BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KĨ THUẬT MẬT MÃ BÁO CÁO BÀI TẬP LỚN MƠN AN TỒN INTERNET & THƯƠNG MẠI ĐIỆN TỬ ĐỀ TÀI TÌM HIỂU VỀ GIAO THỨC SSL TRONG THƯƠNG MẠI ĐIỆN TỬ Giảng viên hướng dẫn: Lớp: Nhóm sinh viên thực hiện: Bùi Việt Thắng L02 Phạm Văn Được Mã Văn Hùng Trần Hồng Quân Nguyễn Hoàng Tuấn Hà Nội, 2021 Mục Lục Danh mục hình vẽ Danh mục từ viết tắt SSL: Secure Socket Layer TCP: Transmission Control Protocol HTTP: Hypertext Transfer Protocol SMTP: Simple Mail Transfer Protocol TLS: Transport Layer Security CA: Certificate authority PCT: Private Communication Technology VPN: Virtual Private Network DES: Data Encryption Standard MAC: Medium access control Chương Tổng quan SSL 1.1 Tìm hiểu SSL SSL (Secure Socket Layer) giao thức để cung cấp dịch vụ bảo mật cho lưu lượng liệu kênh truyền, sử dụng tổ hợp nhiều giải thuật nhằm mã hóa để đảm bảo q trình trao đổi thơng tin mạng bảo mật Việc mã hóa liệu diễn cách suốt, hỗ trợ nhiều giao thức khác chạy giao thức TCP Việc kết nối Web browser tới điểm mạng Internet qua nhiều hệ thống độc lập mà bảo vệ với thơng tin đường truyền Không kể người sử dụng lẫn Web server có kiểm soát đường liệu hay kiểm sốt liệu có thâm nhập vào thông tin đường truyền Để bảo vệ thông tin mật mạng Internet hay mạng TCP/IP nào, SSL kết hợp yếu tố sau để thiết lập giao dịch an toàn: - Xác thực: đảm bảo tính xác thực trang mà bạn làm việc đầu kết nối Cũng vậy, trang Web cần phải kiểm tra tính xác thực người sử dụng - Mã hố: đảm bảo thơng tin khơng thể bị truy cập đối tượng thứ ba Để loại trừ việc nghe trộm thơng tin “nhạy cảm” truyền qua Internet, liệu phải mã hoá để khơng thể bị đọc người khác ngồi người gửi người nhận - Toàn vẹn liệu: đảm bảo thơng tin khơng bị sai lệch phải thể xác thơng tin gốc gửi đến Với việc sử dụng SSL, Web site cung cấp khả bảo mật thông tin, xác thực toàn vẹn liệu đến người dùng SSL tích hợp sẵn vào browser Web server, cho phép người sử dụng làm việc với trang Web chế độ an toàn Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa xuất trạng thái cửa sổ browser dòng “http” hộp nhập địa URL đổi thành “https” Một phiên giao dịch HTTPS sử dụng cổng 443 thay sử dụng cổng 80 dùng cho HTTP SSL sử dụng phổ biến Web, Mail, Ftp Giao thức SSL phát triển Netscape, ngày giao thức SSL sử dụng rộng rãi World Wide Web việc xác thực mã hóa thơng tin client sever Tổ chức IETF (Internet Engineering Task Force ) chuẩn hóa SSL đặt lại TLS (Transport Layer Security) Mặc dù ó thay đổi tên TLS phiên SSL Phiên TLS 1.0 tương đương với phiên SSL 3.1 Tuy nhiên SSL thuật ngữ sử dụng phổ biến SSL thiết kế giao thức riêng cho vấn đề bảo mật hỗ trợ cho nhiều ứng dụng Giao thức SSL hoạt động bên TCP/IP bên giao thức ứng dụng tầng cao HTTP (Hyper Text Transport Protocol), IMAP ( Internet Messaging Access Protocol) FTP (File Transport Protocol) SSL sử dụng để hỗ trợ giao dịch an toàn cho nhiều ứng dụng khác Internet sử dụng cho giao dịch Internet SSL giao thức đơn lẻ mà tập thủ tục chuẩn hóa để thực nhiệm vụ bảo mật sau - Xác thực Server: Cho phép người sử dụng xác thực server muốn kết nối Lúc này, phía browser sử dụng kỹ thuật mã hóa cơng khai để chắn certificate public ID server có giá trị cấp phát CA (Certificate Authority) danh sách CA đáng tin cậy Client Điều quan trọng người dùng - Xác thực Client: Cho phép phía server xác thực người sử dụng muốn kết nối Phía server sử dụng kĩ thuật mã hóa cơng khai để kiểm tra xem Certificate Public ID server có giá tị hay khơng cấp phát CA danh sách CA đáng tin cậy server không Điều quan trọng nhà cung cấp - Mã hóa kết nối: Tất thơng tin trao đổi client server mã hóa đường truyền nhằm nâng cao khả bảo mật Điều quan trọng bên có giao dịch mang tính riêng tư Ngồi tất liệu gửi kết nối SSL mã hóa cịn bảo vệ nhờ chế tự động phát xáo trộn, thay đổi liệu Cho đến nay, cõ phiên SSL: - SSL 1.0: sử dụng nội Netscape Communications Nó chứa số khiếm khuyết nghiêm trọng không tung bên - SSL 2.0: kết nhập vào Netscape Communications 1.0 đến 2.x Nó có số điểm yếu liên quan đến thân cụ thể công đối tượng trung gian Trong nỗ lực nhằm dùng không chắn công chúng bảo mật SSL, Microsoft giới thiệu giao thức PCT (Private Communication Technology) cạnh tranh lần tung Internet Explorer vào năm 1996 - SLL 3.0: Netscape Communications phản ứng lại thách thức PCT Microsoft cách giới thiệu SSL 3.0 vốn giải vấn đề SSL 2.0 thêm số tính Vào thời điểm này, Microsoft nhượng đồng ý hỗ trợ SSL tất phiên phần mềm dựa vào TCP/IP (mặc dù phiên riêng hỗ trợ PCT cho tương thích ngược) 1.2 Lợi ích sử dụng giao thức SSL - Xác thực website thiết lập kết nối an toàn phiên giao dịch Internet - Nâng cao hình ảnh, thương hiệu uy tín doanh nghiệp bảo mật an toàn - Bảo mật giao dịch khách hàng doanh nghiệp, dịch vụ truy nhập hệ thống - Bảo mật webmail ứng dụng Outlook Web Access, Exchange, Office Communication Server - Bảo mật ứng dụng ảo hóa Citrix Delivery Platform ứng dụng điện toán đám mây - Bảo mật dịch vụ FTP - Bảo mật truy cập control panel - Bảo mật dịch vụ truyền liệu mạng nội bộ, file sharing, extranet - Bảo mật VPN Access Servers, Citrix Access Gateway … Website không xác thực bảo mật ẩn chứa nguy bị xâm nhập liệu, dẫn đến hậu khách hàng không tin tưởng sử dụng dịch vụ Chương 2: Cấu trúc chế hoạt động giao thức SSL 2.1 Cấu trúc SSL SSL giao thức tầng (layered protocol), bao gồm giao thức sau: - Giao thức SSL Handshake - Giao thức SSL Change Cipher Spec - Giao thức SSL Alert - SSL Record Layer Bốn giao thức phân làm phần là: - Handshake protocols layer - SSL record layer Vị trí giao thức trên, tương ứng với mơ hình TCP/IP minh hoạ theo hình sau: Hình 2.1: Giao thức SSL mơ hình TCP/IP Theo biểu đồ trên, SSL nằm tầng ứng dụng giao thức TCP/IP Do đặc điểm này, SSL dùng hầu hết hệ điều hành hỗ trợ TCP/IP mà không cần phải chỉnh sửa nhân hệ thống ngăn xếp TCP/IP Điều mang lại cho SSL cải tiến mạnh mẽ so với giao thức khác IPSec (IP Security Protocol) Vì giao thức địi hỏi nhân hệ điều hành phải hỗ trợ chỉnh sửa ngăn xếp TCP/IP 2.2 Các giao thức giao thức SSL Hình 2.2: Các giao thức giao thức SSL Thực tế giao thức SSL giao thức đơn mà giao thức 2.2.1 Handshake Protocol Handshake protocol giao thức SSL phức tạp giao thức chịu trách nhiệm thiết lập phục hồi lại phiên làm việc an tồn giao thức có chức sau: - Authentication (thẩm định): Xác nhận server cho client, tùy chọn, xác thực client thông qua giấy chứng nhận(certificates) public private keys - Giấy chứng nhận hình thức nhận dạng kỹ thuật số ban hành tổ chức có thẩm quyền cấp giấy chứng nhận (CA), chứa thơng tin nhận diện, thời gian hiệu lực, khóa cơng khai, serial, chữ ký kĩ thuật nhà phát hành Hình 2.3: Server client đăng ký giấy chứng nhận từ CA - Với mục đích xác thực, Handshake protocols sử dụng giấy chứng nhận X.509 để xác minh danh tính bên nắm giữ giấy chứng nhận, đồng thời Handshake protocols sử dụng X.509 để thực việc sau: + Tham gia vào trình băm liệu.trong trình private key CA cung cấp thuật tốn băm sử dụng vào q trình tạo giá trị băm (MAC) + Thiết lập độ dài key 512 bit, 1024 bit Độ dài key tác động đến mã hóa liệu, key có độ dài lớn việc mã hóa liệu lâu bù đảm bảo khả bảo mật liệu ngược lại Các thuật tốn mã hóa RSA DSA thường sử dụng key 512 bit, 1024 bit 2018 bit Hình 2.4: Quá trình tạo giấy chứng (X.509) - CA (Certificate authority) bên thứ ba đáng tin cậy CA xác nhận danh tính bên yêu cầu cấp giấy chứng nhận (thường user máy tính), sau cấp giấy chứng nhận, public keys cho bên yêu cầu, CA gia hạn, thu hồi giấy chứng nhận cần thiết Hiện có nhiều tổ chức cung cấp giấy chứng nhận là: - StartCom,Cacert tổ chức chuyên cung cấp giấy chứng nhận miễn phí - Đối với Verisign,Comodo,DigiCert,Entrust,GlobalSign… thu phí - Chức xác thực thực phần là: + Xác thực Server: Cho phép người sử dụng xác thực server muốn kết nối Lúc phía client sử dụng thuật tốn cơng khai để giấy chứng nhận(certificate) public ID server có giá trị cấp phát CA danh sách CA đáng tin cậy Client Điều quan trọng người sử dụng Ví dụ gửi mã số credit card qua mạng người dùng thực muốn kiểm tra server nhận thơng tin có server mà họ định gửi đến hay khơng Hình 2.5: Client xác thực Server + Xác thực client: Cho phép phía server xác thực người dùng muốn kết nối Phía server sử dụng kỹ thuật mã hóa cơng khai để kiểm tra xem Certificate public ID server có giá trị hay khơng cấp phát CA đáng tin cậy server không Điều quan trọng nhà cung cấp Ví dụ ngân hàng định gửi thông tin tài mang tính bảo mật tới khách hàng họ muốn kiểm tra định danh người nhận Hình 2.6: Server xác thực Client - Trong kết nối logic thiết lập client server ngược lại tham số sau thỏa thuận + Version: phiên SSL mà hai bên server client dùng + Random: liệu chứa tem thời gian 32 bít số ngẫu nhiên dài 28 byte + Session ID: Định danh cho phiên làm việc server client + Peer certificate: chứng nhận X.509 + CipherSuite: danh sách thuật toán mã hoá phương pháp trao đổi khoá mà phía client hỗ trợ + Premaster secret:Được tạo từ Cirtificate a Premaster Secret, mã hóa public key (trong cirtificate).Nó dùng để tạo Master Secret, master secret dùng để tạo session key mã hóa liệu phiên làm việc server client + Server public key: key công khai server, client dùng key để mã hóa MAC client, server dùng private key để giải mã nhằm xác thực liệu đến + Server private key: nói key dùng để giải mã MAC + Client public key: : key công khai client, server dùng key để mã hóa MAC server, client dùng private key để giải mã nhằm xác thực liệu đến + Client private key: dùng để giải mã liệu MAC để xác thực thông tin server + Server write key: session key server dùng để mã hóa liệu, client dùng key để giải mã liệu mà client gửi tới + Server write key: session key server dùng để mã hóa liệu, client dùng key để giải mã liệu + Sequence number (số thứ tự): server client quản lý cách riêng rẽ, số thứ tự để đánh số thông điệp gửi nhận cho kết nối 2.2.2 Change CipherSpec Protocol Đây giao thức SSL đơn giản Nó chứa thơng điệp mang giá trị Mục đích thông điệp làm chuyển trạng thái phiên từ “đang chờ” (pending) sang “bền vững” (fixed) Ví dụ bên qui ước giao thức sử dụng Cả client server phải gửi thông điệp loại cho bên đối tác, sau trao đổi xong coi hai bên đồng ý với 2.2.3 Alert Protocol Alert Protocol bên sử dụng để mang thông điệp phiên liên quan tới việc trao đổi liệu hoạt động giao thức Mỗi thông điệp giao thức gồm byte Byte thứ chứa hai giá trị warning (1) fatal (2) xác định tính nghiêm trọng thơng điệp Khi bên gửi thơng điệp có giá trị bít fatal (2) phiên làm việc bên kết 10 thúc Byte thông điệp chứa mã lỗi xảy phiên giao dịch SSL 2.2.4 SSL Record Protocol SSL Record Protocol sử dụng để trao đổi tất kiểu liệu phiên bao gồm thông điệp, liệu giao thức SSL khác liệu ứng dụng SSL Record Protocol liên quan đến việc bảo mật đảm bảo tồn vẹn liệu Mục đích SSL Record Protocol thu nhận thông điệp mà ứng dụng chuẩn bị gửi, phân mảnh liệu cần truyền, đóng gói, bổ sung header tạo thành đối tượng gọi ghi (record), ghi mã hố truyền giao thức TCP Trong mơ tả RFC 2246 Record Layer có chức sau:  Tập hợp mảng liệu từ ứng dụng thành khối để quản lý (và tập hợp lại liệu đến chuyển đến lớp ứng dụng)  Nén giải nén liệu chuyển đến  Sử dụng Message Authentication Code (MAC) để xác minh liệu đến  Mã hoá liệu băm giải mã liệu đến 2.3 Các thuật tốn mã hóa Tất thông tin trao đổi client server mã hóa đường truyền nhằm nâng cao khả bảo mật Điều quan trọng hai bên có giao dịch mang tính riêng tư Ngồi ra, tất liệu gửi kết nối SSL mã hố cịn bảo vệ nhờ chế tự động phát xáo trộn, thay đổi liệu.( thuật tốn băm- hash algorithm) SSL hỗ trợ nhiều thuật toán mã hoá Các thuật toán mã hố (cryptographic algorithm hay cịn gọi cipher) hàm toán học sử dụng để mã hoá thơng tin SSL áp dụng thuật tốn để thực chứng thực server client, truyền tải certifitaces thiết lập khoá phiên giao dịch (sesion key) Client server hỗ trợ mật mã (cipher suite) khác tuỳ thuộc vào nhiều yếu tố phiên SSL dùng, sách tổ chức độ dài khố mà họ cảm thấy an toàn, điều liên quan đến mức độ bảo mật thông tin Các thuật toán mã hoá xác thực SSL sử dụng bao gồm nhiều loại tuỳ theo phiên SSL hỗ trợ chúng thuộc kiểu mã hố: 2.3.1 Kiểu mã hóa đối xứng Phương pháp mã hoá đối xứng phương pháp dùng khoá riêng, nghĩa bên gửi bên nhận phải biết khóa Vấn đề phương pháp bên gửi bên nhận phải trao đổi khóa cách an tồn Ví dụ: Khi người dùng A có thơng tin quan trọng muốn gửi cho người dùng B có nội dung “tài khoản ngân hàng son 15345” chẳng hạn A muốn mã hoá 11 liệu trước gửi cho B, A sử dụng khố ví dụ “key 1” chẳng hạn tiến hành mã hố thành chuỗi “jgsdfsljfdfjdeue” Khi B nhận thơng tin từ A gửi cho dùng khố “key 1” để giải mã thơng tin mã hố thành liệu có ý nghĩa mà A gửi cho Hình 2.7: Qúa trình sử dụng key đối xứng Các thuật toán thường sử dụng kiểu mã hóa đối xứng : - DES - Data Encryption Standard : DES kỹ thuật bảo mật khóa riêng dùng thuật tốn để mã hóa theo khối 64-bit với khóa 56-bit Thuật tốn nầy giải thích mục “Cryptography” Khóa 56-bit cho phép khoảng triệu mũ tổ hợp khác Ngoài ra, khối dịng liệu mã hóa biến dạng khóa khác nhau, làm khó phát sơ đồ mã hóa thơng điệp dài - DES có giai đoạn: Hình 2.8: Các giai đoạn DES 12 + Giai đoạn 1: Hoán vị 64 bit khối + Giai đoạn 2: ứng dụng đưa thao tác 16 vòng 64 bit + Giai đoạn : Hoán vị 64 bit sử dụng nghịch đảo hoán vị gốc - Triple-DES thuật toán mã hoá DES ba lần - SKIPJACK thuật toán khoá đối xứng phân loại thực phần cứng Fortezza, sử dụng phủ Mỹ 2.3.2 Kiểu mã hóa bất đối xứng Theo phương pháp , người có cặp khóa, khóa bí mật khóa cơng khai Bên gởi mã hóa thơng điệp khóa cơng khai bên nhận thơng điệp nầy giải mã khóa bí mật bên nhận Như vấn đề trao đổi khóa giải khóa thơng báo cơng khai Thuật tốn mã hóa bất đối xứng - Người ta chứng minh tồn số P, Q với P# : + Lấy hai số, p q, nhân chúng n = pq; n gọi môđun + Chọn số e nhỏ n, e (p-1)(q-1) khơng có ước số cơng cộng khác ngồi + Tìm số khác d, mà (ed-1) ước số (p-1)(q-1) Giá trị e d gọi số mũ chung số mũ riêng d = e-1 mod ((p-1)*(q-1)) + Khóa cơng cộng cặp (n,e) + Khóa riêng (n,d) + Mã hoá c=me mod n + Giả mã m=cd mod n - Ví dụ : + Chọn p=7 q=11, n=7*11=77 + (p-1)*(q-1)= 6*10=60, e=13 + d =13-1 mod 60 ->13*d mod 60 = mod 60, d = 37 Giả sử số gửi vào m = hế thống mã hoá thành : c = 713 mod 77 =35 giải mã m= 3537 mod 77 =7 Minh họa: Khi mã hoá liệu với P người ta đem kết thu giải mã với Q thu liệu ban đầu ngược lại Hình 2.9: Quá trình sử dụng key bất đối xứng Với quy trình người dùng sử dụng cơng nghệ mã hố cần khố mà thơi Ở người dùng A sử dụng cơng nghệ mã hố nên A có: 13 - Khố P(A) gọi public key khố cơng khai người dùng khác biết sử dụng khố - Khoá Q(A) gọi private key khoá khố bí mật có A biết - Tương tự B Vì A gửi gói tin Data tới B sử dụng P(B) B để mã hoá cho kết Data’ Khi B thu ‘Data’ dùng private key (Q(B)) để giải mã liệu thu Data ban đầu Hình 2.10: Quá trình sử dụng key bất đối xứng người dùng A B - Các thuật tốn thường sử dụng kiểu mã hóa bất đối xứng : + SHA-1 - thuật toán hàm băm an tồn, phát triển sử dụng phủ Mỹ + RSA key exchange - thuật toán trao đổi khoá cho SSL dựa thuật toán RSA + MD5 - thuật toán tạo giá trị “băm” (message digest), phát minh Rivest + RSA key exchange - thuật toán trao đổi khoá cho SSL dựa thuật toán RSA SSL sử dụng kết hợp loại mã hóa đối xứng khơng đối xứng, mã hóa đối xứng dùng để mã hóa số lượng lớn liệu truyền nhanh mã hóa khơng đối xứng dùng để chứng thực trao đổi khóa 2.3.3 Hash Algorithms (Băm liệu) Thuật toán băm thuật ngữ bảo mật dùng để khả tóm tắt liệu thành chuỗi ký tự có độ dài cố định.Chuỗi kết gọi thơng diệp tóm lược(message digest) vân tay số(digital fingerprint) , kích thước kết sau băm nhỏ liệu ban đầu Hash(băm) tương tự dấu vân tay, dấu vân tay cá nhân, tất nhiên nhỏ người Hashing sử dụng để xác thực thiết lập toàn vẹn liệu trình truyền liệu Hai thuật toán băm phổ biến Message Digest 5(MD5) thuật toán hash tiêu chuẩn 1(SHA-1) MD5 tạo giá trị băm 128- bit SHA-1 tạo giá trị 160-bit 14 2.4 Cơ chế hoạt động giao thức SSL 15 Hình 2.11: Cơ chế hoạt động SSL Giao thức SSL sử dụng kết hợp loại mã hóa đối xứng cơng khai Sử dụng mã hóa đối xứng nhanh nhiều so với mã hóa cơng khai truyền liệu, mã hóa cơng khai lại giải pháp tốt trình xác thực Một phiên làm việc SSL thường bắt đầu trình “bắt tay” hai bên (SSl handshake Các bước trình “bắt tay” tóm tắc sau: - B1:Client gửi cho server số phiên SSL dùng, tham số thuật toán mã hoá, liệu ngẫu tạo nhiên (đó digital signature) số thông tin khác mà server cần để thiết lập kết nối với client - B2: Server gửi cho client số phiên SSL dùng, tham số thuật toán mã hoá, liệu tạo ngẫu nhiên số thông tin khác mà client cần để thiết lập kết nối với server Ngoài server gửi certificate đến client, yêu cầu certificate client cần - B3: Client sử dụng số thông tin mà server gửi đến để xác thực server Nếu server khơng xác thực người sử dụng cảnh báo kết nối không thiết lập Còn xác thực server phía client thực tiếp bước - B4: Sử dụng tất thông tin tạo giai đoạn bắt tay trên, client (cùng với cộng tác server phụ thuộc vào thuật toán sử 16 - - - dụng) tạo premaster secret cho phiên làm việc, mã hoá khố cơng khai (public key) mà server gửi đến certificate bước 2, gửi đến server B5: Nếu server có u cầu xác thực client, phía client đánh dấu vào phần thông tin riêng liên quan đến trình “bắt tay” mà hai bên biết Trong trường hợp này, client gửi thơng tin đánh dấu certificate với premaster secret mã hoá tới server B6: Server xác thực client Trường hợp client không xác thực, phiên làm việc bị ngắt Còn client xác thực thành công, server sử dụng khố bí mật (private key) để giải mã premaster secret, sau thực số bước để tạo master secret B7: Client server sử dụng master secret để tạo session key, khoá đối xứng sử dụng để mã hố giải mã thơng tin phiên làm việc kiểm tra tính tồn vẹn liệu B8: Client gửi lời nhắn đến server thông báo message mã hoá session key Sau gửi lời nhắn mã hố để thơng báo phía client kết thúc giai đoạn “bắt tay” B9: Server gửi lời nhắn đến client thông báo message mã hoá session key Sau gửi lời nhắn mã hố để thông báo server kết thúc giai đoạn “bắt tay” B10: Lúc giai đoạn “bắt tay” hoàn thành, phiên làm việc SSL bắt đầu Cả hai phía client server sử dụng session key để mã hố, giải mã thơng tin trao đổi hai bên kiểm tra tính tồn vẹn liệu Chương Ứng Dụng SSL Trong Hệ Thống Thanh Toán 3-D Secure 3.1 Ưu, nhược điểm SSL thương mại điện tử - Ưu điểm: + Dễ sử dụng cho người dùng cuối thương mại điện tử Chủ thẻ sử dụng SSL hồn tồn minh bạch tích hợp sẵn trình duyệt web sử dụng phổ biến người bán triển khai SSL mà khơng cần thay đổi mơ hình tốn họ theo cách + Hệ thống không phức tạp, dẫn đến tác động tối thiểu đến tốc độ giao dịch - Nhược điểm: + Người bán xác định chủ thẻ cách đáng tin cậy Trong trường hợp người tiêu dùng sử dụng thẻ tín dụng khơng toán để thực giao dịch thương mại điện tử, người bán phải chịu trách nhiệm hoàn trả khoản phí giao dịch 'thẻ khơng có mặt' (Caunter, 2001; Treese Stewart, 1998) + Vì SSL bảo vệ liên kết giao tiếp người tiêu dùng người bán, khơng có tác dụng để bảo vệ thơng tin nhạy cảm chủ thẻ lưu trữ máy chủ người bán Do đó, người bán cần thực biện pháp bảo mật bổ sung để bảo vệ tính bí mật thơng tin + Thương mại điện tử dựa SSL cho phép người bán xem thơng tin tốn người tiêu dùng, gây lo ngại bảo mật cho chủ thẻ 17 3.2 Kiến trúc hệ thống toán điện tử 3-D Những người tham gia Trong hệ thống tốn điện tử (Hassler, 2001), có bốn loại người tham gia chính, người tiêu dùng, người bán, người phát hành người mua Các vai trò yêu cầu hệ thống tốn dựa 3D Ngồi ra, cần phải có cổng toán, tổ chức chịu trách nhiệm cung cấp quyền truy cập vào chức ủy quyền tốn để nắm bắt thơng tin tốn trao đổi tài trực tuyến Vai trị người tham gia: - Người tiêu dùng (C) - Tổ chức mua sản phẩm dịch vụ từ chúng qua Internet - Người bán (M) - Tổ chức bán sản phẩm dịch vụ cho người tiêu dùng qua Internet - Người phát hành (I) - Tổ chức phát hành thẻ tín dụng cho người tiêu dùng phản hồi yêu cầu toán trực tiếp từ người mua thơng qua cổng tốn - Người mua (A) - Tổ chức chuyển tiếp yêu cầu toán từ người bán đến nhà phát hành thơng qua cổng tốn 3.3 Three Domain Secure (3-D Secure) Hệ thống toán 3-D Secure tích hợp SSL với mơ hình 3D Như đề cập trên, sử dụng đơn giản để bảo vệ liên kết chủ thẻ-người bán, SSL/TLS không cung cấp xác minh chủ thẻ, điều dẫn đến gian lận thẻ tín dụng phía người tiêu dùng Tích hợp kiến trúc 3D với SSL giúp giải vấn đề 3-D Secure, ban đầu gọi 3D SSL, phát triển Visa Trong 3-D Secure, cổng toán cung cấp giao diện hệ thống toán người bán/người mua mạng toán độc quyền Visa VisaNet, phải triển khai miền người mua (Visa 3-D Secure, 2002b) Người bán chịu trách nhiệm cài đặt Trình cắm SSL Merchant (MPI) máy chủ họ, thường lệ họ muốn triển khai SSL để bảo vệ thông tin liên lạc người tiêu dùng người bán Đối với Bảo mật 3-D, Bộ KH & ĐT bắt buộc phải có chức bổ sung để xử lý thông tin liên lạc với thư mục Visa tập trung (GPayments (2001; Gpayments, 2002) Trong miền Nhà phát hành, công ty phát hành thẻ yêu cầu trì máy chủ đặc biệt gọi Máy chủ AccessControl (ACS) ACS sử dụng để hỗ trợ xác thực chủ thẻ Thư mục Visa máy chủ miền Khả tương tác, sử dụng phép liên lạc máy chủ người bán công ty phát hành thẻ Để bảo vệ tính bảo mật thông tin liên lạc thực thể khác nhau, 3-D Secure yêu cầu liên kết sau bảo vệ SSL / TLS: chủ thẻ-người bán, chủ thẻ-ACS, người bán-Visa Directory Visa Directory-ACS, Visa 3-D Bảo mật (2002b) Hình 2.1 cho thấy 3-D Secure hoạt động (Visa 3-D Secure, 2002a; Visa 3-D Secure, 2002b; Wrona cộng sự, 2001) (xem thêm phần giải thích bên hình) Các bước đánh số hiển thị hình giải thích bên Trong 18 phần giải thích này, C, M, I, A VDir biểu thị danh mục Chủ thẻ, Người bán, Nhà phát hành, Người mua Visa Hình 3.1 Quy trình giao dịch 3-D Secure C-M: Chủ thẻ gửi yêu cầu toán (CR) cho người bán chi tiết giao dịch định Trong trình này, tất thông tin mua hàng truyền đến máy chủ người bán bảo vệ SSL / TLS M-VDir: Sau thông tin mua hàng truyền đến máy chủ người bán, Bộ KH & ĐT máy chủ người bán gửi yêu cầu đến thư mục Visa cho URL ACS tổ chức phát hành thẻ VDir - E: Thư mục Visa kiểm tra tính hợp lệ thẻ truy vấn người tham gia thẻ chương trình Bảo mật 3-D với ACS máy chủ nhà phát hành I-VDir: Nhà phát hành gửi tin nhắn xác nhận (CM) đến danh bạ Visa xác nhận tính hợp lệ chi tiết thẻ VDir-M: URL ACS tổ chức phát hành (LACS) gửi đến Bộ KH & ĐT M-C-I: Bộ KH & ĐT chuyển hướng trình duyệt chủ thẻ đến ACS nhà phát hành 19 I - C: ACS nhà phát hành yêu cầu thông tin xác thực bí mật (SA), chẳng hạn tên sử dụng mật khẩu, từ chủ thẻ C-I: Chủ thẻ chuyển SA vào trình duyệt PC mình, từ đặt thành ACS nhà phát hành I-C-M: Nếu trình xác thực chủ thẻ thành công, ACS nhà phát hành chuyển hướng trình duyệt chủ thẻ trở lại MPI gửi xác minh tốn có chữ ký nhà phát hành M-A: Người bán chuyển thông tin chi tiết giao dịch cho người mua để yêu cầu ủy quyền tốn (PA) giao dịch Internet 'thơng thường' Đ-I: Người mua gửi yêu cầu ủy quyền toán (PAR) cho tổ chức phát hành qua Visanet I - A: Người phát hành phản hồi cách gửi PA cho người mua A - M: Bên mua gửi lại chi tiết PA cho bên bán M-I: Người bán xác nhận giao dịch xuất biên lai cho chủ thẻ, 20 ... động giao thức SSL 2.1 Cấu trúc SSL SSL giao thức tầng (layered protocol), bao gồm giao thức sau: - Giao thức SSL Handshake - Giao thức SSL Change Cipher Spec - Giao thức SSL Alert - SSL Record Layer... TLS phiên SSL Phiên TLS 1.0 tương đương với phiên SSL 3.1 Tuy nhiên SSL thuật ngữ sử dụng phổ biến SSL thiết kế giao thức riêng cho vấn đề bảo mật hỗ trợ cho nhiều ứng dụng Giao thức SSL hoạt... Private Network DES: Data Encryption Standard MAC: Medium access control Chương Tổng quan SSL 1.1 Tìm hiểu SSL SSL (Secure Socket Layer) giao thức để cung cấp dịch vụ bảo mật cho lưu lượng liệu kênh