Tải bản đầy đủ (.doc) (28 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Đề cương về thương mại điện tử

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (621.9 KB, 28 trang )

Câu 1: Phân biệt loại hình TMĐT B2C và C2C, mỗi loại lấy ví dụ tiêu biểu ở
trong và ngoài nước.
Trả lời: Thương mại điện tử (Electronic Commerce) là các hoạt động kinh doanh
như mua, bán đầu tư và vay mượn được thực hiện và chuyển giao giá trị qua các
mạng thông tin điện tử. Bởi vậy, thương mại điện tử còn được gọi với những cái
tên khác nhau như: ‘nền kinh tế ảo’,
Thương mại điện tử sử dụng hệ thống mạng truyền thông số toàn càu để
tạo ra một thị trường điện tử cho tất cả các loại hình sản phẩm, dịch vụ, công
nghệ và hàng hóa: bao hàm tất cả các hoạt động cần thiết để hoàn tất một thương
vụ, trong đó có đàm phán trao đổi chứng từ, truy cập thông tin từ các dịch vụ trợ
giúp (thuế, bảo hiểm, vận tải ) và ngân hàng, tất cả được thực hiện trong các
điều kiện an toàn và bảo mật. Trong thương mại điện tử sử dụng các phương tiện
chủ yếu như máy điện thoại, fax, hệ thống thanh toán điện tử, mạng nội bộ
(Intranet), mạng ngoài (Extranet) và mạng toàn cầu (Internet).
Có các mô hình thương mại điện tử là: B2B (Business-to-Business), B2C
(Business-to-Customer), C2C (Customer-to-Customer), G2C (Government-to-
Customer)
Mô hình B2C: Là mô hình giao dịch điện tử giữa doanh nghiệp và khách hàng.
Mô hình B2C là mô hình phổ biến nhất trong thương mại điện tử và dễ
hình dung nhất trong thương mại điện tử. Trong đó, các công ty cung cấp và các
sản phẩm và dịch vụ của mình tới khách hàng trực tiếp thông qua mạng Internet.
Ví dụ điển hình cho những giao dịch này là những trang web bán hàng qua
mạng, ở đó, khách hàng là người dùng cuối có thể đặt mua sản phẩm và dịch vụ
trực tiếp từ nhà cung cấp. Các quá trình giao dịch sau đó có thể diễn ra trực tiếp
hoặc thông qua Internet.
Đặc điểm của loại hình B2C là sự đa dạng về số lượng nhà cung cấp và thị
trường, bất cứ 1 nhà cung cấp nào cũng có thể mở ra một trang web hoặc một
kênh giao dịch và đưa những thông tin về sản phẩm, dịch vụ của mình lên mạng
để phục vụ khách hàng. Tuy nhiên, sự đa dạng cũng làm cho việc cạnh tranh trở
nên gay gắt hơn, và càng khó thu hút khách hàng trung thành hơn vì ngày càng có
nhiều lựa chọn cho mỗi khách hàng khi họ định tìm mua một sản phẩm hay dịch


vụ.
Ví dụ về mô hình B2C trên thế giới và ở Việt Nam là:
,
Mô hình C2C: Là mô hình giao dịch điện tử giữa khách hàng và khách hàng.
Mô hình này bao gồm giao dịch giữa khách hàng với khách hàng. Ở
đây,khách hàng thực hiện việc mua bán trực tiếp với khách hàng khác.
Ví dụ: và là trường hợp điển
hình mà thông qua đó, người bán có thể quảng cáo và bán các sản phẩm của mình
tới người mua khác. Nhưng có thể thực hiện các giao dịch này thì người bán và
người mua có phải đăng kí với nhà cung cấp dịch vụ trên các site thương mại
điện tử mà mình muốn thực hiện mua và bán.
Đồng thời người bán phải trả một khoản phí cố định cho nhà cung cấp dịch
vụ (ở đây là các site thương mại điện tử), người mua có thể trả giá cho sản phẩm
mình mua mà không cần trả thêm bất kì một khoản phí nào.
Ví dụ về mô hình C2C ở thế giới và Việt Nam là: ,
.
Câu 2: Phân biệt spyware và adware.
Trả lời:
Adware:
Adware được viết tắt của từ Ad (Advertising) và Ware (Software). Adware là loại
phần mềm có tính chất virus (có tính lây lan qua mạng). Adware đơn giản là một
dạng phần mềm quảng cáo lén lút cài đặt vào máy tính người dùng hoặc cài đặt
thông qua một phần mềm miễn phí, được người dùng cho phép (nhưng không ý
thức được mục đích của chúng). Tuy nhiên, chúng không dừng lại ở tính đơn
giản là quảng cáo khi kết hợp với những loại virus khác nhằm tăng "hiệu quả”
phá hoại.
Spyware:
Syware là một trong các "biến thể" của phần mềm quảng cáo (adware).
Spyware là chữ viết tắt của spy (gián diệp) và software (phần mềm máy tính) còn
gọi là phần mềm gián điệp. Có các đặc điểm sau:

 Spyware chuyên thu thập các thông tin từ các máy chủ (thông thường vì
mục đích thương mại) qua mạng Internet mà không có sự nhận biết và cho
phép của chủ máy.
 Spyware được cài đặt một cách bí mật như là một bộ phận kèm theo của
các phần mềm miễn phí (freeware) và phần mềm chia sẻ (shareware) mà
người ta có thể tải về từ Internet.
 Spyware điều phối các hoạt động của máy chủ trên Internet và lặng lẽ
chuyển các dữ liệu thông tin đến một máy khác (thường là của những hãng
chuyên bán quảng cáo hoặc của các tin tặc).
 Phần mềm gián điệp cũng thu thập tin tức về địa chỉ thư điện tử và ngay cả
mật khẩu cũng như là số thẻ tín dụng.
 Spyware "được" cài đặt một cách vô tội vạ khi mà người chủ máy chỉ
muốn cài đặt phần mềm có chức năng hoàn toàn khác.
 Spyware còn sử dụng (đánh cắp) từ máy chủ các tài nguyên của bộ nhớ
(memory resource) ăn chặn băng thông khi nó gửi thông tin trở về chủ của
các spyware qua các liên kết Internet.
 Vì spyware dùng tài nguyên của bộ nhớ và của hệ thống, các ứng dụng
chạy trong nền (background) có thể dẫn tới hư máy hay máy không ổn
định.
 Cách hay nhất để phòng chống phần mềm gián điệp là sử dụng một hệ điều
hành không phải là Windows (như OS X, Linux, v.v.) vì có rất ít phần
mềm gián điệp được viết cho những hệ điều hành này. Hơn nữa, rất nhiều
phần mềm gián điệp được cài đặt dùng ActiveX trong Internet Explorer
(IE), cho nên nếu một người dùng một trình duyệt khác như Firefox,
Opera, thì họ sẽ bị ít phần mềm gián điệp hơn.
Câu 3: Phân biệt virus và worm.
Trả lời:
Virus:
Trong khoa học máy tính, virus máy tính (thường được người sử dụng gọi
tắt là virus) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và

sao chép chính nó vào các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính ). Gây
ra những thiệt hại vô cùng to lớn như làm hỏng dữ liệu, ổ cứng, lấy cắp các thông
tin nhạy cảm,
Các loại virus như: Worm, backdoor, Trojan horse, spyware,
Virus lây nhiễm bằng cách thông qua các thiết bị lưu trữ di động: đĩa mềm,
đĩa CD, các ổ USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số.
Ngày nay Virus còn lây lan qua thư điện tử mà trong đó bạn có thể bị lây
nhiễm virus qua các file đính kèm, các liên kết trong thư điện tử, lây nhiễm ngay
khi mở để xem thư điện tử
Worm:
Sâu máy tính (Worm): là một chương trình máy tính có khả năng tự nhân
bản giống như virus máy tính. Trong khi virus máy tính bám vào và trở thành
một phần của mã máy tính để có thể thi hành thì sâu máy tính là một chương
trình độc lập không nhất thiết phải là một phần của một chương trình máy tính
khác để có thể lây nhiễm. Sâu máy tính thường được thiết kế để khai thác khả
năng truyền thông tin có trên những máy tính có các đặc điểm chung - cùng hệ
điều hành hoặc cùng chạy một phần mềm mạng - và được nối mạng với nhau.
Sâu máy tính(worm): có khả năng tự tìm cách lan truyền qua hệ thống
mạng (thường là qua hệ thống thư điện tử). Ngoài tác hại thẳng lên máy bị nhiễm,
nhiệm vụ chính của worm là phá các mạng (network) thông tin, làm giảm khả
năng hoạt động hay ngay cả hủy hoại các mạng này. Worm được là một loại virus
đặc biệt.
Sâu máy tính thường mang theo phần mềm gián điệp để mở cửa hậu máy
tính trên các máy tính bị nhiễm (giống như Sobig và Mydoom). Các máy tính bị
nhiễm được sử dụng bởi những người gửi thư rác hoặc giả danh địa chỉ trang
web. Các cửa hậu cũng có thể được các sâu máy tính khác khai thác như
Doomjuice - phát tán bằng cửa hậu được mở bởi Mydoom.
Câu 3: Hãy cho biết các cổng 20, 21, 23, 25, 53, 80, 110, 443 dùng cho những
dịch vụ tương ứng nào.
Trả lời:

Port 20 (TCP/UDP): File Transfer Protocol (FTP), mặc định truyền dữ liệu.
Port 21 (TCP/UDP): File Transfer Protocol (FTP), điều khiển giao thức truyền
file.
Port 23 (TCP/UDP): Telnet protocol – Truyền thông không mã hóa (unencrypted
text communications).
Port 25 (TCP/UDP): Simple Mail Transfer Protocol (SMTP) – được sử dụng cho
việc định tuyến email giữa các máy chủ mail.
Port 53 (TCP/UDP): Domain Name Server – DNS.
Port 80 (TCP/UDP): Hypertext Transfer Protocol –HTTP.
Port 110 (TCP): Post Office Protocol 3 - POP3.
Port 443 (TCP/UDP): Hypertext Transfer Protocol tích hợp TLS/SSL (HTTPS).
Câu 4: Phân biệt Gateway và proxy.
Trả lời:
Gateway:
Gateway là điểm gắn kết giữa ứng dụng và tài nguyên, một ứng dụng có
thể yêu cầu (qua giao thức HTTP hoặc qua giao thức khác) gateway phục vụ yêu
cầu nào đó, và gateway có thể trả lại response cho Client
Gateway có thể thực hiện truy vấn cơ sở dữ liệu hoặc tạo ra các nội dụng
động, tức là đóng vai trò như một portal nhận request và trả lời

Proxy:
Proxy cung cấp cho người sử dụng truy xuất internet với những host đơn.
Những proxy server phục vụ những nghi thức đặt biệt hoặc một tập những nghi
thức thực thi trên dual_homed host hoặc basion host. Những chương trình client
của người sử dung sẽ qua trung gian proxy server thay thế cho server thật sự mà
người sử dụng cần giao tiếp.
Web Proxy Server có vai trò trung gian chuyển tiếp các giao dịch giữa
Client và Web Server, nếu không có web proxy thì client và Server thì sẽ giao
dịch trực tiếp với nhau.
Proxy server xác định những yêu cầu từ client và quyết định đáp ứng hay

không đáp ứng, nếu yêu cầu được đáp ứng, proxy server sẽ kết nối với server thật
thay cho client và tiếp tục chuyển tiếp đến những yêu cầu từ clientđến server,
cũng như đáp ứng những yêu cầu của server đến client. Vì vậy proxy server
giống cầu nối trung gian giữa server và client .
Proxy cho user truy xuất dịch vụ trên internet theo nghĩa trực tiếp. Với dual
host homed cần phải login vào host trước khi sử dụng dịch vụ nào trên internet.
Điều này thường không tiện lợi, và một số người trở nên thất vọng khi họ có cảm
giác thông qua firewall, với proxy nó giải quyết được vấn đề này.
Vậy sự khác nhau giữa Proxy và Gateway là: Proxy kết nối ứng dụng có
giao thức giống nhau, gateway có thể kết nối các ứng dụng các giao thức khác
nhau.

Câu 5: Giao thức SET dùng để làm gì? Nêu những khó khăn gặp phải khi triển
khai giao thức SET ở Việt Nam.
Trả lời:
Giao thức SET (Secure Electronic Transactions) là giao thức được phát
triển bởi MasterCard và Visa.
Mục đích của SET là bảo vệ hệ thống thẻ tín dụng, tạo cho khách hàng,
doanh nghiệp, ngân hàng, các tổ chức tài chính sự tin cậy trong khi giao dịch
mua bán trên Internet.
Những tiêu chuẩn và công nghệ SET được áp dụng và thể hiện nhất quán
trong các doanh nghiệp, các ngân hàng/công ty cấp thẻ, tổ chức tín dụng và trung
tâm xử lý thẻ tín dụng qua mạng.
Ngoài ra, SET thiết lập một phơng thức hoạt động phối hợp tương hỗ
(method of interoperability) nhằm bảo mật các dịch vụ qua mạng trên các phần
cứng và phần mềm khác nhau. Và đảm bảo các tính chất sau:
• Đảm bảo tính bí mật: Tất cả các thông điệp đều được mã hóa.
• Đảm bảo tính tin cậy: Tất cả các đối tác phải có các chứng chỉ điện tử để
xác thực.
• Đảm bảo bảo mật: Các thông tin chỉ có ở nơi cần thiết và thời gian cụ thể.

• Tóm lại SET được thiết lập để bảo mật những thông tin về cá nhân cũng
như thông tin về tài chính trong quá trình mua bán và giao dịch trên mạng.
Các thành phần tham gia trong SET là:

Khó khăn gặp phải khi triển khai giao thức SET ở Việt Nam:
 Phương thức thanh toán trực tuyến chưa được mở rộng.
 Hạ tầng công nghệ cho thương mại điện tử chưa sẵn sàng, chưa có hệ
thống thanh toán thực sự, tốc độ kết nối Internet chậm.
 Thiếu cán bộ kỹ thuật có chuyên môn về thương mại điện tử.
 Không có sự liên kết thanh toán giữa các ngân hàng.
 Chưa có hành lang pháp lý, hệ thống luật pháp đầy đủ, đang từng bước
hoàn thiện.

Câu 6: Phân tích những ưu điểm xét về mặt an toàn, bảo mật của thuê máy chủ
riêng (Didicated hosting) so với thuê máy chủ dạng Shared Hosting.
Trả lời:
Máy chủ dạng Shared Hosting:
 Đảm bảo bảo mật an toàn cho Website kém.
 Không tự cấu hình và quản lý Server mà hoàn toàn phụ thuộc vào nhà cung
cấp dịch vụ.
 Dễ bị tấn công hoặc bị ảnh hưởng từ các cuộc tấn công lên các Website
khác đặt trên cùng máy chủ.
Thuê máy chủ riêng (Didicated hosting):
 Thuê máy chủ riêng để đặt ứng dụng cho Web.
 Độ bảo mật cao hơn Shared Hosting và an toàn hơn.
 Có thể tự quản lý cấu hình cho phù hợp với Website và có thể thêm bớt
được các dịch vụ thích hợp. Hạn chế các cuộc tấn công bằng nhiều con
đường khác nhau.
 Có thể ngăn chặn và hạn chế các cuộc tấn công lên Website, và lên máy
chủ.

 Tuy nhiên yêu cầu phải có một người quản trị có chuyên môn cao để cấu
hình và quản lý Website.

Câu 7-Giao thức SSL/TLS đảm bảo những vấn đề gì cho truyền thông qua mạng
internet?
Giao thức SSL/TLS được phát triển bởi hãng Netscape nhằm giải quyết các vấn
đề về đảm bảo tính bí mật, tính toàn vẹn và xác thực cho quá trình truyền thông mạng.
• Về tính bí mật: Gt sử dụng các thuật toán mã hóa DES, 3DES, RC2, RC4 và một
số thuật toán khác
• Về đảm bảo tính toàn vẹn: gt sử dụng hàm băm
• Về tính xác thực : gt sử dụng chứng chỉ X509
Câu 8-Những thuật toán mã hóa và hàm băm nào được sử dụng trong
giao thức SSL/TLS?
SSL/TLS sử dụng các thuật toán đối xứng như DES, 3DES, RC2, và IDEA để thực
hiện mã hóa tất cả các thông điệp truyền đi để đảm bảo tính bí mật.
Ngoài ra, để trao đổi khóa, giao thức còn sử dụng phương thức trao đổi là dùng KCK.
Hệ mật KCK thường được sử dụng là RSA.
SSl/TLS sử dụng các hàm băm là SHA1 và MD5
Câu 9-Trình bày các rủi ro khi tham gia mạng internet
• Đối với người dùng cuối
– Virus, worm, trojan, keylog, spyware, lừa đảo trực tuyến, mất thông tin
mật, mất định danh, zombie, vv
• Đối với các công ty, tổ chức, nhà cung cấp dịch vụ vv…
– Mất cắp các thông tin mật, phá hoại đường truyền, tấn công từ chối dịch
vụ, chiếm dụng hệ thống mạng, sập hệ thống mạng và các dịch vụ, virus,
vv
Câu 10-Trình bày mô hình kiến trúc mạng internet
- Mạng internet được xây dựng trên cơ sở các đường trục (Backbone) là hệ thống cáp có băng
thông cao truyền dữ liệu dùng cho truyền dữ liệu qua mạng Internet
- Các đường trục này kết nối các NSP (Network Service Provider) các NSP là ngang hàng

trong việc trao đổi thông lượng gói tin
- Một số NSP: UUNet, CerfNet, IBM, BBN Planet, SprintNet, PSINet…
- Các nhà cung cấp dịch vụ internet (ISP-Internet Service Provider) mua lại băng thông của các
NSP và bán cho các khách hàng là các tổ chức, công ty, trường học, cá nhân vv
Câu 11-Trình bày các giải pháp đảm bảo an toàn khi tham gia vào mạng internet
đối với người dùng cuối và đối với các công ty, tổ chức, vv…
+ Đối với người dùng cuối
• Sử dụng các chương trình diệt virus, spyware, keylog, troyjan vv
• Sử dụng tường lửa cá nhân
• Sử dụng IPS/IDS cá nhân
• Nâng cao chính sách bảo mật của máy tính
• Vào mạng với tài khoản người dùng hạn chế
• Vv….
+ Đối với các công ty, tổ chức, nhà cung cấp dịch vụ
• Xây dựng chính sách an toàn
• Giáo dục ý thức người dùng
• Sử dụng các giao thức an toàn
• Sử dụng hệ thống tường lửa
• Sử dụng hệ thống IDS/IPS
• Sử dụng hệ thống phòng chống virus
• Sử dụng mạng riêng ảo
• Sử dụng hệ thống chứng chỉ điện tử
• Vv
Câu 12-Trình bày kiến trúc giao thức SSH?
SSH là giao thức cho phép đăng nhập từ xa an toàn , sử dụng các thuật toán mã hóa
để mã hóa dữ liệu/ đường truyền.
• Phía Server: Giao thức SSH transport layer protocol (TLP)
 Đảm bảo tính xác thực, bí mật và toàn vẹn
• Phía Client: Giao thức xác thực người dùng UAP- user authentication protocol
• Giao thức kết nối: CP (SSH connection protocol )

 Thiết lập các phiên đăng nhập, thực hiện các lệnh từ xa, chuyển hướng các
kết nối TCP/IP
 Chạy trên cả hai giao thức dành cho Server và client
a. Giao thức tầng vận tải (TLP):
+ Client khởi tạo kết nối tới cổng 22 của Server
+ Khi kết nối được thiết lập cả Client và Server sẽ gửi cho nhau thông tin phiên bản đó là
chuỗi ID ở dạng SSH-protoversion-softwareversion comments”
+ Cả Client và Server đều có danh sách các thuật toán mã hoá sử dụng. Mỗi phía thực
hiện chọn một thuật toán sử dụng và gửi khoá khởi tạo tương ứng cho phía bên kia
+ Nếu sự lựa chọn này trùng nhau thì thuật toán đó sẽ được sử dụng
+ Nếu thuật toán lựa chọn khác nhau thì thủ tục này sẽ được lặp lại ở phía Client
b. Giao thức và phương pháp xác thực người dùng (UAP):
SSH sử dụng một số giao thức xác thực sau:
- Xác thực bằng mật khẩu
- Xác thực bằng KCK
- Xác thực dựa trên định danh máy tính
* Giao thức xác thực người dùng
• Được sử dụng để chạy trên giao thức tầng vận tải SSH
• Nó được sử dụng với giả định các giao thức phía dưới cung cấp tính toàn vẹn và
bí mật
• Dịch vụ cho giao thức này là “ssh-userauth”
• Khi bắt đầu thực hiện, nó nhận định danh phiên làm việc, nó được sử dụng cho
việc ký để chứng nhận người sở hữu khoá bí mật
 Client gửi yêu cầu xác thực SSH_MSG_USERAUTH_REQUEST mà không có
phương pháp xác thực cụ thể
 Yêu cầu này là bước lấy danh sách các phương pháp xác thực được chấp nhận
 Server sẽ trả lời với thông điệp và kèm theo danh sách các phương pháp xác thực
mà server hỗ trợ
 Điều này sẽ cho phép Server chủ động trong quá trình xác thực
 Client có thể lựa chọn phương pháp xác thực từ danh sách trên

• Thời gian chờ cho việc xác thực trong thời gian khoảng 10 phút
• Có hạn định số lần đăng nhập không thành công trong một phiên làm việc
• Nếu vượt quá ngưỡng thì server sẽ ngắt kết nối
Định dạng thông điệp request của Client:
byte SSH_MSG_USERAUTH_REQUEST
string user name
(in ISO-10646 UTF-8 encoding [RFC2279])
string service name (in US-ASCII)
string method name (US-ASCII)
Cấu trúc thông báo xác thực thất bại
byte SSH_MSG_USERAUTH_FAILURE
string authentications that can continue
boolean partial success
Cấu trúc thông báo thành công từ Server
byte SSH_MSG_USERAUTH_SUCCESS
* Phương pháp xác thực
Phương pháp sử dụng khoá công khai:
• Xác thực được thực hiện bằng cách gửi chữ ký được tạo ra với khoá bí mật của
người sử dụng
• Người dùng gửi yêu cầu lấy thuật toán khoá công khai sử dụng
• Server sẽ từ chối yêu cầu nếu như nó không hỗ trợ thuật toán đó
 Nếu hỗ trợ nó sẽ gửi thông điệp SSH_MSG_USERAUTH_PK_OK
 Sau khi quyết định thuật toán sử dụng, người dùng gửi thông điệp đã được ký
 Server phải kiểm tra xem khoá và chữ ký hợp lệ không
 Nếu cả hai đều hợp lệ thì người dùng được xác thực
Phương pháp sử dụng mật khẩu:
Người dùng gửi gói sau:
SSH_MSG_USERAUTH_REQUEST
Mật khẩu được truyền đi trong gói ở dạng rõ nhưng toàn bộ gói tin đã được mã hoá
bởi tầng vận tải

Phương pháp xác thực dựa trên định danh máy (host)
• Được thực hiện qua việc client gửi chữ ký được tạo ra với khóa bí mật của máy
client, và Server kiểm tra bằng cách sử dụng khóa công khai của host đó
• Một khi định danh máy client được thiết lập, sự xác thực sẽ được dựa trên tên
người dùng
c. Giao thức kết nối (SSH connection protocol)
Cung cấp các phiên đăng nhập, thực hiện các lệnh từ xa, chuyển hướng các kết
nối TCP/IP
Tất cả các kênh được ghép vào một tunnel được mã hóa
Được thiết kế để chạy trên tầng vận tải SSH và giao thức xác thực người dùng
Tất cả các phiên làm việc dạng terminal, chuyển hướng kết nối là các kênh
(channels) gồm: Mở kênh, truyền dữ liệu, đóng kênh
Cũng có thể mở một kênh và những kênh này được ghép vào một kết nối
Những kênh này được định danh bởi các số
Các yêu cầu mở một kênh chứa số kênh của người gửi.
• Mở kênh: Khi một bên muốn mở một kênh mới, nó gán một số cục bộ cho kênh,
sau đó gửi thông điệp dưới đây đến bên kia, bao gồm cả số kênh cục bộ và khởi
tạo cửa sổ
byte SSH_MSG_CHANNEL_OPEN
Dạng kênh: string channel type
Kênh người gửi: uint32 sender channel
Khởi tạo cửa sổ: uint32 initial window size
Gói tin lớn nhất: uint32 maximum packet size
Phía nhận quyết định mở kênh hoặc không và trả lời theo một trong hai cách sau
byte SSH_MSG_CHANNEL_OPEN_CONFIRMATION
Hoặc
byte SSH_MSG_CHANNEL_OPEN_FAILURE
Trong gói thông điệp đồng ý cho phép mở kênh gồm có thông tin sau:
Định danh kênh người nhận
Định danh kênh người gửi

Kích thước của số khởi tạo ban đầu
Kích thước lớn nhất của một gói dữ liệu có thể truyền
Đối với trường hợp không đồng ý, gói dữ liệu trả về sẽ như sau:
Định danh kênh người nhận
Mã của lý do không mở kênh, và một chuỗi thông tin giải thích
thêm lý do không cho phép mở kênh
• Truyền dữ liệu được thực hiện với định dạng thông điệp sau:
byte SSH_MSG_CHANNEL_DATA
uint32 recipient channel
string data
Khi không bên nào muốn gửi dữ liệu nữa thì nó sẽ gửi thông điệp
byte SSH_MSG_CHANNEL_EOF
uint32 recipient_channel
• Đóng kênh: Khi một bên nào đó muốn đóng kênh thì nó sẽ gửi thông điệp
SSH_MSG_CHANNEL_CLOSE.
Cấu trúc thông điệp
byte SSH_MSG_CHANNEL_CLOSE
uint32 recipient_channel
Một phiên làm việc là sự thực thi một chương trình từ xa
Chương trình có thể là một shell, một ứng dụng, một lệnh hệ thống, vv
Nhiều phiên có thể thực hiện đồng thời
Câu 13-Trình bày các phương pháp xác thực sử dụng trong giao thức SSH?
 Phương pháp sử dụng khoá công khai:
– Xác thực được thực hiện bằng cách gửi chữ ký được tạo ra với khoá bí mật của người
sử dụng
– Người dùng gửi yêu cầu lấy thuật toán khoá công khai sử dụng
– Server sẽ từ chối yêu cầu nếu như nó không hỗ trợ thuật toán đó
– Nếu hỗ trợ nó sẽ gửi thông điệp SSH_MSG_USERAUTH_PK_OK
– Sau khi quyết định thuật toán sử dụng, người dùng gửi thông điệp đã được ký
– Server phải kiểm tra xem khoá và chữ ký hợp lệ không

– Nếu cả hai đều hợp lệ thì người dùng được xác thực
 Phương pháp sử dụng mật khẩu: Người dùng gửi gói sau:
SSH_MSG_USERAUTH_REQUEST
– Mật khẩu được truyền đi trong gói ở dạng rõ nhưng toàn bộ gói tin đã được mã hoá bởi
tầng vận tải
– Phương thức này chỉ có trong một số bản bố sung của SSH2. Sau khi kiểm tra các tham
số thích hợp, server sẽ gửi thông báo chấp nhận truy cập của client và nếu có giao thức
này thì server sẽ gửi kết hợp password với thông báo đó để xác thực với client.
 Phương pháp xác thực dựa trên định danh máy (host)
– Được thực hiện qua việc client gửi chữ ký được tạo ra với khóa bí mật của máy client,
và Server kiểm tra bằng cách sử dụng khóa công khai của host đó
– Một khi định danh máy client được thiết lập, sự xác thực sẽ được dựa trên tên người
dùng
Câu 14: Các hình thức thanh toán điện tử.
Tiền điện tử (E-cash): Vcoin
Ví điện tử (Electronic wallets)
Thẻ thông minh (smart cards)
Các loại thẻ tin dụng (Credit card)
Thẻ ghi nợ (debit cards)
a) Tiền điện tử.
 Khái niệm tiền điện tử.
1. Khách hàng mua tiền điện tử từ ngân hàng
2. Ngân hàng gửi các đơn vị tiền điện tử tới khách hàng
3. Khách hàng gửi tiền điện tử tới công ty bán hàng
4. Công ty bán hàng sẽ kiểm tra với ngân hàng về tính hợp lệ của tiền điện tử đó
5. Ngân hàng gửi kết quả kiểm tra tính hợp lệ của tiền điện tử đó cho công ty
6. Các bên thực hiện giao dịch, bên công ty bán hàng sẽ trích một số lượng đơn vị tiền điện
tử tương ứng với hàng hoá hoặc dịch vụ mà họ cung cấp cho khách hàng
 Các vấn đề đối với tiền điện tử.
- Tiền điện tử chỉ được tiêu một lần

- Phải được tiêu giống như các loại tiền tệ bình thường
+ Phải được bảo vệ chống lại sự giả mạo
+ Phải có tính chất độc lập và chuyển tự do không phân biệt quốc gia hay cơ chế lưu
trữ
- Phải chia nhỏ được và thuận tiện trong sử dụng
- Giao dịch phức tạp
 Hai phương pháp lưu trữ.
- On-line
+ Cá nhân không phải lưu trữ thông tin về tiền điện tử
+ Việc lưu trữ tiền được thực hiện bởi ngân hàng, ngân hàng sẽ lưu trữ các tài khoản
tiền của khách hàng
- Off-line
+ Khách hàng được cung cấp thẻ thông minh hoặc phần mềm ví điện tử trong đó lưu
trữ các thông tin về tiền của mình
+ Sử dụng mã hoá để chống trộm cắp, lừa đảo hoặc tiêu tiền nhiều lần
 Ưu điểm và nhược điểm.
- Ưu điểm
+ Hiệu quả, thuận tiện
+ Chi phí giao dịch thấp
+ Bất cứ ai cũng có thể sử dụng, không giống như thẻ tín dụng, không đòi hỏi các yêu
cầu đặc biệt
- Nhược điểm
+ Bị lợi dụng để rửa tiền
+ Khó khăn khi triển khai
 Vấn đề an toàn cho tiền điện tử.
- Phải sử dụng các thuật toán mã hoá phức tạp để chống lại sự tiêu hai lần
- Việc ẩn danh được duy trì, trừ khi có sự cố tình tiêu tiền hai lần
b) Ví điện tử.
- Lưu các thông tin về thẻ tín dụng, tiền điện tử, định danh người dùng và địa chỉ
+ Làm cho việc mua bán dễ dàng và hiệu quả hơn. Không phải nhập thông tin nhiều

lần vào các mẫu biểu khai báo thông tin khi mua hàng
+ Amazon.com là một trong những công ty đầu tiên bỏ việc nhập thông tin nhiều lần
khi mua hàng
 Các loại ví điện tử:
- Agile Wallet
+ Được phát triển bởi CyberCash
+ Cho phép khách hàng nhập các thông tin của thẻ tín dụng vào một lần và lưu trữ
thông tin đó trên máy chủ trung tâm
+ Các thông tin được đưa ra trong trang hỗ trợ thanh toán của công ty, cho phép thanh
toán chỉ bằng một Click
- eWallet
+ Được phát triển bởi Launchpad Technologies
+ Phần mềm ví điện tử lưu trữ thông tin thẻ tín dụng và người sở hữu nó được cài đặt
trên máy tính khách hàng, chứ không lưu trên máy chủ của công ty, mọi thông tin khi
thực hiện thanh toán được chuyển tử eWallet sang các form nhập thông tin
+ Thông tin được mã hoá và sử dụng mật khẩu để bảo vệ
+ Làm việc được với cả các trình duyệt
c) Thẻ thông minh.
- Là thẻ nhựa có chứa một microchip
- Được sử dụng cách đây hơn 10 năm
- Được sử dụng phổ biến tại Châu âu, Australia, và Nhật bản
- Đầu tiên thì không được phổ dụng ở mỹ, nhưng sau đó thì dần được sử dụng nhiều do:
+ Thẻ thông minh hỗ trợ nhiều ứng dụng
+ Khả năng tương thích giữa thẻ thông minh, thiết bị đọc thẻ và các ứng dụng ngày
càng tăng
- Các loại thẻ thông minh:
+ Thẻ từ: Bộ nhớ 140 bytes
+ Thẻ nhớ: Bộ nhớ 1-4 KB memory, không có bộ chip xử lý
+ Thẻ nhớ quang: 4 megabytes read-only (CD-like)
+ Thẻ có nhúng bộ vi xử lý: Tích hợp bộ vi xử lý trên thẻ (8-bit processor, 16 KB

ROM, 512 bytes RAM, có cả các thẻ có bộ vi xử lý 32-bit )
- Các ứng dụng:
+ Làm vé điện tử: được sử dụng đầu tiên ở hệ thống xe bus ở Seoul Hàn quốc
+ Làm thẻ đăng nhập, ra vào cửa vv (Authentication, ID)
+ Lưu trữ thông tin y tế
+ Tiền điện tử (Ecash)
+ Lưu trữ các chương trình bản quyền
+ Lưu trữ hồ sơ cá nhân…
- Ưu điểm:
+ Nhỏ gọn, thuận tiện trong giao dịch
+ Có thể thanh toán cả các giao dịch với giá trị thanh toán nhỏ
+ Ẩn danh (Potentially)
+ Lưu trữ an toàn
- Nhược điểm:
+ Mức giao dịch bị hạn chế (không dùng được cho B2B)
+ Chi phí xây dựng cơ sở hạ tầng cao
+ Chỉ có một điểm đọc (dễ bị hỏng)
+ Sử dụng chưa được phổ biến
d) Thẻ tín dụng.
- Sử dụng cho việc thanh toán qua mạng internet
- Có hạn chế số lượng tiền khi thanh toán
- Hiện tại được sử dụng phổ biến nhất
- Là cách thức thanh toán điện tử đắt nhất
- Không thanh toán với giá trị nhỏ
- Không than toán với giá trị thanh toán lớn
e) Thẻ Ghi nợ - Debit Card (DC) là loại thẻ được phát hành dựa trên việc ghi nợ trực tiếp vào
tài khoản tiền gửi của chủ thẻ. Do đó, việc đầu tiên để được phát hành thẻ là bạn phải làm thủ
tục mở 1 tài khoản tiền gửi tại Ngân hàng. Và cũng chính đặc điểm này mà thẻ ghi nợ còn có
chức năng chuyển khoản từ tài khoản tiền gửi của người này sang tài khoản người khác và một
số chức năng khác mà thẻ tín dụng không có.

Câu 15-Nêu các ứng dụng, các ưu nhược điểm của thẻ thông minh?
Thẻ thông minh là thẻ nhựa có chứa Microchip trên đó , ra đời và sử dụng từ những năm 90 .
Có các loại :
- Thẻ từ : là loại thẻ nhớ có bộ nhớ thấp khoảng 140 byte
- Thẻ nhớ : có bộ nhớ lớn hơn thẻ từ . Khoảng từ 1-4 Kb
- Thẻ nhớ quang : bộ nhớ khoảng 4MB
- Thẻ có nhúng chip vi xử lý : tích hợp bộ vi xử lý trên thẻ 8-bit processor, 16 KB ROM,
512 bytes RAM , có cả các thẻ có bộ xử lý 32 bit
 Ứng dụng :
– Làm vé điện tử: Được sử dụng đầu tiên ở hệ thống xe bus ở Seoul Hàn quốc
– Làm thẻ đăng nhập, ra vào cửa vv (Authentication, ID) Đối với các hệ thống cần xác
nhận định danh được phép truy cập hệ thống như: Mạng viễn thông di động, tài khoản
ngân hàng(NH), chứng minh nhân dân điện tử, hộ chiếu điện tử hay hệ thống quản lý
truy cập (Access Control) thì TTM được đại diện cho quyền truy cập các hệ thống này.
– Khả năng lưu trữ an toàn trên thẻ smartcard, cho phép lưu trữ những thông tin thuộc về
chủ thẻ như: thông tin y tế, thông tin cá nhân, chứng chỉ điện tử (thẻ bảo hiểm y tế, giấy
phép lái xe điện tử )
– Tiền điện tử (Ecash)
– Lưu trữ các chương trình bản quyền
– Lưu trữ hồ sơ cá nhân
– Xác thực Offline: Ngoài các ứng dụng phổ biến nói trên, TTM còn được dùng để kiểm
tra tính xác thực thẻ thà nh viên không yêu cầu kết nối hệ thống trung tâm. Thẻ SAM
card (Security Application Module) là một dạng của ứng dụng này. SAM card có vai
trò như một cảnh sát giao thông kiểm tra người lái xe xuất trình bằng lái tại xa lộ mà
không có máy tính hay kết nối cơ sở dữ liệu trung tâm. Khi đó, thẻ SAM và thẻ của
người cần kiểm tra sẽ kiểm tra lẫn nhau (xác thực chéo) để kiểm tra tính trung thực
trước khi thực hiện những nghiệp vụ tiếp theo. Thẻ SAM còn có khả năng đa dạng khóa
(Diversify Key) đảm bảo an toàn và bảo mật trong mỗi phiên giao dịch.
– v.v
 Ưu điểm:

– Nhỏ gọn, thuận tiện trong giao dịch
– Có thể thanh toán cả các giao dịch với giá trị thanh toán nhỏ
– Ẩn danh (Potentially)
– Lưu trữ an toàn
 Nhược điểm:
– Khả năng hư hỏng: Thẻ nhựa mà chip đặt trên nó là khá dẻo, dễ uốn, và do đó chip
càng lớn thì càng dễ bị gãy.
– Mức giao dịch bị hạn chế (không dùng được cho B2B)
– Chi phí xây dựng cơ sở hạ tầng cao,phức tạp
– Chỉ có một điểm đọc (dễ bị hỏng)
– Sử dụng chưa được phổ biến, nhất là ở VN , ứng dụng thẻ thông minh còn khá mới ,
nhiều đơn vị tổ chức chưa thấy rõ lợi ích , chức năng .Ít doanh nghiệp công nghệ thông
tin có thể cung cấp các giải pháp ứng dụng sử dụng thẻ thông minh.
Câu 16-Trình bày mô hình hệ thống thanh toán đóng và hệ thống thanh toán mở
• Hệ thống thanh toán đóng
– Ngân hàng và các tổ chức tài chính hoạt động như người trung gian giữa khách
hàng và công ty, không có một tổ chức nào khác tham gia vào
– American Express và Discover là hai loại thẻ như vậy
• Hệ thống mở
– Việc giao dịch được xử lý bởi bên thứ 3
– Visa và MasterCard là các thẻ thuộc loại này.
Câu 17-Trình bày các mô hình các thành phần tham gia trong giao thức SET
– Cardholder (người mua hàng, chủ thẻ): Một người tiêu dùng hay một công ty mua
hàng, người sử dụng thẻ tín dụng để trả tiền cho người bán (người kinh doanh).
– Merchant (công ty thương mại): Một thực thể chấp nhận thẻ tín dụng và cung cấp hàng
hoá hay dịch vụ để đổi lấy việc trả tiền.
– Acquirer (ngân hàng của người bán hàng): Một cơ quan tài chính (thường là một ngân
hàng) lập tài khoản cho người kinh doanh và có được chứng từ của các phiếu bán hàng
uỷ quyền. Gắn chặt với công ty thương mại
– Issuer (ngân hàng của người chủ thẻ): Một cơ quan tài chính (thường là một ngân hàng)

lập tài khoản cho người chủ sở hữu thẻ và phát hành thẻ tín dụng.
– Payment gateway: cổng thanh toán
– Payment Network: Liên minh giữa các ngân hàng cho phép chuyển khoản
– Certificate authority: kiểm tra danh tính của người dùng
 Linh :Chú ý phần in nghiêng là phần tớ thêm vào nhé, ko có
trong nội dung câu hỏi , chỉ cần học những phần chữ bình
thường là ok.
Câu 19-Trình bày vai trò của giao thức SET?
• Cung cấp tính bí mật của thông tin thanh toán và đặt hàng
• Đảm bảo tính toàn vẹn của toàn bộ dữ liệu trên đường truyền
• Cung cấp sự xác thực, đảm bảo người nắm giữ thẻ là người dùng hợp lệ
của tài khoản thẻ
• Cung cấp sự xác thực đảm bảo một công ty thương mại có thể chấp nhận
các giao dịch thẻ tín dụng qua mối quan hệ với các tổ chức tài chính
• Đảm bảo các giải pháp đảm bảo an toàn và các kỹ thuật thiết kế hệ thống
tốt nhất để sử dụng để bảo vệ tất cả các đối tác hợp lệ trong giao dịch
thương mại điện tử
• Hỗ trợ và thúc đẩy sự tương tác giữa các phần mềm và nhà cung cấp dịch
vụ mạng
Câu 20-Trình bày các bước thực hiện trong giao dịch bằng giao thức SET
Các bước thực hiện:
• Khách hàng mở một tải khoản tại ngân hàng hỗ trợ giao thức SET và nhận
một thẻ tín dụng
– MasterCard, Visa, vv…
• Sau khi xác thực định danh, khách hàng sẽ nhận được chứng chỉ điện tử
X.509v3 được ký bởi ngân hàng.
• Công ty thương mại chấp nhận thẻ phải có hai chứng chỉ X.509v3, một
dùng để ký và một dùng cho việc trao đổi khóa
• Khách hàng thực hiện đặt lệnh mua sản phẩm hoặc dịch vụ với công ty
thương mại

• Công ty thương mại sẽ gửi bản copy chứng chỉ của nó cho khác hàng để
thực hiện việc xác minh
• Khách hàng gửi đơn đặt hàng và thông tin thanh toán tới công ty thương
mại sử dụng chứng chỉ của khách hàng
– Đơn đặt hàng gồm có các mặt hàng được đặt mua
– Thông tin thanh toán chứa thông tin chi tiết về thẻ tín dụng
– Thông tin thanh toán được được mã hóa sao cho nó không thể được
đọc bởi công ty thương mại
– Chứng chỉ của khách cho phép công ty thương mại xác minh được
khách hàng
• Công ty thương mại yêu cầu kiểm chứng thông tin thanh toán từ cổng
thanh toán trước khi thực hiện chuyển hàng
• Công ty thương mại gửi xác nhận đơn đặt hàng tới khách hàng
• Công ty thương mại chuyển hàng hoặc dịch vụ tới khách hàng
• Công ty thương mại yêu cầu thanh toán từ cổng thanh toán
Các kỹ thuật công nghệ sử dụng trong SET
Đảo bảo tính bí mật thông tin sử dụng thuật toán: DES
Tính toàn vẹn của dữ liệu: Sử dụng chữ ký RSA với hàm băm SHA-1
Xác thực người nắm giữ thẻ: sử dụng chứng chỉ điện tử X.509v3 với chữ ký RSA
Xác thực công ty thương mại: Sử dụng chứng chỉ điện tử với chữ ký RSA
Bảo mật: Tách riêng rẽ thông tin đặt hàng thông tin thanh toán sử dụng hai chữ

Câu 21-Trình bày các bước thực hiện tạo ra hai chữ ký
Mô hình sử dụng hai chữ ký
Gắn hai thông điệp thành một nhýng chỉ cho phép mỗi một đối tác chỉ
đọc một phần
MESSAGE 1
DIGEST 1
NEW DIGEST
HASH 1 & 2

Với SHA
MESSAGE 2
DIGEST 2
Gắn kết các giá trị digest với nhau
Băm với SHA để tạo
ra giá trị digest mới
DUAL SIGNATURE
PRIVATE KEY
Mã hóa gía trị digest mới với khóa bí mật
Của ngýời ký
• Khái niệm: Gắn hai thông điệp cho hai người nhận khác nhau thành một
thông điệp gồm có:
– Thông tin đặt hàng (OI-order information): Từ khách hàng đến công
ty thương mại
– Thông tin thanh toán (PI-Payment Information): Từ khách hàng đến
ngân hàng
• Mục đích: Hạn chế thông tin nhạy cảm đến những thành phần không cần
biết
– Công ty thương mại không cần phải biết đến số của thẻ tín dụng
– Ngân hàng không cần biết đến thông tin chi tiết của đơn đặt hàng
của khách hàng
– Tạo ra khả năng bảo vệ bằng cách giữ thông tin các đối tượng này
một cách riêng rẽ
• Việc kết nối này cần thiết để chứng minh rằng việc thanh toán được thực
hiện cho chính hóa đơn đó chứ không phải thanh toán cho cái khác
Lý do sử dụng hai chữ ký
• Khách hàng gửi cho công ty thương mại hai thông điệp
– Thông tin đặt hàng đã được ký
– Thông tin thanh toán đã được ký
• Công ty thương mại chuyển các thông tin thanh toán đó đến ngân hàng

• Nếu như công ty thương mại có thể can thiệp vào được các thông tin liên
quan đến việc thanh toán, công ty thương mại có thể thay đổi nội dung và
gửi đến cho ngân hàng
=> Như vậy là phải giải quyết vấn đề này
Các bước thực hiện hai chữ ký
• Các bước thực hiện hai chữ ký như sau
– Lấy giá trị hàm băm của đơn đặt hàng và thông tin thanh toán
– Hai giá trị băm này được gắn kết với nhau [H(PI) || H(OI)] và được
băm tiếp
– Khách hàng mã hóa giá trị băm cuối cùng với khóa bí mật
DS = EKRC [ H(H(PI) || H(OI)) ]
Chữ ký được xác minh bởi công ty thương mại
• Công ty thương mại có khóa công khai của khách hàng nhận được từ
chứng chỉ của khách hàng
• Công ty thương mại có thể tính hai giá trị này, và hai giá trị này phải
bằng nhau:
H(PIMD || H(OI))
DKUC[DS]
Chữ ký được xác minh bởi ngân hàng
• Ngân hàng được có các thông tin gồm giá trị DS, PI, giá trị băm OI
(OIMD) và khóa công khai của khách hàng, ngân hàng dựa trên đó có thể
tính được các giá trị sau:
H(H(PI) || OIMD)
DKUC [ DS ]
Xác minh
• Công ty thương mại nhận được OI và xác minh chữ ký
• Ngân hàng nhận PI và xác minh chữ ký
• Khách hàng gắn kết OI và PI và có thể chứng minh sự đúng đúng đắn của
liên kết đó
Câu 22-Trình bày mô hình tạo ra yêu cầu mua trong giao thức SET

• Bao gồm: Duyệt, lựa chọn, và đặt hàng
• Quá trình thực hiện gồm 4 thông điệp:
– Khởi tạo yêu cầu
– Khởi tạo trả lời
– Yêu cầu mua
– Trả lời yêu cầu mua
Khởi tạo yêu cầu mua
• Các yêu cầu cơ bản:
– Người nắm giữ thẻ phải có chứng chỉ của công ty thương mại và
cổng thanh toán
• Khách hàng gửi trong thông điệp khởi tạo ban đầu tới công ty thương mại
với các thông tin:
– Loại thẻ tín dụng
– Định danh (ID) gắn với cặp request/response của khách hàng
– Thời gian gửi
Khởi tạo yêu cầu trả lời
• Công ty thương mại tạo ra trả lời gồm có:
– Chữ ký được ký với khóa bí mật
– Thời gian khách hàng yêu cầu
– Thời gian công ty thương mại trả lời
– Định danh của giao dịch
• Và các thông tin
– Chứng chỉ có chữ ký của công ty thương mại
– Chứng chỉ dùng cho việc trao đổi khóa của cổng thanh toán
• Người nắm giữ thẻ xác minh hai chứng chỉ sử dụng máy chủ CA và tạo ra
các thông điệp OI và PI
• Sau đó người mua sẽ gửi tiếp thông điệp gồm các thông tin:
– Thông tin mua
– Thông tin hóa đơn
– Chứng chỉ của người nắm giữ thẻ

Yêu cầu mua
• Người nắm giữ thẻ tạo ra khóa mã hóa đối xứng sử dụng một lần KS
Câu 23-Trình bày mô hình xác thực khi công ty thương mại nhận được yêu
cầu mua từ khách hàng trong giao thức SET?
• Khi công ty thương mại nhận được thông điệp yêu cầu mua, sẽ thực hiện
những việc sau:
– Xác minh chứng chỉ của người nắm giữ thẻ qua hệ thống CA
– Xác minh chữ ký đôi sử dụng khóa công khai của khách hàng
– Xử lý đơn đặt hàng và chuyển thông tin thanh toán đến cổng thanh
toán để kiểm tra sự hợp pháp
– Gửi trả lời yêu cầu mua của khách hàng đến người nắm giữ thẻ

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×