ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ HOÀNG PHƢƠNG BẮC MỘT SỐ CÔNG CỤ CÔNG NGHỆ THÔNG TIN DÙNG TRONG THANH TOÁN ĐIỆN TỬ Ngành: Công nghệ Thông tin Chuyên ngành: Hệ thống Thông tin Mã số : 60.48.05 LUẬN VĂN THẠC SĨ NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS Trịnh Nhật Tiến Hà Nội - 2009 MỤC LỤC LỜI CAM ĐOAN Error! Bookmark not defined LỜI CẢM ƠN Error! Bookmark not defined MỤC LỤC .2 BẢNG CHỮ VIẾT TẮT DANH MỤC HÌNH VẼ MỞ ĐẦU .10 CHƢƠNG MỘT SỐ KHÁI NIỆM CƠ BẢN .12 1.1 CÁC KHÁI NIỆM TRONG TOÁN HỌC 12 1.1.1 Số nguyên tố nguyên tố 12 1.1.2 Đồng dư thức .13 1.1.3 Không gian Zn Zn* 13 1.1.4 Khái niệm phần tử nghịch đảo Zn 14 1.1.5 Khái niệm nhóm, nhóm con, nhóm Cyclic 14 1.1.6 Bộ phần tử sinh 15 1.1.7 Bài toán đại diện 15 1.1.8 Hàm phía hàm phía có cửa sập .16 1.1.9 Độ phức tạp tính toán 17 1.2 TỔNG QUAN VỀ AN TOÀN THÔNG TIN 18 1.2.1 Tại phải đảm bảo an toàn thông tin .18 1.2.2 Một số vấn đề rủi ro an toàn thông tin 19 1.2.2.1 Xâm phạm tính bí mật .19 1.2.2.2 Xâm phạm tính toàn vẹn .20 1.2.2.3 Xâm phạm tính sẵn sàng .20 1.2.2.4 Giả mạo nguồn gốc giao dịch .21 1.2.2.5 Chối bỏ giao dịch 21 1.2.2.6 Các hiểm họa hệ thống giao dịch .21 1.2.3 Chiến lược đảm bảo an toàn thông tin 24 1.3 TỔNG QUAN VỀ THANH TOÁN ĐIỆN TỬ 26 1.3.1 Khái niệm Thương mại điện tử 26 1.3.2 Vấn đề toán điện tử 26 1.4 CÔNG CỤ CNTT DÙNG TRONG THANH TOÁN ĐIỆN TỬ 28 1.4.1 Hạ tầng sở bảo đảm an toàn thông tin .28 1.4.1.1 Tường lửa .28 1.4.1.2 Mạng riêng ảo 28 1.4.1.3 Hạ tầng mật mã hóa công khai 29 1.4.2 Một số tiện ích dùng toán điện tử 30 1.4.2.1 Thanh toán loại thẻ 30 1.4.2.2 Thanh toán séc điện tử 31 1.4.2.3 Thanh toán tiền điện tử Error! Bookmark not defined CHƢƠNG HẠ TẦNG CƠ SỞ BẢO ĐẢM AN TOÀN THÔNG TIN Error! Bookmark not defined 2.1 HẠ TẦNG MẠNG MÁY TÍNH Error! Bookmark not defined 2.1.1 Mạng Lan, Wan, Intranet, Extranet Internet Error! Bookmark not defined 2.1.1.1 Mạng cục ( LAN) Error! Bookmark not defined 2.1.1.2 Mạng diện rộng- WAN Error! Bookmark not defined 2.1.1.3 Mạng Intranet, Extranet Error! Bookmark not defined 2.1.1.4 Mạng Internet Error! Bookmark not defined 2.1.2 Một số dịch vụ internet (internet services) Error! Bookmark not defined 2.1.2.1 World Wide Web – WWW Error! Bookmark not defined 2.1.2.2 Thư điện tử – Email Error! Bookmark not defined 2.1.2.3 Truyền, tải tập tin – FTP Error! Bookmark not defined 2.1.2.4 Tán gẫu – Chat Error! Bookmark not defined 2.1.2.5 Làm việc từ xa – Telnet Error! Bookmark not defined 2.1.2.6 Nhóm tin tức – Usenet, newsgroup Error! Bookmark not defined 2.1.2.7 Dịch vụ danh mục (Directory Services)Error! Bookmark not defined 2.1.3 Các nhà cung cấp dịch vụ Internet Error! Bookmark not defined 2.1.3.1 Nhà cung cấp dich vụ ISP (Internet Service Provider)Error! Bookmark not defined 2.1.3.2 Nhà cung cấp dịch vụ IAP (Internet Access Provider)Error! Bookmark not defined 2.1.3.3 Nhà cung cấp dịch vụ ICP (Internet Content Provider)Error! Bookmark not defined 2.1.3.4 Cấp phát tên miền (Internet Domain Name Provider)Error! Bookmark not defined 2.1.3.5 Cho thuê máy chủ web - hosting (Server Space Provider) Error! Bookmark not defined 2.2 HẠ TẦNG ĐẢM BẢO AN TOÀN THÔNG TIN Error! Bookmark not defined 2.2.1 Tường lửa Error! Bookmark not defined 2.2.2 Mạng riêng ảo Error! Bookmark not defined 2.2.2.1 VPN truy nhập từ xa Error! Bookmark not defined 2.2.2.2 VPN điểm tới điểm Error! Bookmark not defined 2.2.3 Các giao thức đảm bảo an toàn truyền tin Error! Bookmark not defined 2.2.3.1 Giao thức SSL Error! Bookmark not defined 2.2.3.2 Giao thức SHTTP Error! Bookmark not defined 2.2.3.3 Giao thức IPSec Error! Bookmark not defined 2.2.3.4 Giao thức TCP/IP Error! Bookmark not defined 2.2.3.5 Giao thức bảo mật SET Error! Bookmark not defined 2.2.4 Công nghệ xây dựng PKI Error! Bookmark not defined 2.2.4.1 Công nghệ OpenCA Error! Bookmark not defined 2.2.4.2 Công nghệ SSL Error! Bookmark not defined 2.2.4.3 Giao thức truyền tin an toàn tầng liên kết liệu (Data Link) Error! Bookmark not defined 2.2.4.4 Giao thức truyền tin an toàn tầng ứng dụng(Application) Error! Bookmark not defined 2.2.4.5 Một số công nghệ bảo đảm an toàn thông tin giới Error! Bookmark not defined 2.3 HẠ TẦNG MẬT MÃ KHÓA CÔNG KHAI (PKI) Error! Bookmark not defined 2.3.1 Khái niệm PKI Error! Bookmark not defined 2.3.2 Hiện trạng sử dụng chứng số giới Việt Nam Error! Bookmark not defined 2.3.3 Các thành phần kỹ thuật PKI Error! Bookmark not defined 2.3.3.1 Mã hóa Error! Bookmark not defined 2.3.3.2 Chữ ký số Error! Bookmark not defined 2.3.3.3 Chứng khóa công khai ( Chứng số) Error! Bookmark not defined 2.3.4 Các đối tượng hệ thống PKI Error! Bookmark not defined 2.3.4.1 Chủ thể đối tượng sử dụng Error! Bookmark not defined 2.3.4.2 Đối tượng quản lý chứng số Error! Bookmark not defined 2.3.4.3 Đối tượng quản lý đăng ký chứng sốError! Bookmark not defined 2.3.5 Các hoạt động hệ thống PKI Error! Bookmark not defined 2.3.5.1 Mô hình tổng quát hệ thống PKI Error! Bookmark not defined 2.3.5.2 Thiết lập chứng số Error! Bookmark not defined 2.3.5.3 Khởi tạo EE (End Entity) Error! Bookmark not defined 2.3.5.4 Các hoạt động liên quan đến chứng sốError! Bookmark not defined 2.3.6 Những vấn đề xây dựng hệ thống CA Error! Bookmark not defined 2.3.6.1 Các mô hình triển khai hệ thống CA Error! Bookmark not defined 2.3.6.2 Những chức bắt buộc quản lý PKI Error! Bookmark not defined CHƢƠNG MỘT SỐ TIỆN ÍCH DÙNG TRONG THANH TOÁN ĐIỆN TỬError! Bookmark not defined 3.1 THẺ THANH TOÁN Error! Bookmark not defined 3.1.1 Giới thiệu thẻ thông minh Error! Bookmark not defined 3.1.1.1 Khái niệm thẻ thông minh Error! Bookmark not defined 3.1.1.2 Phân loại thẻ thông minh Error! Bookmark not defined 3.1.1.3 Các chuẩn thẻ thông minh Error! Bookmark not defined 3.1.1.4 Phần cứng thẻ thông minh Error! Bookmark not defined 3.1.1.5 Hệ điều hành thẻ thông minh Error! Bookmark not defined 3.1.2 Các giao thức với thẻ thông minh Error! Bookmark not defined 3.1.2.1 Giao thức truyền thông với thẻ thông minh Error! Bookmark not defined 3.1.2.2 Giao thức xác thực với thẻ thông minh Error! Bookmark not defined 3.1.3 Thẻ toán Error! Bookmark not defined 3.1.3.1 Luồng giao dịch ATM Error! Bookmark not defined 3.1.3.2 Chu trình giao dịch POS Error! Bookmark not defined 3.1.3.3 Quy trình thực giao dịch thẻ tín dụng: Error! Bookmark not defined 3.2.TIỀN ĐIỆN TỬ Error! Bookmark not defined 3.2.1 Giới thiệu tiền điện tử Error! Bookmark not defined 3.2.1.1 Khái niệm tiền điện tử Error! Bookmark not defined 3.2.1.2 Cấu trúc tiền điện tử Error! Bookmark not defined 3.2.1.3 Phân loại tiền điện tử Error! Bookmark not defined 3.2.1.4 Tính chất tiền điện tử Error! Bookmark not defined 3.2.1.5 Các giao thức với tiền điện tử Error! Bookmark not defined 3.2.2 Một số vấn đề tiền điện tử Error! Bookmark not defined 3.2.2.1 Vấn đề ẩn danh người dùng Error! Bookmark not defined 3.2.2.2 Vấn đề giả mạo tiêu đồng tiền nhiều lần Error! Bookmark not defined 3.2.3 Lược đồ CHAUM-FIAT-NAOR Error! Bookmark not defined 3.2.3.1 Giao thức rút tiền Error! Bookmark not defined 3.2.3.2 Giao thức toán Error! Bookmark not defined 3.2.3.3 Giao thức gửi Error! Bookmark not defined 3.2.3.4 Đánh giá Error! Bookmark not defined 3.2.3.5 Chi phí Error! Bookmark not defined 3.2.3.6 Tấn công Error! Bookmark not defined 3.2.4 Lược đồ BRAND Error! Bookmark not defined 3.2.4.1 Khởi tạo tài khoản Error! Bookmark not defined 3.2.4.2 Giao thức rút tiền Error! Bookmark not defined 3.2.4.3 Giao thức toán Error! Bookmark not defined 3.2.4.4 Giao thức gửi Error! Bookmark not defined 3.2.4.5 Đánh giá Error! Bookmark not defined 3.2.5 Một số hệ thống tiền điện tử Error! Bookmark not defined 3.2.5.1 Hệ thống FIRST VIRTUAL Error! Bookmark not defined 3.2.5.2 Hệ thống tiền điện tử DIGICASH Error! Bookmark not defined 3.5.2.3 Hệ thống MILLICENT Error! Bookmark not defined 3.5.2.4 Hệ thống MONDEX Error! Bookmark not defined 3.5.2.5 Hệ thống PAYWORD Error! Bookmark not defined KẾT LUẬN Error! Bookmark not defined TÀI LIỆU THAM KHẢO .31 BẢNG CHỮ VIẾT TẮT ARLs Authority Revocation Lists ATTT An toàn thông tin BIN Bank Identification Number CA Certificate Authority CRLs Certificate Revocation Lists DES Data Encryption Standard DNS Domain Name System DSS Digital Signature Standard EE End Entity HTTPS Secure Hypertext Transaction Standard IIN Issuer Identification Number ISPs Internet Service Providers NSPs Network Service Providers POS Point of Sale PIN Personal Identification Number PKC Public Key Certificate PKI Public Key Infrastructure SET Secure Electronic Transaction RA Registration Authorities SSL Secure Socket Layer TLS Transport Layer Security TMĐT Thương mại điện tử TTĐT Thanh toán điện tử DANH MỤC HÌNH VẼ Hình 1.1: Các lớp bảo vệ thông tin 24 Hình 1.2 : Một hệ thống mạng riêng ảo 2929 Hình 2.1 : Mạng cục LAN Error! Bookmark not defined Hình 2.2 : Các topology mạng cục Error! Bookmark not defined Hình 2.3: Mạng diện rộng (WAN) Error! Bookmark not defined Hình 2.4 : Kiến trúc mạng Internet Error! Bookmark not defined Hình 2.5: Bức tƣờng lửa Error! Bookmark not defined Hình 2.6 : Máy phục vụ uỷ quyền (Proxy server) Error! Bookmark not defined Hình 2.7 : Mô hình VPN truy nhập từ xa Error! Bookmark not defined Hình 2.8 : Mô hình VPN cục Error! Bookmark not defined Hình 2.9: Mô hình VPN mở rộng Error! Bookmark not defined Hình 2.10: Vị trí SSL mô hình OSI Error! Bookmark not defined Hình 2.11: Hệ mã hóa khóa đối xứng Error! Bookmark not defined Hình 2.12: Hệ mã hóa khóa công khai Error! Bookmark not defined Hình 2.13: Chữ ký số Error! Bookmark not defined Hình 2.14: Mô hình trình ký có sử dụng hàm băm Error! Bookmark not defined Hình 2.15: Quá trình kiểm thử Error! Bookmark not defined Hình 2.16: Mô hình ký loại chữ ký khôi phục thông điệp Error! Bookmark not defined Hình 2.17: Sơ đồ chữ ký lần Schnorr Error! Bookmark not defined H ình 2.18: Sơ đồ chữ ký mù Error! Bookmark not defined Hình 2.19: Sơ đồ chữ ký mù dựa chữ ký RSA Error! Bookmark not defined Hình 2.20: Các đối tƣợng hoạt động hệ thống PKI Error! Bookmark not defined Hình 2.21: Kiến trúc CA phân cấp Error! Bookmark not defined Hình 2.22: Kiến trúc CA mạng lƣới Error! Bookmark not defined Hình 2.23: Kiến trúc CA danh sách tin cậy Error! Bookmark not defined Hình 3.1: Các điểm tiếp xúc theo chuẩn ISO 7816-2 Error! Bookmark not defined Hình 3.2: Cấu trúc file thẻ thông minh Error! Bookmark not defined Hình 3.3: Cấu trúc file EF Error! Bookmark not defined Hình 3.4: Cấu trúc APDU phản hồi Error! Bookmark not defined Hình 3.5: Mã trả SW1, SW2 Error! Bookmark not defined Hình 3.6: Mã hoá bit trực tiếp Error! Bookmark not defined Hình 3.7: Đảo bit Error! Bookmark not defined Hình 3.8: Lệnh ghi liệu vào thẻ Error! Bookmark not defined Hình 3.9: Lệnh đọc liệu từ thẻ Error! Bookmark not defined Hình 3.10: Cấu trúc khối truyền Error! Bookmark not defined Hình 3.11: Thẻ thông minh xác thực thực thể Error! Bookmark not defined Hình 3.12: Thực thể xác thực thẻ thông minh Error! Bookmark not defined 1.2 TỔNG QUAN VỀ AN TOÀN THÔNG TIN 1.2.1 Tại phải đảm bảo an toàn thông tin Ngày nay, với phát triển mạnh mẽ công nghệ thông tin việc ứng dụng công nghệ mạng máy tính trở nên vô phổ cập cần thiết Công nghệ mạng máy tính mang lại lợi ích to lớn Sự xuất mạng Internet cho phép người truy cập, chia sẻ khai thác thông tin cách dễ dàng hiệu Việc ứng dụng mạng cục tổ chức, công ty hay quốc gia phong phú Các hệ thống chuyển tiền ngân hàng hàng ngày chuyển hàng tỷ đôla qua hệ thống Các thông tin kinh tế, trị, khoa học xã hội trao đổi rộng rãi Nhất quân kinh tế, bí mật yếu tố vô quan trọng, thông tin quân kinh tế xem thông tin tuyệt mật cần bảo vệ cẩn thận Đó trình tiến triển hợp logic, yêu cầu thực tế tất yếu đặt cần phải giải Những thông tin bị lộ làm thay đổi cục diện chiến tranh hay làm phá sản nhiều công ty làm xáo động thị trường Internet không cho phép truy cập vào nhiều nơi giới mà cho phép nhiều người không mời mà tự ghé thăm máy tính Internet có kỹ thuật tuyệt vời cho phép người truy nhập, khai thác, chia sẻ thông tin Nhưng nguy dẫn đến thông tin bị hư hỏng bị phá hủy hoàn toàn, đối tượng cho nhiều người công với mục đích khác Đôi đơn giản thử tài hay đùa bỡn với người khác Nguy hiểm thông tin quan trọng có liên quan đến an ninh quốc gia, bí mật kinh doanh tổ chức kinh tế hay thông tin tài chính, lại thường mục tiêu nhằm vào tổ chức tình báo nước kẻ cắp nói chung Thử tưởng tượng có kẻ xâm nhập vào hệ thống chuyển tiền ngân hàng, ngân hàng chịu thiệt hại to lớn tiền dẫn tới phá sản Đó chưa tính đến mức độ nguy hại, hậu lường trước hệ thống an ninh quốc gia bị đe dọa Để hình dung mức độ nguy hại mà kẻ công gây nào, thử tìm hiểu số mà đội cấp cứu máy tính CERT (Computer Emegency Response Team) cung cấp cho sau: số lượng vụ công Internet thông báo cho tổ chức 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, 2241 vào năm 1994 [1] Các vụ công có quy mô khổng lồ, có tới 100.000 máy tính có mặt Internet, công ty lớn AT&T, IBM; trường đại học, quan nhà nước, tổ chức quân sự, nhà băng,… bị công Không số lượng công tăng lên nhanh chóng, mà phương pháp công liên tục hoàn thiện Như vậy, phải đối mặt với khó khăn phải giải làm sao? Chính vấn đề an toàn thông tin trở thành yêu cầu chung hoạt động kinh tế xã hội giao tiếp người, vấn đề cấp bách cần cọi trọng quan tâm đặc biệt 1.2.2 Một số vấn đề rủi ro an toàn thông tin 1.2.2.1 Xâm phạm tính bí mật Các hệ thống TMĐT lưu giữ liệu người dùng lấy lại thông tin sản phẩm từ CSDL kết nối với máy chủ Web Ngoài thông tin sản phẩm, CSDL chứa thông tin có giá trị mang tính riêng tư Khi giao dịch qua internet, thông tin giao dịch truyền mạng, thông tin bị nghe nén, hay bị dò rỉ, bị đánh cắp đường truyền làm lộ tính bí mật giao dịch Trong giao dịch điện tử nói việc đảm bảo tính bí mật phải đặt lên hàng đầu.Bằng không, doanh nghiệp gặp nguy nghe trộm, giả mạo, mạo danh hay chối cãi nguồn gốc Khi thông tin nhạy cảm thông tin cá nhân, thông tin thẻ tín dụng, thông tin giao dịch… bị lấy cắp đường truyền gây thiệt hại không nhỏ với hai bên giao dịch Một phần mềm đặc biệt, gọi trình đánh (sniffer) đưa cách móc nối vào Internet ghi lại thông tin qua máy tính đặc biệt (thiết bị định tuyến router) đường từ nguồn tới đích Chương trình sniffer gần giống với việc móc nối vào đường dây điện thoại để nghe thông tin đàm thoại Chương trình sniffer đọc thông báo thư tín điện tử thông tin TMĐT Tình trạng lấy cắp số thẻ tín dụng vấn đề rõ ràng, thông tin thỏa thuận hợp đồng, trang liệu phát hành gửi cho chi nhánh hãng bị chặn xem cách dễ dàng Thông thường thông tin bí mật hãng, thông tin giao kết hợp đồng có giá trị nhiều so với số thẻ tín dụng, thông tin bị lấy cắp hãng trị giá đến hàng triệu đô la 1.2.2.2 Xâm phạm tính toàn vẹn Mối hiểm họa tính toàn vẹn tồn thành viên trái phép sửa đổi thông tin thông báo Các giao dịch ngân hàng không bảo vệ, ví dụ tổng số tiền gửi chuyển internet, chủ thể xâm phạm tính toàn vẹn Tất nhiên, tính xâm phạm toàn vẹn bao hàm xâm phạm tính bí mật Bởi đối tượng xâm phạm (sửa đổi thông tin trái phép) đọc làm sáng tỏ thông tin Không giống hiểm họa với tính bí mật Các hiểm họa tới tính toàn vẹn gây thay đổi hoạt động cá nhân công ty, nội dung truyền thông bị thay đổi Phá hoại điều khiển (Cyber vandalism) ví dụ xâm phạm tính toàn vẹn Cyber vandalism phá (xóa bỏ để không đọc được) trang web tồn Cyber Vandalism xảy nào, cá nhân thay đổi định kỳ nội dung trang web họ Tấn công toàn vẹn việc sửa đổi yêu cầu gửi tới máy chủ công ty thực Máy chủ thương mại công này, kiểm tra số thẻ tin dụng khách hàng tiếp tục thực yêu cầu 1.2.2.3 Xâm phạm tính sẵn sàng Mục đích xâm phạm tính sẵn sàng phá vỡ trình xử lý thông thường máy tính chối bỏ toàn trình xử lý Xâm phạm tính sẵn sàng công từ chối giao dịch Khi khách hàng, đối tác thấy sản phẩm hàng hóa doanh nghiệp, nhà cung cấp…thỏa mãn yêu cầu sản phẩm họ, họ muốn thỏa thuận giao kết hợp đồng với nhà cung cấp Một kết nối giao dịch đến nhà cung cấp thiết lập Tấn công từ chối giao dịch ngăn cản làm chậm chí từ chối kết nối giao dịch Điều ảnh hưởng lớn đến hoạt động thương mại doanh nghiệp, gây tổn thất doanh thu, chí gây lòng tin khách hàng- yếu tố trọng hàng đầu doanh nghiệp 1.2.2.4 Giả mạo nguồn gốc giao dịch Giao dịch mạng loại hình giao dịch không biên giới, có tính chất toàn cầu Các bên giao dịch không gặp nhau, chí không quen biết nhau, hội kẻ xấu lợi dụng để thực mục đích Vì vậy, việc kiểm tra tính đắn thông tin giao dịch cần phải thực thường xuyên để phòng tránh rủi ro thông tin gây nhiễu, giả mạo hay lừa đảo Mặc dù dùng biện pháp kỹ thuật để bảo mật thông tin giao dịch, song nhận thông tin người dùng phải kiểm tra tính đắn, xác thực thông tin 1.2.2.5 Chối bỏ giao dịch Chối bỏ giao dịch được định nghĩa không thừa nhận thực thể tham gia truyền thông, không tham gia tất phần truyền thông … Khác với giao dịch thông thường đối tác hai bên biết mặt nhau, giao dịch điện tử thực môi trường Internet … Các bên tham gia giao dịch điện tử cách xa địa lý, chí họ mặt vấn đề chối bỏ giao dịch xảy cao luật pháp cho chúng chưa nhiều, gây thiệt hại to lớn cho bên tham giao dịch 1.2.2.6 Các hiểm họa hệ thống giao dịch 1) Hiểm họa với máy chủ Máy chủ liên kết thứ ba máy khách - Internet - máy chủ (Client Internet-Server), bao gồm đường dẫn TMĐT người dùng máy chủ thương mại Máy chủ có điểm yếu dễ bị công đối tượng lợi dụng điểm yếu để phá huỷ, thu thông tin cách trái phép Hiểm hoạ máy chủ bao gồm máy chủ Web, máy chủ CSDL phần mềm chúng, chương trình phụ trợ có chứa liệu, chương trình tiện ích cài đặt máy chủ Hiểm họa với máy chủ CSDL: Các hệ thống TMĐT lưu giữ liệu người dùng lấy lại thông tin sản phẩm từ CSDL kết nối với máy chủ Web Ngoài thông tin sản phẩm, CSDL chứa thông tin có giá trị mang tính riêng tư Tính bí mật sẵn sàng CSDL, thông qua đặc quyền thiết lập CSDL Tuy nhiên, số CSDL lưu giữ mật khẩu/tên người dùng cách không an toàn, dựa vào máy chủ Web để có an toàn Khi an toàn bị vi phạm, CSDL bị dùng bất hợp pháp, làm lộ tải thông tin mang tính cá nhân quý giá Các chương trình ngựa thành Tơroa nằm ẩn hệ thống CSDL làm lộ thông tin việc giáng cấp thông tin (có nghĩa chuyển thông tin nhạy cảm sang vùng bảo vệ CSDL, xem xét thông tin này) Khi thông tin bị giáng cấp, tất người dùng, không ngoại trừ đối tượng xâm nhập trái phép truy nhập Hiểm họa với máy chủ web: Các máy chủ Web thiết lập chạy mức đặc quyền khác Mức thẩm quyền cao có độ mềm dẻo cao nhất, cho phép chương trình thực tất lệnh máy không giới hạn truy nhập vào tất phần hệ thống, không ngoại trừ vùng nhạy cảm phải có thẩm quyền Việc thiết lập máy chủ Web chạy mức thẩm quyền cao gây hiểm hoạ an toàn máy chủ Web Trong hầu hết thời gian, máy chủ Web cung cấp dịch vụ thông thường thực nhiệm vụ với mức thẩm quyền thấp Nếu máy chủ Web chạy mức thẩm quyền cao, đối tượng xấu lợi dụng máy chủ Web để thực lệnh chế độ thẩm quyền Một file nhạy cảm máy chủ Web chứa mật tên người dùng máy chủ Web Nếu file bị tổn thương, thâm nhập vào vùng thẩm quyền, cách giả mạo người Do đó, giả danh để lấy mật tên người dùng nên thông tin liên quan đến người dùng không bí mật 2) Hiểm họa với máy khách Cho đến biểu diễn web, trang web chủ yếu biểu diễn trạng thái tĩnh Thông qua ngôn ngữ biểu diễn siêu văn HTML, trang tĩnh dạng động phần không đơn hiển thị nội dung cung cấp liên kết trang web với thông tin bổ sung Việc dùng nội dung động (active content) mang lại sống động cho web tĩnh gây số rủi ro cho TMĐT Gây hiểm họa với máy khách Active content dùng TMĐT để đặt khoản mục mà muốn mua giỏ mua hàng tính toán tổng số hóa đơn, bao gồm thuế bán hàng, chi phí vận chuyển chi phí xử lý Các nhà phát triển nắm lấy active content tận dụng tối đa chức HTML bổ sung thêm sống cho trang web, làm cho trang web có tương tác với người dùng cao Nó giảm bớt gánh nặng cho máy chủ phải xử lý nhiều liệu Gánh nặng chuyển bớt sang cho máy khách nhàn dỗi người dùng Active content cho trang Web khả thực hoạt động suốt hoàn toàn người xem duyệt trang Web chứa chúng Bất kỳ cố tình gây hại cho máy khách nhúng active content gây hại vào trang Web Kỹ thuật lan truyền gọi ngựa thành Tơroa Các cookie dùng để nhớ thông tin yêu cầu khách hàng, tên người dùng mật Nhiều active content gây hại lan truyền thông qua cookie, chúng phát nội dung file phía máy khách, chí huỷ bỏ file lưu giữ máy khách Trên máy tính cá nhân có lưu số lượng lớn cookie giống Internet số cookie chứa thông tin nhạy cảm mang tính chất cá nhân Như vậy, hiểm hoạ máy khách khai thác thông tin qua Internet lớn khó nhận diện 3) Các hiểm họa kênh truyền thông Internet đóng vai trò kết nối khách hàng với tài nguyên TMĐT (máy tính dịch vụ thương mại) Chúng ta xem xét hiểm hoạ máy khách, máy chủ, tài nguyên kênh truyền thông, kênh dùng để kết nối máy khách máy chủ Các thông báo Internet gửi theo đường dẫn ngẫu nhiên, từ nút nguồn tới nút đích Các thông báo qua số máy tính trung gian mạng trước tới đích cuối lần chúng theo tuyến đường khác Không có đảm bảo tất máy tính mà thông báo qua Internet an toàn Những đối tượng trung gian đọc thông báo, sửa đổi, chí loại bỏ hoàn toàn thông báo khỏi Internet Do vậy, thông báo gửi mạng đối tượng có khả bị xâm phạm đến tính bí mật, tính toàn vẹn tính sẵn sàng [3] 1.2.3 Chiến lƣợc đảm bảo an toàn thông tin Giới hạn quyền: Đây nguyên tắc an toàn nói chung Đối với người dùng hệ thống truy nhập vào số tài nguyên hệ thống định, đủ để dùng cho công việc Phòng thủ theo chiều sâu: phân thành nhiểu lớp bảo vệ Dưới hình vẽ tượng trưng cho lớp bảo vệ Thông tin Mã hóa liệu Password đăng nhập Quyền truy nhập Bảo vệ phương pháp vật lí Hình 1.1: Các lớp bảo vệ thông tin Thông tin nằm tầng cùng, giới hạn quyền truy nhập, giới hạn đăng nhập mật khẩu, mã hóa thông tin, bảo vệ vât lý (khóa cửa phòng máy tính, khóa bàn phím, ổ ghi…), tường lửa Các phƣơng pháp bảo đảm an toàn thông tin: 1) Kiểm soát truy nhập thông tin Bao gồm: + Kiểm soát, ngăn chặn thông tin vào hệ thống máy tính + Kiểm soát, cấp quyền sử dụng thông tin hệ thống máy tính + Kiểm soát, tìm diệt Vius vào hệ thống máy tính Công cụ, kỹ thuật sử dụng để kiểm soát truy nhập là: Mật khẩu, tường lửa, mạng riêng ảo, nhận dạng, xác thực thực thể, cấp quyền hạn 2) Bảo mật thông tin Nhằm đảm bảo thông tin không bị lộ người không phép Công cụ, kỹ thuật sử dụng để bảo mật thông tin là: Mã hóa ( Thay đổi hình dạng liệu gốc, người khác khó nhận ra), giấu tin (cất giấu liệu môi trường liệu khác) 3) Bảo toàn thông tin Nhằm ngăn chặn, hạn chế việc bổ sung, loại bỏ sửa liệu không phép Công cụ, kỹ thuật sử dụng để bảo toàn thông tin là: Mã hóa, giấu tin, hàm băm, ký số, thủy ký 4) Xác thực nguồn gốc thông tin Nhằm xác thực thực thể cần kết nối, giao dịch, nguồn gốc thông tin Công cụ, kỹ thuật sử dụng để xác thực nguồn gốc thông tin là: Chữ ký số, giao thức xác thực thông tin 5) Phương pháp chống chối cãi Nhằm xác thực thực thể có trách nhiệm nội dung thông tin Công cụ, kỹ thuật sử dụng để xác thực thực thể, chống chối cãi là: Chữ ký số, giao thức xác thực thông tin, truy tìm dấu vết 6) Kiểm soát xử lý « lỗ hổng » an ninh Phát xử lý « lỗ hổng » thuật toán, giao thức mật mã giấu tin, giao thức mạng, hệ điều hành mạng ứng dụng [1] 1.3 TỔNG QUAN VỀ THANH TOÁN ĐIỆN TỬ 1.3.1 Khái niệm Thƣơng mại điện tử Ngày nay, Khi Internet phát triển mạnh mẽ ngày trở nên phổ cập, khái niệm TMĐT (E- commerce) không xa lạ với dân cư mạng nói riêng, toàn xã hội nói chung Đó trình mua bán hàng hóa hay dịch vụ thông qua việc truyền liệu máy tính sách phân phối tiếp thị thông qua mạng internet Bao gồm tất loại giao dịch thương mại tất đối tác thương mại dùng kỹ thuật công nghệ thông tin 1.3.2 Vấn đề toán điện tử Thanh toán vấn đề phức tạp hoạt động thương mại điện tử (TMĐT) Hoạt động TMĐT phát huy tính ưu việt áp dụng hình thức toán từ xa - toán điện tử Thanh toán điện tử (electronic payment) việc toán tiền thông qua thông điệp điện tử (electronic message) thay cho việc toán séc hay tiền mặt Bản chất mô hình toán điện tử mô lại mô hình mua bán truyền thống, từ thủ tục giao dịch, thao tác xử lý liệu thực chuyển khoản, tất thực thông qua hệ thống máy tính nối mạng giao thức riêng chuyên dụng [7],[8] Về mặt mô hình, phương thức toán nói chung mô tả hoạt động hệ thống xử lý phân tán có nhiều bên tham gia, có hai bên bên mua (người trả tiền) bên bán (người trả tiền) Các bên đại diện máy tính nối với qua mạng máy tính, sử dụng chúng để thực giao thức toán Hệ thống có tổ chức tài (ví dụ ngân hàng) đại diên cho bên Trong số hệ thống toán lại sử dụng thực thể khác đóng vai trò người môi giới, đảm nhiệm việc phát hành hình thức tiền vật thể mang giá trị trao đổi toán thường gọi đồng tiền số (digital coin) séc điện tử (electronic cheque) đổi lại thành tiền mặt Đặc trưng mô hình toán điện tử bên tham gia trao đổi với chứng từ số hoá (thành chuỗi bit máy tính dùng được) Bản chất bên toán thông qua ngân hàng (tất nhiên phải liên hệ với ngân hàng bên toán) để chuyển tiền vào tài khoản Các trình phản ánh giao thức toán hệ thống Có mô hình toán sử dụng toán điện tử là: Mô hình trả sau: Trong mô hình này, thời điểm tiền mặt rút khỏi tài khoản bên mua để chuyển sang bên bán, xảy (pay-now) sau (pay-later) giao dịch mua bán Hoạt động hệ thống dựa nguyên tắc tín dụng (credit credential) Nó gọi mô hình mô Séc (Cheque-like model) Mô hình trả trƣớc: Trong mô hình này, khách hàng liên hệ với ngân hàng (hay công ty môi giới – broker) để có chứng từ ngân hàng phát hành Chứng từ hay đồng tiền số mang dấu ấn ngân hàng, đảm bảo ngân hàng dùng nơi có xác lập hệ thống toán với ngân hàng Vì sử dụng giống tiền mặt, mô hình gọi mô hình mô tiền mặt (Cash-like model) Có hình thức toán toán điện tử : Thanh toán ngoại tuyến (off-line payment) Phiên giao dịch người sử dụng nhà cung cấp diễn ra, mà không cần đến tham gia ngân hàng Nói cách khác, nhà cung cấp tự kiểm tra tính hợp lệ đồng tiền, mà không cần trợ giúp bên thứ ba Thanh toán trực tuyến (online payment) Trong lần giao dịch, nhà cung cấp yêu cầu ngân hàng kiểm tra tính hợp lệ đồng tiền người dùng chuyển trước chấp nhận toán Vì vậy, hệ thống toán trực tuyến có khả kiểm tra tính tin cậy đồng tiền Thanh toán trực tuyến thích hợp với giao dịch có giá trị lớn Với hệ thống này, trình toán gửi tiền vào ngân hàng tách biệt lần giao dịch Do vậy, chi phí thời gian tiền bạc tốn [3], [7], [8] 1.4 CÔNG CỤ CNTT DÙNG TRONG THANH TOÁN ĐIỆN TỬ 1.4.1 Hạ tầng sở bảo đảm an toàn thông tin 1.4.1.1 Tường lửa Tường lửa dùng hàng rào mạng (cần bảo vệ) internet mạng khác (có khả gây mối đe dọa) Mạng máy tính cần bảo vệ nằm bên tường lửa, mạng khác nằm bên Các tường lửa có đặc điểm sau đây: Tất luồng thông tin từ ngoài, từ vào phải chịu quản lý Chỉ có luồng thông tin phép qua Bức tường lửa tự bảo vệ Các tường lửa hoạt động tầng ứng dụng Chúng hoạt động tầng mạng tầng vận tải Các site công ty khác phải có tường lửa cho kết nối với internet Đảm bảo phạm vi an toàn phá vỡ Ngoài ra, tường lửa công ty phải tuân theo sách an toàn 1.4.1.2 Mạng riêng ảo Mạng riêng ảo VPN (Virtual Private Network) giải pháp công nghệ cho phép thiết lập mạng dùng riêng mạng công cộng sẵn có chế mã hóa, tạo “đường hầm ảo” thông suốt bảo mật Bảo mật VPN hỗ trợ công nghệ thẻ thông minh sinh trắc học Micrsoft tích hợp giao thức khác gọi EAP-TLS Windows, chuyên trách công việc cho VPN truy cập từ xa EAP-TLS chữ viết tắt Extensible Authentication Protocol - Transport Layer Security (giao thức thẩm định quyền truy cập mở rộng - bảo mật lớp truyền dẫn) Kết nối dựa giao thức đòi hỏi có chứng nhận người dùng (user certificate) máy khách máy chủ IAS mạng VPN Đây chế có mức độ an toàn cấp độ người dùng Một mạng VPN điển hình bao gồm mạng LAN trụ sở (Văn phòng chính), mạng LAN khác văn phòng từ xa, điểm kết nối (như "Văn phòng" gia) người dùng (Nhân viên di động) truy cập đến từ bên [3] Hình 1.2 : Một hệ thống mạng riêng ảo 1.4.1.3 Hạ tầng mật mã hóa công khai Nhu cầu sử dụng dịch vụ chữ ký số đời sống xã hội ngày quan tâm Để triển khai dịch vụ cần phải có sở hạ tầng mật mã hóa công khai (PKI) hoàn chỉnh, ổn định Khái niệm PKI giới biết đến từ 20 năm nay, coi giải pháp tốt việc bảo mật, xác thực toàn vẹn liệu giao dịch điện tử với ứng dụng trực tuyến ngân hàng điện tử, toán điện tử, ký số tài liệu, xác thực đăng nhập… Hàng triệu người khắp giới truy cập vào website để thực tác vụ toán ngân hàng, mua bán trực tuyến… PKI sử dụng để đảm bảo an toàn cho phiên giao dịch Tại Việt Nam, giao dịch điện tử phát triển mạnh mẽ khối Nhà nước khối thương mại – doanh nghiệp, kèm theo nhu cầu cần có ứng dụng chữ ký số (chữ ký điện tử), nhiều Bộ, ngành chuẩn bị triển khai dịch vụ công trực tuyến bắt buộc phải sử dụng chữ ký số đạt yêu cầu dịch vụ hoàn chỉnh, điển thuế điện tử (e-tax) Tổng cục Thuế, ngân hàng điện tử (ebanking) Ngân hàng Nhà nước, chứng nhận nguồn gốc xuất xứ điện tử (e-certificate of origin) Bộ Công Thương… Cơ sở hạ tầng khoá công khai PKI hiểu tập hợp công cụ, phương tiện giao thức đảm bảo an toàn truyền tin cho giao dịch mạng máy tính công khai Đó móng mà ứng dụng, hệ thống an toàn bảo mật thông tin thiết lập [2], [13] 1.4.2 Một số tiện ích dùng toán điện tử 1.4.2.1 Thanh toán loại thẻ 1) Thẻ tín dụng Thanh toán thẻ tín dụng phương thức sử dụng rộng rãi Internet Để thực giao dịch, người mua hàng việc cung cấp số hiệu thẻ thời hạn sử dụng thẻ, người bán chuyển thông tin đến ngân hàng để xác nhận giao dịch Phương thức toán chủ yếu thực toán theo kiểu trực tuyến Ƣu điểm: Đây phương thức toán đơn giản dễ sử dụng Nhƣợc điểm: Kiểu toán không an toàn cho hai bên mua bán, không cho phép ẩn danh, chi phí cao không cho phép toán nhỏ lẻ 2) Thẻ “tiền mặt” Thẻ “tiền mặt” phát triển đáp ứng nhu cầu giảm việc giữ tiền mặt khách hàng mong muốn phương tiện toán thuận tiện linh hoạt Thẻ “tiền mặt” phân loại theo đặc điểm vật lý thành hai loại: thẻ từ thẻ thông minh Thẻ từ, tồn lâu, sử dụng vạch từ để lưu trữ thông tin, thẻ thông minh sử dụng công nghệ vi mạch để lưu trữ thông tin, khắc phục nhược điểm tính an toàn thẻ từ Thẻ thông minh thiết kế nhằm ngăn chặn tình trạng giả mạo làm sai lệch thông tin lưu giữ 1.4.2.2 Thanh toán séc điện tử Séc điện tử hình thức thể séc giấy Nói cách khác, séc điện tử bao gồm tất thông tin séc giấy truyền thống chuyển thư điện tử (e-mail), có khuôn dạng đặc biệt gửi Internet Bên thư điện tử tất thông tin giống séc giấy gồm tên người hưởng, số tiền, ngày toán, số tài khoản người trả tiền ngân hàng người trả Séc điện tử “ký” chữ ký điện tử người gửi mã hoá khoá công khai người nhận Nó gồm xác nhận số từ ngân hàng người gửi xác nhận số tài khoản hợp lệ thuộc người ký tờ séc TÀI LIỆU THAM KHẢO Tiếng Việt [1] PGS.TS Trịnh Nhật Tiến (2007), Giáo trình an toàn liệu, Hà Nội [2] Phan Đình Diệu (2006), Lý thuyết mật mã An toàn thông tin, Nxb Đại học Quốc Gia Hà nội [3] TS Nguyễn Đăng Hậu (2004), Kiến thức thương mại điện tử, Viện Đào tạo công nghệ Quản lý Quốc tế Tiếng Anh [4] B.Schneier (1996), “Applied Cryptography” 2nd edition, John wiley&sons [5] D.Chaum, E.Van Heijst (1991), “Group signatures”, Proceedings of EUROCRYPT’91 Lecture Notes in Computer Science, vol 547, Springer-Verlag [6] Zulfikar Amin Ramzan (1999), “Group Blind Digital Signatures: Theory and Applications”, Master Thesis, MIT [7] D O’Mahony, M.Peirce, H.Tewari (2001), “Electronic payment systems”, Artech House [8] H.M Deitel, P.J Deitel, T.R Nieto (2001), “E-Busines & E-Commerce” How to Progarm, Prentice Hall, New Jersey [9] Chaum, David, van Heijst, Eugene and Pfitzmann, Birgit (1992), “Cryptographically strong undeniable signatures, unconditionally secure for the signer” (extended abstract), In CRYPTO 91 [10] Chen, Thomas M and Stephen S Liu (1995), "ATM Switching Systems", Artech House, Incorporated [11] Committee on Payment and Settlement Systems (2004), “Survey of developments in electronic money and internet and mobile payments”, Bank for International Settlements [12] J Orlin Grabbe (1997), “Cryptography and Number Theory for Digital Cash” [13] IBM (2000), “Deploying a Public Key Infrastructure”, International Technical Support Organization [14] Policy for PKI Management in the Government of Canada: http://www.openCA.org, http://www.imc.org/rfc3852, http://www.imc.org/rfc3370 [15] Internet http://www.tapchibcvt.gov.vn/News/PrintView.aspx?ID=15555 http://www.banknetvn.com.vn/index.htm http://vi.wikipedia.org/wiki/Th%E1%BA%BB_ATM http://www.cs.purdue.edu/homes/fahmy/cis788.08Q/atmswitch.html http://math-cs.gordon.edu/local/courses/ATMExample/UseCases.html http://emvco.com [...]... toàn truyền tin và hạ tầng mã hoá khóa công khai (PKI) (các thành phần kỹ thuật, các đối tượng, các hoạt động cơ bản, công nghệ và giao thức của PKI) Chương 3: Một số tiện ích dùng trong thanh toán điện tử Trong chương này giới thiệu một số tiện ích dùng trong thanh toán điện tử: Thẻ thanh toán (thẻ thông minh, thẻ tín dụng .), và một số hệ thống thanh toán bằng tiền điện tử CHƯƠNG 1 MỘT SỐ KHÁI NIỆM... khái niệm cơ bản Trong chương này sẽ trình bày một số khái niệm toán học, tổng quan về an toàn thông tin, một số vấn đề rủi ro mất an toàn thông tin, các chiến lược đảm bảo an toàn thông tin và tổng quan về thanh toán điện tử trong thương mại điện tử Chương 2: Hạ tầng cơ sở đảm bảo an toàn thông tin Trong chương này trình bày tổng quan về hạ tầng mạng, hạ tầng đảm bảo an toàn thông tin, các giao thức... an toàn cho việc giao dịch thông tin giữa các bên tham gia Luận văn thực hiện với mục đích nghiên cứu về hạ tầng cơ sở đảm bảo an toàn thông tin, hạ tầng mật mã khóa công khai PKI (Các thành phần kỹ thuật của PKI, các đối tượng và các hoạt động trong hệ thống PKI .), và một số công cụ dùng trong thanh toán điện tử (thẻ thanh toán, giải pháp và công nghệ sử dụng tiền điện tử) Nội dung chính của Luận... Hoạt động TMĐT chỉ phát huy được tính ưu việt của nó khi áp dụng được hình thức thanh toán từ xa - thanh toán điện tử Thanh toán điện tử (electronic payment) là việc thanh toán tiền thông qua các thông điệp điện tử (electronic message) thay cho việc thanh toán bằng séc hay tiền mặt Bản chất của mô hình thanh toán điện tử cũng là mô phỏng lại những mô hình mua bán truyền thống, nhưng từ các thủ tục... thông tin được lưu giữ 1.4.2.2 Thanh toán bằng séc điện tử Séc điện tử chính là một hình thức thể hiện của séc giấy Nói cách khác, séc điện tử bao gồm tất cả các thông tin trên séc giấy truyền thống nhưng có thể chuyển được bằng thư điện tử (e-mail), có khuôn dạng đặc biệt được gửi trên Internet Bên trong bức thư điện tử là tất cả các thông tin giống như trên một tấm séc giấy gồm tên người hưởng, số. .. trong các giao dịch điện tử Mỗi mô hình thanh toán điện tử đại diện cho một phương thức thanh toán điện tử khác nhau như thanh toán bằng tiền mặt, bằng séc, bằng các loại thẻ…Mỗi phương thức thanh toán điện tử có các giao thức được xây dựng dựa trên nền tảng lý thuyết mật mã, đảm bảo cho các giao dịch thanh toán thực hiện an toàn và theo đúng quy trình Vì vậy, mỗi phương thức thanh toán đều phải có các... dây điện thoại để nghe thông tin cuộc đàm thoại Chương trình sniffer có thể đọc thông báo thư tín điện tử cũng như các thông tin TMĐT Tình trạng lấy cắp số thẻ tín dụng là một vấn đề quá rõ ràng, nhưng các thông tin thỏa thuận hợp đồng, hoặc các trang dữ liệu được phát hành gửi đi cho các chi nhánh của hãng có thể bị chặn xem một cách dễ dàng Thông thường các thông tin bí mật của hãng, các thông tin trong. .. công khai PKI có thể hiểu là một tập hợp các công cụ, phương tiện và các giao thức đảm bảo an toàn truyền tin cho các giao dịch trên mạng máy tính công khai Đó là nền móng mà trên đó các ứng dụng, các hệ thống an toàn bảo mật thông tin được thiết lập [2], [13] 1.4.2 Một số tiện ích dùng trong thanh toán điện tử 1.4.2.1 Thanh toán bằng các loại thẻ 1) Thẻ tín dụng Thanh toán bằng thẻ tín dụng là phương... trình mua bán hàng hóa hay dịch vụ thông qua việc truyền dữ liệu giữa các máy tính trong chính sách phân phối tiếp thị thông qua mạng internet Bao gồm tất cả các loại giao dịch thương mại trong đó tất cả các đối tác thương mại dùng kỹ thuật công nghệ thông tin 1.3.2 Vấn đề thanh toán điện tử Thanh toán là một trong những vấn đề phức tạp nhất của hoạt động thương mại điện tử (TMĐT) Hoạt động TMĐT chỉ phát... toàn thông tin là: Mã hóa, giấu tin, hàm băm, ký số, thủy ký 4) Xác thực nguồn gốc thông tin Nhằm xác thực đúng thực thể cần kết nối, giao dịch, nguồn gốc của thông tin Công cụ, kỹ thuật sử dụng để xác thực nguồn gốc thông tin là: Chữ ký số, giao thức xác thực thông tin 5) Phương pháp chống chối cãi Nhằm xác thực đúng thực thể có trách nhiệm về nội dung thông tin Công cụ, kỹ thuật sử dụng để xác thực