Bài giảng thương mại điện tử căn bản - Chương 03

Chia sẻ: angola

Tính an toàn trong thương mại điện tử

Bạn đang xem 7 trang mẫu tài liệu này, vui lòng download file gốc để xem toàn bộ.

Nội dung Text: Bài giảng thương mại điện tử căn bản - Chương 03

10/11/2007 11:17 PM




Trần Hoài Nam
Khoa Thương mại điện tử
Trường Đại học Thương mại




An toàn là vấn đề quan trọng
của thương mại điện tử

Chuyện về các vụ tấn công hệ thống
thông tin và thương mại điện tử

Lịch sử 20 năm phát triển của virus
10 vụ tấn công nổi tiếng của tin tặc
Tình hình an ninh mạng và an toàn
TMĐT ở Việt Nam gần đây




An toàn là vấn đề quan trọng
của thương mại điện tử
Tổn thất do các vụ tấn công gây ra
là rất lớn
400 tỉ USD là tổng thiệt hại do tội phạm trên
mạng gây ra năm 2004
(Nguồn: McAfee Criminology Report 2005)

Riêng 2/2006, thiệt hại của các vụ tấn công
qua mạng internet (TG) khoảng 80 tỉ USD
Ở Việt Nam, 1 tuần thiệt hại khoảng 2,8 triệu
USD tương đương 45 tỉ VNĐ (Nguồn: VNCERT 2006)




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1
10/11/2007 11:17 PM




Các tổ chức liên tục bị tấn công bởi những
kẻ có kinh nghiệm từ bên trong và bên ngoài
Các loại tấn công tới các tổ chức rất đa dạng
Sự mất mát tài chính từ các vụ tấn công có
thể là rất lớn
Có thể sử dụng kết hợp nhiều công nghệ để
chống lại các vụ tấn công này

(Nghiên cứu của Computer Security Institute và FBI)




Website truy cập là xác thực và hợp pháp
Từ phía Các trang web và các mẫu khai thông tin không chứa
người sử dụng đựng các đoạn mã nguy hiểm trong
Thông tin cá nhân được đảm bảo bí mật

Máy chủ, nội dung và các dịch vụ cung cấp trên
Từ phía website không bị phá vỡ
tổ chức Hoạt động kinh doanh diễn ra đều đặn, không bị làm
gián đoạn

Thông tin trao đôi giữa người sử dụng và tổ chức,
Từ hai phía không bị bên thứ ba “nghe trộm”
Thông tin trao đổi giữa hai bên không bị biến đổi




Tính toàn vẹn
Dữ liệu/thông tin không bị thay đổi khi lưu trữ hoặc chuyển phát.
Không phủ định
Các bên tham gia giao dịch không phủ nhận các hành động trực
tuyến mà họ đã thực hiện
Tính xác thực
Khả năng nhận biết các đối tác tham gia giao dịch trực tuyến
Cấp phép
Xác định quyền truy cập các tài nguyên của tổ chức




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 2
10/11/2007 11:17 PM




Kiểm soát
Tập hợp thông tin về quá trình truy cập của người sử dụng
Tính tin cậy
Ngoài những người có quyền, không ai có thể xem các thông
điệp và truy cập những dữ liệu có giá trị
Tính riêng tư
Khả năng kiểm soát việc sử dụng các thông tin cá nhân của
khách hàng
Tính ích lợi
Các chức năng của một website thương mại điện tử được thực
hiện đúng như mong đợi




Trình duyệt Web Chương trình Lưu trữ
Web server CGI,… (CSDL)

Internet

Tính riêng tư
Toàn vẹn
Xác thực
Xác thực Tính riêng tư
Cấp phép
Toàn vẹn
Kiểm soát

Không phủ định


Nguồn: Scambray, J. et al: Hacking Exposed 2e. New York




Tấn công phi kỹ thuật
Sử dụng mánh khóe để lừa gạt người sử dụng tiết lộ thông tin nhạy
cảm hay thực hiện các hành động ảnh hưởng đến vấn đề an toàn
Tấn công kỹ thuật
Chủ yếu lợi dụng sự nhẹ dạ cả tin, kém hiểu biết hoặc gây
sức ép tâm lý đối với người sử dụng

Tấn công các áp lực xã hội: loại tấn công không sử dụng công nghệ
mà sử dụng các áp lực xã hội để lừa người sử dụng thực hiện các
việc có hại đến mạng máy tính hoặc tổn hại quyền lợi cá nhân




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 3
10/11/2007 11:17 PM




Các biện pháp đối phó với
tấn công phi kỹ thuật
Đề cao cảnh giác,
kiểm tra sự xâm nhập




Hoàn thiện các thủ Giáo dục, đào tạo,
tục, chính sách nâng cao nhận thức




Các hình thức
tấn công




Sự tấn công sử dụng phần mềm và
các hệ thống tri thức hay kinh nghiệm
chuyên môn tấn công vào các hệ thống


Cần dùng các biện pháp, các công cụ phần cứng
và phần mềm để đối phó




Virus
Một đoạn mã phần mềm tự xâm nhập vào một máy chủ, bao
gồm cả hệ điều hành, để nhân lên; nó yêu cầu các chương trình
của máy chủ khi chạy phải kích hoạt nó
Sâu máy tính (worm)
Một chương trình phần mềm được chạy một cách độc lập, chi
phối nhiều tài nguyên của máy chủ cho nó và nó có khả năng
nhân giống tới các máy khác
Macro virus và macro worm
Một loại virus hay sâu máy tính được thực thi khi một đối tượng
ứng dụng khi được mở hay một thủ tục đặc biệt được thực thi
Con ngựa thành Tơ roa (Trojan horse)
Một chương trình xuất hiện với những chức năng hữu dụng
nhưng nó bao gồm các chức năng ẩn có các nguy cơ về an ninh




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 4
10/11/2007 11:17 PM




Hacker là người xâm nhập bất hợp pháp vào
một website hay hệ thống công nghệ thông
tin mà họ có thể xác định rõ
Hacker mũ trắng
Hacker mũ đen
Hacker mũ xanh/samurai
Hacker mũ xám hay mũ nâu




Tác hại do tin tặc gây ra
Mất niềm tin của khách hàng cùng với danh tiếng bao nhiêu
năm gây dựng, và tất nhiên ảnh hướng tới thu nhập, lợi nhuận.
Mất khả năng chấp nhận một kiểu phương tiện thanh toán nào
đó như VISA, Mastercard.
Thu nhập và lợi nhuận giảm từ các giao dịch giả mạo và thời
gian chết của nhân viên.
Thời gian chết của website khi phải đóng cửa một trong các
kênh bán hàng quan trọng sau vụ tấn công.
Chi phí để sửa chữa các phần đã bị phá hoại và xây dựng kế
hoạch đề phòng bất trắc cho website, ứng dụng web...
Các trận chiến pháp lý và nhiều vấn đề liên quan từ vụ tấn công
với mức độ bảo mật lỏng lẻo, các khoản tiền phạt và tiền bồi
thường phải trả cho nạn nhân.




Website chodientu.com – một website TMĐT hợp pháp
liên tục bị tấn công cướp tến miền và đối giao diện (9/2006)
This site was hacked again
Đại diện cho cộng đồng IT Việt Nam chúng tôi xin tuyên bố.
Đối với Nguyễn Hòa Bình: Nếu một ngày Nguyễn Hòa Bình chưa đứng ra xin lỗi thì ngày đó
chodientu sống không được chết cũng không xong.
Nếu báo chí và các cơ quan chức năng không vào cuộc, thanh tra những hoạt động mờ ám của PS
cũng như Nguyễn Hòa Bình hacker sẽ vào cuộc.

Vụ lừa đảo của Đào Anh Tuấn tiến hành qua mạng chiếm đoạt gần 20
triệu đồng của các thành viên trên diễn đàn trực tuyến TTVNOL.
Đường dây làm giả thẻ ATM do Nguyễn Anh Tuấn cầm đầu để rút được
số tiền khoảng 2,6 tỷ đồng
235 website của Việt Nam (.vn) bị hacker nước ngoài tấn công. Trong
đó có web của Bộ Thương mại - mot.gov.vn, Bộ Tài nguyên Môi trường-
ciren.gov.vn, Bộ Khoa học Công nghệ - oss.gov.vn …


Website Bộ Giáo dục đào tạo bị tấn công




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 5
10/11/2007 11:17 PM




Web site của Ban Quản lý dự án DSM/EE
- Cục Điều tiết điện lực – Bộ Công Thương
hiện vẫn đang bị hacker tấn công




Loại tấn công bằng cách gửi một số lượng lớn truy vấn thông
tin tới máy chủ khiến một hệ thống máy tính hoặc một mạng bị
quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng
hoạt động không thể (hoặc khó có thể) truy cập từ bên ngoài




Gửi yêu cầu http://www...




Tin tặc



Gửi tài liệu và nhận các thông báo




Cá nhân Doanh nghiệp CQ nhà nước Trường học Viện nghiên cứu Nhà cung cấp DV
Đồng loạt tấn công




Hệ thông mục tiêu




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 6
10/11/2007 11:17 PM




Kẻ trộm trên mạng
Một dạng của chương trình nghe trộm, giám
sát sự di chuyển của thông tin trên mạng
Tấn công từ bên trong doanh nghiệp
Những mối đe doạ bắt nguồn từ chính những
thành viên làm việc trong doanh nghiệp




Quản trị an toàn An toàn trong Các công nghệ
thương mại điện tử truyền thông TMĐT đảm bảo an toàn mạng




Nhận thức vấn đề Áp dụng các biện pháp Áp dụng các biện pháp
Xây dựng kế hoạch đảm bảo an toàn trong đảm bảo an toàn mạng
Thực thi kế hoạch truyền thông TMĐT và các hệ thống TMĐT




Một quá trình xử lý có hệ thống để xác định các loại
rủi ro an ninh có thể xảy ra và xác định các hoạt động
cần thiết để bảo vệ hay giảm bớt các tấn công này
4 pha của quá trình quản trị an toàn TMĐT
Theo dõi/
Đánh giá Lên kế hoạch Thực hiện Kết luận



Đánh giá các rủi ro • Xác định các đe dọa • Các công nghệ được • Loại nào đảm bảo/không
nào có thể xảy ra, đe chọn để đối phó với các đảm bảo và cần thay đổi
bằng các xác định
dọa nào là không đe doạ có độ ưu tiên • Các mối đe doạ mới
các tài sản, các điểm dễ bị • Trình độ công nghệ hiện
cao
tổn thương của hệ thống • Xác định mức độ của • Ưu tiên lựa chọn các tại
và những đe dọa đối với các biện pháp đối phó
cho phù hợp loại công nghệ có độ ưu • Bổ sung thêm danh mục
các điểm này tiên cao các hệ thống cần bảo vệ




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 7
10/11/2007 11:17 PM




Điều khiển và kiểm soát truy cập
Các hệ thống xác thực
Các kỹ thuật mã hoá
Mã hoá
Chữ ký điện tử
Chứng thực điện tử
Các giao thức an toàn
SSL, SET, TLS
Bảo vệ hệ thống mạng của tổ chức
Bức tường lửa
Các biện pháp bảo vệ hệ thống khách/chủ
Các chương trình tìm & phát hiện xâm nhập
Anti virus




Hệ thống nhận dạng các bên tham gia là hợp pháp để thực
hiện giao dịch, xác định các hành động của họ là được phép
thực hiện và hạn chế những hoạt động của họ, chỉ cho
những giao dịch cần thiết được khởi tạo và hoàn thành

Cơ chế điều khiển truy nhập
Giới hạn các hoạt động thực hiện bởi việc nhận dạng một người
hay một nhóm
Thiết bị (Passive tokens)
Các thiết bị lưu trữ như dải từ (magnetic strips) được sử dụng trong hệ
thống nhận dạng bao gồm mã mật và các đặc điểm nhận dạng khác
(sinh trắc)

Các yếu tố điều kiện nhận dạng
Mật khẩu
Các hệ thống sinh trắc học




Hệ thống nhận dạng để xác nhận một người bằng cách
đánh giá ,so sánh các đặc tính sinh học như dấu vân tay,
mạch máu mắt, đặc điểm mặt, giọng nói hoặc hành vi

Nhận dạng Nhận dạng Nhận dạng
vân tay mạch máu mắt giọng nói
Sự không liên tục Phân tích các điểm Phân tích các đặc
của dấu vân tay một khác duy nhất trong tính âm học trong
người, được chuyển tròng mắt (một phần giọng nói, chuyển
đổi thành dạng số màu của mắt), đổi thành số và lưu
và lưu trữ như các chuyển đổi thành trữ như các mẫu
mẫu dùng để nhận dạng số và lưu trữ dùng để nhận dạng
dạng xác thực như các mẫu để xác thực
nhận dạng xác thực

Theo dõi đánh bàn phím: phân tích áp lực, tốc độ và nhịp điệu của
các từ được đánh, chuyển thành dạng số và lưu trữ như các mẫu
dùng để nhận dạng xác thực (cách này chưa thực sự phát triển)




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 8
10/11/2007 11:17 PM




Mã hoá là quá trình xáo trộn (mã hóa) một tin nhắn, văn
bản hay các tài liệu thành văn bản, tài liệu dưới dạng
mật mã để bất cứ ai, ngoài người gửi và người nhận,
đều không thể hoặc khó có thể đọc

Các khái niệm
Bản gốc hay bản rõ (Plaintext)
Một mẩu tin/văn bản không mã hóa và con người có thể đọc
Bản mã hoá hay bản mờ (Ciphertext)
Một bản gốc sau khi đã mã hóa chỉ máy tính mới có thể đọc
Khóa (Key)
Đoạn mã bí mật dùng để mã hóa và giải mã một văn bản/mẩu tin
Thuật toán mã hóa (Encryption algorithm)
Là một biểu thức toán học dùng để mã hóa bản rõ thành bản mờ, và
ngược lại




Mục đích của kỹ thuật mã hoá
Đảm bảo an toàn cho các thông tin được lưu giữ, và đảm bảo an toàn
cho thông tin khi truyền phát trên mạng.

Kỹ thuật mã hoá đảm bảo
Tính toàn vẹn của thông điệp;
Chống phủ định;
Tính xác thực;
Tính bí mật của thông tin.

Các kỹ thuật mã hoá cơ bản
Mã hoá bằng thuật toán băm (hàm Hash)
Mã hoá khoá bí mật
Mã hoá khoá công khai




Kỹ thuật mã hoá bằng thuật toán băm sử dụng
thuật toán HASH để mã hoá thông điệp

Hàm hash (hàm băm) là hàm một chiều mà
nếu đưa một lượng dữ liệu bất kì qua hàm
này sẽ cho ra một chuỗi có độ dài cố định
(160 bit) ở đầu ra
Ví dụ, từ "Illuminatus" đi qua hàm SHA-1 cho kết quả
E783A3AE2ACDD7DBA5E1FA0269CBC58D.
Ta chỉ cần đổi "Illuminatus" thành "Illuminati" (chuyển "us" thành
"i") kết quả sẽ trở nên hoàn toàn khác (nhưng vẫn có độ dài cố
định là 160 bit) A766F44DDEA5CACC3323CE3E7D73AE82.




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 9
10/11/2007 11:17 PM




Tính chất cơ bản của hàm HASH
Tính một chiều: không thể suy ra dữ liệu ban đầu từ kết quả*
Tính duy nhất: xác suất để có một vụ va chạm (hash collision),
tức là hai thông điệp khác nhau có cùng một kết quả hash, là cực
kì nhỏ.
Ứng dụng của hàm hash
Chống và phát hiện xâm nhập: chương trình chống xâm nhập
so sánh giá trị hash của một file với giá trị trước đó để kiểm tra
xem file đó có bị ai đó thay đổi hay không
Bảo vệ tính toàn vẹn của thông điệp được gửi qua mạng bằng
cách kiểm tra giá trị hash của thông điệp trước và sau khi gửi
nhằm phát hiện những thay đổi cho dù là nhỏ nhất
Tạo chìa khóa từ mật khẩu
Tạo chữ kí điện tử.




Mã hoá khoá bí mật
Gọi là mã hoá đối xứng hay mã hoá khoá riêng
Sử dụng một khoá cho cả quá trình mã hoá (thực hiện bởi
người gửi) và quá trình giải mã (thực hiện bởi người nhận)

Mã hoá khoá công cộng
Gọi là mã hoá không đối xứng hay mã hoá khoá chung
Sử dụng hai khoá trong quá trình mã hoá: một khoá dùng
để mã hoá thông điệp và một khoá khác dùng để giải mã.




Mã hoá khoá bí mật




Mã hoá khoá công cộng




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 10
10/11/2007 11:17 PM




Số khoá Một khoá đơn Một cặp khoá


Một khoá bí mật và
Loại khoá Khoá bí mật
một khoá công khai

Đơn giản nhưng Yêu cầu các chứng
Quản lý khoá khó quản lý thực điện tử và bên
tin cậy thứ ba


Tốc độ giao dịch Nhanh Chậm

Mã hoá hàng loạt Mã hoá đơn lẻ
Ứng dụng Các đối tác thường Khối lượng nhỏ
giao dịch Chữ ký điện tử




Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh
hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp
một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký
thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội
dung thông điệp dữ liệu được ký.
(Luật Giao dịch điện tử)

Chức năng của chữ ký điện tử
Là điều kiện cần và đủ để quy định tính duy nhất của văn bản
điện tử cụ thể;
Xác định rõ người chịu trách nhiệm trong việc tạo ra văn bản đó;
Thể hiện sự tán thành đối với nội dung văn bản và trách nhiệm
của người ký
Bất kỳ thay đổi nào (về nội dung, hình thức...) của văn bản trong
quá trình lưu chuyển đều làm thay đổi tương quan giữa phần bị
thay đổi với chữ ký




Ch÷ ký ®iÖn tö (3)
(2)
(1) Người gửi mã hóa sử dụng (3)
Người gửi ứng
dụng hàm băm khóa riêng của mình
Thông điệp rút gọn Chữ ký số
Thông điệp gốc




Thông điệp gốc
và chữ ký số
(4)
Người gửi mã hóa sử dụng khóa công
cộng của người nhận

(5) Phong bì số
Gửi thư điện tử cho người nhận

(6)
Người nhận giải mã sử dụng
Phong bì số khóa riêng của người nhận




Thông điệp gốc Chữ ký số

(7)
(8) Người nhận giải mã sử dụng
Người gửi ứng dụng khóa chung của người gửi
hàm băm

Thông điệp rút gọn mới Thông điệp rút gọn


(9)
So sánh




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 11
10/11/2007 11:17 PM




1. Tạo một thông điệp gốc để gửi đi
2. Sử dụng hàm băm (thuật toán máy tính) để chuyển từ thông điệp
gốc thành thông điệp rút gọn.
3. Người gửi sử dụng khóa riêng để mã hóa thông điệp số. Thông
điệp rút gọn sau khi được mã hóa gọi là chữ ký số hay chữ ký
điện tử. Không một ai ngoài người gửi có thể tạo ra chữ ký điện
tử vì nó được tạo ra trên cơ sở khóa riêng
4. Người gửi mã hóa cả thông điệp gốc và chữ ký số sử dụng khóa
công cộng của người nhận. Thông được sau khi được mã hóa
gọi là phong bì số hóa
5. Người gửi gửi phong bì số hóa cho người nhận




6. Khi nhận được phong bì số hóa người nhận sử dụng khóa riêng
của mình để giải mã nội dung của phong bì số hóa và nhận
được một bản sao của thông điệp gốc và chữ ký số của người
gửi
7. Người nhận sử dụng khóa chung của người gửi để giải mã chữ
ký số và nhận được một bản sao của thông điệp rút gọn gốc (do
người gửi tạo ra, sẽ được sử dụng để đối chứng)
8. Người nhận sử dụng hàm băm để chuyển thông điệp gốc thành
thông điệp rút gọn như ở bước 2 người gửi đã làm và tạo ra
thông điệp rút gọn mới
9. Người nhận so sánh thông điệp rút gọn mới và bản copy của
thông điệp rút gọn gốc nhận được ở bước 7; Nếu hai thông điệp
rút gọn trùng nhau, có thể kết luận chữ ký điện tử là xác thực và
nội dung thông điệp gốc không bị thay đổi sau khi ký




Một loại chứng nhận do cơ quan chứng nhận
(Certification Authority - CA) (hay bên tin cậy thứ ba) cấp;
là căn cứ để xác thực các bên tham gia giao dịch; là cơ sở
đảm bảo tin cậy đối với các giao dịch thương mại điện tử

Nội dung của chứng thực điện tử
Thông tin về tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.
Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thực điện tử.
Số hiệu của chứng thực điện tử.
Thời hạn cú hiệu lực của chứng thực điện tử.
Dữ liệu kiểm tra chữ ký điện tử của người được cấp chứng thực điện tử.
Chữ ký điện tử của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.
Các hạn chế về mục đích, phạm vi sử dụng của chứng thư điện tử.
Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng
thực chữ ký điện tử.
Các nội dung khác theo quy định của Chính phủ.




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 12
10/11/2007 11:17 PM




Giao thức
an toàn




Tổng quan
Giao thức bảo mật kết nối giữa client và server
Cung cấp 1 đường hầm vững chắc để dữ liệu đi qua.
Trở thành một chuẩn an toàn truy cập dữ liệu được hỗ trợ bởi
hầu hết các browser.
Mô hình
Là 1 giao thức vận chuyển đặc biệt thêm vào giữa tầng ứng dụng và
tầng giao vận
Bảo đảm tính riêng tư và toàn vẹn của tất cả dữ liệu được truyền giữa 2
hoặc nhiều hơn các máy tính khi nó ở trong mạng
Lớpdụng khóa riêng và khóa công khai để mã hóa và chứng thực dữ liệu
Sử khe cắm
an toàn (SSL)




Giao thức
an toàn


Ưu, nhược điểm của Giao thức SSL
Ưu điểm
Đơn giản, thuận tiện, không yêu cầu thay đổi trong phần mềm phía người
mua và người bán.
Người bán được xác thực đối với người mua.
Thông tin được đảm bảo tính riêng tư, toàn vẹn.

Nhược điểm
Không đảm bảo người mua được xác thực với người bán, nguy cơ người
mua phủ nhận giao dịch.
Thông tin tài khoản của người mua phải được gửi tới người bán, nguy cơ
lộ tài khoản




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 13
10/11/2007 11:17 PM




Giao thức
an toàn




Tổng quan
SET - giao thức được thiết kết cung cấp an ninh giao dịch thẻ tín
dụng trực tuyến cho cả khách hàng và doanh nghiệp
Một tập các giao thức và định dạng bảo mật cho phép người
dùng sử dụng nền tảng thanh toán bằng thẻ tín dụng trên một
mạng mở như Internet


Sơ đồ thực thi giao thức SET




Bên máy tính người gửi
Sender’s
Private
Message Signature Key


Message Digest Digital Signature
+
Message



+
Encrypt

+ Symmetric
Key
Sender’s Encrypted
Certificate Message




Receiver’s
Encrypt
Certificate
Receiver’s Digital
Key E
- xchange Key Envelope

© Prentice Hall, 2000




Bên máy tính người nhận
Receiver’s Private
Key E
- xchange Key
Decrypt

Digital
Envelope

Message


Message Digest
Decrypt +
Symmetric
Key
+
Encrypted Sender’s compare
Message Certificate




Decrypt
Sender’s Public
Digital Signature Message Digest
Signature Key
© Prentice Hall, 2000




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 14
10/11/2007 11:17 PM




Giao thức
an toàn




Ưu, nhược điểm của Giao thức SET
Ưu điểm
Giải pháp bảo mật toàn diện
Người mua, người bán được xác thực với nhau qua certificate do
CA cấp.
Phân phát khóa public an toàn qua CA làm cơ sở cho xác thực
qua DS.
Người bán không biết thông tin cá nhân, tài khoản của người
mua.
Chữ kí kép giúp loại bỏ những gian lận từ phía người bán.




Giao thức
an toàn


Nhược điểm
Yêu cầu thay đổi lớn trong nền tảng thanh toán hiện tại.
Yêu cầu thay đổi trong phần mềm, phần cứng đắt tiền. Yêu cầu này có
thể chấp nhận được đối với các công ty, ngân hàng phát hành thẻ tín
dụng, song khó chấp nhận đối với khách hàng cũng như các cửa hàng.
Yêu cầu một hạ tầng PKI dựa trên sự có mặt của CA. Các tổ chức tài
chính phải trả thêm chi phí cài đặt và duy trì PKI phải được trả cho CA.
Các giải thuật trên PKI là phức tạp, tốn kém, tốc độ chậm (ngân hàng yêu
cầu 750 giao dịch/giây trong khi SET mới chỉ đạt 1 giao dịch/giây. Tốc độ
có thể được cải thiện với việc sử dụng phần cứng ->giá thành tăng cao.)
Chỉ đề cập tới các giao dịch dựa trên thanh tóan thẻ (tín dụng hoặc nợ).
Các giao dịch dựa trên tài khỏan vd: séc điện tử (e-check) không được hỗ
trợ trong SET
Là một giao thức bảo mật rất toàn diện những cũng rất phức tạp, SET cần
được đơn giản hóa để được chấp nhận bởi mọi tổ chức liên quan




Bảo vệ hệ thống
mạng của tổ chức




Một phần mềm hoặc phần cứng để tách biệt một mạng riêng với mạng
công cộng cho phép những người sử dụng mạng máy tính của một tổ
chức có thể truy cập tài nguyên của các mạng khác (ví dụ, mạng
Internet), nhưng đồng thời ngăn cấm những người sử dụng khác, không
được phép, từ bên ngoài truy cập vào mạng máy tính của tổ chức


Đặc điểm của bức tường lửa
Tất cả giao thông từ bên trong mạng máy tính của tổ chức và ngược lại
đều phải đi qua đó;
Chỉ các giao thông được phép, theo qui định về an toàn mạng máy tính
của tổ chức, mới được phép đi qua;
Không được phép thâm nhập vào chính hệ thống này.




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 15
10/11/2007 11:17 PM




Bảo vệ hệ thống
mạng của tổ chức




Bức tường lửa
(Firewall)




Các kiểm soát của hệ điều hành
Kiểm soát truy cập thông qua việc tự động từ chối khi người sử
dụng truy cập vào các khu vực khác (không được phép) của mạng
máy tính
Kiểm soát việc truy cập tới các tệp dữ liệu của hệ thống, giúp cho
việc đảm bảo an toàn cho cơ sở dữ liệu và cho toàn bộ hệ thống.
Phần mềm chống virus và phát hiện xâm nhập
Phần mềm chống virus: Biện pháp đơn giản nhất và ít tốn kém
nhất chống lại các mối đe doạ tính toàn vẹn của các hệ thống
Hệ thống phát hiện xâm nhập: khả năng dò tìm và nhận biết các
công cụ mà những kẻ tin tặc thường sử dụng hoặc phát hiện
những hành động khả nghi




Q&A


© 2007 Trần Hoài Nam – namdhtm@gmail.com




© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 16
Đề thi vào lớp 10 môn Toán |  Đáp án đề thi tốt nghiệp |  Đề thi Đại học |  Đề thi thử đại học môn Hóa |  Mẫu đơn xin việc |  Bài tiểu luận mẫu |  Ôn thi cao học 2014 |  Nghiên cứu khoa học |  Lập kế hoạch kinh doanh |  Bảng cân đối kế toán |  Đề thi chứng chỉ Tin học |  Tư tưởng Hồ Chí Minh |  Đề thi chứng chỉ Tiếng anh
Theo dõi chúng tôi
Đồng bộ tài khoản