Chương 7

Vấn đề an toàn trong
Thương mại điện tử
Trình bày
TS Nguyễn Đức Trí
Chủ nhiệm Bộ môn Du lòch
Khoa Thương mại Du lòch
Đại học Kinh tế TP. HCM



Cấu hình mạng TMĐT an toan

2

21 June 2002

Security Issues


Tổ chức mạng an toan

3

21 June 2002

Security Issues


Proxy

4

21 June 2002

Security Issues


Cấu truc bảo an DMZ

5

21 June 2002

Security Issues


SSL và SET: Ai sẽ thắng?


Một phần của SSL (Secure Socket Layer)
đã có trong bộ trình duyệt của khách
hàng









SET ( Secure Electronic Transaction) là một
giao thức bảo an rất hoàn hảo




6

Đó là một cơ chế mã hóa (encryption) để tiếp
nhận đơn hàng, các yêu cầu và các trình ứng
dụng khác
Nó không giúp bảo vệ chống lại toàn bộ
các vấn đề xâm phạm an toàn
Nó đơn giản và được sử dụng rộng rải

Nó cung cấp tính riêng tư, chứng thật, an toàn
và rào cản
Nó ít được sử dụng do tính phức tạp của nó và
sự đòi hỏi phải21có
các bộ đọc card đặc
biệt
June 2002
Security
Issues


Thanh toán, giao thức và các
vấn
đề

cóbảo
liênanquan
 Yêu
cầu


Chứng thật: Là cách kiểm tra người
mua trước khi việc thanh toán được thực
hiện



Toàn vẹn: Bảo đảm rằng các thông
tin sẽ không bò thay đổi, xóa do sơ xuất
trong quá trình truyền dẫn





7

Mã hóa: Qui trình làm cho các thông
điệp không thể đọc hay sử dụng được
ngoại trừ những người có khóa giải
mã chúng
Quyền riêng tư: người bán không nhất
thiết phải biết thông tin về thẻ tín
21 June 2002


Security Issues


Qui trình bảo an


Khóa bí mật - Secret Key
Cryptography (symmetric)

Khóangười gửi (= Khóangười nhận)
Thông
điệp
nguyên
thủy

Người gửi

Thông
điệp
được mã
hóa

Internet

Thông
điệp
được mã
hóa

Thông

điệp
nguyên
thủy

Người nhận

Giải mã

Mã hóa

8

Khóangười nhận

21 June 2002

Security Issues


Qui trỡnh baỷo an...


Khoựa coõng coọng - Public Key
Cryptography
Public Keyreceiver

Message

Original
Message


Scrambled
Message

Private Keyreceiver
Internet

Scrambled
Message

Sender

Receiver

Private Keysender
Digital
Original
Signature Message
9

Original
Message

Scrambled
Message

Public Keysender
Internet

Sender


Scrambled
Message

Original
Message

Receiver
21 June 2002

Security Issues


Qui trình bảo an...


Chữ ký điện tử - Digital
 Từ chữ ký tương đương đến chữ ký bằng tay Signature
Bất kỳ người
Analogous
handwritten signature
Ngườitogửi

10

mã hóa
thông
điệp với
khóa
riêng

Chữ
ký số
được người
gửi gửi kèm
theo thông
điệp được
mã hóa
bằng khóa
công cộng

21 June 2002

nhận nào có
khóa công
cộng của
người gửi
Người
nhận
là
đều có
thể
người
duy nhất
đọc được
có thể đọc
thông điệp và
anh ta là người
có thể biết
chắc chắn
rằng thông

điệp do người
Security Issues


Chữ ký điện tử

11

21 June 2002

Security Issues


Qui trình bảo an...


Chứng nhận - Certificate




Xác đònh người giữ khóa công cộng
(trao đổi khóa Key-exchange)
Cấp bởi cơ quan chứng thật có uy tín certificate authority (CA)
Name : “Richard”
key-Exchange Key :
Signature Key :
Serial # : 29483756
Other Data : 10236283025273
Expires : 6/18/96

Signed : CA’s Signature

12

21 June 2002

Security Issues


Qui trình bảo an


Cơ quan cấp giấy chứng nhận – ví
dụ VeriSign





Có thể là một tổ chức công cộng hay cá nhân
Là bên thứ 3 đáng tin cậy
Cấp Chứng nhận số
Chứng nhận rằng khóa công cộng thuộc về một cá
nhân nào đó

RCA
BCA
GCA
CCA


MCA

PCA

RCA : Root Certificate Authority – Cơ quan
nhận nguồn
BCA : Brand Certificate Authority - Cơ qua
chứng nhận nhãn hiệu
GCA : Geo-political Certificate Authority quan chứng nhận theo đòa lý chí
CCA : Cardholder Certificate Authority - Cơ
chứng nhận người sở hữu card
MCA : Merchant Certificate Authority - Cơ
chứng nhận người bán
PCA : Payment Gateway Certificate Author
Cơ quan chứng nhận cổng thanh t

ách phân chia tầng lớp các cơ quan chứng nhậ
13
21 June 2002
Security Issues


Giao thức SET - Secure Electronic
Transaction Protocol


Máy tính của người gửi
1. Thông điệp được đưa vào bộ ‘tiêu hóa’ thông tin

(hay bộ đọc thông điệp - message digest).

2. Bộ tiêu hóa thông tin sẽ mã hóa với khóa chữ ký
riêng của người gửi, và chữ ký số được tạo ra.
3. Nội dung thông điệp, chữ ký số và chứng nhận
của người gửi được mã hóa với khóa đồng đẳng
(symmetric key) được tạo ra bởi máy của người gửi
cho từng giao dòch. Kết quả là một thông điệp được
mã hóa. Giao thức SET dùng hệ Algarit DES thay vì RSA
bởi vì DES có thể mã hóa nhanh hơn nhiều so với
RSA.
4. Khóa đồng đẳng được mã hóa với khóa công cộng
của người nhận vốn đã được gửi đến người gửi
14 trước đó. Kết quả là một bức thư số được tạo ra.
21 June 2002

Security Issues


Máy tính của người gửi
Message





Khóa chữ ký
riêng của
người gửi

Bộ đọc thông điệp


Chữ ký số

+
Message

+
+
Chứng nhận
của người gửi


Mã hóa
Khóa
đồng
đẳng

Thông
điệp
được
mã hóa


Chứng nhận
Của người nhận

15

Mã hóa
Khóa trao đổi
của người

nhận
21 June 2002

Bao thư
số
Security Issues


Giao thức SET...
Máy tính của người nhận



5. Thông điệp được mã hóa và bao thư số được chuyển

đến máy của người nhận thông qua Internet.
6. Bao thư số được giải mã với khóa trao đổi của người
nhận.
7. Sử dụng khóa đồng đẳng, thông điệp được mã hóa
có thể được tra về hiện trạng thông điệp, chữ ký số
và chứng nhận của người gửi.
8. Để xác đònh tính toàn vẹn (integrity), chữ ký số được
giải mã bời khóa công cộng của người gửi.
9. Thông điệp được thành thông điệp được giải mã.
10. Các thông điệp được giải mã đạt được ở các bước
8 & 9 được so sánh bởi người nhận nhằm xác đònh
xem có thay đổi nào không trong quá trình di chuyển.
Bước này xác đònh tính toàn vẹn của thông điệp.

16


21 June 2002

Security Issues


Máy tính của người gửi
Khoá trao đổi
riêng của
người gửi
Giải mã



Bao thư
số

Thông điệp




+

Giải mã
Khóa đồng
đẳng

+


Thông
điệp
được
mã hóa

Chứng nhận
Của Người gửi

Thông điệp được đọc



So sánh


Giải mã
Chữ ký số

17

Khoá chữ ký
công cộng của
người gửi

21 June 2002

Thông điệp được đọc
Security Issues



Bộ đọc
IC Card

Khách hàng Y
Khách hàng X
Với Ví điện tử
Cơ quan chứng nhận

Cửa hàng điện tử
Người bán Người
A
bán B

Cổng thanh
toán
Giao
thức
X.25

Loại credit card

18

Giao thức SET được dùng trong TMĐT
21 June 2002

Security Issues


SET so với SSL

Secure Electronic Transaction (SET) Secure Socket Layer (SSL)
Phức tạp
SET phục vụ nhu cầu
nhận thanh toán bằng
credit card của người
bán.
Giao thức SET giấu

Đơn giản
SSL là giao thức
bảo mật tổng quát
cho các trao đổi
Giao
thức
SSL
có thể
thông
điệp
(mã
dùng
hóa). chứng nhận,
thông tin về Credit card
nhưng nó không có
của khách hàng khỏi
cổng thanh tóan. Vì
người bán, và cũng
vậy, người bán cần
giấu thông tin đối với
nhận cả thông tin
ngân hàng, để bảo

đặt hàng lẫn thông
vệ quyền riêng tư
tin về thẻ tín dụng
của khách hàng.
và qui trình này do
người bán quyết
đònh.
19
21 June 2002
Security Issues