Bài giảng Giao thức đảm bảo an toàn giao dịch điện tử SET (Secure Electronic Transaction)

GIAO THỨC ĐẢM BẢO AN TOÀN GIAO DỊCH ĐIỆN TỬ SETSecure Electronic Transaction Các giao thức an toàn SSL TLS (Transport Layer Security) Phiên bản tiếp theo của SSL i KP (IBM) SEPP (Secure Encryption Payment Protocol) MasterCard, IBM, Netscape STT (Secure Transaction Technology) VISA, Microsoft SET (Secure Electronic Transactions) MasterCard, VISA và tất cả các đối tác Giao thức SET Được phát triển bởi Visa và MasterCard Được thiết kế để bảo vệ các giao dịch sử dụng thẻ tín dụng Đảm bảo tính bí mật: Tất cả các thông điệp đều được mã hóa Đảm bảo tính tin cậy: Tất cả các đối tác phải có các chứng chỉ điện tử để xác thực Đảm bảo bảo mật: Các thông tin chỉ có ở nơi cần thiết và thời gian cụ thể Các thành phần trong tham gia SET Vai trò của Giao thức SET Cung cấp tính bí mật của thông tin thanh toán và đặt hàng Đảm bảo tính toàn vẹn của toàn bộ dữ liệu trên đường truyền Cung cấp sự xác thực, đảm bảo người nắm giữ thẻ là người dùng hợp lệ của tài khoản thẻ Cung cấp sự xác thực đảm bảo một công ty thương mại có thể chấp nhận các giao dịch thẻ tín dụng qua mối quan hệ với các tổ chức tài chính Vai trò của Giao thức SET Đảm bảo các giải pháp đảm bảo an toàn và các kỹ thuật thiết kế hệ thống tốt nhất để sử dụng để bảo vệ tất cả các đối tác hợp lệ trong giao dịch thương mại điện tử Hỗ trợ và thúc đẩy sự tương tác giữa các phần mềm và nhà cung cấp dịch vụ mạng Giao dịch của giao thức SET Giao dịch bằng giao thức SET Các bước thực hiện: Khách hàng mở một tải khoản tại ngân hàng hỗ trợ giao thức SET và nhận một thẻ tín dụng MasterCard, Visa, vv… Sau khi xác thực định danh, khách hàng sẽ nhận được chứng chỉ điện tử X.509v3 được ký bởi ngân hàng. Công ty thương mại chấp nhận thẻ phải có hai chứng chỉ X.509v3, một dùng để ký và một dùng cho việc trao đổi khóa Khách hàng thực hiện đặt lệnh mua sản phẩm hoặc dịch vụ với công ty thương mại Công ty thương mại sẽ gửi bản copy chứng chỉ của nó cho khác hàng để thực hiện việc xác minh Khách hàng gửi đơn đặt hàng và thông tin thanh toán tới công ty thương mại sử dụng chứng chỉ của khách hàng Đơn đặt hàng gồm có các mặt hàng được đặt mua Thông tin thanh toán chứa thông tin chi tiết về thẻ tín dụng Thông tin thanh toán được được mã hóa sao cho nó không thể được đọc bởi công ty thương mại Chứng chỉ của khách cho phép công ty thương mại xác minh được khách hàng Giao dịch bằng giao thức SET Công ty thương mại yêu cầu kiểm chứng thông tin thanh toán từ cổng thanh toán trước khi thực hiện chuyển hàng Công ty thương mại gửi xác nhận đơn đặt hàng tới khách hàng Công ty thương mại chuyển hàng hoặc dịch vụ tới khách hàng Công ty thương mại yêu cầu thanh toán từ cổng thanh toán Giao dịch bằng giao thức SET Các kỹ thuật công nghệ sử dụng trong SET Đảo bảo tính bí mật thông tin sử dụng thuật toán: DES Tính toàn vẹn của dữ liệu: Sử dụng chữ ký RSA với hàm băm SHA-1 Xác thực người nắm giữ thẻ: sử dụng chứng chỉ điện tử X.509v3 với chữ ký RSA Xác thực công ty thương mại: Sử dụng chứng chỉ điện tử với chữ ký RSA Bảo mật: Tách riêng rẽ thông tin đặt hàng thông tin thanh toán sử dụng hai chữ ký Mô hình sử dụng hai chữ ký Gắn hai thông điệp thành một nhưng chỉ cho phép mỗi một đối tác chỉ đọc một phần MESSAGE 1 DIGEST 1 NEW DIGEST HASH 1 & 2 Với SHA MESSAGE 2 DIGEST 2 Gắn kết các giá trị digest với nhau Băm với SHA để tạo ra giá trị digest mới DUAL SIGNATURE PRIVATE KEY Mã hóa gía trị digest mới với khóa bí mật Của người ký Sử dụng kỹ thuật hai chữ ký cho SET Khái niệm: Gắn hai thông điệp cho hai người nhận khác nhau thành một thông điệp gồm có: Thông tin đặt hàng (OI-order information): Từ khách hàng đến công ty thương mại Thông tin thanh toán (PI-Payment Information): Từ khách hàng đến ngân hàng Mục đích: Hạn chế thông tin nhạy cảm đến những thành phần không cần biết Công ty thương mại không cần phải biết đến số của thẻ tín dụng Ngân hàng không cần biết đến thông tin chi tiết của đơn đặt hàng của khách hàng Tạo ra khả năng bảo vệ bằng cách giữ thông tin các đối tượng này một cách riêng rẽ Việc kết nối này cần thiết để chứng minh rằng việc thanh toán được thực hiện cho chính hóa đơn đó chứ không phải thanh toán cho cái khác Lý do sử dụng hai chữ ký Khách hàng gửi cho công ty thương mại hai thông điệp Thông tin đặt hàng đã được ký Thông tin thanh toán đã được ký Công ty thương mại chuyển các thông tin thanh toán đó đến ngân hàng Nếu như công ty thương mại có thể can thiệp vào được các thông tin liên quan đến việc thanh toán, công ty thương mại có thể thay đổi nội dung và gửi đến cho ngân hàng => Như vậy là phải giải quyết vấn đề này Các bước thực hiện hai chữ ký Các bước thực hiện hai chữ ký như sau Lấy giá trị hàm băm của đơn đặt hàng và thông tin thanh toán Hai giá trị băm này được gắn kết với nhau [H(PI) || H(OI)] và được băm tiếp Khách hàng mã hóa giá trị băm cuối cùng với khóa bí mật 	DS = EKRC [ H(H(PI) || H(OI)) ] Chữ ký được xác minh bởi công ty thương mại Công ty thương mại có khóa công khai của khách hàng nhận được từ chứng chỉ của khách hàng Công ty thương mại có thể tính hai giá trị này, và hai giá trị này phải bằng nhau: 	H(PIMD || H(OI)) 	DKUC[DS] Chữ ký được xác minh bởi ngân hàng Ngân hàng được có các thông tin gồm giá trị DS, PI, giá trị băm OI (OIMD) và khóa công khai của khách hàng, ngân hàng dựa trên đó có thể tính được các giá trị sau: 	H(H(PI) || OIMD) 	DKUC [ DS ] Xác minh Công ty thương mại nhận được OI và xác minh chữ ký Ngân hàng nhận PI và xác minh chữ ký Khách hàng gắn kết OI và PI và có thể chứng minh sự đúng đúng đắn của liên kết đó Các dạng giao dịch mà SET hỗ trợ card holder registration merchant registration purchase request payment authorization payment capture certificate query purchase inquiry purchase notification sale transaction authorization reversal capture reversal credit reversal Yêu cầu mua (Purchase request) Bao gồm: Duyệt, lựa chọn, và đặt hàng Quá trình thực hiện gồm 4 thông điệp: Khởi tạo yêu cầu Khởi tạo trả lời Yêu cầu mua Trả lời yêu cầu mua Khởi tạo yêu cầu mua Các yêu cầu cơ bản: Người nắm giữ thẻ phải có chứng chỉ của công ty thương mại và cổng thanh toán Khách hàng gửi trong thông điệp khởi tạo ban đầu tới công ty thương mại với các thông tin: Loại thẻ tín dụng Định danh (ID) gắn với cặp request/response của khách hàng Thời gian gửi Khởi tạo yêu cầu trả lời Công ty thương mại tạo ra trả lời gồm có: Chữ ký được ký với khóa bí mật Thời gian khách hàng yêu cầu Thời gian công ty thương mại trả lời Định danh của giao dịch Và các thông tin Chứng chỉ có chữ ký của công ty thương mại Chứng chỉ dùng cho việc trao đổi khóa của cổng thanh toán Yêu cầu mua Người nắm giữ thẻ xác minh hai chứng chỉ sử dụng máy chủ CA và tạo ra các thông điệp OI và PI Sau đó người mua sẽ gửi tiếp thông điệp gồm các thông tin: Thông tin mua Thông tin hóa đơn Chứng chỉ của người nắm giữ thẻ Yêu cầu mua Người nắm giữ thẻ tạo ra khóa mã hóa đối xứng sử dụng một lần KS Công ty thương mại xác minh yêu cầu mua Khi công ty thương mại nhận được thông điệp yêu cầu mua, sẽ thực hiện những việc sau: Xác minh chứng chỉ của người nắm giữ thẻ qua hệ thống CA Xác minh chữ ký đôi sử dụng khóa công khai của khách hàng Xác minh của công ty thương mại Xử lý đơn đặt hàng và chuyển thông tin thanh toán đến cổng thanh toán để kiểm tra sự hợp pháp Gửi trả lời yêu cầu mua của khách hàng đến người nắm giữ thẻ Thông điệp trả lời yêu cầu mua Thông điệp trả lời về đơn đặt hàng và các vấn đề liên quan tương ứng với số của giao dịch Khối thông tin trả lời được ký bởi công ty thương mại sử dụng khóa bí mật, khối và chữ ký được gửi tới khách hàng cùng với chứng chỉ có chữ ký của công ty thương mại Khi thực hiện tiếp nhận thông tin trên khách hàng thực hiện Xác minh chứng chỉ của công ty thương mại Xác minh chữ ký trên khối thông tin trả lời Thực hiện các công việc tiếp theo Xử lý thanh toán Qúa trình xử lý thanh toán được chia thành hai bước: Kiểm tra, xác minh quyền hạn thanh toán Lưu lại thông tin thanh toán Kiểm tra, xác minh quyền hạn thanh toán Công ty thương mại gửi một thông điệp yêu cầu kiểm tra quyền hạn thanh toán đến cổng thanh toán bao gồm các nội dung sau: Thông tin về yêu cầu mua liên quan gồm: PI Hai chữ ký được tính thông qua giá trị PI và OI và ký với khóa bí mật của khách hàng Giá trị băm của OI (OIMD) Thông tin xác minh quyền hạn liên quan Chứng chỉ Kiểm tra, xác minh quyền hạn thanh toán Thông tin xác minh quyền hạn liên quan Một khối thông tin để thực hiện xác minh bao gồm: Định danh (ID) của giao dịch Được ký với khóa bí mật của công ty thương mại Mã hóa sử dụng khóa phiên sử dụng một lần Các chứng chỉ Chứng chỉ của người nắm giữ thẻ Chứng chỉ của công ty thương mại Chứng chỉ để dùng cho việc trao đổi khóa của công ty thương mại Cổng thanh toán Xác minh tất cả các chứng chỉ Giải mã khối thông tin yêu cầu xác minh quyền hạn để lấy khóa bí mật đẻ giải mã trong khối thông tin trả lời Xác minh chữ ký của công ty thương mại trên khối thông tin yêu cầu xác minh quyền hạn Giải mã khối thông tin thanh toán được kèm theo để nhận được khóa bí mật nhằm giải mã khối Xác minh hai chữ ký trên khối thanh toán Xác minh định danh (ID) của giao dịch nhận được từ công ty thương mại xem có phù hợp với PI nhận được từ khách hàng hay không Yêu cầu và tiếp nhận sự kiểm tra từ nhà phát hành thẻ Trả lời sự kiểm tra và xác minh Thông điệp trả lời gồm Thông tin kiểm tra và xác minh liên quan Chữ ký dùng khóa bí mật của Gateway Mã hóa với khóa đối xứng sử dụng một lần được tạo bởi Gateway Các thông tin kèm theo gồm khóa bí mật sử dụng một lần với khóa công khai của công ty thương mại Thông tin được sử dụng để cho việc thanh toán gồm Khối thông tin liên quan Chữ ký, được mã hóa Chứng chỉ của gateway Tổng kết một giao dịch sử dụng SET 	Một giao dịch sử dụng SET đơn giản gồm: Bốn thông điệp được trao đổi giữa công ty thương mại và khách hàng Hai thông điệp giữa công ty thương mại và cổng thanh toán 6 chữ ký điện tử 9 lần thực hiện mã hóa/giải mã sử dụng RSA 4 lần sử dụng DES 4 lần thực hiện xác minh chứng chỉ 4 certificate verifications