-Đối với người dùng:
+ Có thể truy cập hệ thống, sử dụng dịch vụ tại bất kỳ nơi nào có Internet. + Có thể thực hiện những hoạt động thương mại, tài chính, xã hội qua mạng mà vẫn được đảm bảo tính hợp lệ, an toàn…
+ Chọn lựa những thuật toán mã hóa phù hợp với yêu cầu của ứng dụng. +Đảm bảo được dịch vụ/máy chủ mình truy cập là hợp lệ.
+Bằng cách sử dụng hệ thống PKI người dùng cảm thấy an tâm bởi vì tất cả các thông tin đều được mã hóa.
- Đối với nhà cung cấp dịch vụ:
+ Dễ dàng xây dựng ứng dụng, phát triển ứng dụng dựa trên nền tảng bảo mật PKI.
+ Tất cả các thông tin kiểm tra người dùng có thể được thực hiện trực tuyến nhờ kết nối đến RA hay off-line.
+ Dễ dàng phát triển ứng dụng kết hợp với các ứng dụng dịch vụ công, ứng dụng thương mại điện tử sẵn có
Hình 3.1. Vai trò của chứng chỉ số c) Chứng chỉ X.509
Chứng chỉ được dùng phổ biến nhất hiện nay là chứng chỉ X.509 V3. Được ra đời vào năm 1996, định dạng X.509 version 3 được bổ sung thêm các phần mở rộng (extension) để khắc phục các vấn đề liên quan tới việc so khớp Issuer Unique ID và Subject Unique ID cũng như là các vấn đề về xác thực chứng chỉ. Một chứng chỉ X.509 version 3 có thể chứa một hoặc nhiều extension.
Thông tin về người dùng, máy tính, thiết bị mạng, v.v.. mà nắm giữ khóa bí mật tương ứng với chứng chỉ được cấp phát. Người dùng, máy tính hoặc thiết bị mạng này được nhắc tới như là chủ thể (subject) của chứng chỉ.
- Thông tin về CA phát hành chứng chỉ.
- Khóa công khai tương ứng với khóa bí mật được liên kết với chứng chỉ. - Tên của các thuật toán để mã hóa và thuật toán tạo chữ ký số cho chứng chỉ.
- Một danh sách các phần mở rộng (extension) cho loại chứng chỉ X.509 version 3.
- Thông tin giúp xác định trạng thái thu hồi (revocation) và tính hiệu lực của chứng chỉ (như ngày phát hành và ngày hết hạn).
CA phải bảo đảm nhận dạng của đối tượng yêu cầu là xác thực trước khi cấp chứng chỉ. Việc xác minh nhận dạng có thể được thực hiện dựa trên các giấy phép an ninh (security credential) của đối tượng hoặc thông qua cuộc gặp mặt và trao đổi trực tiếp với người yêu cầu. Sau khi nhận dạng được kiểm chứng là hợp lệ, CA sẽ cấp chứng chỉ được ký số bởi khóa bí mật của nó cho họ. Chữ ký số này cho biết nguồn gốc của chứng chỉ (do CA nào cấp), đảm bảo khóa công khai là thuộc về chủ thể của chứng chỉ và giúp phát hiện những thay đổi, giả mạo nếu có trong nội dung của chứng chỉ.
Hình 3. 1. Vai trò của chứng chỉ số d) Xác thực định danh
Việc giao tiếp trên mạng điển hình là giữa một máy khách-Client và một máy dịch vụ-Server, việc chứng thực có thể được thực hiện ở hai phía.Máy dịch
Khi một người gửi một thông tin kèm chứng chỉ số, người nhận - có thể là đối tác kinh doanh, tổ chức hoặc cơ quan chính quyền - sẽ xác định rõ được danh tính của người gửi. Có nghĩa là dù không nhìn thấy người gửi, nhưng qua hệ thống chứng chỉ số mà người gửi và người nhận cùng sử dụng, người nhận sẽ biết chắc chắn đó là người gửi chứ không phải là một người khác. Xác thực là một tính năng rất quan trọng trong việc thực hiện các giao dịch điện tử qua mạng, cũng như các thủ tục hành chính với cơ quan pháp quyền. Các hoạt động này cần phải xác minh rõ người gửi thông tin để sử dụng tư cách pháp nhân
Các hình thức xác định danh:
Xác thực dựa trên mật khẩu:
Xác thực dựa trên tên truy cập và mật khẩu (Usename và Password). Tất cả các máy tính dịch vụ cho phép người dùng nhập mật khẩu, để có thể truy cập vào hệ thống. Máy dịch vụ sẽ quản lý danh sách các Usename và Password này.
Khi xác thực người dùng theo phương pháp này, người dùng đã quyết định tin tưởng vào máy dịch vụ. Máy dịch vụ phải xác thực người sử dụng trước khi cho phép họ truy nhập tài nguyên của hệ thống.
Hình 3. 2. Xác thực dựa trên mật khẩu
Bước 1: Để đáp lại yêu cầu xác thực từ máy dịch vụ, máy sẽ hiện hộp thoại yêu cầu nhập mật khẩu. Người dùng nhập mật khẩu cho mỗi máy dịch vụ khác nhau trong cùng một phiên làm việc.
Bước 2: Máy khách gửi mật khẩu qua mạng, không cần một hình thức mã hóa nào.
Bước 3: Máy dịch vụ tìm kiếm mật khẩu trong cơ sở dữ liệu
Bước 4: Máy dịch vụ xác định xem mật khẩu đó có quyền truy cập vào những tài nguyên nào của hệ thống.
Khi sử dụng loại xác thực này, người dùng phải nhập mật khẩu cho mỗi máy dịch vụ khác nhau, no lưu lại dấu vết của các mật khẩu này cho mỗi người dùng.
Xác thực dựa trên chứng chỉ số
Xác thực dựa trên chứng chỉ số. Đó là một phần của giao thức bảo mật SSL.Máy khách ký số vào dữ liệu, sau đó gửi cả chữ ký số và cả chứng chỉ số qua mạng. Máy dịch vụ sẽ dùng kỹ thuật mã hóa khóa công khai để kiểm tra chữ ký và xác định tính hợp lệ của chứng chỉ số.
Chứng chỉ số có thể thay thé 3 bước đầu chứng thực bằng mật khẩu với cơ chế cho phép người dùng chỉ phải nhập mật khẩu một lần và không phải truyền qua mạng, người quản trị có thể điều khiển quyền truy nhập một cách tập trung.
Hình 3. 3. Xác thực dựa trên chứng chỉ số
Giao dịch trên có dùng giao thức bảo mật SSL. Máy khách phải có chứng chỉ số để cho máy dịch vụ nhận diện. Sử dụng chứng chỉ số để chứng thực có lợi thế hơn khi dùng mật khẩu. Bởi vì nó dựa tren những gì mà người sử dụng có: khóa bí mật và mật khẩu để bảo vệ khóa bí mật.
Điều cần chú ý là chỉ có máy chủ khách mới được phép truy nhập vào máy khách, phải nhập mật khẩu để vào cơ sở dữ liệu của chương trình có sử dụng khóa bí mật ( mật khẩu này có thể phải nhập lại trong khoảng thời gian định kì cho trước).
Cả hai cơ chế xác thực trên đều phải truy cập mứ vật lý tới các máy cá nhân. Mã hóa khóa công khai chỉ có thể kiểm tra việc sử dụng khóa bí mật tương ứng với khóa công khai trong chứng chỉ số. Nó không đảm nhận trách nhiệm bảo vệ mức vật lý và mật khẩu sử dụng khóa bí mật. Trách nhiệm thuộc về người dùng.
Bước 1: phần mềm máy khác quản lý cơ sở dữ liệu về các cặp khóa bí mật và khóa công khai. Máy khách sẽ yêu cầu nhập mật khẩu để truy nhập vào cơ sở dữ liệu này chỉ một lần hoặc theo định kỳ.
Khi máy khách truy nhập vào máy dịch vụ có sử dụng SSL, để xác thực máy khách dựa trên chứng chỉ số, người dùng chỉ phải nhập mật khẩu mật khẩu một lần, họ không phải nhập lại khi cần truy cập lần thứ hai.
Bước 2: Máy khách dùng khóa bí mật tương ứng với khóa công khai ghi trong chứng chỉ, và kí lên dữ liệu được tạo ra ngẫu nhiên cho mục đích chứng thực từ cả phía máy khách và máy dịch vụ. Dữ liệu này và chữ kí số thiết lập một bằng chứng để xác định tính hợp lệ của khóa bí mật. Chữ ký số có thể được kiểm tra bằng khóa công khai tương ứng với khóa bí mật đã dùng để ký, nó là duy nhất trong mỗi phiên làm việc của giao thức SSL.
Bước 3: Máy khách gửi cả chứng chỉ số và bằng chứng đó để xác thực người dùng.
Bước 4: Máy dịch vụ có thể thực hiện tùy chọn các nhiệm vụ xác thực khác, như việc xem chứng chỉ của máy có trong cơ sở dữ liệu để lưu trữ và quản lý các chứng chỉ số. Máy dịch vụ tiếp tục xác định xem người sử dụng có quyền gì đối với tài nguyên của hệ thống.
Xác thực bằng Token
Token là chữ ký số hay chữ ký điện tử được mã hóa thành những con số trên thiết bị chuyên biệt. Mã Token tạo ra là dạng mã OTP nghĩa là mã sử dụng được một lần và tạo ngẫu nhiên cho mỗi giao dịch.
Token thường được các doanh nghiệp áp dụng cho những giao dịch thông thường và đặc biệt là giao dịch online. Bạn có xem như đây là một mật khẩu bắt buộc phải nhập cho mỗi giao dịch vì mục đích bảo mật.
Bằng việc sử dụng mã Token xác nhận giao dịch, các doanh nghiệp sẽ đảm bảo được sự chính xác. Một khi bạn đã xác nhận bằng mã Token có nghĩa bạn đã ký kết vào hợp đồng giao dịch mà không cần tốn thêm giấy tờ chứng minh nào. Mã Token hoàn toàn có giá trị pháp lý như chữ ký của bạn.
Có 2 dạng Token là:
Hard Token: Là một thiết bị nhỏ gọn như chiếc USB có thể mang đi mọi nơi. Mỗi khi giao dịch, bạn sẽ bám vào thiết bị này để lấy mã.
Soft Token: Là một phần mềm được cài đặt trên máy tính hoặc điện thoại/máy tính bảng và phần mềm này cũng cung cấp mã Token cho bạn khi giao dịch
Bảo mật hơn với API key
API (Application Programming Interface –giao diện lập trình ứng dụng) là giao diện hay cách thức để các phần mềm khác nhau bao gồm hệ điều hành, ứng dụng, … có thể tương tác và tận dụng khả năng của nhau. Mỗi bộ API dành cho từng đối tượng đều có sự khác biệt nhất định.
Gần đây, API hiện đại đã đưa ra một số đặc điểm khiến chúng có giá trị và hữu ích đặc biệt: Các API hiện đại tuân thủ các tiêu chuẩn (thường là HTTP và REST), thân thiện với nhà phát triển, dễ dàng truy cập và dễ hiểu hơn.
API key có chức năng như một công cụ có thể theo dõi được dành cho việc xác thực mà không bao giờ hiện diện ở phía giao diện người dùng. API key là một thứ thay thế mật khẩu được máy sinh ra mà ứng dụng gửi tới để có thể truy cập đến API của bạn. Nó còn có thể cho phép nhiều thiết bị truy cập vào hệ thống. API key làm tăng tính bảo mật của API (đặc biệt khi so sánh với các phương pháp xác thực giữa máy với máy sử dụng username/password) theo nhiều cách:
- Khó thu hồi username. API key dễ thu hồi hơn vì nó không liên kết với một định danh người dùng nào cả.
- API key được sinh ra ngẫu nhiên, dài hơn username nhiều và không bao giờ chứa các từ có thể tìm thấy trong từ điển. Điều này loại bỏ hầu hết cách kiểu tấn công thông thường.
- Một API key bị rò rỉ vẫn giữ cho người dùng được bảo vệ vì nó không chứa thông tin định danh nào cả.
Hiện nay, trong số các loại API key thì Google Map API Key là API key được dùng phổ biến nhất. Thông qua đó, các trang web có thể sử dụng dữ liệu từ Google Map Publish để hiển thị bản đồ xác định vị trí doanh nghiệp, tích hợp các ứng dụng vận chuyển, tham chiếu cho các dịch vụ có nhu cầu khác.
Xác thực nhiều yếu tố
Xác thực đa yếu tố (Multi-Factor Authentication) là phương thức xác thực dựa trên nhiều yếu tố xác thực kết hợp, là mô hình xác thực yêu cầu kiểm chứng ít nhất là hai yếu tố xác thực. Phương thức này là sự kết hợp của bất cứ yếu tố xác thực nào, ví dụ như yếu tố đặc tính sinh trắc của người dùng hoặc những gì người dùng biết để xác thực trong hệ thống.
Với xác thực đa yếu tố, ngân hàng có thể tăng mức độ an toàn, bảo mật cho giao dịch điện tử lên rất nhiều nhờ việc kiểm chứng nhiều yếu tố xác thực. Ví dụ như xác thực chủ thẻ trong giao dịch ATM, yếu tố xác thực đầu tiên của khách hàng là thẻ ATM (cái khách hàng có), sau khi đưa thẻ vào máy, khách hàng sẽ phải đưa tiếp yếu tố xác thực thứ hai là số PIN (cái khách hàng biết). Một ví dụ khác là xác thực người sử dụng dịch vụ giao dịch Internet Banking: khách hàng đăng nhập với Username và Password sau đó còn phải cung cấp tiếp OTP (One –
Time - Password - mật khẩu dùng một lần) được sinh ra trên token của riêng khách hàng.
An toàn, bảo mật trong giao dịch ngân hàng điện tử là hết sức quan trọng, trong đó xác thực người sử dụng là một trong những khâu cốt lõi. Với xác thực đa yếu tố, ta có thể tăng mức độ an toàn, bảo mật nhờ việc kiểm chứng nhiều yếu tố xác thực. Mức độ an toàn bảo mật sẽ càng cao khi số yếu tố xác thực càng nhiều. Khi số yếu tố xác thực lớn thì hệ thống càng phức tạp, kéo theo chi phí đầu tư và duy trì vận hành tốn kém, đồng thời lại bất tiện cho người sử dụng. Do vậy, trên thực tế để cân bằng giữa an toàn, bảo mật và tính tiện dụng, người ta thường áp dụng xác thực hai yếu tố và xác thực ba yếu tố (three-factor authentication- 3FA).
Xác thực đa yếu tố dù có mức độ an toàn, bảo mật cao hơn, nhưng cũng cần các biện pháp nghiệp vụ khác để bảo đảm tuyệt đối an toàn trong giao dịch ngân hàng điện tử
3.2.2 Một số giao thức bảo mật ứng dụng trong thương mại điện tử
a) Giao thức SSL/TLS
Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi qua rất nhiều các hệ thống độc lập mà không có bất kỳ sự bảo vệ nào với các thông tin trên đường truyền. Không một ai kể cả người sử dụng lẫn Web server có bất kỳ sự kiểm soát nào đối với đường đi của dữ liệu hay có thể kiểm soát được liệu có ai đó thâm nhập vào thông tin trên đường truyền. Để bảo vệ những thông tin mật trên mạng Internet hay bất kỳ mạng TCP/IP nào, SSL đã kết hợp những yếu tố sau để thiết lập được một giao dịch an toàn:
-Xác thực: đảm bảo tính xác thực của trang mà bạn sẽ làm việc ở đầu kia của kết nối. Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác thực của người sử dụng.
-Mã hoá: đảm bảo thông tin không thể bị truy cập bởi đối tượng thứ ba. Để loại trừ việc nghe trộm những thông tin “ nhạy cảm” khi nó được truyền qua Internet, dữ liệu phải được mã hoá để không thể bị đọc được bởi những người khác ngoài người gửi và người nhận.
-Toàn vẹn dữ liệu: đảm bảo thông tin không bị sai lệch và nó phải thể hiện chính xác thông tin gốc gửi đến.
Với việc sử dụng SSL, các Web site có thể cung cấp khả năng bảo mật thông tin, xác thực và toàn vẹn dữ liệu đến người dùng. SSL được tích hợp sẵn vào các browser và Web server, cho phép người sử dụng làm việc với các trang Web ở chế độ an toàn. Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa sẽ xuất hiện trên thanh trạng thái của cửa sổ browser và dòng “http” trong
hộp nhập địa chỉ URL sẽ đổi thành “https”. Một phiên giao dịch HTTPS sử dụng cổng 443 thay vì sử dụng cổng 80 như dùng cho HTTP.
SSL có hai giao thức con là SSL record và giao thức SSL handshake. Giao thức SSL record xác định các định dạng dùng để truyền dữ liệu. Giao thức SSL handshake ( gọi là giao thức bắt tay) sẽ sử dụng SSL record protocol để trao đổi một số thông tin giữa server và client vào lần đầu tiên thiết lập kết nối SSL.
Cơ chế kỹ thuật của SSL/TLS
Chúng ta sẽ cùng tìm hiểu cơ chế kỹ thuật của SSL/TLS để biết khi thực hiện truyền tin SSL/ TLS thì có những điều gì xảy ra giữa trình duyệt của người dùng và server.
Khi người dùng gửi yêu cầu kết nối đến server đối tượng, server gửi SSL server certificate có chứa [public key] . Ở trình duyệt của người dùng sử dụng