Mục đích của khóa luận là nghiên cứu và đưa ra những giải pháp khoa học cho
các bài toán xác thực trong quá trình TTĐT. Từ đó, đánh giá ưu nhược điểm của các
giải pháp, chỉrõ giải pháp nào sẽ đạt hiệu quảtối ưu đối với từng loại hình TTĐT. Đối
tượng nghiên cứu của khóa luận văn là các bài toán phát sinh khi TTĐT. Khóa luận
nghiên cứu một cách tương đối đầy đủcác hình thức TTĐT cho đến thời điểm hiện tại.
Dựa trên các kết quả đó, nêu các giải pháp tương ứng với từng bài toán cụthể.
Khóa luận tốt nghiệp nghiên cứu một cách khoa học các hình thức TTĐT hiện
đang được ứng dụng rộng rãi, đồng thời tìm hiểu cơchếbảo mật, xác thực của các hệ
thống TTĐT đó, nhằm đưa ra giải pháp toàn diện đểphát triển hệthống TTĐT ởViệt
Nam.
62 trang |
Chia sẻ: nhungnt | Lượt xem: 2482 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đề tài Nghiên cứu vấn đề xác thực trong hệ thống thanh toán điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Ngô Đức Hùng
NGHIÊN CỨU VẤN ĐỀ XÁC THỰC TRONG HỆ
THỐNG THANH TOÁN ĐIỆN TỬ
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công nghệ thông tin
HÀ NỘI - 2009
ii
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Ngô Đức Hùng
NGHIÊN CỨU VẤN ĐỀ XÁC THỰC TRONG HỆ
THỐNG THANH TOÁN ĐIỆN TỬ
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Các Hệ thống thông tin
Cán bộ hướng dẫn: ThS. Lương Việt Nguyên
HÀ NỘI - 2009
iii
Tóm tắt nội dung của Khóa luận tốt nghiệp
Mục đích của khóa luận là nghiên cứu và đưa ra những giải pháp khoa học cho
các bài toán xác thực trong quá trình TTĐT. Từ đó, đánh giá ưu nhược điểm của các
giải pháp, chỉ rõ giải pháp nào sẽ đạt hiệu quả tối ưu đối với từng loại hình TTĐT. Đối
tượng nghiên cứu của khóa luận văn là các bài toán phát sinh khi TTĐT. Khóa luận
nghiên cứu một cách tương đối đầy đủ các hình thức TTĐT cho đến thời điểm hiện tại.
Dựa trên các kết quả đó, nêu các giải pháp tương ứng với từng bài toán cụ thể.
Khóa luận tốt nghiệp nghiên cứu một cách khoa học các hình thức TTĐT hiện
đang được ứng dụng rộng rãi, đồng thời tìm hiểu cơ chế bảo mật, xác thực của các hệ
thống TTĐT đó, nhằm đưa ra giải pháp toàn diện để phát triển hệ thống TTĐT ở Việt
Nam.
iv
MỤC LỤC
MỞ ĐẦU ......................................................................................................................... 1
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ DỊCH VỤ XÁC
THỰC ......................................................................................................................... 4
1.1. Khái quát về an toàn thông tin................................................................................... 4
1.2. Vấn đề xác thực trong an toàn thông tin................................................................... 6
1.2.1. Khái niệm .......................................................................................................................6
1.2.2. Phân loại xác thực...........................................................................................................7
1.2.3. Các nhân tố xác thực ......................................................................................................7
1.2.4. Xác thực mạnh nhiều yếu tố ...........................................................................................7
1.2.5. Một vài công cụ xác thực ...............................................................................................9
1.3. Chữ ký số - Công cụ được ứng dụng rộng dãi nhất ................................................ 12
1.3.1. Khái quát về chữ ký điện tử..........................................................................................12
1.3.2. Vấn đề an toàn của chữ ký điện tử ...............................................................................13
1.3.3. Ứng dụng ......................................................................................................................14
1.4. Cơ sở hạ tầng về mật mã khóa công khai................................................................ 16
CHƯƠNG 2: THANH TOÁN ĐIỆN TỬ ...................................................................... 20
2.1. Tổng quan về TTĐT................................................................................................ 20
2.1.1. Khái niệm chung về TTĐT...........................................................................................20
2.1.2. Các đặc trưng của TTĐT..............................................................................................21
2.2. Các mô hình TTĐT ................................................................................................. 21
2.3. Vấn đề an ninh trong TTĐT .................................................................................... 23
CHƯƠNG 3: XÁC THỰC TRONG CÁC HỆ THỐNG THANH TOÁN ĐIỆN TỬ ... 24
3.1. Vai trò của xác thực trong thanh toán ..................................................................... 24
3.2. Các phương thức thanh toán chính.......................................................................... 24
3.3. Hoạt động xác thực diễn ra như thế nào.................................................................. 25
3.3.1. Card Payment ....................................................................................................... 25
v
3.3.1.1. Phương pháp xác thực...........................................................................................25
3.3.1.2. Những kỹ thuật về bảo mật ....................................................................................26
3.3.2. e-Payment ............................................................................................................. 31
3.3.2.1. Phương pháp xác thực...........................................................................................31
3.3.3.2. Những kỹ thuật về bảo mật ....................................................................................32
3.3.3.2.1. e-Banking............................................................................................................32
3.3.3.2.2. e-Commerce........................................................................................................35
3.3.3. Mobile Payment (m-Payment) ............................................................................. 40
3.3.3.1. Phương thức xác thực............................................................................................40
3.3.3.2. Những kỹ thuật về bảo mật ....................................................................................41
KẾT LUẬN .................................................................................................................... 44
PHỤ LỤC ....................................................................................................................... 45
TÀI LIỆU THAM KHẢO.............................................................................................. 54
vi
DANH MỤC CÁC BẢNG BIỂU
Hình 1. Một hệ thống xác thực sinh trắc học
Hình 2. Quá trình ký và kiểm tra chữ ký
Hình 3. Sơ đồ một hệ thống PKI
Hình 4. Mô hình kiến trúc CA phân cấp
Hình 5. Một chiếc thẻ thanh toán có gắn chip IC
Hình 6. Máy chấp nhận thẻ thanh toán POS
Hình 7. Thẻ thừ và máy đọc thẻ từ
Hình 8. Một chip an ninh có kích thước 3x5 mm được đưa vào bên trong
thẻ và được phóng lớn ra. Các điểm tiếp xúc trên thẻ cho phép
thiết bị điện tử có thể truy cập chip.
Hình 9. Mô hình TTĐT
Hình 10. Các nhân tố tham gia vào TMĐT
Hình 11. Giao thức SSL
Hình 12. Thanh toán bằng điện thoại di động
Hình 13. Mô hình triển khai công nghệ WAP
vii
DANH MỤC CÁC KÝ HIỆU
Ký hiệu Chú giải
API Application Programming Interface
ATTT An toàn thông tin
CA Certification Authority
CI Credit Institution
CNTT Công nghệ thông tin
CP Certificate Policy
CSDL Cơ sở dữ liệu
DSS Digital Signature Standard
HTTT Hệ thống thông tin
IBPS Inter Bank Payment System
NHNN Ngân hàng Nhà nước Việt Nam
NHTM Ngân hàng Thương mại
NHTW Ngân hàng Trung Ương
PIN Personal Identification Number
PKI Public Key Infrastructure
RA Registration Authority
Sub CA Subordinate CA
TAD Terminal Access Device
TCTD Tổ chức Tín dụng
TMĐT Thương mại điện tử
TTĐT Thanh toán điện tử
TTTT Trung tâm thanh toán
viii
LỜI CÁM ƠN
Lời đầu tiên, em xin gửi lời cám ơn sâu sắc tới ThS. Lương Việt Nguyên – Bộ
môn Các Hệ thống thông tin – Khoa Công Nghệ Thông Tin – Trường Đại Học Công
Nghệ - Đại học Quốc Gia Hà Nội, người đã hết lòng hướng dẫn, tạo điều kiện cho em
trong suốt quá trình thực hiện khóa luận.
Em xin cám ơn PGS.TS. Trịnh Nhật Tiến, các thầy, các cô trong trường Đại học
Công Nghệ - Đại học Quốc Gia Hà Nội đã tận tình giảng dạy chúng em, giúp đỡ động
viên chúng em từ những ngày đầu bước vào cánh cổng trường Đại học. Thầy cô đã tạo
cho chúng em môi trường học tập, những điều kiện thuận lợi cho chúng em được học
tập tốt, trang bị cho chúng em những kiến thức quý báu giúp chúng em có thể vững
bước trong tương lai.
Cám ơn các bạn sinh viên K50 đã giúp đỡ, cùng nghiên cứu và chia sẻ với tôi
trong suốt quá trình học Đại học và thời gian hoàn thành khóa luận.
Hà Nội, 05/2009
Ngô Đức Hùng
1
MỞ ĐẦU
TTĐT là trở ngại lớn thứ hai đối với việc mở rộng và phát huy hiệu quả thực sự
của ứng dụng TMĐT, chỉ sau yếu tố về nhận thức của người tiêu dùng. Hiện nay, một
số lượng không nhỏ doanh nghiệp và ngân hàng tại Việt Nam đã bắt đầu chú ý tới các
hình thức TTĐT, và sử dụng các công cụ xác thực như một biện pháp tiện lợi, an toàn,
nhằm giảm chi phí và thủ tục giao dịch. Tuy nhiên, nỗi lo về những rủi ro và nguy cơ
tiềm ẩn trong thanh toán trực tuyến đang làm chậm bước tiến của ứng dụng TMĐT
trong thời đại công nghệ thông tin ngày nay. Để khắc phục vấn đề này, cần phải đưa ra
giải pháp xác thực toàn diện nhằm đảm bảo an toàn tối đa cho các giao dịch trực tuyến
nói chung và TTĐT nói riêng. Có được niềm tin của người tiêu dùng thì hệ thống
TTĐT mới dễ dàng phát triển được, và chúng ta hoàn toàn có thể tin tưởng vào một
tương lai không xa, cả thế giới sẽ bước vào một nền kinh tế mới, nền kinh tế không
tiền mặt.
Hệ thống TTĐT đang trở thành nhu cầu phát triển và điều kiện để Việt Nam hội
nhập với thế giới. Tuy nhiên, do chưa nắm rõ các kiến thức về chứng thực số và công
nghệ trong hệ thống thanh toán trực tuyến, nhiều doanh nghiệp, tổ chức, vẫn tỏ ra thận
trọng và chưa triển khai hệ thống này.
Thực tế cho thấy những nước có nền TMĐT phát triển là những nước đã xây
dựng được một cơ sở hạ tầng thanh toán khá hoàn thiện. Và trong tất cả các phương
thức thanh toán, ngân hàng luôn ở vị trí trung tâm với vai trò là nhà cung cấp trực tiếp
dịch vụ hoặc tổ chức trung gian hỗ trợ hệ thống TTĐT.
Giám đốc trung tâm CNTT BIDV đưa ra con số minh chứng cho thói quen sử
dụng tiền mặt của người dân VN: 4 triệu người dân Singapore sở hữu 30 triệu thẻ các
loại (ATM, tín dụng, ghi nợ...); còn tại Việt Nam, 85 triệu người dân mới có 6,2 triệu
thẻ và khoảng 10 triệu tài khoản. Do thiếu sự kết nối tổng thể giữa các ngân hàng,
khách hàng và nhà cung cấp dịch vụ, hàng hóa khiến người tiêu dùng chưa mạnh dạn
tham gia cũng như thụ hưởng các tiện ích từ TTĐT (TTĐT).
Đối với mạng lưới thanh toán thẻ của ngân hàng, hiện vẫn tồn tại tới ba liên minh
(liên minh của Vietcombank, hệ thống kết nối giữa ANZ và Sacombank, và hệ thống
của ngân hàng Đông Á). Do đó, nếu người mua và người bán có tài khoản ở những
ngân hàng hoặc liên minh khác thì việc TTĐT gần như không thực hiện được trong
giao dịch thương mại trực tuyến.
2
Thực tế, các ngân hàng và nhà cung cấp đang rất chủ động trong việc đưa ra các
phương thức thanh toán. Chẳng hạn, Pacific Airlines (hiện nay là Jetstar Pacific) hợp
tác với một số tổ chức cho phép TTĐT đối với các thẻ tín dụng quốc tế hoặc thẻ ghi nợ
nội địa của VCB; Techcombank hợp tác với chodientu.vn cung cấp dịch vụ thanh toán
trực tuyến đối với các khách hàng của Techcombank khi mua hàng trên website này...
Tuy nhiên, đó chỉ là những giải pháp được triển khai trong một phạm vi hẹp. TTĐT ở
VN đang có sự giao thoa, mỗi bên (ngân hàng và nhà cung cấp) đều chủ động đưa ra
những giải pháp riêng mà thiếu vai trò chỉ huy của NHNN. Trong khi các ngân hàng
nỗ lực mở rộng điểm chấp nhận thanh toán bằng thẻ tín dụng, thì các nhà cung cấp
cũng chủ động khắc phục bằng những giải pháp tình thế là đàm phán với từng ngân
hàng để thiết lập hệ thống cho phép khách hàng thanh toán bằng cách sử dụng thẻ do
ngân hàng phát hành hoặc khấu trừ thẳng vào tài khoản ngân hàng (như trường hợp
của các doanh nghiệp kể trên)...
Mô hình của các nước trên thế giới là xây dựng một trung tâm chuyển mạch tài
chính ở tầm quốc gia với nhiệm vụ chuyển mạch kết nối giao dịch thanh toán giữa các
bên khác nhau, xử lý thanh toán bù trừ và quyết toán giá trị thanh toán. Ngoài ra, có
một số cổng thanh toán. Các cổng này có thể do một số công ty tư nhân xây dựng để
cung cấp dịch vụ.
Sau một thời gian, công ty Chuyển Mạch Tài Chính Quốc Gia Banknet đã chính
thức ra mắt. Mục tiêu của Banknetvn là kết nối các hệ thống thanh toán thẻ của các
ngân hàng ở VN, tạo thành một hệ thống thanh toán thẻ chung cho quốc gia và kết nối
với các tổ chức thẻ quốc tế. Hoạt động của Banknet hoàn toàn khác với các liên minh
thẻ đang tồn tại ở chỗ, các liên minh thẻ thực chất là sự thỏa thuận của một số ngân
hàng với nhau, thường do một ngân hàng đã đi trước một bước về hệ thống thẻ, nghiệp
vụ thẻ đứng ra chủ trì, các ngân hàng khác sẽ tham gia theo sự chủ trì đó và chịu ảnh
hưởng chi phối của ngân hàng chủ trì. Còn Banknet tạo ra một hệ thống nền tảng công
nghệ và dịch vụ chuyển mạch kết nối dùng chung, một sân chơi bình đẳng cho tất cả
các ngân hàng tham gia kết nối.
Gần đây NHNN đã quan tâm nhiều hơn đến vấn đề này qua việc ban hành các
quy chế, chuẩn mực về thanh toán thẻ, chỉ đạo và hỗ trợ Banknetvn hoạt động và phát
triển theo hướng thực sự là trung tâm chuyển mạch thanh toán của quốc gia, tổ chức
các hội thảo nghiên cứu về giải pháp trung tâm thanh toán tối ưu... Với những chuyển
biến tích cực kể trên, hy vọng những vướng mắc trong TTĐT sẽ dần được gỡ bỏ.
3
Dịch vụ TMĐT ở Việt Nam chỉ có thể chia thành ba loại: Các website rao vặt
đáp ứng nhu cầu mua bán của các cá nhân, các website của doanh nghiệp để quảng cáo
sản phẩm và chăm sóc khách hàng và các cửa hàng điện tử (e-store). Điều này có
nghĩa TMĐT Việt Nam hiện chỉ phát triển mạnh ở khâu cung cấp thông tin (quảng
cáo, đưa thông tin lên website...) chứ chưa đẩy mạnh được khâu thanh toán. Số lượng
mặt hàng được bày bán trực tuyến cũng còn ít; ngoài ra, việc thanh toán chủ yếu vẫn là
thu tiền trực tiếp...
Phương pháp nghiên cứu chính của khóa luận là tìm hiểu các bài báo khoa học,
các mô hình thanh toán trực tuyến lớn trên thế giới, tìm hiểu về mô hình và thực trạng
về an ninh, an toàn thông tin, để từ đó đưa ra giải pháp ứng dụng xác thức phù hợp.
Nội dung của khóa luận văn gồm có phần mở đầu, ba chương nội dung và phần
kết luận:
Chương 1: Tổng quan về an toàn thông tin và dịch vụ xác thực
Giới thiệu những khái niệm cơ bản nhất về lĩnh vực an toàn thông tin, các công
cụ xác thực được sử dụng trong ngành khoa học này.
Chương 2: Thanh toán điện tử
Giới thiệu tổng quát về thanh toán, các hình thức thanh toán, đặc điểm và vấn đề
an ninh, bảo mật trong các hình thức thanh toán hiện nay.
Chương 3: Vấn đề xác thực trong các hệ thống TTĐT
Giới thiệu chi tiết các hệ thống TTĐT đang và sẽ được ứng dụng trên toàn thế
giới, nghiên cứu và đưa ra những giải pháp xác thực tốt nhất cho các hệ thống thanh
toán trực tuyến.
4
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ
DỊCH VỤ XÁC THỰC
Có thể kết luận rằng, trên thế giới hiện nay, nhu cầu về TMĐT rất phổ biến,
nhưng các vấn đề hạ tầng trong TTĐT vẫn chưa được giải quyết tương xứng và đáp
ứng được các đòi hỏi đặt ra. Việc nghiên cứu xây dựng các hệ thống TTĐT để đảm
bảo an toàn thông tin trong các dịch vụ TMĐT là một hướng nghiên cứu rất cần thiết
hiện nay.
Việc xây dựng các hệ thống TTĐT về mặt kỹ thuật chính là ứng dụng các thành
tựu của lý thuyết mật mã. Các mô hình thanh toán sử dụng các giao thức mật mã được
xây dựng để đảm bảo an toàn cho việc giao dịch thông tin giữa các bên tham gia.
1.1. Khái quát về an toàn thông tin
Với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thông tin của
doanh nghiệp như chiến lược kinh doanh, các thông tin về khách hàng, nhà cung cấp,
tài chính, mức lương nhân viên,…đều được lưu trữ trên hệ thống máy tính. Cùng với
sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh
doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng
khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng
nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách hàng.
Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể
dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin
của doanh nghiệp.
An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả
năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác
động đến độ an toàn của hệ thống là nhỏ nhất. Hệ thống có một trong các đặc điểm sau
là không an toàn: Các thông tin dữ liệu trong hệ thống bị người không được quyền truy
nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ). Các thông tin trong hệ thống bị thay
thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn)...
Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ
có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảm
bảo hoạt động đúng đắn. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là
5
đưa ra một số tiêu chuẩn an toàn. Ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc
giảm bớt các nguy hiểm. Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát
triển đáp ứng các yêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào
đó. Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng. Khi đánh giá độ
an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách
giảm tối thiểu rủi ro. Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quá
trình kiểm tra chất lượng.
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn
thông tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa ra các chính sách
và phương pháp đề phòng cần thiết. Các dịch vụ an toàn thông tin cung cấp các giải
pháp an toàn cho máy tính và các kết nối. Bao gồm:
Đảm bảo tính bí mật (Confidentiality): Thông tin không thể bị truy nhập trái
phép bởi những người không có thẩm quyền.
Đảm bảo tính toàn vẹn (Integrity): Thông tin không thể bị sửa đổi, bị làm giả
bởi những người không có thẩm quyền.
Đảm bảo tính xác thực (Authentication): Xác thực đúng nguồn gốc thông tin và
người cung cấp thông tin.
Đảm bảo việc chống chối cãi (Non-repudiation): Thông tin được cam kết về
mặt pháp luật của người cung cấp.
Đảm bảo tính sẵn sàng (Availability): Thông tin luôn sẵn sàng để đáp ứng sử
dụng cho người có thẩm quyền.
6
1.2. Vấn đề xác thực trong an toàn thông tin
1.2.1. Khái niệm
Xác thực (Authentication) là một hành động nhằm thiết lập hoặc chứng thực một
cái gì đó (hoặc một người nào đó) đáng tin cậy, có nghĩa là, những lời khai báo do
người đó đưa ra hoặc về vật đó là sự thật. Xác thực một đối tượng còn có nghĩa là
công nhận nguồn gốc của đối tượng, trong khi, xác thực một người thường bao gồm
việc thẩm tra nhận dạng của họ. Việc xác thực thường phụ thuộc vào một hoặc nhiều
nhân tố xác thực (authentication factors) để minh chứng cụ thể.
Hình 1. Một hệ thống xác thực sinh trắc học
Trong an ninh máy tính (computer security), xác thực là một quy trình nhằm cố
gắng xác minh nhận dạng số (digital identity) của phần truyền gửi thông tin (sender)
trong giao thông liên lạc chẳng hạn như một yêu cầu đăng nhập. Phần gửi cần phải xác
thực có thể là một người dùng sử dụng một máy tính, bản thân một máy tính hoặc một
chương trình ứng dụng máy tính (computer program). Ngược lại sự tin cậy mù quáng
7
hoàn toàn không thiết lập sự đòi hỏi nhận dạng, song chỉ thiết lập quyền hoặc địa vị
hẹp hòi của người dùng hoặc của chương trình ứng dụng mà thôi.
Trong một mạng lưới tín nhiệm, việc xác thực là một cách để đảm bảo rằng
người dùng chính là người mà họ nói họ là, và người dùng hiện đang thi hành những
chức năng trong một hệ thống, trên thực tế, chính là người đã được ủy quyền để làm
những việc đó.
1.2.2. Phân loại xác thực
Xác thực thực thể (Entity Authentication)
Xác thực thực thể