TỔNG QUAN VỀ TIỀN ĐIỆN TỬ

Một phần của tài liệu Nghiên cứu một số bài toán an toàn thông tin trong giai đoạn rút tiền điện tử (Trang 42)

1.5.1. Tiền điện tử

1.5.1.1. Khái niệm

Tiền điện tử (E-money, E-currency, Internet money, Digital money, Digital cash) là thuật từ vẫn còn mơ hồ và chưa được định nghĩa đầy đủ. Tuy nhiên có thể hiểu Tiền điện tử là loại tiền trao đổi theo phương pháp “điện tử”, liên quan đến mạng máy tính và những hệ thống chứa giá trị ở dạng số (Digital stored value Systems).

Tiền điện tử cho phép người dùng thanh toán khi mua hàng, hay sử dụng các dịch vụ, nhờ truyền đi các “dãy số” từ máy tính (hay thiết bị lưu trữ như Smart Card) này với máy tính khác (Smart Card).

Cũng như dãy số (Serial) trên tiền dấy, dãy số của tiền điện tử là duy nhất. Mỗi “đồng tiền điện tử” được phát hành bở một tổ chức (ngân hàng) và biểu diễn một lượng tiền thật nào đó.

Tiền điện tử có loại ẩn danh (identified e-money), có loại định danh (anonymous identified e-money).

Tiền ẩn danh không tiết lộ thông tin định danh người sử dụng. Tính ẩn danh của tiền điện tử tương tự như tiền mặt thông thường. Tiền điện tử ẩn danh được rút từ một tài khoản, có thể được tiêu xài hay chuyển cho người khác mà không để lại dấu vết.

Có nhiều loại tiền ẩn danh, có loại ẩn danh đối với người bán, nhưng không ẩn danh với ngân hàng. Có loại ẩn danh hoàn toàn, ẩn danh với tất cả mọi người.

Tiền điện tử định danh tiết lộ thông tin định danh của người dùng. Nó tương tự như thẻ tín dụng, cho phép ngân hàng lưu dấu vết tiền khi luân chuyển.

Mỗi loại tiền chia thành hai dạng: trực tuyến (online) và không trực tuyến (offline).

Sinh viên: Vũ Hải Sơn – Lớp CT1201 39

Trực tuyến: nghĩa là cần phải tương tác với phía thứ ba để thực hiện giao dịch.

Không trực tuyến: nghĩa là có thể kiểm soát đc giao dịch, mà không cần liên quan trực tiếp đến phía thứ ba (ngân hàng).

Hiện nay có 2 hệ thống tiền điện tử chính: Thẻ thông minh(Smart card) hay phần mềm. Tuy nhiên chúng có chung đặc điểm cơ bản sau: tính an toàn, tính riêng tư, tính độc lập, tính chuyển nhượng, tính phân chia.

1.5.1.2. Cấu trúc tiền điện tử

Với mỗi hệ thống thanh toán điện tử, tiền điện tử có cấu trúc và định dạng khác nhau nhưng đều bao gồm các thông tin chính như sau:

Số seri của đồng tiền: giống như tiền mặt, số seri dùng để phân biệt các đồng tiền khác nhau. Mỗi đồng tiền điện tử sẽ có một seri duy nhất. Tuy nhiên, khác với tiền mặt, số seri trên tiền điện tử thường là mội dãy số được sinh ngẫu nhiên. Điều này có liên quan tới tính ẩn danh của người sử dụng.

Giá trị của đồng tiền: Mỗi đồng tiền điẹn tử sẽ có giá trị tương đương vớimột lượng tiền nào đó. Trong tiền mặt thông thường , mỗi tờ tiền có một giá trị nhất định(1$, 10$...), trong tiền điện tử, giá trị này có thể là một con số bất kì (7$,19$...).

Hạn định của đồng tiền: Để đảo bảo tính an toàn của đồng tiền và tính hiệu quả của hệ thống, các hệ thống thường giới hạn ngày hết hạn của đồng tiền. Một đòng tiền điện tử sau khi phát hành sẽ phải gửi lại ngận hàng trước thời điểm hết hạn.

Các thông tin khác: đây là các thông tin thêm nhằm phục vụ cho mục đích đảm bảo an toàm vào tính tin cậy của đồng tiền điện tử, ngăn chặn việc giả majo tiền điện tử và phát hiện các vi phạm (nếu có). Trong nhiều hệ thống các thông tin này giúp truy vết định danh người sử dụng có hành vi gian lận trong thanh toán điện tử.

Sinh viên: Vũ Hải Sơn – Lớp CT1201 40

Các thồn tin trên tiền điện tử được ngân hàng kí khóa bằng bí mật của mình. Bất kì người sử dụng nào cũng có thể kiểm tra tính hợp lệ của đồng tiền bằng các sử dụng khóa công khai của ngân hàng.

1.5.1.3. Tính chất tiền điện tử

Tiền điện tử cũng có một số đặc điểm tương tự tiền giấy: dùng để biểu diễn một lượng tiền nào đó, có thể chuyển nhượng được, không để lại dấu vết, có tính ẩn danh, có thể mang đi mang lại và đặc biệt có thể đổi được.

1/. Tính an toàn (Security)

* Đảm bảo đồng tiền điện tử không bị sao chép, không bị dử dụng lại.

* Sự giả mạo(forgery)

Các gian lận thường gặp trong hệ thống thanh toán là sự giả mạo. Tương tự như tiền giấy, có hai loại giả mạo đối với tiền điện tử.

- Giả mạo đồng tiền: tạo ra đồng tiền giả giống như thật, nhưng không có xác nhận rút tiền của ngân hàng.

- Tiêu một đồng tiền nhiều lần: là sử dụng cùng một đồng tiền nhiều lần (thuật ngữ tương đương như double spending, hay multiple spending, hay repeat spending).

2/.Tính xác thực

Do luôn có sự giả mạo, nên ta cần phải xác lập được các mức khác nhau về cách đánh giá tính xác thực.

- Nhận dạng người dùng: người dùng cần phải biết mình đang giao dịch với ai. - Xác thực tính toàn vẹn thông điệp: đảo bảo bản copy của thông điệp hoàn toàn giống bản ban đầu.

Sinh viên: Vũ Hải Sơn – Lớp CT1201 41

3/.Tính riêng tƣ (Privacy)

Chưa thể định nghĩa một cách rõ ràng tính chất này của tiền điện tử. Đối với môt số người, tính riêng tư có nghĩa là sự bảo vệ chống lại “eavesdropping”. Đối với một số người khác như David Chaum, “tính riêng tư” có nghĩa là trong quá trình thanh toán, người trả tiền phải được ẩn danh, không để lại dấu vết, ngân hàng không nói được tiền giao dịch là của ai.

Tính chất này nhằm bảo vệ người dùng, khó có thể truy vết, chấp nối mới quan hệ giữa người dùng với các giao dịch hay chi tiêu mà người đó thực hiện. Tính chất này cũng có thể thấy rõ trong các giao dịch bằng tiền mặt. Sau khi thanh toán, việc chứng minh người nào đã sở hữu số tiền đó trước đây là rất khó.

4/. Tính độc lập (Portability)

Tính chất này có nghĩa là sự an toàn của tiền điện tử không phụ thuộc vào vị trí địa lý. Tiền có thể được chuyển qua mạng máy tính hoặc lưu trữ vào các thiết bị nhớ khác nhau.

5/. Tính chuyển nhƣợng đƣợc (Transferrability)

Người dùng Tiền điện tử có thể chuyển giao quyền sở hữu đồng tiên điện tử cho nhau. Tính chuyển nhượng được là một tính chất rất quan trọng cho việc tiêu tiền điện tử, thực sự giống với tiêu tiền mặt thông thường.

Tuy vậy, có một số vấn đề nảy sinh mà hệ thống vẫn cần giải quyết:

- Kích thước dữ liệu tăng lên sau mỗi lần chuyển nhượng. Vì vậy, cần giới hạn số lần chuyển nhượng tối đa cho phép.

- Phát hiện giả mạo và tiêu một đồng tiền nhiều lần có thể quá trễ, khi đồng tiền đã được chuyển nhượng nhiều lần.

- Người dùng có thể nhận ra đồng tiền của mình, nếu nó lại xuất hiện trong một lần giao dịch khác.

Sinh viên: Vũ Hải Sơn – Lớp CT1201 42

6/. Tính phân chia đƣợc (Divisibility)

Người dùng có thể phân chia đồng tiền của mình thanh những mảnh có giá trị nhỏ hơn, với điều kiện tổng giá trị các mảnh nhỏ bằng giá trị đồng tiền ban đầu. Tiền điện tử thực chất là một dãy số bị mã khóa, nên không phải hệ thống nào cũng thực hiện được việc chia dãy số này thành các đồng tiền có giá trị nhỏ hơn.

1.5.1.4. Mô hình giao dịch mua bán bằng Tiền Điện Tử

Mô hình giao dịch mua bán bằng tiền điên tử có 3 giao dịch với 3 đối tượng:

* Rút tiền: Ông A chuyển tiền tử tài khoản ở ngân hàng vào “túi” của mình (“túi ” có thể là Smart Card hay máy tính).

* Thanh toán: Ông A chuyển tiền từ “túi” của mình đến “túi ” ông B.

* Gửi tiền: Ông B huyển tiền nhận được vào tài khoản của mình ở ngân hàng. Mô hình này có thể thực hiện bằng 2 cách: trực tuyến, không trực tuyết.

Trực tuyến:

Ông B liên lạc với ngân hàng để kiểm tra tính hợp lệ của đồng tiền trước khi thanh toán và phân phối hàng. Thanh toán và gửi tiền được tiến hành đồng thời.

Thanh toán trực tuyến cần thiết cho gaio dịch có giá trị lớn. Hệ thống yêu cầu phải liên lạc với ngân hàng trong suốt mỗi lần giao dịch, vì thế chi phí nhiều hơn (tiền và thời gian).

Sinh viên: Vũ Hải Sơn – Lớp CT1201 43

1.5.1.5. Quy trình thanh toán bằng Tiền Điện Tử

1/. Mô hình trả tiền sau.

Thời điểm tiền mặt được rút ra khỏi tài khoản bên mua để chuyển sang bên bán, xảy ra ngay (pay-now) hoặc sau (pay-later) giao dịch mua bán. Hoạt động của hệ thống dựa trên nguyên tắc tín dụng (Credit crendental). Nó còn được gọi là mô hình mô phỏng Séc (Cheque-like model).

Sinh viên: Vũ Hải Sơn – Lớp CT1201 44

2/.Mô hình trả tiền trƣớc

Khách hàng liên hệ với ngân hàng (hay công ty môi giới - Broker) để có được chứng từ do ngân hàng phát hành. Chứng từ hay Đồng tiền số này mang dấu ấn của ngân hàng, được đảm bảo bởi ngân hàng và do đó có thể dùng ở bất cứ nơi nào đã có xác lập hệ thống thanh toán với ngân hàng này.

Sinh viên: Vũ Hải Sơn – Lớp CT1201 45

1.5.2. Qui Trình Sử Dụng Tiền Điện Tử 1/. Giai đoạn 1: Rút tiền 1/. Giai đoạn 1: Rút tiền

Người có tiền cần sử dụng đến tiền, rút tiền từ ngân hàng.

2/. Giai đoạn 2: Trả tiền (chuyển tiền)

Người mua hàng chuyển tiền trả cho người bán.

3/. Giai đoạn 3: Gửi tiền

Người bán hàng gửi tiền vừa nhận được vào ngân hàng

1.5.3. Vấn đề rút Tiền Điện Tử

Các bước rút tiền:

B1: Người có tiền gửi yêu cầu rút tiền đến ngân hàng.

B2: Ngân hàng tiến hành kiểm tra thông tin tài khoản.

- Nếu tài khoản không đủ hoặc không có thì từ chối yêu cầu rút tiền.

- Nếu tài khoản thỏa mãn thì thực hiện bước 3.

B3: Cho phép rút tiền

- Người rút tiền tạo đồng tiền, và làm mù đồng tiền.

- Ngân hàng kí vào đồng tiền đã được làm mù và gửi trả lại cho người rút tiền.

- Người rút tiền nhận được đồng tiền và kiểm tra chữ kí trên đồng tiền, xóa mù trên đồng tiền người rút tiền sẽ nhận được chữ ký thật trên đồng tiền thật.

Sinh viên: Vũ Hải Sơn – Lớp CT1201 46

Chương 2. MỘT SỐ BÀI TOÁN AN TOÀN THÔNG TIN TRONG GIAI ĐOẠN RÚT TIỀN ĐIỆN TỬ

2.1. MỘT SỐ BÀI TOÁN

2.1.1. Bài toán bảo vệ thông tin yêu cầu rút tiền

Thông tin yêu cầu rút tiền trên đường truyền có thể bị lộ và bị sửa đổi trái phép

2.1.2. Bài toán thẩm tra hồ sơ rút tiền

Ngân hàng khi nhận được yêu cầu rút tiền cần thẩm tra yêu cầu đó

2.1.3. Bài toán ẩn danh đồng tiền

Thông tin về đồng tiền cần phải được giữ bí mật với ngân hàng.

2.1.4. Bài toán phòng tránh khai man giá trị đồng tiền

Vì đồng tiền đã được làm mù nên người rút tiền có thể gian trá khai man giá trị đồng tiền, đồng tiền được gửi đến để nhận chữ ký từ ngân hàng không đúng với giá trị trong yêu cầu gửi đến trước đó.

2.1.5. Bài toán bảo vệ đồng tiền trên đƣờng truyền

Đồng tiền trên đường truyền có thể bị lộ và sửa đổi trái phép

2.2. PHƢƠNG PHÁP GIẢI QUYẾT

2.2.1. Giải quyết bài toán bảo vệ thông tin yêu cầu rút tiền

Thông tin yêu cầu rút tiền rất quan trọng vì vậy yêu cầu cần - Bảo mật: bảo đảm thông tin không bị lộ.

- Bảo toàn để thông tin không bị sửa đổi trái phép trên đường truyền - Xác thực: yêu cầu rú tiền phải có chữ ký xác thực của người rút.

Sinh viên: Vũ Hải Sơn – Lớp CT1201 47

1/. Bảo mật, bảo toàn thông tin trên đƣờng truyền

Ta dùng phương pháp mã hóa

2/. Xác thực

Khi gửi đi yêu cầu rút tiền, người có tiền xác thực yêu cầu bằng chữ ký vào bản mã, ngân hàng sẽ dựa vào đó để xác thực yêu cầu.

2.2.2. Giải quyết bài toán thẩm tra hồ sơ rút tiền

Khi nhận được yêu cầu rút tiền ngân hàng cần kiểm tra thông tin yêu cầu rút tiền (thông tin tài khoản của người dùng)

2.2.3. Giải quyết bài toán ẩn danh đồng tiền

Sau khi người có tiền gửi yêu cầu rút tiền đến ngân hàng và được ngân hàng chấp nhận, người có tiền tạo một đồng tiền như trong yêu cầu rồi gửi tới ngân hàng. Vì thông tin về đồng tiền cần đảm bảo bí mật nên đồng tiền khi gửi tới ngân hàng cần được “Ẩn danh” ở đây ta sử dụng chữ ký mù.

1/. Dùng chữ ký mù : bao gồm 3 bước - Bước 1: Người có tiền làm mù đồng tiền

- Bước 2: Người có tiền gửi đồng tiền (đã bị làm mù) cho ngân hàng. Ngân hàng ký vào đồng tiền đã bị làm mù (ký mù), sau đó gửi đồng tiền lại cho người rút tiền.

-Bước 3: Người rút tiền sau khi nhận được đồng tiền thì xóa mù trên đồng tiền và sẽ nhận được chứ ký thật trên đồng tiền thật.

2/. Ứng dụng chữ ký mù RSA trong dùng tiền điện tử

- Người có tiền: Làm “mù” đồng tiền m, (hay “che giấu” m). Phần tử “làm mù” r được chọn ngẫu nhiên: r Zn*.

Sinh viên: Vũ Hải Sơn – Lớp CT1201 48

- Ngân hàng: Tạo chữ ký trên z, (hay chữ ký “mù” trên m).

y-mu = Sig(z)= za (mod n)=(m. rb )a (mod n)= ma * rb a (mod n)= ma * r (mod n).

- Người có tiền : Xoá mù trên chữ ký y-mu, Nhận được chữ ký y trên m. UnBlind (y-mu)= y-mu / r =ma * r(mod n) / r=ma(mod n).

2.2.4. Giải quyết bài toán phòng tránh khai man giá trị đồng tiền

Để tránh bị người rút tiền khai man giá trị đồng tiền ngân hàng có một số biện pháp sau:

* Cách 1: Ngân hàng sử dụng một số chìa khóa ký, cụ thể là cho mỗi giá trị đồng tiền sẽ có một loại khóa ký riêng.

Ví dụ: Đồng tiền 1 triệu sẽ dùng khóa k1 để ký Đồng tiền 2 triệu sẽ dùng khóa k2 để ký

...

Đồng tiền 10 triệu sẽ dùng khóa k10 để ký …

- Người rút tiền yêu cầu rút 10 triệu và gửi đồng tiền đến ngân hàng, ngân hàng sẽ dùng khóa k10 để ký mù trên đồng tiền.

- Người rút tiền nhận được đồng tiền và xóa mù sẽ nhận được chữ ký thật trên đồng tiền thật.

- Khi người rút tiền tiêu tiền, người nhận được đồng tiền sẽ dùng khóa công khai của ngân hàng tương ứng với giá trị trên đồng tiền để kiểm tra.

Ví dụ: Giá trị trên đồng tiền là 100 triệu => dùng q100.

Sinh viên: Vũ Hải Sơn – Lớp CT1201 49

Ví Dụ: Người rút tiền xin rút 10 triệu nhưng lại tạo đồng tiền có giá trị 100 triệu, ngân hàng dùng khóa k10 để ký. Vì trên giá trị đồng tiền ghi 100 triệu nên người nhận được đông tiền sẽ dùng q100 để kiểm tra => không đúng với khóa ký => đồng tiền sai.

* Cách 2: Người có tiền và ngân hàng có thể thực hiện một giao thức dựa vào xác xuất.

- Người có tiền tạo 10 tờ tiền (c1, c2, …c10) các tờ tiền này có mệnh giá giống nhau chỉ khác nhau về số seri.

- Người có tiền sẽ làm mù cả 10 đồng tiền và gửi về cho ngân hàng.

- Ngân hàng sẽ chọn ngẫu nhiên 9 trong số 10 đồng tiền đó để yêu cầu người có tiền tiết lộ thông tin để xóa mù chúng.

- Nếu cả 9 đồng tiền đều hợp lệ về mặt giá trị, thì ngân hàng sẽ ký mù lên đồng tiền còn lại và gửi về cho người rút tiền.

2.2.5. Giải quyết bài toán bảo vệ đồng tiền trên đƣờng truyền

Đồng tiền trên đường truyền cần được :

- Bảo mật : đảm bảo thông tin không bị lộ

- Bảo toàn : để thông tin về đồng tiền không bị sửa đổi trái phép trên đường truyền Giống như bài toán 1 ở đây chúng ta cũng dùng phương pháp mã hóa để đảm bảo bảo mật vào bảo toàn đồng tiền trên đường truyền.

Sinh viên: Vũ Hải Sơn – Lớp CT1201 50

Chương 3. THỬ NGHIỆM CHƢƠNG TRÌNH CHỮ KÝ MÙ

Một phần của tài liệu Nghiên cứu một số bài toán an toàn thông tin trong giai đoạn rút tiền điện tử (Trang 42)

Tải bản đầy đủ (PDF)

(63 trang)