HỌC PHẦN THANH TOÁN TRONG THƯƠNG MẠI ĐIỆN TỬ Giảng viên: ThS Nguyễn Như Phương Anh Huế, 10/2020 NỘI DUNG Chương TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ VÀ THANH TOÁN ĐIỆN TỬ Chương CÁC PHƯƠNG TIỆN THANH TOÁN TRONG THƯƠNG MẠI ĐIỆN TỬ Chương HỆ THỐNG THANH TOÁN ĐIỆN TỬ Chương AN NINH TRONG THANH TOÁN ĐIỆN TỬ Chương LỰA CHỌN GIẢI PHÁP TRONG THANH TOÁN ĐIỆN TỬ CHƯƠNG AN NINH TRONG THANH TOÁN ĐIỆN TỬ 4.1 Hệ thống an ninh thương mại điện tử 4.2 Lược đồ bảo mật hệ thống toán điện tử 4.3 Giới thiệu số giao thức giao dịch điện tử bảo mật 4.1 Hệ thống an ninh thương mại điện tử 4.1.1 Khái quát an ninh mạng ❖ Tạo lập kế hoạch an ninh mạng Điều quan trọng việc kiến tạo hệ thống an ninh mạng cần liệt kê danh mục ưu tiên công ty hệ thống an ninh Mỗi giải pháp an ninh có lợi rõ ràng bất lợi mạng cơng ty có danh mục khác điều cần thiết phải bảo vệ khác trật tự ưu tiên Do đó, giải pháp an ninh định phải thích ứng với mạng mà bảo vệ ❖ Cân an ninh khả xử lý Sự lựa chọn an ninh phù hợp với cơng ty cân vấn đề mà cơng ty cho quan trọng Ba vấn đề quan trọng hàng đầu TMĐT là: (1) mức độ an ninh; (2) tính đơn giản; (3) hiệu chi phí 4.1 Hệ thống an ninh thương mại điện tử 4.1.1 Khái quát an ninh mạng ❖ An ninh dựa giao thông (Traffic-based security) An ninh dựa giao thơng quy định dịng giao thơng qua mạng Chức mức an ninh để ngăn chặn kẻ cơng bên ngồi mạng khỏi việc xâm nhập vào mạng, chúng tiếp cận thông tin mật sử dụng mạng theo cách mà tính thống cơng ty bị xâm phạm An ninh mức sử dụng dạng kiểm soát thường xun lưu ý nhà quản lý mạng có khơng bình thường xảy mức ứng dụng An ninh dựa giao thông dạng an ninh chạy tảng mạng Chẳng hạn, người sử dụng hàng ngày khơng có tương tác nhiều với mức an ninh thường khơng có cảm nhận tồn 4.1 Hệ thống an ninh thương mại điện tử 4.1.1 Khái quát an ninh mạng ❖ An ninh dựa người sử dụng Là mức an ninh mà tất người sử dụng nhận biết diện Đây dạng an ninh đưa buộc người sử dụng phải nhập tên người sử dụng Password sử dụng hệ thống Mức an ninh cho phép nhà quản trị mạng kiểm soát liệu người sử dụng có khả xem xét thay đổi Sự phòng ngừa làm giảm đáng kể khả người sử dụng khơng có đạo đức phá hỏng liệu hoạt động hệ thống 4.1 Hệ thống an ninh thương mại điện tử 4.1.2 Vì cần có an ninh? ❖ Các phương tiện thông tin đưa nhiều câu chuyện khủng khiếp vấn đề an ninh điện tử làm cho công ty phải quan tâm tới vấn đề ❖ Mục đích giải pháp an ninh nhằm ngăn chặn việc lấy cắp, phá hủy can thiệp vào thông tin nhạy cảm Sự lo lắng an ninh công ty thường liên quan tới hai dạng: (1) Tính bí mật thơng tin (2) Tính thống cơng ty Nói cách khác, hệ thống an ninh sử dụng để ngăn chặn kẻ công lấy trộm phá hủy liệu tìm thấy mạng ngăn chặn kẻ công khỏi việc sử dụng mạng để làm hại đến uy tín cơng ty 4.1 Hệ thống an ninh thương mại điện tử 4.1.2 Vì cần có an ninh? ❖ Bảo vệ thơng tin bí mật - Đảm bảo liệu bí mật Các liệu phải đảm bảo khỏi cơng bên ngồi Chúng ta dễ dàng hình dung vấn đề nảy sinh đối thủ cạnh tranh truy nhập đọc tất hóa đơn doanh nghiệp Các liệu bí mật cần phải hạn chế (giới hạn) phạm vi công ty Chẳng hạn, hệ tệ hại trường hợp cơng ty tiếp cận vào file toán An ninh mạng phải đảm bảo việc sử dụng mạng hàng ngày không phá hỏng cách không cố ý liệu lưu trữ 4.1 Hệ thống an ninh thương mại điện tử 4.1.2 Vì cần có an ninh? ❖ Bảo vệ thơng tin bí mật - Đảm bảo an toàn mạng Cũng quan trọng liệu vật chất công ty lưu mạng vấn đề an ninh hệ thống mạng Lý lớn mức an ninh chỗ, thiếu việc kiểm sốt tồn mạng dẫn tới độ vênh (lỗ hổng) an ninh lớn Tính bí mật mạng hoạt động kiểm soát trục trặc Nếu kẻ công tiếp cận tới mạng bạn, số biện pháp an ninh phải thiết lập để đảm bảo kẻ cơng khơng có đồ đường dẫn hướng chi tiết tới thơng tin bí mật tới chi tiết định dạng khác bị tiếp cận phá hủy 4.1 Hệ thống an ninh thương mại điện tử 4.1.2 Vì cần có an ninh? ❖ Các dạng rủi ro liên quan đến tính bí mật thơng tin - Ngửi gói (Packet Sniffers) Một cách để phía bên ngồi giành lối tiếp cận tới mạng riêng cách ngăn chặn đọc gói tin mạng (network packets), chúng hàng loạt liệu chuyển nhanh nối tiếp nhau, hình thành chuỗi thơng tin đọc câu dài cho phép máy tính nối mạng trao đổi với Nếu kẻ xấu ngăn chặn gói này, điều tồi tệ xảy - Bắt chước IP Đây cách khác để kẻ cơng tiếp cận mạng Một bắt chước IP nảy sinh nguồn bên ngồi thâm nhập địa IP nội Trong bối cảnh này, mạng trở nên lẫn lộn gửi gói tin đến địa IP sai Mặt khác, gói tin khơng mã hóa, chúng dễ dàng bị đọc, cung cấp thông tin bí mật cho phía bên ngồi Hơn nữa, bối cảnh tồi tệ, kẻ cơng nhận tên người sử dụng thông tin password 10 4.2 Lược đồ bảo mật hệ thống tốn điện tử 4.2.2 Chữ ký số • Mối quan hệ khóa Nhờ mối liên hệ tốn học khóa cơng cộng khóa riêng, liệu mã hóa với khóa giải mã khóa Điều cho phép người gửi thơng điệp mã hóa cách dùng khóa riêng người gửi Bất kỳ người nhận xác nhận thơng điệp đến từ người gửi cách sử dụng khóa công cộng người gửi để giải mã thông điệp Chẳng hạn B mã hóa đoạn tư liệu biết, số điện thoại khóa riêng chuyển cho A Khi A giải mã thơng điệp, cách sử dụng khóa cơng cộng B so sánh kết với liệu biết, chắn thơng điệp mã hóa cách sử dụng khóa riêng B 27 4.2 Lược đồ bảo mật hệ thống toán điện tử 4.2.2 Chữ ký số • Sử dụng kỹ thuật số hóa thơng điệp Khi kết hợp với kỹ thuật số hóa thơng điệp, việc mã hóa sử dụng khóa riêng cho phép người sử dụng ký thơng điệp Một số hóa thông điệp giá trị tạo cho thơng điệp mang tính cho thơng điệp Một số hóa thơng điệp tạo cách đưa thơng điệp qua chức mã hóa cửa, tức nơi quay lại Khi số thơng điệp mã hóa dùng khóa riêng người gửi ghép thêm vào thông điệp gốc, kết gọi chữ ký số hóa thơng điệp Người nhận chữ ký số hóa chắn thơng điệp thực đến từ người gửi 28 4.2 Lược đồ bảo mật hệ thống toán điện tử 4.2.2 Chữ ký số • Ví dụ sử dụng chữ ký số hóa Giả sử B gõ máy tính số hóa thơng điệp mơ tả tài sản mã hóa khóa riêng tạo chữ ký điện tử thơng điệp sau chuyển thơng điệp chữ ký điện tử cho A Khi A nhận thơng điệp, gõ máy tính số hóa thơng điệp mơ tả tài sản giải mã chữ ký số hóa khóa cơng cộng B Nếu giá trị phù hợp, A biết thơng điệp ký việc sử dụng khóa riêng B khơng thể thay đổi ký Cặp khóa SET sử dụng cặp khóa công cộng/ riêng phân biệt để tạo chữ ký số hóa Do vậy, người tham gia SET sử dụng cặp khóa khơng đối xứng: cặp “trao đổi khóa” sử dụng q trình mã hóa giải mã cặp “chữ ký” cho việc tạo kiểm tra chữ ký số Lưu ý rằng, vai trị khóa cơng cộng khóa riêng đảo ngược q trình ký số hóa khóa riêng sử dụng để mã hóa (ký) khóa cơng cộng sử dụng để giải mã (kiểm tra chữ ký) 29 4.2 Lược đồ bảo mật hệ thống toán điện tử 4.2.3 Các chứng thực (xác nhận) Một chứng thực thường ngụ ý nói đến việc xác nhận nhân thân phát hành quan chứng thực bên thứ ba (third-party certificate authority – (CA) đáng tin cậy Một chứng thực bao gồm ghi thông tin số seri, tên người chủ sở hữu, chìa khóa cơng khai người chủ sở hữu (một cho việc trao đổi khóa bí mật với tư cách người nhận cho chữ ký số với tư cách người gửi), thuật toán sử dụng khóa này, loại hình chứng thực (người chủ sở hữu thẻ, người kinh doanh, hay cổng toán), tên CA chữ ký số CA Việc chứng thực củng cố thêm việc sử dụng giấy chứng nhận Sự cần thiết chứng thực: Trước bên sử dụng mã hóa khóa cơng cộng để tiến hành kinh doanh, bên muốn đảm bảo bên xác thực Trước A nhận thơng điệp với chữ ký số hóa B, muốn đảm bảo khóa cơng cộng thuộc B khơng phải thuộc cải trang B mạng mở Một cách để đảm bảo chắn khóa cơng cộng thuộc B phải nhận kênh đảm bảo trực tiếp từ B Tuy nhiên, hầu hết trường hợp, giải pháp không thực tế Một giải pháp thay cho việc truyền tải đảm bảo khóa sử dụng bên thứ ba ủy thác để xác nhận khóa công cộng thuộc B Bên thứ ba gọi Cơ quan chứng nhận (Certificate Authority – CA) 30 4.2 Lược đồ bảo mật hệ thống toán điện tử 4.2.3 Các chứng thực (xác nhận) CA u cầu B xuất trình CMND cho công chứng viên trước phát hành chứng nhận Sau B cung cấp chứng nhận dạng, quan cấp chứng nhận tạo thơng điệp chứa đựng tên B khóa công cộng Thông điệp gọi giấy chứng nhận, ký số hóa quan chứng nhận Nó chứa đựng thơng tin nhận dạng người chủ copy khóa cơng cộng người chủ Để đạt lợi ích tốt nhất, khóa cơng cộng quan chứng nhận nên nhiều người biết tốt 31 4.2 Lược đồ bảo mật hệ thống toán điện tử 4.2.3 Các chứng thực (xác nhận) • Cơ quan chứng thực (Certificate Authority – CA) Một quan chứng thực tổ chức công cộng tư nhân cố gắng đáp ứng nhu cầu dịch vụ bên thứ ba đáng tin cậy TMĐT Một CA hoàn thành tốt việc việc phát hành chứng thực số xác nhận cho số kiện đối tượng chứng thực Một CA chứng thực CA đáng tin cậy khác, tạo nên hệ thống cấp bậc từ thấp đến cao 32 4.2 Lược đồ bảo mật hệ thống toán điện tử 4.2.3 Các chứng thực (xác nhận) Dưới liệt kê 10 “mẹo” lựa chọn CA Ai sở hữu CA? Hãy tìm cơng ty tiếng có uy tín trung thực Các chứng thực chìa khóa xuất nào? Việc phải thực môi trường an tồn có sử dụng phần cứng chống giả mạo (tamper-resistant hardware) Các chứng thực phân phối nào? Gửi chìa khóa số chứng minh thư cá nhân (personal identification numbers – PIN) cách xa nhau, để chúng khỏi rơi nhầm vào tay người khác Các sách thể thức có phát hành website? Việc đem lại cho khách hàng tiềm đầu mối việc CA vận hành Các chứng thực thu hồi nào? Thu hồi nhanh chóng chứng thực bị nghi ngờ hay đánh cắp chống lại thất lạc giả mạo Quá trình gia hạn thêm chứng thực gì? Gia hạn hiệu lực thường xuyên làm tăng thêm tính bảo mật Người sử dụng chứng thực nào? Hãy đến với CA yêu cầu xác minh “mặt đối mặt” chứng minh thư photo Có kế hoạch khắc phục thảm họa không? Một CA bắt buộc phải có, tính sẵn có suốt ngày đêm (24/24h) bắt buộc CA có kiểm tốn độc lập khơng? Sự kiểm tra bên ngồi giúp trì tính trung thực dịch vụ 10 CA có chứng thực qua lại với CA khác hay khơng? Việc cho phép th bao có đối tác kinh doanh chứng thực CA khác Đây điều cần ý TMĐT 33 4.2 Lược đồ bảo mật hệ thống toán điện tử 4.2.3 Các chứng thực (xác nhận) • Phát hành chứng nhận Chứng nhận người có thẻ Các chứng nhận người có thẻ hoạt động đại diện điện tử thẻ tốn Vì chúng ký số hóa định chế tài chính, chúng khơng thể bị thay đổi bên thứ tạo định chế tài Một chứng nhận người có thẻ khơng chứa đựng số TK ngày hết hạn Thay thơng tin TK, giá trị bí mật biết phần mềm người có thẻ mã hóa cách dùng hệ giải mã chia nhỏ chiều Nếu số TK, ngày hết hạn giá trị bí mật biết, đường nối với chứng nhận chứng minh, thông tin rút cách nhìn vào chứng nhận Trong khn khổ nghị định SET, người có thẻ cung cấp thơng tin TK giá trị bí mật cho cổng tốn đường nối xác định Một chứng nhận phát hành cho người có thẻ định chế phát hành người có thẻ chấp nhận Bằng việc địi hỏi chứng nhận, người có thẻ cho thấy dự định thực thương mại thông qua phương tiện điện tử Chứng nhận chuyển cho người bán với đòi hỏi mua dẫn tốn mã hóa Cho tới nhận chứng nhận người có thẻ, người bán tin chắc, mức tối thiểu, số TK xác định định chế tài phát hành thẻ đại lý 34 4.2 Lược đồ bảo mật hệ thống tốn điện tử 4.2.3 Các chứng thực (xác nhận) • Phát hành chứng nhận Chứng nhận người bán Các chứng nhận người bán hoạt động thay điện tử cho việc chuyển thương hiệu toán xuất cửa sổ nhà kho (nơi bán hàng) – than decal đại diện thể người bán có mối liên hệ với định chế tài cho phép chấp nhận thương hiệu thẻ tốn Bởi chúng ký cách số hóa định chế tài người bán, chứng nhận người bán bị thay đổi bên thứ ba tạo định chế tài Các chứng nhận chứng thực định chế tài chấp nhận cung cấp đảm bảo người bán nắm giữ thỏa thuận chắn với người chấp nhận thẻ Một người bán phải có cặp chứng nhận để tham gia vào mơi trường SET, có nhiều cặp chứng nhận thương hiệu thẻ mà chấp nhận 35 4.2 Lược đồ bảo mật hệ thống toán điện tử 4.2.3 Các chứng thực (xác nhận) • Phát hành chứng nhận Chứng nhận cổng tốn Chứng nhận cổng tốn có người chấp nhận hay người xử lý chúng hệ thống xử lý ủy thác tiếp nhận thơng điệp Khóa mã hóa cổng mà người có thẻ nhận từ chứng nhận dùng để bảo vệ thơng tin TK người có thẻ Chứng nhận cổng toán phát hành cho người chấp nhận thương hiệu thẻ toán Chứng nhận người chấp nhận Một người chấp nhận định phải có chứng nhận để vận hành CA chấp nhận xử lý yêu cầu chứng nhận trực tiếp từ người bán qua mạng công cộng cá nhân Chứng nhận người phát hành Một người phát hành định phải có chứng nhận để vận hành CA chấp nhận xử lý yêu cầu chứng nhận trực tiếp từ người có thẻ qua mạng công cộng cá nhân 36 4.3 Giới thiệu số giao dịch điện tử bảo mật 4.3.1 Giao thức giao dịch điện tử bảo mật SET (Secure Electronic Transaction Protocol) Giao thức SET thiết kế nguyên thủy Visa MasterCard vào năm 1997 phát triển dần lên từ Giao thức SET đáp ứng yêu cầu bảo mật cho TMĐT giống SSL; xác thực, mã hóa, tính chân thực, khơng thối thác Ngồi ra, SET xác định hình thức thơng điệp, hình thức chứng thực, thể thức trao đổi thơng điệp Trong giao thức SET, có thực thể: người chủ sở hữu thẻ, người kinh doanh, quan chứng thực (CA), cổng nối toán Vai trò quan phát hành, quan nhận toán, quan nhãn hiệu vượt tầm đặc tính giao thức SET Vai trị cổng nối toán để kết nối Internet mạng độc quyền ngân hàng Mỗi thực thể tham gia cần chứng thực riêng Để giữ chứng thực khách hàng máy tính cá nhân hay thẻ IC (Integrated Circuit Card) hay ta, phần mềm gọi ví điện tử (electronic wallet), hay ví số (digital wallet), cần thiết Để kết nối ví điện tử với người kinh doanh khác nhau, khả liên vận hành đặc tính quan trọng cần phải đáp ứng 37 4.3 Giới thiệu số giao dịch điện tử bảo mật 4.3.1 Giao thức giao dịch điện tử bảo mật SET (Secure Electronic Transaction Protocol) Ví điện tử Giờ vấn đề phải lưu ví điện tử đâu Để đạt bảo mật hồn hảo, ví điện tử phải tải xuống máy tính cá nhân người mua Do tính liên vận hành ví điện tử người chủ sở hữu thẻ với phần mềm người kinh doanh điều bản, liên hiệp (consortium) công ty (Visa, MasterCard, JCB, American Express) thành lập công ty gọi SETCo (Secure Electronic Transaction LLC 1999) Công ty thực thử nghiệm liên vận hành phát hành Nhãn hiệu SET (SET Mark) xác nhận tính liên vận hành IBM, Netscape, Microsoft, VeriSign, Tandem MetaLand cung cấp ví số có khả liên vận hành 38 4.3 Giới thiệu số giao dịch điện tử bảo mật 4.3.1 Giao thức giao dịch điện tử bảo mật SET (Secure Electronic Transaction Protocol) Lưu giữ chứng thực Nếu khóa riêng khóa cơng khai tương ứng chứng thực lưu giữ thực máy tính cá nhân khách hàng, khách hàng sử dụng chứng thực máy tính Tuy nhiên, chứng thực lưu giữ thẻ IC, ví hoạt động thẻ IC chèn vào phận đọc gắn kèm vào máy tính Do đó, việc lưu giữ chứng thực thẻ IC phương pháp an toàn 39 4.3 Giới thiệu số giao dịch điện tử bảo mật 4.3.2 Giao thức Secure Socket Layer toán điện tử Cho dù SET giải pháp hồn hảo cho tốn điện tử an toàn, phiên tương đối đơn giản SSL sử dụng rộng rãi Đó giao thức SET phức tạp chứng thực không phân phối rộng rãi với cách thức ổn định Về mặt lý thuyết, giao thức SSL (Netscape 1996) sử dụng chứng thực song khơng bao gồm khái niệm cổng nối toán Những người kinh doanh cần nhận thông tin việc đặt hàng lẫn thơng tin thẻ tín dụng trình cầm giữ khởi phát người kinh doanh Giao thức SET, trái lại, giấu thông tin thẻ tín dụng khách hàng người kinh doanh giấu thông tin đơn hàng ngân hàng để bảo vệ riêng tư Thiết kế gọi chữ ký kép (dual signature) Cho đến SET trở nên thông dụng, phiên đơn giản SSL lựa chọn đắn 40 THANK YOU