Hệ thống thanh toán điện tử (Electronic payment System EPS)

Tổng quan về EPS Thanh toán điện tử Electronic Payment là một hình thức thanh toán tiền giữa người mua và người bán dựa trên nền tảng công nghệ thông tin, trong đó sử dụng máy tính nối m

Trang 1

Đồ án môn: Bảo mật hệ thống thông tin GVHD: Ts Phạm Thị Bạch Huệ

HV: Huỳnh Thị Thu Nga – 1412007 Huỳnh Thị Tường Vi – 1412013

Electronic Payment

Systems (EPS)

Trang 2

Electronic Payment System

Nội dung báo cáo

1 Tổng quan về EPS

2 Các loại hình thanh toán trong EPS

3 Bảo mật trong EPS

Trang 3

1 Tổng quan về EPS

Thanh toán điện tử (Electronic Payment) là một hình thức thanh toán tiền giữa người mua và người bán dựa trên nền tảng công nghệ thông tin, trong đó sử dụng máy tính nối mạng để truyền các thông điệp điện tử (electronic message), chứng từ điện tử giúp cho quá trình thanh toán nhanh chóng, an toàn và hiệu quả.

Thanh toán điện tử nôm na là việc mua hàng trên

Internet bằng tiền ảo

Trang 4

Thanh toán điện tử nôm na là việc mua hàng trên

Internet bằng tiền ảo

Trang 5

Hệ thống thanh toán điện tử (Electronic Payment System – EPS) là hệ thống cho phép khách hàng có thể thanh toán sản phẩm và dịch vụ trực tuyến bằng cách sử dụng hệ thống tích hợp giữa phần cứng và phần mềm

Trang 6

Trang 7

Trang 8

2 Các loại hình thanh toán trong EPS

Phân chia theo phương tiện thanh toán:

 Thẻ thanh toán (Payment card)

 Tiền điện tử, ví điện tử (e-money/digital cash, e-cash)

 Vi thanh toán điện tử (Micropayment)

 Chuyển khoản điện tử (EFT- Electronic funds transfer)

 Séc điện tử

Trang 9

2.1 Thẻ thanh toán

Ưu: tiện lợi,

linh hoạt, an toàn và nhanh chóng

Khuyết: dễ bị

đánh cắp thẻ, đánh cắp mật khẩu, thẻ

thanh toán giả

Trang 10

Các thiết bị sử dụng trong thanh toán thẻ:

 Máy chà hóa đơn

 Máy cấp phép tự động POS

Trang 11

2.2 Tiền điện tử, ví điện tử

Tiền điện tử:

- Là tiền mặt được chuyển đổi thành một định dạng điện

tử đã được số hóa

- Do một đơn vị cá nhân tạo ra

- Thay thế tiền mặt trong quá trình mua hàng

- Có thể đổi thành tiền mặt dễ dàng

- PayPal, AlertPay, Moneybookers, Ngân lượng,

BaoKim, MoMo, VnMart…

Trang 12

Ví điện tử:

- Là một tài khoản điện tử chứa tiền điện tử trên Internet

- Microsoft NET Passport, Yahoo!Wallet, …

Trang 13

Quy trình thanh toán bằng ví điện tử

Trang 14

Vi thanh toán là

những khoản thanh toán cho các giao dịch

có giá trị nhỏ,

từ 1cent cho tới

dưới 10 USD

Dựa trên Token Dựa trên Tài khoản

2.3 Vi thanh toán điện tử (Micropayment)

Trang 15

Chuyển tiền điện tử (EFT-Electronic funds transfer)

là nghiệp vụ chuyển tiền, thanh toán cho các khách hàng trong cùng hệ thống hoặc khác hệ thống thông qua mạng máy tính và các phương tiện điện tử khác.

2.4 Chuyển khoản điện tử ( EFT- Electronic funds transfer)

Trang 16

2.5 Séc điện tử

Trang 17

Yêu cầu đối với vấn đề an toàn và bảo mật trong EPS:

Trang 18

3 Bảo mật trong EPS

Các vấn đề đặt ra đối với bảo mật trong EPS

- Bảo vệ người

dùng khi tham

Trang 19

3.1 Kiểm soát truy cập và xác thực:

Trang 20

3.2 Mã hóa khóa đối xứng (mã hóa khóa bí mật):

Trang 21

3.2 Mã hóa khóa đối xứng (mã hóa khóa bí mật):

- Ưu:

 Thủ tục mã hóa đơn giản

 Khối lượng tính toán nhỏ

 Tốc độ mã hóa và giải mã nhanh

- Khuyết:

 Dễ bị tấn công

 Không dùng cho mục đích xác thực (authentication) hay chống phủ định (non-repudiation) được

Trang 22

3.3 Mã hóa khóa bất đối xứng (mã hóa khóa công khai):

Trang 23

3.3 Mã hóa khóa bất đối xứng (mã hóa khóa công khai):

- Ưu:

 Độ an toàn và tin cậy cao

 Không cần phân phối khóa giải mã

 Gửi thông điệp mật an toàn trên đường truyền

 Tạo và cho phép nhận dạng chữ ký số nên được dùng để xác thực (authentication) hay chống phủ định (non repudiation)

- Khuyết:

 Khối lượng tính toán lớn

 Tốc độ mã hóa và giải mã chậm

Trang 24

3.4 Chữ ký điện tử:

Trang 25

Trang 26

- Ưu:

 Độ an toàn và tin cậy cao

 Gửi thông điệp mật an toàn trên đường truyền

 Xác thực (authentication) và chống phủ định (non repudiation)

- Khuyết:

 Khối lượng tính toán lớn

 Tốc độ mã hóa và giải mã chậm

Trang 27

3.5 Certificate (chứng nhận):

thiết lập sự tin tưởng nhau trong mối quan hệ giữa Client và Server

điện tử của người được cấp Certificate)

chứng nhận (CA - Certificate Authority)

Trang 28

3.5 Certificate (chứng nhận):

các thông tin khác của server được nó cấp chứng nhận

Ch ec

k C erti

Trang 29

3.6 Secure Sockets Layer (SSL):

ra một liên kết được mã hóa giữa máy chủ web và trình duyệt Liên kết này đảm bảo tất cả các dữ liệu trao đổi giữa máy chủ web và trình duyệt luôn được bảo mật và

an toàn

khóa bí mật sau đó được dùng để mã hóa dữ liệu

 SSL đã kết hợp những yếu tố: xác thực , riêng tư và toàn vẹn dữ liệu để thiết lập được một giao dịch an toàn

Trang 30

Trang 31

Trang 32

3.7 Secure Electronic Transmission (SET):

SET (Secure Electronic Transaction – Giao dịch điện tử an toàn) là một giao thức bảo mật khá toàn diện, sử dụng mật mã để cung cấp tính bảo mật cho thông tin, đảm bảo tính toàn vẹn trong thanh toán và cho phép xác thực các thực thể với nhau

Để xác thực, những người mua hàng và người bán háng được yêu cầu cần phải có các chứng chỉ số được cấp bởi các tổ chức được đảm bảo

Trang 33

 Thiết lập các giao dịch thanh toán có:

• Hỗ trợ sự tin cậy về thông tin

• Đảm bảo tính toàn vẹn cho các yêu cầu thanh toán

và các dịch vụ liên quan đến dữ liệu

• Có cơ chế xác thực giữa người bán hàng và người mua hàng với nhau

Trang 34

Trang 35

 Cơ chế của SET:

Trang 36

 Việc mã hóa trong SET: sử dụng hai phương

pháp :

• Mã hóa khóa đối xứng (DES)

• Mã hóa khóa bất đối xứng (RSA)

Trang 37

Trang 38

4 Các loại tấn công thường gặp

4.1 Virus :

 Virus ảnh hưởng tới các tệp chương trình

 Virus ảnh hưởng tới hệ thống

 Virus macro

Sự nguy hiểm của virus là ở khả năng tự nhân bản, rất khó để kiểm soát và diệt trừ toàn bộ

Trang 39

Trang 40

4.3 Con ngựa thành Trojan:

 Sự chết chóc được gieo rắc trong cái vỏ bọc đẹp đẽ

Sự nguy hiểm của Trojan là ở khả năng phá hoại bảo mật hệ thống, từ đó thâm nhập vào để gây ra các ảnh hưởng tiêu cực

Trang 41

4.4 Tấn công từ chối dịch vụ (DOS - Denial Of Service attack) :

 Chiếm băng thông mạng và làm hệ thống mạng bị ngập, khi đó hệ thống mạng sẽ không thể cung ứng dịch vụ khi có yêu cầu

 Ngắt kết nối giữa hai máy, ngăn chặn quá trình truy cập dịch vụ

 Chặn người dùng cụ thể truy cập dịch vụ

 Chặn dịch vụ không cho người dùng truy cập

Trang 42

4.5 Tấn công từ chối dịch vụ (DOS - Denial Of Service attack) :

 Hậu quả

Tài nguyên bị khan hiếm hoặc giới hạn

Băng thông của hệ thống mạng, bộ nhớ, ổ đĩa, CPU hay cấu trúc dữ liệu bị chiếm dụng

dẫn đến quá tải

Gây ảnh hưởng tới các hệ thống phục vụ cho mạng máy tính như hệ thống điều hòa, hệ

Trang 43

4.6 Sniffer (kẻ trộm trên mạng):

Một dạng của chương trình theo dõi, nghe trộm, giám sát sự di chuyển của thông tin trên mạng

SnoopingTamperingSpoofingHijackingPIN-guessing

Trang 44

4.7 Hacker (tội phạm máy tính): :

Truy cập trái phép vào một website, một

cơ sở dữ liệu hay hệ thống thông tin

Trang 45

Trang 46

Thank You

Định dạng
Số trang	46
Dung lượng	3,09 MB