Mục đích của Luận văn này là nghiên cứu các giải pháp bảo mật cho hệ thống thanh toán điện tử. Trên cơ sở đó đề xuất xây dựng các giải pháp bảo mật hệ thống thanh toán điện tử phù hợp cho Tổng công ty Viễn thông MobiFone có thể triển khai ứng dụng trong thực tế. Mời các bạn cùng tham khảo!
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - BÙI QUANG MINH NGHIÊN CỨU GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THANH TỐN ĐIỆN TỬ Chun ngành: Hệ Thống Thơng Tin Mã số: 8.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - NĂM 2020 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS VŨ VĂN THỎA Phản biện 1: ……………………………………………………… Phản biện 2: ……………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Hiện nay, hình thức tốn khơng dùng tiền mặt, nhận quan tâm, hưởng ứng Việt Nam Hình thức tốn góp phần giảm tối đa lượng tiền mặt lưu thơng, đem lại lợi ích to lớn cho doanh nghiệp, khách hàng, nhà nước khuyến khích sử dụng Ngồi ra, sử dụng dịch vụ tốn khơng dùng tiền mặt giúp cho người sử dụng như: mang theo tiền mặt mà chi trả cho giao dịch mua bán, tăng tính an tồn cho thân tài sản, dễ sử dụng kiểm sốt tài tài khoản Các hệ thống toán điện tử triển khai hỗ trợ tích cực cho hình thức tốn khơng dùng tiền mặt Tuy nhiên, giao dịch dựa phương tiện điện tử đặt đòi hỏi cao bảo mật an toàn Khi làm việc với giới máy tính kết nối mạng, người dùng phải đối mặt với hiểm họa liên quan đến việc bảo mật luồng thơng tin Mặt khác, người dùng khơng sử dụng dịch vụ toán điện tử cịn có lo ngại rủi ro gặp phải như: không thực giao dịch lỗi mạng, tiền tài khoản, lộ thơng tin cá nhân, … Vì vấn đề bảo mật toán vấn đề trọng yếu Thanh toán điện tử Trong thời gian qua, vụ trộm cắp tài khoản gian lận toán ngày gia tăng tảng giao dịch online Vấn đề an toàn bảo mật trở thành mối quan tâm hàng đầu khách hàng yêu cầu tất yếu doanh nghiệp thương mại điện tử bán lẻ sử dụng hệ thống toán điện tử Do yêu cầu phát triển to lớn dịch vụ toán nên cần phải nâng cao, tăng cường bảo mật cho hệ thống toán điện tử Xuất phát từ thực tế mục tiêu trên, học viên chọn thực đề tài luận văn tốt nghiệp chương trình đào tạo thạc sĩ có tên: “Nghiên cứu giải pháp bảo mật cho hệ thống toán điện tử” Mục đích luận văn nghiên cứu giải pháp bảo mật cho hệ thống toán điện tử Trên sở đề xuất xây dựng giải pháp bảo mật hệ thống toán điện tử phù hợp cho Tổng cơng ty Viễn thơng MobiFone triển khai ứng dụng thực tế Đối tượng nghiên cứu luận văn Hệ thống toán điện tử vấn đề liên quan đến an toàn, bảo mật hệ thống Phạm vi nghiên cứu luận văn giải pháp bảo mật hệ thống tốn điện tử nói chung đề xuất giải pháp bảo mật hệ thống toán điện tử phù hợp cho Tổng công ty Viễn thông MobiFone Phương pháp nghiên cứu: - Về mặt lý thuyết: Thu thập, khảo sát, phân tích tài liệu thơng tin có liên quan đến bảo mật hệ thống tốn điện tử - Về mặt thực nghiệm: Khảo sát thực tế hệ thống toán điện tử Tổng công ty Viễn thông MobiFone đề xuất giải pháp bảo mật phù hợp Bố cục luận văn gồm chương với nội dung sau: Chương 1: Tổng quan hệ thống toán điện tử Nội dung nghiên cứu chương khảo sát tổng quan hệ thống toán điện tử vấn đề liên quan Chương 2: Giải pháp bảo mật cho hệ thống toán điện tử Nội dung chương luận văn tập trung nghiên cứu số giải pháp bảo mật cho hệ thống toán điện tử nhằm bảo đảm yêu cầu bảo mật hệ thống vấn đề liên quan Chương 3: Xây dựng giải pháp bảo mật cho hệ thống toán điện tử Tổng công ty Viễn thông MobiFone Chương luận văn nghiên cứu đề xuất giải pháp bảo mật hệ thống toán điện tử phù hợp cho Tổng công ty Viễn thông MobiFone Chương 1: Tổng quan hệ thống toán điện tử Chương luận văn khảo sát tổng quan hệ thống toán điện tử, yêu cầu kỹ thuật công nghệ hệ thống, số vấn đề bảo mật hệ thống toán điện tử vấn đề liên quan 1.1 Giới thiệu chung hệ thống toán điện tử 1.1.1 Thương mại điện tử toán điện tử Thương mại điện tử (hay gọi e-commerce, e-comm hay EC) hiểu cách đơn giản hoạt động mua bán sản phẩm hay dịch vụ thông qua Internet phương tiện điện tử khác Các giao dịch gồm tất hoạt động như: mua bán, toán, đặt hàng, quảng cáo giao hàng Có nhiều tổ chức lớn giới đưa định nghĩa khác cho khái niệm thương mại điện tử Thanh toán thẻ Thanh toán qua cổng toán điện tử Thanh tốn ví điện tử Thanh tốn thiết bị điện thoại thơng minh Thanh tốn qua Mobile Banking: Thanh tốn qua QR Code: 1.1.2 Mơ hình hệ thống toán điện tử Các hệ thống toán điện tử triển khai thực tế đa dạng hình thức cơng nghệ sử dụng Hình 1.1 trình bày mơ hình chung cho hệ thống tốn điện tử Hình 1.1: Mơ hình hệ thống tốn điện tử Trong mơ hình trên, hệ thống toán điện tử trung gian kết nối người mua, người bán, thực toán cho giao dịch dựa kết nối với ngân hàng người mua người bán 1.1.3 Lợi ích toán điện tử nhu cầu thực tế Thanh tốn điện tử mang lại nhiều lợi ích cho người sử dụng - Thanh toán điện tử thực nhanh chóng, tiện dụng: - Dễ dàng theo dõi kiểm soát Hạn chế rủi ro: Hỗ trợ kinh doanh trực tuyến: 1.2 Các yêu cầu kỹ thuật hệ thống toán điện tử Hệ thống tốn điện tử phải đảm bảo tính sau: Tính sẵn sàng: Hệ thống tốn điện tử thực tốn vào thời điểm nơi (mọi lúc, nơi) cho giao dịch hợp pháp Tính xác: Hệ thống tốn điện tử phải đảm bảo xác tuyệt đối giao dịch gửi tiền, tốn quản lý Tính tồn vẹn: Các thuộc tính thơng tin giao dịch cịn ngun vẹn q trình truyền khơng thể thay đổi Tính bí mật: Mọi thơng tin tài khoản nội dung giao dịch khách hàng phải giữ bí mật Do kỹ thuật mã hóa thường sử dụng hệ thống tốn điện tử Để đảm bảo tính cho hệ thống tốn điện tử cần có yêu cầu kỹ thuật cho hạ tầng mạng, hệ thống phần mềm sử dụng sở liệu [2] 1.2.1 Yêu cầu hạ tầng mạng 1.2.2 Yêu cầu phần cứng phần mềm hệ thống 1.2.3 Yêu cầu sở liệu 1.3 Một số vấn đề bảo mật toán điện tử Vấn đề bảo mật hệ thống tốn điện tử có vai trị quan trọng triển khai vận hành hệ thống Hiện nay, vấn đề bảo mật đe dọa hệ thống toán điện tử thay đổi liên tục diễn nhanh chóng Các mối đe dọa phổ biến bao gồm công mạng lan truyền virus 1.3.1 Thực trạng công mạng Việt nam Các công mạng Việt Nam thường cơng vào trang web, có hệ thống toán điện tử Trong năm 2017, Việt Nam hứng chịu nhiều vụ công mạng để lại nhiều hậu nặng nề Chỉ riêng quý năm 2017, Việt Nam có gần 7700 cố công mạng Việt Nam Đến tháng số lượng cố công mạng lên đến gần 10000 (số liệu Trung tâm ứng cứu khẩn cấp máy tính Việt Nam – VNCERT) [14] Trong có 1762 cố website lừa đảo, 4595 cố phát tán mã độc 3607 cố công thay đổi giao diện Trong quý I/2019, VNCERT ghi nhận có 4.770 cố công mạng vào trang web Việt Nam Cũng thời gian hệ thống giám sát VNCERT ghi nhận tổng cộng có 78,3 triệu kiện an tồn thơng tin Việt Nam Các thơng tin số liệu cho thấy thực trạng đáng báo động bảo mật mạng nói chung bảo mật hệ thống toán điện tử Việt Nam 1.3.1 Các yêu cầu bảo mật hệ thống toán điện tử Các hệ thống toán điện tử thường triển khai liên quan đến ngân hàng tổ chức tín dụng hạ tầng mạng kèm theo Do đó, cần xác định vấn đề biện pháp bảo mật phù hợp áp dụng cho thành phần mơ hình triển khai sau: - Các vấn đề biện pháp bảo mật ứng dụng (Application security) - Các vấn đề biện pháp bảo mật máy chủ (Host security) - Các vấn đề biện pháp bảo mật theo tô pô hệ thống triển khai (Deployment topologies), có biện pháp áp dụng cho thành phần ứng dụng cục (Local application tier) biện pháp áp dụng cho thành phần ứng dụng xa (Remote application tier) - Các vấn đề biện pháp bảo mật hạ tầng mạng (Network insfrastructure security) để chống cơng mạng DoS, DDoS, … - Các sách thủ tục an toàn (Security policies and procedures) cho tồn hệ thống tốn điện tử triển khai Theo quy định ngân hàng nhà nước Việt Nam [2], hệ thống toán điện tử phải đảm bảo yêu cầu an toàn bảo mật sau Một số yêu cầu chung Đảm bảo tính bí mật Đảm bảo tính sẵn sàng Đảm bảo tính tồn vẹn Xác thực khách hàng xác thực giao dịch Bảo vệ khách hàng 1.4 Một số giải pháp xây dựng hệ thống toán điện tử Hiện nay, nhiều hệ thống toán điện tử triển khai thực tế ngân hàng, tổ chức tài hãng cung cấp dịch vụ công nghệ thông tin truyền thông Trong mục luận văn khảo sát số hệ thống toán điện tử tiêu biểu [4], [5] 1.4.1 Hệ thống tốn điện tử dựa thẻ thơng minh (Smart-card) 1.4.2 Hệ thống toán điện tử dựa Internet Banking 1.4.3 Hệ thống toán điện tử dựa điện thoại di động 1.4.4 Hệ thống toán sử dụng ví điện tử 1.4.4 Hệ thống sử dụng cổng toán điện tử 1.5 Kết luận chương Chương II: Giải pháp bảo mật cho hệ thống toán điện tử Chương luận văn khảo sát tổng quan bảo mật toán điện tử Từ đó, luận văn nghiên cứu số giải pháp bảo mật cho hệ thống toán điện tử số vấn đề liên quan 2.1 Tổng quan bảo mật toán điện tử 2.1.1 Giới thiệu 2.1.2 Một số phương thức cơng hệ thống tốn điện tử điển hình Tấn cơng làm sai lệch giao dịch toán điện tử Nghe trộm truyền dẫn thơng tin tốn điện tử Các cơng chống lại tin giao dịch toán điện tử Các công Truy nhập bất hợp pháp đến dịch vụ thống toán điện tử 2.1.3 Kiến trúc bảo mật hệ thống toán điện tử Trong hệ thống toán điện tử, vấn đề bảo mật yêu cầu xem xét số khía cạnh q trình truy nhập vơ tuyến, tính di động người sử dụng đầu cuối, nguy bảo mật đặc biệt, kiểu thông tin cần phải bảo vệ, độ phức tạp kiến trúc mạng Hơn nữa, topo mạng phức tạp tính khơng đồng cơng nghệ làm tăng thách thức bảo mật Hình 2.1 mơ tả kiến trúc bảo mật điển hình hệ thống toán điện tử dựa điện thoại di động theo đề xuất tiêu chuẩn EMV [8] Hình 2.1: Kiến trúc bảo mật hệ thống toán điện tử 2.2 Giải pháp bảo mật dựa mật sử dụng lần 2.2.1 Khái niệm mật sử dụng lần Mật sử dụng lần (One Time Password - OTP) mật có giá trị phiên đăng nhập làm việc OTP sử dụng lần cho việc xác thực người dùng cho người dùng xác thực giao dịch OTP thường sử dụng giao dịch toán điện tử hệ thống xác thực chặt chẽ 2.2.2 Nguyên lý hoạt động OTP Sau đăng ký dịch vụ, lần muốn đăng nhập (log in), người dùng cung cấp mật tạo đầu đọc thẻ thông minh hay thiết bị tạo mật dạng cầm tay (token) nhờ vào kết nối internet với máy chủ cung cấp dịch vụ OTP; thơng qua thẻ OTP tạo sẵn hay điện thoại di động Mật tự hiệu lực sau khoảng thời gian định Như vậy, bị lộ mật người có mật khơng thể dùng được, giải pháp OTP có tính bảo mật cao 2.2.3 Các mơ hình sinh OTP Có hai mơ hình thường sử dụng để sinh mã OTP là: sinh mã OTP theo thời gian sinh mã OTP theo kiện Mơ hình sinh mã OTP theo thời gian Theo chế này, người dùng cấp thiết bị sinh mã gọi token (Hình 2.2) [6] Bên token gồm có ba thành phần là: mã seedcode, đồng hồ đếm thời gian, thuật tốn mã hóa chiều - Mã seedcode: mã nhà sản xuất cài đặt sẵn token Mỗi token có mã seedcode khác Và mã seedcode lưu lại hệ thống nhà cung cấp dịch vụ tương ứng với tên truy nhập người dùng - Đồng hồ đếm thời gian: đồng hồ token, đồng với đồng hồ hệ thống trước giao cho người dùng Mỗi người dùng bấm nút sinh mã, token lấy biến thời gian đồng hồ Biến thời gian lấy chi tiết đến phút, 30 giây - Thuật tốn mã hóa: sử dụng thuật tốn băm SHA 10 chuyển đổi thành chuỗi từ ngắn (mỗi từ bao gồm ký tự) theo chuẩn ISO-646 IVCS Mỗi từ chọn từ từ điển gồm 2048 từ, 11 bit cho từ, tất OTP mã hóa 2.2.5 Ưu điểm OTP Giải pháp bảo mật dựa mật sử dụng lần có ưu điểm sau An toàn: Giải tốt vấn đề giả mạo, đánh cắp, Key logger Đối với hai yếu tố xác thực, thiết bị kết hợp với mã PIN mật Dễ dàng sử dụng: Việc nhận dạng xác thực thực vài giây tránh nguy bị lỗi gõ mã OTP dài qua mã từ thiết bị chứng thực vào máy tính (Ví dụ OTP Token sử dụng hình hiển thị) Linh hoạt: Người dùng dễ dàng sử dụng cho máy tính khác dễ mang theo bên Mã nguồn mở: Sẵn sàng tích hợp với nhiều ứng dụng mã nguồn mở Các giải pháp ứng dụng OTP gồm: Web mail server; CRM (Hệ quản lý khách hàng); ERP (Hoạch định nguồn lực doanh nghiệp); Hệ thống quản lý tài liệu; Thương mại điện tử 2.3 Giải pháp bảo mật dựa công nghệ Tokenization 2.3.1 Tổng quan Tokenization Tokenization (Số hóa thẻ) giải pháp bảo mật liệu dựa công nghệ thay liệu toán “nhạy cảm” mã token, nhằm nâng cao khả an toàn bảo mật tốn điện tử Tokenization q trình bảo vệ liệu nhạy cảm cách thay số tạo thuật toán gọi token 2.3.2 Lịch sử cuả Tokenization Token vật lý từ lâu sử dụng để thay tiền thật Sòng bạc ví dụ tiền giấy tiền xu, biểu thị quyền sở hữu hợp pháp loại tiền Việc sử dụng token giới kỹ thuật số đời phương tiện thay liệu nhạy cảm kỹ thuật số tương đương không nhạy cảm Tokenization TrustC Commerce giới thiệu lần vào năm 2001 phương tiện bảo vệ thơng tin thẻ tín dụng 2.3.3 Mơ hình Tokenization tốn điện tử Gần đây, ngày nhiều tổ chức chuyển từ mã hóa sang token hóa phương 11 pháp hiệu an tồn để bảo vệ thơng tin nhạy cảm Một cách sử dụng mã thông báo phổ biến toán điện tử Tokenization cho phép người dùng lưu trữ thông tin thẻ tín dụng ví di động, giải pháp thương mại điện tử phần mềm POS phép thẻ nạp lại mà không làm lộ thông tin thẻ gốc Hình 2.4 [13] mơ tả phương thức hoạt động Tokenization Hình 2.4: Phương thức hoạt động Tokenization Tokenization thay chi tiết chủ thẻ nhạy cảm token độc lập Điều giúp bảo mật chi tiết tài khoản ngân hàng khách hàng giao dịch thẻ tín dụng thương mại điện tử Tokenization mã hóa end-to-end thơng tin liệu (hay cịn gọi mã hóa trường liệu), mã hóa liệu chủ thẻ đầu, sau giải mã đích cuối 2.4 Giải pháp bảo mật dựa SSL 2.4.1 Tổng quan SSL SSL (Secure Socket Layer) giao thức đa mục đích thiết kế để tạo giao tiếp hai chương trình ứng dụng cổng định trước (socket 443) nhằm mã hố tồn thơng tin đi/đến, mà ngày được sử dụng rộng rãi cho giao dịch toán điện tử truyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) Internet Hình 2.5 [11] mơ tả vị trí SSL mơ hình OSI 12 Hình 2.5: Vị trí SSL mơ hình OSI SSL cho phép server có hỗ trợ SSL tự xác thực với Client hỗ trợ SSL, cho phép client tự xác thực với server, cho phép hai máy thiết lập kết nối mã hoá Khả định mối quan tâm giao tiếp mạng Internet mạng sử dụng TCP/IP: Chứng thực SSL Server Chứng thực SSL Client Mã hố kết nối Các thuộc tính SSL Kết nối bí mật: q trình mã hóa liệu áp dụng sau q trình bắt tay (handshake) xác định khoá bí mật Mật mã đối xứng sử dụng cho q trình mã hố liệu (ví dụ DES, RC4…) Kết nối tin cậy: việc vận chuyển thông điệp bao gồm q trình kiểm tra tính tồn vẹn thông điệp sử dụng hàm kiểm tra MAC có khố Các hàm băm an tồn (ví dụ SHA, MD5…) sử dụng cho trình thực hàm MAC, nhằm đảm bảo thông tin không bị sai lệch thể xác thơng tin gốc gửi đến 2.4.2 Các hệ mã hóa sử dụng SSL Giao thức SSL hỗ trợ nhiều hệ mã hoá sử dụng cho hoạt động chứng thực server client, cho q trình truyền thơng chứng số q trình thành lập khố phiên Bộ mã hố mơ tả sau có liên quan tới thuật tốn : • DES Data Encryption Standard, thuật tốn mã hố sử dụng phủ Mỹ • DSA Digital Signature Algorithm, phần chuẩn chứng thực số sử dụng phủ Mỹ • KEA Key Exchange Algorithm, thuật tốn trao đổi khố cho phủ Mỹ • MD5 Message Digest, thuật toán băm phát triển Rivest • RC2-RC4 Hệ mã hố Rivest phát triển cho RSA Data Security 13 • RSA Hệ mã hố khố cơng khai cho mã hố xác thực, phát triển Rivest, Shamir Adleman • RSA key exchange: thuật toán trao đổi khoá cho SSL dựa thuật tốn RSA • SHA-1: Secure Hash Algorithm, thuật tốn băm sử dụng cho phủ Mỹ • SKIPJACK Thuật toán mã hoá đối xứng cổ điển cài đặt phần cứng tương thích FORTEZZA, sử dụng phủ Mỹ • Triple-DES.DES cài đặt vòng 2.4.3 Bảo mật SSL Mức độ bảo mật SSL phụ thuộc vào độ dài khoá hay phụ thuộc vào việc sử dụng phiên mã hoá 40bit 128bit Phương pháp mã hoá 40bit sử dụng rộng rãi khơng hạn chế ngồi nước Mỹ phiên mã hoá 128bit sử dụng nước Mỹ Canada Một số thách thức phá khoá bảo mật Trong cộng đồng người làm bảo mật, phương pháp kiểm tra độ độ bảo mật/an tồn thuật tốn bảo mật, ngồi sở lý thuyết thuật tốn, đưa “thách thức” (challenge) với số tiền thưởng tượng trưng, nhằm kiểm tra tính thực tiễn thuật toán 2.4.4 Các loại chứng thực SSL Domain Validation (DV SSL) Organization Validation (OV SSL) Extended Validation (EV SSL) Subject Alternative Names (SANs SSL) Wildcard SSL Certificate (Wildcard SSL) Sản phẩm lý tưởng dành cho cổng thương mại điện tử Mỗi e-store subdomain chia sẻ nhiều địa IP Khi đó, để triển khai giải pháp bảo bảo mật giao dịch trực tuyến (đặt hàng, toán, đăng ký & đăng nhập tài khoản,…) SSL, dùng chứng số Wildcard cho tên miền website tất sub-domain 2.4.5 Ứng dụng SSL bảo mật hệ thống toán điện tử Ưu điểm SSL Tính mạnh SSL/TLS chúng xác định mối quan hệ với tầng giao thức khác hệ thống kiến trúc mạng OSI 14 Một sức mạnh khác SSL ngăn chặn cách thức cơng từ điển Giao thức SSL cịn bảo vệ với đối tác thứ Đó client xâm nhập bất hợp pháp liệu đường truyền Client xâm nhập giả mạo client server, SSL ngăn chặn giả mạo cách sử dụng khoá riêng server sử dụng chứng số Phương thức bắt tay TLS tương tự Tuy nhiên, TLS tăng cường bảo mật cách cho phép truyền phiên giao thức, số hiệu phiên làm việc, hệ mã hoá cách thức nén sử dụng TLS bổ xung thêm hai thuật tốn băm khơng có SSL Hạn chế SSL Giao thức SSL, giống cơng nghệ nào, có hạn chế Đầu tiên ràng buộc thân giao thức SSL Đây hệ việc thiết kế SSL ứng dụng chịu tác động Tiếp theo, giao thức SSL thừa kế vài điểm yếu từ công cụ mà sử dụng, cụ thể thuật toán ký mã hoá Nếu thuật toán có điểm yếu, SSL thường khơng thể khắc phục chúng Cuối cùng, mơi trường SSL triển khai có thiếu sót giới hạn 2.5 Giải pháp bảo mật dựa hệ thống phát ngăn chặn xâm nhập mạng 2.5.1 Hệ thống phát xâm nhập IDS Hệ thống phát xâm nhập (Intrusion Detection System – IDS) hệ thống phần cứng ứng dụng phần mềm theo dõi, giám sát thu thập thông tin từ hoạt động vào mạng Các thành phần IDS Các thành phần hệ thống IDS mơ tả hình 2.6 15 Hình 2.6: Các thành phần hệ thống IDS [10] Hệ thống IDS bao gồm thành phần: Thành phần thu gói tin (Sensors); Thành phần phân tích gói tin (Analysis); Thành phần tri thức (Knowledge) hỗ trợ q trình phân tích gói tin Thành phần phản hổi (Respontion) xuất thông tin cảnh báo Phân loại IDS: Dựa phạm vi giám sát, IDS chia thành loại: (1) Network-based IDS (NIDS): Là IDS giám sát tồn mạng Nguồn thơng tin chủ yếu NIDS gói liệu lưu thông mạng NIDS thường lắp đặt ngõ vào mạng, đứng trước sau tường lửa Hình 2.7 [10] mơ tả mơ hình hệ thống NIDS Hình 2.7: Mơ hình hệ thống NIDS (2) Host-based IDS (HIDS): Là IDS phát xâm nhập máy chủ cài đặt máy tính (host) Hình 2.8 [10] mơ tả mơ hình hệ thống HIDS Hình 2.8: Mơ hình hệ thống HIDS 16 HIDS tìm kiếm dấu hiệu xâm nhập vào host cục Chúng tìm kiếm hoạt động bất thường, lưu lượng gửi đến host kiểm tra phân tích file log lưu lại chuyển qua host cảm thấy khơng có dấu hiệu đáng nghi ngờ Dựa kỹ thuật thực hiện, IDS chia thành loại: - Signature-based IDS - Anomaly-based IDS Snort Snort ứng dụng IDS đại với ba chức chính: chức phận lắng nghe gói tin, chức lưu lại thơng tin gói tin hay chức hệ thống phát xâm nhập mạng (NIDS) 2.5.1 Hệ thống ngăn chặn xâm nhập IPS Hệ thống phòng chống xâm nhập (IPS) kỹ thuật, kết hợp ưu điểm kỹ thuật tường lửa với hệ thống phát xâm nhập IDS, có khả nǎng phát công tự động ngǎn chặn công nhằm vào điểm yếu hệ thống Sơ đồ hoạt động hệ thống IPS mơ tả hình 2.8 [10] Hình 2.8: Sơ đồ hoạt động IPS Ý tưởng công nghệ IPS công chống lại thành phần dịch vụ bảo vệ bị làm chệch hướng giải pháp ngăn ngừa xâm nhập Các kiểu triển khai IPS Có hai kiểu triển khai IPS out-of-band IPS in-line IPS: - Out-of-band IPS (OOB IPS): Với hệ thống luồng liệu vào hệ thống mạng qua đồng thời firewall IPS - In-line IPS: Vị trí IPS nằm trước firewall, luồng liệu phải qua chúng trước tới firewall 17 Chức Modul IPS IPS có hai chức nǎng phát cơng chống lại cơng Hệ thống IPS gồm modul chính: - Modul phân tích luồng liệu - Modul phát công - Modul phản ứng 2.5.3 Ứng dụng hệ thống IDS/IPS chống công hệ thống toán điện tử Các hệ thống IDS/IPS có khả ứng dụng phát chống cơng hệ thống tốn điện tử Trong hình 2.9 mơ tả mơ hình ứng dụng hệ thống IDS/IPS dựa Snort chống công hệ thống tốn điện tử Hình 2.8 Mơ hình hệ thống IDS/IPS chống cơng hệ thống tốn điện tử sử dụng Snort Giải pháp sử dụng hệ thống IDS/IPS chống cơng hạ tầng mạng hệ thống tốn điện tử giải pháp hữu hiệu nhằm phát chống cơng hệ thống tốn điện tử hoạt động 2.6 Kết luận chương 18 CHƯƠNG : XÂY DỰNG GIẢI PHÁP BẢO MẬT HỆ THỐNG THANH TỐN ĐIỆN TỦ CHO TỔNG CƠNG TY VIỄN THÔNG MOBILEFONE Trong chương luận văn nghiên cứu đề xuất ứng dụng giải pháp bảo mật hệ thống toán điện tử nghiên cứu chương cho hệ thống toán điện tử Tổng cơng ty Viễn thơng MobiFone Trên sở đó, luận văn tiến hành thử nghiệm số giải pháp bảo mật cho hệ thống toán điện tử Tổng công ty Viễn thông MobiFone 3.1 Tổng quan hệ thống tốn điện tử Tổng cơng ty Viễn thông MobiFone 3.1.1 Giới thiệu Tổng công ty Viễn thơng MobiFone 3.1.2 Hệ thống tốn điện tử Tổng công ty Viễn thông MobiFone 3.2 Đề xuất giải pháp bảo mật cho hệ thống toán điện tử Tổng công ty Viễn thông MobiFone 3.2.1 Giải pháp sử dụng mã OTP công nghệ Tokenization Giải pháp sử dụng mã OTP công nghệ Tokenization cho hệ thống toán điện tử MobiFone nhằm bảo đảm an tồn giao dịch tốn khách hàng bảo mật thông tin liên quan khách hàng Hình 3.1 mơ tả mơ hình đăng ký dịch vụ toán điện tử khách hàng sử dụng cơng nghệ Tokenization Hình 3.1: Mơ hình sử dụng Tokenization toán điện tử 19 3.2.2 Giải pháp sử dụng SSL Trong hệ thống toán trực tuyến Tổng cơng ty MobiFone có sử dụng hệ thống web cổng thông tin điện tử MobiFone Portal, My MobiFone Các hệ thống web cần phải cài đặt sử dụng SSL/TSL Mặt khác, để trình trao đổi liệu giao dịch toán điện tử an toàn hạ tầng mạng, cần phải cài đặt SSL Trong mục 3.3.2, luận văn thực cài đặt thử nghiệm SSL cho hệ thống tốn trực tuyến Tổng cơng ty Viễn thơng MobiFone 3.2.3 Giải pháp xây dựng hệ thống IDS sử dụng Snort Luận văn đề xuất mơ hình hệ thống IDS sử dụng Snort để phát công hệ thống tốn điện tử trình bày hình 3.2 Hình 3.2: Mơ hình thử nghiệm hệ thống IDS sử dụng Snort Hệ thống IDS bao gồm thành phần sau: Module giải mã gói tin (Packet Decoder); Module tiền xử lý (Preprocessors); Module phát (Detection Engine); Module log cảnh báo (Logging and Alerting System) Module kểt xuất thông tin (Output Module) Trong mô hình trên, tin tặc sử dụng gói tin cơng vào hệ thống tốn điện tử trước tiên chúng phải qua hệ thống IDS Khi Module giải mã gói tin Module tiền xử lý phân tích gói tin gửi kết đến Module phát Module phát phân tích dựa tập luật hệ thống để nhận dạng phân loại gói tin đầu vào Các thông tin Module log cảnh báo lưu vào sở liệu Sau đó, chúng Module kểt xuất thông tin xử lý đưa phản hồi phù hợp hệ thống IDS 20 Hệ thống IDS cần sớm đưa cảnh báo “giao dịch toán đáng ngờ” nhằm theo dõi phát sớm dấu hiệu gian lận Để thực chức này, xây dựng tập luật để sử dụng Module phát sử dụng kỹ thuật học máy 3.3 Cài đặt thử nghiệm kết 3.3.1 Triển khai Tokenization Khi khách hàng nhập thông tin mã số thẻ, tên chủ thẻ, ngày hết hạn mã bảo mật thẻ, Token thẻ khách hang chuỗi ký tự mã hóa từ thơng tin lưu vào DB Khác với lộ thẻ thông tin thẻ tín dụng kẻ xấu sử dụng để tốn đâu, Token có tác dụng lên Merchant ID Token mã hóa chiều gặp khóa private + public key, nào, có nghi vấn lộ thơng tin trở nên vô tác dụng khác so với lộ mã thẻ tín dụng Hình 3.3 mơ tả trình tạo hoạt động Tokenization Hình 3.3: Mô tả Tokenization tạo hoạt động Cung cấp API cho hệ thống MobiFone Portal My MobiFone để khách hàng tạo Token lần đầu: Hình 3.4 trình bày mơ hình giao tiếp MobiFone Portal, My MobiFone với hệ thống Thanh toán điện tử để tạo Token lần đầu: Hình 3.4: Mơ hình giao tiếp MobiFone Portal, My MobiFone với hệ thống Thanh toán điện tử 21 - Giao diện đăng ký dịch vụ thiết kế MobiFone Portal My MobiFone - Hệ thống Thanh toán điện tử bổ sung API sau cung cấp cho hệ thống MobiFone Portal My MobiFone: o Hàm getBanksAuto(): cung cấp danh sách thẻ Ngân hàng có hỗ trợ dịch vụ Hiện nay, đối tác Napas hỗ trợ thẻ Quốc tế sử dụng dịch vụ o Link tạo token : epayment.mobifone.vn/gateway/create_token_napas.jsp?cardtype=&from_msisdn= &environment= Hệ thống redirect trang khách hàng sang Cổng Napas để đăng ký thông tin thẻ lần đầu - Khi chuyển tiếp sang Cổng toán Napas, hệ thống TTĐT gọi API riêng mà Napas cung cấp để tạo Token mà khơng tốn Token dùng riêng cho dịch vụ - Kết Token lưu trữ sở liệu: Trong đó: ID: định danh Token From_msidsn: tài khoản MobiFone Portal lưu thông tin thẻ (Token) Token_code: giá trị Token mã hóa, trước gửi sang Napas cần giải mã Token_name: tên gợi nhớ Token, tên hiển thị khách hàng chọn loại thẻ toán/nạp tiền - Sau tạo Token, khách hàng đăng ký thơng tin dịch vụ ngày tốn cho thuê bao trả sau, mệnh giá nạp tiền cho thuê bao trả trước tài khoản xuống ngưỡng quy định …Các thơng tin sau lưu hệ thống Thanh toán điện tử 3.3.2 Cài đặt SSL Để đáp ứng việc thử nghiêm, trình cài đặt SSL hệ thống toán điện 22 tử sử dụng Platform Apache (Do Web server Apache Web server thịnh hành toàn giới) Các platform khác áp dụng tương tự, cần thay đổi đường dẫn (path) tên tập tin cấu hình/thư mục (file configuration/folder) Luận văn đề xuất yêu cầu phần cứng thử nghiệm tối thiểu sau o Cài đặt Certificate Authority - Tạo tập tin cấu hình mặc định cho CA o Truy cập vào thư mục \apache\bin, tập tin openssl.cnf (Đây tập tin cấu hình gốc OpenSSL), chỉnh sửa tùy theo nhu cầu sử dụng o Lưu ý dòng default_days thời hạn certificate Có thể chỉnh lên 3650 (10 năm) để tránh bị hết hạn certificate - Tiến hành đăng ký trở thành CA o Tạo tập tin makecert.ca.bat : Truy cập vào thư mục \apache, tập tin makecert.ca.bat (Đây tập tin tạo chứng bảo mật SSL Apache), chỉnh sửa tùy theo nhu cầu sử dụng Lưu ý tham số -days 3650 nghĩa CA mà tạo có quyền lực 10 năm Chúng ta tái sử dụng CA để cấp chứng cho vô số tên miền vòng 10 năm tới 23 - Thực thi makecert.ca.bat: Chạy Terminal máy chủ Tạo yêu cầu ký chứng : tương tự bước 2.1, thay tên tập tin openssllocalhost.cnf, mục đích tạo CSR cho miền localhost - Tạo tập tin cấu hình SSL mặc định cho localhost - Tạo tập tin thực thi makecert.localhost.bat - Thực thi makecert.localhost.bat Cấu hình cài đặt SSL cho máy chủ - Truy cập thư mục \apache\conf\extra tìm đến tập tin httpd-vhosts.conf, đổi tên tập tin tạo tập tin httpd-vhosts.conf Mục đích để backup tập tin gốc, sau chỉnh lại theo nhu cầu sử dụng (IP, Port, đường dẫn file log,…) - Tương tự, thư mục \xampp\apache\conf\extra, tìm đến tập tin httpdssl.conf backup tạo lại tập tin Sau chỉnh sửa lại nội dung tùy theo nhu cầu sử dụng 3.4 Kết chương 24 KẾT LUẬN Các kết đạt luận văn Với mục tiêu nghiên cứu giải pháp bảo mật cho hệ thống toán điện tử ứng dụng cho hệ thống toán trực tuyến Tổng công ty Viễn thông MobiFone, luận văn đạt số kết sau đây: - Luận văn khảo sát tổng quan hệ thống toán điện tử, yêu cầu kỹ thuật hệ thống toán điện tử vấn đề bảo mật hệ thống toán điện tử nhằm giảm thiểu rủi ro hệ thống toán điện tử - Luận văn khảo sát tổng quan vấn đề bảo mật cho hệ thống toán điện tử - Luận văn khảo sát bốn giải pháp bảo mật cho hệ thống toán điện tử: giải pháp dựa mật sử dụng lần (One Time Password – OTP), giải pháp dựa công nghệ Tokenization, giải pháp dựa giao thức SSL (Secure Sockets Layer) giải pháp bảo mật dựa hệ thống phát ngăn chặn xâm nhập mạng IDS/IPS - Luận văn đề xuất số giải pháp bảo mật cho hệ thống tốn trực tuyến Tổng cơng ty Viễn thông MobiFone - Luận văn thực thực thử nghiệm triển khai Tokenization cho thuê bao thử nghiệm cài đặt cho hệ thống tốn điện tử Tổng cơng ty Viễn thơng MobiFone Hướng phát triển Luận văn phát triển xây dựng hệ thống bảo mật có khả triển khai thực tế cho hệ thống toán trực tuyến Tổng Công ty Viễn thông MobiFone Từ đó, nghiên cứu triển khai giải pháp bảo mật cho hệ thống cung cấp dịch vụ Tổng công ty viễn thông MobiFone ... ? ?Nghiên cứu giải pháp bảo mật cho hệ thống tốn điện tử? ?? Mục đích luận văn nghiên cứu giải pháp bảo mật cho hệ thống tốn điện tử Trên sở đề xuất xây dựng giải pháp bảo mật hệ thống tốn điện tử. .. tập trung nghiên cứu số giải pháp bảo mật cho hệ thống toán điện tử nhằm bảo đảm yêu cầu bảo mật hệ thống vấn đề liên quan Chương 3: Xây dựng giải pháp bảo mật cho hệ thống toán điện tử Tổng công... đây: - Luận văn khảo sát tổng quan hệ thống toán điện tử, yêu cầu kỹ thuật hệ thống toán điện tử vấn đề bảo mật hệ thống toán điện tử nhằm giảm thiểu rủi ro hệ thống toán điện tử - Luận văn khảo