Đồ án Nghiên cứu vấn đề bảo mật trong xây dựng ứng dụng ecommerce (online payment)

Cùng với sự lớn mạnh của Internet, việc mua bán hàng hóa và dịch vụ thông qua Internet đã xuất hiện, đó chính là “Thương mại điện tử”.

Tuy mới xuất hiện và chỉ chiếm một tỷ trọng nhỏ trong thương mại song thương mại điện tử đã mang lại những lợi ích to lớn cho doanh nghiệp, chính phủ, người tiêu dùng và xã hội. Thương mại điện tử đã vượt ra khỏi lĩnh vực thương mại, ngày càng tác động đến các lĩnh vực khác và hứa hẹn mang lại những thay đổi to lớn và sâu sắc mọi mặt đời sống xã hội loài người. Thương mại điện tử ngày càng được sự quan tâm của chính phủ, doanh nghiệp và người tiêu dùng và đang trở thành một công cụ hữu hiệu trong quá trình toàn cầu hoá và trong xây dựng nền kinh tế số. Thât khó mà hình dung ra xã hội tương lai nếu không có thương mại điện tử.

Bên cạnh đó, thương mại điện tử cũng đặt ra nhiều vấn đề cần phải giải quyết để khai thác các lợi ích của thương mại điện tử như vấn đề an toàn, an ninh cho các giao dịch trên mạng, các vấn đề về bảo vệ bí mật, tính riêng tư, cơ sở hạ tầng, các vấn đề về nhân lực, chuyển đổi mô hình kinh doanh, các vấn đề về quản lý, thay đổi tập quán, thói quen trong kinh doanh Trong đó vấn đề an toàn, an ninh cho các giao dịch trên mạng và các vấn đề về bảo vệ tính riêng tư, gọi chung là “các vấn đề bảo mật trong thương mại điện tử” có ý nghía sống còn đối với việc phát triển của thương mại điện tử.

 

doc128 trang | Chia sẻ: luyenbuizn | Lượt xem: 1200 | Lượt tải: 0download
Bạn đang xem trước 20 trang nội dung tài liệu Đồ án Nghiên cứu vấn đề bảo mật trong xây dựng ứng dụng ecommerce (online payment), để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCM KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU VẤN ĐỀ BẢO MẬT TRONG XÂY DỰNG ỨNG DỤNG ECOMMERCE (ONLINE PAYMENT) Giảng Viên Hướng Dẫn : VÕ THỊ THANH VÂN Sinh viên thực hiện : NGUYỄN CẢNH CHÂN Lớp : DHTH3LT Khoa : CÔNG NGHỆ THÔNG TIN TP. Hồ Chí Minh, tháng 04 năm 2009 LỜI MỞ ĐẦU Cùng với sự lớn mạnh của Internet, việc mua bán hàng hóa và dịch vụ thông qua Internet đã xuất hiện, đó chính là “Thương mại điện tử”. Tuy mới xuất hiện và chỉ chiếm một tỷ trọng nhỏ trong thương mại song thương mại điện tử đã mang lại những lợi ích to lớn cho doanh nghiệp, chính phủ, người tiêu dùng và xã hội. Thương mại điện tử đã vượt ra khỏi lĩnh vực thương mại, ngày càng tác động đến các lĩnh vực khác và hứa hẹn mang lại những thay đổi to lớn và sâu sắc mọi mặt đời sống xã hội loài người. Thương mại điện tử ngày càng được sự quan tâm của chính phủ, doanh nghiệp và người tiêu dùng và đang trở thành một công cụ hữu hiệu trong quá trình toàn cầu hoá và trong xây dựng nền kinh tế số. Thât khó mà hình dung ra xã hội tương lai nếu không có thương mại điện tử. Bên cạnh đó, thương mại điện tử cũng đặt ra nhiều vấn đề cần phải giải quyết để khai thác các lợi ích của thương mại điện tử như vấn đề an toàn, an ninh cho các giao dịch trên mạng, các vấn đề về bảo vệ bí mật, tính riêng tư, cơ sở hạ tầng, các vấn đề về nhân lực, chuyển đổi mô hình kinh doanh, các vấn đề về quản lý, thay đổi tập quán, thói quen trong kinh doanh… Trong đó vấn đề an toàn, an ninh cho các giao dịch trên mạng và các vấn đề về bảo vệ tính riêng tư, gọi chung là “các vấn đề bảo mật trong thương mại điện tử” có ý nghía sống còn đối với việc phát triển của thương mại điện tử. Đồ án “Nghiên cứu các vấn đề bảo mật trong xây dựng ứng dụng thương mại điện tử và thanh toán trực tuyến” sẽ giúp tìm hiểu rõ thêm các vấn đề bảo mật và cách để xây dựng một ứng dụng thương mại điện tử an toàn, đảm bảo lợi ích của doanh nghiệp và khách hàng. LỜI CẢM ƠN Sau hơn bốn tháng tìm hiểu và thực hiện đồ án tốt nghiệp “Nghiên cứu các vấn đề bảo mật trong xây dựng ứng dụng ecommerce(online payment)” , đến nay đồ án đã cơ bản được hoàn thành. Ngoài sự cố gắng của bản thân, em đã nhận được sự giúp đỡ, động viên khuyến khích từ gia đình, thầy cô và bạn bè. Em xin chân thành cảm ơn đến thầy cô khoa công nghệ thông tin trường Đại học công nghiệp TP.HCM đã tận tình giảng dạy, truyền đạt những kiến thức quý báu cho chúng em trong suốt thời gian qua. Đặc biệt em xin gửi lời cảm ơn sâu sắc đến giáo viên hướng dẫn của em đã tận tình giúp đỡ em hoàn thành đồ án này. Đồ án đã hoàn thành với những kết quả nhất định, tuy nhiên không tránh khỏi những thiếu sót. Kính mong sự cảm thông và đóng góp từ các thầy cô. TP. HCM, 4/2009 Nguyễn Cảnh Chân NHẬN XÉT (Của giảng viên hướng dẫn) . NHẬN XÉT (Của giảng viên phản biện) MỤC LỤC DANH MỤC CÁC BẢNG SƠ ĐỒ HÌNH Bảng 2.1 Những dịch vụ nên hạn chế trên máy chủ web 64 Sơ đồ 4.1 Sơ đồ trang web phần khách hàng 93 Sơ đồ 4.2 Sơ đồ trang web phần quản trị 94 Hình 2.1 Thiết lập một phiên SSL 24 Hình 2.2 Ví dụ hàm băm 27 Hình 2.3 Quá trình mã hóa đối xứng 31 Hình 2.4 Sinh khóa công khai 35 Hình 2.5 Mã hóa và giải mã bằng mã hóa khóa công khai 36 Hình 2.6 Tạo và xác thực chữ ký số 36 Hình 2.7 Tạo chữ ký số 37 Hình 2.8 Thẩm định chữ ký số 38 Hình 2.9 Tạo chứng chỉ số 44 Hình 2.10 Cấu trúc chứng chỉ số X.509 45 Hình 2.11 Các thành phần của PKI 46 Hình 2.12 Mô hình CA nhiều cấp 47 Hình 2.13 Chứng thực chéo 48 Hình 2.14 Các thành phần tham gia SET 49 Hình 2.15 Chữ ký song song 50 Hình 2.16 Ví dụ HTTP header của vietnamnet.vn 52 Hình 2.17 Thông tin máy chủ trong HTTP Header 53 Hình 2.18 Ví dụ Referer trong HTTP Header 54 Hình 2.19 Proxy cache 54 Hình 2.20 Thiết lập tường lửa bảo vệ máy chủ web 65 Hình 2.21 Quá trình xử lý yêu cầu của CGI 66 Hình 2.22 Thiết lập tường lữa bảo vệ máy chủ cơ sở dữ liệu 69 Hình 2.23 Giả mạo web 70 Hình 2.24 Sử dụng máy chủ proxy tin cậy để lướt web ẩn danh 72 Hình 2.25 Hoạt động của cổng thanh toán điện tử 73 Hình 3.1 Mô hình ERD 81 Hình 3.2 Mô hình Use Case phần khách hàng 82 Hình 3.3 Mô hình Use Case phần quản trị 83 Hình 3.4 Mô hình hoạt động quá trình đăng ký thành viên mới 84 Hình 3.5 Mô hình hoạt động quá trình đăng nhập 85 Hình 3.6 mô hình hoạt động quá trình thêm sản phẩm vào giỏ hàng 86 Hình 3.7 Mô hình hoạt động quá trình mua hàng 87 Hình 4.1 Bảo mật thông tin trên URL 91 Hình 4.2 Thông tin kết nối vào CSDL trong web.config chưa được mã hóa 91 Hình 4.3 Thông tin kết nối vào CSDL trong web.config đã được mã hóa 91 Hình 4.4 Mã hóa các thiết lập quan trọng trong cơ sở dữ liệu 92 Hình 4.5 Màn hình trang chủ 95 Hình 4.6 Màn hình trang đăng ký khách hàng 95 Hình 4.7 Màn hình trang nhóm sản phẩm 96 Hình 4.8 Màn hình trang cập nhật giỏ hàng 96 Hình 4.9 Màn hình trang thông tin chuyển hàng 97 Hình 4.10 Màn hình trang thông tin hóa đơn 97 Hình 4.11 Màn hình trang thông tin thẻ tín dụng 98 Hình 4.12 Màn hình xác nhận mua hàng 98 Hình 4.13 Màn hình trang quản lý sản phẩm 99 Hình 4.14 Màn hình trang quản lý hóa đơn 100 Hình 4.15 Màn hình trang quản lý nhân viên 100 DANH MỤC CÁC CỤM TỪ VIẾT TẮT UNCITRAL : United Nations Commission On International Trade Law WTO : World Trade Organization B2B : Business To Business B2C : Business to Customers B2G : Business to Government C2C :Customers to Customers G2C : Customers to Government SSL : Secure Sockets Layer ID : Identification PIN : Personal Identificate Number BIN : Bank Identificate Number IETF : Internet Engineering Task Force TLS : Transport Layer Security HTTP : Hyper Text Transport Protocol IMAP : Internet Messaging Access Protocol FTP : File Transport Protocol MIT : Massachusetts Institute of Technology DES : Data Encryption Standard DSA : Digital Signature Algorithm KEA : Key Exchange Algorithm MD5 : Message Digest algorithm 5 SHA-1 : Secure Hash Algorithm NIST : National Institute of Standards and Technology PGP : Pretty Good Privacy GPG : GNU Privacy Guard FIPS : Federal Information Processing Standard NSA : National Security Agency AES : Advanced Encryption Standard PKI : Public key infrastructure CA : Certificate Authority URL : Uniform Resource Locator IP : Internet Protocol ITU :International Telecommunication Union SET : Secure Electronic Transaction LAN : Local Area Network CGI : Common Gateway Interface CSC : Card Security Code CVV : Card Verification Value CVC : Card Verification Code AVS : Address Verification System CSDL : Cơ sở dữ liệu TMĐT : Thương mại điện tử GIỚI THIỆU Thương mại điện tử và thanh toán điện tử Thương mại điện tử Khái niệm Hiện nay có nhiều quan điểm khác nhau về “thương mại điện tử” nhưng tựu trung lại có hai quan điểm lớn trên thế giới xin được nêu ra dưới đây. Thương mại điện tử theo nghĩa rộng được định nghĩa trong Luật mẫu về Thương mại điện tử của Ủy ban Liên Hợp quốc về Luật Thương mại Quốc tế (UNCITRAL): Thuật ngữ “thương mại” cần được diễn giải theo nghĩa rộng để bao quát các vấn đề phát sinh từ mọi quan hệ mang tính chất thương mại dù có hay không có hợp đồng. Các quan hệ mang tính thương mại bao gồm các giao dịch sau đây: Bất cứ giao dịch nào về thương mại nào về cung cấp hoặc trao đổi hàng hóa hoặc dịch vụ; thỏa thuận phân phối; đại diện hoặc đại lý thương mại, ủy thác hoa hồng; cho thuê dài hạn; xây dựng các công trình; tư vấn; kỹ thuật công trình; đầu tư; cấp vốn; ngân hàng; bảo hiểm; thỏa thuận khai thác hoặc tô nhượng; liên doanh các hình thức khác về hợp tác công nghiệp hoặc kinh doanh; chuyên chở hàng hóa hay hành khách bằng đường biển, đường không, đường sắt hoặc đường bộ. Như vậy, có thể thấy rằng phạm vi của Thương mại điện tử rất rộng, bao quát hầu hết các lĩnh vực hoạt động kinh tế, việc mua bán hàng hóa và dịch vụ chỉ là một trong hàng ngàn lĩnh vực áp dụng của thương mại điện tử. Ủy ban Châu Âu đưa ra định nghĩa về thương mại điện tử như sau: Thương mại điện tử được hiểu là việc thực hiện hoạt động kinh doanh qua các phương tiện điện tử. Nó dựa trên việc xử lý và truyền dữ liệu điện tử dưới dạng text, âm thanh và hình ảnh. Thương mại điện tử gồm nhiều hành vi trong đó hoạt động mua bán hàng hóa và dịch vụ qua phương tiện điện tử, giao nhận các nội dung kỹ thuật số trên mạng, chuyển tiền điện tử, mua bán cổ phiếu điện tử, vận đơn điện tử, đấu giá thương mại, hợp tác thiết kế, tài nguyên mạng, mua sắm công cộng, tiếp thị trực tiếp tới người tiêu dùng và các dịch vụ sau bán hàng. Thương mại điện tử được thực hiện đối với cả thương mại hàng hóa (ví dụ như hàng tiêu dùng, các thiết bị y tế chuyên dụng) và thương mại dịch vụ (ví dụ như dịch vụ cung cấp thông tin, dịch vụ pháp lý, tài chính); các hoạt động truyền thống (như chăm sóc sức khỏe, giáo dục ) và các hoạt động mới (ví dụ như siêu thị ảo). Tóm lại, theo nghĩa rộng thì thương mại điện tử có thể được hiểu là các giao dịch tài chính và thương mại bằng phương tiện điện tử như: trao đổi dữ liệu điện tử; chuyển tiền điện tử và các hoạt động gửi rút tiền bằng thẻ tín dụng. Thương mại điện tử theo nghĩa hẹp bao gồm các hoạt động thương mại được thực hiện thông qua mạng Internet. Các tổ chức như: Tổ chức Thương mại thế giới (WTO), Tổ chức Hợp tác phát triển kinh tế đưa ra các khái niệm về thương mại điện tử theo hướng này. Thương mại điện tử được nói đến ở đây là hình thức mua bán hàng hóa được bày tại các trang Web trên Internet với phương thức thanh toán bằng thẻ tín dụng. Có thể nói rằng thương mại điện tử đang trở thành một cuộc cách mạng làm thay đổi cách thức mua sắm của con người. Theo Tổ chức Thương mại Thế giới: Thương mại điện tử bao gồm việc sản xuất, quảng cáo, bán hàng và phân phối sản phẩm được mua bán và thanh toán trên mạng Internet, nhưng được giao nhận một cách hữu hình cả các sản phẩm được giao nhận cũng như những thông tin số hóa thông qua mạng Internet. Khái niệm về Thương mại điện tử do Tổ chức hợp tác phát triển kinh tế của Liên Hợp quốc đưa ra là: Thương mại điện tử được định nghĩa sơ bộ là các giao dịch thương mại dựa trên truyền dữ liệu qua các mạng truyền thông như Internet. Theo các khái niệm trên, chúng ta có thể hiểu được rằng theo nghĩa hẹp thương mại điện tử chỉ bao gồm những hoạt động thương mại được thực hiện thông qua mạng Internet mà không tính đến các phương tiện điện tử khác như điện thoại, fax, telex... Qua nghiên cứu các khái niệm về thương mại điện tử như trên, hiểu theo nghĩa rộng thì hoạt động thương mại được thực hiện thông qua các phương tiện thông tin liên lạc đã tồn tại hàng chục năm nay và đạt tới doanh số hàng tỷ đô la Mỹ mỗi ngày. Theo nghĩa hẹp thì thương mại điện tử chỉ mới tồn tại được vài năm nay nhưng đã đạt được những kết quả rất đáng quan tâm, thương mại điện tử chỉ gồm các hoạt động thương mại được tiến hàng trên mạng máy tính mở như Internet. Trên thực tế, chính các hoạt động thương mại thông qua mạng Internet đã làm phát sinh thuật ngữ “thương mại điện tử”. Các đặc trưng của thương mại điện tử Đế xây dựng khung pháp luật thống nhất cho thương mại điện tử, chúng ta cần nghiên cứu và tìm ra các đặc trưng của thương mại điện tử. So với các hoạt động thương mại truyền thống, thương mại điện tử có một số điểm khác biệt cơ bản sau: Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúc trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước. Các giao dịch thương mại truyền thống được thực hiện với sự tồn tại của khái niệm biên giới quốc gia, còn thương mại điện tử được thực hiện trong một thị trường không có biên giới (thị trường thống nhất toàn cầu). Thương mại điện tử trực tiếp tác động tới môi trường cạnh tranh toàn cầu. Trong hoạt động giao dịch thương mại điện tử đều có sự tham ra của ít nhất ba chủ thể, trong đó có một bên không thể thiếu được là người cung cấp dịch vụ mạng, các cơ quan chứng thực. Đối với thương mại truyền thống thì mạng lưới thông tin chỉ là phương tiện để trao đổi dữ liệu, còn đối với thương mại điện tử thì mạng lưới thông tin chính là thị trường Những lợi ích của thương mại điện tử Thương mại điện tử giúp cho các doanh nghiệp nắm được thông tin phong phú về thị trường và đối tác Thương mại điện tử giúp giảm chi phí sản xuất Thương mại điện tử giúp giảm chi phí bán hàng và tiếp thị. Thương mại điện tử qua Internet giúp người tiêu dùng và các doanh nghiệp giảm đáng kể thời gian và chí phí giao dịch. Thương mại điện tử tạo điều kiện cho việc thiết lập và củng cố mối quan hệ giữa các thành phần tham gia vào quá trình thương mại. Tạo điều kiện sớm tiếp cận nền kinh tế số hoá. Một số loại hình ứng dụng trong thương mại điện tử B2B (Business To Business): Thương mại điện tử B2B được định nghĩa đơn giản là thương mại điện tử giữa các công ty. Đây là loại hình thương mại điện tử gắn với mối quan hệ giữa các công ty với nhau B2C (Business to Customers): Thương mại điện tử B2C là việc một doanh nghiệp dựa trên mạng internet để trao đổi các hang hóa dịch vụ do mình tạo ra hoặc do mình phân phối. B2G (Business to Government): Thương mại điện tử giữa doanh nghiệp với chính phủ (B2G) được định nghĩa chung là thương mại giữa công ty và khối hành chính công. Nó bao hàm việc sử dụng Internet cho mua bán công, thủ tục cấp phép và các hoạt động khác liên quan tới chính phủ. Hình thái này của thương mại điện tử có hai đặc tính: thứ nhất, khu vực hành chính công có vai trò dẫn đầu trong việc. C2C (Customers to Customers): Thương mại điện tử khách hàng tới khách hàng C2C đơn giản là thương mại giữa các cá nhân và người tiêu dùng. G2C (Customers to Government): Thương mại điện tử cơ quan nhà nước với cá nhân chủ yếu là những giao dịch mang tính hành chính, nhưng có thể mang những yếu tố của thương mại điện tử. Các bước cơ bản của một giao dịch mua bán trên mạng Khách hàng, từ một máy tính tại một nơi nào đó, điền những thông tin thanh toán và điạ chỉ liên hệ vào đơn đặt hàng (Order Form) của website bán hàng (còn gọi là website thương mại điện tử). Doanh nghiệp nhận được yêu cầu mua hàng hoá hay dịch vụ của khách hàng và phản hồi xác nhận tóm tắt lại những thông tin cần thiết nh mặt hàng đã chọn, địa chỉ giao nhận và số phiếu đặt hàng... Khách hàng kiểm tra lại các thông tin và kích (click) vào nút (button) "đặt hàng", từ bàn phím hay chuột (mouse) của máy tính, để gởi thông tin trả về cho doanh nghiệp. Doanh nghiệp nhận và lưu trữ thông tin đặt hàng đồng thời chuyển tiếp thông tin thanh toán (số thẻ tín dụng, ngày đáo hạn, chủ thẻ ...) đã được mã hoá đến máy chủ (Server, thiết bị xử lý dữ liệu) của Trung tâm cung cấp dịch vụ xử lý thẻ trên mạng Internet. Với quá trình mã hóa các thông tin thanh toán của khách hàng được bảo mật an toàn nhằm chống gian lận trong các giao dịch (chẳng hạn doanh nghiệp sẽ không biết được thông tin về thẻ tín dụng của khách hàng). Khi Trung tâm Xử lý thẻ tín dụng nhận được thông tin thanh toán, sẽ giải mã thông tin và xử lý giao dịch đằng sau bức tường lửa (FireWall) và tách rời mạng Internet (off the Internet), nhằm mục đích bảo mật tuyệt đối cho các giao dịch thương mại, định dạng lại giao dịch và chuyển tiếp thông tin thanh toán đến ngân hàng của doanh nghiệp (Acquirer) theo một đường dây thuê bao riêng (một đường truyền số liệu riêng biệt). Ngân hàng của doanh nghiệp gởi thông điệp điện tử yêu cầu thanh toán (authorization request) đến ngân hàng hoặc công ty cung cấp thẻ tín dụng của khách hàng (Issuer). Và tổ chức tài chính này sẽ phản hồi là đồng ý hoặc từ chối thanh toán đến trung tâm xử lý thẻ tín dụng trên mạng Internet. Trung tâm xử lý thẻ tín dụng trên Internet sẽ tiếp tục chuyển tiếp những thông tin phản hồi trên đến doanh nghiệp, và tùy theo đó doanh nghiệp thông báo cho khách hàng được rõ là đơn đặt hàng sẽ được thực hiện hay không. Toàn bộ thời gian thực hiện một giao dịch qua mạng từ bước 1 -> bước 6 được xử lý trong khoảng 15 - 20 giây. Thanh toán trong thương mại điện tử Thẻ tín dụng Thẻ tín dụng đã được xử lý điện tử hàng thập kỷ nay. Chúng được sử dụng đầu tiên trong các nhà hàng và khách sạn sau đó là các cửa hàng bách hoá và cách sử dụng nó đã được giới thiệu trên các chương trình quảng cáo trên truyền hình từ 20 năm nay. Cả một ngành công nghiệp lớn đang tồn tại trong lĩnh vực xử lý các giao dịch thẻ tín dụng trực tuyến với các công ty như First Data Corp., Total System Corp., và National Data Corp., chi tiết hoá các giao dịch phía sau mối quan hệ giữa nhà băng, người bán hàng và người sử dụng thẻ tín dụng. Hàng triệu các cửa hàng bách hoá trên toàn nước Mỹ được trang bị các trạm đầu cuối (Hewlett-Package Verifone là nhà sản xuất hàng đầu của thiết bị này) thông qua đó thể tín dụng được kiểm tra, nhập số thẻ và biên lai được in ra. Người sử dụng ký vào biên lai này để xác thực việc mua hàng. Trước khi nhận số thẻ tín dụng của người mua qua Internet bạn cần có một chứng nhận người bán. Nếu bạn đã hoạt động kinh doanh thì đơn giản là yêu cầu nhà băng của bạn cung cấp chứng nhận này. Nếu bạn chưa có bất cứ cái gì thì bạn có thể thực hiện việc này nhanh chóng tại một nhà băng nào đó hoặc truy nhập vào một WEB site có các mẫu đăng ký trực tuyến. Sử dụng thẻ tín dụng trực tuyến ngày hôm nay, tuy nhiên, giống như việc sử dụng chúng với một "operating standing by". Số thẻ và chi tiết của giao dịch được lưu lại và xử lý, nhưng không có sự xuất hiện của người mua và khi có một vụ thanh toán bị lỡ thì nó vẫn được lưu lại trên hệ thống. Bởi lý do này các chi phí xử lý thẻ tín dụng trực tuyến nhiều ngang bằng với chi phí để xử lý một giao dịch chứ không ngang bằng với một mức phí như điện thoại và thông thường là vào khoảng 50 xen. (Các giao dịch được xử lý thông qua các trạm đầu cuối đã được hợp đồng chỉ mất khoảng từ 3 đến 5 xen). Ngoài các khoản trên, phí được giảm nhờ việc sử dụng các dịch vụ của Visa và MasterCard, là các tổ hợp của các nhà băng, hoặc American Express Co. và Discover là các công ty riêng rẽ xử lý và quản lý các giao dịch thẻ tín dụng. Ðiều đó có nghĩa là bạn sẽ phải trả từ 2 đến 3 xen cho một đô la khi sử dụng Visa hay MasterCard, và ít hơn một chút với Discover, đối với American Express phí này vào khoảng 5 xen cho một đô la. Các thoả ước giữa các công ty cung cấp thẻ và các chủ doanh nghiệp giúp cho khách hàng không phải trả các chi phí này. Việc chiết khấu cũng khác giữa người sử dụng tại trạm đầu cuối nơi mà thẻ tín dụng tồn tại một cách vật lý, và môi trường WEB nơi mà thẻ không hiện diện. Trong quá trình chuyển đổi để chiết khấu người bán được đảm bảo thanh toán. Người mua được đảm bảo về việc sẽ nhận được hàng hoá và một số đảm bảo có giới hạn khác chống lại việc bị lừa hoặc mất thẻ. (Bảo hiểm thẻ được bán bởi các nhà băng phát hành thẻ và các rủi ro sẽ được thanh toán). Cửa hàng trên web của bạn cần phần mềm nào để có thể xử lý thẻ tín dụng? ở mức đơn giản nhất, bạn phải có sẵn một số biểu mẫu có khả năng mã hoá bảo mật, thông thường là Sercure Socket Layer (SSL), một tiêu chuẩn đối với cả các trình duyệt của Microsoft và Netscape, và điều đó cũng có nghĩa là máy chủ của bạn phải có một khoá mã hoá. Tiếp theo bạn phải có một chương trình đóng vai trò là một giỏ mua hàng, cho phép người sử dụng thu thập các mặt hàng cần mua, tính giá và thuế sau đó đưa ra một hoá đơn cuối cùng để phê chuẩn. Cuối cùng nếu như bạn không muốn xử lý các tệp giao dịch bằng tay hoặc xử lý một gói các tệp thì bạn phải cần một cơ chế giao dịch điện tử. Ðịnh danh hay ID số hoá (Digital identificator) Các khoá mã bảo mật trên máy chủ, được biết đến như là các ID số hoá, được cung cấp bởi một số các cơ quan chứng nhận thẩm quyền, là nơi cấp phép và bảo  dưỡng các bản ghi diễn biến trên các ID số hoá này. Tổ chức chứng thực thẩm quyền lớn nhất được điều hành bởi VeriSign Inc., một công ty được thành lập vào năm 1995 chuyên về lĩnh vực quản lý các chứng nhận số hoá. Công ty xử lý các yêu cầu ID số hoá cho các công ty như American Online, Microsoft, Netscape, tuy nhiên bạn cũng có thể trực tiếp có các ID số hoá trên web site của công ty. Vào mùa hè năm 1998, VeriSign thu phí 349 USD cho máy chủ ID đầu tiên mà một công ty mua và 249 USD cho thêm mỗi máy chủ ID tiếp theo. Một Máy chủ ID toàn cục - Global Server ID,  128 bit có mức chi phí 695 USD. Công nghệ nền tảng cho các ID số hoá của VeriSign là SSL được xây dựng đầu tiên bởi RSA Technologies inc., nay là một đơn vị của Sercurity Dynamics. Mỗi thông điệp, được mã hoá bằng hai mã hoặc khoá là một chuỗi các bit làm thay đổi giá trị đã được số hoá các của dữ liệu được đưa vào hay lấy ra khỏi chương trình. Một khoá công cộng được dùng để mã hoá các thông điệp, trong khi khoá riêng thứ hai được dùng để giải mã nó. Tính thống nhất và xác thực của các khoá riêng được đảm bảo bởi một cơ quan chứng nhận thẩm quyền như VeriSign. Một máy chủ ID số hoá cho phép bạn ký vào các văn bản điện tử và chứng thực chữ ký   của mình với một cơ quan chứng nhận thẩm quyền. Một số thuật ngữ Cơ sở chấp nhận thẻ (Merchant): Là các thành phần kinh doanh hàng hoá và dịch vụ có ký kết với Ngân hàng thanh toán về việc chấp nhận thanh toán thẻ như: nhà hàng, khách sạn, cửa hàng... Các đơn vị này phải trang bị máy móc kỹ thuật để tiếp nhận thẻ thanh toán tiền mua hàng hoá, dịch vụ, trả nợ thay cho tiền mặt. Ngân hàng đại lý hay Ngân hàng thanh toán (Acquirer): Là Ngân hàng trực tiếp ký hợp đồng với cơ sở tiếp nhận và thanh toán các chứng từ giao dịch do cơ sở chấp nhận thẻ xuất trình. Một Ngân hàng có thể vừa đóng vai trò thanh toán thẻ vừa đóng vai trò phát hành. Ngân hàng phát hành thẻ (Issuer): Là thành viên chính thức của các Tổ chức thẻ quốc tế, là Ngân hàng cung cấp thẻ cho khách hàng. Ngân hàng phát hành chịu trách nhiệm tiếp nhận hồ sơ xin cấp thẻ, xử lý và phát hành thẻ, mở và quản lý tài khoản thẻ, đồng thời thực hiện việc thanh toán cuối cùng với chủ thẻ. Chủ thẻ (Cardholder): Là người có tên ghi trên thẻ được dùng thẻ để chi trả thanh toán tiền mua hàng hoá, dịch vụ. Chỉ có chủ thẻ mới có thể sử dụng thẻ của mình mà thôi. Mỗi khi thanh toán cho các cơ sở chấp nhận thẻ vể hàng hoá dịch vụ hoặc trả nợ, chủ thẻ phải xuất trình thẻ để nơi đây kiểm tra theo qui trình và lập biên lai thanh toán. Danh sách Bulletin: Còn gọi là danh sách báo động khẩn cấp, là một danh sách liệt kê những số thẻ không được phép thanh toán hay không được phép mua hàng hóa, dịch vụ. Đó là những thẻ tiêu dùng quá hạn mức, thẻ giả mạo đang lưu hành, thẻ bị lộ mật mã cá nhân (PIN), thẻ bị mất cắp, thất lạc, thẻ bị loại bỏ... Danh sách được cập nhật liên tục và gởi đến cho tất cả các Ngân hàng thanh toán để thông báo kịp thời cho cơ sở chấp nhận. Hạn mức tín dụng (Credit limit): Được hiểu là tổng số tín dụng tối đa mà Ngân hàng phát hành thẻ cấp cho chủ thẻ sử dụng đối với từng loại thẻ. Số PIN (Personal Identificate Number): Là mã số cá nhân riêng của chủ thẻ để thực hiện giao dịch rút tiền tại các máy rút tiền tự động. Mã số này do Ngân hàng phát hành thẻ cung cấp cho chủ thẻ khi phát hành. Đối với mã số PIN, người chủ thẻ phải giữ bí mật, chỉ một mình mình biết. BIN (Bank Identificate Number): Là mã số chỉ Ngân hàng phát hành thẻ. Trong hiệp hội thẻ có nhiều ngân hàng thành viên, mỗi ngân hàng thành viên có một mã số riêng giúp thuận lợi trong thanh toán và truy xuất. Ngày hiệu lực: Ngày sao kê (Statement date): là ngày ngân hàng phát hành thẻ lập các sao kê về khoản chi tiêu mà chủ thẻ phải thanh toán trong tháng. Ngày đáo hạn (Due date): là ngày mà ngân hàng phát hành qui định cho chủ thẻ thanh toán toàn bộ hay một phần trong giá trị sao kê trên Merchant account: Merchant account là một tài khoản ngân hàng đặc biệt, cho phép bạn khi kinh doanh có thể chấp nhận thanh toán bằng thẻ tín dụng. Việc thanh toán bằng thẻ tín dụng chỉ có thể tiến hành thông qua dạng tài khoản này. Cổng thanh toán điện tử (payment gateway): là một chuơng trình phần mềm. Phần mềm này sẽ chuyển dữ liệu của các giao dịch từ website của người bán sang trung tâm thanh toán thẻ tín dụng để hợp thức hoá quá trình thanh toán thẻ tín dụng. Mục tiêu Tìm hiểu về thương mại điện tử. Tìm hiểu thanh toán điện tử trực tuyến. Tìm hiểu về các phương thức bảo mật trong thương mại điện tử và thanh toán điện tử trực tuyến. Xây dựng được một website thương mại điện tử với mô hình B2C. Tích hợp được hệ thống thanh toán trực tuyến vào trong trang web. Phạm vi thực hiện Nghiên cứu các thuật toán, kỹ thuật và phương pháp bảo mật trên web được dùng trong thương mại điện tử và thanh toán trực tuyến. Xây dựng một website bán máy tính xách tay trực tuyến để hiện thực một phần những gì đã nghiên cứu được. Thiết lập các cơ chế bảo mật thông tin trên website. Tích hợp thanh toán bằng thẻ tín dụng qua một cổng thanh toán điện tử. CƠ SỞ LÝ THUYẾT Các thuật toán và kỹ thuật mã hóa sử dụng trong thanh toán điện tử và thương mại điện Secure Socket Layer (SSL) Giới thiệu SSL SSL (Secure Socket Layer) là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ thông tin đi/đến, được sử dụng trong giao dịch điện tử như truyền số liệu thẻ tín dụng, mật khẩu, số bí

Các file đính kèm theo tài liệu này:

  • docdo_an_tot_nghiep_nghien_cuu_van_de_bao_mat_trong_ung_dung_online_payment__179.doc