1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ VŨ MINH TÂN XÂY DỰNG ỨNG DỤNG DI ĐỘNG CHO VÍ ĐIỆN TỬ LUẬN VĂN THẠC SĨ CƠNG NGHỆ THÔNG TIN Hà Nội 2013 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ  VŨ MINH TÂN XÂY DỰNG ỨNG DỤNG DI ĐỘNG CHO VÍ ĐIỆN TỬ Ngành : Cơng nghệ thơng tin Chuyên ngành : Công nghệ phần mềm Mã số : 60 48 10 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC : TS TRẦN THỊ MINH CHÂU Hà Nội 2013 LỜI CẢM ƠN Tôi xin gửi lời cảm ơn sâu sắc tới cô giáo TS Trần Thị Minh Châu, giảng viên khoa Công nghệ Thông tin trƣờng Đại học Công nghệ - Đại học Quốc gia Hà Nội – hƣớng dẫn suốt q trình tơi hồn thành luận văn Tơi chân thành cảm ơn thầy cô trƣờng giảng dạy cho tơi suốt q trình học tập trƣờng Cuối cùng, xin chân thành cảm ơn bạn đồng nghiệp tạo điều kiện để tơi hồn thành luận văn Hà Nội, ngày 05 tháng 10 năm 2013 Vũ Minh Tân LỜI CAM ĐOAN Tôi xin cam đoan: Luận văn thạc sĩ cơng trình nghiên cứu thực cá nhân tơi, đƣợc thực sở nghiên cứu, tổng hợp lý thuyết thực tiễn dƣới hƣớng dẫn khoa học TS Trần Thị Minh Châu Hà Nội, ngày 05 tháng 10 năm 2013 Vũ Minh Tân Mục lục LỜI CAM ĐOAN CÁC THUẬT NGỮ VIẾT TẮT DANH MỤC HÌNH VẼ CHƢƠNG – MÔ TẢ BÀI TỐN VÍ ĐIỆN TỬ 10 1.1 Lợi ích thực trạng phát triển ví điện tử 10 1.2 Các vấn đề bảo mật ví điện tử 11 1.3 Bài toán luận văn cần giải 12 CHƢƠNG – KHẢO SÁT CÁC GIẢI PHÁP XÁC THỰC NGƢỜI DÙNG CỦA VÍ ĐIỆN TỬ 14 2.1 OTP 14 2.2 Các thiết bị nhận dạng sinh trắc học 14 2.3 USB token 15 2.4 RSA Token 15 2.5 Sử dụng điện thoại di động 17 2.5.1 Các ký hiệu liên quan 18 2.5.2 Các bước thực 18 CHƢƠNG – GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG VÍ ĐIỆN TỬ 20 3.1 Kiến trúc hệ thống 20 3.2 Các giao thức bảo mật hệ thống 20 3.2.1 Giao thức sử dụng tên đăng nhập mật để đăng nhập hệ thống 21 3.2.2 Giao thức sử dụng mật lần (OTP) để thực giao dịch 21 3.2.3 Giao thức tạo chữ ký cặp khóa RSA 22 3.2.4 Ứng dụng giao thức vào chức cụ thể 23 3.3 Mô tả giải pháp 27 CHƢƠNG – PHÂN TÍCH THIẾT KẾ VÀ CÀI ĐẶT CHƢƠNG TRÌNH 30 4.1 Hoạt động nghiệp vụ 30 4.2 Phát triển mơ hình ca sử dụng 30 4.2.1 Xác định tác nhân 30 4.2.2 Xác định ca sử dụng 31 4.2.3 Mơ hình ca sử dụng 31 4.2.4 Mơ hình chi tiết ca sử dụng 32 4.3 Phân tích hệ thống 36 4.3.1 Ca sử dụng kích hoạt tài khoản 36 4.3.2 Ca sử dụng thực giao dịch 38 4.3.3 Ca sử dụng thực giao dịch web 40 4.3.4 Ca sử dụng kiểm tra lịch sử giao dịch 44 4.3.5 Ca sử dụng kiểm tra thông tin tài khoản 46 4.4 Thiết kế hệ thống 49 4.4.1 Ca sử dụng kích hoạt tài khoản 49 4.4.2 Ca sử dụng thực giao dịch 51 4.4.3 Ca sử dụng thực giao dịch website 53 4.4.4 Ca sử dụng tra kiểm tra lịch sử giao dịch 55 4.4.5 Ca sử dụng tra cứu thông tin tài khoản 57 4.5 Kết cài đặt chƣơng trình 59 4.5.1 Kích hoạt tài khoản 59 4.5.2 Chức chuyển khoản 61 4.5.3 Chức xác nhận giao dịch website 61 CHƢƠNG – KẾT LUẬN VÀ HƢỚNG NGHIÊN CỨU TIẾP THEO 64 5.1 Kết luận 64 5.2 Hƣớng nghiên cứu 64 TÀI LIỆU THAM KHẢO 65 CÁC THUẬT NGỮ VIẾT TẮT Từ viết tắt CA Client HTTPS OTP RSA Server SMS SSL TMP UNCITRAL USB Nghĩa tiếng Anh Certificate Authority Máy khách Hypertext Transfer Protocol Secure One Time Password Tên ba tác giả : Ron Rivest, Adi Shamir Len Adleman Máy chủ Short Message Services Secure Sockets Layer Trusted Platform Module United Nations Commission on International Trade Law Universal Serial Bus DANH MỤC HÌNH VẼ Hình 2.1: Giao thức xác thực thơng qua điện thoại Hình 3.1: Kiến trúc hệ thống Hình 3.2: Q trình kích hoạt tài khoản Hình 3.3: Quá trình thực giao dịch từ ứng dụng di động Hình 3.4: Quá trình thực giao dịch từ website Hình 3.5: Quá trình xác thực tốn Hình 4.1: Mơ hình ca sử dụng mức tổng thể hệ thống Hình 4.2: Biểu đồ hệ thống kích hoạt tài khoản Hình 4.3: Biểu đồ lớp phân tích thực thi ca sử dụng kích hoạt tài khoản Hình 4.4: Biểu đồ phân tích thực thi ca sử dụng kích hoạt tài khoản Hình 4.5: Giao diện kích hoạt tài khoản Hình 4.6: Biểu đồ hệ thống thực giao dịch Hình 4.7: Biểu đồ lớp phân tích thực thi ca sử dụng thực giao dịch Hình 4.8: Biểu đồ phân tích thực thi ca sử dụng thực giao dịch Hình 4.9: Giao diện thực giao dịch Hình 4.10: Biểu đồ hệ thống thực giao dịch website Hình 4.11: Biểu đồ lớp phân tích thực thi ca sử dụng thực giao dịch website Hình 4.12: Biểu đồ phân tích thực thi ca sử dụng thực giao dịch website Hình 4.13: Giao diện thực giao dịch website Hình 4.14: Biểu đồ lớp phân tích ca sử dụng kiểm tra lịch sử giao dịch Hình 4.15: Biểu đồ phân tích thực thi ca sử dụng kiểm tra lịch sử giao dịch Hình 4.16: Giao diện kiểm tra lịch sử giao dịch Hình 4.17: Biểu đồ hệ thống kiểm tra thông tin tài khoản Hình 4.18: Biểu đồ lớp phân tích thực thi ca sử dụng kiểm tra thông tin tài khoản Hình 4.19: Biểu đồ phân tích thực thi ca sử dụng kiểm tra thông tin tài khoản Hình 4.20: Giao diện kiểm tra thơng tin tài khoản Hình 4.21: Biểu đồ thực thi ca sử dụng kích hoạt tài khoản Hình 4.22: Biểu đồ lớp thực thi ca sử dụng kích hoạt tài khoản Hình 4.23: Biểu đồ thực thi ca sử dụng thực giao dịch Hình 4.24: Biểu đồ lớp thực thi ca sử dụng thực giao dịch Hình 4.25: Biểu đồ thực thi ca sử dụng thực giao dịch website Hình 4.26: Biểu đồ lớp thực thi ca sử dụng thực giao dịch website Hình 4.27: Biểu đồ thực thi ca sử dụng kiểm tra lịch sử giao dịch Hình 4.28: Biểu đồ lớp thực thi ca sử dụng kiểm tra lịch sử giao dịch Hình 4.29: Biểu đồ thực thi ca sử dụng tra cứu thông tin tài khoản Hình 4.30: Biểu đồ lớp thực thi ca sử dụng tra cứu thơng tin tài khoản Hình 4.31: Giao diện kích hoạt ứng dụng Hình 4.32: Menu chƣơng trình Hình 4.33: Giao diện chức chuyển khoản Hình 4.34: Giao diện thực giao dịch website Hình 4.35: Giao diện chức xác thực giao dịch website 10 CHƢƠNG – MƠ TẢ BÀI TỐN VÍ ĐIỆN TỬ 1.1 Lợi ích thực trạng phát triển ví điện tử Thƣơng mại điện tử, yếu tố hợp thành kinh tế số hóa hình thái hoạt động thƣơng mại phƣơng pháp điện tử Theo quan điểm luật mẫu UNCITRAL thƣơng mại điện tử "Thƣơng mại điện tử việc sử dụng công nghệ mạng Internet hoạt động giao dịch thƣơng mại" Với quan điểm ta hiểu thƣơng mại điện tử bao gồm chu trình hồn chỉnh phiên giao dịch thƣơng mại nhƣ: chào hàng, chọn hàng, ký kết hợp đồng, giao hàng, toán, bảo hành dịch vụ sau bán Thƣơng mại điện tử mang lại lợi ích tiềm tàng, nhờ phƣơng tiện thƣơng mại điện tử, doanh nghiệp có đƣợc thơng tin nhanh chóng, phong phú thị trƣờng; chi phí văn phịng, bán hàng, giao dịch giảm nhiều lần, rút ngắn chu kỳ sản xuất, nhanh chóng tạo nhiều sản phẩm Ví điện tử tài khoản điện tử Nó giống nhƣ “ví tiền” bạn Internet đóng vai trị nhƣ ví tiền mặt tốn trực tuyến, giúp bạn thực cơng việc tốn khoản phí internet, gửi nhận tiền cách nhanh chóng, đơn giản tiết kiệm thời gian tiền bạc Ví điện tử đời góp phần phát triển hệ thống kinh doanh thƣơng mại điện tử, đem lại lợi ích cho ngƣời mua, ngƣời bán, ngân hàng xã hội Ví điện tử giúp cho ngƣời mua thực nhanh chóng cơng việc tốn, ngƣời bán tăng hiệu hoạt động bán hàng trực tuyến, giúp ngân hàng giảm quản lý giao dịch tốn từ thẻ khách hàng, ngƣời dùng dễ dàng chuyển nhận tiền nhanh chóng vƣợt qua rào cản địa lý Hình thức ví điện tử đƣợc phát triển mạnh mẽ giới kể đến ví điện tử nhƣ: Paypal, AlertPay, Moneybooker, Mchek,… Các ví hỗ trợ tốn trực tuyến website bán hàng, tốn hóa đơn dịch vụ,… Ngồi số ví cịn hỗ trợ toán siêu thị, nhà hàng, xe bus… Ở Việt Nam có nhiều ví điện tử kể đến nhƣ: Ngân Lƣợng Cơng ty cổ phần Ngân Lƣơng, Bảo Kim Công ty cổ phần thƣơng mại điện tử Bảo Kim, Netcash Công ty PayNet, Vcash Công ty VinaPay, VnMart Công ty cổ phần Giải pháp toán Việt Nam (Vnpay), Smartlink Công ty cổ phần dịch vụ thẻ Smartlink Mỗi dịch vụ ví đƣợc doanh nghiệp cung cấp, quảng cáo tính hỗ trợ tốn tiện lợi khác Mỗi ví khác số lƣợng website thƣơng mại điện tử sản phẩm mà cho phép tốn Hiện loại ví hỗ trợ ngƣời dùng tốn online các website bán hàng, tốn hóa đơn, 51 Hình 4.22: Biểu đồ lớp thực thi ca sử dụng kích hoạt tài khoản 4.4.2 Ca sử dụng thực giao dịch Xác định lớp thiết kế tham gia thực thi ca sử dụng Lớp phân tích FormCreateTransaction CreateTransaction Account Transaction Lớp thiết kế FormCreateTransaction_client CreateTransaction Account Transaction Biểu đồ thực thi ca sử dụng thực giao dịch Chú thích Dạng trang xml Dạng Java Lớp Persistence thao tác với CSDL quan hệ 52 : NguoiDung : FormCreateTransaction : CreateTrans action :Account : Transaction Load LoadForm Display Sumit(mobile,pass ,tkNhan,soTien,chuKy) CreateTrans action(mobile,pass,tkNhan,s oTien,chuKy) CheckLogin(mobile,pass ) Boolean getRsaPublicKey() CheckSign() getSoDuChoPhep() getAccountIdNhan(tkNhan) Ins ertTransaction() getTranID() CreateAndSendOtp() Ins ertOtp() LoadFormOTP Display SubmitOTP(TranID,OTP) AuthenOTP(TranID,OTP) CheckOTP(TranID,Otp) Boolean getSoDu() setSoDuChoPhep() setSoDuThucTe() setTrangThai() Display Hình 4.23: Biểu đồ thực thi ca sử dụng thực giao dịch Biểu đồ lớp thực thi ca sử dụng thực giao dịch 53 Hình 4.24: Biểu đồ lớp thực thi ca sử dụng thực giao dịch 4.4.3 Ca sử dụng thực giao dịch website Xác định lớp thiết kế tham gia thực thi ca sử dụng Lớp phân tích FormCreateTransaction FormAuthenTransaction CreateTransaction Account Transaction Lớp thiết kế FormCreateTransaction_client FormAuthenTransaction_client CreateTransaction Account Transaction Chú thích Dạng trang html Dạng trang xml Dạng Java Lớp Persistence thao tác với CSDL quan hệ Biểu đồ thực thi ca sử dụng thực giao dịch website 54 : FormCreate TranOnWeb : NguoiDung : FormAuthen Transaction : Create Transaction :Account : Transaction Load LoadFrom Display Submit(mobi le,tkNhan,soTien) CreateTransaction(mobile,tkNhan,soT ien) getSoDuChoPhep() getAccountIdNhan() InsertTransaction() getTranID() CreateAndSendOTP() InsertOTP() LoadFormTranInfor SubmitOTP(TranID,pass,otp) AuthenOTP(TranID,pass,otp) CheckOTP(T ranID,pass,otp) getSoDuChoPhep() setSoDuChoPhep() setSoDuThucTe() setTrangThai() Display Display Hình 4.25: Biểu đồ thực thi ca sử dụng thực giao dịch website Biểu đồ lớp thực thi ca sử dụng thực giao dịch website 55 Hình 4.26: Biểu đồ lớp thực thi ca sử dụng thực giao dịch website 4.4.4 Ca sử dụng tra kiểm tra lịch sử giao dịch Xác định lớp thiết kế tham gia thực thi ca sử dụng Lớp phân tích FormLogTransaction LogTransaction Account Transaction Lớp thiết kế FormLogTransaction_client LogTransaction Account Transaction Chú thích Dạng trang xml Dạng Java Lớp Persistence thao tác với CSDL quan hệ Biểu đồ thực thi ca sử dụng kiểm tra lịch sử giao dịch 56 Hình 4.27: Biểu đồ thực thi ca sử dụng kiểm tra lịch sử giao dịch Biểu đồ lớp thực thi ca sử dụng kiểm tra lịch sử giao dịch 57 Hình 4.28: Biểu đồ lớp thực thi ca sử dụng kiểm tra lịch sử giao dịch 4.4.5 Ca sử dụng tra cứu thông tin tài khoản Xác định lớp thiết kế tham gia thực thi ca sử dụng Lớp phân tích FormAccountInfor AccountInfor Account Lớp thiết kế FormAccountInfor_client AccountInfor Account Chú thích Dạng trang xml Dạng Java Lớp Persistence thao tác với CSDL quan hệ Biểu đồ thực thi ca sử tra cứu thông tin tài khoản 58 Hình 4.29: Biểu đồ thực thi ca sử dụng tra cứu thông tin tài khoản Biểu đồ lớp thực thi ca sử dụng tra cứu thông tin tài khoản 59 Hình 4.30: Biểu đồ lớp thực thi ca sử dụng tra cứu thông tin tài khoản 4.5 Kết cài đặt chƣơng trình Dựa vào nghiên cứu bên thực xây dựng ứng dụng tảng hệ điều hành Android Dƣới số chức chƣơng trình 4.5.1 Kích hoạt tài khoản Lần sử dụng ứng dụng yêu cầu ngƣời dùng nhập số điện thoại mât để kích hoạt ứng dụng.Một cặp khóa RSA đƣợc tạo lƣu điện thoại, đồng thời khóa cơng khai (public key) đƣợc gửi lên Server để Server dùng cho việc xác thực giao dịch sau Nếu ngƣời dùng nhập thông tin số điện thoại mật Server gửi tin nhắn số điện thoại mã kích hoạt Ứng dụng bắt tin nhắn đọc lấy mã kích hoạt,mã kích hoạt đƣợc gửi lên server để xác nhận số điện thoại xác Khi kích hoạt thành cơng số điện thoại đƣợc ghi lại vào file chƣơng trình để sử dụng cho giao dịch sau 60 Hình 4.31: Giao diện kích hoạt ứng dụng Sau kích hoạt thành cơng chƣơng trình chuyển đến giao diện chức Hình 4.32: Menu chƣơng trình 61 4.5.2 Chức chuyển khoản Ngƣời dùng khởi tạo giao dịch chuyển khoản ứng dụng Sau nhập đầy đủ thông tin bấm gửi để tạo giao dịch Thông tin giao dịch đƣợc gửi kèm chữ ký đƣợc tạo thơng tin giao dịch khóa riêng tài khoản Server xác nhận thông tin giao dịch Nếu thơng tin xác hợp lệ server gửi tin nhắn có kèm theo mã OTP điện thoại ngƣời dùng Ứng dụng bắt tin nhắn đọc OTP Sau có OTP ứng dụng gửi thông tin xác nhận lên server để hồn tất giao dịch Hình 4.33: Giao diện chức chuyển khoản 4.5.3 Chức xác nhận giao dịch website 62 Ngƣời dùng vào website hệ thống để tạo giao dịch Sau nhập đầy đủ thông tin giao dịch bấm nút “Tiếp tục” hệ thống gửi tin nhắn số điện thoại ngƣời dùng để yêu cầu xác thực Hình 4.34: Giao diện thực giao dịch website Phần mềm cài đặt máy ngƣời dùng bắt tin nhắn có chứa OTP hệ thống gửi đến thị giao yêu cầu ngƣời dùng nhập mật để xác nhận giao dịch Sau ngƣời nhập mật xác nhận tốn chƣơng trình tạo chữ ký điện 63 tử từ thông tin giao dịch khóa riêng tƣ tài khoản, sau gửi thơng tin xác nhận lên Server Server xác thực thông tin thông báo kết giao dịch cho ngƣời dùng biết Hình 4.35: Giao diện chức xác thực giao dịch website 64 CHƢƠNG – KẾT LUẬN VÀ HƢỚNG NGHIÊN CỨU TIẾP THEO 5.1 Kết luận Thƣơng mại điện tử mang lại nhƣng lợi ích tiềm tàng, nhờ phƣơng tiện thƣơng mại điện tử, doanh nghiệp có đƣợc thơng tin nhanh chóng, phong phú thị trƣờng; chi phí văn phịng, bán hàng, giao dịch giảm nhiều lần, rút ngắn chu thời sản xuất, nhanh chóng tạo nhiều sản phẩm Ví điện tử đời góp phần phát triển hệ thống kinh doanh thƣơng mại điện tử, đem lại lợi ích cho ngƣời mua, ngƣời bán, ngân hàng xã hội Ví điện tử giúp cho ngƣời mua thực nhanh chóng cơng việc tốn, ngƣời bán tăng hiệu hoạt động bán hàng trực tuyến, giúp ngân hàng giảm quản lý giao dịch toán từ thẻ khách hàng, ngƣời dùng dễ dàng chuyển nhận tiền nhanh chóng vƣợt qua rào cản địa lý Sự tiện lợi ví điện tử đơi với nguy tiềm ẩn: ngƣời đangtậnhƣởngsự tiện lợimanglạibởi ví điện tử, thơng tintài khoản họcũng làđối tƣợngbị đánh cắphoặclàmgiảmạocủa bọn tội phạmInternet.Nhƣ vậy, trình xác thực khách hàng giao dịch ví điện tử trởthànhmột mối quan tâmbảo mật quan trọngđối với tổ chứctàichính.Xác thực trực tuyến xác thực thơng qua mạng lƣới khơng gian Xác thực trực tuyến có ba vấn đề phải giải quyết: Thứ nhất, làm để chắn trang web mà ngƣời dùng muốn truy cập xác Thứ hai, làm thể để bảo vệ thông tin cá nhân trình truyền liệu Thứ ba, làm để xác nhận đƣợc thông tin đƣợc chuyển đến Server ngƣời dùng truyền đến Luận văn tập trung trình bày vấn đề thứ ba – làm để xác nhận đƣợc thông tin đƣợc chuyển đến Server ngƣời dùng truyền đến Giải pháp luận văn đƣa sử dụng mật lần – OTP sử dụng cặp khóa RSA để tạo xác thực chữ ký điện tử phiên giao dịch Những kết nghiên cứu luận văn cho thấy rằng, việc sử dụng kết hợp OTP cặp khóa RSA xác thực giao dịch ví điện tử hạn chế đƣợc giao dịch bị giả mạo đánh cắp tài khoản ví điện tử 5.2 Hƣớng nghiên cứu Trên sở đạt đƣợc, thời gian tới dự kiến nghiên cứu vấn đề sau: - Xây dựng ứng dụng tảng khác nhƣ IOS, Window phone Nghiên cứu việc sử dụng tài khoản ví để tốn cửa hàng 65 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Đặng Văn Đức (2002), Phân tích thiết kế hướng đối tượng UML, Nhà xuất Giáo dục Tiếng Anh [2] F Aloul, S Zahidi, and W EI-Hajj, Two Factor Authentication Using Mobile Phones, IEEE/ACS International Conference on Computer Systems and Applications, Rabat, Morocco, May 2009 [3] F Hoornaert, D M'Raihi, M Bellare, D Naccache and O Ranen (2005),HOTP: An HMAC-Based One-Time Password Algorithm [4] Mark L Murphy, Beginning Android [5] R Rivest, A Shamir, L Adleman, A Method for Obtaining Digital Signatures and Public-Key Cryptosystems, pp 4-6 [6] Sayed Hashimi , Satya Komatineni, and Dave MacLean, Pro Android [7] Thomas H Cormen, Charles E Leiserson, Ronald L Rivest, and Clifford Stein, Introduction to Algorithms, Third Edition Section 31.7: The RSA public-key cryptosystem [8]Xing Fang and Justin Zhan, Online banking authentication using Mobile Phones ... CÔNG NGHỆ  VŨ MINH TÂN XÂY DỰNG ỨNG DỤNG DI ĐỘNG CHO VÍ ĐIỆN TỬ Ngành : Công nghệ thông tin Chuyên ngành : Công nghệ phần mềm Mã số : 60 48 10 LUẬN VĂN THẠC SĨ CÔNG NGHỆ... dụng mức tổng thể hệ thống 4.2.4 Mơ hình chi tiết ca sử dụng Do đề tài luận văn xây dựng ứng dụng di động cho hệ thống ví điện tử nên dƣới chúng tơi phân tích chi tiết vào ca sử dụng: ca sử dụng. .. Các bƣớc sử dụng ví điện tử tƣơng tự nhƣ ví tiền thơng thƣờng: tạo tài khoản ví – mua ví; nạp tiền vào ví điện tử – bỏ tiền vào ví; sử dụng tiền ví để tốn – rút tiền khỏi ví trả cho ngƣời bán