên giới (thị trường thống nhất
toàn cầu). Thương mại điện tử trực tiếp tác động tới môi trường cạnh tranh toàn
cầu.
3. Trong hoạt động giao dịch thương mại điện tử đều
có sự tham ra của ít nhất ba chủ thể, trong đó có một bên không thể thiếu được
là người cung cấp dịch vụ mạng, các cơ quan chứng thực.
4. Đối với thương mại truyền thống thì mạng lưới
thông tin chỉ là phương tiện để trao đổi dữ liệu, còn đối với thương mại điện tử
thì mạng lưới thông tin chính là thị trường
1.1.1.3. Những lợi ích của thương mại điện tử
5. Thương mại điện tử giúp cho các doanh nghiệp nắm

được thông tin phong phú về thị trường và đối tác
6. Thương mại điện tử giúp giảm chi phí sản xuất
7. Thương mại điện tử giúp giảm chi phí bán hàng và
tiếp thị.
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
18
8. Thương mại điện tử qua Internet giúp người tiêu
dùng và các doanh nghiệp giảm đáng kể thời gian và chí phí giao dịch.
9. Thương mại điện tử tạo điều kiện cho việc thiết lập
và củng cố mối quan hệ giữa các thành phần tham gia vào quá trình thương mại.
10. Tạo điều kiện sớm tiếp cận nền kinh tế số hoá.
1.1.1.4. Một số loại hình ứng dụng trong thương mại điện tử
11. B2B (Business To Business): Thương mại điện tử
B2B được định nghĩa đơn giản là thương mại điện tử giữa các công ty. Đây là
loại hình thương mại điện tử gắn với mối quan hệ giữa các công ty với nhau
12. B2C (Business to Customers): Thương mại điện tử
B2C là việc một doanh nghiệp dựa trên mạng internet để trao đổi các hang hóa
dịch vụ do mình tạo ra hoặc do mình phân phối.
13. B2G (Business to Government): Thương mại điện
tử giữa doanh nghiệp với chính phủ (B2G) được định nghĩa chung là thương
mại giữa công ty và khối hành chính công. Nó bao hàm việc sử dụng Internet
cho mua bán công, thủ tục cấp phép và các hoạt động khác liên quan tới chính
phủ. Hình thái này của thương mại điện tử có hai đặc tính: thứ nhất, khu vực
hành chính công có vai trò dẫn đầu trong việc.
14. C2C (Customers to Customers): Thương mại điện
tử khách hàng tới khách hàng C2C đơn giản là thương mại giữa các cá nhân và
người tiêu dùng.
15. G2C (Customers to Government): Thương mại điện
tử cơ quan nhà nước với cá nhân chủ yếu là những giao dịch mang tính hành
chính, nhưng có thể mang những yếu tố của thương mại điện tử.

GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
19
1.1.1.5. Các bước cơ bản của một giao dịch mua bán trên mạng
16. Khách hàng, từ một máy tính tại một nơi nào đó,
điền những thông tin thanh toán và điạ chỉ liên hệ vào đơn đặt hàng (Order
Form) của website bán hàng (còn gọi là website thương mại điện tử). Doanh
nghiệp nhận được yêu cầu mua hàng hoá hay dịch vụ của khách hàng và phản
hồi xác nhận tóm tắt lại những thông tin cần thiết nh mặt hàng đã chọn, địa chỉ
giao nhận và số phiếu đặt hàng
17. Khách hàng kiểm tra lại các thông tin và kích
(click) vào nút (button) "đặt hàng", từ bàn phím hay chuột (mouse) của máy
tính, để gởi thông tin trả về cho doanh nghiệp.
18. Doanh nghiệp nhận và lưu trữ thông tin đặt hàng
đồng thời chuyển tiếp thông tin thanh toán (số thẻ tín dụng, ngày đáo hạn, chủ
thẻ ) đã được mã hoá đến máy chủ (Server, thiết bị xử lý dữ liệu) của Trung
tâm cung cấp dịch vụ xử lý thẻ trên mạng Internet. Với quá trình mã hóa các
thông tin thanh toán của khách hàng được bảo mật an toàn nhằm chống gian lận
trong các giao dịch (chẳng hạn doanh nghiệp sẽ không biết được thông tin về thẻ
tín dụng của khách hàng).
19. Khi Trung tâm Xử lý thẻ tín dụng nhận được thông
tin thanh toán, sẽ giải mã thông tin và xử lý giao dịch đằng sau bức tường lửa
(FireWall) và tách rời mạng Internet (off the Internet), nhằm mục đích bảo mật
tuyệt đối cho các giao dịch thương mại, định dạng lại giao dịch và chuyển tiếp
thông tin thanh toán đến ngân hàng của doanh nghiệp (Acquirer) theo một
đường dây thuê bao riêng (một đường truyền số liệu riêng biệt).
20. Ngân hàng của doanh nghiệp gởi thông điệp điện tử
yêu cầu thanh toán (authorization request) đến ngân hàng hoặc công ty cung cấp
thẻ tín dụng của khách hàng (Issuer). Và tổ chức tài chính này sẽ phản hồi là
đồng ý hoặc từ chối thanh toán đến trung tâm xử lý thẻ tín dụng trên mạng
Internet.

GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
20
21. Trung tâm xử lý thẻ tín dụng trên Internet sẽ tiếp
tục chuyển tiếp những thông tin phản hồi trên đến doanh nghiệp, và tùy theo đó
doanh nghiệp thông báo cho khách hàng được rõ là đơn đặt hàng sẽ được thực
hiện hay không.
22. Toàn bộ thời gian thực hiện một giao dịch qua
mạng từ bước 1 -> bước 6 được xử lý trong khoảng 15 - 20 giây.
1.1.2. Thanh toán trong thương mại điện tử
1.1.2.1. Thẻ tín dụng
Thẻ tín dụng đã được xử lý điện tử hàng thập kỷ nay. Chúng được sử dụng đầu tiên
trong các nhà hàng và khách sạn sau đó là các cửa hàng bách hoá và cách sử dụng nó
đã được giới thiệu trên các chương trình quảng cáo trên truyền hình từ 20 năm nay. Cả
một ngành công nghiệp lớn đang tồn tại trong lĩnh vực xử lý các giao dịch thẻ tín dụng
trực tuyến với các công ty như First Data Corp., Total System Corp., và National Data
Corp., chi tiết hoá các giao dịch phía sau mối quan hệ giữa nhà băng, người bán hàng
và người sử dụng thẻ tín dụng. Hàng triệu các cửa hàng bách hoá trên toàn nước Mỹ
được trang bị các trạm đầu cuối (Hewlett-Package Verifone là nhà sản xuất hàng đầu
của thiết bị này) thông qua đó thể tín dụng được kiểm tra, nhập số thẻ và biên lai được
in ra. Người sử dụng ký vào biên lai này để xác thực việc mua hàng.
Trước khi nhận số thẻ tín dụng của người mua qua Internet bạn cần có một chứng
nhận người bán. Nếu bạn đã hoạt động kinh doanh thì đơn giản là yêu cầu nhà băng
của bạn cung cấp chứng nhận này. Nếu bạn chưa có bất cứ cái gì thì bạn có thể thực
hiện việc này nhanh chóng tại một nhà băng nào đó hoặc truy nhập vào một WEB site
có các mẫu đăng ký trực tuyến.
Sử dụng thẻ tín dụng trực tuyến ngày hôm nay, tuy nhiên, giống như việc sử dụng
chúng với một "operating standing by". Số thẻ và chi tiết của giao dịch được lưu lại và
xử lý, nhưng không có sự xuất hiện của người mua và khi có một vụ thanh toán bị lỡ
thì nó vẫn được lưu lại trên hệ thống. Bởi lý do này các chi phí xử lý thẻ tín dụng trực
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân

21
tuyến nhiều ngang bằng với chi phí để xử lý một giao dịch chứ không ngang bằng với
một mức phí như điện thoại và thông thường là vào khoảng 50 xen. (Các giao dịch
được xử lý thông qua các trạm đầu cuối đã được hợp đồng chỉ mất khoảng từ 3 đến 5
xen).
Ngoài các khoản trên, phí được giảm nhờ việc sử dụng các dịch vụ của Visa và
MasterCard, là các tổ hợp của các nhà băng, hoặc American Express Co. và Discover
là các công ty riêng rẽ xử lý và quản lý các giao dịch thẻ tín dụng. Ðiều đó có nghĩa là
bạn sẽ phải trả từ 2 đến 3 xen cho một đô la khi sử dụng Visa hay MasterCard, và ít
hơn một chút với Discover, đối với American Express phí này vào khoảng 5 xen cho
một đô la. Các thoả ước giữa các công ty cung cấp thẻ và các chủ doanh nghiệp giúp
cho khách hàng không phải trả các chi phí này. Việc chiết khấu cũng khác giữa người
sử dụng tại trạm đầu cuối nơi mà thẻ tín dụng tồn tại một cách vật lý, và môi trường
WEB nơi mà thẻ không hiện diện. Trong quá trình chuyển đổi để chiết khấu người bán
được đảm bảo thanh toán. Người mua được đảm bảo về việc sẽ nhận được hàng hoá và
một số đảm bảo có giới hạn khác chống lại việc bị lừa hoặc mất thẻ. (Bảo hiểm thẻ
được bán bởi các nhà băng phát hành thẻ và các rủi ro sẽ được thanh toán).
Cửa hàng trên web của bạn cần phần mềm nào để có thể xử lý thẻ tín dụng? ở mức
đơn giản nhất, bạn phải có sẵn một số biểu mẫu có khả năng mã hoá bảo mật, thông
thường là Sercure Socket Layer (SSL), một tiêu chuẩn đối với cả các trình duyệt của
Microsoft và Netscape, và điều đó cũng có nghĩa là máy chủ của bạn phải có một khoá
mã hoá. Tiếp theo bạn phải có một chương trình đóng vai trò là một giỏ mua hàng, cho
phép người sử dụng thu thập các mặt hàng cần mua, tính giá và thuế sau đó đưa ra một
hoá đơn cuối cùng để phê chuẩn. Cuối cùng nếu như bạn không muốn xử lý các tệp
giao dịch bằng tay hoặc xử lý một gói các tệp thì bạn phải cần một cơ chế giao dịch
điện tử.
1.1.2.2. Ðịnh danh hay ID số hoá (Digital identificator)
Các khoá mã bảo mật trên máy chủ, được biết đến như là các ID số hoá, được cung
cấp bởi một số các cơ quan chứng nhận thẩm quyền, là nơi cấp phép và bảo dưỡng các
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân

22
bản ghi diễn biến trên các ID số hoá này. Tổ chức chứng thực thẩm quyền lớn nhất
được điều hành bởi VeriSign Inc., một công ty được thành lập vào năm 1995 chuyên
về lĩnh vực quản lý các chứng nhận số hoá. Công ty xử lý các yêu cầu ID số hoá cho
các công ty như American Online, Microsoft, Netscape, tuy nhiên bạn cũng có thể trực
tiếp có các ID số hoá trên web site của công ty. Vào mùa hè năm 1998, VeriSign thu
phí 349 USD cho máy chủ ID đầu tiên mà một công ty mua và 249 USD cho thêm mỗi
máy chủ ID tiếp theo. Một Máy chủ ID toàn cục - Global Server ID, 128 bit có mức
chi phí 695 USD.
Công nghệ nền tảng cho các ID số hoá của VeriSign là SSL được xây dựng đầu tiên
bởi RSA Technologies inc., nay là một đơn vị của Sercurity Dynamics. Mỗi thông
điệp, được mã hoá bằng hai mã hoặc khoá là một chuỗi các bit làm thay đổi giá trị đã
được số hoá các của dữ liệu được đưa vào hay lấy ra khỏi chương trình. Một khoá công
cộng được dùng để mã hoá các thông điệp, trong khi khoá riêng thứ hai được dùng để
giải mã nó. Tính thống nhất và xác thực của các khoá riêng được đảm bảo bởi một cơ
quan chứng nhận thẩm quyền như VeriSign. Một máy chủ ID số hoá cho phép bạn ký
vào các văn bản điện tử và chứng thực chữ ký của mình với một cơ quan chứng nhận
thẩm quyền.
1.1.2.3. Một số thuật ngữ
23. Cơ sở chấp nhận thẻ (Merchant): Là các thành phần
kinh doanh hàng hoá và dịch vụ có ký kết với Ngân hàng thanh toán về việc
chấp nhận thanh toán thẻ như: nhà hàng, khách sạn, cửa hàng Các đơn vị này
phải trang bị máy móc kỹ thuật để tiếp nhận thẻ thanh toán tiền mua hàng hoá,
dịch vụ, trả nợ thay cho tiền mặt.
24. Ngân hàng đại lý hay Ngân hàng thanh toán
(Acquirer): Là Ngân hàng trực tiếp ký hợp đồng với cơ sở tiếp nhận và thanh
toán các chứng từ giao dịch do cơ sở chấp nhận thẻ xuất trình. Một Ngân hàng
có thể vừa đóng vai trò thanh toán thẻ vừa đóng vai trò phát hành.
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
23

25. Ngân hàng phát hành thẻ (Issuer): Là thành viên
chính thức của các Tổ chức thẻ quốc tế, là Ngân hàng cung cấp thẻ cho khách
hàng. Ngân hàng phát hành chịu trách nhiệm tiếp nhận hồ sơ xin cấp thẻ, xử lý
và phát hành thẻ, mở và quản lý tài khoản thẻ, đồng thời thực hiện việc thanh
toán cuối cùng với chủ thẻ.
26. Chủ thẻ (Cardholder): Là người có tên ghi trên thẻ
được dùng thẻ để chi trả thanh toán tiền mua hàng hoá, dịch vụ. Chỉ có chủ thẻ
mới có thể sử dụng thẻ của mình mà thôi. Mỗi khi thanh toán cho các cơ sở chấp
nhận thẻ vể hàng hoá dịch vụ hoặc trả nợ, chủ thẻ phải xuất trình thẻ để nơi đây
kiểm tra theo qui trình và lập biên lai thanh toán.
27. Danh sách Bulletin: Còn gọi là danh sách báo động
khẩn cấp, là một danh sách liệt kê những số thẻ không được phép thanh toán hay
không được phép mua hàng hóa, dịch vụ. Đó là những thẻ tiêu dùng quá hạn
mức, thẻ giả mạo đang lưu hành, thẻ bị lộ mật mã cá nhân (PIN), thẻ bị mất cắp,
thất lạc, thẻ bị loại bỏ Danh sách được cập nhật liên tục và gởi đến cho tất cả
các Ngân hàng thanh toán để thông báo kịp thời cho cơ sở chấp nhận.
28. Hạn mức tín dụng (Credit limit): Được hiểu là tổng
số tín dụng tối đa mà Ngân hàng phát hành thẻ cấp cho chủ thẻ sử dụng đối với
từng loại thẻ.
29. Số PIN (Personal Identificate Number): Là mã số cá
nhân riêng của chủ thẻ để thực hiện giao dịch rút tiền tại các máy rút tiền tự
động. Mã số này do Ngân hàng phát hành thẻ cung cấp cho chủ thẻ khi phát
hành. Đối với mã số PIN, người chủ thẻ phải giữ bí mật, chỉ một mình mình
biết.
30. BIN (Bank Identificate Number): Là mã số chỉ
Ngân hàng phát hành thẻ. Trong hiệp hội thẻ có nhiều ngân hàng thành viên,
mỗi ngân hàng thành viên có một mã số riêng giúp thuận lợi trong thanh toán và
truy xuất.
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
24

31. Ngày hiệu lực: Ngày sao kê (Statement date): là
ngày ngân hàng phát hành thẻ lập các sao kê về khoản chi tiêu mà chủ thẻ phải
thanh toán trong tháng.
32. Ngày đáo hạn (Due date): là ngày mà ngân hàng
phát hành qui định cho chủ thẻ thanh toán toàn bộ hay một phần trong giá trị sao
kê trên
33. Merchant account: Merchant account là một tài
khoản ngân hàng đặc biệt, cho phép bạn khi kinh doanh có thể chấp nhận thanh
toán bằng thẻ tín dụng. Việc thanh toán bằng thẻ tín dụng chỉ có thể tiến hành
thông qua dạng tài khoản này.
34. Cổng thanh toán điện tử (payment gateway): là một
chuơng trình phần mềm. Phần mềm này sẽ chuyển dữ liệu của các giao dịch từ
website của người bán sang trung tâm thanh toán thẻ tín dụng để hợp thức hoá
quá trình thanh toán thẻ tín dụng.
1.2. Mục tiêu
35. Tìm hiểu về thương mại điện tử.
36. Tìm hiểu thanh toán điện tử trực tuyến.
37. Tìm hiểu về các phương thức bảo mật trong thương
mại điện tử và thanh toán điện tử trực tuyến.
38. Xây dựng được một website thương mại điện tử với
mô hình B2C.
39. Tích hợp được hệ thống thanh toán trực tuyến vào
trong trang web.
1.3. Phạm vi thực hiện
40. Nghiên cứu các thuật toán, kỹ thuật và phương pháp
bảo mật trên web được dùng trong thương mại điện tử và thanh toán trực tuyến.
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân
25
41. Xây dựng một website bán máy tính xách tay trực
tuyến để hiện thực một phần những gì đã nghiên cứu được.

42. Thiết lập các cơ chế bảo mật thông tin trên website.
43. Tích hợp thanh toán bằng thẻ tín dụng qua một cổng
thanh toán điện tử.
GVHD: Võ Thị Thanh Vân SVTH: Nguyễn Cảnh Chân

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×