ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Ngô Đức Hùng
NGHIÊN CỨU VẤN ĐỀ XÁC THỰC TRONG HỆ
THỐNG THANH TOÁN ĐIỆN TỬ
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công nghệ thông tin
Cán bộ hướng dẫn: ThS. Lương Việt Nguyên HÀ NỘI - 2009
iii
Tóm tắt nội dung của Khóa luận tốt nghiệp
Mục đích của khóa luận là nghiên cứu và đưa ra những giải pháp khoa học cho
các bài toán xác thực trong quá trình TTĐT. Từ đó, đánh giá ưu nhược điểm của các
giải pháp, chỉ rõ giải pháp nào sẽ đạt hiệu quả tối ưu đối với từng loại hình TTĐT. Đối
tượng nghiên cứu của khóa luận văn là các bài toán phát sinh khi TTĐT. Khóa luận
nghiên cứu một cách tương đối đầy đủ các hình thức TT
ĐT cho đến thời điểm hiện tại.
Dựa trên các kết quả đó, nêu các giải pháp tương ứng với từng bài toán cụ thể.
Khóa luận tốt nghiệp nghiên cứu một cách khoa học các hình thức TTĐT hiện
đang được ứng dụng rộng rãi, đồng thời tìm hiểu cơ chế bảo mật, xác thực của các hệ
thống TTĐT đó, nhằm đưa ra giải pháp toàn diện
để phát triển hệ thống TTĐT ở Việt
Nam.
3.3.1. Card Payment 25
v
3.3.1.1. Phương pháp xác thực 25
3.3.1.2. Những kỹ thuật về bảo mật 26
3.3.2. e-Payment 31
3.3.2.1. Phương pháp xác thực 31
3.3.3.2. Những kỹ thuật về bảo mật 32
3.3.3.2.1. e-Banking 32
3.3.3.2.2. e-Commerce 35
3.3.3. Mobile Payment (m-Payment) 40
3.3.3.1. Phương thức xác thực 40
3.3.3.2. Những kỹ thuật về bảo mật 41
KẾT LUẬN 44
PHỤ LỤC 45
TÀI LIỆU THAM KHẢO 54 vi
DANH MỤC CÁC BẢNG BIỂU
Hình 1. Một hệ thống xác thực sinh trắc học
Hình 2. Quá trình ký và kiểm tra chữ ký
Hình 3. Sơ đồ một hệ thống PKI
Hình 4. Mô hình kiến trúc CA phân cấp
Hình 5. Một chiếc thẻ thanh toán có gắn chip IC
Hình 6. Máy chấp nhận thẻ thanh toán POS
Hình 7. Thẻ thừ và máy đọc thẻ từ
Hình 8. Một chip an ninh có kích thước 3x5 mm được đưa vào bên trong
thẻ và được phóng lớn ra. Các điểm tiếp xúc trên thẻ cho phép
TCTD Tổ chức Tín dụng
TMĐT Thương mại điện tử
TTĐT Thanh toán điện tử
TTTT Trung tâm thanh toán
viii
LỜI CÁM ƠN
Lời đầu tiên, em xin gửi lời cám ơn sâu sắc tới ThS. Lương Việt Nguyên – Bộ
môn Các Hệ thống thông tin – Khoa Công Nghệ Thông Tin – Trường Đại Học Công
Nghệ - Đại học Quốc Gia Hà Nội, người đã hết lòng hướng dẫn, tạo điều kiện cho em
trong suốt quá trình thực hiện khóa luận.
Em xin cám ơn PGS.TS. Trịnh Nhật Tiến, các thầy, các cô trong trường Đại học
Công Nghệ - Đại học Quốc Gia Hà Nộ
i đã tận tình giảng dạy chúng em, giúp đỡ động
viên chúng em từ những ngày đầu bước vào cánh cổng trường Đại học. Thầy cô đã tạo
cho chúng em môi trường học tập, những điều kiện thuận lợi cho chúng em được học
tập tốt, trang bị cho chúng em những kiến thức quý báu giúp chúng em có thể vững
bước trong tương lai.
Cám ơn các bạn sinh viên K50 đã giúp đỡ, cùng nghiên cứu và chia sẻ với tôi
trong suốt quá trình học
Đại học và thời gian hoàn thành khóa luận.
Hà Nội, 05/2009
Ngô Đức Hùng
1
MỞ ĐẦU
TTĐT là trở ngại lớn thứ hai đối với việc mở rộng và phát huy hiệu quả thực sự
(liên minh của Vietcombank, hệ thống kết nối giữa ANZ và Sacombank, và hệ thống
của ngân hàng Đông Á). Do đó, nếu người mua và người bán có tài khoản ở những
ngân hàng hoặc liên minh khác thì việc TTĐT gần nh
ư không thực hiện được trong
giao dịch thương mại trực tuyến.
2
Thực tế, các ngân hàng và nhà cung cấp đang rất chủ động trong việc đưa ra các
phương thức thanh toán. Chẳng hạn, Pacific Airlines (hiện nay là Jetstar Pacific) hợp
tác với một số tổ chức cho phép TTĐT đối với các thẻ tín dụng quốc tế hoặc thẻ ghi nợ
nội địa của VCB; Techcombank hợp tác với chodientu.vn cung cấp dịch vụ thanh toán
trực tuyến đối với các khách hàng của Techcombank khi mua hàng trên website này
Tuy nhiên, đó chỉ là những giải pháp đượ
c triển khai trong một phạm vi hẹp. TTĐT ở
VN đang có sự giao thoa, mỗi bên (ngân hàng và nhà cung cấp) đều chủ động đưa ra
những giải pháp riêng mà thiếu vai trò chỉ huy của NHNN. Trong khi các ngân hàng
nỗ lực mở rộng điểm chấp nhận thanh toán bằng thẻ tín dụng, thì các nhà cung cấp
cũng chủ động khắc phục bằng những giải pháp tình thế là đàm phán với từng ngân
hàng để thiết lập hệ thố
ng cho phép khách hàng thanh toán bằng cách sử dụng thẻ do
ngân hàng phát hành hoặc khấu trừ thẳng vào tài khoản ngân hàng (như trường hợp
của các doanh nghiệp kể trên)
Mô hình của các nước trên thế giới là xây dựng một trung tâm chuyển mạch tài
chính ở tầm quốc gia với nhiệm vụ chuyển mạch kết nối giao dịch thanh toán giữa các
bên khác nhau, xử lý thanh toán bù trừ và quyết toán giá trị thanh toán. Ngoài ra, có
một số cổng thanh toán. Các cổng này có thể do một số công ty tư nhân xây d
ựng để
cung cấp dịch vụ.
Sau một thời gian, công ty Chuyển Mạch Tài Chính Quốc Gia Banknet đã chính
thức ra mắt. Mục tiêu của Banknetvn là kết nối các hệ thống thanh toán thẻ của các
kết luận:
Chương 1
: Tổng quan về an toàn thông tin và dịch vụ xác thực
Giới thiệu những khái niệm cơ bản nhất về lĩnh vực an toàn thông tin, các công
cụ xác thực được sử dụng trong ngành khoa học này.
Chương 2: Thanh toán điện tử
Giới thiệu tổng quát về thanh toán, các hình thức thanh toán, đặc điểm và vấn đề
an ninh, bảo mật trong các hình thức thanh toán hiện nay.
Chương 3: Vấn đề xác thực trong các hệ thống TTĐT
Giới thiệu chi tiết các hệ thống TTĐT đang và sẽ được ứng dụng trên toàn thế
giới, nghiên cứu và đưa ra những giải pháp xác thực tốt nhất cho các hệ thống thanh
toán trực tuyến.
4
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ
DỊCH VỤ XÁC THỰC
Có thể kết luận rằng, trên thế giới hiện nay, nhu cầu về TMĐT rất phổ biến,
nhưng các vấn đề hạ tầng trong TTĐT vẫn chưa được giải quyết tương xứng và đáp
ứng được các đòi hỏi đặt ra. Việc nghiên cứu xây dựng các hệ thống TTĐT để đảm
bảo an toàn thông tin trong các dịch vụ TMĐT là một hướng nghiên cứu rất cần thi
ết
hiện nay.
Việc xây dựng các hệ thống TTĐT về mặt kỹ thuật chính là ứng dụng các thành
tựu của lý thuyết mật mã. Các mô hình thanh toán sử dụng các giao thức mật mã được
xây dựng để đảm bảo an toàn cho việc giao dịch thông tin giữa các bên tham gia.
1.1. Khái quát về an toàn thông tin
Với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thông tin của
doanh nghiệp như chiến lược kinh doanh, các thông tin về khách hàng, nhà cung cấp,
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn
thông tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa ra các chính sách
và phương pháp đề phòng cần thiết. Các dịch vụ an toàn thông tin cung cấp các giải
pháp an toàn cho máy tính và các kết nối. Bao gồm:
Đảm bảo tính bí mật (Confidentiality): Thông tin không thể bị
truy nhập trái
phép bởi những người không có thẩm quyền.
Đảm bảo tính toàn vẹn (Integrity): Thông tin không thể bị sửa đổi, bị làm giả
bởi những người không có thẩm quyền.
Đảm bảo tính xác thực (Authentication): Xác thực đúng nguồn gốc thông tin và
người cung cấp thông tin.
Đảm bảo việc chống chối cãi (Non-repudiation): Thông tin được cam kết về
mặt pháp luật của người cung cấp.
Đảm bảo tính sẵn sàng (Availability): Thông tin luôn sẵ
n sàng để đáp ứng sử
dụng cho người có thẩm quyền. 6
1.2. Vấn đề xác thực trong an toàn thông tin
1.2.1. Khái niệm
Xác thực (Authentication) là một hành động nhằm thiết lập hoặc chứng thực một
cái gì đó (hoặc một người nào đó) đáng tin cậy, có nghĩa là, những lời khai báo do
người đó đưa ra hoặc về vật đó là sự thật. Xác thực một đối tượng còn có nghĩa là
công nhận nguồn gốc của đối tượng, trong khi, xác thực một người thường bao gồm
việc thẩm tra nhận d
ạng của họ. Việc xác thực thường phụ thuộc vào một hoặc nhiều
nhân tố xác thực (authentication factors) để minh chứng cụ thể.
được phân loại theo ba trường hợp sau:
Những cái mà người dùng sở hữu bẩm sinh (Something the user is): chẳng
hạn, vết lăn tay hoặc mẫu hình võng mạc mắt, chuỗi DNA, mẫu hình về giọng nói, sự
xác minh chữ ký, tín hiệu sinh điện đặc hữu do cơ thể sống tạo sinh (unique bio-
electric signals), hoặc những biệt danh sinh trắc (biometric identifier)
Những cái gì người dùng có (Something the user possesses): chẳng hạn, chứng
minh thư (ID card), ch
ứng chỉ an ninh (security token), chứng chỉ phần mềm (software
token) hoặc điện thoại di động (cell phone)
Những gì người dùng biết (Something the user knows): chẳng hạn, mật khẩu,
mật khẩu ngữ (pass phrase) hoặc số định danh cá nhân (PIN)
1.2.4. Xác thực mạnh nhiều yếu tố
Hình thức xác thực dựa vào những gì thực thể biết (mã định danh PIN, mật
khẩu ) bộc lộ nhiều hạn chế, vì trí nhớ của con người là có hạn, không thể cùng một
8
lúc nhớ được quá nhiều thông tin. Hơn thế nữa, những thứ mà người dùng biết để đăng
nhập hệ thống là những thứ được sử dụng lại nhiều lần mỗi khi xác thực, có thể vì một
lý do nào đó thông tin này bị nghe trộm hay lộ ra ngoài và kẻ xấu rất dễ lợi dụng
những sơ hở đó để giả danh người dùng nhằm thực hiện những hành vi bấ
t hợp pháp.
Những hệ thống xác thực như vậy được gọi là xác thực yếu, cần phải có một giải pháp
an toàn hơn việc sử dụng đi sử dụng lại nhiều lần một cách đăng nhập. Một tổ hợp của
những phương pháp trên được kết hợp để sử dụng, chẳng hạn, thẻ ngân hàng kết hợp
với số định danh cá nhân PIN. Trong nh
ững trường hợp này, thuật ngữ được dùng là
xác thực hai nhân tố (two-factor authentication).
Trong lịch sử, vết lăn tay được dùng là một phương pháp xác minh đáng tin nhất,
song trong những vụ kiện tòa án gần đây ở Mỹ và ở nhiều nơi khác, người ta đã có
nhiều nghi ngờ có tính chất căn bản, về tính đáng tin cậy của dấu lăn tay. Những
Sự kết hợp của một username và password là cách xác thực cơ bản nhất. Với kiểu
xác thực này, chứng từ ủy nhiệm người dùng được đối chiếu với chứng từ được lưu trữ
trên CSDL hệ thống , nếu trùng khớp username và password, thì người dùng được xác
thực và nếu không người dùng bị cấm truy cập. Phương thức này không bảo mật lắm
vì chứng từ xác nhận người dùng đượ
c gửi đi xác thực trong tình trạng plain text, tức
không được mã hóa và có thể bị tóm trên đường truyền.
Chữ ký số
Với những thỏa thuận thông thường, hai đối tác xác nhận sự đồng ý bằng cách kí
tay vào cuối các hợp đồng. Và bằng cách nào đó người ta phải thể hiện đó là chữ ký
của họ và kẻ khác không thể giả mạo. Mọi cách sao chép trên văn bản thường dễ bị
phát hiện vì bản sao có thể phân biệt được với bản gốc.
Các giao dịch trên mạng cũng được thự
c hiện theo cách tương tự như vậy. Nghĩa
là người gửi và người nhận cũng phải ký vào hợp đồng. Việc ký trên các văn bản
truyền qua mạng khác với văn bản giấy bình thường bởi nội dung của văn bản đều
được biểu diễn dưới dạng số hóa (chỉ dùng hai số 0 và 1, ta gọi văn bản này là văn bản
số). Việc giả mạo và sao chép lại đố
i với văn bản số là việc hoàn toàn dễ dàng và
không thể phân biệt được bản gốc với bản sao. Vậy một chữ ký ở cuối văn bản loại
này không thể chịu trách nhiệm đối với toàn bộ nội dung văn bản. Một chữ ký thể hiện
trách nhiệm đối với toàn bộ văn bản phải là chữ ký được ký trên từng bit văn bản.
Chữ ký số có th
ể được kiểm tra nhờ dùng một thuật toán kiểm tra công khai. Như
vậy, bất kỳ ai cũng có thể kiểm tra được chữ ký số.
Chứng chỉ số
Chứng chỉ số là một “chứng nhận” khóa công khai của thực thể nào đó. Nó bao
gồm khoá công khai của thực thể và các thông tin định danh của thực thể. Hai thành
thao tác toán họ
c hệ thống chứng minh sự tương ứng giữa khoá riêng và khoá công
khai có trong chứng chỉ. Mặt khác khoá công khai và các thông tin định danh được gắn
kết với nhau thông qua chữ ký của nhà phát hành chứng chỉ nên danh tính của người
dùng được xác thực.
Một cơ chế khác là sử dụng các giao thức mã hoá với thẻ thông minh để chứng
minh rằng người sử dụng sở hữu khoá riêng tương ứng. Khoá riêng được lưu trong thẻ
thông minh, hệ thống xác thực cung c
ấp một thông tin. Thẻ thông minh sử dụng khoá
riêng mã hoá thông tin đó và gửi trả lại cho hệ thống. Hệ thống sử dụng khoá công
khai trên chứng chỉ giải mã để lấy lại thông tin ban đầu. Nếu hai thông tin là giống
nhau thì chứng tỏ một điều là thẻ thông minh có chứa một khoá riêng tương ứng. Như
thế người sử dụng được xác thực.
11
Việc ứng dụng cơ chế nào cho hệ thống là tuỳ thuộc vào cơ sở hạ tầng vật lý và
hoàn cảnh ứng dụng mà ta sử dụng. Dù ứng dụng cơ chế xác thực bằng chứng chỉ nào,
thì đều phải được xây dựng trên sự tin tưởng vào nhà phát hành chứng chỉ. Vì nếu
chứng chỉ bị giả mạo hay nhà phát hành chứng chỉ làm giả chứng chỉ, thì hệ thống củ
a
ta sụp đổ hoàn toàn. Như vậy về bản chất cơ chế xác thực có được là do chữ ký của
nhà phát hành chứng chỉ, tức là nhà phát hành chứng chỉ đã chứng minh các thông tin
định danh của người sử dụng thông qua chữ ký của mình.
Challenge Handshake Authentication Protocol (CHAP)
Challenge Handshake Authentication Protocol (CHAP) cũng là mô hình xác thực
dựa trên username/password. Khi user cố gắng logon vào hệ thống, server đảm nhiệm
vai trò xác thực sẽ gửi một thông điệp thử thách (challenge message) trở lại máy tính
user. Lúc này máy tính user s
ẽ phản hồi lại username và password được mã hóa.
Biometrics
Biometrics (phương pháp nhận dạng sinh trắc học) là mô hình xác thực dựa trên
đặc điểm sinh học của từng cá nhân. Quét dấu vân tay (fingerprint scanner), quét võng
mạc mắt (retinal scanner), nhận dạng giọng nói (voice-recognition), nhận dạng khuôn
mặt (face-recognition). Vì nhận dạng sinh trắc học hiện rất tốn kém chi phí khi triển
khai nên không được chấ
p nhận rộng rãi như các phương thức xác thực khác.
Mutual Authentication
Mutual authentication (xác thực lẫn nhau) là kỹ thuật bảo mật mà mỗi thành phần
tham gia giao tiếp với nhau kiểm tra lẫn nhau. Trước hết server chứa tài nguyên kiểm
tra “giấy phép truy cập” của client và sau đó client lại kiểm tra “giấy phép cấp tài
nguyên” của server. Điều này giống như khi bạn giao dịch với một server của ngân
hàng, bạn cần kiểm tra server xem có đúng của ngân hàng không hay là một cái bẫ
y
của hacker giăng ra, và ngược lại server ở ngân hàng sẽ kiểm tra bạn.
1.3. Chữ ký số - Công cụ được ứng dụng rộng dãi nhất
1.3.1. Khái quát về chữ ký điện tử
Chữ ký điện tử là thuật ngữ chỉ mọi phương thức khác nhau để một cá nhân, đơn
vị có thể "ký tên" vào một dữ liệu điện tử, thể hiện sự chấp thuận và xác nhận tính
nguyên bản của nội dung dữ liệu đó.
Chữ ký điện tử rất đa dạng, có thể là một tên hoặc hình ảnh cá nhân kèm theo dữ
liệu điện t
ử, một mã khoá bí mật, hay một dữ liệu sinh trắc học (chẳng hạn như hình
ảnh mặt, dấu vân tay, hình ảnh mống mắt ) có khả năng xác thực người gửi.
13
những hoạt động TTĐT đã được thực hiện hoàn toàn tự động? Đó là cơ quan có chức
năng xác thực chữ ký điện tử trong hệ
thống ngân hàng Việt Nam. Cơ quan này có
nhiệm vụ xây dựng thuật toán chữ ký điện tử, cung cấp chữ ký điện tử cho người tham
gia hệ thống và kiểm soát những chữ ký điện tử ấy.
Không mấy ai dám mạo hiểm "quẳng tiền lên mạng" khi chưa có cơ sở tin cậy
chắc chắn, cũng như được pháp luật công nhận. Trong các hoạt động TMĐT trên thế
giớ
i, chứng thực số được sử dụng làm căn cứ xác định tính hợp pháp, giống như các
hình thức xác thực truyền thống là chữ ký và con dấu hiện nay. Khi có tranh chấp về
pháp lý trong các hoạt động điện tử, chứng thực số có giá trị bằng chứng và căn cứ
tương tự như các hình thức xác thực cũ này.
Với các đặc điểm nổi bật như không thể gi
ả mạo, chứng thực nguồn gốc xuất xứ,
các quốc gia phát triển đều đã sử dụng chứng thực số như một bằng chứng pháp lý từ
rất sớm. Đây là yếu tố rất quan trọng để có thể phát triển TMĐT, vì không ai dám mạo
hiểm với tiền của mình, khi họ chưa chắc chắn được rằng các hoạt động đó có được
đảm b
ảo, và có được pháp luật công nhận hay không.
Chìa khóa của các hoạt động giao dịch điện tử nằm ở chính những chữ ký điện
tử, công cụ để đảm bảo tính pháp lý của các giao dịch điện tử. Khó khăn hiện nay
không nằm ở mặt công nghệ, không quá phức tạp khi ứng dụng, thế nhưng để triển
khai, cần sự quản lý tập trung của Nhà nước hay cho các doanh nghiệp tư
nhân và
nước ngoài khai thác dịch vụ này. Với kinh nghiệm của nước ngoài, đó là việc của các
công ty.
1.3.3. Ứng dụng
Một e-mail có thể được ký bằng chữ ký điện tử, đảm bảo người nhận có thể chắc
chắn rằng đó đúng là e-mail của người gửi, chứ không phải e-mail giả mạo. Để làm
được điều này, người gửi và người nhận sẽ phải sử dụng cùng một hệ thống chứng
Một ví dụ về chữ ký số (chữ ký RSA)
1. Thuật toán sinh khóa của sơ đồ chữ ký RSA
• Sinh ra hai số nguyên tố lớn ngẫu nhiên p và q.
• Tính n = pq và Φ(n) = (p - 1)(q - 1)
• K = (n, p, q, a, b)
• Chọn b ∈ Z
n
nguyên tố cùng Φ(n)
• Chọn a ∈ Z
n
là nghịch đảo của b theo Φ(n)
16
• Các giá trị n và b công khai, các giá trị p, q, a bí mật.
2. Thuật toán ký và kiểm tra chữ ký
•
Ký: y = sig
k
(x) = x
a
mod n, y ∈ Z
n
•
Kiểm tra chữ ký: Ver
k
(x, y) = true ⇔ x ≡ y
b
mod n
3. Ví dụ
Sinh khóa:
Hình 3. Sơ đồ một hệ thống PKI
Cơ sở hạ tầng về mật mã khóa công khai (Public Key Infrastructure - PKI) có thể
hiểu là: tập hợp các công cụ, phương tiện cùng các giao thức bảo đảm an toàn truyền
tin cho các giao dịch trên mạng máy tính công khai. Đó là nền móng mà trên đó các
ứng dụng, các hệ thống an toàn bảo mật thông tin được thiết lập.
Nhà cung cấp chứng thực số CA
Những bức tranh hay những chiếc đĩa CD âm nhạc, nếu chữ ký trên bức tranh và
trên đĩa CD đấy không được
đăng ký với cơ quan nào, chỉ là ký chơi thôi thì chữ ký đó
không có ý nghĩa về mặt pháp lý. Thế nhưng, nếu bạn đăng ký bản quyền bức tranh và
ký chữ ký của mình với cơ quan đăng ký bản quyền thì chính chữ ký đó lại có giá trị.
Tương tự như vậy, chữ ký điện tử nếu có giá trị về mặt pháp lý thì phải được
đăng ký và được hoạt động trong một lĩnh v
ực nào đó mới có tác dụng về mặt pháp lý.
Và đó là công việc của những cơ quan xác thực. Nếu Cục tin học thống kê ngân hàng
là một cơ quan xác thực chữ ký điện tử từ năm 2002 thì đến cuối năm 2003 công ty
phần mềm và truyền thông VASC là đơn vị thứ hai tại Việt Nam cung cấp dịch vụ xác
Copyright: Tài liệu đại học ©