Mục lục Đồ án tốt nghiệp đại học MỤC LỤC Lời nói đầu 1 CHƯƠNG 1 LÝ THUYẾT AN TOÀN BẢO MẬT 2 1.1 Tổng quan về lý thuyết mã mật 2 1.2 Mã hóa công khai 3 1.3 Chữ ký điện tử và hàm băm 4 1.3.1 Chữ ký điện tử 4 1.3.2 Hàm băm 6 1.4 Trao đổi khóa công khai và Chứng nhận điện tử 7 CHƯƠNG 2 HỆ THANH TOÁN ĐIỆN TỬ 9 2.1 Giới thiệu chung về thương mại điện tử và thanh toán điện tử 9 2.2 Tổng quan về thanh toán điện tử 10 2.2.1 Mô hình trả sau (PayNow /Pay Later) 11 2.2.2 Mô hình trả trước (PrePaid) 12 2.3 Sơ lược về mô hình tiền mặt điện tử 14 2.3.1 Mô hình, các bên tham gia và giao thức 14 2.3.2 Gian lận double-spending 15 2.3.3 Kiểm tra trực tuyến và ngoại tuyến 16 2.3.4 Những kết quả nghiên cứu quan trọng nhất 16 2.4 Thanh toán điện tử với giá trị siêu nhỏ (Micropayment) 18 2.5 Các đặc trưng cơ bản của hệ thanh toán điện tử 19 2.5.1 Các đặc trưng cơ bản 19 2.5.2 Đặc trưng an toàn 20 2.5.3 Đặc trưng riêng tư 20 2.5.4 Khó khăn và giải pháp 21 2.5.4.1 Tính vô danh 21 2.5.4.2 Tính an toàn 22 CHƯƠNG 3 CÁC HỆ THANH TOÁN GIÁ TRỊ SIÊU NHỎ 24 i Mục lục Đồ án tốt nghiệp đại học 3.1 Giới thiệu 24 3.2 Thanh toán siêu nhỏ 24 3.2.1 Định nghĩa thanh toán siêu nhỏ 24 3.2.2 Lịch sử hình thành 25 3.2.3 Khác nhau giữa thanh toán vĩ mô và thanh toán siêu nhỏ 25 3.2.4 Các mục tiêu của thanh toán siêu nhỏ 27 3.2.5 Mô hình thanh toán siêu nhỏ 27 3.2.6 Quy trình thanh toán siêu nhỏ 28 3.2.7 Tớnh vô danh 29 3.2.7.1 Khái niệm 29 3.2.7.2 Tớnh vô danh trong mô hình thanh toán siêu nhỏ 30 3.2.8 Các đặc trưng chung 30 3.3 Millicent 31 3.3.1 Giao thức 32 3.3.1.1 Scrip của nhà cung cấp 32 3.3.1.2 Mua scrip của nhà cung cấp 32 3.3.1.3 Thực hiện mua 32 3.3.1.4 Trường hợp nhiều nhà môi giới 33 3.3.1.5 Rút tiền 34 3.3.2 Đánh giá 34 3.3.2.1 Chống giả mạo 35 3.3.2.2 Phát hiện double-spending 35 3.3.2.3 Các đánh giá khác 35 3.4 MicroMint 35 3.4.1 Giao thức 36 3.4.1.1 Đồng tiền MicroMint 36 3.4.1.2 Mua đồng tiền gắn với quan hệ người sử dụng - nhà cung cấp 39 3.4.1.3 Thực hiện mua 39 3.4.1.4 Rút tiền 39 3.4.2 Đánh giá 39 3.4.2.1 Chống giả mạo 40 3.4.2.2 Phát hiện double-spending 40 ii Mục lục Đồ án tốt nghiệp đại học 3.4.2.3 Các đánh giá khác 40 3.5 PayWord 41 3.5.1 Mô hình 41 3.5.2 Các giao thức 41 3.5.3 Đánh giá 44 3.5.3.1 Chống giả mạo 44 3.5.3.2 Phát hiện double-spending 44 3.5.3.3 Chớnh sách 45 3.5.3.4 Các đánh giá khác 45 3.6 Mô hình thanh toán đơn giản của Wenbo Mao 46 3.6.1 Giao thức 46 3.6.1.1 Đồng tiền, chữ ký ngân hàng, tiền lẻ, chữ ký sử dụng tiền, chứng thực khách hàng 46 3.6.1.2 Thực hiện mua 48 3.6.1.3 Rút tiền 49 3.6.2 Đánh giá 50 3.6.2.1 Chống giả mạo 50 3.6.2.2 Phát hiện double-spending 50 3.6.2.3 Tính vô danh 51 3.6.2.4 Các đánh giá khác 51 3.7 Túm tắt 52 CHƯƠNG 4 XÂY DỰNG GIẢI PHÁP THANH TOÁN SIấU NHỎ BẰNG THẺ TRẢ TRƯỚC 53 4.1 Đặt vấn đề 53 4.1.1 Thẻ tín dụng và thanh toán trực tuyến 54 4.1.2 Thực trạng 55 4.1.3 Giải pháp cho thanh toán trực tuyến 55 4.1.4 Yêu cầu với giải pháp thanh toán siêu nhỏ 56 4.2 Giải pháp thanh toán siêu nhỏ sử dụng thẻ trả trước 57 4.2.1 Mục tiêu 57 4.2.2 Đặc điểm, cơ chế 57 iii Mục lục Đồ án tốt nghiệp đại học 4.2.3 Thực hiện thanh toán tự động 59 4.2.4 So sánh việc sử dụng thẻ Paycard với thẻ tín dụng 59 4.2.5 Tớnh khả thi 60 4.2.6 Mô hình trao đổi thông điệp 60 4.2.7 Khả năng mở rộng 62 4.2.8 Các đặc điểm có thể mở rộng 62 4.3 Xõy dựng giải pháp 63 4.3.1 Giao thức truyền thông bảo mật SSL 63 4.3.2 Dòng xử lý của hệ thống 63 4.3.3 Biểu đồ các lớp và Cơ sở dữ liệu 64 4.3.3.1 Lớp khách hàng và Nhà cung cấp 64 4.3.3.2 Lớp Ngõn hàng và Cơ sở dữ liệu tài khoản 65 4.3.4 Biểu đồ Usecase của hệ thống 65 4.3.5 Biểu đồ chi tiết một số trường hợp sử dụng 66 4.3.5.1 Kích hoạt tài khoản 66 4.3.5.2 Mua hàng 67 4.3.5.3 Kiểm tra các giao dịch của tài khoản 68 CHƯƠNG 5 KẾT QUẢ NGHIÊN CỨU VÀ ĐÁNH GIÁ 69 5.1 Kết quả nghiên cứu lý thuyết 69 5.2 Kết quả cài đặt 69 5.2.1 Môi trường 69 5.2.1.1 Phớa khách hàng 69 5.2.1.2 Phớa nhà cung cấp 69 5.2.1.3 Phớa ngõn hàng 69 5.2.2 Một số màn hình kết quả 70 5.2.2.1 Đăng nhập tài khoản Paycard có sử dụng SSL 70 5.2.2.2 Kích hoạt tài khoản và thực đơn đăng nhập 70 5.2.2.3 Trang nhà cung cấp 71 5.2.2.4 Chọn mua một mặt hàng 71 5.3 Các vấn đề cũn tồn tại và hướng phát triển của đề tài 72 PHỤ LỤC 73 iv Mục lục Đồ án tốt nghiệp đại học - Bảng tổng kết đặc điểm các mô hình thanh toán siêu nhỏ 73 - Sơ đồ chữ ký Schnorr 75 - Giới thiệu về Dự thảo Giao thức thanh toán siêu nhỏ (MPTP) và Dự thảo Định dạng chung cho các liên kết thanh toán siêu nhỏ 75 Bảng thuật ngữ và từ viết tắt 79 Tài liệu tham khảo 79 v Danh mục các hình vẽ và bảng Đồ án tốt nghiệp đại học Hình 1-1. Mô hình cơ bản của truyền thông bảo mật 2 Hình 1-2. Mô hình hệ mật mã với khóa công khai 3 Hình 1-3. Sơ đồ ký một bản tóm lược thông báo 6 Hình 2-4. Mô hình thanh toán phỏng séc (trả sau) 12 Hình 2-5. Mô hình thanh toán điện tử phỏng tiền mặt 13 Hình 2-6. Vòng quay của đồng tiền số 14 Hình 2-7. Giải pháp đảm bảo tính vô danh cho người sử dụng 22 Hình 2-8. Ngân hàng phát hiện người sử dụng gian lận 23 Hình 3-9. Mua scrip từ nhà cung cấp khác 34 Hình 3-10. Cấu trúc đồng tiền. m giả thiết lớn hơn n. Tỉ lệ được điều chỉnh cho các chi tiết của y 38 Hình 3-11. Giao thức PayWord. Các mũi tên đậm chỉ các giao tiếp ngoài giao thức 43 Hình 3-12. Giao thức Wenbo. Các mũi tên đậm chỉ các giao tiếp ngoài giao thức 50 Hình 4-13. Thẻ mua hàng trực tuyến Paycard 58 Hình 4-14. Mô hình gửi thông điệp giữa cỏc bờn 60 Hình 4-15. Mô hình truyền thông bảo mật sử dụng SSL 63 Hình 4-16. Dòng xử lý của mô hình Paycard 63 Hình 4-17. Biểu đồ hoạt động của mô hình Paycard 64 Hình 4-18. Biểu đồ lớp khách hàng và nhà cung cấp theo mô hình Paycard 64 Hình 4-19. Biểu đồ lớp ngõn hàng và CSDL trong mô hình Paycard 65 Hình 4-20. Biểu đồ các trường hợp sử dụng của mô hình Paycard 65 Hình 4-21. Biểu đồ trình tự UC kích hoạt tài khoản 66 Hình 4-22. Biểu đồ trình tự UC Mua hàng 67 Hình 4-23. Biểu đồ trình tự UC Kiểm tra giao dịch của tài khoản 68 Hình 5-24. Màn hình đăng nhập tài khoản Paycard 70 Hình 5-25. Màn hình kích hoạt tài khoản và thực đơn khi đăng nhập 70 Hình 5-26. Màn hình nhà cung cấp với các mặt hàng được bán 71 Hình 5-27. Màn hình chọn mua mặt hàng 71 Bảng 1. Tổng kết đặc điểm các giao thức thanh toán. C = khách hàng. V = nhà cung cấp. B = nhà môi giới 73 vi Danh mục các hình vẽ và bảng Đồ án tốt nghiệp đại học Bảng 2. Tổng kết chi phí tính toán (Giả thiết bỏ qua các thanh toán vĩ mô và gian lận double-spending, không có gian lận trong kiểm tra). CC = chứng thực của khách hàng. 73 Bảng 3. Số các yêu cầu lưu trữ trong các giao thức. Trong ngoặc đơn ( ) là giá trị tuỳ chọn , phụ thuộc vào việc triển khai. CSK = khoá chia sẻ của khách hàng (customer-shared-key) 74 vii Lời nói đầu Đồ án tốt nghiệp đại học Lời nói đầu Cùng với tốc độ phát triển và ứng dụng rộng rãi của mạng Internet, mô hình thương mại điện tử trên Internet là vấn đề thời sự trên thế giới và tại Việt Nam. Thương mại điện tử trên Internet có nhiều lợi điểm như chi phí rẻ, tiết kiệm không gian điều khiển, giao dịch nhanh, thị trường rộng lớn,…chắc chắn sẽ là xu hướng phát triển thương mại trong tương lai. Trong quá trình mua bán, kinh doanh thì thanh toán là khâu quan trọng nhất chính vì vậy thanh toán điện tử chính là trái tim của thương mại điện tử. Trên thế giới hiện nay, nhu cầu về thương mại điện tử rất phổ biến nhưng các vấn đề hạ tầng xoay quanh thanh toán điện tử vẫn chưa đạt được giải quyết tương ứng và đáp ứng được các đòi hỏi đặt ra. Do đó có thể kết luận việc nghiên cứu xây dựng các hệ thống thanh toán điện tử để đảm bảo an toàn thông tin trong các dịch vụ thương mại điện tử là một hướng nghiên cứu rất cần thiết hiện nay. Hiện nay, trong lĩnh vực thương mại điện tử, thẻ tín dụng đang trở thành phương tiện chủ yếu cho các giao dịch mua bán cá nhõn trên Internet. Bên cạnh đó, dựa vào các ứng dụng của lý thuyết mã mật, đã có rất nhiều giải pháp được đưa ra cho vấn đề các thanh toán trực tuyến giá trị nhỏ. Tuy vậy, các giải pháp này vẫn chưa trở nên phổ biến và về mặt lý thuyết và thực tế các giải pháp này vẫn cũn có điểm tỏ ra chưa thoả đáng trong khi việc sử dụng thẻ tín dụng vẫn cũn để lại một số khó khăn và phiền hà đối với cả người sử dụng và nhà cung cấp. Việc đưa ra một giải pháp cho các thanh toán giá trị nhỏ trên mạng sao cho bảo đảm tớnh an toàn và dễ dùng đối với các bên là một yêu cầu bức thiết nhằm thúc đẩy hơn nữa giao dịch thanh toán cá nhõn trên Internet nói riêng và sự phát triển của thương mại điện tử nói chung. Đề tài sẽ trình bày về các vấn đề an toàn bảo mật có liên quan tới thanh toán điện tử và thanh toán siêu nhỏ. Tiếp theo là đánh giá một số hệ thanh toán siêu nhỏ điển hình. Cuối cùng, một giải pháp thanh toán siêu nhỏ dựa trên việc sử dụng quen thuộc của thẻ trả trước (thẻ Internet, thẻ ATM) được nêu ra. Các vấn đề lý thuyết liên quan sẽ được phõn tích đồng thời một cài đặt cụ thể cũng được thực hiện. Trong phạm vi một đồ án tốt nghiệp, đề tài cũn có nhiều hạn chế. Em rất mong nhận được nhiều ý kiến đóng góp từ các thầy cô và bạn bè để đề tài được đầy đủ và hoàn thiện hơn. Xin trõn trọng cảm ơn. 1 Chương 1 – Lý thuyết an toàn bảo mật Đồ án tốt nghiệp đại họ CHƯƠNG 1 LÝ THUYẾT AN TOÀN BẢO MẬT 1.1 Tổng quan về lý thuyết mã mật Mã mật (Cryptography) được định nghĩa là một khoa học và nghệ thuật về sự an toàn của thông tin. Nó bao gồm tính bí mật của thông tin, tính toàn vẹn dữ liệu, khả năng xác minh thực thể, và xác minh nguồn gốc dữ liệu. Để đảm bảo tính bí mật cũng như tính toàn vẹn thông tin trong quá trình truyền thông người ta có thể sử dụng các kĩ thuật mã để xây dựng nên mô hình truyền thông bảo mật. Một mô hình cơ bản nhất của truyền thông bảo mật sử dụng các kỹ thuật mã đó là: Hình 1-1. Mô hình cơ bản của truyền thông bảo mật Người gửi gửi một thông điệp đến người nhận qua một kênh truyền thông mà kẻ tấn công có thể nghe trộm để lấy cắp hoặc phá hoại thông tin. Người gửi sử dụng một phép mã hóa, để biến thông điệp ở dạng đọc được sang dạng được mã hóa. Khóa K được sử dụng để mã hóa thông điệp này. Người nhận thực hiện quá trình giải mã để thu được thông tin ban đầu. Khúa dựng để giải mã và mã hóa chỉ có các bên tham gia truyền thông mới được biết. Người ta thường phân loại các hệ mã theo các tiêu chí: − Dựa vào số khóa được sử dụng: Nếu người gửi và người nhận sử dụng một khóa duy nhất cho việc mã hóa và giải mã thì đó là hệ thống mã đối xứng (mó hóa truyền thống). Nếu người gửi và người nhận sử dụng cỏc khúa khác nhau cho quá trình mã hóa và giải mã thì đó là hệ thống bất đối xứng (mó khóa công khai). 2 Mã hóa Giải mã Kênh truyền thông Kẻ tấn công Bên nhận Bên gửi Chương 1 – Lý thuyết an toàn bảo mật Đồ án tốt nghiệp đại họ − Dựa vào cách xử lí thông tin ban đầu : Mã khối mã hóa dữ liệu đầu vào (thường là đơn vị ký tự) theo từng khối rời rạc. Các khối thường có kích thước là 64 bit (DES là một ví dụ). Mó dũng mã hóa dữ liệu một cách tuần tự từng bit một. Mã khối thường là an toàn hơn mó dũng, nhưng ngược lại nó lại đòi hỏi khối lượng tính toán nhiều hơn. Và do đó thường là thực hiện lâu hơn khá nhiều. 1.2 Mã hóa công khai Mã hóa công khai sử dụng các thuật toán dựa trên các tính toán toán học, không như mã hóa đối xứng sử dụng các thuật toán dựa trên cỏc phộp hoán vị và thay thế. Mã hóa công khai có tính bất đối xứng, nó sử dụng hai khóa riêng biệt để mã hóa và giải mã dữ liệu. Do đó mã hóa công khai có ứng dụng rất lớn trong các lĩnh vực phân phối khóa, xác minh thực thể, đảm bảo tính tin cậy. Nguyên tắc mã hóa công khai: Trong mã hóa công khai, mỗi người dùng sử dụng hai khóa, một là khóa bí mật chỉ mình người đó biết (Private Key) dùng để giải mã, và một khúa dựng để mã hóa gọi là khóa công khai (Public Key) khóa này có thể được phổ biến rộng rãi. Hai khóa này có mối quan hệ với nhau. Hình 1-2. Mô hình hệ mật mã với khóa công khai Một hệ khóa công khai yêu cầu không thể xác định được khóa giải mã nếu chỉ biết được thuật toán mã và khúa mó. Ngoài ra đối với một số thuật toán một trong hai khóa đều có thể dùng làm khúa mó và khóa còn lại làm khóa giải. 3 [...]... một hệ thanh toán siêu nhỏ 3.2 Thanh toán siêu nhỏ 3.2.1 Định nghĩa thanh toán siêu nhỏ  Schubert và Zimmermann [14]: Là các thanh toán vô danh với các giá trị nhỏ hơn khoảng 10$  Lawrence [6]: Thanh toán siêu nhỏ là các phần của một cent hay các lượng nhỏ có thể trả cho sử dụng trực tuyến hay thời gian kết nối  RSA [12] : ô Thanh toán siêu nhỏ là các thanh toán với tổng tiền, thường là nhỏ hơn... ngược được X từ giá trị băm Y của nó 3 Có tính phi đụng độ cao, tức là thực tế không thể tìm được hai thông tin X 6 Chương 1 – Lý thuyết an toàn bảo mật Đồ án tốt nghiệp đại họ khác X’ sao cho H(X) = H(X’) Trong thanh toán điện tử hàm băm được dùng trong việc chế tạo các đồng tiền số cho các mô hình thanh toán với giá trị siêu nhỏ Cỏc gớa trị thanh toán trong mô hình Payword là các giá trị được sinh... một đồng tiền số (ecash) cho thanh toán trực tuyến Thuật ngữ Thanh toán siêu nhỏ vẫn chưa thực sự được biết đến Rào cản với thanh toán siêu nhỏ ngoài vấn đề về công nghệ và giao tiếp là sự chấp nhận của người sử dụng Một trong các lý do mà các hệ thanh toán siêu nhỏ chưa được sử dụng rộng rói là do chúng thường yêu cầu người dùng phải tải về các bổ sung (plug-in) cho trình duyệt Nếu các hệ thanh toán. .. đều có đặc điểm chung là được sử dụng với tần suất lớn nhưng giá trị nhỏ, thậm chí siêu nhỏ và không yêu cầu người sử dụng thiết lập quan hệ lâu dài với nhà cung cấp Trên đây, chính là các cơ sở, đòi hỏi cho các mô hình thanh toán điện tử với giá trị siêu nhỏ So với các mô hình thanh toán điện tử, các mô hình thanh toán với giá trị siêu nhỏ có một đặc trưng riêng và quan trọng hơn cả là tính hiệu quả,... này Giá trị thanh toán của các đồng tiền số thể hiện ở chỗ người sử dụng sẽ thuyết phục được người bán chấp nhận chúng và thông thường chữ ký của ngân hàng trên đồng tiền số là cơ sở để người 15 Chương 2 - Hệ thanh toán điện tử Đồ án tốt nghiệp đại học bán chấp nhận Kết thúc giao thức thanh toán, nhà cung cấp nhận được các đồng tiền số của người sử dụng và tin tưởng rằng họ có thể gửi các đồng tiền... thanh toán điện tử Thanh toán điện tử là việc áp dụng các thành tựu của lý thuyết mật mã vào khâu thanh toán mua hàng trên Internet để đạt được các yêu cầu về tính an toàn, riêng tư Nsgoài ra nó cũng cần đạt được sự tiện lợi, hiệu quả nhất định Về mục đích, thanh toán điện tử là hệ thống cho phép các bên tham gia tiến hành mua bán được tương tự như các phương thức thanh toán đó cú Tuy nhiên về cách... 10 Chương 2 - Hệ thanh toán điện tử Đồ án tốt nghiệp đại học tiền mặt, các bên trong thanh toán điện tử sẽ trao đổi với nhau các chứng từ được số hoá Bản chất là bên được thanh toán có thể thông qua ngân hàng của mình (và tất nhiên là phải liên hệ đến ngân hàng của bên thanh toán) để chuyển tiền vào tài khoản của mỡnh Cỏc quá trình này sẽ được phản ánh trong các giao thức thanh toán trong mỗi hệ thống,... card) d Thông điệp (bao gồm các thông số và chỉ dẫn) được chuyển tới máy chủ B 4 Chuyển khoản giao dịch thanh toán siêu nhỏ (settlement) giữa nhà cung cấp V và nhà môi giới B Tổng tiền sẽ được tập hợp từ một số người mua Nhà cung cấp không cần phải thực hiện chuyển khoản hàng ngày [2] 28 Chương 3 - Các hệ thanh toán siêu nhỏ Đồ án tốt nghiệp đại học 5 An toàn của thanh toán siêu nhỏ Thanh toán siêu nhỏ. .. được sử dụng cho các thanh toán rất nhỏ do vậy chi phí sẽ cao lên nếu phải thực hiện một giải thuật an ninh phức tạp a Kỹ thuật Giải thuật an toàn sử dụng trong thanh toán siêu nhỏ bao gồm nhiều hàm băm một chiều Bằng cách ngẫu nhiên và liên tục thay đổi giá trị gieo (seed value) x và tớnh giá trị băm y của nó, các thẻ được tạo ra theo chuỗi Mỗi thẻ tượng trưng cho một giá trị cố định Thứ tự các thẻ trong... siêu nhỏ có thể đảm bảo các chuẩn chung (như thẻ tín dụng), khi đó khách hàng có thể sẽ sẵn sàng làm việc với nó Tuy vậy, hiện nay các hệ thanh toán siêu nhỏ trên các website vẫn cũn khác nhau và vì vậy khách hàng vẫn cần một số plug-in hay gói phần mềm nếu muốn dùng nó Điều này cũng hạn chế sự phát triển của các hệ thanh toán siêu nhỏ 3.2.3 Khác nhau giữa thanh toán vĩ mô và thanh toán siêu nhỏ Mô . nghĩa thanh toán siêu nhỏ 24 3.2.2 Lịch sử hình thành 25 3.2.3 Khác nhau giữa thanh toán vĩ mô và thanh toán siêu nhỏ 25 3.2.4 Các mục tiêu của thanh toán siêu nhỏ 27 3.2.5 Mô hình thanh toán siêu. về các vấn đề an toàn bảo mật có liên quan tới thanh toán điện tử và thanh toán siêu nhỏ. Tiếp theo là đánh giá một số hệ thanh toán siêu nhỏ điển hình. Cuối cùng, một giải pháp thanh toán. một giải pháp cho các thanh toán giá trị nhỏ trên mạng sao cho bảo đảm tớnh an toàn và dễ dùng đối với các bên là một yêu cầu bức thiết nhằm thúc đẩy hơn nữa giao dịch thanh toán cá nhõn trên