THƯƠNG MẠI ĐIỆN TỬ

MỤC LỤC
Câu 1. Lịch sử phát triển của thương mại điện tử..................................................................................3
Câu 2. Lợi ích và hạn chế của thương mại điện tử..................................................................................3
Câu 3. Khái niệm thương mại điện tử và phân loại................................................................................4
Câu 4. Marketting điện tử, So sánh giữa marketing điện tử và truyền thống......................................7
Câu 5. Hợp đồng điện tử, quy trình ký kết và thực hiện HDĐT B2B, B2C, C2C................................8
Câu 6. Thanh toán điện tử: tổng quan các loại hình thanh toán điện tử.............................................11
Câu 7. Các vấn đề an toàn trong thương mại điện tử...........................................................................15
Câu 8. Nguy cơ mất an toàn trong môi trường Internet.......................................................................16
Câu 9. Hệ thống thanh toán điện tử: mô hình, các phương thức thanh toán, và Các nguy cơ mất an
toàn...........................................................................................................................................................20
Câu 10. Các dịch vụ bảo mật thanh toán...............................................................................................22
Câu 11. Các vấn đề trong bảo mật giao dịch thanh toán......................................................................23
Câu 12. Các kỹ thuật giúp nặc danh người dùng và không theo dấu địa điểm...................................24
Câu 13. Các kỹ thuật giúp không theo dấu giao dịch thanh toán........................................................25
Hàm băm ngẫu nhiên iKP...................................................................................................................25
Hàm băm ngẫu nhiên theo SET..........................................................................................................27
Câu 14. Chữ ký kép: khái niệm, mục đích, các bước tạo và xác minh chữ ký kép.............................27
Câu 15. Họ giao thức iKP: khái niệm, họ giao thức con. Trình bày các bước thực hiện giao dịch
trong các giao thức con của họ giao thức iKP.......................................................................................29
Hàm giả mã 1KP..................................................................................................................................30
Hàm giả mã 2KP..................................................................................................................................33
Hàm giả mã 3KP..................................................................................................................................34
Câu 16. Giao thức SET: khái niệm, mô hình hoạt động,quá trình tạo yêu cầu mua, việc xác minh
của công ty thương mại đối với yêu cầu mua, xác minh của ngân hàng đối với yêu cầu mua. Giải
thích tổng kết về SET trong các giai đoạn của giao thức......................................................................35
Câu 17. Bảo mật tiền điện tử: các yêu cầu và kỹ thuật trong bảo mật tiền điện tử............................38
Chữ ký mù:..........................................................................................................................................39
Trao đổi tiền điện tử:...........................................................................................................................40
Chống tiêu tiền hai lần:.......................................................................................................................40
Kỹ thuật cắt và chọn:.........................................................................................................................41
Chữ ký mù:........................................................................................................................................41
Trao đổi tiền điện tử:.........................................................................................................................41

1
Câu 18. Bảo mật Sec điện tử...................................................................................................................42
Câu 19. Bảo đảm ATTT cho ứng dụng web..........................................................................................42
Câu 20 các giai đoạn pt TMĐT, đk phát triển TMĐT, ảnh hưởng của TMĐT và tầm quan trọng. .42
Câu 21 Liệt kê các thành phần tham gia vào thanh toán điện tử. Vẽ mô hình và trình bày quá trình
hoạt động của mô hình thanh toán thường gặp.....................................................................................43
Câu 22 Thương mại điẹn tử là gì? Các giai đoạn phát triển của thương mại điện tử? Các loại hình
thương mại điện tử? Điều kiện phát triển thương mại điện tử?..........................................................44
Câu 23: Chưa có câu 23 đâu ..............................................................................................................46

2
Câu 1. Lịch sử phát triển của thương mại điện tử
1960s: Mạng ARPAnet được hình thành; TMĐT cũng bắt đầu từ đây, các doanh
nghiệp đã tiến hành các giao dịch điện tử thông qua các mạng máy tính sơ khai.
Các doanh nghiệp đã phát triển hệ thống máy tính nội bộ và mạng nội bộ để sắp
xếp các chức năng kinh doanh.
Ví dụ điển hình là hệ thống xử lý đơn hàng, có thể xử lý các đơn hàng của khách
hàng với tốc độ lớn hơn
1970s: Mạng ARPAnet được giới thiệu rộng rãi; Hai công nghệ trao đổi dữ liệu
điện tử (EDI – Electronic Data Interchange) và chuyển tiền điện tử (EFT –
Electronic Funds Transfer) được ứng dụng để các doanh nghiệp có thể chia sẻ tài
liệu kinh doanh, đơn đặt hàng điện tử hay hóa đơn điện tử
1979: Michael Aldrich thể hiện hệ thống mua sắm trực tuyến đầu tiên
1980s: bộ giao thức TCP/IP được đưa vào sử dụng; Trong khoảng thời gian này
máy ATM và thẻ tín dụng đặt nền móng cho thương mại điện tử
1981: Thomson Holidays UK là hệ thống mua bán trực tuyến doanh nghiệp-doanh
nghiệp đầu tiên.
1982: Minitel đã được France Télécom giới thiệu trên toàn quốc tại Pháp và sử
dụng cho đặt hàng trực tuyến
1990s: ra đời công nghệ www, mạng ARPAnet -> NSFnet -> Internet; Sự ra đời
của World Wide Web mở ra cánh cửa cho nhiều dịch vụ thương mại điện tử mới
có phạm vi toàn cầu
2000 - nay: công nghệ Internet phát triển vượt bậc. Số lượng người dùng Internet
toàn cầu mỗi năm
Hiện tại, TMĐT đang trong giai đoạn đầu thời 4.0

Câu 2. Lợi ích và hạn chế của thương mại điện tử

Lợi ích:
 hoạt động kinh doanh toàn cầu 7 ngày / tuần, 24 giờ/ngày
 Nắm bắt được nhu cầu của khách hàng tiềm năng
 Phát triển mối quan hệ khách hàng
 Cải thiện dịch vụ khách hàng
 Cải thiện mối quan hệ với nhà cung cấp
 Cải thiện mối quan hệ với cộng đồng tài chính
 Nâng cao tính thuận tiện, dễ dàng của việc mua sắm
3
  Nâng cao số lượng khách hàng
 Tăng lợi nhuận vốn đầu tư
 Cá nhân hóa dịch vụ
 Sản phẩm và dịch vụ theo yêu cầu khách hàng
Hạn chế
Nguồn vốn và băng thông
Vấn đề an ninh do chưa có tiêu chuẩn quốc tế về chất lượng, an toàn độ tin cậy (an
ninh và tính riêng tư).
Chi phí cho truy cập Internet, chi phí máy tính, thiết bị di động còn cao => giảm
khả năng tiếp cận của khách hàng với TMĐT
Doanh nghiệp gặp khó khăn khi tích hợp các phần mềm TMĐT với các phần mềm
ứng dụng, CSDL của king doanh truyền thống. Đầu tư chi phí để xây dựng các
máy chủ TMĐT chuyên dụng
Vấn đề về pháp luật và chính sách chưa rõ ràng, phương pháp đánh giá tính hiệu
quả của TMĐT vẫn chưa đầy đủ
 Số người tham gia TMĐT cong hạn chế
 Tội phạm thương mại điên tử gia tăng mạnh mẽ

Câu 3. Khái niệm thương mại điện tử và phân loại

Khái niệm TMĐT:
là một khái niệm được dùng để mô tả quá trình mua và bán hoặc trao đổi sản phẩm,
dịch vụ và thông tin thông qua mạng máy tính, kể cả Internet. Thương mại đt
thường được hiểu theo nghĩa hẹp là mua và bán trên mạng hay mua bán thông qua
các phương tiện điện tử.
Phân loại:
Các chủ thể tham gia phần lớn vào các giao dịch điện tử là: chính phủ, doanh
nghiệp, người tiêu dùng/khách hàng cá nhân.
B : đóng vai trò động lực phát triển TMĐT
C : quyết định sự thành công của TMĐT
G : đóng vai trò định hướng điều tiết và quản lý
Mô hình phổ biến:
B2C: doanh nghiệp sử dụng các phương tiện điện tử để bán hàng hóa và cung cấp
dịch vụ tới người tiêu dùng; người tiêu dùng thông qua cácphương tiện điện tử để
4
lựa chọn, mặc cả, đặt hàng, thanh toán, nhận hàg. Đây chủ yếu là mô hình bán lẻ
qua mạng như Amazon
B2B: là loại hình giao dịch qua cácphương tiện điện tử giữa doanh nghiệp với
doanh nghiệp. Các giao dịch B2B chủ yếu được thực hiện trên hệ thống ứng dụng
TMĐT như mạng giá trị gia tăng VAN, SCM, các sàn giao dịch TMĐT B2B. Các
doanh nghiệp có thể trào hàng, tìm kiếm khách hàng, đối tác, đặt hàng, ký kết hợp
đồng, thanh toán qua các hệ thống này. Ở mức độ cao, các giao dịch này có thể
diễn ra một cách tự động như alibaba
B2G: trong mô hình này chính phủ cơ quan nhà nước đóng vai trò như khách hàng
và quá trình trao đổi thông tin cũng được tiến hành qua cácphương tiện điện tử
C2C: đây là mô hình TMĐT giữa các cá nhân với nhau. Một cá nhân có thể tự
thiết lập website để kinh doanh những mặt hàng do mình làm ra hoặc sử dụng một
website có sẵn để đấu giá món hàng mà mình có. Ví dụ như ebay
G2C: chủ yếu đề cập đến các giao dịch mang tính hành chính, tuy nhiên vẫn có thể
mang yếu tố của TMĐT. Ví dụ như đóng thuế cá nhân qua mạng, trả phí đăng ký
hồ sơ
Kiến trúc thương mại điện tử:
Các thành phần bao gồm:
 Máy chủ Web, chứa website TMĐT
 Trung tâm xử lý thanh toán
 Ngân hàng
 Ngoài ra, hệ thống mạng đóng vai trò truyền dữ liệu là trong suốt với quá
trình hoạt động của hệ thống

5
6
Phân theo chủ sở hữu thì hệ thống TMĐT gồm 5 đối tượng:
 Máy khách, PC của người mua
 Máy chủ web, làm dịch vụ hosting website TMĐT. Đối tượng này có chủ sở
hữu là nhà cung cấp dịch vụ webhosting
 Website TMĐT có webmaster chính là công ty, bán dịch vụ,hàng hóa trực
tuyến.
 Trung tâm dịch vụ xử lý giao dịch, chính là đơn vị trung gian đứng ra thực
hiện giao dịch thanh toán trực tuyến.
 Các ngân hàng: bắt buộc phải bao gồm ngân hàng thực hiện giao dịch thanh
toán (có tài khoản của trung tâm xử lý giao dịch thanh toán hoặc webmaster
trang TMĐT), ngân hàng có tk người mua, có thể thêm một số ngân hàng
trung gian trong quá trình chuyển tiền giữa hai ngân hàng này. Cũng có
trường hợp một ngân hàng vừa có tài khoản người mua, vừa có tài khoản
của trung tâm dịch vụ thanh toán.

Câu 4. Marketting điện tử, So sánh giữa marketing điện tử và truyền thống
Khái niệm: marketing điện tử hay tiếp thị qua mạng, tiếp thị trực tuyến có tên
tiếng anh là E – marketing, là quá trình lập kế hoạch về sản phẩm, giá, phân phối
và xúc tiến đối với sản phẩm, dịch vụ và ý tưởng để đáp ứng nhu cầu của tổ chức
và cá nhân dựa trên các phương tiện điện tử và Internet.
Bao gồm tất cả các hoạt động để thỏa mãn nhu cầu và mong muốn của khách hàng
thông qua Internet và các phương tiện điện tử
Những hoạt động marketing điện tử phổ biến:
 Marketing trực tiếp bằng e-mail;
 Gửi thông điệp quảng cáo qua Internet đến các thiết bị điện tử như điện thoại
động, fax,…;
 Dịch vụ khách hàng thông qua các công cụ trên web và Internet như chat,
voice, video conference, net meeting;
 Thực hiện điều tra ý kiến khách hàng tự động bằng bảng câu hỏi trên web;
 Đăng ký trên các sàn giao dịch, cổng thương mại điện tử;
 Tổ chức các diễn đàn để tìm hiểu ý kiến khách hàng.

Lợi ích của marketing ĐT

Đối với các doanh nghiệp
7
  Giúp cho các doanh nghiệp có được các thông tin về thị trường và đối tác
nhanh nhất và rẻ nhất.
 Giúp cho quá trình chia sẻ thông tin giữa người mua và người bán diễn ra dễ
dàng hơn
 Giúp doanh nghiệp giảm được nhiều chi phí
 Loại bỏ những trở ngại về mặt không gian và thời gian, giúp thiết lập và
củng cố các quan hệ đối tác.
 Tạo cơ hội để tiến hành buôn bán với thị trường nước ngoài.
 Cá biệt hóa sản phẩm đến từng khách hàng
 Giúp cho các doanh nghiệp xây dựng được các cơ sở dữ liệu thông tin rất
phong phú, làm nền tảng cho loại hình giao dịch “một tới một”.
Đối với người tiêu dùng
 Giảm chi phí và tiết kiệm thời gian
 Giúp tiếp cận được nhiều sản phẩm để so sánh và lựa chọn
 Giá cả trở nên cạnh tranh hơn.
 Khuyến khích người tiêu dùng tham gia tích cực vào phát triển thương hiệu
So sánh marketing truyền thống và marketing điện tử
Đặc điểm Truyền thống Điện tử
Phương thức Mass media Internet và thiết bị digital
Không gian Bị giới hạn Không giới hạn
Thời gian Chỉ vào một số giờ nhất định Mọi lúc mọi nơi, phản ứng
nhanh, cập nhật thông tin sau
vài phút
Phản hồi Một thời gian dài Ngay lập tức
Khách hàng Không chọn được nhóm đối Có thể chọn được nhóm đối
tượng cụ thể tượng cụ thể
Chi phí Cao Thấp
Lưu trữ thông Rất khó để lưu trữ thông tin Lưu trữ thông tin khách hàng
tin khách hàng nhanh chóng, dễ dàng

Câu 5. Hợp đồng điện tử, quy trình ký kết và thực hiện HDĐT B2B, B2C,
C2C
Khái niệm:
Theo điều 11, mục 1 của luật mẫu về TMĐT của UNCITRAL (1996) quy định:
“hợp đồng điện tử được hiểu là hợp đồng được hình thành thông qua việc sử dụng
thông điệp dữ liệu”, “Về mặt hình thức hợp đồng, trừ khi các bên có quy định

8
khác, chào hàng và chấp nhận chào hàng có thể được thể hiện bằng thông điệp dữ
liệu. Khi thông điệp dữ liệu được sử dụng để hình thành hợp đồng, thì hợp đồng đó
không bị phủ nhận giá trị pháp lý chỉ vì nó được thể hiện bằng thông điệp dữ liệu”.
Luật giao dịch điện tử VN cũng quy định: “Hợp đồng điện tử là hợp đồng được
thiết lập dưới dạng thông điệp dữ liệu theo quy định của luật này ”. thông điệp dữ
liệu cũng được quy định cụ thể là thông tin được tạo ra, được gửi đi và được lưu
trữ bằng phương tiện điện tử, cũng theo đó phương tiện điện tử được quy định là
phương tiện hoạt động dựa trên công nghệ điện, điện tử, kỹ thuật số, từ tính, truyền
dẫn không dây, quang học, điện tử hoặc công nghệ tương tự

Ký kết và quy trình:

B2B
Ký kết hợp đồng điện tử B2B:

9
 Thường diễn ra tại các sàn giao dịch điện tử B2B (B2B emarketplace),
 Trao đổi giao dịch qua thư điện tử hoặc mạng truyền tải dữ liệu điện tử (EDI)
Các bước ký kết HĐ:
B1: người mua đặt hàng B2: người bán xác nhận đơn hàng
B3 Người mua gửi 1 thông điệp y/c các chứng từ cần xuất trình
B4a người bán gửi chấp nhận B4b người mua gửi thông điệp đến ngân hàng y/c
mở L/C B5: ngân hàng mở L/C và gửi thông báo cho người bán
B6 người bán y/c lấy các chứng thực cần thiết đến các cơ quan
B7 cơ quan chuyển các chứng thực tới người bán
B8 người bán gửi các chứng thực điện tử tơis trung tâm xử lí thanh toán để kiểm
tra và thanh toán
B9 SURF kiểm tra các chứng thưcj với L/C và tb cho người bán và ngân hàng của
người mua.
B10 người mua thanh toán cho ngân hàng bên mua bộ chứng từ đc chuyển cho
người mua B11 ngân hàng bên mua thanh toán cho ngân hàng bên bán
B12 khi hàng đến nơi, bên vận chuyển tb cho bên mua
B13 người mua xuất trình vận đơn điện tử
b14 bên mua nhận hàng từ bên vận chuyển
Quy trình thực hiện hợp đồng điện tử B2B
 Cấp độ thứ nhất: các bên tiến hành thanh toán, giao hàng và cung cấp dịch vụ
như giao dịch truyền thống với sự kết hợp của một số ứng dụng công nghệ
thông tin.
 Cấp độ thứ 2: các bên sử dụng những sàn giao dịch điện tử làm trung tâm để
qua đó tiến hành các giao dịch, thanh toán, phân phối, đặc biệt là xử lý chứng từ
điện tử

B2C
Quy trình ký kết hợp đồng đt B2C
B1 khách hàng tìm kiếm sp B2: cho phép KH xem chi tiết sp
B3 KH thêm vào giỏ hàng B4 KH nhập thông tin của mk

10
B5 nhập địa chỉ nhận hàng B6 chọn phương thức giao hàng
B7 chọn phương thức thanh toán b8 nhập địa chỉ thanh toán
B9 kiểm tra lại đơn hàng và xác nhận b10 gửi email xác nhận đơn hàng
Quy trình thực hiện hợp đồng điện tử B2C
B1: Kiểm tra thanh toán B2: Kiểm tra tình trạng hàng trong kho;
B3: Tổ chức vận tải; B4: Mua bảo hiểm B 5: Sản xuất hàng;
B6: Dịch vụ; B7: Mua sắm và kho vận;
B8: Liên hệ với khách hàng; B 9: Xử lý hàng trả lại.
C2C : Quy trình thực hiện HDĐT
B1: người bán điền vào mẫu thông tin về hàng hóa
B2: đặt mức giá tối thiểu và thời gian hiệu lực B3: người mua trả giá
 B4: phiên kết thúc khi hết thời gian hiệu lực
 B5: thương lượng hình thức thanh toán, giao hàng, bảo hành
Quy trình ký kết HDĐT C2C
B1: Đăng ký thành viên  B 2: Tìm kiếm sản phẩm  B3: Lựa chọn cách thức
mua hàng: đấu giá, đặt hàng hoặc mua trực tiếp từ Ebay  B 4: Lựa chọn phương
thức thanh toán B5: Sử dụng My Ebay để lưu trữ thông tin giao dịch
B6: Liên hệ với các thành viên

Câu 6. Thanh toán điện tử: tổng quan các loại hình thanh toán điện tử
 Theo nghĩa rộng, Thanh toán điện tử là việc thanh toán tiền thông qua các thông
điệp điện tử thay cho việc trả tiền mặt trực tiếp.
 Theo nghĩa hẹp, thanh toán điện tử là việc trả tiền và nhận tiền cho các hàng
hoá, dịch vụ được mua bán trên Internet
Các phương tiện thanh toán trực tuyến:
 Thẻ thanh toán: Thẻ tín dụng (credit card), thẻ ghi nợ (debit card), thẻ mua
hàng (charge card)
 Séc điện tử
 Tiền điện tử
 Ví điện tử
 Thẻ thông minh
Thẻ thanh toán:

11
Trong thực tế, có hai cách để tiến hành xử lý thẻ tín dụng trực tuyến:
 Số thẻ tín dụng và các thông tin thẻ được gửi dưới dạng chưa được mã hóa
trên Internet.
 Mọi thông tin về thẻ được mã hóa trước khi được gửi đi để thực hiện giao
dịch.

Séc điện tử

12
Séc điện tử có giá trị và bản chất tương đương với séc giấy thông thường. Một tệp
séc điện tử là tài liệu điện tử có chứa các dữ liệu sau:
 Số séc ;Tên người trả tiền; đơn vị tiền; ngày hết hạn
 Tên ngân hàng và số tài khoản của người trả tiền
 Tên người nhận tiền; chữ kí điện tử của người trả tiền
 Số tiền sẽ trả; xác nhận của người nhận tiền

Ưu điểm của hệ thống thanh toán séc điện tử

• Không yêu cầu khách hàng phải tiết lộ các thông tin về tài khoản của mình
cho các cá nhân khác trong quá trình giao dịch;
• Không yêu cầu khách hàng phải thường xuyên gửi các thông tin tài chính
nhạy cảm trên web;
• Với bên bán hàng, đây là hình thức có chi phí thấp hơn nhiều so với thanh
toán bằng thẻ tín dụng;
• Thanh toán bằng séc điện tử nhanh và tiện lợi hơn nhiều so với thanh toán
bằng séc giấy trong thương mại truyền thống.
Tiền điện tử
• Tiền điện tử (e-cash) hay còn gọi là tiền số hóa (digital cash) là thể hiện ở
dạng điện tử của tiền truyền thống
• Một đơn vị tiền điện tử thường được gọi là một đồng điện tử, hoặc một đồng
tiền số.
• Gía trị thực của đồng tiền số không liên quan tới đơn vị tiền trong thực tế. Tức
là đơn vị quy đổi thường không phải bằng 1.
• Tiền số được quy định bởi nhà trung gian đầu cơ –broker.

13
1. Bên mua gửi đồng xu (coin) với số sê-ri mã hoá đến tổ chức tài
chính.
2. Tổ chức tài chính gửi lại đồng tiền đã mã.
3. Khách hàng giải mã số sê-ri và sử dụng đồng xu để thanh toán.
4. Bên bán gửi tiền xu cho tổ chức tài chính của mình.
5. Ngân hàng có tài khoản của bên bán liên hệ với ngân hàng có tài khoản của
bên mua yêu cầu kiểm tra và thanh toán.
6. Bên bán nhận được xác nhận và nhận được tiền trong tài khoản.
Ví điện tử :
là phần mềm hoặc thiết bị phần cứng lưu trữ tiền điện tử của người chủ ví dưới
dạng chuỗi bit

14
 Lưu trữ được tiền trên mạng Internet: Giảm bớt được sự lưu thông của tiền mặt,
giảm thiểu những rủi ro về lạm phát.
Đẩy nhanh quá trình giải quyết đơn đặt hàng, chi phí cho các giao dịch thấp bởi
việc ghi đơn đặt hàng có thể được giải quyết tự động, giảm sự quản lý trong các
giao dịch thông qua thẻ ngân hàng.
Giảm thiểu những rủi ro như gian lận hay đánh cắp thông tin mà hình thức
thanh toán bằng thẻ tín dụng hay gặp phải

Thẻ thông minh:

 Thẻ thông minh là loại thẻ bỏ túi thường có kích thước của thẻ tín dụng, bên
trong chứa một vi mạch điện tử có khả năng lưu trữ và xử lý thông tin.
 Trên phương diện thanh toán, thẻ thông minh là một công nghệ, chứ không phải
công cụ thanh toán mới. Với khả năng lưu trữ các thông tin gấp trăm lần thẻ tín
dụng, thẻ thông minh có thể làm thẻ tín dụng, thiết bị lưu trữ tiền điện tử, thẻ
rút tiền, thiết bị kiểm tra điện tử, hoặc phối hợp tất cả các chức năng trên.

Câu 7. Các vấn đề an toàn trong thương mại điện tử

Tính toàn vẹn

15
  Đảm bảo rằng thông tin không bị người dùng bất hợp pháp thay đổi, sửa đổi
nội dung.
 Để đảm bảo tính toàn vẹn, hệ thống phải xác định rõ quyền hạn của những
người được phép truy cập vào hệ thống như: website, máy chủ nhằm hạn chế
mối nguy hiểm từ cả bên ngoài về bên trong hệ thống
Tính xác thực
 Xác thực định danh thực thể: định danh một thực thể cụ thể tham gia vào
hoạt động giao dịch TMĐT
 Xác thực định danh nguồn gốc dữ liệu: nhận dạng nguồn gốc hoặc xuất phát
điểm của một thông điệp
Chống chối bỏ
 Liên quan đến trách nhiệm của các bên tham gia TMĐT đối với hành động
và hành vi mà họ thực hiện.
 Đảm bảo các bên tham gia vào hoạt động giao dịch TMĐT không phủ nhận
trách nhiệm của mình đối với những việc họ làm
Tính tin cậy và tính riêng tư
Tính tin cậy và tính riêng tư là hai khía cạnh hoàn toàn khác nhau.
 Tính tin cậy liên quan đến việc đảm bảo rằng các thông tin, dữ liệu có giá trị
và nhạy cảm (như thông tin cá nhân, thông tin thẻ của khách hàng được truy
cập bởi những người có đủ quyền hạn
 Tính riêng tư lại đảm bảo việc thông tin cá nhân của khách hàng được kiểm
soát

Tính ích lợi

 Việc đảm bảo các chức năng một website TMĐT của doanh nghiệp hoạt
động theo đúng mục đích là khía cạnh liên quan đến tính ích lợi.
 Phải thiết lập các chính sách quản lý hoạt động và các biện pháp phát hiện
và phòng chống các tác nhân bên trong và bên ngoài dẫn đến việc làm ảnh
hưởng tới hoạt động giao dịch trên mạng công cộng, Internet.

Câu 8. Nguy cơ mất an toàn trong môi trường Internet

Đánh giá rủi ro an toàn (ISO27001)
Bước 1: Xác định các rủi ro

16
  Xác định tất cả các tài sản (assets) trong phạm vi hệ thống ISMS và đối
tượng quản lý các tài sản này.
 Xác định các mối đe doạ (threats) đối với tài sản.
 Xác định các điểm yếu (vulnerabilities) có thể bị khai thác bởi các mối đe
doạ trên.
 Xác định các tác động (impacts) làm mất tính chất bí mật, toàn vẹn và sẵn
sàng của tài sản.
Bước 2: Phân tích và ước lượng rủi ro
 Đánh giá các ảnh hưởng tới hoạt động của tổ chức có thể gây ra do sự cố về
ATTT.
 Đánh giá các khả năng thực tế có thể xảy ra sự cố ATTT bắt nguồn từ các
mối đe dọa và nguy cơ đã dự đoán. Đồng thời đánh giá các tác động tới tài
sản và các biện pháp bảo vệ đang thực hiện.
 Ước đoán các mức độ của rủi ro.
 Xác định rủi ro là chấp nhận được hay phải có biện pháp xử lý dựa trên các
tiêu chí chấp nhận rủi ro.
Bước 3: Xác định và đánh giá các lựa chọn cho việc xử lý rủi ro:
 Áp dụng các biện pháp quản lý thích hợp.
 Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính sách và
tiêu chí chấp nhận rủi ro của tổ chức.
 Tránh các rủi ro.
 Chuyển giao các rủi ro các bộ phận khác (như bảo hiểm, nhà cung cấp...)

Các mối đe dọa

Mã độc hại
 Virus: chương trình máy tính có khả năng sao chép và lây lan sang các tệp
tin khác;
 Worms: được thiết kế để lây lan từ máy tính sang máy tính;
 Trojan horse: có vẻ là lành tính, nhưng sau đó làm gì khác dẫn đến hậu quả
không ngờ;
 Bad applet (mã độc hại di động): lây lan sang hệ thống của người dùng và
làm ảnh hưởng tới các chương trình hoạt động trên hệ thống
Tin tặc và các chương trình phá hoại

17
  Hacker: Cá nhân có ý định truy cập trái phép vào hệ thống máy tính
(cracker).
 Chương trình phá hoại (Cybervandalism): Cố ý phá hoại, gây ra sự cố hoặc
phá hủy một website.
 Các loại tin tặc bao gồm:
 Mũ trắng – cá nhân được mời kiểm tra các biện pháp an ninh
 Mũ đen - Hành động với ý định gây hại
 Mũ xám - Tin rằng họ đang theo đuổi một số điều tốt đẹp hơn bằng cách
xâm nhập và tiết lộ các lỗi hệ thống
Gian lận thẻ tín dụng
 Tin tặc nhắm mục tiêu các tệp tin dữ liệu thẻ tín dụng và các tệp thông tin
khách hàng khác trên các website TMĐT; sử dụng dữ liệu bị đánh cắp để
thiết lập tín dụng dưới dạng nhận dạng giả
Sự lừa đảo
 Tin tặc sử dụng các địa chỉ thư điện tử giả hoặc mạo danh một người nào đó
thực hiện những mưu đồ bất chính.
 Tin tặc thay đổi hoặc làm chệch hướng liên kết Web tới một địa chỉ khác với
địa chỉ thực hoặc tới một website giả mạo website thực tế cần liên kết tới.
 Những liên kết này có thể sẽ hướng người sử dụng tới những website vô bổ,
ngoài mong muốn nhằm thực hiện những mưu đồ của tin tặc.

Từ chối dịch vụ
 Tin tặc sử dụng những lưu lượng rác (spam) làm tràn ngập và dẫn tới tắc
nghẽn mạng, hoặc sử dụng số lượng lớn máy tính tấn công vào một mạng
(dưới dạng các yêu cầu phân bố dịch vụ) từ nhiều điểm khác nhau gây nên
sự quá tải về khả năng cung cấp dịch vụ
Nghe trộm (Sniffing)
 Tin tặc sử dụng loại chương trình nghe trộm theo dõi thông tin di chuyển
qua mạng; cho phép tin tặc ăn cắp thông tin độc quyền từ bất cứ đâu trên
mạng.
Sự tấn công từ bên trong doanh nghiệp

18
  Những nhân viên làm việc trong doanh nghiệp có thể truy cập các thông tin
bí mật, hoặc xâm nhập tới các vị trí nhạy cảm trong hệ thống thông tin của
tổ chức nếu như những biện pháp bảo mật thông tin của doanh nghiệp không
đủ an toàn. Chính vị vậy, trong nhiều trường hợp, hậu quả của những đe dọa
này còn nghiêm trọng hơn cả những vụ tấn công từ bên ngoài doanh nghiệp.
Các nguy cơ tấn công Web và ứng dụng
 Tấn công dựa trên lỗ hổng của hệ điều hành máy chủ chứa ứng dụng web.
 Tấn công unicode, printer ISAPI trên máy chủ Microsoft IIS,
 Tấn công tràn bộ nhớ đệm trên máy chủ Apache
 Tấn công các lỗ hổng liên quan đến vấn đề quản trị Web. Các tấn công này
khai thác các điểu yếu do lỗi của người quản trị web, cấu hình trang web
thiếu an toàn.
 Kiểm tra tập tin thông thường (Common File Checks)
 Kiểm tra đuôi tập tin (Extension checking)
 Kiểm tra dữ liệu (Data Extension Checking)
 Kiểm tra dữ liệu backup (Backup Checking)
 Liệt kê nội dung thư mục (Directory Enumeration)
 Kiểm so|t đường dẫn (Path Truncation)
 Đường dẫn web ẩn (Hidden Web Paths)
 Cấu hình sai SSL
 Cấu hình sai HTTP
 Tấn công dựa trên lỗ hổng tầng ứng dụng web.
 Lỗi về quá trình xác thực
 Lỗi về quy trình kiểm soát và phân quyền
 Dữ liệu cần bảo vệ bị lộ
 Lỗi từ chối dịch vụ
 Lỗi lừa đảo web do cross-site scripting
 Mất cắp thông tin chủ thể
 Lỗi do SQL Injection
 Tấn công trình duyệt web:
 Dữ liệu đầu vào không được kiểm tra
 Lỗi kiểm soát truy cập nguồn tài nguyên
 Lỗi liên quan đến quá trình quản lý xác thực và phiên
 truy cập.
 Lỗi Cross Site Scripting (XSS)
 Lỗi tràn bộ đệm
 Lỗi Injection
 Quy trình quản lý báo lỗi

19
Câu 9. Hệ thống thanh toán điện tử: mô hình, các phương thức thanh toán, và
Các nguy cơ mất an toàn

Hệ thống thanh toán thường gặp

Các phương thức thanh toán
 Thẻ thanh toán: thẻ tín dụng (credit card), thẻ ghi nợ (debit card) và thẻ mua
hàng (charge card)
 Thẻ thông minh
 Ví điện tử
 Tiền điện tử
 Thanh toán qua điện thoại di động
 Thanh toán điện tử tại nơi b|n h{ng
 Séc điện tử
 Thẻ mua hàng
 Thư tín dụng điện tử
 Chuyển tiền điện tử
Các nguy cơ mất an toàn
Những rủi ro liên quan đến quá trình thanh toán
 Sao chép, làm giả thiết bị: Trong các hệ thống dựa trên thẻ, làm giả một thiết
bị khác được chấp nhận như thiết bị thật, bao gồm cả chìa khóa giải mã, số
dư ví các dữ liệu khác trên thẻ.

20
 Sửa đổi, sao chép dữ liệu hoặc phần mềm: phương pháp này làm thay đổi
trái phép dữ liệu lưu trữ trên thiết bị của phương tiện thanh toán điện tử.
 Lấy trộm thiết bị: lấy trộm thiết bị của người tiêu dùng hoặc người bán và sử
dụng trái phép số dư trên đó
 Không ghi lại giao dịch: Một người sử dụng có thể cố tình không ghi lại giao
dịch, không thực hiện nghĩa vụ trả tiền, dẫn tới thất thoát cho người bán
cũng như nhà phát hành sản phẩm tiền điện tử
 Sự cố hoạt động: các phương tiện thanh toán điện tử có thể bị sự cố ngẫu
nhiên hoặc bị mất các dữ liệu lưu trên thiết bị, một chức năng nào đó ngừng
hoạt động, như chức năng kế toán hoặc chức năng bảo mật, hoặc lỗi trong
quá trình truyền tải, xử lý thông tin
Rủi ro đối với Ngân hàng phát hành
 Khi chủ thẻ có ý định gian lận, họ sẽ sử dụng thẻ thanh toán ở những
điểm tiếp nhận thẻ khác nhau để thực hiện giao dịch có mức thanh toán
thấp hơn hạn mức thanh toán, nhưng tổng mức thanh toán lại cao hơn hạn
mức thanh toán mà thẻ được phép.
 Lợi dụng tính chất của thẻ để lừa gạt Ngân hàng phát hành thẻ: chủ thẻ có
thể thông đồng với người khác, giao thẻ cho người đó sử dụng ở các cơ
sở bán hàng chấp nhận thẻ mà không phải là nơi chủ thẻ cư trú (ví dụ, ở
nước ngoài). Khi ngân hàng phát hành gửi hóa đơn đến, chủ thẻ sẽ đưa ra
những bằng chứng để chối bỏ trách nhiệm với đơn hàng này và từ chối
thanh toán
 Chủ thẻ cũng có thể cố tình lấy tiền của ngân hàng bằng cách báo cho
Ngân hàng phát hành là thẻ bị thất lạc, nhưng lại vẫn sử dụng thẻ đó để
thanh toán trong thời gian thẻ chưa kịp đưa vào danh sách “đen”.
Những nguyên nhân khách quan khác như:
 Việc sử dụng thẻ giả mạo trùng với thẻ đang lưu hành của Ngân hàng
phát hành thẻ.
 Chủ thẻ mất khả năng thanh toán bởi lý do khách quan như tai nạn bất
ngờ, không còn khả năng làm việc và mất thu nhập,…
 Rủi ro do các hoạt động gian lận và phi pháp: Lợi dụng sự chưa hoàn hảo
trong các hệ thống bảo mật, các dữ liệu về thẻ thanh toán có thể bị đánh
cắp và sử dụng bất hợp pháp.
 Thẻ mất cắp, thất lạc (Lost-Stolen Card): Chủ thẻ bị mất cắp, thất lạc thẻ
và bị người khác sử dụng trước khi chủ thẻ kịp thông báo cho ngân hàng
phát hành để có các biện pháp hạn chế sử dụng hoặc thu hồi thẻ.
 Thẻ giả (Counterfeit Card): Thẻ do các tổ chức tội phạm làm giả căn cứ
vào các thông tin có được từ các giao dịch thẻ hoặc thông tin của thẻ bị
21
 mất cắp. Thẻ giả được sử dụng tạo ra các giao dịch giả mạo, gây tổn thất
cho các Ngân hàng. Đây là loại rủi ro nguy hiểm và khó quản lý vì có
liên quan đến nhiều nguồn thông tin và nằm ngoài khả năng kiểm soát
của ngân hàng phát hành.
 Đơn xin phát hành thẻ với thông tin giả mạo (Fraudulent Application):
Do không thẩm định kỹ hồ sơ, Ngân hàng phát hành thẻ cho khách hàng
mà không biết rằng thông tin trên đơn xin phát hành là giả mạo.
 Chủ thẻ không nhận được thẻ do ngân hàng phát hànhgửi (Never
received issue): Ngân hàng phát hành gửi thẻ cho chủ thẻ bằng đường
bưu điện nhưng thẻ bị thất lạc hoặc bị đánh cắp trên đường gửi.
 Tài khoản của chủ thẻ bị lợi dụng (Account takeover): Đến kỳ phát hành
lại thẻ, ngân hàng phát hành nhận được thông báo thay đổi địa chỉ của
chủ thẻ.
 Thẻ bị giả mạo để thanh to|n qua thư, điện thoại (Mail, telephone order).
Nhân viên Cơ sở chấp nhận thẻ giả mạo hóa đơn thanh toán thẻ:
(Multiple Imprints).
 Tạo băng từ giả (Skimming): Rủi ro xảy ra là do các tổ chức tội phạm
dùng các thiết bị chuyên dụng thu thập thông tin thẻ trên băng từ của thẻ
thật

Rủi ro tại ngân hàng thanh toán

 Sai sót trong việc cấp phép
 Không cung cấp kịp thời danh sách đen
Rủi ro cho cơ sở chấp nhận thanh toán thẻ:
Ngân hàng phát hành từ chối thanh toán toàn bộ hóa đơn hàng hóa và dịch vụ mà
cơ sở chấp nhận thẻ đã cung ứng do:
 Thẻ hết thời hạn hiệu lực
 Thanh toán nhiều thương vụ vượt hạn mức
 Cố tình tách thương vụ thành nhiều thương vụ nhỏ để không cần phải xin
phép.
 Sửa chữa số tiền trên hóa đơn do ghi nhầm hoặc cố ý mà quê rằng phía chủ
thẻ cũng giữ một hóa đơn tương tự
Rủi ro đối với chủ thẻ
 Bị lộ mã số định danh cá nhân – PIN
 Thẻ bị mất và bị sử dụng vào mục đích gian lận

22
Câu 10. Các dịch vụ bảo mật thanh toán
Nhóm 1: bảo mật giao dịch thanh toán:
 Người dùng nặc danh: bảo vệ không tiết lộ danh tính người dùng trong mạng
giao dịch;
 Không theo dấu được địa điểm: bảo vệ chống tiết lộ địa điểm phát lệnh giao
dịch;
 Người trả tiền nặc danh: bảo vệ không tiết lộ danh tính người trả tiền;
 Không theo dấu được giao dịch thanh toán: bảo vệ không liên hệ hai giao
dịch thanh toán khác nhau của cùng một khách hàng không liên kết với
nhau;
 Bảo mật dữ liệu giao dịch bảo vệ chống tiết lộ các dữ liệu cụ thể trong giao
dịch;
 Chống từ chối thông điệp giao dịch thanh toán: không cho phép từ chối
nguồn xuất phát thông điệp giao thức xuất phát giao dịch thanh toán;
 Không lặp thông điệp giao dịch
Nhóm 2: Bảo mật tiền điện tử
 Bảo vệ chống tiêu tiền nhiều lần: trên cùng một khối lượng tiền;
 Chống giả mạo tiền: chống bên không phép tạo ra tiền điện tử giả;
 Bảo vệ tiền không bị ăn trộm, sao chép.
Nhóm 3: Bảo mật Séc điện tử
 Dựa trên công nghệ đặc thù của hệ thống thanh toán này.
 Có dịch vụ Trung gian chuyển & chứng nhận thanh toán:
 B1: bên xác thực hợp pháp đứng ra chứng nhận,
 B2: chuyển tiếp tới bên xác thực trung gian tiếp theo được lựa chọn
theo nguyên tắc xác thực có giới hạn

Câu 11. Các vấn đề trong bảo mật giao dịch thanh toán
Dịch vụ bảo mật dữ liệu giao dịch thanh to|n tương tự như bảo mật truyền thông
nhưng có thêm một số các trường hợp phức tạp hơn:
 Dữ liệu giao dịch thanh toán được bảo vệ tránh lộ ra cho người ngoài
 Một số phần chọn trước của dữ liệu được bảo vệ khỏi người ủy nhiệm đã giao
phó trước đó (ví dụ như người bán).
Bao gồm:
 Nặc danh người dùng và không theo dấu địa điểm
 Không theo dấu giao dịch thanh toán
 Nhãn thời gian lúc thanh toán chống tấn công từ điển và nghe trộm

23
 Bảo mật dữ liệu giao dịch thanh toán
 Chống từ chối thông điệp giao dịch
 Giữ thông điệp giao dịch luôn mới

Câu 12. Các kỹ thuật giúp nặc danh người dùng và không theo dấu địa điểm
Nặc danh người dùng:
Hai dịch vụ này có thể được cung cấp độc lập: với mục đích không tiết lộ danh tính
người mua.
 Dịch vụ bảo vệ cho việc giấu tên người dùng, không để lộ thông tin người
dùng;
 Người dùng sử dụng tên giả thay cho tên thật
Cách triển khai phổ biến nhất là sử dụng các hàm chuỗi xáo trộn (chain of mixes),
nghĩa là thông điệp có địa chỉ của người gửi được đưa vào chuỗi nhiều
hàm xáo trộn.
Buyer’ message -> mix -> Seller/bank

Ý tưởng:
 Thông điệp được gửi từ A, B, C (đại diện cho các khách hàng có yêu cầu nặc
danh) tới hỗn hợp và từ hỗn hợp tới X, Y, Z (đại diện cho người bán/ngân
hàng muốn biết thông tin xác thực của khách hàng).
 Thông điệp được mã hóa với khóa công khai của hỗn hợp, EM
A: (Y, Message)
A -> Mix: EM(Mix, Ey(Y, Message))
Mix -> Y: Ey(Y, Message)

24
A → Mix1: E1(Mix2, E2(Mix3, E3(Y, Message)))
Mix1 → Mix2: E2(Mix3, E3(Y, Message))
Mix2 → Mix3: E3(Y, Message)
Mix3 → Y: Message
ERecipient (Next recipient, ENext recipient (…))
Nhận xét:
 Cần phải có mix tin cậy
 Giá thành cao
 Công nghệ thực hiện phức tạp

Câu 13. Các kỹ thuật giúp không theo dấu giao dịch thanh toán
Hiện tại, không cơ chế thanh toán nào cho phép hoàn toàn nặc danh vì thế cũng
không có giao dịch nào hoàn toàn không thể theo dấu được
Có 2 cơ chế cho phép giao dịch không bị theo dấu được:
o Hàm băm ngẫu nhiên iKP
o Hàm băm ngẫu nhiên theo SET
Hàm băm ngẫu nhiên iKP
iKP (Internet Keyed Payment Protocol) là họ các giao thức thanh toán điện tử (i =
1, 2, 3) do trung tâm nghiên cứu của IBM phát triển, giải quyết việc thanh toán
giao dịch đa phương trên Internet (secure multi-Party transactions), dựa trên mô
hình thẻ điện tử.
Hàm băm ngẫu nhiên iPK (MD5) là 1 phần của cơ chế bảo mật thanh toán điện tử
Khi thực hiện giao dịch thanh toán, người mua tạo ra một tên giả dùng một lần
theo công thức:
IDC = hk (RC , BAN)
 IDC : Tên giả của người mua;
 hk : hàm hash một chiều;
 RC : số ngẫu nhiên do người mua lựa chọn khi bắt đầu giao dịch;
25
  BAN: số tài khoản ngân hàng của người mua

Và giá trị băm đơn hàng: hk(SALTC , DESC)

 SALTC : số ngẫu nhiên do người mua lựa chọn khi bắt đầu giao dịch;
 DESC: thông tin đơn hàng
Bảo mật thông tin thanh toán đối với người bán.
Người bán:
 Chỉ nhận được IDC => không có thông tin về khách hàng, không thể tính
được BAN (do không biết RC);
 Với mỗi giao dịch, người bán nhận được IDC khác nhau (do người mua chọn
RC khác nhau) => nên người bán không thể liên kết hai thanh toán được thực
hiện bởi cùng một khách hàng (cùng số BAN).
Cổng thanh toán có được RC, vì vậy có thể tính IDC và xác minh sự chính xác.
Bảo mật thông tin đặt hàng đối với cổng thanh toán.
Cổng thanh toán:
 Chỉ nhận được giá trị hash: hk (SALT C , DESC) => không có thông tin về
đơn hàng, không thể biết là đang thanh toán cho đơn hàng gì vì không thể
tính được DESC (do không biết SALTC).
 Khi thực hiện giao dịch thanh toán, người mua chọn số ngẫu nhiên SALT C
khác nhau với mỗi giao dịch và gửi nó đến người bán (ở dạng rõ)
Để hướng dẫn thanh toán chuyển đi từ người mua tới cổng thanh toán không bị
trang TMĐT đọc được, iKP dùng mã hóa khóa công khai. Người mua mã hóa
thông điệp bao gồm:
 Giá các mặt hàng mình mua;
 Thông tin thanh toán: số thẻ tín dụng, mã PIN;
 Hk(SALTc,DESC) băm cùng với dữ liệu giao dịch thông thường;
 Số RC ngẫu nhiên được sử dụng để tạo ra bút danh một lần cùng với khóa
công khai của cổng thanh toán
 Thông điệp đã mã hóa gửi tới trang TMĐT, chuyển tiếp tới cổng thanh toán.
Trước đó, người mua phải có khóa công khai của cổng thanh toán do một
bên chứng thực đáng tin cậy cung cấp. Theo cách này, chỉ có cổng thanh
toán giải mã được thông điệp.
 Liên hệ giữa hóa đơn mua hàng và hướng dẫn thanh toán được thiết lập qua
giá trị hk(SALTc,DESC). Sự kết hợp các giá trị này là duy nhất cho mỗi giao
dịch thanh toán => đảm bảo rằng không thanh toán cho một đơn hàng khác

26
Hàm băm ngẫu nhiên theo SET
 SET (Secure Electronic Transaction) là một chuẩn giao thức truyền thông
đảm bảo an toàn cho các giao dịch thẻ tín dụng qua mạng không an toàn
(Internet).
 SET là chuẩn mở do Visa và MasterCard đưa ra năm 1996. SET dùng công
nghệ mã hóa của RSA, nên không phải trả phí bản quyền, dễ mở rộng
 Để bảo vệ thông tin thanh toán đối với người bán (trang TMĐT) và bảo vệ
thông tin hóa đơn đối với cổng thanh toán, SET sử dụng chữ ký kép – chữ
ký song song (dual signature – DS).
 PI (Payment Information): thông tin thanh toán
 OI (Order Information): thông tin hóa đơn
 M: trang thương mại điện tử
 P: cổng thanh toán
 Người mua phải ký PI cho P, và OI cho M riêng rẽ bằng cách dùng hàm băm
hk(.) và khóa bí mật của mình theo giải thuật mã khóa công khai.
 Người mua áp dụng hàm băm lên PI và OI (dùng SHA-1), sau đó hai giá trị
băm được nối với nhau và áp dụng hàm băm một lần nữa với khóa riêng của
chính người mua để tạo thành chữ ký kép:
DS = K bí mật{h[h(PI), h(OI)]}
 Trang TMĐT nhận được: OI, h(PI), DS
 Cổng thanh toán nhận được: PI, h(OI), DS
=> Cả M và P đều có thể kiểm định lại chữ ký kép DS để xác nhận.
 Cổng thanh toán chỉ có thể liên hệ các thanh toán của cùng một người mua
với nhau, nhưng không thể biết là mua gì.
 Trang TMĐT chỉ có thể biết thông tin hóa đơn chứ không thể biết ai là
người mua hàng do có số ngẫu nhiên trong thông điệp nhận được.
=> Nếu cổng thanh toán và trang TMĐT không sát nhập CSDL thì chữ ký kép có
thể đảm bảo giao dịch thanh toán không bị trang TMĐT theo dấu

Câu 14. Chữ ký kép: khái niệm, mục đích, các bước tạo và xác minh chữ ký
kép
 Chữ ký kép (dual signature) là một thuật ngữ được dùng trong SET để diễn
đạt một liên kết giữa hai bản tin được gởi đi bởi cùng một người gởi nhưng
cho hai người nhận khác nhau.
 Mục đích: Hạn chế thông tin nhạy cảm đến những thành phần không cần
biết.
 Công ty thương mại không cần phải biết đến thông tin của thẻ tín dụng;
 Ngân hàng không cần biết đến thông tin của đơn đặt hàng của người mua.

27
 Mô hình tạo chữ ký kép:

Các bước thực hiện chữ ký kép trong TMĐT:

PIMD = PI message digest

PI = Payment Information OIMD = OI message digest
OI = Order Information POMD = Payment Order message digest
H = Hash function (SHA-1) E = thuật toán mật mã (RSA)
|| = Nối hai khối thông tin KRC = khóa riêng của người mua

Người mua tạo chữ ký kép:

DS = K bí mật_mua{h[h(PI), h(OI)]}

28
Người bán nhận được: OI, PIMD, DS.
Xác nhận chữ ký người mua bằng cách tính hai giá trị:
h[PIMD + h(OI)] và D(DS, Kcôngkhai_mua).
Nếu hai giá trị trên bằng nhau, thì chữ ký là chính xác và đơn đặt hàng được chấp
nhận.
Cổng thanh toán nhận được: PI, OIMD, DS.
Xác nhận chữ ký người mua bằng cách tính hai giá trị:
h[OIMD + h(PI)] và D(DS, Kcôngkhai_mua).
Nếu hai giá trị trên bằng nhau, thì chữ ký là chính xác và lệnh thanh toán được
chấp nhận
 Người mua không trực tiếp gửi PI tới cổng thanh toán mà gửi bản mã hóa
qua người bán.
 Người mua -> người bán: OI, PIMD, DS, chứng thực người mua, Ep(K),
Ek(PI, DS, OIMD)
 K: khóa bí mật được sinh ngẫu nhiên theo giải thuật mật mã khóa đối xứng;
 Ep(K): khóa bí mật được mã hóa bằng khóa công khai của cổng thanh toán
 Người bán không thể biết được PI
Người bán chuyển tiếp tất cả các thành phần trong thông điệp mình nhận được từ
người mua (trừ OI) tới cổng thanh toán. Thông điệp được mã hóa bởi khóa công
khai của cổng thanh toán vì thế chỉ cổng thanh toán mới đọc được giá trị này.
=> dữ liệu giao dịch thanh toán được bảo mật.

Câu 15. Họ giao thức iKP: khái niệm, họ giao thức con. Trình bày các bước
thực hiện giao dịch trong các giao thức con của họ giao thức iKP
Trình bày giao thức iKP:
 KP = Key Protocol.
 i = 1; 2; 3
Giao thức iKP dựa trên mật mã khóa công khai.
Khác nhau nhau về số lượng các bên (B, S, A) có cặp khóa công khai:
 1KP: chỉ có A sở hữu cặp khóa công khai;
 2KP: A và S sở hữu cặp khóa công khai;
 3KP: A, S và B sở hữu cặp khóa công khai
Hàm giả mã
Framework của giao thức iKP, cấu trúc chung:

29
Hàm giả mã 1KP
Trước khi giao thức bắt đầu, mỗi bên X ∈ {A; B; S} có một số thông tin bắt đầu
được đại diện bởi ST-INFX.
ST-INFB DESC, AUTHPRICE, EXPIRATION , BAN, PKCA, [PIN]
ST-INFS DESC, AUTHPRICE, PKCA, CERTA
ST-INFA PKCA, SKA, CERTA
Initiate:
 Người mua tạo ra một tên giả dùng một lần bằng cách tạo một số ngẫu nhiên
RB và tính
IDB = Hk(RB, BAN).
 Người mua tạo ra một số ngẫu nhiên khác là SALTB dùng để “salting” bảng
băm của mô tả đơn hàng (DESC) trong các luồng tiếp theo.
 Người mua gửi luồng Initiate.

Invoice:
 Người bán lấy ra SALTB và IDB từ Initiate. Có được DATE. Tạo đại lượng
ngẫu nhiên (nonce) NONCES (Sự kết hợp của DATE và NONCES được
dùng bởi A để nhận dạng thanh toán này).
 Người bán lựa chọn id giao dịch TIDS để xác định ngữ cảnh và tính
Hk(SALTB, DESC).
 Người bán tạo Common: AUTHPRICE, IDS , TIDS , DATE, NONCES , IDB,
Hk(SALTB, DESC) và tính H(Common)

30
  Người bán gửi luồng Invoice. (CERTA có thể được gắn thẻ vào thông điệp
này hoặc gửi cho B sau, ví dụ, cùng với thông điệp Confirm.)

Clear:
IDS , TIDS , DATE, NONCES ,H(Common)
IDS : Id người bán
Payment:
 Người mua lấy Clear: IDS , TIDS , DATE, NONCES, H(Common)) từ
Invoice.
 Người mua xác nhận DATE trong khoảng thời gian đã xác định trước.
 Người mua đã có AUTHPRICE và IDB.
 Người mua tính Hk(SALTB, DESC).
 Người mua tạo Common: AUTHPRICE, IDS , TIDS,
 DATE, NONCES , IDB, Hk(SALTB, DESC) và tính H(Common).
 Kiểm tra giá trị H(Common) vừa tính với giá trị H(Common) nhận được
trong Clear xem nó có phù hợp hay không.
 (Phù hợp) Người mua tạo SLIP: AUTHPRICE, H(Common), BAN, RB,
[PIN[SALTC]], EXPIRATION (với mã PIN là tùy chọn).
 Người mua mã hóa SLIP bằng khóa công khai của cổng thanh toán: EncSlip
= EA(SLIP)
 Người mua gửi luồng Payment

Auth-Request:
Người bán chuyển tiếp EncSlip cùng với Clear và Hk(SALTB, DESC) tới cổng
thanh toán, yêu cầu cổng thanh toán ủy quyền thanh toán

Auth-Response:
Cổng thanh toán lấy: Clear, EncSlip và Hk(SALTB, DESC) từ Auth-Request, sau
đó thực hiện như sau:
(1) Lấy từ Clear: IDS , TIDS , DATE, NONCES, H(Common)). Đặt giá trị h1 =
H(Common). Giờ đây A kiểm tra các lần phát lại, tức là đảm bảo rằng không có
yêu cầu xử lý trước đó với cùng một bộ bốn: IDS , TIDS , DATE và NONCES.

31
(2) Giải mã EncSlip.
 Nếu giải mã không thành công -> EncSlip đã bị thay đổi (bởi attacker hoặc
bởi S) -> giao dịch không hợp lệ.
 Ngược lại, nhận được SLIP : AUTHPRICE, H(Common), BAN,
EXPIRATION, RB và PIN (tùy chọn). Đặt giá trị h2 = H(Common).
(3) Cổng thanh toán kiểm tra giá trị h1 với h2.
 (phù hợp) đảm bảo rằng người mua và người bán đã thỏa thuận về thông tin đặt
hàng (giá, danh tính của người bán,…)
(4) Cổng thanh toán xây dựng lại Common:
 SLIP: AUTHPRICE, H(Common), BAN, RB, [PIN[SALTC]], EXPIRATION
 Clear: IDS , TIDS , DATE, NONCES, H(Common))
 Tính IDB = Hk(RB, BAN) (vì có RB và BAN từ SLIP).
 Auth-Request: Hk(SALTB, DESC).
 Common: AUTHPRICE, IDS , TIDS , DATE, NONCES, IDB, Hk(SALTB,
DESC)
 Tính H(Common) và kiểm tra xem có khớp với h1 ở trên
(5) A chuyển tiếp: BAN, EXPIRATION, PIN (nếu có), giá cả,… (như được quy
định bởi hệ thống ủy quyền) tới hệ thống thanh toán bù trừ và ủy quyền hiện có
của tổ chức thẻ tín dụng để có được sự cho phép trực tuyến về khoản thanh toán
này.
Khi nhận được phản hồi RESPCODE từ hệ thống ủy quyền, cổng thanh toán tạo
chữ ký:
SigA = SA(RESPCODE, H(Common))
Cổng thanh toán gửi luồng Auth-Response

Confirm:
 Người bán lấy RESPCODE và SigA từ AuthResponse.
 Xác minh SigA
 Người bán chuyển RESPCODE và SigA cho người mua

Các trường kết hợp:

32
Common AUTHPRICE, IDS , TIDS , DATE, NONCES , IDB,
Hk(SALTB, DESC)
Clear IDS , TIDS , DATE, NONCES , H(Common)
SLIP AUTHPRICE, H(Common), BAN, RB, [PIN], EXPIRATION
EncSlip EA(SLIP)
SigA SKA(RESPCODE, H(Common))

Luồng kết hợp:

Nhận xét:
Chỉ yêu cầu cổng thanh toán sở hữu cặp khóa công khai – bí mật;
Người mua được xác thực qua cổng thanh toán dựa trên số tài khoản và mã PIN
tùy chọn;
Thông tin thanh toán được mã hóa bằng khóa công khai của cổng thanh toán;
Không cung cấp việc chống chối bỏ đối với các thông điệp được gửi bởi người
mua và người bán
Hàm giả mã 2KP
Trước khi giao thức bắt đầu, mỗi bên X ∈ {A; B; S} có một số thông tin bắt đầu
được đại diện bởi ST-INFX
ST-INFB DESC, AUTHPRICE, EXPIRATION , BAN, PKCA, [PIN]
ST-INFS DESC, AUTHPRICE, PKCA, CERTA, SKS, CERTS
ST-INFA PKCA, SKA, CERTA

Các trường kết hợp:

Common AUTHPRICE, IDS , TIDS , DATE, NONCES , IDB,
Hk(SALTB, DESC), H(V), H(VC)

33
Clear IDS , TIDS , DATE, NONCES , H(Common), H(V), H(VC)
SLIP AUTHPRICE, H(Common), BAN, RB, [PIN], EXPIRATION
EncSlip EA(SLIP)
SigA SKA(RESPCODE, H(Common))
Sigs SKS(H(Common))

Luồng giao thức:

Nhận xét:
Cổng thanh toán và người bán sở hữu cặp khóacông khai – bí mật cho mỗi bên;
 Người mua được xác thực qua cổng thanh toán dựa trên số tài khoản và mã PIN
tùy chọn;
 Thông tin thanh toán được mã hóa bằng khóa công khai của cổng thanh toán;
 Cung cấp tính chống chối bỏ với các thông điệp được gửi bởi người bán;
 Không cung cấp việc chống chối bỏ đối với các thông điệp được gửi bởi người
mua.
Hàm giả mã 3KP
Trước khi giao thức bắt đầu, mỗi bên X ∈ {A; B; S} có một số thông tin bắt đầu
được đại diện bởi ST-INFX.
ST-INFB DESC, AUTHPRICE, EXPIRATION , BAN, PKCA, [PIN],
SKB, CERTB
ST-INFS DESC, AUTHPRICE, PKCA, CERTA, SKS, CERTS
ST-INFA PKCA, SKA, CERTA

Các trường kết hợp:

34
Common AUTHPRICE, IDS , TIDS , DATE, NONCES , IDB,
Hk(SALTB, DESC), H(V), H(VC)
Clear IDS , TIDS , DATE, NONCES , H(Common), H(V), H(VC)
SLIP AUTHPRICE, H(Common), BAN, RB, [PIN], EXPIRATION
EncSlip EA(SLIP)
SigA SKA(RESPCODE, H(Common))
SigS SKS(H(Common))
SigB SKB(EncSlip, H(Common))

Luồng giao thức

Nhận xét:
Cổng thanh toán, người bán và người mua sở hữu cặp khóa công khai – bí mật cho
mỗi bên;
 Người mua được xác thực qua cổng thanh toán dựa trên số tài khoản và mã
PIN tùy chọn và chữ ký số của người mua;
 Thông tin thanh toán được mã hóa bằng khóa công khai của cổng thanh
toán;
 Cung cấp tính chống chối bỏ với các thông điệp được gửi bởi tất cả các bên
tham gia

Câu 16. Giao thức SET: khái niệm, mô hình hoạt động,quá trình tạo yêu cầu
mua, việc xác minh của công ty thương mại đối với yêu cầu mua, xác minh
của ngân hàng đối với yêu cầu mua. Giải thích tổng kết về SET trong các giai
đoạn của giao thức
Khái niệm:

35
Là một chuẩn giao thức truyền thông đảm bảo an toàn cho các giao dịch thẻ tín
dụng qua mạng không an toàn (Internet)

Mô hình hoạt động:

Thực hiện thanh toán trong SET gồm 3 công việc như sau:
 Yêu cầu mua hàng (Purchase Request).
 Xác thực thanh toán (Payment Authorization).
 Thực hiện thanh toán (Payment Capture)
1. Yêu cầu mua hàng (Purchase Request) bao gồm 4 giao tác: Initiate Request,
Initiate Response, Purchase Request, và Purchase Response.
 Initiate Request: người mua yêu cầu người bán cung cấp các chứng thực cần
thiết (bản sao chứng thực của người bán và cổng thanh toán) cho người mua.
 Initiate Response: chứa giá trị ngẫu nhiên (nonce) đã được tạo ra trước đó
bởi người mua hàng, một giá trị ngẫu nhiên khác do người bán hàng tạo ra,
nhận diện của giao tác hiện hành, cùng với các chứng thực của chính người
bán hàng và cổng thanh toán. Tất cả các thông tin này được xác thực bởi chữ
ký của người bán hàng.

36
  Purchase Request: người mua xác minh các chứng thực nhận được rồi gửi
thông điệp này cho người bán. Thông điệp này chứa thông tin:
 Thông tin liên quan đến việc thanh toán bao gồm: PI, chữ ký song song,
OIMD và một phong bì số (digital envelope). Các thông tin này được mã
hoá bằng khoá đối xứng dùng một lần Ks do người mua tạo ra cho từng
phiên giao dịch.
 Thông tin liên quan đến đơn đặt hàng bao gồm: OI, chữ ký song song,
PIMD. (OI được gởi đi trực tiếp mà không cần mã hoá).
 Chứng thực của người mua hàng
 Khi người bán nhận được Purchase Request, thực hiện:
 Xác minh chứng thực của người mua hàng.
 Kiểm chứng chữ ký song song của người mua hàng.
 Xử lý đơn đặt hàng và chuyển thông tin thanh toán cho
 Payment Gateway để kiểm tra.
 Gởi bản tin Purchase Response cho người mua hàng.
 Purchase Response: chứa thông tin để chấp nhận đơn đặt hàng. Thông tin này
được ký bởi người bán và gởi cho người mua cùng với chứng thực của người
bán.
 Người mua khi nhận được bản tin Purchase Response sẽ tiến hành kiểm tra chữ
ký và chứng thực của người bán
2. Xác thực thanh toán: Đây là thủ tục mà người bán hàng xác thực tính hợp lệ của
người mua hàng thông qua Payment Gateway. Quá trình xác thực nhằm bảo đảm
rằng giao dịch này được chấp thuận bởi ngân hàng phát hành thẻ (Issuer), nghĩa là
người bán hàng sẽ được đảm bảo thanh toán. Quá trình này được thực hiện thông
qua hai thông điệp: Authorization Request và Authorization response.
 Authorization Request: được người bán hàng gởi đến Payment Gateway bao
gồm các thông tin sau:
 Thông tin liên quan đến việc mua hàng, bao gồm: PI, chữ ký song song,
OIMD và phong bì số (digital envelope).
 Thông tin liên quan đến xác thực bao gồm: nhận diện giao tác, được mã hoá
bằng khoá bí mật dùng một lần do người bán hàng tạo ra và phong bì số
được mã hoá bằng khoá công khai của Payment gateway.
 Các chứng thực của người mua hàng và người bán hàng.
 Khi nhận được Authorization Request, Payment Gateway thực hiện các thao
tác sau:
 Xác minh tất cả các chứng thực.
 Giải mã phong bì số của khối thông tin mua hàng.
 Xác minh chữ ký song song.
 Giải mã phong bì số của khối thông tin xác thực.
37
  Xác minh chữ ký của người bán hàng.
 Xác minh nhận diện giao tác (transaction ID).
 Yêu cầu xác thực từ ngân hàng phát hành thẻ
 Nếu nhận được thông tin xác thực thành công từ ngân hàng phát hành thẻ,
Payment Gateway sẽ hồi đáp bằng thông điệp Authorization Response tới
người bán chứa các thông tin sau:
 Thông tin liên quan đến xác thực bao gồm: thông tin xác thực được ký bởi
Payment Gateway và mã hoá bằng khoá bí mật do Payment Gateway tạo ra,
ngoài ra còn có phong bì số.
 Thông tin liên quan đến thực hiện thanh toán.
 Chứng thực của Payment gateway.
 Với thông tin xác thực này, người bán đã có thể bắt đầu giao hàng hoặc cung
cấp dịch vụ cho người mua
3. Thực hiện thanh toán
 Để thực hiện thanh toán, người bán thực hiện một giao tác với Payment
Gateway gọi là Capture transaction, giao tác này được thực hiện qua hai
thông điệp: Capture Request và Capture Response.
 Capture Request: người bán tạo ra thông tin yêu cầu thanh toán, trong
đó có khối lượng thanh toán và nhận diện giao tác (transaction ID),
cùng với thông tin xác thực nhận được trước đó từ Payment Gateway,
chữ ký và chứng thực của người bán.
 Payment Gateway nhận được bản tin này, giải mã và thực hiện các
bước kiểm tra cần thiết trước khi yêu cầu ngân hàng phát hành thẻ
chuyển tiền cho người bán. Cuối cùng, Payment Gateway sẽ thông
báo cho người bán bằng thông điệp Capture Response
Tổng kết một giao dịch sử dụng SET:
 4 thông điệp được trao đổi giữa người mua và người bán;
 2 thông điệp giữa người bán và cổng thanh toán;
 6 chữ ký điện tử;
 9 lần thực hiện mã hóa/giải mã sử dụng RSA;
 4 lần sử dụng DES;
 4 lần thực hiện xác minh chứng thư số

Câu 17. Bảo mật tiền điện tử: các yêu cầu và kỹ thuật trong bảo mật tiền điện
tử
 Tiền điện tử (e-cash) hay còn gọi là tiền số hóa (digital cash) là thể hiện ở
dạng điện tử của tiền truyền thống.
 Tiền điện tử có số serial giống như tiền thật

38
  Các vấn đề cần chú ý đối với tiền điện tử:
 Tiền điện tử chỉ được tiêu một lần;
 Phải được tiêu giống như các loại tiền tệ bình thường:
o Phải được bảo vệ chống lại sự giả mạo;
o Phải có tính chất độc lập và chuyển tự do không phân biệt quốc gia
hay cơ chế lưu trữ;
o Phải chia nhỏ được và thuận tiện trong sử dụng;
o Ẩn danh: không ai có thể xác định được người trả tiền;
o Hạn chế sự phức tạp trong giao dịch
Các yêu cầu bảo mật:
 Không theo dấu giao dịch thanh toán;
 Chống tiêu tiền hai lần.
Không theo dấu giao dịch thanh toán:
 Phát sinh vấn đề: Khi người dùng sử dụng tiền mặt (rút tiền từ máy ATM,
ngân hàng, tiêu tiền) mã số trên tờ tiền thường không được ghi lại. Vì thế,
các giao dịch thanh toán không thể liên hệ với danh tính của người dùng
được.
 Tiền điện tử có số serial giống như tiền thật, thể hiện ở định dạng số nên rất
dễ tạo bản ghi log lưu trữ người dùng nào có số serial tiền nào. Vì thế, có thể
kiểm tra giao dịch thanh toán nào do người dùng nào thực hiện bằng cách tra
bản ghi này, ra số tương ứng
 Có hai cơ chế để giải quyết vấn đề này:
 Chữ ký mù (blind signature);
 Trao đổi tiền điện tử.
Chữ ký mù:
Chữ ký mù (blind signature): là loại chữ ký mà người ký không thể đọc được
nội dung được ký.
Được dùng để bảo vệ tính ẩn danh của người dùng trong hệ thống thanh toán
điện tử vì nó có hai đặc tính: tính mù và tính không truy vết.
 Tính mù: người ký không về biết nội dung văn bản khi ký.
 Tính không truy vết: khi chữ ký mù được công bố thì người ký không thể
thấy được mối liên hệ giữa văn bản mù đã ký với văn bản gốc.
Được phát triển dựa trên lược đồ chữ ký số RSA
Dùng chữ ký mù để ẩn danh người dùng: bao gồm 3 bước

39
  Bước 1: Người có tiền (khách hàng) làm mù đồng tiền.
 Bước 2: Người có tiền gửi đồng tiền (đã bị làm mù) cho ngân hàng. Ngân
hàng ký vào đồng tiền đã bị làm mù (ký mù), sau đó gửi đồng tiền lại cho
người có tiền.
 Bước 3: Người có tiền sau khi nhận được đồng tiền thì xóa mù trên đồng
tiền và sẽ nhận được chữ ký thật (chữ ký của ngân hàng) trên đồng tiền thật.
Người có tiền (khách hàng):
Làm “mù” đồng tiền M (hay “che giấu” M); Thông điệp mù của M được tính theo
công thức:
M’ = Blind(M) = Mke mod n
Ngân hàng: ký mù trên M hay tạo chữ ký trên M’
Tạo chữ ký mù S’: S' = (M')d mod n = kMd mod n;
Người có tiền gỡ bỏ nhân tố mù, nhận được chữ ký S trên M:
S = S'|k = Md mod n
 d: khóa bí mật của ngân hàng;
 e và n: khóa công khai của ngân hàng;
 k: nhân tố “mù” được chọn ngẫu nhiên bởi người có tiền
Trao đổi tiền điện tử:
 Một bên thứ 3 thực hiện cơ chế che dấu nặc danh người thanh toán, và giao
dịch không theo dấu được.
 Có mạng lưới các máy chủ tiền tệ trao đổi đồng tiền nặc danh dựa trên danh
tính của chúng, sau khi khẳng định tiền này tồn tại và kiểm tra chúng không
tiêu hai lần.
 Kiểu nặc danh này yếu hơn cơ chế chữ ký mù vì:
o Với chữ ký mù, không thể xác định danh tính của người sử dụng, thậm chí
của tất cả các bên tham gia giao dịch
o Với các máy chủ tiền tệ, tất cả các bên tham gia đều có thể xác định ai tiêu
tiền

Chống tiêu tiền hai lần:

Một khi người trả tiền có tiền hợp pháp, người trả tiền có thể cố tiêu tiền này
hai lần. Vì thế, phải áp dụng cơ chế phát hiện tiêu tiền hai lần.
 Có 3 cơ chế sau:

40
 o Nặc danh có điều kiện bằng cơ chế Cắt-và-Chọn;
o Chữ ký mù;
o Trao đổi tiền điện tử.
 Cơ chế nặc danh có điều kiện được kích hoạt dành riêng cho khách hàng
không đáng tin cậy:
o Khách hàng trung thực không định tiêu tiền điện tử hai lần thì vẫn được dấu
danh tính;
o Khách hàng không trung thực tiêu tiền hai lần sẽ bị lộ danh tính.
 Kỹ thuật cắt và chọn:
o Sử dụng cơ chế “chia bí mật”: Chia thông điệp M thành các phần để tất cả
các phần đó ghép lại với nhau sẽ tái tạo được M.
Kỹ thuật cắt và chọn:
Tìm M1 và M2 thỏa mãn:
Chọn M1 ngẫu nhiên cùng độ dài với M, và tính M2 bằng cách:

Trong tiền điện tử, mỗi đồng tiền điện tử được gán một số serial và 1 cặp khóa
mã hóa (I1, I2). Với mỗi đồng tiền điện tử này thì tương ứng Trong CSDL của
ngân hàng có N cặp khóa mã hóa (I 1, I2) khác nhau. Vì thế, danh tính khách
hàng có thể bị lộ nếu biết I1, I2:
 Khi khách hàng thanh toán cho một trang hương mại điện tử nào đó đồng
tiền trên, thì trang đó cũng đồng thời yêu cầu người trả tiền giải mã hoặc
I1 hoặc I2, của mỗi cặp.
 Nếu khách hàng cố tiêu tiếp đồng tiền điện tử đó thêm lần nữa, thì với N
đủ lớn, (vd N=100), có ít nhất 1 phần của I trùng với một phần của I đã
tiết lộ tro ng lần tiêu đầu tiên (từ cùng một cặp) => danh tính của người
mua bị tiết lộ.
Chữ ký mù:
Hệ thống này dựa trên chữ ký mù và phải lưu trữ số serial của tất cả các đơn vị tiền
điện tử trong CSDL để kiểm tra tránh tiêu tiền hai lần. Khi khối lượng tiền tăng
lên, CSDL sẽ rất lớn, và phải đối mặt với nhiều vấn đề nghiêm trọng. Mô hình này
chỉ phù hợp với hệ thống thanh toán trực tuyến, vì truy vấn CSDL mỗi lần người
mua muốn tiêu tiền

41
 Trao đổi tiền điện tử:
 Là một đồng tiền có thể luân chuyển giữa các máy chủ tin cậy. Số serial của
tiền chỉ lưu tại máy chủ tại thời điểm nó chuyển qua. Ngay khi người mua tiêu
tiền, dữ liệu này sẽ bị xóa khỏi bộ nhớ.
 Theo cách này, hệ thống có thể giao dịch khối lượng tiền lớn hơn hệ thống mù
nhưng tính ẩn danh lại yếu hơn (vì ít nhất một máy chủ tiền tệ phải được người
dùng tin cậy).
 Được sử dụng trong hệ thống thanh toán trực tuyến, vì cơ sở dữ liệu phải được
truy vấn trước khi sử dụng đồng tiền

Câu 18. Bảo mật Sec điện tử

Yêu cầu bảo mật cơ bản của séc điện tử là chuyển quyền cấp phép.
 Séc giấy được ký và ký nháy đằng sau;
 Người nhận tiền đượcchủ tài khoản cấp phép cho rút một lượng tiền nhất định.
=> Quyền thanh toán được chuyển từ người trả tiền sang người nhận tiền.

Câu 19. Bảo đảm ATTT cho ứng dụng web

 Bảo mật giao dịch web
 Bảo mật cơ sở dữ liệu web
 Bảo mật bản quyền phát hành nội dung số
 Bảo vệ máy chủ web
 4Bảo vệ trình duyệt web

Câu 20 các giai đoạn pt TMĐT, đk phát triển TMĐT, ảnh hưởng của TMĐT
và tầm quan trọng
 Giai đoạn pt: 3 giai đoạn phát triển
1 thương mại thông tin: tìm kiếm thông tin lên web, giao dịch với khách hàng nhà
cung cấp qua email,chat…, quảng bá doanh nghiệp trên web, hỗ trợ khách hàng
dịch vụ và sp
2.thương mại giao dich: xây dựng mạng nội bộ doanh nghiệp, ký kết hợp đồng
quan mạng, thanh toán điện tử
3.thương mại cộng tác: nội bộ doanh nghiệp các bộ phận liên kết và kết nối các đối
tác
 Điều kiện pt TMĐT:
Hạ tầng cơ sở công nghệ: cơ sở hạ tầng công nghệ phải tuân theo các chuẩn của
doanh nghiệp, quốc gia, quốc tế nhằm đảm bảo tính chất an toàn trong giao dịch
điện tử …

42
Hạ tầng pháp lý: hạ tầng này bao gồm những chủ trương, chính sách, các văn bản
pháp luật để công nhận tính pháp lý…
Nhận thức xã hội: chính phủ ,nhà quản lý và toàn thể xã hội phải nhận thức sâu sắc
về cơ hội pt và các lợi ích của tmđt
Nhận lực
Bảo mật, an toàn TMĐT
 ảnh hưởng của TMĐT
tác động dến marketing, tác động đến hđ tài chính, tác động đến hđ ngoại thương,
tác động đens hậu cân. Tự phân tích
Từ góc độ người sử dụng: làm sao biết được Web server được sở hữu bởi một
doanh nghiệp hợp pháp? Làm sao biết được trang web này không chứa đựng
những nội dung hay mã chương trình nguy hiểm? Làm sao biết được Web server
không lấy thông tin của mình cung cấp cho bên thứ 3
Từ góc độ doanh nghiệp: Làm sao biết được người sử dụng không có ý định phá
hoại hoặc làm thay đổi nội dung của trang web hoặc website? Làm sao biết được
làm gián doạn hoạt động của server.
Từ cả hai phía: Làm sao biết được không bị nghe trộm trên mạng? Làm sao biết
được thông tin từ máy chủ đến user không bị thay đổi?
Các khía cạnh cơ bản cần phải giải quyết trong an toàn TMĐT: Tính toàn vẹn, tính
chống chối bỏ, tính xác thực, tính tin cậy, tính riêng tư và tính ích lợi

Câu 21 Liệt kê các thành phần tham gia vào thanh toán điện tử. Vẽ mô hình
và trình bày quá trình hoạt động của mô hình thanh toán thường gặp.
Các thành phần tham gia vào quá trình thanh toán:
• Người bán/ Cơ sở chấp nhận thẻ (Merchant)
• Người mua/Chủ sở hữu thẻ (Card holder)
• Ngân hàng của người bán/Ngân hàng thanh toán(Acquirer bank)
• Ngân hàng của người mua/Ngân hàng phát hành (Issuer bank)
• Tổ chức thẻ

43
Khi mua hàng hóa hoặc dịch vụ, bên mua (khách hành) phải trả một lượng tiền
nhất định cho bên bán (người bán, trang bán hàng), và lưa chọn cách thức trả tiền
với thẻ ghi nợ hay thẻ tín dụng. Trước khi cung cấp hàng hóa hoặc dịch vụ được
yêu cầu, người bán sẽ đề nghị cổng thanh toán xác thực bên mua và thẻ thanh toán
của bên mua. Cổng thanh toán sẽ liên lạc với ngân hàng phát hành để kiểm tra xác
thực. Nếu các thông tin đều được xác thực thì số tiền mua hàng sẽ được rút ra
(hoặc ghi nợ) từ tài khoản của khách hàng và chuyển sang tài khoản của bên bán
hàng. Trong một số trường hợp, nếu giá trị của hàng hóa thấp thì hàng hóa có thể
giao cho bên mua trước khi xác thực.

Câu 22 Thương mại điẹn tử là gì? Các giai đoạn phát triển của thương mại
điện tử? Các loại hình thương mại điện tử? Điều kiện phát triển thương mại
điện tử?
Khái niệm TMĐT:
là một khái niệm được dùng để mô tả quá trình mua và bán hoặc trao đổi sản phẩm,
dịch vụ và thông tin thông qua mạng máy tính, kể cả Internet. Thương mại đt
thường được hiểu theo nghĩa hẹp là mua và bán trên mạng hay mua bán thông qua
các phương tiện điện tử.
Ba giai đoạn phát triển của thương mại điện tử:
1. Thương mại thông tin (i-Commerce):
 Thông tin (information) lên mạng web
 Trao đổi, đàm phán, đặt hàng qua mạng (e-mail, chat, forum…)
 Thanh toán, giao hàng truyền thống

44
 2. Thương mại giao dịch (t-Commerce)
 Hợp đồng điện tử(ký kết qua mạng)
 Thanh toán điện tử(thực hiện qua mạng) (online transaction)
3. Thương mại “cộng tác” (c-Business):
 Nội bộ doanh nghiệp các bộ phận liên kết (intergrating) và kết nối với
các đối tác kinh doanh (conecting)
Phân loại:
Các chủ thể tham gia phần lớn vào các giao dịch điện tử là: chính phủ, doanh
nghiệp, người tiêu dùng/khách hàng cá nhân.
B : đóng vai trò động lực phát triển TMĐT
C : quyết định sự thành công của TMĐT
G : đóng vai trò định hướng điều tiết và quản lý
Mô hình phổ biến:
B2C: doanh nghiệp sử dụng các phương tiện điện tử để bán hàng hóa và cung cấp
dịch vụ tới người tiêu dùng; người tiêu dùng thông qua cácphương tiện điện tử để
lựa chọn, mặc cả, đặt hàng, thanh toán, nhận hàg. Đây chủ yếu là mô hình bán lẻ
qua mạng như Amazon
B2B: là loại hình giao dịch qua cácphương tiện điện tử giữa doanh nghiệp với
doanh nghiệp. Các giao dịch B2B chủ yếu được thực hiện trên hệ thống ứng dụng
TMĐT như mạng giá trị gia tăng VAN, SCM, các sàn giao dịch TMĐT B2B. Các
doanh nghiệp có thể trào hàng, tìm kiếm khách hàng, đối tác, đặt hàng, ký kết hợp
đồng, thanh toán qua các hệ thống này. Ở mức độ cao, các giao dịch này có thể
diễn ra một cách tự động như alibaba
B2G: trong mô hình này chính phủ cơ quan nhà nước đóng vai trò như khách hàng
và quá trình trao đổi thông tin cũng được tiến hành qua cácphương tiện điện tử
C2C: đây là mô hình TMĐT giữa các cá nhân với nhau. Một cá nhân có thể tự thiết
lập website để kinh doanh những mặt hàng do mình làm ra hoặc sử dụng một
website có sẵn để đấu giá món hàng mà mình có. Ví dụ như ebay
G2C: chủ yếu đề cập đến các giao dịch mang tính hành chính, tuy nhiên vẫn có thể
mang yếu tố của TMĐT. Ví dụ như đóng thuế cá nhân qua mạng, trả phí đăng ký
hồ sơ.
Điều kiện phát triển thương mại điện tử:

45
  Hạ tầng cơ sở công nghệ:tuân theo các chuẩn của doanh nghiệp, quốc
gia, quốc tế
 Hạ tầng pháp lý: luật về giao dịch điện tử, luật TMĐT, luật bảo vệ
quyền sở hữu trí tuệ, bảo vệ quyền riêng tư, bảo vệ người tiêu dùng
 Nhận thức xã hội: nhận thức sâu sắc về cơ hội phát triển và các lợi ích
có được từ TMĐT
 Nhân lực: Phải có nhân lực am hiểu kinh doanh, CNTT, TMĐT để
triển khai tiếp thị, quảng cáo, xúc tiến, bán hàng và thanh toán qua
mạng
 Bảo mật, an toàn: cơ sở thanh toán điện tử an toàn bảo mật, hệ thống
an toàn bảo mật cho các giao dịch, chống xâm nhập trái phép, chống
virus, chống từ chối trách nhiệm
 Vấn đề sở hữu trí tuệ và bảo vệ quyền lợi người tiêu dùng : cũng phải
được xây dựng các quy định phù hợp

Câu 23: Chưa có câu 23 đâu .

----KaidoX Chúc các bạn thi tốt----

46