Bài giảng Thương mại điện tử - Chương 7: Vấn đề an toàn trong Thương mại điện tử - Nguyễn Bích Trâm

pdf 19 trang huongle 3990
Download
Bạn đang xem tài liệu "Bài giảng Thương mại điện tử - Chương 7: Vấn đề an toàn trong Thương mại điện tử - Nguyễn Bích Trâm", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_thuong_mai_dien_tu_chuong_7_van_de_an_toan_trong_t.pdf

Nội dung text: Bài giảng Thương mại điện tử - Chương 7: Vấn đề an toàn trong Thương mại điện tử - Nguyễn Bích Trâm

  1. Chương 7 Vấn đề an toàn trong Thương mại đTrìnhiện bàytử TS Nguyễn Đức Trí Chủ nhiệm Bộ môn Du lịch Khoa Thương mại Du lịch Đại học Kinh tế TP. HCM tri@triduc.net
  2. Cấu hình mạng TMĐT an toan 2 21 June 2002 Security Issues
  3. Tổ chức mạng an toan 3 21 June 2002 Security Issues
  4. Proxy 4 21 June 2002 Security Issues
  5. Cấu truc bảo an DMZ 5 21 June 2002 Security Issues
  6. SSL và SET: Ai sẽ thắng?  Một phần của SSL (Secure Socket Layer) đã có trong bộ trình duyệt của khách hàng  Đó là một cơ chế mã hóa (encryption) để tiếp nhận đơn hàng, các yêu cầu và các trình ứng dụng khác  Nó không giúp bảo vệ chống lại toàn bộ các vấn đề xâm phạm an toàn  Nó đơn giản và được sử dụng rộng rải  SET ( Secure Electronic Transaction) là một giao thức bảo an rất hoàn hảo  Nó cung cấp tính riêng tư, chứng thật, an toàn và rào cản  Nó ít được sử dụng do tính phức tạp của nó và sự đòi hỏi phải có các bộ đọc card đặc biệt cho người sử dụng  Nó có thể bị tẩy chay nếu nó không được làm cho đơn giản hóa hơn hay hoàn thiện hơn 6 21 June 2002 Security Issues
  7. Thanh toán, giao thức và các vấn đề có liên quan  Yêu cầu bảo an  Chứng thật: Là cách kiểm tra người mua trước khi việc thanh toán được thực hiện  Toàn vẹn: Bảo đảm rằng các thông tin sẽ không bị thay đổi, xóa do sơ xuất trong quá trình truyền dẫn  Mã hóa: Qui trình làm cho các thông điệp không thể đọc hay sử dụng được ngoại trừ những người có khóa giải mã chúng  Quyền riêng tư: người bán không nhất thiết phải biết thông tin về thẻ tín dụng của người mua. Điều này cần được thực hiện để bảo đảm quyền riêng tư của khách hàng 7 21 June 2002 Security Issues
  8. Qui trình bảo an  Khóa bí mật - Secret Key Cryptography (symmetric) Khóangười gửi (= Khóangười nhận) Khóangười nhận Thông điệp Thông điệp Thông điệp Thông điệp nguyên thủy nguyên thủy được mã hóa Internet được mã hóa Người gửi Người nhận Mã hóa Giải mã 8 21 June 2002 Security Issues
  9. Qui trình bảo an  Khóa công cộng - Public Key Cryptography Public Keyreceiver Private Keyreceiver Message Original Scrambled Internet Scrambled Original Message Message Message Message Sender Receiver Private Keysender Public Keysender Digital Original Scrambled Internet Scrambled Original Signature Message Message Message Message Sender Receiver 9 21 June 2002 Security Issues
  10. Qui trình bảo an  Chữ ký điện tử - Digital Signature  Từ chữ ký tương đương đến chữ ký bằng tay - Analogous to handwritten signature Bất kỳ người nhận Người gửi mã nào có khóa công hóa thông điệp cộng của người gửi với khóa riêng đều có thể đọc được Người nhận là người Chữ ký số được duy nhất có thể đọc người gửi gửi kèm thông điệp và anh ta là theo thông điệp được người có thể biết chắc mã hóa bằng khóa chắn rằng thông điệp do công cộng người nào đã gửi 10 21 June 2002 Security Issues
  11. Chữ ký điện tử 11 21 June 2002 Security Issues
  12. Qui trình bảo an  Chứng nhận - Certificate  Xác định người giữ khóa công cộng (trao đổi khóa Key- exchange)  Cấp bởi cơ quan chứng thật có uy tín - certificate authority (CA) Name : “Richard” key-Exchange Key : Signature Key : Serial # : 29483756 Other Data : 10236283025273 Expires : 6/18/96 Signed : CA’s Signature 12 21 June 2002 Security Issues
  13. Qui trình bảo an  Cơ quan cấp giấy chứng nhận – ví dụ VeriSign  Có thể là một tổ chức công cộng hay cá nhân  Là bên thứ 3 đáng tin cậy  Cấp Chứng nhận số  Chứng nhận rằng khóa công cộng thuộc về một cá nhân nào đó RCA : Root Certificate Authority – Cơ quan chứng nhận nguồn RCA BCA : Brand Certificate Authority - Cơ quan chứng nhận nhãn hiệu GCA : Geo-political Certificate Authority - Cơ BCA quan chứng nhận theo địa lý chính trị CCA : Cardholder Certificate Authority - Cơ quan GCA chứng nhận người sở hữu card MCA : Merchant Certificate Authority - Cơ quan CCA MCA PCA chứng nhận người bán PCA : Payment Gateway Certificate Authority – Cơ quan chứng nhận cổng thanh toán Cách phân chia tầng lớp các cơ quan chứng nhận 13 21 June 2002 Security Issues
  14. Giao thức SET - Secure Electronic Transaction Protocol  Máy tính của người gửi 1. Thông điệp được đưa vào bộ ‘tiêu hóa’ thông tin (hay bộ đọc thông điệp - message digest). 2. Bộ tiêu hóa thông tin sẽ mã hóa với khóa chữ ký riêng của người gửi, và chữ ký số được tạo ra. 3. Nội dung thông điệp, chữ ký số và chứng nhận của người gửi được mã hóa với khóa đồng đẳng (symmetric key) được tạo ra bởi máy của người gửi cho từng giao dịch. Kết quả là một thông điệp được mã hóa. Giao thức SET dùng hệ Algarit DES thay vì RSA bởi vì DES có thể mã hóa nhanh hơn nhiều so với RSA. 4. Khóa đồng đẳng được mã hóa với khóa công cộng của người nhận vốn đã được gửi đến người gửi trước đó. Kết quả là một bức thư số được tạo ra. 14 21 June 2002 Security Issues
  15. Máy tính của người gửi Khóa chữ ký riêng của Message   người gửi Bộ đọc thông điệp Chữ ký số + Message +  Mã hóa Khóa đồng + đẳng Chứng nhận Thông điệp của người gửi được mã hóa  Chứng nhận Của người nhận Mã hóa Khóa trao đổi của Bao thư số người nhận 15 21 June 2002 Security Issues
  16. Giao thức SET  Máy tính của người nhận 5. Thông điệp được mã hóa và bao thư số được chuyển đến máy của người nhận thông qua Internet. 6. Bao thư số được giải mã với khóa trao đổi của người nhận. 7. Sử dụng khóa đồng đẳng, thông điệp được mã hóa có thể được tra về hiện trạng thông điệp, chữ ký số và chứng nhận của người gửi. 8. Để xác định tính toàn vẹn (integrity), chữ ký số được giải mã bời khóa công cộng của người gửi. 9. Thông điệp được thành thông điệp được giải mã. 10. Các thông điệp được giải mã đạt được ở các bước 8 & 9 được so sánh bởi người nhận nhằm xác định xem có thay đổi nào không trong quá trình di chuyển. Bước này xác định tính toàn vẹn của thông điệp. 16 21 June 2002 Security Issues
  17. Máy tính của người gửi Khoá trao đổi riêng của người gửi Giải mã  Bao thư số Thông điệp   Thông điệp được đọc Giải mã + Khóa đồng đẳng + Thông điệp  được mã Chứng nhận So sánh hóa Của Người gửi  Giải mã Khoá chữ ký công cộng Thông điệp được đọc Chữ ký số của người gửi 17 21 June 2002 Security Issues
  18. Bộ đọc IC Card Khách hàng Y Khách hàng X Với Ví điện tử Cơ quan chứng nhận Cửa hàng điện tử Người bán A Người bán B Cổng thanh toán Giao thức X.25 Loại credit card Giao thức SET được dùng trong TMĐT 18 21 June 2002 Security Issues
  19. SET so với SSL Secure Electronic Transaction (SET) Secure Socket Layer (SSL) Phức tạp Đơn giản SET phục vụ nhu cầu nhận thanh SSL là giao thức bảo mật tổng toán bằng credit card của người quát cho các trao đổi thông bán. điệp (mã hóa). Giao thức SET giấu thông tin về Giao thức SSL có thể dùng Credit card của khách hàng khỏi chứng nhận, nhưng nó không có người bán, và cũng giấu thông tin cổng thanh tóan. Vì vậy, người đối với ngân hàng, để bảo vệ bán cần nhận cả thông tin đặt quyền riêng tư của khách hàng. hàng lẫn thông tin về thẻ tín dụng và qui trình này do người bán quyết định. 19 21 June 2002 Security Issues