Đề cương Thương mại điện tử

, hộ chiếu điện tử hay hệ thống quản lý truy cập (Access Control) thì TTM được đại diện cho quyền truy cập các hệ thống này.
Khả năng lưu trữ an toàn trên thẻ smartcard, cho phép lưu trữ những thông tin thuộc về chủ thẻ như: thông tin y tế, thông tin cá nhân, chứng chỉ điện tử (thẻ bảo hiểm y tế, giấy phép lái xe điện tử...)
Tiền điện tử (Ecash)
Lưu trữ các chương trình bản quyền 
Lưu trữ hồ sơ cá nhân
Xác thực Offline: Ngoài các ứng dụng phổ biến nói trên, TTM còn được dùng để kiểm tra tính xác thực thẻ thà nh viên không yêu cầu kết nối hệ thống trung tâm. Thẻ SAM card (Security Application Module) là một dạng của ứng dụng này. SAM card có vai trò như một cảnh sát giao thông kiểm tra người lái xe xuất trình bằng lái tại xa lộ mà không có máy tính hay kết nối cơ sở dữ liệu trung tâm. Khi đó, thẻ SAM và thẻ của người cần kiểm tra sẽ kiểm tra lẫn nhau (xác thực chéo) để kiểm tra tính trung thực trước khi thực hiện những nghiệp vụ tiếp theo. Thẻ SAM còn có khả năng đa dạng khóa (Diversify Key) đảm bảo an toàn và bảo mật trong mỗi phiên giao dịch.
v.v
Ưu điểm:
Nhỏ gọn, thuận tiện trong giao dịch 
Có thể thanh toán cả các giao dịch với giá trị thanh toán nhỏ
Ẩn danh (Potentially) 
Lưu trữ an toàn
Nhược điểm:
Khả năng hư hỏng: Thẻ nhựa mà chip đặt trên nó là khá dẻo, dễ uốn, và do đó chip càng lớn thì càng dễ bị gãy.
Mức giao dịch bị hạn chế (không dùng được cho B2B)
Chi phí xây dựng cơ sở hạ tầng cao,phức tạp
Chỉ có một điểm đọc (dễ bị hỏng)
Sử dụng chưa được phổ biến, nhất là ở VN , ứng dụng thẻ thông minh còn khá mới , nhiều đơn vị tổ chức chưa thấy rõ lợi ích , chức năng .Ít doanh nghiệp công nghệ thông tin có thể cung cấp các giải pháp ứng dụng sử dụng thẻ thông minh.
Câu 16-Trình bày mô hình hệ thống thanh toán đóng và hệ thống thanh toán mở
Hệ thống thanh toán đóng
Ngân hàng và các tổ chức tài chính hoạt động như người trung gian giữa khách hàng và công ty, không có một tổ chức nào khác tham gia vào
American Express và Discover là hai loại thẻ như vậy
Hệ thống mở
Việc giao dịch được xử lý bởi bên thứ 3
Visa và MasterCard là các thẻ thuộc loại này.
Câu 17-Trình bày các mô hình các thành phần tham gia trong giao thức SET
Cardholder (người mua hàng, chủ thẻ): Một người tiêu dùng hay một công ty mua hàng, người sử dụng thẻ tín dụng để trả tiền cho người bán (người kinh doanh).
Merchant (công ty thương mại): Một thực thể chấp nhận thẻ tín dụng và cung cấp hàng hoá hay dịch vụ để đổi lấy việc trả tiền.
Acquirer (ngân hàng của người bán hàng): Một cơ quan tài chính (thường là một ngân hàng) lập tài khoản cho người kinh doanh và có được chứng từ của các phiếu bán hàng uỷ quyền. Gắn chặt với công ty thương mại
Issuer (ngân hàng của người chủ thẻ): Một cơ quan tài chính (thường là một ngân hàng) lập tài khoản cho người chủ sở hữu thẻ và phát hành thẻ tín dụng.
Payment gateway: cổng thanh toán
Payment Network: Liên minh giữa các ngân hàng cho phép chuyển khoản
Certificate authority: kiểm tra danh tính của người dùng
Linh :Chú ý phần in nghiêng là phần tớ thêm vào nhé, ko có trong nội dung câu hỏi , chỉ cần học những phần chữ bình thường là ok.
Câu 19-Trình bày vai trò của giao thức SET?
Cung cấp tính bí mật của thông tin thanh toán và đặt hàng 
Đảm bảo tính toàn vẹn của toàn bộ dữ liệu trên đường truyền 
Cung cấp sự xác thực, đảm bảo người nắm giữ thẻ là người dùng hợp lệ của tài khoản thẻ 
Cung cấp sự xác thực đảm bảo một công ty thương mại có thể chấp nhận các giao dịch thẻ tín dụng qua mối quan hệ với các tổ chức tài chính
Đảm bảo các giải pháp đảm bảo an toàn và các kỹ thuật thiết kế hệ thống tốt nhất để sử dụng để bảo vệ tất cả các đối tác hợp lệ trong giao dịch thương mại điện tử 
Hỗ trợ và thúc đẩy sự tương tác giữa các phần mềm và nhà cung cấp dịch vụ mạng
Câu 20-Trình bày các bước thực hiện trong giao dịch bằng giao thức SET
Các bước thực hiện:
Khách hàng mở một tải khoản tại ngân hàng hỗ trợ giao thức SET và nhận một thẻ tín dụng
MasterCard, Visa, vv…
Sau khi xác thực định danh, khách hàng sẽ nhận được chứng chỉ điện tử X.509v3 được ký bởi ngân hàng. 
Công ty thương mại chấp nhận thẻ phải có hai chứng chỉ X.509v3, một dùng để ký và một dùng cho việc trao đổi khóa
Khách hàng thực hiện đặt lệnh mua sản phẩm hoặc dịch vụ với công ty thương mại
Công ty thương mại sẽ gửi bản copy chứng chỉ của nó cho khác hàng để thực hiện việc xác minh
Khách hàng gửi đơn đặt hàng và thông tin thanh toán tới công ty thương mại sử dụng chứng chỉ của khách hàng
Đơn đặt hàng gồm có các mặt hàng được đặt mua
Thông tin thanh toán chứa thông tin chi tiết về thẻ tín dụng
Thông tin thanh toán được được mã hóa sao cho nó không thể được đọc bởi công ty thương mại
Chứng chỉ của khách cho phép công ty thương mại xác minh được khách hàng
Công ty thương mại yêu cầu kiểm chứng thông tin thanh toán từ cổng thanh toán trước khi thực hiện chuyển hàng
Công ty thương mại gửi xác nhận đơn đặt hàng tới khách hàng
Công ty thương mại chuyển hàng hoặc dịch vụ tới khách hàng
Công ty thương mại yêu cầu thanh toán từ cổng thanh toán
Các kỹ thuật công nghệ sử dụng trong SET
Đảo bảo tính bí mật thông tin sử dụng thuật toán: DES
Tính toàn vẹn của dữ liệu: Sử dụng chữ ký RSA với hàm băm SHA-1
Xác thực người nắm giữ thẻ: sử dụng chứng chỉ điện tử X.509v3 với chữ ký RSA
Xác thực công ty thương mại: Sử dụng chứng chỉ điện tử với chữ ký RSA
Bảo mật: Tách riêng rẽ thông tin đặt hàng thông tin thanh toán sử dụng hai chữ ký
Câu 21-Trình bày các bước thực hiện tạo ra hai chữ ký
Mô hình sử dụng hai chữ ký
Gắn hai thông điệp thành một nhýng chỉ cho phép mỗi một đối tác chỉ đọc một phần
MESSAGE 1
DIGEST 1
NEW DIGEST
HASH 1 & 2
Với SHA
MESSAGE 2
DIGEST 2
Gắn kết các giá trị digest với nhau
Băm với SHA để tạo ra giá trị digest mới
DUAL SIGNATURE
PRIVATE KEY
Mã hóa gía trị digest mới với khóa bí mật
Của ngýời ký
Khái niệm: Gắn hai thông điệp cho hai người nhận khác nhau thành một thông điệp gồm có:
Thông tin đặt hàng (OI-order information): Từ khách hàng đến công ty thương mại
Thông tin thanh toán (PI-Payment Information): Từ khách hàng đến ngân hàng
Mục đích: Hạn chế thông tin nhạy cảm đến những thành phần không cần biết
Công ty thương mại không cần phải biết đến số của thẻ tín dụng
Ngân hàng không cần biết đến thông tin chi tiết của đơn đặt hàng của khách hàng
Tạo ra khả năng bảo vệ bằng cách giữ thông tin các đối tượng này một cách riêng rẽ
Việc kết nối này cần thiết để chứng minh rằng việc thanh toán được thực hiện cho chính hóa đơn đó chứ không phải thanh toán cho cái khác
Lý do sử dụng hai chữ ký
Khách hàng gửi cho công ty thương mại hai thông điệp
Thông tin đặt hàng đã được ký
Thông tin thanh toán đã được ký
Công ty thương mại chuyển các thông tin thanh toán đó đến ngân hàng
Nếu như công ty thương mại có thể can thiệp vào được các thông tin liên quan đến việc thanh toán, công ty thương mại có thể thay đổi nội dung và gửi đến cho ngân hàng 
=> Như vậy là phải giải quyết vấn đề này
Các bước thực hiện hai chữ ký
Các bước thực hiện hai chữ ký như sau
Lấy giá trị hàm băm của đơn đặt hàng và thông tin thanh toán 
Hai giá trị băm này được gắn kết với nhau [H(PI) || H(OI)] và được băm tiếp
Khách hàng mã hóa giá trị băm cuối cùng với khóa bí mật
	DS = EKRC [ H(H(PI) || H(OI)) ]
Chữ ký được xác minh bởi công ty thương mại
Công ty thương mại có khóa công khai của khách hàng nhận được từ chứng chỉ của khách hàng
Công ty thương mại có thể tính hai giá trị này, và hai giá trị này phải bằng nhau:
	H(PIMD || H(OI))
	DKUC[DS]
Chữ ký được xác minh bởi ngân hàng
Ngân hàng được có các thông tin gồm giá trị DS, PI, giá trị băm OI (OIMD) và khóa công khai của khách hàng, ngân hàng dựa trên đó có thể tính được các giá trị sau:
	H(H(PI) || OIMD)
	DKUC [ DS ]
Xác minh
Công ty thương mại nhận được OI và xác minh chữ ký
Ngân hàng nhận PI và xác minh chữ ký
Khách hàng gắn kết OI và PI và có thể chứng minh sự đúng đúng đắn của liên kết đó
Câu 22-Trình bày mô hình tạo ra yêu cầu mua trong giao thức SET
Bao gồm: Duyệt, lựa chọn, và đặt hàng
Quá trình thực hiện gồm 4 thông điệp:
Khởi tạo yêu cầu
Khởi tạo trả lời
Yêu cầu mua
Trả lời yêu cầu mua
Khởi tạo yêu cầu mua
Các yêu cầu cơ bản:
Người nắm giữ thẻ phải có chứng chỉ của công ty thương mại và cổng thanh toán
Khách hàng gửi trong thông điệp khởi tạo ban đầu tới công ty thương mại với các thông tin:
Loại thẻ tín dụng
Định danh (ID) gắn với cặp request/response của khách hàng
Thời gian gửi
Khởi tạo yêu cầu trả lời
Công ty thương mại tạo ra trả lời gồm có:
Chữ ký được ký với khóa bí mật
Thời gian khách hàng yêu cầu
Thời gian công ty thương mại trả lời
Định danh của giao dịch
Và các thông tin
Chứng chỉ có chữ ký của công ty thương mại
Chứng chỉ dùng cho việc trao đổi khóa của cổng thanh toán
Người nắm giữ thẻ xác minh hai chứng chỉ sử dụng máy chủ CA và tạo ra các thông điệp OI và PI
Sau đó người mua sẽ gửi tiếp thông điệp gồm các thông tin:
Thông tin mua 
Thông tin hóa đơn
Chứng chỉ của người nắm giữ thẻ
Yêu cầu mua
Người nắm giữ thẻ tạo ra khóa mã hóa đối xứng sử dụng một lần KS 
Câu 23-Trình bày mô hình xác thực khi công ty thương mại nhận được yêu cầu mua từ khách hàng trong giao thức SET?
Khi công ty thương mại nhận được thông điệp yêu cầu mua, sẽ thực hiện những việc sau:
Xác minh chứng chỉ của người nắm giữ thẻ qua hệ thống CA
Xác minh chữ ký đôi sử dụng khóa công khai của khách hàng
Xử lý đơn đặt hàng và chuyển thông tin thanh toán đến cổng thanh toán để kiểm tra sự hợp pháp
Gửi trả lời yêu cầu mua của khách hàng đến người nắm giữ thẻ
Câu 24-Trình bày các giải pháp đảm bảo an toàn và tin cậy cho web hosting
Các vấn đề thường gặp ảnh hưởng đến sự hoạt động của ứng dụng web:
Server hỏng
Quá tải bằng thông
Đường truyền bị lỗi
Vv..
Các giải pháp đảm bảo an toàn:
Sử dụng Mirrored Server Farms
Sử dụng mạng phân bổ nội dung (Content Distribution Networks) 
Mục đích làm giảm tải server, tăng hiệu suất mạng
Nội dung được lưu trên các node mạng, các node có thể là web server, proxy, surrogates